肖耀國(guó)

摘要：互聯(lián)網(wǎng)時(shí)代的今天，網(wǎng)絡(luò)安全問(wèn)題逐漸被人們重視起來(lái)，訪問(wèn)控制列表作為網(wǎng)絡(luò)設(shè)備，管控網(wǎng)絡(luò)各類數(shù)據(jù)，是網(wǎng)絡(luò)安全技術(shù)中常用的一種手段。該文以校園網(wǎng)為例，首先介紹了訪問(wèn)控制列表的作用和分類，然后敘述了訪問(wèn)控制列表定位丟包功能，可以有效保障校園網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行。

關(guān)鍵詞：訪問(wèn)控制列表；校園網(wǎng)絡(luò)；定位丟包

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2017）17-0033-02

1ACL介紹

接入訪問(wèn)控制列表英文全稱（Access Control Lists，簡(jiǎn)稱ACL）。目前按照功能劃分主要分為安全的ACL和基于服務(wù)質(zhì)量的Qos ACL兩大類。接入訪問(wèn)控制列表主要功能是對(duì)網(wǎng)絡(luò)數(shù)據(jù)流按照管理員設(shè)定的模板進(jìn)行過(guò)濾，限制網(wǎng)絡(luò)中數(shù)據(jù)類型、使用者和特定設(shè)備等。安全的ACL在網(wǎng)絡(luò)數(shù)據(jù)流經(jīng)網(wǎng)絡(luò)設(shè)備的時(shí)候，首先對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分類、然后進(jìn)行檢查。完成分類和檢查后，根據(jù)網(wǎng)絡(luò)管理員設(shè)置的conditions匹配條件，決定對(duì)各類網(wǎng)絡(luò)數(shù)據(jù)的處理方式，處理方式通過(guò)包括允許（permit）和丟棄（deny）。網(wǎng)絡(luò)數(shù)據(jù)通過(guò)安全ACL處理后，下一步可以使用基于服務(wù)質(zhì)量的QosACL策略，對(duì)符合管理員預(yù)先設(shè)置的QosACL對(duì)網(wǎng)絡(luò)數(shù)據(jù)類型進(jìn)行優(yōu)先級(jí)的分類處理，類似交通警察對(duì)馬路上各類車輛進(jìn)行優(yōu)先級(jí)的差異化處理模式。

ACL通常是用各種類型的功能表項(xiàng)，依照網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)進(jìn)行有效管理而產(chǎn)生的集合統(tǒng)稱為接入控制列表表項(xiàng)（Ac-cess Control Entry：ACE）。下面通過(guò)5個(gè)地區(qū)和5個(gè)地區(qū)管理員舉例說(shuō)明ACL和ACE的關(guān)系。A地區(qū)處于B、C、D、E地區(qū)包圍之中，并與其4個(gè)地區(qū)相鄰。A地區(qū)人員前往其他地區(qū)，必須經(jīng)由A地區(qū)管理員檢查后才能離開A地區(qū)。其他B、C、D、E地區(qū)的人員想前往地區(qū)，也必須途徑A地區(qū)才到到達(dá)目的地。A地區(qū)的管理員對(duì)經(jīng)由本地區(qū)的人員進(jìn)行嚴(yán)格的過(guò)境人員身份檢查限制，其過(guò)境檢查規(guī)則如圖1。

A地區(qū)通往其他四個(gè)地區(qū)均有不同的出口通道，因?yàn)锳地區(qū)管理人員有限，故每天通過(guò)出口通過(guò)的人數(shù)都有一定限制?；谶@種情況，A地區(qū)管理機(jī)構(gòu)根據(jù)人員身份不同進(jìn)行了分類處理，給特殊人群不同的待遇，方便特殊人群進(jìn)出出口通道。具體情況如圖2。

