任何企業網絡系統在為創造價值的同時,對安全性也有很高的要求。ACL(網絡層訪問控制列表)其實可以幫助企業實現網絡安全策略�,可以說ACL是一個很不錯的解決工具或方案���。
那什么是ACL呢?為了幫助企業網絡運維人員深入理解ACL��,可以根據以下幾點看透ACL本質。
一��、從名稱解析ACL
ACL:Acess Control List����,即訪問控制列表。這張表中包含了匹配關系����、條件和查詢語句���,表只是一個框架結構���,其目的是為了對某種訪問進行控制。
信息點間通信����,內外網絡的通信都是企業網絡中必不可少的業務需求,但是為了保證內網的安全性�����,需要通過安全策略來保障非授權用戶只能訪問特定的網絡資源�����,從而達到對訪問進行控制的目的。簡而言之��,ACL可以過濾網絡中的流量�����,控制訪問的一種網絡技術手段����。
二、看透ACL的本質
通常���,很多企業都在使用NAT技術進行地址轉換��,而NAT技術中就包含了ACL的應用�。通過ACL��,我們可以控制哪些私有地址能上外網(公網)���,哪些不能�����。然后把這些過濾好的數據���,進行NAT轉換��。另外�����,企業也需要對服務器的資源訪問進行控制���,通過ACL過濾出哪些用戶不能訪問����,哪些用戶能訪問。
從實際應用中���,我們看到ACL能夠區分不同的數據流�。這也意味著ACL的本質其實是一種流量分類技術��,它是人為定義的一組或幾組規則��,目的是通過網絡設備對數據流分類����,以便執行用戶規定的動作��。換句話說�����,ACL本身不能直接達到訪問控制的目的����,它間接輔助特定的用戶策略�����,達到人們所需效果的一種技術手段�。在筆者看來,ACL是一種輔助型的技術或者說是工具�����。
三����、玩轉基本的ACL
拓撲描述:某企業有100個信息點,分屬五個部門�����。用一臺二層交換機和一臺路由器作為網絡層設備;局域網內部有一臺OA服務器��。
組網需求:五個部門分屬5個VLAN���,VLAN間不能互通���。要求所有終端都可以上公網,并訪問OA服務器��。
也就是說�,有兩個需求:
1、5個部門的終端不能互相通訊
2�����、5個部門都要求能夠訪問OA SERVER和公網���。
根據這兩種實際需求,怎么用ACL實現呢��?
以Cisco路由器為例��,在全局模式下進行如下配置:
access-list 100 permit ip any host OA的ip
access-list 100 deny ip any ip網絡號 通配符
access-list 100 permit ip any any
然后在相應的子接口下綁定:
ip access-group 100 in
命令解釋:第一條就是允許OA服務器上的數據進入,第二條就是拒絕其它四個部門的數據流進入����,第三條是允許所有流量進入,然后最后在相應接口綁定并啟用放通或丟棄的操作�����。
我們配置ACL都有幾個配置原則����,細化優先原則和最長匹配原則,不同的配置順序影響不同的執行效果�。通常都是按一個匯總的原則進行規劃IP地址,所以第二條后面的IP網絡號代表的是其它VLAN的子網匯總網絡號���。一般來說���,思科的ACL最后都默認隱藏了一條deny 所有的語句,所以必須人為添加一條permit語句���。
在邊界路由器上配置上述的命令���,就能滿足需求了��,當然還需要和其他配置命令相結合使用����,比如劃分VLAN�����,配置路由協議等���。但無論是怎樣的需求����,只要記住ACL的核心��,它是一種流量分類技術��,可以用特定的方式標記和分類網絡中的流量����,配合其它操作策略一起完成某項任務���。只要明白這點����,我們就能夠玩好基本的ACL了。
