网络里访问控制到底该让三层交换机的ACL干,还是交给防火墙?
三层交换机上的ACL,本质就是硬件级别的“门卫名单”。它直接在ASIC芯片上匹配包头(源IP、目的IP、协议、端口这些),匹配上了就放行或丢弃,速度飞快,几乎不增加延迟。
用个生活比喻:ACL就像小区门口的保安大叔,手里拿着一张纸名单——“这个车牌能进,那个不能”。检查很快,但只能看车牌、车型,不会去翻后备箱查有没有违禁品。
它的优点特别明显,尤其在核心和汇聚层:
- 性能牛:线速处理,几百G流量都不带喘气的
- 配置简单:几行命令就搞定,Cisco、华为、H3C都差不多
- 资源占用低:基本不吃CPU,交换机还能专心转发
- 灵活部署:可以入方向、出方向、VLAN级别随便配
我见过很多企业,内部VLAN之间东西向流量控制,就全靠交换机ACL。写几条deny规则,阻止服务器区访问办公区,简单高效。
但它也有硬伤,关键时刻会掉链子:
- 无状态:只看单个包,不知道这是不是三次握手的SYN,还是已经建立的连接。容易被绕过(比如猜SEQ)
- 功能单一:基本只能匹配五元组(源IP、目的IP、协议、源端口、目的端口),不支持应用层识别(比如拦微信但放行企业微信?想都别想)
- 规则数量有限:高端交换机能支持几千上万条,但低端机型几百条就顶天了,写多了还可能影响性能
- 日志和追踪弱:命中了规则,通常只看计数器,想知道具体哪个IP被拦了,得额外开NetFl