iSlot官方网站

iSlot官方网站 - 引领潮水

中文

iSlot官方网站 - 引领潮水

iSlot官方网站 - 引领潮水

登录

iSlot官方网站 - 引领潮水

产品

< 返回主菜单

产品

解决规划

< 返回主菜单

解决规划中心

行业

服务支持

合作同伴

关于iSlot官方网站

投资者关系

返回主菜单

选择区域/说话

iSlot官方网站 - 引领潮水

您订阅的产品有更新，请实时查阅

查看详情

iSlot官方网站 - 引领潮水

iSlot官方网站 - 引领潮水

ACL应该在网络中的哪里配置

选择ACL配置地位很沉要，有规划的在网络中配置ACL可能精准的匹配必要过滤的流量，同时也可能削减数据在网络中不用要的传输、节约网络资源，还能降低运维人员的配置与守护工作量。

颁布功夫：2022-12-05
点击量：
点赞：

分享至

iSlot官方网站 - 引领潮水

iSlot官方网站 - 引领潮水

iSlot官方网站 - 引领潮水

我想评论

1 选择ACL配置地位很沉要

ACL是Access Control List的简称，中文是接见节造列表。多所周知，ACL在网络中可能实现接见节造。进行接见节造的配置号令也比力单一，凭据限度要求配置ACL规定并在接口上利用即可。但是要在现实网络中有效利用ACL实现接见节造却并不容易，只有有规划地在网络中配置ACL才可能精准的匹配必要过滤的流量，同时也可能削减数据在网络中不用要的传输、节约网络资源，还能降低运维人员的配置与守护工作量。如图1-1所示，网络中设备多多，接口多多，若何配置才可能单一急剧的实现业务配置？下文将具体介绍若何在网络当选择ACL的配置地位。

图1-1 复杂的网络拓扑

iSlot官方网站 - 引领潮水

2 若何选择ACL配置地位

本章节将从数据方向层面、网络层级层面和链路层面介绍ACL的配置地位。

l 数据方向层面：ACL在靠近源端还是主张端配置？

l 网络层级层面：ACL在汇聚层还是接入层配置？

l 链路层面：ACL在入接口还是出接口配置？

2.1 ACL在靠近源端还是主张端配置？

凭据必要使用的ACL类型决定ACL在靠近源端还是主张端配置：

l 尺度ACL（匹配源地址），在靠近报文主张的设备上进行配置。

如图2-1所示，必要限度PC A对PC B的接见，由于尺度ACL只能匹配报文的源IP地址，若是将尺度ACL配置在靠近源端的设备（Device A）上，那么PC A所罕见据包在达到Device A后都将被抛弃，蕴含非去往PC B的报文。而iSlot官方网站需要只是限度PC A接见PC B，因而将尺度ACL配置在靠近源端的设备会扩大限度领域，影响其他正常流量转发。

图2-1 尺度ACL在网络中的配置地位

iSlot官方网站 - 引领潮水

l 扩大ACL（匹配主张地址），建议在靠近报文源的设备上进行配置。

扩大ACL不仅可能匹配源IP地址，还能匹配主张IP地址，因而能够更精准的匹配必要过滤的报文。将扩大ACL配置在靠近报文源的设备上能够让过滤报文尽可能早地被抛弃，节约中央网络的转发资源。如图2-2所示，若将扩大ACL配置在Device B上，PC A发送给PC B的报文在Device B上才会被抛弃，造成Device A至Device B这段网络的带宽和设备机能浪费。

图2-2 扩大ACL在网络中的配置地位

iSlot官方网站 - 引领潮水

扩大ACL也不是必须配置在靠近报文源的设备上，现实配置时还必要思考配置量和可守护性。必要在多台接入端设备配置一样ACL规定的情况下，将ACL配置在网络的汇聚点，以削减配置量。如图2-3所示，要求不容PC接见服务器的TCP 22和TCP 23端口。若严格的将扩大ACL部署在靠近报文源的设备上，就必要别离在Device A、Device B和Device C配置扩大ACL，一共必要配置3次。若是有更多的接入设备，配置也将成倍的增长。一旦需要变动必要调整ACL配置，也必要在每个接入设备上进行调整。若是在Device D上配置，则只必要配置一次，需要变动时，ACL规定也只必要调整一次。