通過(guò)上面的例子，網(wǎng)絡(luò)設(shè)備就如同A地區(qū)管理員一樣，要對(duì)通過(guò)A地區(qū)所有人員進(jìn)行分類、檢查、處理。與A地區(qū)相鄰的四個(gè)地區(qū)出口就如同網(wǎng)絡(luò)設(shè)備的四接口。管理人員采用不同的規(guī)則如圖1所示就是安全ACL，而對(duì)進(jìn)入人員進(jìn)行身份識(shí)別規(guī)則就是QoS ACL。A地區(qū)管理員對(duì)出入人員的每一條規(guī)則就是ACE，若干條ACE組合在一起形成了完整的ACL，而每一條身份識(shí)別可以理解為是ACE規(guī)則條件。對(duì)于出入人員能否通過(guò)就如同ACE處理方式中的允許（permit）和拒絕（deny）。

地區(qū)管理員對(duì)出入地管理規(guī)則中每一條細(xì)則稱為ACE，ACE通常要對(duì)人員身份進(jìn)行識(shí)別，按照?qǐng)D1所示的人員身份情況進(jìn)行相關(guān)人員進(jìn)行permit和deny兩種處理方式。例如當(dāng)出人A地區(qū)人員滿足從B地區(qū)到D地區(qū)（條件三）的時(shí)候，A地區(qū)管理員會(huì)對(duì)這類人員進(jìn)行（permit）處理方式；如攜帶危險(xiǎn)物品人員進(jìn)入A地區(qū)，ACE會(huì)根據(jù)圖1的條件一拒絕進(jìn)入A地區(qū)，其處理方式為（deny）。

同理，圖2的人境身份識(shí)別規(guī)則組合在一起就形成了ACL，而形成ACL中的每一條規(guī)則則是ACE。圖2的ACL是先讓人員進(jìn)人A地區(qū)后進(jìn)行檢查后，在對(duì)應(yīng)ACL規(guī)則進(jìn)行處理。因此每條規(guī)則中都隱藏著允許人員進(jìn)人A地區(qū)，利用QOS進(jìn)行分類識(shí)別后，要求對(duì)各類人員進(jìn)行permit和deny的處理行為。而在各類網(wǎng)絡(luò)設(shè)備中QoS ACL是不能定義deny為首條規(guī)則的ACE。

通過(guò)上述的例子，A地區(qū)依照自己本地區(qū)的特點(diǎn)和相關(guān)地區(qū)的友好程度，可以制定不同的規(guī)則。如A地區(qū)與C地區(qū)關(guān)系非常融洽，制定針對(duì)C地區(qū)非常寬松的規(guī)則。B地區(qū)因其他因素導(dǎo)致存在大量攜帶危險(xiǎn)物品的人員，故B地區(qū)經(jīng)過(guò)A地區(qū)的人員進(jìn)行嚴(yán)格檢查。同理針對(duì)網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)設(shè)備的不同接口，也可以定義不同規(guī)則的ACL。

2ACL的輸入和輸出

訪問(wèn)控制列表各類規(guī)則制定完善后，需要定義在不同的接口。在接口處配合制定好的規(guī)則才能形成良好的管理方式和方法。例如第一節(jié)的例子中，A地區(qū)管理員對(duì)出入境人員管理方式可以采用以下三種方式：

（1）進(jìn)入A地區(qū)和出A地區(qū)進(jìn)行雙重檢查；

（2）進(jìn)入A地區(qū)檢查、出A地區(qū)不檢查；

（3）進(jìn)入A地區(qū)不檢查、出A地區(qū)檢查。

在網(wǎng)絡(luò)設(shè)備中，在接口處輸入和輸出ACL，類似A地區(qū)出入人員管理規(guī)則。分別在網(wǎng)絡(luò)設(shè)備接口處對(duì)進(jìn)出數(shù)據(jù)進(jìn)行檢查，也可以采用以下三種方式：

