張思卿 張帆

摘 要：路由策略和策略路由的目的都是提高網(wǎng)絡(luò)的安全性能。通過對路由策略和策略路由兩者的比較，發(fā)現(xiàn)都是根據(jù)一定的要求制定相應(yīng)的規(guī)則，通過改變某些參數(shù)實(shí)現(xiàn)不同流量在不同轉(zhuǎn)發(fā)路徑之間的傳輸控制。區(qū)別在于路由策略是路由發(fā)現(xiàn)時(shí)所用到的規(guī)則，能控制路由表的大小;策略路由是數(shù)據(jù)包轉(zhuǎn)發(fā)時(shí)所用到的規(guī)則，能實(shí)現(xiàn)網(wǎng)絡(luò)的負(fù)載均衡和鏈路備份。路由策略和策略路由應(yīng)用技術(shù)對提高網(wǎng)絡(luò)安全性能具有重要意義。

關(guān)鍵詞：網(wǎng)絡(luò)安全;ACL;流量控制;路由器;安全性能;TCP/UDP

中圖分類號：TP39;TN915.08文獻(xiàn)標(biāo)識碼：A文章編號：2095-1302（2019）09-00-05

0 引 言

在對網(wǎng)絡(luò)服務(wù)質(zhì)量要求越來越高的大環(huán)境中，訪問控制列表（Access Control List，ACL）產(chǎn)生并得到了快速、廣泛的應(yīng)用。ACL是一組指令集，可根據(jù)網(wǎng)絡(luò)安全的不同需求，通過有序的排列組合形成有效的條件列表，實(shí)現(xiàn)對流量的分類過濾，過濾技術(shù)是ACL實(shí)現(xiàn)的核心[1]，可以在交換機(jī)、路由器、防火墻等網(wǎng)絡(luò)設(shè)備中應(yīng)用ACL以更好地實(shí)現(xiàn)對網(wǎng)絡(luò)的安全防護(hù)。

ACL實(shí)際上是路由器上的流量過濾器，它可以根據(jù)分組的屬性，比如IP地址來識別特定類型的分組流量[2]。在識別以后ACL可執(zhí)行特定操作，比如阻止它們通過某個(gè)特定的接口。ACL作為網(wǎng)絡(luò)安全領(lǐng)域發(fā)展較為成熟的一項(xiàng)流量控制技術(shù)，在網(wǎng)絡(luò)安全中發(fā)揮著較為重要的作用。在ACL的具體應(yīng)用中，通過標(biāo)準(zhǔn)ACL與擴(kuò)展ACL相結(jié)合實(shí)現(xiàn)對流量的控制，并且對不同級別的用戶提供不同的服務(wù)器訪問權(quán)限[3];在ACL的擴(kuò)展應(yīng)用中，通過設(shè)計(jì)ACL與其他應(yīng)用技術(shù)相結(jié)合以實(shí)現(xiàn)不同的路由策略。

1 ACL工作原理

ACL由訪問控制條目（ACE）組成，ACE通常也被稱為ACL語句，其根據(jù)某一標(biāo)準(zhǔn)（源地址、目的地址、協(xié)議號和端口號）創(chuàng)建[4]。

ACL從第三層數(shù)據(jù)包報(bào)頭中讀取源IP地址、目的IP地址、ICMP消息類型信息;從第四層數(shù)據(jù)包報(bào)頭中讀取TCP/UDP源端口號、TCP/UDP目的端口號信息;根據(jù)預(yù)先定義的規(guī)則決定哪些數(shù)據(jù)包可以接收，哪些數(shù)據(jù)包需要拒絕，從而實(shí)現(xiàn)訪問控制目的[5]。

ACL提供了一種區(qū)分不同類型數(shù)據(jù)包的方法。根據(jù)各自的特點(diǎn)，將不同的數(shù)據(jù)包分為不同的類型，以達(dá)到控制用戶訪問的目的。

