利用IP訪問控制流量

引言：網(wǎng)絡(luò)流量控制現(xiàn)狀據(jù)統(tǒng)計，P2P數(shù)據(jù)流量占因特網(wǎng)總流量達(dá)60%，并且在用戶總數(shù)沒有顯著增長的情況下，P2P數(shù)據(jù)流量仍然在快速持續(xù)增長。它在改變數(shù)據(jù)網(wǎng)絡(luò)流量突發(fā)性數(shù)學(xué)模型的同時，也影響了ISP的商業(yè)運作模式。如何掌握技巧，從而熟練利用IP標(biāo)準(zhǔn)訪問控制列表進(jìn)行網(wǎng)絡(luò)流量控制。

現(xiàn)代網(wǎng)絡(luò)通過路由技術(shù)，正在不斷地把各種分布在不同區(qū)域、不同類型、不同用途的網(wǎng)絡(luò)連接起來，就像一個復(fù)雜的交通網(wǎng)絡(luò)。隨著網(wǎng)絡(luò)技術(shù)在各領(lǐng)域的應(yīng)用越來越廣泛，網(wǎng)絡(luò)安全成為我們關(guān)注的重點。我們需要一種簡單有效的方法來管理網(wǎng)絡(luò)的數(shù)據(jù)流量，就好像在交通網(wǎng)上安裝交通信號燈，設(shè)置禁行標(biāo)志，規(guī)定路線一樣。

訪問控制列表的主要作用

訪問控制列表就是用來在使用路由技術(shù)的網(wǎng)絡(luò)里，識別和過濾哪些由某些網(wǎng)絡(luò)發(fā)出的或者被發(fā)送去某些網(wǎng)絡(luò)的符合我們所規(guī)定條件的數(shù)據(jù)流量，以決定這些數(shù)據(jù)流量是應(yīng)該轉(zhuǎn)發(fā)還是丟棄的技術(shù)。

面對越來越復(fù)雜的網(wǎng)絡(luò)環(huán)境，網(wǎng)絡(luò)管理員必須在允許正當(dāng)訪問的同時，拒絕不受歡迎的連接，因為這些連接對我們的重要設(shè)備和數(shù)據(jù)具有危險性。雖然有一些方法可以應(yīng)對這種挑戰(zhàn)，如加密技術(shù)、回叫技術(shù)等，但這些方法不能提供對數(shù)據(jù)流量的精確、靈活的控制。而訪問控制列表可以通過對網(wǎng)絡(luò)數(shù)據(jù)流量的控制，過濾掉有害的數(shù)據(jù)包，達(dá)到執(zhí)行安全策略的目的。通過正確應(yīng)用訪問控制列表，網(wǎng)絡(luò)管理員幾乎可以做到任何他想要得到的安全策略。正是由于具備這樣的特征，使得訪問控制列表成為實現(xiàn)防火墻的重要手段。

在使用訪問控制列表時，把預(yù)先定義好的訪問控制列表作用在路由器的接口，對接口上進(jìn)方向（Inbound）或出方向（Outbound）的數(shù)據(jù)包進(jìn)行過濾。但是訪問控制列表只能過濾經(jīng)過路由器的數(shù)據(jù)包，對于路由器自己產(chǎn)生的數(shù)據(jù)包，應(yīng)用在接口上的訪問控制列表是不能過濾的。

除了在串行接口、以太網(wǎng)接口等物理接口上應(yīng)用訪問控制列表以實現(xiàn)控制數(shù)據(jù)流量的功能外，訪問控制列表還具有很多其他的應(yīng)用方式，比如，在虛擬終端線路（vty）上應(yīng)用訪問控制列表，可以實現(xiàn)允許網(wǎng)路管理員通過vty接口遠(yuǎn)程登錄（Telnet）到路由器上來的同時，阻止沒有權(quán)限的用戶遠(yuǎn)程登錄到路由器的功能。另外訪問控制列表還可以應(yīng)用在隊列技術(shù)、按需撥號、網(wǎng)路地址轉(zhuǎn)換（NAT）、基于策略的路由等多種技術(shù)。

訪問控制列表的工作過程及規(guī)范

由于訪問控制列表時用來過濾數(shù)據(jù)流量的技術(shù)，所以它一定是被放置在接口上使用的。同時，由于在接口上數(shù)據(jù)流量有進(jìn)口（In）和出口（Out）兩個方向，所以，在接口上使用訪問控制列表也有進(jìn)（In）和出（Out）兩個方向。進(jìn)方向的訪問控制列表負(fù)責(zé)過濾進(jìn)入接口的數(shù)據(jù)流量，出方向的訪問控制列表負(fù)責(zé)過濾從接口發(fā)出的數(shù)據(jù)流量。對于路由器的接口來說，在同一個接口上，每種路由協(xié)議的訪問控制列表（如IP協(xié)議的訪問控制列表、IPX協(xié)議的訪問控制列表等）都可以配置兩個，一個是進(jìn)（In），另一個是出（Out）。

圖1顯示了進(jìn)方向的訪問控制列表工作流程。當(dāng)設(shè)備端口接收到數(shù)據(jù)包時，首先確定ACL是否被應(yīng)用到了該端口，如果沒有，則正常地路由該數(shù)據(jù)包。如果有，則處理ACL，從第一條語句開始，將條件和數(shù)據(jù)包內(nèi)容相比較。如果沒有匹配，則處理列表的下一條語句，如果匹配，則執(zhí)行允許或者拒絕的操作。如果整個列表中沒有找到匹配的規(guī)則，則丟棄該數(shù)據(jù)包。

圖1 進(jìn)方向的訪問控制列表工作流程

圖2 出方向的訪問控制列表工作流程

圖2顯示了出方向的訪問控制列表工作流程。用于出方向的ACL工作過程也相似，當(dāng)設(shè)備收到數(shù)據(jù)包時，首先將數(shù)據(jù)包路由到輸出端口，然后檢查該端口上是否應(yīng)用ACL，如果沒有，將數(shù)據(jù)包排在隊列中，發(fā)送出端口。否則，數(shù)據(jù)包通過與ACL條目進(jìn)行比較處理。

無論使用哪個方向的訪問控制列表，都會對網(wǎng)絡(luò)速度產(chǎn)生影響，但是和訪問控制列表所帶來的好處相比，這種對速率的影響就顯得微不足道了。

訪問控制列表基本分為兩大類：標(biāo)準(zhǔn)訪問控制列表和擴(kuò)展訪問控制列表。標(biāo)準(zhǔn)訪問控制列表根據(jù)數(shù)據(jù)包的源IP地址定義規(guī)則，進(jìn)行數(shù)據(jù)包的過濾。擴(kuò)展訪問控制列表根據(jù)數(shù)據(jù)包的源IP地址、目的IP地址、源端口號、目的端口號和協(xié)議來定義規(guī)則，進(jìn)行數(shù)據(jù)包的過濾。

方位控制列表的配置有兩種方式：按編號的訪問控制列表和按照命名的訪問控制列表。標(biāo)準(zhǔn)訪問控制列表的編號范圍是1—99、1300—1999，擴(kuò)展訪問控制列表的編號范圍是100—199、2000—2699。