Cisco Cisco Prime Network Services Controller 3.2 Installation Guide

• Identify, on paper, the services that you want to allow and the source of the service.

• Use objects groups whenever possible. That is, create logical groups of IP addresses, protocols, services, or ICMP types and

refer to these groups in your access lists.

• Apply the ACL on the interface closest to the source of the traffic.

• Put the ACLs that are matched more frequently before those matched less frequently. The sooner a matching rule is found, the

sooner the next packet can be handled.

• Organize your access list so that more specific references in a network or subnet appear before those that are more general.

• Include a deny ip any any rule implicitly at the end of any access list.

• Use ACLs and inspections for access control instead of relying on the lack of a NAT rule to prevent traffic.

Prime Network Services Controller supports up to eight instances of a single attribute in an ACL rule or
vZone. If more than eight instances are specified, the configuration will fail when it is applied to a VSG.

For information on NAT best practices, see

.

You can define criteria for ACL policies for the following attributes:

• Source conditions

• Destination conditions

• Service

• Protocol

• EtherType

• Time ranges or frequency

Choose Policy Management > Service Policies > root > tenant > Policies > ACL> ACL Policies where tenant is the
tenant that you created in

Task 2—Configuring a Tenant, on page 22

.

In the General tab, click Add ACL Policy.

In the Add ACL Policy dialog box, enter a name and description for the policy, and then click Add Rule.

In the Add Rule Policy dialog box, define a rule using the information described in

Add ACL Policy Rule Dialog Box,

on page 23

, and then click OK in the open dialog boxes.