引言:网络流量控制现状据统计,P2P数据流量占因特网总流量达60%,并且在用户总数没有显著增长的情况下,P2P数据流量仍然在快速持续增长。它在改变数据网络流量突发性数学模型的同时,也影响了ISP的商业运作模式。如何掌握技巧,从而熟练利用IP标准访问控制列表进行网络流量控制。
现代网络通过路由技术,正在不断地把各种分布在不同区域、不同类型、不同用途的网络连接起来,就像一个复杂的交通网络。随着网络技术在各领域的应用越来越广泛,网络安全成为我们关注的重点。我们需要一种简单有效的方法来管理网络的数据流量,就好像在交通网上安装交通信号灯,设置禁行标志,规定路线一样。
访问控制列表就是用来在使用路由技术的网络里,识别和过滤哪些由某些网络发出的或者被发送去某些网络的符合我们所规定条件的数据流量,以决定这些数据流量是应该转发还是丢弃的技术。
面对越来越复杂的网络环境,网络管理员必须在允许正当访问的同时,拒绝不受欢迎的连接,因为这些连接对我们的重要设备和数据具有危险性。虽然有一些方法可以应对这种挑战,如加密技术、回叫技术等,但这些方法不能提供对数据流量的精确、灵活的控制。而访问控制列表可以通过对网络数据流量的控制,过滤掉有害的数据包,达到执行安全策略的目的。通过正确应用访问控制列表,网络管理员几乎可以做到任何他想要得到的安全策略。正是由于具备这样的特征,使得访问控制列表成为实现防火墙的重要手段。
在使用访问控制列表时,把预先定义好的访问控制列表作用在路由器的接口,对接口上进方向(Inbound)或出方向(Outbound)的数据包进行过滤。但是访问控制列表只能过滤经过路由器的数据包,对于路由器自己产生的数据包,应用在接口上的访问控制列表是不能过滤的。
除了在串行接口、以太网接口等物理接口上应用访问控制列表以实现控制数据流量的功能外,访问控制列表还具有很多其他的应用方式,比如,在虚拟终端线路(vty)上应用访问控制列表,可以实现允许网路管理员通过vty接口远程登录(Telnet)到路由器上来的同时,阻止没有权限的用户远程登录到路由器的功能。另外访问控制列表还可以应用在队列技术、按需拨号、网路地址转换(NAT)、基于策略的路由等多种技术。
由于访问控制列表时用来过滤数据流量的技术,所以它一定是被放置在接口上使用的。同时,由于在接口上数据流量有进口(In)和出口(Out)两个方向,所以,在接口上使用访问控制列表也有进(In)和出(Out)两个方向。进方向的访问控制列表负责过滤进入接口的数据流量,出方向的访问控制列表负责过滤从接口发出的数据流量。对于路由器的接口来说,在同一个接口上,每种路由协议的访问控制列表(如IP协议的访问控制列表、IPX协议的访问控制列表等)都可以配置两个,一个是进(In),另一个是出(Out)。
图1显示了进方向的访问控制列表工作流程。当设备端口接收到数据包时,首先确定ACL是否被应用到了该端口,如果没有,则正常地路由该数据包。如果有,则处理ACL,从第一条语句开始,将条件和数据包内容相比较。如果没有匹配,则处理列表的下一条语句,如果匹配,则执行允许或者拒绝的操作。如果整个列表中没有找到匹配的规则,则丢弃该数据包。
图1 进方向的访问控制列表工作流程
图2 出方向的访问控制列表工作流程
图2显示了出方向的访问控制列表工作流程。用于出方向的ACL工作过程也相似,当设备收到数据包时,首先将数据包路由到输出端口,然后检查该端口上是否应用ACL,如果没有,将数据包排在队列中,发送出端口。否则,数据包通过与ACL条目进行比较处理。
无论使用哪个方向的访问控制列表,都会对网络速度产生影响,但是和访问控制列表所带来的好处相比,这种对速率的影响就显得微不足道了。
访问控制列表基本分为两大类:标准访问控制列表和扩展访问控制列表。标准访问控制列表根据数据包的源IP地址定义规则,进行数据包的过滤。扩展访问控制列表根据数据包的源IP地址、目的IP地址、源端口号、目的端口号和协议来定义规则,进行数据包的过滤。
方位控制列表的配置有两种方式:按编号的访问控制列表和按照命名的访问控制列表。标准访问控制列表的编号范围是1—99、1300—1999,扩展访问控制列表的编号范围是100—199、2000—2699。