ACL的工作原理如圖1所示。

2 應(yīng)用需求

2.1 路由策略需求

路由策略通過某些規(guī)則來改變影響路由發(fā)布、接收及路由選擇的參數(shù)，從而改變路由發(fā)現(xiàn)的結(jié)果，目的是控制路由表的內(nèi)容[6]。路由策略需求如下：

（1）路由器R1只能將環(huán)回接口中第3位為奇數(shù)的路由和F0/0接口的路由發(fā)送出去;

（2）在路由器R1和路由器R2之間使用RIPv2路由協(xié)議。

2.2 策略路由需求

策略路由僅針對某些特定需求，如主機(jī)不根據(jù)當(dāng)前路由表中的路由進(jìn)行轉(zhuǎn)發(fā)，而單獨(dú)使用別的路徑轉(zhuǎn)發(fā)。策略路由在數(shù)據(jù)包轉(zhuǎn)發(fā)時(shí)進(jìn)行策略匹配，使用單獨(dú)的路徑轉(zhuǎn)發(fā)但不改變路由表中的路由信息。需求如下：

（1）在路由器R3的F0/0接口采用相應(yīng)策略，PCA數(shù)據(jù)的下一跳地址為192.168.23.2，所有其他數(shù)據(jù)包正常轉(zhuǎn)發(fā);

（2）在路由器R3的F0/1接口應(yīng)用相應(yīng)策略，源地址為192.168.2.0/24網(wǎng)段的TELNET包，設(shè)置下一跳地址為192.168.32.2，將IP包的優(yōu)先級設(shè)置為critical，其他包正常轉(zhuǎn)發(fā);

（3）在路由器R2與路由器R3之間使用EIGRP路由協(xié)議。

2.3 拓?fù)浣Y(jié)構(gòu)

應(yīng)用拓?fù)浣Y(jié)構(gòu)如圖2所示。

拓?fù)鋱D中在路由器R1與R2之間實(shí)現(xiàn)路由更新策略，路由器R2與R3之間實(shí)現(xiàn)策略路由;路由器R4，R5，R6分別表示三臺主機(jī)。

2.4 設(shè)備需求及IP地址分配

根據(jù)需求分析及應(yīng)用拓?fù)鋱D，該應(yīng)用設(shè)備及IP分配見表1所列。

3 應(yīng)用實(shí)現(xiàn)

3.1 路由策略實(shí)現(xiàn)

4 應(yīng)用測試

4.1 路由策略測試

在R2上查看路由表，結(jié)果如圖3所示。

結(jié)果分析：

在路由器R1的接口S2/0的出方向應(yīng)用distribute-list 10，該分發(fā)列表中調(diào)用ACL 10 只允許第三位為奇數(shù)的路由條目，其他路由條目拒絕。

圖中大寫字母R表示從路由器R1所收到的RIPv2路由條目，并且第三位為奇數(shù)，基于ACL的路由更新控制生效。

4.2 策略路由測試

4.2.1 網(wǎng)絡(luò)層測試結(jié)果

在PCA上ping地址2.2.2.2，路由器R3上顯示的信息如圖4所示。

結(jié)果分析：

以上輸出信息表明源地址為192.168.1.2的主機(jī)發(fā)送給目的地址2.2.2.2的數(shù)據(jù)包在接口F0/0匹配route-map MAP1的序列號10所定義的策略，執(zhí)行策略路由并設(shè)置數(shù)據(jù)包下一跳地址為192.168.23.2。

在PCA上使用L0接口地址ping地址2.2.2.2，路由器 R3顯示的信息如圖5所示。

結(jié)果分析：

以上輸出信息表明源地址為3.3.3.3接口發(fā)送到目的地址的2.2.2.2數(shù)據(jù)包在接口F0/1不匹配策略路由，數(shù)據(jù)包正常轉(zhuǎn)發(fā)。

在策略路由中只允許源地址為192.168.1.2的數(shù)據(jù)包，所以當(dāng)源地址為3.3.3.3時(shí)不匹配策略路由故正常轉(zhuǎn)發(fā)。

