全发国际

620 点全场景落地 丨 半导体大厂熙泰科技的云桌面安全与提效实战分享
预约直播
AI时期,,,,,,医疗网络怎么建 丨 全发国际医疗极简以太彩光双超融合网络解决规划颁布
预约直播
全发国际(中国)有限公司官网
产品
< 返回主菜单
产品中心
产品
解决规划
< 返回主菜单
解决规划中心
行业
合作同伴
返回主菜单
选择区域/说话
全发国际(中国)有限公司官网

您订阅的产品有更新,,,,,,请实时查阅

查看详情
全发国际(中国)有限公司官网 全发国际(中国)有限公司官网

ACL应该在网络中的哪里配置

选择ACL配置地位很沉要,,,,,,有规划的在网络中配置ACL可能精准的匹配必要过滤的流量,,,,,,同时也可能削减数据在网络中不用要的传输、节约网络资源,,,,,,还能降低运维人员的配置与守护工作量。。。。。。

  • 全发国际(中国)有限公司官网

    颁布功夫:2022-12-05

  • 全发国际(中国)有限公司官网

    点击量:

  • 全发国际(中国)有限公司官网

    点赞:

分享至

全发国际(中国)有限公司官网
全发国际(中国)有限公司官网
全发国际(中国)有限公司官网

我想评论

1 选择ACL配置地位很沉要
ACL是Access Control List的简称,,,,,,中文是接见节造列表。。。。。。多所周知,,,,,,ACL在网络中可能实现接见节造。。。。。。进行接见节造的配置号令也比力单一,,,,,,凭据限度要求配置ACL规定并在接口上利用即可。。。。。。但是要在现实网络中有效利用ACL实现接见节造却并不容易,,,,,,只有有规划地在网络中配置ACL才可能精准的匹配必要过滤的流量,,,,,,同时也可能削减数据在网络中不用要的传输、节约网络资源,,,,,,还能降低运维人员的配置与守护工作量。。。。。。如图1-1所示,,,,,,网络中设备多多,,,,,,接口多多,,,,,,若何配置才可能单一急剧的实现业务配置??? ? ??下文将具体介绍若何在网络当选择ACL的配置地位。。。。。。
图1-1 复杂的网络拓扑
全发国际(中国)有限公司官网
                                                                                                     
2 若何选择ACL配置地位
本章节将从数据方向层面、网络层级层面和链路层面介绍ACL的配置地位。。。。。。

l  数据方向层面:ACL在靠近源端还是主张端配置??? ? ??

l  网络层级层面:ACL在汇聚层还是接入层配置??? ? ??

l  链路层面:ACL在入接口还是出接口配置??? ? ??

2.1   ACL在靠近源端还是主张端配置??? ? ??
凭据必要使用的ACL类型决定ACL在靠近源端还是主张端配置:

l  尺度ACL(匹配源地址),,,,,,在靠近报文主张的设备上进行配置。。。。。。

如图2-1所示,,,,,,必要限度PC A对PC B的接见,,,,,,由于尺度ACL只能匹配报文的源IP地址,,,,,,若是将尺度ACL配置在靠近源端的设备(Device A)上,,,,,,那么PC A所罕见据包在达到Device A后都将被抛弃,,,,,,蕴含非去往PC B的报文。。。。。。而全发国际需要只是限度PC A接见PC B,,,,,,因而将尺度ACL配置在靠近源端的设备会扩大限度领域,,,,,,影响其他正常流量转发。。。。。。
图2-1 尺度ACL在网络中的配置地位
全发国际(中国)有限公司官网
                                                                                    

l  扩大ACL(匹配主张地址),,,,,,建议在靠近报文源的设备上进行配置。。。。。。

扩大ACL不仅可能匹配源IP地址,,,,,,还能匹配主张IP地址,,,,,,因而能够更精准的匹配必要过滤的报文。。。。。。将扩大ACL配置在靠近报文源的设备上能够让过滤报文尽可能早地被抛弃,,,,,,节约中央网络的转发资源。。。。。。如图2-2所示,,,,,,若将扩大ACL配置在Device B上,,,,,,PC A发送给PC B的报文在Device B上才会被抛弃,,,,,,造成Device A至Device B这段网络的带宽和设备机能浪费。。。。。。
图2-2 扩大ACL在网络中的配置地位
全发国际(中国)有限公司官网
                                                                             
扩大ACL也不是必须配置在靠近报文源的设备上,,,,,,现实配置时还必要思考配置量和可守护性。。。。。。必要在多台接入端设备配置一样ACL规定的情况下,,,,,,将ACL配置在网络的汇聚点,,,,,,以削减配置量。。。。。。如图2-3所示,,,,,,要求不容PC接见服务器的TCP 22和TCP 23端口。。。。。。若严格的将扩大ACL部署在靠近报文源的设备上,,,,,,就必要别离在Device A、Device B和Device C配置扩大ACL,,,,,,一共必要配置3次。。。。。。若是有更多的接入设备,,,,,,配置也将成倍的增长。。。。。。一旦需要变动必要调整ACL配置,,,,,,也必要在每个接入设备上进行调整。。。。。。若是在Device D上配置,,,,,,则只必要配置一次,,,,,,需要变动时,,,,,,ACL规定也只必要调整一次。。。。。。
图2-3 在网络汇聚点配置ACL
全发国际(中国)有限公司官网
                                                                            
