ACL应该在网络中的哪里配置？

1、选择ACL配置位置很重要

ACL是Access Control List的简称，中文是访问控制列表。众所周知，ACL在网络中能够实现访问控制。进行访问控制的配置命令也比较简单，根据限制要求配置ACL规则并在接口上应用即可。但是要在实际网络中有效应用ACL实现访问控制却并不容易，只有有规划地在网络中配置ACL才能够精准的匹配需要过滤的流量，同时也能够减少数据在网络中不必要的传输、节约网络资源，还能降低运维人员的配置与维护工作量。如图1-1所示，网络中设备众多，接口众多，如何配置才能够简单快速的完成业务配置？下文将详细介绍如何在网络中选择ACL的配置位置。

图1-1 复杂的网络拓扑

ACL应该在网络中的哪里配置？

2、如何选择ACL配置位置

本章节将从数据方向层面、网络层级层面和链路层面介绍ACL的配置位置。

数据方向层面：ACL在靠近源端还是目的端配置？
网络层级层面：ACL在汇聚层还是接入层配置？
链路层面：ACL在入接口还是出接口配置？

2.1 ACL在靠近源端还是目的端配置？

根据需要使用的ACL类型决定ACL在靠近源端还是目的端配置：

标准ACL（匹配源地址），在靠近报文目的的设备上进行配置。

如图2-1所示，需要限制PC A对PC B的访问，由于标准ACL只能匹配报文的源IP地址，如果将标准ACL配置在靠近源端的设备（Device A）上，那么PC A所有数据包在到达Device A后都将被丢弃，包括非去往PC B的报文。而我们的需求只是限制PC A访问PC B，因此将标准ACL配置在靠近源端的设备会扩大限制范围，影响其他正常流量转发。

图2-1 标准ACL在网络中的配置位置

ACL应该在网络中的哪里配置？

扩展ACL（匹配目的地址），建议在靠近报文源的设备上进行配置。

扩展ACL不仅能够匹配源IP地址，还能匹配目的IP地址，因此可以更精准的匹配需要过滤的报文。将扩展ACL配置在靠近报文源的设备上可以让过滤报文尽可能早地被丢弃，节约中间网络的转发资源。如图2-2所示，若将扩展ACL配置在Device B上，PC A发送给PC B的报文在Device B上才会被丢弃，造成Device A至Device B这段网络的带宽和设备性能浪费。

图2-2 扩展ACL在网络中的配置位置

ACL应该在网络中的哪里配置？

扩展ACL也不是必须配置在靠近报文源的设备上，实际配置时还需要考虑配置量和可维护性。需要在多台接入端设备配置相同ACL规则的情况下，将ACL配置在网络的汇聚点，以减少配置量。如图2-3所示，要求禁止PC访问服务器的TCP 22和TCP 23端口。若严格的将扩展ACL部署在靠近报文源的设备上，就需要分别在Device A、Device B和Device C配置扩展ACL，一共需要配置3次。

如果有更多的接入设备，配置也将成倍的增加。一旦需求变化需要调整ACL配置，也需要在每个接入设备上进行调整。如果在Device D上配置，则只需要配置一次，需求变化时，ACL规则也只需要调整一次。

图2-3 在网络汇聚点配置ACL

ACL应该在网络中的哪里配置？

2.2 ACL在汇聚层还是接入层配置？

目前大部分的企业网都是三层网络架构：核心层、汇聚层和接入层。核心层一般作为高速转发的枢纽，不会部署访问控制策略，所以ACL一般在汇聚层交换机和接入层交换机上配置。

控制VLAN内的数据流，需要在接入交换机上配置ACL。

如图2-4所示，PC A与PC B进行VLAN间通信，当PC A发送给PC B的报文到达接入交换机后，接入交换机将根据MAC地址表进行二层转发，报文不会经过汇聚交换机。因此，如果要限制PC A至PC B的访问，就需要在接入交换机上配置ACL。

图2-4 ACL限制VLAN内报文转发

ACL应该在网络中的哪里配置？

控制VLAN间的数据流，需要在汇聚交换机（网关）配置ACL。

如图2-5所示，要求VLAN10不能访问VLAN30，VLAN20不能访问VLAN40。如果将ACL配置在接入交换机上，需要在多台交换机上配置，配置工作量较大，而且容易出错。跨VLAN的报文需要经过汇聚交换机的SVI接口，因此控制跨网段转发的数据，建议在汇聚网关（SVI接口）上配置ACL，这样可以减少配置量，并方便维护。

图2-5 ACL限制VLAN间报文转发

ACL应该在网络中的哪里配置？