ACL應(yīng)該在網(wǎng)絡(luò)中的哪里配置

選擇ACL配置位置很重要，有規(guī)劃的在網(wǎng)絡(luò)中配置ACL能夠精準(zhǔn)的匹配需要過濾的流量，同時(shí)也能夠減少數(shù)據(jù)在網(wǎng)絡(luò)中不必要的傳輸、節(jié)約網(wǎng)絡(luò)資源，還能降低運(yùn)維人員的配置與維護(hù)工作量。

發(fā)布時(shí)間：2022-12-05
點(diǎn)擊量：
點(diǎn)贊：

分享至

我想評論

1 選擇ACL配置位置很重要

ACL是Access Control List的簡稱，中文是訪問控制列表。眾所周知，ACL在網(wǎng)絡(luò)中能夠?qū)崿F(xiàn)訪問控制。進(jìn)行訪問控制的配置命令也比較簡單，根據(jù)限制要求配置ACL規(guī)則并在接口上應(yīng)用即可。但是要在實(shí)際網(wǎng)絡(luò)中有效應(yīng)用ACL實(shí)現(xiàn)訪問控制卻并不容易，只有有規(guī)劃地在網(wǎng)絡(luò)中配置ACL才能夠精準(zhǔn)的匹配需要過濾的流量，同時(shí)也能夠減少數(shù)據(jù)在網(wǎng)絡(luò)中不必要的傳輸、節(jié)約網(wǎng)絡(luò)資源，還能降低運(yùn)維人員的配置與維護(hù)工作量。如圖1-1所示，網(wǎng)絡(luò)中設(shè)備眾多，接口眾多，如何配置才能夠簡單快速的完成業(yè)務(wù)配置？下文將詳細(xì)介紹如何在網(wǎng)絡(luò)中選擇ACL的配置位置。

圖1-1 復(fù)雜的網(wǎng)絡(luò)拓?fù)?/span>

2 如何選擇ACL配置位置

本章節(jié)將從數(shù)據(jù)方向?qū)用妗⒕W(wǎng)絡(luò)層級層面和鏈路層面介紹ACL的配置位置。

l 數(shù)據(jù)方向?qū)用妫?/span>ACL在靠近源端還是目的端配置？

l 網(wǎng)絡(luò)層級層面：ACL在匯聚層還是接入層配置？

l 鏈路層面：ACL在入接口還是出接口配置？

2.1 ACL在靠近源端還是目的端配置？

根據(jù)需要使用的ACL類型決定ACL在靠近源端還是目的端配置：

l 標(biāo)準(zhǔn)ACL（匹配源地址），在靠近報(bào)文目的的設(shè)備上進(jìn)行配置。

如圖2-1所示，需要限制PC A對PC B的訪問，由于標(biāo)準(zhǔn)ACL只能匹配報(bào)文的源IP地址，如果將標(biāo)準(zhǔn)ACL配置在靠近源端的設(shè)備（Device A）上，那么PC A所有數(shù)據(jù)包在到達(dá)Device A后都將被丟棄，包括非去往PC B的報(bào)文。而我們的需求只是限制PC A訪問PC B，因此將標(biāo)準(zhǔn)ACL配置在靠近源端的設(shè)備會(huì)擴(kuò)大限制范圍，影響其他正常流量轉(zhuǎn)發(fā)。

圖2-1 標(biāo)準(zhǔn)ACL在網(wǎng)絡(luò)中的配置位置

l 擴(kuò)展ACL（匹配目的地址），建議在靠近報(bào)文源的設(shè)備上進(jìn)行配置。

擴(kuò)展ACL不僅能夠匹配源IP地址，還能匹配目的IP地址，因此可以更精準(zhǔn)的匹配需要過濾的報(bào)文。將擴(kuò)展ACL配置在靠近報(bào)文源的設(shè)備上可以讓過濾報(bào)文盡可能早地被丟棄，節(jié)約中間網(wǎng)絡(luò)的轉(zhuǎn)發(fā)資源。如圖2-2所示，若將擴(kuò)展ACL配置在Device B上，PC A發(fā)送給PC B的報(bào)文在Device B上才會(huì)被丟棄，造成Device A至Device B這段網(wǎng)絡(luò)的帶寬和設(shè)備性能浪費(fèi)。

圖2-2 擴(kuò)展ACL在網(wǎng)絡(luò)中的配置位置

擴(kuò)展ACL也不是必須配置在靠近報(bào)文源的設(shè)備上，實(shí)際配置時(shí)還需要考慮配置量和可維護(hù)性。需要在多臺接入端設(shè)備配置相同ACL規(guī)則的情況下，將ACL配置在網(wǎng)絡(luò)的匯聚點(diǎn)，以減少配置量。如圖2-3所示，要求禁止PC訪問服務(wù)器的TCP 22和TCP 23端口。若嚴(yán)格的將擴(kuò)展ACL部署在靠近報(bào)文源的設(shè)備上，就需要分別在Device A、Device B和Device C配置擴(kuò)展ACL，一共需要配置3次。如果有更多的接入設(shè)備，配置也將成倍的增加。一旦需求變化需要調(diào)整ACL配置，也需要在每個(gè)接入設(shè)備上進(jìn)行調(diào)整。如果在Device D上配置，則只需要配置一次，需求變化時(shí)，ACL規(guī)則也只需要調(diào)整一次。