图2-3 在网络汇聚点配置ACL

iSlot官方网站 - 引领潮水

2.2 ACL在汇聚层还是接入层配置？

目前大部门的企业网都是三层网络架构：主题层、汇聚层和接入层。主题层通常作为高速转发的枢纽，不会部署接见节造战术，所以ACL通常在汇聚层互换机和接入层互换机上配置。

l 节造VLAN内的数据流，必要在接入互换机上配置ACL。

如图2-4所示，PC A与PC B进行VLAN间通讯，当PC A发送给PC B的报文达到接入互换机后，接入互换机将凭据MAC地址表进行二层转发，报文不会经过汇聚互换机。因而，若是要限度PC A至PC B的接见，就必要在接入互换机上配置ACL。

图2-4 ACL限度VLAN内报文转发

iSlot官方网站 - 引领潮水

l 节造VLAN间的数据流，必要在汇聚互换机（网关）配置ACL。

如图2-5所示，要求VLAN10不能接见VLAN30，VLAN20不能接见VLAN40。若是将ACL配置在接入互换机上，必要在多台互换机上配置，配置工作量较大，并且容易犯错？鏥LAN的报文必要经过汇聚互换机的SVI接口，因而节造跨网段转发的数据，建议在汇聚网关（SVI接口）上配置ACL，这样能够削减配置量，并方便守护。

图2-5 ACL限度VLAN间报文转发

iSlot官方网站 - 引领潮水

2.3 ACL在入接口还是出接口配置？

通过以上两个章节，我们已经可能明确ACL必要在哪个设备上配置了，但是设备上的接口多多，确定配置设备后又必要在哪个接口上配置、在接口的哪个方向上配置呢？我们必要遵循的准则是：削减配置守护工作量，削减设备机能亏损。

在单一的串联链路上，建议凭据数据流的流向在入接口的入方向配置ACL。由于设备在收到数据包时会先进行ACL查抄，再进行查表转发。因而，在入接口的入方向配置ACL能够在查表转发前抛弃数据包，节约设备转发资源。如图2-4所示，要不容PC A接见PC B，建议在接入互换机的左侧接口的入方向配置ACL。

在多接入或者多出口的场景中，建议在数据流的汇聚接口配置ACL，这样可能节俭配置守护工作量。如图2-3所示，建议在Device D的右侧接口的出方向配置ACL。

3 结论

最后让我们回到开篇提到的拓扑（图1-1），需要为限度VLAN10接见VLAN30，由因而限度跨VLAN的接见，必要在汇聚互换机Device D上配置扩大ACL；憔凵璞傅亩喔鼋涌诔鞘杏蠽LAN10和VLAN30流量经过，所以扩大ACL必要在流量汇聚接口（SVI接口）上利用。

通过上文的介绍，若何选择ACL配置地位我们能够总结出大体的判断流程：

(1) 使用尺度ACL还是扩大ACL？

○尺度ACL：在靠近主张端的设备上配置。

○扩大ACL：在靠近源端的设备上配置（在多台接入端设备配置一样ACL规定的情况下，将ACL配置在网络的汇聚点）。

(2) 限度VLAN间接见还是VLAN内接见？

○限度VLAN内接见：在接入层配置。

○限度VLAN间接见：在汇聚层配置。

(3) 是串行链路还是多接入、多出口链路？

○串行链路：在入接口的入方向配置。

○多接入、多出口链路：在数据流的汇聚接口配置ACL。

以上是一个大体的判断流程，现实利用中必要矫捷调整。我们凭据准则是：精准匹配必要过滤的流量，降低运维人员的配置与守护工作量，节约网络带宽和设备资源。

有关链接
ACL根基概想及道理介绍

有关标签：

iSlot官方网站 - 引领潮水

iSlot官方网站 - 引领潮水

点赞

<< RMON是什么

ACL类型及区别 >>

客户评论

no-data

暂无评论

我要评论

您的姓名

您的手机号*

您的邮箱

公司名称

您的评论*

我已仔细阅读并赞成隐衷申明

验证码*

verificationcode?key=techMessage

提交评论

更多技术博文

任何必要，请联系iSlot官方网站

与售前照拂交谈

填写项目需要表单

售前征询
售后服务
定见反馈

iSlot官方网站 - 引领潮水

返回顶部

收起

文档AI副手

文档评价

该资料是否解决了您的问题？

您对当前页面的中意度若何？

不咋滴

极度好

您中意的原因是（多。？

您对文档是否还有其它的问题或建议？

为尽快解决问题，请您留下联系方式以便回复

邮箱

手机号

ev-bg

感激您的反。

iSlot官方网站 - 引领潮水

iSlot官方网站 - 引领潮水

iSlot官方网站 - 引领潮水

请选择服务项目

售前征询

售后服务

定见反馈

更多联系方式

【网站地图】