一、引言

    ACL是一種基于包過濾的流控制技術(shù)，在路由器中被廣泛采用，它可以有效的在三層上控制網(wǎng)絡(luò)用戶對(duì)網(wǎng)絡(luò)資源的訪問，既可以具體到兩臺(tái)網(wǎng)絡(luò)設(shè)備間的網(wǎng)絡(luò)應(yīng)用，也可以按照網(wǎng)段進(jìn)行大范圍的訪問控制管理。通過實(shí)施ACL，可以有效的部署企業(yè)網(wǎng)絡(luò)出網(wǎng)策略，也可以用來控制對(duì)局域網(wǎng)內(nèi)部資源的訪問能力，保障資源安全性，但會(huì)增加路由器開銷，也會(huì)增加管理的復(fù)雜度和難度，是否采用ACL技術(shù)，是管理效益與網(wǎng)絡(luò)安全之間的一個(gè)權(quán)衡。初期僅在路由器上支持ACL，近些年來已經(jīng)擴(kuò)展到三層交換機(jī)，部分二層交換機(jī)如2950之類也開始提供ACL的支持。

二、概述

    1．ACL工作原理

    ACL：Acess Control List，即訪問控制列表。這張表中包含了匹配關(guān)系、條件和查詢語句，ACL表只是一個(gè)框架結(jié)構(gòu)，其目的是為了對(duì)某種訪問進(jìn)行控制，使用包過濾技術(shù)，在路由器上讀取第三層及第四層包頭中的信息如源地址、目的地址、源端口、目的端口等，根據(jù)預(yù)先定義好的規(guī)則對(duì)包進(jìn)行過濾，從而達(dá)到訪問控制的目的。(注意：過濾的依據(jù)僅僅只是第三層和第四層包頭中的部分信息，如無法識(shí)別到具體的人，無法識(shí)別到應(yīng)用內(nèi)部的權(quán)限級(jí)別等。因此，要和系統(tǒng)級(jí)及應(yīng)用級(jí)的訪問權(quán)限控制結(jié)合使用)

    ACL中規(guī)定了兩種操作，所有的應(yīng)用都是圍繞這兩種操作來完成的：允許、拒絕。ACL主要用于對(duì)入站數(shù)據(jù)、出站數(shù)據(jù)、被路由器中繼的數(shù)據(jù)進(jìn)行控制。

    2．ACL工作過程

    （1）無論路由器上有沒有ACL，接到數(shù)據(jù)包后，當(dāng)數(shù)據(jù)進(jìn)入某個(gè)入站口時(shí)，路由器首先對(duì)其進(jìn)行檢查，看其是否可路由，如果不可路由那么就丟棄，否則通過查路由選擇表發(fā)現(xiàn)該路由的詳細(xì)信息及對(duì)應(yīng)的出接口：

    （2）假設(shè)可路由，則找出要將其送出站的接口，此時(shí)路由器檢查該出站口有沒有被編入ACL，沒有，則直接從該口送出。如果有ACL，骼由器將依照從上到下的順序依次將該數(shù)據(jù)和ACL進(jìn)行匹配，逐條執(zhí)行，如果與其中某條ACL匹配，根據(jù)該ACL指定操作對(duì)數(shù)據(jù)進(jìn)行相應(yīng)處理(允許或拒絕)，并停止繼續(xù)查詢；如果查到ACL的末尾也未找到匹配，則調(diào)用ACL最末尾的一條隱含語句deny any將該數(shù)據(jù)包丟棄；

    （3）ACL有兩種類型：入站ACL和出站ACL。上面的工作過程的解釋是針對(duì)出站ACL，它是在數(shù)據(jù)包進(jìn)入路由器并進(jìn)行了路由選擇找到了出接口后進(jìn)行的匹配操作；而人站ACL是指當(dāng)數(shù)據(jù)剛進(jìn)入路由器接口時(shí)進(jìn)行的匹配操作，減少了查表過程，但并不能說人站表省略了路由過程就認(rèn)為它較之出站表更好，要依照實(shí)際情況。

三、主要ACL技術(shù)

