小弟目前工作剛上任要管理的L2+L3 switch超過百來臺,發現前任的管理員對於acl上面並沒有一個良好管理機制,應該這麼說在敝公司的環境裡只有防火牆有服務開通申請單,但是對於switch或是asa之類的設備完全沒有相關的文件,只能依據現有環境與拓樸去推敲各筆access-list的功能
雖然說工作環境只要熟悉了,就可以比較熟不過主管怕一但網管人員又換手,又會再重覆這樣的問題,希望我提出個方式來改善,目前個人想到的只有excel表針對目前存在以及未來新增的做個記錄,想說各位前輩也許對於acl有更好的管理與歸檔方式也說不定,特地來請教大家囉
小弟提供一下我的做法,參考就好
假設現在禁止所有人去192.168.0.1(假設是只有高階主管才能使用的系統),但只有特定幾個IP可以
此時我會列出如下的大綱,並做成記錄(我用EXCEL,可以做很多運算)
0.編號:
1.目的:
2.APPLY位置點
3.ACL內容
4.SW:
套用上我舉的例子後
0.編號:A0001
1.目的:只允許特定IP(主管)可存取,192.168.0.1
2.APPLY位置點:SW-A:G0/1,SW-B:G0/0/2,SW-C:FA0/2
3.ACL內容:
當ACL位於相同位置時(指SW及PORT位),只要列出一條
ip access-list extended test
permit ip host 10.0.0.1 host 192.168.0.1
permit ip host 10.0.0.2 host 192.168.0.1
permit ip host 10.0.0.3 host 192.168.0.1
remark A0001
當ACL位於不同位置時(,針對每台SW的點,例出ACL
SW-A:G0/1:
ip access-list extended test
permit ip host 192.168.2.1 host 192.168.0.1
permit ip host 192.168.2.2 host 192.168.0.1
remark A0001
SW-B:G0/0/2:
ip access-list extended test
permit ip host 172.16.0.1 host 192.168.0.1
permit ip host 172.16.0.2 host 192.168.0.1
remark A0001
4.SW:SW-A,SW-B,SW-C
說明:
在第0點時建立一個編號,當成查詢索引
第1點:說明該ACL的目的
第2點:說明該ACL APPLY到哪幾個位置
第3點:ACL詳細內容。注意那行remark要打,主要是揭示該ACL是屬於哪個網號
第4點:記錄實體設備名稱(有時會用VR)
當你在檢查某台設備的ACL時,想要檢查其中一行到底是作何用途,可以根據remark 後的編號,去查詢記錄,就可以知道所有相關的ACL,未來如果該目的取消,也可以很快知道要移除哪幾行,另外,不管是什麼目的,請一定要用名稱式的ACL,而取名方式可以直接用編號(A0001),有些設備不提供ACL註解功能,用編號當名字可以解決這個問題。
有時同一個埠可能會有兩個目的的ACL,如ACL A及ACL B,此時可以把名字取為A0001_A0002,在記錄中最多就找這兩個記錄。
ACL根據APPLY的點的不同,會有程度不一的複雜度,記錄只是輔助,重要的還是ACL的設計,我的前輩說,ACL就像是另一種路由,你可以弄的很細,然後讓自己一個頭兩個大,也可以善用SUMMARY的觀念去設計,盡量讓每個ACL單一化,單純化,但這不容易就是。