如何提高訪問控制列表的可讀性

根據企業(yè)的實際情況，網絡管理員在管理訪問控制列表的時候，要慎重考慮放置地方，根據官方的建議，訪問控制列表應該用在防火墻路由器上。

思考一：如何合理放置訪問控制列表

訪問控制列表即可以放在進口，也可以放在出口，都是正確的。但是，正確跟合理還是有一步之差。位置正確，不一定說，如此放置是最合理的，效率是最高的。

若我們把訪問控制列表放在進口的話，在路由器在進口就會對數據流量進行判斷，看其是否滿足條件語句，若滿足的話，則放行，轉發(fā)給下一個端口;不滿足的話，就直接丟進垃圾桶。若把訪問控制列表放在出口的話，則當滿足放行條件時，則路由器會把數據流轉發(fā)出去;當不滿足條件時，則會把已經在這個端口存儲緩存中的數據丟進垃圾桶。很明顯，這個訪問控制列表放在進口或者出口，對路由器的性能會有所影響。

假設現在某個集團企業(yè)的網絡部署架構如下：

用戶主機---路由器A—路由器B-----互聯網。

在這種網絡架構下，企業(yè)現在希望實現如下控制。

1、用戶主機甲不能夠訪問互聯網。

2、其他用戶都可以不受限制的訪問互聯網。

此時，很明顯可以通過多種方式來實現這種需求。不過，訪問控制列表是實現這種控制的一個比較靈活的策略。此時，拒絕用戶主機甲訪問互聯網的訪問控制列表可以放在路由器A，也可以放在路由器B上;可以放在路由器A的進口或者出口端口上，也可以放在路由器B的進口或者出口端口上。放在這四個位置的任何一個位置上，都可以實現企業(yè)的需求。只是對于網絡的影響有所不同。

假設我們現在把這個訪問控制列表放在路由器B的出口上，則當用戶主機甲訪問互聯網時，這個數據流會通過路由器A，到達路由器B的出口站點上，然后才被丟棄。如此的話，這個本來早早應該被丟棄的數據流，卻一直暢通無阻的到了路由器B的出口商，才被拋棄。

這就好像群眾上訪，本來在農村基層就可以解決的問題，但是，農村基層不解決，當地政府也不解決，一直鬧到中央，這不僅會浪費各地政府部門的精力，而且，中央政府若每天都處理這些基層來的上訪者，那他們就沒有精力去關心一些重大問題了。所以，一些糾紛，在基層可以解決，還是在基層解決好。

訪問控制列表也是如此。若按上面這個位置放置，用戶主機甲若想訪問互聯網，則這些數據流量一直暢通無阻的到達路由器B出口站是，是一種浪費網絡帶寬的行為。所以，應該把拒絕主機用戶甲的訪問控制列表放置在路由器A的進口上，從源頭就把不需要的訪問控制列表拋棄。

很明顯，若只有一臺用戶主機不能訪問互聯網的話，則這個訪問控制列表具體放在上面位置，其所產生的影響對于企業(yè)整個網絡來說，是微乎其微的。但是，在實際工作中，我們往往不是拒絕一臺主機的通信流量，而是拒絕一批，如一個子網的通信流量。如此的話，其產生的數據流量就比較大了，會對企業(yè)的內部網絡產生比較大的影響。

所以，在訪問控制列表管理的時候，要慎重考慮訪問控制列表的放置地方，否則的話，會對整個網絡產生比較大的影響。那這訪問控制列表該放在什么地方合適呢?給大家提個建議，最好把訪問控制列表放置在離被拒絕的信息來源最近的地方，即上面講的路由器A的進口站點上。如此的話，不允許通過的數據流量就會被盡早的丟進垃圾桶，而不會被暢通無阻的傳遞下去。當然，前期是，路由器A必須支持訪問控制列表，否則的話，也指能夠放在路由器B上了。

思考二：訪問控制列表如何跟防火墻配合使用

現在大部分企業(yè)都在企業(yè)內外網的接口處，部署了防火墻。那么，訪問控制列表該如何跟防火墻配合使用呢?