    訪問控制列表大的劃分可分為兩類：標(biāo)準(zhǔn)訪問控制列表和擴(kuò)展訪問控制列表，他們的命令都具有基本格式：Access—list access—list—nun—ber{permit／deny}match—condition

    1．標(biāo)準(zhǔn)IP訪問控制列表

    一個(gè)標(biāo)準(zhǔn)IP訪問控制列表匹配IP包中的源地址或源地址中的一部分，可對(duì)匹配的包采取拒絕或允許兩個(gè)操作。編號(hào)范圍是從1到99的訪問控制列表是標(biāo)準(zhǔn)IP訪問控制列表。

    2．?dāng)U展IP訪問控制列表

    擴(kuò)展IP訪問控制列表比標(biāo)準(zhǔn)IP訪問控制列表具有更多的匹配項(xiàng)，包括協(xié)議類型、源地址、目的地址、源端口、目的端口、建立連接的和IP優(yōu)先級(jí)等。編號(hào)范圍從100到199的訪問控制列表是擴(kuò)展IP訪問控制列表。

    3．命名的IP訪問控制列表

    所謂命名的IP訪問控制列表是以列表名代替列表編號(hào)來定義IP訪問控制列表，同樣包括標(biāo)準(zhǔn)和擴(kuò)展兩種列表，定義過濾的語句與編號(hào)方式中相似。

    實(shí)際依據(jù)具體需要而選用不同的控制列表。

四、配置ACL實(shí)例

    總體思想是先在全局配置模式下設(shè)置ACL，后在接口配置模式下將ACL綁定到端口，越精確的表項(xiàng)越靠前，而越籠統(tǒng)的表項(xiàng)越靠后放置。

    1．ACL標(biāo)準(zhǔn)控制列表配置實(shí)例：

    要求網(wǎng)絡(luò)192．168．10．0／24網(wǎng)段上的服務(wù)器資源禁止被192．168．20．0／24網(wǎng)段上的主機(jī)訪問。

    配置如下：

    （1）準(zhǔn)備工作：

    假設(shè)網(wǎng)絡(luò)基本配置(IP地址和路由)已經(jīng)完成，但要在路由器RTA上做子接口。

    RTA(config)#interface fastEthemet 0／0．1

    RTA(config-subif)#encapsulation dotlq 10(在交換機(jī)SW上已劃分VLAN 10，20)

    RTA(config—subi0#ip address 192．168．10．1 255．255．255．128

    RTA(config)#interface fastEthemet 0／0．2

    RTA(config-subif)#encapsulation dotlq 20

    RTA(config-subif)#ip address 192．168，t0．129 255．255．255．128

    （2）ACL配置：

    ①確定未配置ACL之前的訪問PC2訪問PCI、BBS、Web暢通：

    PC2 ping PCI、BBS、Web的IP地址；

    ②在路由器上RTA上做適當(dāng)?shù)腁CL配置，確保PC2不能訪問

    RTA上192，168，10．0／24網(wǎng)段上的服務(wù)器資源，命令如下：

    RTA(config)#access—list 10 deny 192．168．20．0 0．0．0．255——拒絕192．168，20．0網(wǎng)段

    RTA(config)#access—list 10denyhost 192．168．20．110—拒絕192．168．

    20．110這臺(tái)具體的機(jī)器

    RTA(config)#aceess—list 10 permit any一允許其他的IP訪問(一個(gè)正確的ACL語句必然包含至少一條permit語句)

    ③ACL應(yīng)用：將在RTA上做得ACL 10控制列表應(yīng)用到Web和BBS服務(wù)器所在子網(wǎng)(192．168．10．0／25的后半個(gè)c)在路由器上對(duì)應(yīng)的予接口F0／0．2上。

    RTA(eonfig)#interface fastEthemet 0／0．2

    RTA(config—subi0#ip access—group 10 out

    ④測(cè)試驗(yàn)證：PC2 ping PCI、BBS、Web，確定不能訪問RTA上192．168，10．0124網(wǎng)段上的服務(wù)器資源(192．168．10．0／25的后半個(gè)C)，而能訪問PCI。