2.2   ACL在汇聚层还是接入层配置??? ? ??
目前大部门的企业网都是三层网络架构:主题层、汇聚层和接入层。。。。。。主题层通常作为高速转发的枢纽,,,,,,不会部署接见节造战术,,,,,,所以ACL通常在汇聚层互换机和接入层互换机上配置。。。。。。

l  节造VLAN内的数据流,,,,,,必要在接入互换机上配置ACL。。。。。。

如图2-4所示,,,,,,PC A与PC B进行VLAN间通讯,,,,,,当PC A发送给PC B的报文达到接入互换机后,,,,,,接入互换机将凭据MAC地址表进行二层转发,,,,,,报文不会经过汇聚互换机。。。。。。因而,,,,,,若是要限度PC A至PC B的接见,,,,,,就必要在接入互换机上配置ACL。。。。。。
图2-4 ACL限度VLAN内报文转发
全发国际(中国)有限公司官网
                                                                         

l  节造VLAN间的数据流,,,,,,必要在汇聚互换机(网关)配置ACL。。。。。。

如图2-5所示,,,,,,要求VLAN10不能接见VLAN30,,,,,,VLAN20不能接见VLAN40。。。。。。若是将ACL配置在接入互换机上,,,,,,必要在多台互换机上配置,,,,,,配置工作量较大,,,,,,并且容易犯错。。。。。??? ? ??鏥LAN的报文必要经过汇聚互换机的SVI接口,,,,,,因而节造跨网段转发的数据,,,,,,建议在汇聚网关(SVI接口)上配置ACL,,,,,,这样能够削减配置量,,,,,,并方便守护。。。。。。
图2-5 ACL限度VLAN间报文转发
全发国际(中国)有限公司官网
                                                                                         
2.3   ACL在入接口还是出接口配置??? ? ??
通过以上两个章节,,,,,,我们已经可能明确ACL必要在哪个设备上配置了,,,,,,但是设备上的接口多多,,,,,,确定配置设备后又必要在哪个接口上配置、在接口的哪个方向上配置呢??? ? ??我们必要遵循的准则是:削减配置守护工作量,,,,,,削减设备机能亏损。。。。。。
在单一的串联链路上,,,,,,建议凭据数据流的流向在入接口的入方向配置ACL。。。。。。由于设备在收到数据包时会先进行ACL查抄,,,,,,再进行查表转发。。。。。。因而,,,,,,在入接口的入方向配置ACL能够在查表转发前抛弃数据包,,,,,,节约设备转发资源。。。。。。如图2-4所示,,,,,,要不容PC A接见PC B,,,,,,建议在接入互换机的左侧接口的入方向配置ACL。。。。。。
在多接入或者多出口的场景中,,,,,,建议在数据流的汇聚接口配置ACL,,,,,,这样可能节俭配置守护工作量。。。。。。如图2-3所示,,,,,,建议在Device D的右侧接口的出方向配置ACL。。。。。。
                                                                             
3 结论
最后让我们回到开篇提到的拓扑(图1-1),,,,,,需要为限度VLAN10接见VLAN30,,,,,,由因而限度跨VLAN的接见,,,,,,必要在汇聚互换机Device D上配置扩大ACL。。。。。。;; ;;憔凵璞傅亩喔鼋涌诔鞘杏蠽LAN10和VLAN30流量经过,,,,,,所以扩大ACL必要在流量汇聚接口(SVI接口)上利用。。。。。。
通过上文的介绍,,,,,,若何选择ACL配置地位我们能够总结出大体的判断流程:
(1) 使用尺度ACL还是扩大ACL??? ? ??
○尺度ACL:在靠近主张端的设备上配置。。。。。。
○扩大ACL:在靠近源端的设备上配置(在多台接入端设备配置一样ACL规定的情况下,,,,,,将ACL配置在网络的汇聚点)。。。。。。
(2) 限度VLAN间接见还是VLAN内接见??? ? ??
○限度VLAN内接见:在接入层配置。。。。。。
○限度VLAN间接见:在汇聚层配置。。。。。。
(3) 是串行链路还是多接入、多出口链路??? ? ??
○串行链路:在入接口的入方向配置。。。。。。
○多接入、多出口链路:在数据流的汇聚接口配置ACL。。。。。。
以上是一个大体的判断流程,,,,,,现实利用中必要矫捷调整。。。。。。我们凭据准则是:精准匹配必要过滤的流量,,,,,,降低运维人员的配置与守护工作量,,,,,,节约网络带宽和设备资源。。。。。。
                                                                                                        
有关链接
ACL根基概想及道理介绍
全发国际(中国)有限公司官网 全发国际(中国)有限公司官网

点赞

更多技术博文

任何必要,,,,,,请联系全发国际

全发国际(中国)有限公司官网

返回顶部

收起
全发国际(中国)有限公司官网 文档AI副手
全发国际(中国)有限公司官网 文档评价
该资料是否解决了您的问题??? ? ??
您对当前页面的中意度若何??? ? ??
不咋滴
极度好
您中意的原因是(多。。。。。。??? ? ??
您对文档是否还有其它的问题或建议??? ? ??
为尽快解决问题,,,,,,请您留下联系方式以便回复
邮箱
手机号
感激您的反。。。。。。
全发国际(中国)有限公司官网
全发国际(中国)有限公司官网
全发国际(中国)有限公司官网
请选择服务项目
关关征询页
售前征询 售前征询
售前征询
售后服务 售后服务
售后服务
定见反馈 定见反馈
定见反馈
更多联系方式
【网站地图】【sitemap】