圖2-3 在網(wǎng)絡(luò)匯聚點(diǎn)配置ACL

2.2 ACL在匯聚層還是接入層配置？

目前大部分的企業(yè)網(wǎng)都是三層網(wǎng)絡(luò)架構(gòu)：核心層、匯聚層和接入層。核心層一般作為高速轉(zhuǎn)發(fā)的樞紐，不會(huì)部署訪問控制策略，所以ACL一般在匯聚層交換機(jī)和接入層交換機(jī)上配置。

l 控制VLAN內(nèi)的數(shù)據(jù)流，需要在接入交換機(jī)上配置ACL。

如圖2-4所示，PC A與PC B進(jìn)行VLAN間通信，當(dāng)PC A發(fā)送給PC B的報(bào)文到達(dá)接入交換機(jī)后，接入交換機(jī)將根據(jù)MAC地址表進(jìn)行二層轉(zhuǎn)發(fā)，報(bào)文不會(huì)經(jīng)過匯聚交換機(jī)。因此，如果要限制PC A至PC B的訪問，就需要在接入交換機(jī)上配置ACL。

圖2-4 ACL限制VLAN內(nèi)報(bào)文轉(zhuǎn)發(fā)

l 控制VLAN間的數(shù)據(jù)流，需要在匯聚交換機(jī)（網(wǎng)關(guān)）配置ACL。

如圖2-5所示，要求VLAN10不能訪問VLAN30，VLAN20不能訪問VLAN40。如果將ACL配置在接入交換機(jī)上，需要在多臺交換機(jī)上配置，配置工作量較大，而且容易出錯(cuò)。跨VLAN的報(bào)文需要經(jīng)過匯聚交換機(jī)的SVI接口，因此控制跨網(wǎng)段轉(zhuǎn)發(fā)的數(shù)據(jù)，建議在匯聚網(wǎng)關(guān)（SVI接口）上配置ACL，這樣可以減少配置量，并方便維護(hù)。

圖2-5 ACL限制VLAN間報(bào)文轉(zhuǎn)發(fā)

2.3 ACL在入接口還是出接口配置？

通過以上兩個(gè)章節(jié)，我們已經(jīng)能夠明確ACL需要在哪個(gè)設(shè)備上配置了，但是設(shè)備上的接口眾多，確定配置設(shè)備后又需要在哪個(gè)接口上配置、在接口的哪個(gè)方向上配置呢？我們需要遵循的原則是：減少配置維護(hù)工作量，減少設(shè)備性能消耗。

在簡單的串聯(lián)鏈路上，建議依據(jù)數(shù)據(jù)流的流向在入接口的入方向配置ACL。因?yàn)樵O(shè)備在收到數(shù)據(jù)包時(shí)會(huì)先進(jìn)行ACL檢查，再進(jìn)行查表轉(zhuǎn)發(fā)。因此，在入接口的入方向配置ACL可以在查表轉(zhuǎn)發(fā)前丟棄數(shù)據(jù)包，節(jié)約設(shè)備轉(zhuǎn)發(fā)資源。如圖2-4所示，要禁止PC A訪問PC B，建議在接入交換機(jī)的左側(cè)接口的入方向配置ACL。

在多接入或者多出口的場景中，建議在數(shù)據(jù)流的匯聚接口配置ACL，這樣能夠節(jié)省配置維護(hù)工作量。如圖2-3所示，建議在Device D的右側(cè)接口的出方向配置ACL。

3 結(jié)論

最后讓我們回到開篇提到的拓?fù)洌▓D1-1），需求為限制VLAN10訪問VLAN30，由于是限制跨VLAN的訪問，需要在匯聚交換機(jī)Device D上配置擴(kuò)展ACL。匯聚設(shè)備的多個(gè)接口都會(huì)有VLAN10和VLAN30流量經(jīng)過，所以擴(kuò)展ACL需要在流量匯聚接口（SVI接口）上應(yīng)用。

通過上文的介紹，如何選擇ACL配置位置我們可以總結(jié)出大致的判斷流程：

(1) 使用標(biāo)準(zhǔn)ACL還是擴(kuò)展ACL？

○標(biāo)準(zhǔn)ACL：在靠近目的端的設(shè)備上配置。

○擴(kuò)展ACL：在靠近源端的設(shè)備上配置（在多臺接入端設(shè)備配置相同ACL規(guī)則的情況下，將ACL配置在網(wǎng)絡(luò)的匯聚點(diǎn)）。

(2) 限制VLAN間訪問還是VLAN內(nèi)訪問？

○限制VLAN內(nèi)訪問：在接入層配置。

○限制VLAN間訪問：在匯聚層配置。

(3) 是串行鏈路還是多接入、多出口鏈路？

○串行鏈路：在入接口的入方向配置。

○多接入、多出口鏈路：在數(shù)據(jù)流的匯聚接口配置ACL。

以上是一個(gè)大致的判斷流程，實(shí)際應(yīng)用中需要靈活調(diào)整。我們依據(jù)準(zhǔn)則是：精準(zhǔn)匹配需要過濾的流量，降低運(yùn)維人員的配置與維護(hù)工作量，節(jié)約網(wǎng)絡(luò)帶寬和設(shè)備資源。

相關(guān)鏈接
ACL基本概念及原理介紹