交换机ACL及QOS技术解读
ACL即访问控制列表,主要用来实现流识别功能。网络设备为了过滤报文,需要配置一系列的匹配规则,以识别需要过滤的报文,在识别出特定的报文之后,才能根据预先设定的策略允许或禁止相应的报文通过。
主要分类 | 规则定义描述 | 编号范围 |
基本ACL | 仅使用报文的源IP地址、分片信息和生效时间段信息来定义规则 | 2000-2999 |
高级ACL | 既可使用IPv4报文的源IP地址,也可使用目的IP地址、IP协议类型、ICMP类型、TCP源/目的端口、UDP源/目的端口号、生效时间段等来定义规则。 | 3000-3999 |
二层ACL | 使用报文的以太网帧头信息来定义规则,如根据源MAC(Media Access Control)地址、目的MAC地址、二层协议类型等。 | 4000-4999 |
ACL典型应用场景
· 某企业为保证财务数据安全,禁止研发部门访问财务服务器,但总裁办公室不受限制。实现方式:
在Interface 1的入方向上部署ACL,禁止研发部门访问财务服务器的报文通过。Interface 2上无需部署ACL,领导办公室访问财务服务器的报文默认允许通过。
· 保护企业内网环境安全,防止Internet病毒入侵。实现方式:
在Interface 3的入方向上部署ACL,将病毒经常使用的端口予以封堵。
QoS即服务质量,主要用来对企业的网络流量进行调控,避免并管理网络拥塞,减少报文的丢失率,同时也可以为企业用户提供专用带宽或者为不同的业务(语音、视频、数据等)提供差分服务。
QoS典型应用场景
网络的普及和业务的多样化使得互联网流量激增,越来越丰富的业务对网络的要求不断提高,除了需要解决拥塞,丢包等问题,用户还希望获得差分服务,QoS是有效利用网络资源的工具,它允许不同的流量不平等的竞争网络资源,语音、视频和重要的数据应用在网络设备中可以优先得到服务。