在这篇文章中,笔者将脱开技术层面的内容,谈谈自己在访问控制列表管理中的经验教训,或许,这可以从另一个角度提高大家对访问控制列表的认识。
思考一:如何合理放置访问控制列表
访问控制列表即可以放在进口,也可以放在出口,都是正确的。但是,正确跟合理还是有一步之差。位置正确,不一定说,如此放置是最合理的,效率是最高的。
若我们把访问控制列表放在进口的话,在路由器在进口就会对数据流量进行判断,看其是否满足条件语句,若满足的话,则放行,转发给下一个端口;不满足的话,就直接丢进垃圾桶。若把访问控制列表放在出口的话,则当满足放行条件时,则路由器会把数据流转发出去;当不满足条件时,则会把已经在这个端口存储缓存中的数据丢进垃圾桶。很明显,这个访问控制列表放在进口或者出口,对路由器的性能会有所影响。
假设现在某个集团企业的网络部署架构如下:
用户主机---路由器A—路由器B-----互联网。
在这种网络架构下,企业现在希望实现如下控制。
1、 用户主机甲不能够访问互联网。
2、 其他用户都可以不受限制的访问互联网。
此时,很明显可以通过多种方式来实现这种需求。不过,访问控制列表是实现这种控制的一个比较灵活的策略。此时,拒绝用户主机甲访问互联网的访问控制列表可以放在路由器A,也可以放在路由器B上;可以放在路由器A的进口或者出口端口上,也可以放在路由器B的进口或者出口端口上。放在这四个位置的任何一个位置上,都可以实现企业的需求。只是对于网络的影响有所不同。
假设我们现在把这个访问控制列表放在路由器B的出口上,则当用户主机甲访问互联网时,这个数据流会通过路由器A,到达路由器B的出口站点上,然后才被丢弃。如此的话,这个本来早早应该被丢弃的数据流,却一直畅通无阻的到了路由器B的出口商,才被抛弃。
这就好像群众上访,本来在农村基层就可以解决的问题,但是,农村基层不解决,当地政府也不解决,一直闹到中央,这不仅会浪费各地政府部门的精力,而且,中央政府若每天都处理这些基层来的上访者,那他们就没有精力去关心一些重大问题了。所以,一些纠纷,在基层可以解决,还是在基层解决好。
访问控制列表也是如此。若按上面这个位置放置,用户主机甲若想访问互联网,则这些数据流量一直畅通无阻的到达路由器B出口站是,是一种浪费网络带宽的行为。所以,应该把拒绝主机用户甲的访问控制列表放置在路由器A的进口上,从源头就把不需要的访问控制列表抛弃。
很明显,若只有一台用户主机不能访问互联网的话,则这个访问控制列表具体放在上面位置,其所产生的影响对于企业整个网络来说,是微乎其微的。但是,在实际工作中,我们往往不是拒绝一台主机的通信流量,而是拒绝一批,如一个子网的通信流量。如此的话,其产生的数据流量就比较大了,会对企业的内部网络产生比较大的影响。
所以,在访问控制列表管理的时候,要慎重考虑访问控制列表的放置地方,否则的话,会对整个网络产生比较大的影响。那这访问控制列表该放在什么地方合适呢?笔者给大家提个建议,最好把访问控制列表放置在离被拒绝的信息来源最近的地方,即上面讲的路由器A的进口站点上。如此的话,不允许通过的数据流量就会被尽早的丢进垃圾桶,而不会被畅通无阻的传递下去。当然,前期是,路由器A必须支持访问控制列表,否则的话,也指能够放在路由器B上了。
