根據(jù)企業(yè)的實際情況,網(wǎng)絡(luò)管理員在管理訪問控制列表的時候,要慎重考慮放置地方,根據(jù)官方的建議,訪問控制列表應(yīng)該用在防火墻路由器上。
思考一:如何合理放置訪問控制列表
訪問控制列表即可以放在進口,也可以放在出口,都是正確的。但是,正確跟合理還是有一步之差。位置正確,不一定說,如此放置是最合理的,效率是最高的。
若我們把訪問控制列表放在進口的話,在路由器在進口就會對數(shù)據(jù)流量進行判斷,看其是否滿足條件語句,若滿足的話,則放行,轉(zhuǎn)發(fā)給下一個端口;不滿足的話,就直接丟進垃圾桶。若把訪問控制列表放在出口的話,則當(dāng)滿足放行條件時,則路由器會把數(shù)據(jù)流轉(zhuǎn)發(fā)出去;當(dāng)不滿足條件時,則會把已經(jīng)在這個端口存儲緩存中的數(shù)據(jù)丟進垃圾桶。很明顯,這個訪問控制列表放在進口或者出口,對路由器的性能會有所影響。
假設(shè)現(xiàn)在某個集團企業(yè)的網(wǎng)絡(luò)部署架構(gòu)如下:
用戶主機---路由器A—路由器B-----互聯(lián)網(wǎng)。
在這種網(wǎng)絡(luò)架構(gòu)下,企業(yè)現(xiàn)在希望實現(xiàn)如下控制。
1、 用戶主機甲不能夠訪問互聯(lián)網(wǎng)。
2、 其他用戶都可以不受限制的訪問互聯(lián)網(wǎng)。
此時,很明顯可以通過多種方式來實現(xiàn)這種需求。不過,訪問控制列表是實現(xiàn)這種控制的一個比較靈活的策略。此時,拒絕用戶主機甲訪問互聯(lián)網(wǎng)的訪問控制列表可以放在路由器A,也可以放在路由器B上;可以放在路由器A的進口或者出口端口上,也可以放在路由器B的進口或者出口端口上。放在這四個位置的任何一個位置上,都可以實現(xiàn)企業(yè)的需求。只是對于網(wǎng)絡(luò)的影響有所不同。
假設(shè)我們現(xiàn)在把這個訪問控制列表放在路由器B的出口上,則當(dāng)用戶主機甲訪問互聯(lián)網(wǎng)時,這個數(shù)據(jù)流會通過路由器A,到達路由器B的出口站點上,然后才被丟棄。如此的話,這個本來早早應(yīng)該被丟棄的數(shù)據(jù)流,卻一直暢通無阻的到了路由器B的出口商,才被拋棄。
這就好像群眾上訪,本來在農(nóng)村基層就可以解決的問題,但是,農(nóng)村基層不解決,當(dāng)?shù)卣膊唤鉀Q,一直鬧到中央,這不僅會浪費各地政府部門的精力,而且,中央政府若每天都處理這些基層來的上訪者,那他們就沒有精力去關(guān)心一些重大問題了。所以,一些糾紛,在基層可以解決,還是在基層解決好。
訪問控制列表也是如此。若按上面這個位置放置,用戶主機甲若想訪問互聯(lián)網(wǎng),則這些數(shù)據(jù)流量一直暢通無阻的到達路由器B出口站是,是一種浪費網(wǎng)絡(luò)帶寬的行為。所以,應(yīng)該把拒絕主機用戶甲的訪問控制列表放置在路由器A的進口上,從源頭就把不需要的訪問控制列表拋棄。
很明顯,若只有一臺用戶主機不能訪問互聯(lián)網(wǎng)的話,則這個訪問控制列表具體放在上面位置,其所產(chǎn)生的影響對于企業(yè)整個網(wǎng)絡(luò)來說,是微乎其微的。但是,在實際工作中,我們往往不是拒絕一臺主機的通信流量,而是拒絕一批,如一個子網(wǎng)的通信流量。如此的話,其產(chǎn)生的數(shù)據(jù)流量就比較大了,會對企業(yè)的內(nèi)部網(wǎng)絡(luò)產(chǎn)生比較大的影響。
所以,在訪問控制列表管理的時候,要慎重考慮訪問控制列表的放置地方,否則的話,會對整個網(wǎng)絡(luò)產(chǎn)生比較大的影響。那這訪問控制列表該放在什么地方合適呢?給大家提個建議,最好把訪問控制列表放置在離被拒絕的信息來源最近的地方,即上面講的路由器A的進口站點上。如此的話,不允許通過的數(shù)據(jù)流量就會被盡早的丟進垃圾桶,而不會被暢通無阻的傳遞下去。當(dāng)然,前期是,路由器A必須支持訪問控制列表,否則的話,也指能夠放在路由器B上了。
思考二:訪問控制列表如何跟防火墻配合使用
現(xiàn)在大部分企業(yè)都在企業(yè)內(nèi)外網(wǎng)的接口處,部署了防火墻。那么,訪問控制列表該如何跟防火墻配合使用呢?