    2．ACL擴(kuò)展控制列表配置實(shí)例：

    要求內(nèi)網(wǎng)中192．168．20．140／25的用戶不能訪問www服務(wù)(即拓?fù)鋱D中的BBS服務(wù)和Web服務(wù))。

    主要配置命令如下：

    RTA(config)#access—list 100 deny tcp 192．168．20．140 0．0．0．127 any eq 80

    RTA(config)#access-list 100 permit ip any any

    RTA(config)#interface fastEthernet 0／0．2

    RTA(config)#ip access-group 100 in

五、ACL相關(guān)問題

    1．正確放置ACL：ACL通過過濾數(shù)據(jù)包并且丟棄不希望抵達(dá)目的地的數(shù)據(jù)包來控制通信流量。然而，網(wǎng)絡(luò)能否有效地減少不必要的通信流量，這還要取決于網(wǎng)絡(luò)管理員把ACL放置在哪個(gè)地方，標(biāo)準(zhǔn)ACL要盡量靠近目的端，擴(kuò)展ACL要盡量靠近源端。

    2．定義要完整：ACL的定義也是基于每一種協(xié)議的。如果路由器接口配置成為支持三種協(xié)議(IP、AppleTalk以及IPX)的情況，那么，用戶必須定義三種ACL來分別控制這三種協(xié)議的數(shù)據(jù)包。

    3．ACL命令中的in和out：這兩個(gè)參數(shù)可以控制接口中不同方向的數(shù)據(jù)包，缺省為out。ACL在一個(gè)接口可以進(jìn)行雙向控制，兩條命令執(zhí)行的ACL表號(hào)可以不同，但在一個(gè)接口的一個(gè)方向上只能有一個(gè)ACL控制。

    4．ACL的發(fā)展：在Cisco IOSll．2以后的版本中，可以使用名字命名的ACL；從IOS 12．0開始，Cisco路由器新增加了一種基于時(shí)間的ACL，可以根據(jù)不同時(shí)間來控制網(wǎng)絡(luò)數(shù)據(jù)包的轉(zhuǎn)發(fā)，對(duì)于編號(hào)訪問表和名稱訪問表均適用；基于端口和VLAN的訪問控制列表，可對(duì)交換機(jī)的具體對(duì)應(yīng)端口或整個(gè)VLAN進(jìn)行訪問控制；帶有Established的擴(kuò)展訪問列表允許內(nèi)部用戶訪問外部網(wǎng)絡(luò)，而拒絕外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)，但established語句只支持TCP協(xié)議，還要設(shè)置相應(yīng)的ACL語句將需要的UDP等傳輸打開。

六、結(jié)束語

    在實(shí)施ACL的過程中，應(yīng)當(dāng)遵循最小特權(quán)原則(只給受控對(duì)象完成任務(wù)所必須的最小的權(quán)限)和默認(rèn)丟棄原則(在CISCO路由交換設(shè)備中默認(rèn)最后一句為ACL中加入了DENY ANY ANY，也就是丟棄所有不符合條件的數(shù)據(jù)包)。

    訪問控制列表ACL增加了在路由器接口上過濾數(shù)據(jù)包出入的靈活性，可以用來限制網(wǎng)絡(luò)流量，也可以控制用戶和設(shè)備對(duì)網(wǎng)絡(luò)的使用，一般的路由器都提供了ACL功能，對(duì)于一些網(wǎng)絡(luò)流量不是很大的場(chǎng)合，完全可以借助ACL使路由器實(shí)現(xiàn)防火墻的部分功能，但他不能完全的代替防火墻。當(dāng)接收一個(gè)數(shù)據(jù)包時(shí)，ACL先檢查訪問控制列表，再執(zhí)行相應(yīng)的接受和拒絕的步驟，并不能像專業(yè)的防火墻那樣作相應(yīng)的數(shù)據(jù)包的分析。如果讓ACL代替防火墻，會(huì)讓路由器無法工作，ACL只是初級(jí)防范。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：ACL技術(shù)原理淺析及實(shí)例

本文網(wǎng)址：http://www.ezxoed.cn/html/support/1112155462.html