ACL在数据中心网络中的作用

ACL(Access Control List)即访问控制列表,是网络设备上用来做安全防护的重要手段,通过下发各种ACL策略,可以保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的。所以,自从有了网络,ACL就得到了广泛应用。数据中心的兴起,赋予了ACL更多的功能与使命。在数据中心网络中,各种应用流量纷繁复杂,只有通过ACL才能确保网络安全,并且完成一些特殊转发路径的业务部署,本文就来说一说ACL那些为人少有所知的功能,这些功能也凸显了ACL在数据中心网络中的重要作用。

ACL是通过匹配经过设备某类特征的流量,对这些流量做处理,从而达到安全防范的目的。ACL按照匹配的内容差别,分为四种类型,第一种叫二层的ACL,主要匹配MAC地址、以太类型,VLAN等以太报文头主要特征;第二种叫三层的ACL,主要匹配IP地址、四层端口号、IP类型等IP报文头主要特征;第三种叫二三层混合ACL,即匹配二层,又匹配三层报文内容;第四种叫自定义ACL,这种ACL最灵活,用户可以根据实际应用任意组合需要匹配的内容,不过这种ACL也是最不好掌握的,需要使用者对以太报文的格式非常熟悉,才能用好。这四种类型,每种类型又分为IPv4和IPv6两种模式,适用于IPv4和IPv6两种场景,这样总共有八种类型。将ACL分了这么多种类型,主要还是考虑使用上的便利性。通常情况下,三层ACL是使用最为广泛的ACL类型,自定义ACL使用很少,一般只有在网络设备厂家人员的指导下,才能使用。

ACL匹配的内容做好后,关键在于下发的处理,这个决定了匹配上ACL的流量在网络设备上如何走向。ACL有一个3P原则,就是为每个协议、每个方向和每个接口配置一个ACL,3P原则指定了ACL需要匹配的内容,下发的是出方向还是入方向,下发的位置在端口还是VLAN还是基于全局下发,这些内容都准备好了之后,就要明确执行的动作了。也就是ACL只是明确匹配报文的内容,执行还需要与具体动作的结合才能完成。现在的ACL动作非常丰富,早就不止是Permit/Deny的安全过滤动作。比如重定向Redirect、镜像Mirror、Copy to CPU、修改优先级、限速、修改报文特征、QINQ、策略路由等等,有了这些功能,可以让网络设备实现更多的功能,和不同的动作结合也衍生出来很多的网络设备功能。

安全过滤功能自不必细说,通过在不同的端口或者接口的出入方向上下发ACL防病毒列表,从而达到防攻击的目的。当然,这个安全过滤非常的初级,和专业的防火墙过滤不能相比,但两者实现的机制是一样的,只不过防火墙的过滤更加细致,支持的条目也更多,一般一台高级防火墙下发是十几万条ACL都可以,但网络设备很少能做到。安全过滤动作就是Deny,将不安全的流量直接Deny,在设备的入方向丢弃,以免影响网络设备转发,也防止流量再转到其它地方。除了安全过滤,Permit/Deny也适用于流量的隔离和访问控制。比如在一个数据中心承载的两个客户业务,客户A和客户B共用一个网络设备,客户之间当然不能业务打通,要进行隔离,这样就可以通过ACL来下一些规则来达到隔离的客户A和B之间访问隔离的目的。

重定向和策略路由也是在网络设备上高频率使用的功能,通过重定向和策略路由可以改变原有报文的转发路径,发送到客户希望的目的设备上。比如流量经过网络设备时,客户希望流量经过负载均衡LB设备,做个均流,然后流量再回到网络设备,这时可以通过重定向将流量掰到LB设备上,改变原有的报文转发路径。策略路由也是如此,使报文不按照路由表来转发,而是转发到客户希望的下一跳设备上。重定向和策略路由的主要区别,重定向更多的是应用到二三层转发中,策略路由应用到三层转发中,如果只希望对三层转发报文生效,那只能采用策略路由。重定向的动作可以是端口、下一跳接口或下一跳地址,而策略路由只有下一跳地址。