根據官方的建議，訪問控制列表應該用在防火墻路由器上，防火墻路由器經常放置在內部網絡與外部網絡之間，即企業(yè)內網與互聯網的分割點，目的是為其提供一個孤立的點，以便不受其他互聯網網絡結構的影響。

其實，有些防火墻服務器的話，本身就帶有訪問控制列表的功能。如防火墻的低安全端口要訪問防火墻中的高安全端口的話，就需要訪問控制列表的支持。所以，把訪問控制列表結合防火墻服務器使用，是一個比較好的選擇。

不過，說實話，若把他們兩個部署在一起的話，會增加訪問控制列表的復雜程度，會增加訪問控制列表與防火墻服務器的維護難度。雖然覺得這么部署比較合理，但是，在實際工作中，出于管理與維護的方便，確不是這么部署的。

如企業(yè)現在的網絡部署架構如下：

主機-路由器-VPN服務器-防火墻。

其中，這個路由器與防火墻都支持訪問控制列表的功能。按照官方的建議，應該把訪問控制列表部署在防火墻服務器上。但是，認為這么管理的話，會增加防火墻與訪問控制列表的復雜程度，不利于后續(xù)的維護與故障的維修。所以，在部署訪問控制列表的時候，沒有遵循官方的建議，而是把訪問控制列表部署在路由器上，而不是防火墻。如此的話，把防火墻與路由器上的訪問控制列表獨立管理，雖然可能會增加一定的工作量，但是，至少把復雜的工作簡單化，反而有利于企業(yè)網絡的管理，出現故障的時候，也比較容易檢修。

不過這是個人的工作經驗，其到底是否合理，還需要靠以后網絡維護工作的檢驗。

不過如果要在防火墻服務器這種邊界設備上，部署訪問控制列表的話，可以給大家提一些意見。

一是部署在邊界設備上的訪問控制列表，無論是防火墻服務器還是路由器上，可以為配置在設備接口上的每一個網絡協議創(chuàng)建訪問控制列表。通過配置訪問控制列表。來過濾通過接口的入站通信流量、出站通信流量。

二是如果在邊界路由器與內部的路由器，即上面的路由器A與路由器B上，都配置了訪問控制列表，該如何處理呢?一般來說，若在路由器A上部署了拒絕用戶主機甲訪問互聯網的訪問控制列表，然后再邊界路由器B上又配置了同樣內容的訪問控制列表，就有點脫褲子放屁，多此一舉的感覺。但是，在實際管理中，有些網路管理元還是會這么處理。這主要是出于統(tǒng)一管理的需要。在路由器A上部署訪問控制列表，可以拒絕不應該的數據流量在網絡上傳輸;而在路由器B上部署訪問控制列表的話，則是出于統(tǒng)一管理的需要。或者說，起到雙重保險的作用，即使路由器A上的訪問控制列表因為某種原因失效，還由路由器B在那邊把關。不過，這么配置的話，邊界路由器B的負擔會比較中。因為他要對來自于企業(yè)網絡的所有數據流量進行判斷。所以，具體如何部署，還是要看企業(yè)對于安全性的要求。到底是犧牲一定的安全來提高網絡性能，還是降低網絡性能來提高網絡的安全冗余，如何在網絡的安全性與網絡性能之間取得均衡的話，網絡管理員還是需要根據企業(yè)的實際情況，在這上面花一番心思。

三是要注意訪問控制列表中最后的隱含語句。假設現在有一個訪問控制列表，其前面有八條判斷語句。而其實呢，有九條，最后一條是隱含的，當前面八條語句都沒有滿足的情況下，則這最后一條語句，就會把這個數據流量拒絕掉。不過在訪問控制列表管理中，我們往往不希望出現這種情況。我們希望，當前面的這些條件都不滿足的情況下，則該數據量背放行。如在一個訪問控制列表中，我們寫了兩條判斷語句，一是拒絕用戶A訪問互聯網;二是拒絕用戶B訪問外部的郵件服務器。此時，若有用戶C訪問互聯網的話，由于前面兩條語句都不滿足，則默認情況下，訪問控制列表會應用隱含的判斷語句，把用戶C的數據流量也拒絕掉，這是我們不希望看到的。為此，我們就需要改變這條隱含的判斷語句，把它改為上面條件都不滿足的情況下，數據流量為允許通過。或者，我們可以顯示的給出這條隱含語句，這有利于提高訪問控制列表的可讀性，對我們后續(xù)排除故障也是比較有利的。

【編輯推薦】

◆網管軟件專區(qū)

◆網絡管理者最易犯的十大低級錯誤

◆網絡管理基礎知識：網路管理模式

◆學習高效網絡管理技巧三招五式

◆IT運維管理專區(qū)

本文來自互聯網，僅供參考

發(fā)布：2007-04-15 10:43 編輯：泛普軟件 · xiaona [打印此頁] [關閉]

相關欄目：