（1）進(jìn)入接口和出接口處進(jìn)行雙重檢查；

（2）進(jìn)入接口時(shí)檢查、出接口時(shí)不檢查；

（3）進(jìn)入接口時(shí)不檢查、出接口時(shí)檢查。

數(shù)據(jù)在經(jīng)過(guò)網(wǎng)絡(luò)設(shè)備接口接收到報(bào)文時(shí)，需要對(duì)報(bào)文進(jìn)行檢查，確定該報(bào)文是否與該接口輸入ACL中某條ACE相匹配。而輸出ACL和輸入ACL類似，當(dāng)報(bào)文已經(jīng)經(jīng)過(guò)網(wǎng)絡(luò)設(shè)備后，流出網(wǎng)絡(luò)設(shè)備進(jìn)行檢查，檢查報(bào)文是否與ACL中的某條ACE進(jìn)行相匹配。in和out是相對(duì)于網(wǎng)絡(luò)設(shè)備來(lái)說(shuō)的，離開網(wǎng)絡(luò)設(shè)備接口的流量即為out；進(jìn)入這個(gè)網(wǎng)絡(luò)設(shè)備的接口的流量即為in，在配置ACL的時(shí)候，in和out并不是絕對(duì)的。

ACE中的過(guò)濾域模板（masks）和規(guī)則（mles），類似A地區(qū)出入境管理方式。在制定管理方式的時(shí)候按照所在地區(qū)、目的地區(qū)、職業(yè)、年齡、所持證件、攜帶物品等若干主要因素，對(duì)各類人員身份信息進(jìn)行識(shí)別。

3定位丟包功能實(shí)例

對(duì)于支持ACL計(jì)數(shù)功能的交換機(jī)，通過(guò)使用技術(shù)功能，能夠方便定位丟包問(wèn)題。客戶網(wǎng)絡(luò)出現(xiàn)丟包的情況，可以通過(guò)ACL計(jì)數(shù)功能來(lái)定位丟報(bào)點(diǎn)，方便我們后續(xù)進(jìn)一步排查。但是并非所有交換機(jī)都支持該功能，如果設(shè)備支持ip access-listcount命令，就可能支持該能。

舉如下案例：

1）客戶網(wǎng)絡(luò)環(huán)境：

客戶電腦的網(wǎng)關(guān)在S57交換機(jī)上，S57交換機(jī)與S86交換機(jī)通過(guò)三層口互聯(lián)

PC（10.1.1.1）——G0/1（10.1.1.254）$57（20.1.1.1）G0/2——G1/1（20.1.1.2）S86

2）客戶問(wèn)題：

客戶PCping$86交換機(jī)出現(xiàn)丟包，但是不確定報(bào)文丟在哪臺(tái)設(shè)備上。

3）ACL調(diào)用：

可以在5750-e的G0/12還有$86交換機(jī)的G1/1口的in方向和out方向都調(diào)用一條acl：

acl定位發(fā)現(xiàn)，通過(guò)以上測(cè)試效果可以發(fā)現(xiàn)，S86交換機(jī)可以發(fā)出報(bào)文，但是沒(méi)有接收到回應(yīng)報(bào)文，丟包點(diǎn)在S86交換機(jī)上一級(jí)設(shè)備。

4結(jié)束語(yǔ)

熟練掌握ACL的使用，能夠使網(wǎng)絡(luò)管理員更好地保證網(wǎng)絡(luò)的安全性和易用性。利用定位丟包技術(shù)還能夠準(zhǔn)備判斷網(wǎng)絡(luò)故障點(diǎn)，更加有效地保障網(wǎng)絡(luò)的穩(wěn)定性和可靠性。但是不能需要使用ACL，而忽略防火墻的重要性。網(wǎng)絡(luò)的安全性和穩(wěn)定性需要多種專業(yè)設(shè)備多維度、多層次的立體防御，才能使得網(wǎng)絡(luò)環(huán)境更加健康和穩(wěn)定。