■

现状分析

目前ACL主要应用在两大场景，一类是防病毒等安全策略，一类是互联网访问权限控制。由于不同的部门、不同的业务有不同的要求，使得各种各样的需求穿插在一起，另外，我们既要保证网络的安全性，又要保证各种业务的正常访问，因此ACL配置修改就显得尤为重要。

而不恰当的ACL策略使得配置策略工作成倍增加，例如，如果对营业厅的端口流量采取这样的策略：允许内网目的地址->允许部分外网目的地址->拒绝源地址，基于ACL自上而下的匹配规则，如果需要针对特定源地址扩大权限，那么就需要在拒绝之前增加一条规则，这样麻烦不说，而且随着时间的推移和人员的流动，这条规则很有可能成为垃圾配置。

优化策略

不恰当的方法事倍功半，而合适的方法可以事半功倍。只要理清思路、去繁就简，适当地变换工作方式，我们就可以游刃有余地面对各种变化。

1.分而治之

混乱的一个原因是各种各样不相干的东西掺杂在一起，我们只需要对不同的ACL策略进行分类命名，并按先后顺序下发到端口，就可以改变这一点。这样一来，不仅逻辑清晰，也便于以后的修改。对于防病毒安全策略下发到上联端口，对入口流量过滤；对互联网访问控制策略下发到下联端口，对出口流量过滤。可以分别设置信任源地址允许策略、病毒漏洞目标端口拒绝策略；以及目的地址允许策略、源地址池拒绝策略。

2.发挥特长

ACL的主要用途在于对确定的地址、确定的端口进行访问策略控制，对于有限的网址配置作用不大。但是公司号码百事通话务台在禁止互联网访问的基础上，曾提出允许数十个网址的访问需求，而这些网址有许多具有负载均衡，映射到多个IP地址，如果采取ACL控制的话，配置无疑是十分巨大的，因此对于这种需求场景，就应该交给更合适的代理服务器在TCP/IP协议的更高层级去控制。

3.转移变化

在前面不恰当的例子中，我们潜意识中将需要获取权限的IP静态化了，但是事实上IP并非不可变化，因此这就给我们提供了实现权限提升的另一种可能：固定地址池权限，将不同权限的设备加入不同的地址池，在需要修改访问权限的时候修改IP地址（和端口VLAN）即可。对于终端而言，修改地址是很方便的，而对于地址池而言，ACL策略可以是稳定的。因此地址池屏蔽了对单一IP的权限管理，将对ACL的复杂修改转化为对IP的简单修改。

效果总结

经过对所有三层设备ACL策略的仔细梳理、整改，现在ACL策略变得有条理、易修改，减少了过去许多低效无谓的工作，也使得网络运行更加安全可控。