全发国际

620 点全场景落地 丨 半导体大厂熙泰科技的云桌面安全与提效实战分享
预约直播
铸数基 · 智运维 丨 全发国际乐享3.0智能运维解决规划颁布会
预约直播
全发国际(中国)有限公司官网
产品
< 返回主菜单
产品中心
产品
解决规划
< 返回主菜单
解决规划中心
行业
合作同伴
返回主菜单
选择区域/说话
全发国际(中国)有限公司官网

您订阅的产品有更新,,, ,, ,请实时查阅

查看详情
全发国际(中国)有限公司官网 全发国际(中国)有限公司官网

ACL应该在网络中的哪里配置

选择ACL配置地位很沉要,,, ,, ,有规划的在网络中配置ACL可能精准的匹配必要过滤的流量,,, ,, ,同时也可能削减数据在网络中不用要的传输、节约网络资源,,, ,, ,还能降低运维人员的配置与守护工作量。。 。。 。。。

  • 全发国际(中国)有限公司官网

    颁布功夫:2022-12-05

  • 全发国际(中国)有限公司官网

    点击量:

  • 全发国际(中国)有限公司官网

    点赞:

分享至

全发国际(中国)有限公司官网
全发国际(中国)有限公司官网
全发国际(中国)有限公司官网

我想评论

1 选择ACL配置地位很沉要
ACL是Access Control List的简称,,, ,, ,中文是接见节造列表。。 。。 。。。多所周知,,, ,, ,ACL在网络中可能实现接见节造。。 。。 。。。进行接见节造的配置号令也比力单一,,, ,, ,凭据限度要求配置ACL规定并在接口上利用即可。。 。。 。。。但是要在现实网络中有效利用ACL实现接见节造却并不容易,,, ,, ,只有有规划地在网络中配置ACL才可能精准的匹配必要过滤的流量,,, ,, ,同时也可能削减数据在网络中不用要的传输、节约网络资源,,, ,, ,还能降低运维人员的配置与守护工作量。。 。。 。。。如图1-1所示,,, ,, ,网络中设备多多,,, ,, ,接口多多,,, ,, ,若何配置才可能单一急剧的实现业务配置? ??? ??下文将具体介绍若何在网络当选择ACL的配置地位。。 。。 。。。
图1-1 复杂的网络拓扑
全发国际(中国)有限公司官网
                                                                                                     
2 若何选择ACL配置地位
本章节将从数据方向层面、网络层级层面和链路层面介绍ACL的配置地位。。 。。 。。。

l  数据方向层面:ACL在靠近源端还是主张端配置? ??? ??

l  网络层级层面:ACL在汇聚层还是接入层配置? ??? ??

l  链路层面:ACL在入接口还是出接口配置? ??? ??

2.1   ACL在靠近源端还是主张端配置? ??? ??
凭据必要使用的ACL类型决定ACL在靠近源端还是主张端配置:

l  尺度ACL(匹配源地址),,, ,, ,在靠近报文主张的设备上进行配置。。 。。 。。。

如图2-1所示,,, ,, ,必要限度PC A对PC B的接见,,, ,, ,由于尺度ACL只能匹配报文的源IP地址,,, ,, ,若是将尺度ACL配置在靠近源端的设备(Device A)上,,, ,, ,那么PC A所罕见据包在达到Device A后都将被抛弃,,, ,, ,蕴含非去往PC B的报文。。 。。 。。。而全发国际需要只是限度PC A接见PC B,,, ,, ,因而将尺度ACL配置在靠近源端的设备会扩大限度领域,,, ,, ,影响其他正常流量转发。。 。。 。。。
图2-1 尺度ACL在网络中的配置地位
全发国际(中国)有限公司官网
                                                                                    