根據(jù)官方的建議,訪問控制列表應(yīng)該用在防火墻路由器上,防火墻路由器經(jīng)常放置在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間,即企業(yè)內(nèi)網(wǎng)與互聯(lián)網(wǎng)的分割點,目的是為其提供一個孤立的點,以便不受其他互聯(lián)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)的影響。
其實,有些防火墻服務(wù)器的話,本身就帶有訪問控制列表的功能。如防火墻的低安全端口要訪問防火墻中的高安全端口的話,就需要訪問控制列表的支持。所以,把訪問控制列表結(jié)合防火墻服務(wù)器使用,是一個比較好的選擇。
不過,說實話,若把他們兩個部署在一起的話,會增加訪問控制列表的復(fù)雜程度,會增加訪問控制列表與防火墻服務(wù)器的維護難度。雖然覺得這么部署比較合理,但是,在實際工作中,出于管理與維護的方便,確不是這么部署的。
如企業(yè)現(xiàn)在的網(wǎng)絡(luò)部署架構(gòu)如下:
主機-路由器-VPN服務(wù)器-防火墻。
其中,這個路由器與防火墻都支持訪問控制列表的功能。按照官方的建議,應(yīng)該把訪問控制列表部署在防火墻服務(wù)器上。但是,認為這么管理的話,會增加防火墻與訪問控制列表的復(fù)雜程度,不利于后續(xù)的維護與故障的維修。所以,在部署訪問控制列表的時候,沒有遵循官方的建議,而是把訪問控制列表部署在路由器上,而不是防火墻。如此的話,把防火墻與路由器上的訪問控制列表獨立管理,雖然可能會增加一定的工作量,但是,至少把復(fù)雜的工作簡單化,反而有利于企業(yè)網(wǎng)絡(luò)的管理,出現(xiàn)故障的時候,也比較容易檢修。
不過這是個人的工作經(jīng)驗,其到底是否合理,還需要靠以后網(wǎng)絡(luò)維護工作的檢驗。
不過如果要在防火墻服務(wù)器這種邊界設(shè)備上,部署訪問控制列表的話,可以給大家提一些意見。
一是部署在邊界設(shè)備上的訪問控制列表,無論是防火墻服務(wù)器還是路由器上,可以為配置在設(shè)備接口上的每一個網(wǎng)絡(luò)協(xié)議創(chuàng)建訪問控制列表。通過配置訪問控制列表。來過濾通過接口的入站通信流量、出站通信流量。
二是如果在邊界路由器與內(nèi)部的路由器,即上面的路由器A與路由器B上,都配置了訪問控制列表,該如何處理呢?一般來說,若在路由器A上部署了拒絕用戶主機甲訪問互聯(lián)網(wǎng)的訪問控制列表,然后再邊界路由器B上又配置了同樣內(nèi)容的訪問控制列表,就有點脫褲子放屁,多此一舉的感覺。但是,在實際管理中,有些網(wǎng)路管理元還是會這么處理。這主要是出于統(tǒng)一管理的需要。在路由器A上部署訪問控制列表,可以拒絕不應(yīng)該的數(shù)據(jù)流量在網(wǎng)絡(luò)上傳輸;而在路由器B上部署訪問控制列表的話,則是出于統(tǒng)一管理的需要?;蛘哒f,起到雙重保險的作用,即使路由器A上的訪問控制列表因為某種原因失效,還由路由器B在那邊把關(guān)。不過,這么配置的話,邊界路由器B的負擔(dān)會比較中。因為他要對來自于企業(yè)網(wǎng)絡(luò)的所有數(shù)據(jù)流量進行判斷。所以,具體如何部署,還是要看企業(yè)對于安全性的要求。到底是犧牲一定的安全來提高網(wǎng)絡(luò)性能,還是降低網(wǎng)絡(luò)性能來提高網(wǎng)絡(luò)的安全冗余,如何在網(wǎng)絡(luò)的安全性與網(wǎng)絡(luò)性能之間取得均衡的話,網(wǎng)絡(luò)管理員還是需要根據(jù)企業(yè)的實際情況,在這上面花一番心思。
三是要注意訪問控制列表中最后的隱含語句。假設(shè)現(xiàn)在有一個訪問控制列表,其前面有八條判斷語句。而其實呢,有九條,最后一條是隱含的,當(dāng)前面八條語句都沒有滿足的情況下,則這最后一條語句,就會把這個數(shù)據(jù)流量拒絕掉。不過在訪問控制列表管理中,我們往往不希望出現(xiàn)這種情況。我們希望,當(dāng)前面的這些條件都不滿足的情況下,則該數(shù)據(jù)量背放行。如在一個訪問控制列表中,我們寫了兩條判斷語句,一是拒絕用戶A訪問互聯(lián)網(wǎng);二是拒絕用戶B訪問外部的郵件服務(wù)器。此時,若有用戶C訪問互聯(lián)網(wǎng)的話,由于前面兩條語句都不滿足,則默認情況下,訪問控制列表會應(yīng)用隱含的判斷語句,把用戶C的數(shù)據(jù)流量也拒絕掉,這是我們不希望看到的。為此,我們就需要改變這條隱含的判斷語句,把它改為上面條件都不滿足的情況下,數(shù)據(jù)流量為允許通過?;蛘?,我們可以顯示的給出這條隱含語句,這有利于提高訪問控制列表的可讀性,對我們后續(xù)排除故障也是比較有利的。
【編輯推薦】
◆網(wǎng)管軟件專區(qū)
◆網(wǎng)絡(luò)管理者最易犯的十大低級錯誤
◆網(wǎng)絡(luò)管理基礎(chǔ)知識:網(wǎng)路管理模式
◆學(xué)習(xí)高效網(wǎng)絡(luò)管理技巧三招五式
◆IT運維管理專區(qū)
本文來自互聯(lián)網(wǎng),僅供參考