使用访问列表检查访问流量.docVIP

第 10 章 使用访问列表管理网络流量 教学提示： 路由器除了用来进行路径选择以外，还可以对网络进行简单的安全保护。通过设置访 问控制列表来控制和过滤通过路由器的信息流。本章主要讲述使用标准访问控制列表和扩 展访问控制列表控制网络流量的方法，同时提供了标准访问控制列表和扩展访问控制列表 以及在路由接口应用 ACL 的例子。 教学要求： 掌握访问控制列表的设置和控制网络流量的方法。 10.1 访问控制列表 10.1.1 ACL 概述 对于许多网络管理员来说，配置路由器的访问控制列表是一件经常性的工作，可以说 路由器的访问控制列表是网络安全保障的第一道关卡。访问控制列表提供了一种机制，它 可以控制和过滤通过路由器的不同接口去往不同方向的信息流。这种机制允许用户使用访 问表来管理信息流，以制定公司内部网络的相关策略。例如，网络管理员可以通过配置访 问表来实现允许用户访问 Internet，却不允许外部用户通过 Telnet 进入到本地局域网的目的。 通过配置访问控制列表(ACL，Access Control Lists)，可以使路由器提供基本的流量过 滤能力。ACL 是一个连续的允许和拒绝语句的集合，关系到地址或上层协议。 正确配置 ACL 和明确在网络的什么地方放置 ACL 是非常重要的。ACL 在网络中可实 现多种功能，一般来说包括以下几方面。 (1) 内部过滤分组。 (2) 保护内部网络免受来自 Internet 的非法入侵。 (3) 限制对虚拟终端端口的访问。 ACL 是应用在路由器接口的指令列表。这些指令告诉路由器哪些分组可以接收，哪些 分组需要拒绝。接收和拒绝基于一定的条件，例如源地址、目标地址以及 TCP/UDP 端口 号等。 提醒：ACL 会占用路由器的 CPU 资源，因为每一个分组都要交给 CPU 处理。 ACL 通过应用访问控制列表到路由器接口来管理流量和审视特定分组。任何经过该接 口的流量都要接受 ACL 中条件的检测。 ACL 适用于所有的路由协议，例如 IP、IPX 等，当分组经过路由器时进行过滤。可在 路由器上配置 ACL 以控制对某一网络或子网的访问。 ACL 通过在路由器接口处控制被路由的分组是被转发还是被阻塞来过滤网络流量，路  •232· 网络互联及路由器技术教程与实训 由器基于 ACL 中指定的条件来决定转发还是丢掉分组。ACL 中的条件可以是流量的源地 址、流量的目的地址、上层协议、端口号或应用等。 ACL 的定义必须基于每个协议。换句话说，如果想在某个接口控制某种协议的数据流， 必须对该接口处的每一个协议定义单独的 ACL(有些协议也把 ACL 称为过滤器)。例如，如 果路由器接口配置成支持 3 种协议(IP、AppleTalk 及 IPX)，那么至少需要定义 3 个 ACL。 如图 10.1 所示，通过增加灵活性，为每个协议的 ACL 创建一个编号范围或方案，ACL 将 成为网络控制的工具，用于过滤进出路由器接口的分组。 图 10.1 ACL 图例 建立 ACL 的原因很多，主要有以下 4 点。 (1) 限制网络流量，提高网络性能。ACL 能够基于分组的协议指定一定分组的级别可 被路由器优先处理，即排队。排队确保路由器不去处理那些不需要的分组。排队限制了网 络流量，减少了网络拥塞。 (2) 提供流量控制。ACL 能够限定或简化路由器选择更新的内容。这些限定常用于限 定关于特定网络的信息通过网络传播。 (3) 提供网络访问的基本安全级别。ACL 允许一个主机访问网络的一部分，而阻止其 他主机访问相同的区域。如图 10.2 所示，允许主机 A 和主 B 访问人事处的网络，而拒绝主 机 C 访问人事处的网络。如果不在路由器上配置 ACL，那么所有经过路由器的分组都能够 到达网络的所有部分。 图 10.2 限制网络流量 •232·  第 10 章 使用访问列表管理网络流量 •233· (4) 在路由器接口决定哪种流量被转发或被阻塞。例如，可以允许 E-mail 流量被路由， 但同时阻塞所有 Telnet 流量。 技巧：经验法则是每个接口，每个方向一个 ACL。 10.1.2 ACL 的创建和使用 当创建一个 ACL 时顺序是至关重要的。当流量流入或流出应用了 ACL 的路由器接口 时，操作系统软件会将分组 ACL 中定义的规则相比较。比较判断是按照网络管理员在 ACL 中输入的语句顺序执行的。当比较分组时，一次一句按顺序比较，直到与某一条语句匹配。 一旦与某一条语句匹配，就执行匹配的语句行中所指定的动作，不再检查