l  扩大ACL(匹配主张地址),,, ,, ,建议在靠近报文源的设备上进行配置。。 。。 。。。

扩大ACL不仅可能匹配源IP地址,,, ,, ,还能匹配主张IP地址,,, ,, ,因而能够更精准的匹配必要过滤的报文。。 。。 。。。将扩大ACL配置在靠近报文源的设备上能够让过滤报文尽可能早地被抛弃,,, ,, ,节约中央网络的转发资源。。 。。 。。。如图2-2所示,,, ,, ,若将扩大ACL配置在Device B上,,, ,, ,PC A发送给PC B的报文在Device B上才会被抛弃,,, ,, ,造成Device A至Device B这段网络的带宽和设备机能浪费。。 。。 。。。
图2-2 扩大ACL在网络中的配置地位
全发国际(中国)有限公司官网
                                                                             
扩大ACL也不是必须配置在靠近报文源的设备上,,, ,, ,现实配置时还必要思考配置量和可守护性。。 。。 。。。必要在多台接入端设备配置一样ACL规定的情况下,,, ,, ,将ACL配置在网络的汇聚点,,, ,, ,以削减配置量。。 。。 。。。如图2-3所示,,, ,, ,要求不容PC接见服务器的TCP 22和TCP 23端口。。 。。 。。。若严格的将扩大ACL部署在靠近报文源的设备上,,, ,, ,就必要别离在Device A、Device B和Device C配置扩大ACL,,, ,, ,一共必要配置3次。。 。。 。。。若是有更多的接入设备,,, ,, ,配置也将成倍的增长。。 。。 。。。一旦需要变动必要调整ACL配置,,, ,, ,也必要在每个接入设备上进行调整。。 。。 。。。若是在Device D上配置,,, ,, ,则只必要配置一次,,, ,, ,需要变动时,,, ,, ,ACL规定也只必要调整一次。。 。。 。。。
图2-3 在网络汇聚点配置ACL
全发国际(中国)有限公司官网
                                                                            
2.2   ACL在汇聚层还是接入层配置? ??? ??
目前大部门的企业网都是三层网络架构:主题层、汇聚层和接入层。。 。。 。。。主题层通常作为高速转发的枢纽,,, ,, ,不会部署接见节造战术,,, ,, ,所以ACL通常在汇聚层互换机和接入层互换机上配置。。 。。 。。。

l  节造VLAN内的数据流,,, ,, ,必要在接入互换机上配置ACL。。 。。 。。。

如图2-4所示,,, ,, ,PC A与PC B进行VLAN间通讯,,, ,, ,当PC A发送给PC B的报文达到接入互换机后,,, ,, ,接入互换机将凭据MAC地址表进行二层转发,,, ,, ,报文不会经过汇聚互换机。。 。。 。。。因而,,, ,, ,若是要限度PC A至PC B的接见,,, ,, ,就必要在接入互换机上配置ACL。。 。。 。。。
图2-4 ACL限度VLAN内报文转发
全发国际(中国)有限公司官网
                                                                         

l  节造VLAN间的数据流,,, ,, ,必要在汇聚互换机(网关)配置ACL。。 。。 。。。

如图2-5所示,,, ,, ,要求VLAN10不能接见VLAN30,,, ,, ,VLAN20不能接见VLAN40。。 。。 。。。若是将ACL配置在接入互换机上,,, ,, ,必要在多台互换机上配置,,, ,, ,配置工作量较大,,, ,, ,并且容易犯错。。 。。 。。。 ??? ??鏥LAN的报文必要经过汇聚互换机的SVI接口,,, ,, ,因而节造跨网段转发的数据,,, ,, ,建议在汇聚网关(SVI接口)上配置ACL,,, ,, ,这样能够削减配置量,,, ,, ,并方便守护。。 。。 。。。
图2-5 ACL限度VLAN间报文转发
全发国际(中国)有限公司官网
                                                                                         
