【交换机】配置基于时间的ACL的场景和功能原理是什么？

发布时间：2013-11-17

点击量：3169

应用场景：
       比如你的网络出口带宽有限，希望白天上班的时候能够保证生产，办公相关的业务系统的运用访问畅通，而一些无关的internet上网流量需要被禁止，当
      下班或者周末的时候，带宽比较充裕就可以允许访问internet等所有的应用，不做任何禁止的控制；或者是您的出口设备有多个路由器，并且对应不同运
       营商的出口，比如有电信（100M），联通（30M），教育网(1G)等，根据三条链路的带宽负载情况，周一到周日，上班与非上班时段的，业务高峰期
       的一个流量分布情况，您希望能够做些控制策略，使三个出口的带宽被更加合理的应用，此时就可以考虑采用基于时间的ACL配合策略路由功能来实现，
       比如周一到周五全天候时段，教师的上网流量统一走带宽比较充裕的教育网出口，周一到周五白天上班时间段，行政楼，图书馆，科研所等区域的流量
       走联通出口，而周一到周五晚上下班时间段，以及周末时间不做任何限制，按照普通路由的选路进行随机的负载到这三条出口链路。当您的网络有上述这
       两种典型需求的时候，就可以考虑用基于时间的ACL来解决问题。

注意：由于该功能需要时间因素配合，所以必须保证设备系统有一个准确，可靠的时钟，否则会导致ACL没有按照预期的生效，关于设备时钟的配置与调整，参见基础配置》时钟章节。

功能原理：
        ACLs 的全称为接入控制列表(Access Control Lists)，也称为访问列表（Access Lists），俗称为防火墙，在有的文档中还称之为包过滤。ACLs 通过定
        义一些规则对网络设备接口上的数据报文进行控制：允许通过或丢弃。对数据流进行过滤可以限制网络中的通讯数据的类型，限制网络的使用者或使用
        的设备。安全ACLs 在数据流通过网络设备时对其进行分类过滤，并对从指定接口输入或者输出的数据流进行检查，根据匹配条件(Conditions)决定是允
        许其通过(Permit)还是丢弃(Deny)。

        ACLs 由一系列的表项组成，我们称之为接入控制列表表项(Access Control Entry：ACE)。每个接入控制列表表项都申明了满足该表项的匹配条件及行
        为。访问列表规则可以针对数据流的源目MAC、源目IP地址、TCP/UDP上层协议，时间区域等信息，通常分为如下几种类型的ACL：
        IP标准ACL，IP扩展ACL，MAC扩展ACL，专家级Expert ACL，IPv6扩展ACL，报文的前80字节的ACL 80等。

ACL部署原则：
ACL通过过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量。然而，网络能否有效地减少不必要的通信流量，这还要取决于网络管理员把ACL放置在哪个地方。

原则：根据减少不必要通信流量的通行准则，管理员应该尽可能地把ACL放置在靠近被拒绝的通信流量的来源处。
举个例子：我们经常见到对常见病毒端口进行过滤的ACL，那么这种ACL应用在哪里比较合适呢？
对于网络中的用户来说，这个防病毒端口的过滤显然用在最接近用户的交换机上来做比较好，这样可以从源头上控制被感染的机器采用病毒端口进行通讯，减少对其他交换机上用户带来的应用。
如果要控制外网进来的流量对服务器的端口访问过滤，那么这种限制就应该放在这个网络的出口处较好，这样可以将这种非法流量从一开始就拒之门外。当然如果内网也需要对服务器的端口访问进行过滤，那么由于内网的源IP很多，目的IP一致的情况下，在靠近目标IP的地方做ACL过滤，因为这样只需要一个ACL即可，否则你需要在很多设备上去分别部署，因为你要控制所有的源到这个目的IP的访问，影响效率。而如果你在接近服务器的交换机上部署ACL，那么你只需要一个ACL即可。
总结如下：
1、对常见的病毒端口过滤的ACL，一般部署在接入层交换机上。
2、对外提供公共服务器的服务器，一般建议在接近服务器的交换机上控制对其端口的访问。
3、对于网段间的互访，根据实际情况，可以选择在源或目的网段上做控制，也可以在网络较大的情况，网段互访规则较多的情况下，在中间核心设备上集中部署。
4、对于上下级机构、内外网访问规则间的访问控制，建议在边界设备上集中部署，比如出口路由器，防火墙等。