修改报文内容也是在特定网络应用中被使用的,其中最常用的要数修改报文优先级了。网络设备通过对进入设备的不同类型的应用流量打上不同的优先级标记,这样可以为高优先级的报文优先分配带宽,在网络出现拥塞,不断丢包的情况下,高优先的业务可确保不受影响。报文在以太头和IP头里都有优先级,通过、可以任意修改两个部分的优先级,所有的网络设备都可以识别这两个部分的报文优先级,从而在设备内部的转发通道里优先通过。这就好比是救护车,在道路行驶上有优先权,在道路堵车的情况下,救护车可以走紧急通道,快速通过,优先保障救护病人,修改报文优先级希望达到的目的也是如此。有时修改报文也有其它目的,比如修改报文的VLAN,让报文在新的VLAN中转发,或者增加VLAN,减少VLAN,修改报文的目的MAC,改变报文的转发路径等等,通过这些修改可以使网络设备应用非常灵活。

除了以上说的功能,ACL还可以做流量统计,流镜像,下发CAR限速等,还有很多网络功能实际上也是通过ACL来实现的,比如IP绑定,Portal认证,MAC认证,防攻击虽然命令行上看不到ACL的影子,实际在网络软件实现上也是用ACL来实现的,这些功能足以说明ACL功能的强大,可以说网络设备离不开ACL,没有ACL网络设备根本玩不转。数据中心对网络的要求很高,既要安全运行,又要部署业务灵活,这些都离不开ACL。随着数据中心的各种复杂应用越来越多,更好地使用ACL,丰富ACL的各种功能,是未来网络的必然选择。

本文转自d1net(原创)

时间: 2024-09-13 16:35:24

ACL在数据中心网络中的作用的相关文章

数据中心网络里的Underlay和Overlay

近几年,随着云计算.大数据.移动互联网等新技术的普及,部署大量虚拟机成为一种必然趋势.不过,虚拟机需要在网络中无限制地迁移到目的物理位置,在传统数据中心网络中几乎无法满足,这样虚拟机在迁移范围上要受到网络架构限制,在规模上要受网络规格限制,网络隔离和分离能力也制约着虚拟机的大批量部署,解决这些虚拟机迁移问题理想的方案是在传统单层网络(Underlay)基础上叠加(Overlay)一层逻辑网络,将网络分成两个组成部分.在 Underlay网络中,所有的转发行为都由控制器决定,控制器通过OpenFl

应对云业务挑战:数据中心网络架构的新思考

现代科技的成果使得人类的器官在空间上得到了极大地延伸,如果说电话是人类声觉的延伸.电视是人类视觉的延伸.数据中心是人类大脑的延伸,那么网络则是各种延伸物之间.以及延伸物与主体之间相互交换信息.传达指令的神经系统.正常的神经系统是一个健康人类的基本标志之一,同样,大带宽.低时延.高可靠的网络系统也是使得人类各种器官得以有效地延伸.进入云时代的基本保证. 云业务对网络的挑战 随着信息业务进入云时代,越来越多的用户通过各种不同类型的业务设备进入到网络之中,各种业务设备之间.众多用户之间所交换的信息量在

数据中心网络里的流控技术

在数据中心的网络世界里,流控技术可算得上是一种古老技术.这么多年以来,网络技术不断新旧更替,而流控技术虽一直未曾有过很大变化,却在网络中发挥着越来越重要作用.流控技术是以太网的一项基本功能,可以防止在端口拥塞的情况下出现丢帧.流控技术在广义上来讲分为四层流控和七层流控,通过路由器.交换机这些网络设备基于报文的源地址.目的地址.源端口.目的端口以及协议类型实现的流量控制,都属于四层控制:通过专业的流量控制设备去实现基于应用层的流量控制属于七层流控.所以,流控技术在网络协议的各个层级都有应用,发挥着

