引言:網(wǎng)絡(luò)流量控制現(xiàn)狀據(jù)統(tǒng)計,P2P數(shù)據(jù)流量占因特網(wǎng)總流量達(dá)60%,并且在用戶總數(shù)沒有顯著增長的情況下,P2P數(shù)據(jù)流量仍然在快速持續(xù)增長。它在改變數(shù)據(jù)網(wǎng)絡(luò)流量突發(fā)性數(shù)學(xué)模型的同時,也影響了ISP的商業(yè)運作模式。如何掌握技巧,從而熟練利用IP標(biāo)準(zhǔn)訪問控制列表進(jìn)行網(wǎng)絡(luò)流量控制。
現(xiàn)代網(wǎng)絡(luò)通過路由技術(shù),正在不斷地把各種分布在不同區(qū)域、不同類型、不同用途的網(wǎng)絡(luò)連接起來,就像一個復(fù)雜的交通網(wǎng)絡(luò)。隨著網(wǎng)絡(luò)技術(shù)在各領(lǐng)域的應(yīng)用越來越廣泛,網(wǎng)絡(luò)安全成為我們關(guān)注的重點。我們需要一種簡單有效的方法來管理網(wǎng)絡(luò)的數(shù)據(jù)流量,就好像在交通網(wǎng)上安裝交通信號燈,設(shè)置禁行標(biāo)志,規(guī)定路線一樣。
訪問控制列表就是用來在使用路由技術(shù)的網(wǎng)絡(luò)里,識別和過濾哪些由某些網(wǎng)絡(luò)發(fā)出的或者被發(fā)送去某些網(wǎng)絡(luò)的符合我們所規(guī)定條件的數(shù)據(jù)流量,以決定這些數(shù)據(jù)流量是應(yīng)該轉(zhuǎn)發(fā)還是丟棄的技術(shù)。
面對越來越復(fù)雜的網(wǎng)絡(luò)環(huán)境,網(wǎng)絡(luò)管理員必須在允許正當(dāng)訪問的同時,拒絕不受歡迎的連接,因為這些連接對我們的重要設(shè)備和數(shù)據(jù)具有危險性。雖然有一些方法可以應(yīng)對這種挑戰(zhàn),如加密技術(shù)、回叫技術(shù)等,但這些方法不能提供對數(shù)據(jù)流量的精確、靈活的控制。而訪問控制列表可以通過對網(wǎng)絡(luò)數(shù)據(jù)流量的控制,過濾掉有害的數(shù)據(jù)包,達(dá)到執(zhí)行安全策略的目的。通過正確應(yīng)用訪問控制列表,網(wǎng)絡(luò)管理員幾乎可以做到任何他想要得到的安全策略。正是由于具備這樣的特征,使得訪問控制列表成為實現(xiàn)防火墻的重要手段。
在使用訪問控制列表時,把預(yù)先定義好的訪問控制列表作用在路由器的接口,對接口上進(jìn)方向(Inbound)或出方向(Outbound)的數(shù)據(jù)包進(jìn)行過濾。但是訪問控制列表只能過濾經(jīng)過路由器的數(shù)據(jù)包,對于路由器自己產(chǎn)生的數(shù)據(jù)包,應(yīng)用在接口上的訪問控制列表是不能過濾的。
除了在串行接口、以太網(wǎng)接口等物理接口上應(yīng)用訪問控制列表以實現(xiàn)控制數(shù)據(jù)流量的功能外,訪問控制列表還具有很多其他的應(yīng)用方式,比如,在虛擬終端線路(vty)上應(yīng)用訪問控制列表,可以實現(xiàn)允許網(wǎng)路管理員通過vty接口遠(yuǎn)程登錄(Telnet)到路由器上來的同時,阻止沒有權(quán)限的用戶遠(yuǎn)程登錄到路由器的功能。另外訪問控制列表還可以應(yīng)用在隊列技術(shù)、按需撥號、網(wǎng)路地址轉(zhuǎn)換(NAT)、基于策略的路由等多種技術(shù)。
由于訪問控制列表時用來過濾數(shù)據(jù)流量的技術(shù),所以它一定是被放置在接口上使用的。同時,由于在接口上數(shù)據(jù)流量有進(jìn)口(In)和出口(Out)兩個方向,所以,在接口上使用訪問控制列表也有進(jìn)(In)和出(Out)兩個方向。進(jìn)方向的訪問控制列表負(fù)責(zé)過濾進(jìn)入接口的數(shù)據(jù)流量,出方向的訪問控制列表負(fù)責(zé)過濾從接口發(fā)出的數(shù)據(jù)流量。對于路由器的接口來說,在同一個接口上,每種路由協(xié)議的訪問控制列表(如IP協(xié)議的訪問控制列表、IPX協(xié)議的訪問控制列表等)都可以配置兩個,一個是進(jìn)(In),另一個是出(Out)。
圖1顯示了進(jìn)方向的訪問控制列表工作流程。當(dāng)設(shè)備端口接收到數(shù)據(jù)包時,首先確定ACL是否被應(yīng)用到了該端口,如果沒有,則正常地路由該數(shù)據(jù)包。如果有,則處理ACL,從第一條語句開始,將條件和數(shù)據(jù)包內(nèi)容相比較。如果沒有匹配,則處理列表的下一條語句,如果匹配,則執(zhí)行允許或者拒絕的操作。如果整個列表中沒有找到匹配的規(guī)則,則丟棄該數(shù)據(jù)包。
圖1 進(jìn)方向的訪問控制列表工作流程
圖2 出方向的訪問控制列表工作流程
圖2顯示了出方向的訪問控制列表工作流程。用于出方向的ACL工作過程也相似,當(dāng)設(shè)備收到數(shù)據(jù)包時,首先將數(shù)據(jù)包路由到輸出端口,然后檢查該端口上是否應(yīng)用ACL,如果沒有,將數(shù)據(jù)包排在隊列中,發(fā)送出端口。否則,數(shù)據(jù)包通過與ACL條目進(jìn)行比較處理。
無論使用哪個方向的訪問控制列表,都會對網(wǎng)絡(luò)速度產(chǎn)生影響,但是和訪問控制列表所帶來的好處相比,這種對速率的影響就顯得微不足道了。
訪問控制列表基本分為兩大類:標(biāo)準(zhǔn)訪問控制列表和擴(kuò)展訪問控制列表。標(biāo)準(zhǔn)訪問控制列表根據(jù)數(shù)據(jù)包的源IP地址定義規(guī)則,進(jìn)行數(shù)據(jù)包的過濾。擴(kuò)展訪問控制列表根據(jù)數(shù)據(jù)包的源IP地址、目的IP地址、源端口號、目的端口號和協(xié)議來定義規(guī)則,進(jìn)行數(shù)據(jù)包的過濾。
方位控制列表的配置有兩種方式:按編號的訪問控制列表和按照命名的訪問控制列表。標(biāo)準(zhǔn)訪問控制列表的編號范圍是1—99、1300—1999,擴(kuò)展訪問控制列表的編號范圍是100—199、2000—2699。