网络设备互联与配置 崤函有忧：ACL概述 11.3 访问控制列表及配置.docVIP

11.3 访问控制列表及配置 路由器可以自由地将数据包转发至路由表指定的任何目的网络，无法满足对数据流进行控制的特定需求。为此，引入了访问控制列表（Access Control List，ACL）技术来实现数据包过滤。ACL是应用在路由器端口的指令列表，在路由器上读取OSI?参考模型的第3层及第4层包头中的信息，如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则，对包进行过滤，从而达到访问控制的目的。 本节将对访问控制列表ACL的基本原理、工作过程及配置方法进行详细的介绍。 11.3.1 ACL概述 在路由器上过滤数据包以控制网络中数据分组的传输，有利于限制数据流和某些用户或设备对网络的使用，提高网络带宽的利用率。访问控制列表（Access Control List，ACL）采用包过滤技术来允许或拒绝数据分组通过规定的路由器端口。本质上，ACL是应用在路由器端口上的一个有序的指令列表，这个指令列表具有同一个访问列表表号或名称，它通过接收的报文的源地址、目的地址、端口号等信息与访问列表参数的匹配情况，来决定允许或拒绝该报文通过路由器的某个端口。ACL的作用如图11-2所示。 图11-2 ACL控制网络数据分组的传输 访问控制列表由一组有序的条件（Conditions）语句构成，每条条件语句中表示行为的关键词Permit（允许）或Deny（拒绝）决定了匹配该条件语句的数据包是被允许还是被禁止通过路由器的指定端口。访问列表语句中表示条件的规则由上层协议、源地址、目标地址、端口号、时间区域以及其它一些选项等参数构成。 访问控制列表应用在路由器的端口上，对通过流入或流出该端口的数据包进行检查、过滤，依据设定的匹配条件决定是允许（Permit）其通过还是丢弃（Deny）。值得注意的是，ACL不会过滤其所在的路由器自身产生的数据流量。 ACL技术主要应用在三层交换机或路由器上进行网络安全属性配置，对进入路由器或三层交换机上指定端口的数据流按设定的条件进行过滤。在三层交换机或路由器上配置ACL时，只能通过命令行来完成配置，采用基于简单网络管理SNMP的软件无法完成相关设置。另外，ACL可以通过网络地址、TCP或UDP协议来标识输入数据包，以确定对符合过滤条件的数据包采取的行为是允许（Permit）还是拒绝（Deny）通过指定的端口。 ACL一般应用于企业或部门的内部网络（Intranet）和外部网络（Internet）之间的三层设备、两个网络互连的交界设备或接入控制端口的设备上，过滤网络流量以限制网络路由更新或限制网络访问，确保网络资源不被非法使用和访问，达到控制网络通信流量，提高网络性能。除此之外，在三层端口上配置ACL后，可以对入站端口、出站端口和通过三层设备中继的数据进行安全检测。 综合来说，访问控制列表的主要功能包括数据包过滤、数据流量分类和安全控制三项。 过滤数据包：随着用户网络连接到外部网络的路由器以及对Internet访问的增多，如何实现在拒绝不希望的数据流的同时允许合适的访问成为两难问题。此时，可以将ACL做为过滤器，以禁止一些不必要的数据包通过路由器或三层交换机访问内部子网中的敏感数据，并提高网络带宽的利用率。使用ACL过滤数据包如图11-3所示。 图11-3 ACL包过滤 三台主机通过路由器访问Internet，其中E-Mail数据流量被路由器上的ACL过滤掉，无法使用E-Mail服务，上网（HTTP）及QQ聊天的数据流顺利通过路由器访问了Internet。 分类数据流：在三层交换机或路由器上可以使用ACL来识别特定的数据流。通过ACL识别数据流并将其分类后，就可以通过相关的配置来指示路由器如何处理这些数据流。该功能一般应用于拥有两条或两条以上备份网络链路的情况下，利用ACL和路由策略对不同的数据流进行分流，为不同优先级的数据包选择不同的链路。该功能如图11-4所示。 图11-4 ACL分类数据流 当销售部、工程部和行政部的数据流到达路由器时，ACL将数据流标识为普通数据流和业务数据流，再通过路由策略将这些数据流分别交给普通数据链路和VPN线路传送给不同的服务器。 ACL对数据流进行区别和分类，可以让用户对ACL定义的数据流进行特殊的处理，包括： eq \o\ac(○,1) 结合使用基于策略的路由选择来确定通过专用数据链路传输哪些数据流； eq \o\ac(○,2) 结合使用网络地址转换技术NAT确定要转发哪些地址； eq \o\ac(○,3) 结合使用QoS来确定发生拥塞时应调度队列中的哪些分组； eq \o\ac(○,4) 结合使用路由过滤来确定要将哪些路由包含在路由器之间传输的路由选择更新中； eq \o\ac(○,5) 识别要将其从一种路由选择协议重分发到另一种路由选择协议中的路由；