数据中心网络协议端口技术一网打尽

对于有些网络技术基础的人来说,协议端口号并不陌生,这是TCP或UDP协议的主要组成部分,用来区分服务和在同一时间进行的多个会话,几乎每个人都可以脱口而出说出几个常用协议端口号,比如FTP的21号端口,SSH的22号端口,Telnet的23号端口等等,但很少有人去研究这些端口背后的故事,尤其如今网络兴起虚拟化.软件定义网络等新技术,更鲜有人提起这些传统技术.实际上,不仅在过去,即使在当下甚至是将来,这些端口技术都将发挥着极为关键的作用. 在以太网标准协议中规定端口号为两个字节的长度,共16个比特,

穿透数据中心网络的NAT大法

NAT(Network Address Translation)是一种网络地址转换技术,是一种将私有地址转化为合法IP地址的转换技术.它被广泛应用于各种数据中心网络中.NAT不仅完美地解决了IP地址不足的问题,还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的服务器.数据中心内部的服务器一般提供内网和外网两个网卡,内网访问主要采用的是私有地址,外网访问采用的是公有地址,由于公有地址的数量是有限的,所以内网中要使用大量的私有地址,通过NAT的方式实现私有地址与公有地址之间的转换,实现私有地址

数据中心网络的那些二层技术谈

数据中心的传统网络设计都是三层架构,目的是为了进行业务隔离,形成一个扁平型的网络流量模型,南北和东西流量进行二八互分,这种网络架构流行了几十年,现在的数据中心依然也都正使用着这种架构.然而随着虚拟化技术的引入,需要网络支持虚拟机动态迁移技术,这就要求网络支持大范围的二层域,传统三层网络逐渐要退出历史舞台.当然,这是一个渐进发展的过程,而且二层区域越大,实际上网络越不安全,广播区域也会造成带宽的浪费,单点故障容易引发整网的故障.那么数据中心的二层网络规模需要多大,这取决于应用场景和技术选择,二层网

云计算数据中心网络性能测试

云计算数据中心的网络测试主要包含虚拟化测试.安全测试.高可靠测试和性能测试四 个部分.前三者重点在于对数据中心网络的功能设计进行测试验证,性能测试则是度量整个云网络的关键,用以确认其能够提供的服务能力基线.云计算技术目前很 多应用在大型的高性能计算(超算)数据中心中,在此类数据中心内部,性能处于业务保障的第一关键位置.本文重点关注性能测试的部分,从测试设计方面进行探 讨. 测试设计 数据中心网络性能测试手段很多,业务仿真测试是最能体现实际应用情 况的测试方法.业务仿真测试往往需要利用大量服务器和

数据中心网络维护三把斧

网络是数据中心里是最为重要的组成部分,也是技术最为复杂的部分,要对网络运行进行日常维护,故障处理需要掌握不少本领才行.数据中心网络分为存储网和数据网,存储网采用的是光纤通道协议,数据网采用的是以太网协议.与以太网协议相比,光纤通道协议要简单得多,只要完成二层互通即可.以太网协议相对要复杂,各种协议标准琳琅满目,让人丈二和尚摸不到头脑,一个人要将所有协议吃透.吃精通根本不可能.那么,面对数据中心里复杂的网路世界,怎么才能做好维护呢?本文总结出了网络维护的三把斧,用好这三把斧,就有能力成为数据中心网

从孤岛到融合:数据中心网络架构的革命

鲁滨逊漂流记是一个浪漫主义的历险故事,但对于现实的http://www.aliyun.com/zixun/aggregation/13597.html">企业IT来说,"孤岛"现象并不是如童话般的令人向往. 一.数据中心的网络架构演进 每当我们谈到数据中心的建设,通常都会用到"组建"."部署"这样的动词,因为这是一个显而易见的道理--数据中心是由一个个功能不同的设备部件组合而成的.从物理架构看,数据中心从来就不是,也不可能是一个整