关于网络访问控制列表配置探讨

关于网络访问控制列表配置探讨
 网络访问控制列表是一种访问控制技术，被广泛应用于路由器和三层交换机。借助ACL，可以有效地控制用户对网络和Internet的访问，对网络的管理者来说可以最大限度地保障网络安全，从而更好的规划网络方案，使网络资源得到合理利用。我们知道在配网络访问控制列表时，要将配置规则应用到具体的交换机端口上。在具体的端口上是用在in方向还是out方向，要视具体的情况而定。理论上好说，具体到实际操作中就往往容易让人混淆，下面我就在实际中遇到的一些情况和大家做以探讨：
 大家都知道我们的生产网分为绿卡网和综合网，我们地市核心生产网的交换机是cisco3750且配置了vlan2，其ip地址是 192.168.33.4，作为机房生产网内绿卡网的网关，把交换机部分端口作为交换端口，划分给vlan2，以下图为例：

 按照省局要求，生产网内所有PC机要安装联网的杀毒软件，并且要求每天必须手动及时更新病毒码，并及时扫描。如生产网内的绿卡网中有一台机器IP地址为192.168.33.40，可这台机器的使用管理者总以各种理由不做上述工作，使得在省局对病毒指标的考核中几乎每个月都因为该机被扣减分值，该机便成了网管心目中的“钉子户”。我们作为核心生产网络的管理者对该机的管理就要采取一些非常手段来改善这种状况，我们决定通过在核心交换机上配置网络访问控制列表来控制它的使用，以起到提醒和警示作用，我们做的访问规则如下：
 Access-list 101 deny tcp host 192.168.33.40 host  192.168.0.66
 Access-list   101   permit   tcp   any    any
 把它应用到vlan2端口上in的方向，配置如下：
 Ip  adrr   192.168.33.4   255   255  255  192
 Ip   access-group  101  in
 经过实际测试，我们加的网络访问控制列表没起作用，该机的所有业务照样能做，我们以为是配置的规则有问题，于是把规则改成了如下配置：
 Access-list 101 deny ip host 192.168.33.40 host   192.168..0.66
 Access-list 101 permit   ip   any    any
 我们依然把它用在了vlan2接口上in的方向上，vlan2的配置保持不变。
 经过实际测试，我们改后的网络访问控制列表仍然没有起到作用，该机的所有业务还是照样能做。我们百思不得其解，我们一直以为规则没问题，接口方向也没错，怎么会没有起到作用呢？期间我们还把规则多次进行了修改，问题依然存在没有得到解决。我们在两三天的时间内，能想到的修改方案全试了一遍。实在没办法了，便电话和其他地市的网络管理员进行了交流，他根据我们交流的情况，建议我在vlan2端口配成out方向试一试。于是我们便把in方向换成out方向，网络访问控制列表这次真的起到了作用，该机在网络内的访问及业务被控制住了，我们实现了对该机在网络访问中的控制管理。
 可是我们怎么也没想通，为什么要在vlan2端口上把in方向变成out方向呢？该交换机对绿卡网vlan2来说，只有ip地址192.168.33.4，其余的都是二层转发端口，不是三层路由端口，并不配备ip地址，所有此网段的设备进出数据，都只能靠192.168.33.4来进行路由，又根据网络访问控制列表的配置原则，在离设备较近的端口上也就是在进的方向上配置in，在设备较远的端口也就是在出的方向上配out，所以我在vlan2接口上配置in方向应该是不会错的。但事实却是配置in不对，而配置out是正确的，也说明我们原来的理解有错误的地方。
 接下来我们经过长时间的讨论、思考和在网上查寻相关资料，认为我们关于网络访问控制列表知识的理解是正确的，只是具体到实际情况及不同厂家的设备时，会有不同的问题出现，作为网络管理员就要根据实际情况，不要老是抱着理论教条，只要规则没错，可以在接口方向上用in和out都试试，也许问题就能解决了。这种情况可能是不同的设备厂家站的角度不同，出发点不同，考虑问题的方式也不同吧。对cisco3750的交换机来说，虽然对于接入192.168.33.40的物理接口只是处于二层转发状态，没有配ip地址即没有路由功能，但是通过该物理接口的数据，进入交换机后，经过一系列数据的处理再经过vlan2的另一二层转发端口转发出去，这个vlan2就是192.168.33.40的远端，也就是192.168.33.40的出口，所以在vlan2上配置成out方向也就没什么不好理解的了。
 通过在实际网络管理中动手配置网络访问控制列表，使我们对网络访问控制列表的配置有了更深刻的认识，对核心路由器设备来说，所有的端口都是处在三层，进、出的方向比较好分辨，理论和实际相对比较好结合一些，一般不会混淆产生误解，在配置时不会产生歧义。但对交换机来说，它的端口既可以处在二层，也可以处在三层；既可以很清楚的区分in端口和out端口；也可以只配备某一个vlan，而针对这一个vlan来说它可能是某一网段数据进出的唯一通道，在这种情况下，配置网络访问控制列表就要特别小心，否则就可能是配置了网络访问控制列表，却起不到作用。
 因此，就要求我们网络管理员在实际的网络维护中，不要只专注理论知识，而不去实践，并且要不断学习新的网络知识，只有在动手实践中才会遇见不同的情况和问题，并加以解决，我们的技能才能有所提高，最大限度地保障网络安全，并使网络资源得到合理利用。