《第7章#127; 访问控制列表 #127; 》.pdfVIP

第 7 章 访问控制列表 路由器根据路由表转发数据，只要存在路由，路由器可以把任何数据转发到任意目的地。 但有些时候需要对数据进行控制，比如出于安全目的需要过滤那些对网络进行恶意攻击的数 据包。互联网是一个开放的网络平台，如何确保数据在这个开放的平台上的安全，越来越成 为人们关注的焦点。访问控制列表（ACL——Access Control List ）就是能够在路由器上检查 并过滤数据包的技术之一。 7.1 ACL 概述 随着网络应用范围的扩大，如何控制使用互连网的权限成了网络管理员面临的新问题。 例如怎样识别合法用户；怎样拒绝非法用户的访问等。访问控制列表是一个控制网络数据的 有力工具，它可以设定不同的条件，灵活地过滤数据流，在不妨碍合法通信的同时阻止非法 或不必要的数据，保护网络资源。 访问控制列表的用途非常广泛，例如： ² 出于安全目的，使用访问控制列表检查和过滤数据包。 ² 对数据流进行限制高网络的性能。 ² 限制或减少路由更新的内容。 ² 按照优先级或用户队列识别数据包。 ² 定义经由隧道（VPN ）传输的数据。 ² 定义地址翻译的条件。 访问控制列表由一组有序的条件语句构成，每个条件语句中的关键词 permit （允许）或 deny （禁止）决定了匹配该条件语句的数据是被允许还是被禁止通过路由器的接口。条件中 的匹配参数可以是上层协议、源或目的地址、端口号及其它一些选项。访问控制列表应用在 接口上，对通过该接口的数据包进行检查、过滤。 提醒：访问控制列表不检查使用该列表的路由器自身产生的数据包。 访问控制列表对进入路由器的数据（称为 in 方向）和从路由器外出的数据（称为 out 方向）分别控制。如果只禁止某种数据从某个接口进入，那么这种数据仍然可以从该接口 发送到网络上。 访问控制列表是基于协议生成并生效的。每种协议集都有自己的访问控制列表，他们可 以共存于同一台路由器上运行，分别对各自协议的数据包进行检查过滤。如今互连网只使 用单一的 IP 协议集，因此本章只讨论 IP 协议集的访问控制列表。 访问控制列表的条件参数都在 IP 数据包中（图 7-1），协议号和 IP 地址（源地址和目 的地地址）都在 IP 报头部分，端口号在 IP 包的数据部分，也就是第四层的报头部分。 ·2 · CCNP BSCI 详解（考试号 642-801 ） 路由器检查每一个通过应用了访问控制列表的接口的数据包，把 IP 数据包中的参数和 访问控制列表中的条件参数做比较，如果这两个参数相同，就意味着该数据包匹配了条件。 根据条件语句中的关键词，路由器对数据包作出相应的处理——允许或禁止数据包从接口 进或者出。 图 7-1 IP 报文头结构 7.2 执行 ACL 的过程 当数据通过应用了访问控制列表的接口时，就要对照访问控制列表执行检查，过程如图 7-2 所示。图中述的是当数据离开路由器时在它的出口上遇到了访问控制列表，在入口上 没有访问控制列表。 图 7-2 数据包通过接口的过程 数据包从某个接口到达后，路由器首先查阅路由表，看是否存在转发该数据的路由，若 遇到任何不可路由的情况，数据包就被丢弃；若是可路由的，路由器则根据路由表选择转发 该数据的接口。 在数据被送出路由器之前，路由器检查出口上是否存在访问控制列表，如果没有，就把 这个数据包送出路由器；如果接口上存在访问列表，就根据访问列表中的条件语句检查数 第 1 章 IP 地址详解 ·3 · 据包，判断访问列表是否允许此数据包通过，若允许，把数据包从接口送出；若不允许， 数据包被丢弃。 根据实际需要，一个访问控制列表中可以有多个条件语句，这些条件语句以合理的顺序 排列，路由器按照它们的先后顺序逐条匹配数据包。 如果数据包与访问列表中的某一条件语句相匹配（满足条件），