2.3   ACL在入接口还是出接口配置? ??? ??
通过以上两个章节,,, ,, ,我们已经可能明确ACL必要在哪个设备上配置了,,, ,, ,但是设备上的接口多多,,, ,, ,确定配置设备后又必要在哪个接口上配置、在接口的哪个方向上配置呢? ??? ??我们必要遵循的准则是:削减配置守护工作量,,, ,, ,削减设备机能亏损。。 。。 。。。
在单一的串联链路上,,, ,, ,建议凭据数据流的流向在入接口的入方向配置ACL。。 。。 。。。由于设备在收到数据包时会先进行ACL查抄,,, ,, ,再进行查表转发。。 。。 。。。因而,,, ,, ,在入接口的入方向配置ACL能够在查表转发前抛弃数据包,,, ,, ,节约设备转发资源。。 。。 。。。如图2-4所示,,, ,, ,要不容PC A接见PC B,,, ,, ,建议在接入互换机的左侧接口的入方向配置ACL。。 。。 。。。
在多接入或者多出口的场景中,,, ,, ,建议在数据流的汇聚接口配置ACL,,, ,, ,这样可能节俭配置守护工作量。。 。。 。。。如图2-3所示,,, ,, ,建议在Device D的右侧接口的出方向配置ACL。。 。。 。。。
                                                                             
3 结论
最后让我们回到开篇提到的拓扑(图1-1),,, ,, ,需要为限度VLAN10接见VLAN30,,, ,, ,由因而限度跨VLAN的接见,,, ,, ,必要在汇聚互换机Device D上配置扩大ACL。。 。。 。。 ;;;; ;;;憔凵璞傅亩喔鼋涌诔鞘杏蠽LAN10和VLAN30流量经过,,, ,, ,所以扩大ACL必要在流量汇聚接口(SVI接口)上利用。。 。。 。。。
通过上文的介绍,,, ,, ,若何选择ACL配置地位我们能够总结出大体的判断流程:
(1) 使用尺度ACL还是扩大ACL? ??? ??
○尺度ACL:在靠近主张端的设备上配置。。 。。 。。。
○扩大ACL:在靠近源端的设备上配置(在多台接入端设备配置一样ACL规定的情况下,,, ,, ,将ACL配置在网络的汇聚点)。。 。。 。。。
(2) 限度VLAN间接见还是VLAN内接见? ??? ??
○限度VLAN内接见:在接入层配置。。 。。 。。。
○限度VLAN间接见:在汇聚层配置。。 。。 。。。
(3) 是串行链路还是多接入、多出口链路? ??? ??
○串行链路:在入接口的入方向配置。。 。。 。。。
○多接入、多出口链路:在数据流的汇聚接口配置ACL。。 。。 。。。
以上是一个大体的判断流程,,, ,, ,现实利用中必要矫捷调整。。 。。 。。。我们凭据准则是:精准匹配必要过滤的流量,,, ,, ,降低运维人员的配置与守护工作量,,, ,, ,节约网络带宽和设备资源。。 。。 。。。
                                                                                                        
有关链接
ACL根基概想及道理介绍
全发国际(中国)有限公司官网 全发国际(中国)有限公司官网

点赞

更多技术博文

任何必要,,, ,, ,请联系全发国际

全发国际(中国)有限公司官网

返回顶部

收起
全发国际(中国)有限公司官网 文档AI副手
全发国际(中国)有限公司官网 文档评价
该资料是否解决了您的问题? ??? ??
您对当前页面的中意度若何? ??? ??
不咋滴
极度好
您中意的原因是(多。。 。。 。。。 ??? ??
您对文档是否还有其它的问题或建议? ??? ??
为尽快解决问题,,, ,, ,请您留下联系方式以便回复
邮箱
手机号
感激您的反。。 。。 。。。
全发国际(中国)有限公司官网
全发国际(中国)有限公司官网
全发国际(中国)有限公司官网
请选择服务项目
关关征询页
售前征询 售前征询
售前征询
售后服务 售后服务
售后服务
定见反馈 定见反馈
定见反馈
更多联系方式
【网站地图】【sitemap】