引言:網絡流量控制現狀據統(tǒng)計,P2P數據流量占因特網總流量達60%,并且在用戶總數沒有顯著增長的情況下,P2P數據流量仍然在快速持續(xù)增長。它在改變數據網絡流量突發(fā)性數學模型的同時,也影響了ISP的商業(yè)運作模式。如何掌握技巧,從而熟練利用IP標準訪問控制列表進行網絡流量控制。
現代網絡通過路由技術,正在不斷地把各種分布在不同區(qū)域、不同類型、不同用途的網絡連接起來,就像一個復雜的交通網絡。隨著網絡技術在各領域的應用越來越廣泛,網絡安全成為我們關注的重點。我們需要一種簡單有效的方法來管理網絡的數據流量,就好像在交通網上安裝交通信號燈,設置禁行標志,規(guī)定路線一樣。
訪問控制列表就是用來在使用路由技術的網絡里,識別和過濾哪些由某些網絡發(fā)出的或者被發(fā)送去某些網絡的符合我們所規(guī)定條件的數據流量,以決定這些數據流量是應該轉發(fā)還是丟棄的技術。
面對越來越復雜的網絡環(huán)境,網絡管理員必須在允許正當訪問的同時,拒絕不受歡迎的連接,因為這些連接對我們的重要設備和數據具有危險性。雖然有一些方法可以應對這種挑戰(zhàn),如加密技術、回叫技術等,但這些方法不能提供對數據流量的精確、靈活的控制。而訪問控制列表可以通過對網絡數據流量的控制,過濾掉有害的數據包,達到執(zhí)行安全策略的目的。通過正確應用訪問控制列表,網絡管理員幾乎可以做到任何他想要得到的安全策略。正是由于具備這樣的特征,使得訪問控制列表成為實現防火墻的重要手段。
在使用訪問控制列表時,把預先定義好的訪問控制列表作用在路由器的接口,對接口上進方向(Inbound)或出方向(Outbound)的數據包進行過濾。但是訪問控制列表只能過濾經過路由器的數據包,對于路由器自己產生的數據包,應用在接口上的訪問控制列表是不能過濾的。
除了在串行接口、以太網接口等物理接口上應用訪問控制列表以實現控制數據流量的功能外,訪問控制列表還具有很多其他的應用方式,比如,在虛擬終端線路(vty)上應用訪問控制列表,可以實現允許網路管理員通過vty接口遠程登錄(Telnet)到路由器上來的同時,阻止沒有權限的用戶遠程登錄到路由器的功能。另外訪問控制列表還可以應用在隊列技術、按需撥號、網路地址轉換(NAT)、基于策略的路由等多種技術。
由于訪問控制列表時用來過濾數據流量的技術,所以它一定是被放置在接口上使用的。同時,由于在接口上數據流量有進口(In)和出口(Out)兩個方向,所以,在接口上使用訪問控制列表也有進(In)和出(Out)兩個方向。進方向的訪問控制列表負責過濾進入接口的數據流量,出方向的訪問控制列表負責過濾從接口發(fā)出的數據流量。對于路由器的接口來說,在同一個接口上,每種路由協(xié)議的訪問控制列表(如IP協(xié)議的訪問控制列表、IPX協(xié)議的訪問控制列表等)都可以配置兩個,一個是進(In),另一個是出(Out)。
圖1顯示了進方向的訪問控制列表工作流程。當設備端口接收到數據包時,首先確定ACL是否被應用到了該端口,如果沒有,則正常地路由該數據包。如果有,則處理ACL,從第一條語句開始,將條件和數據包內容相比較。如果沒有匹配,則處理列表的下一條語句,如果匹配,則執(zhí)行允許或者拒絕的操作。如果整個列表中沒有找到匹配的規(guī)則,則丟棄該數據包。
圖1 進方向的訪問控制列表工作流程
圖2 出方向的訪問控制列表工作流程
圖2顯示了出方向的訪問控制列表工作流程。用于出方向的ACL工作過程也相似,當設備收到數據包時,首先將數據包路由到輸出端口,然后檢查該端口上是否應用ACL,如果沒有,將數據包排在隊列中,發(fā)送出端口。否則,數據包通過與ACL條目進行比較處理。
無論使用哪個方向的訪問控制列表,都會對網絡速度產生影響,但是和訪問控制列表所帶來的好處相比,這種對速率的影響就顯得微不足道了。
訪問控制列表基本分為兩大類:標準訪問控制列表和擴展訪問控制列表。標準訪問控制列表根據數據包的源IP地址定義規(guī)則,進行數據包的過濾。擴展訪問控制列表根據數據包的源IP地址、目的IP地址、源端口號、目的端口號和協(xié)議來定義規(guī)則,進行數據包的過濾。
方位控制列表的配置有兩種方式:按編號的訪問控制列表和按照命名的訪問控制列表。標準訪問控制列表的編號范圍是1—99、1300—1999,擴展訪問控制列表的編號范圍是100—199、2000—2699。