4.2.2 應(yīng)用層測試結(jié)果

在PCB上訪問2.2.2.2的TELNET服務(wù)，路由器R3顯示的信息如圖6所示。

結(jié)果分析：

以上輸出信息表明從PCB發(fā)送的TELNET數(shù)據(jù)包在接口F0/1匹配策略，執(zhí)行策略路由并設(shè)置數(shù)據(jù)包下一跳地址為192.168.32.2。

在PCB上ping路由器R2的2.2.2.2，路由器R3顯示的調(diào)試信息如圖7所示。

結(jié)果分析：

以上輸出信息表明源地址為192.168.2.2的主機(jī)發(fā)送到目的地址2.2.2.2的數(shù)據(jù)包在接口F0/1不匹配路由策略，數(shù)據(jù)包正常轉(zhuǎn)發(fā)。

在策略中ACL只接納源地址為192.168.2.2的TELNET數(shù)據(jù)包，在PCB上ping路由器R2的地址2.2.2.2則產(chǎn)生ICMP類型數(shù)據(jù)包，不匹配策略，所以正常轉(zhuǎn)發(fā)。

在PCB上用L0接口訪問2.2.2.2的TELNET服務(wù)，路由器R3顯示的信息如圖8所示。

結(jié)果分析：

以上輸出信息表明源地址為4.4.4.4的接口發(fā)送到目的地址2.2.2.2的HTTP數(shù)據(jù)包在接口F0/1不匹配路由策略，數(shù)據(jù)包正常轉(zhuǎn)發(fā)。

雖然源地址4.4.4.4發(fā)送的是TELNET類型數(shù)據(jù)包，但在策略中只允許源地址為192.168.2.2的數(shù)據(jù)包執(zhí)行策略，所以不匹配策略正常轉(zhuǎn)發(fā)。

5 結(jié) 語

本文通過不同的需求實(shí)現(xiàn)路由策略和策略路由。分析實(shí)現(xiàn)需求，列出路由協(xié)議的配置和策略配置，對應(yīng)用進(jìn)行測試，并對測試結(jié)果進(jìn)行分析說明。兩者的相同點(diǎn)：均根據(jù)一定的要求制定相應(yīng)的規(guī)則，通過改變某些參數(shù)實(shí)現(xiàn)不同流量在不同轉(zhuǎn)發(fā)路徑之間的傳輸控制。兩者之間的區(qū)別：路由策略是路由發(fā)現(xiàn)時(shí)所用到的規(guī)則，可控制路由表的大小。策略路由是數(shù)據(jù)包轉(zhuǎn)發(fā)時(shí)所用到的規(guī)則，能實(shí)現(xiàn)網(wǎng)絡(luò)的負(fù)載均衡和鏈路備份。路由策略和策略路由應(yīng)用技術(shù)對提高網(wǎng)絡(luò)安全性能具有重要意義。

參 考 文 獻(xiàn)

[1]兀俊. ACL訪問控制列表在交易連接平臺上的應(yīng)用[D].上海：復(fù)旦大學(xué)，2008.

[2]張崢.基于訪問控制技術(shù)的銀行網(wǎng)絡(luò)安全研究及應(yīng)用[D].重慶：重慶大學(xué)，2007.

[3]秦成海.訪問列表在網(wǎng)絡(luò)管理中的應(yīng)用[J].中國科技信息，2011（17）：102.

[4]劉輝.企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)的安全管理[J].工業(yè)安全與環(huán)保，2003，29（11）：40-41.

[5]王芳.路由器訪問控制列表及其應(yīng)用技術(shù)研究[D].鄭州：解放軍信息工程大學(xué)，2007.

[6]劉軍，彩萍. ACL在IP網(wǎng)絡(luò)中的應(yīng)用[J].計(jì)算機(jī)與數(shù)字工程，2009，7（1）：178-181.

[7]童列高.一種改進(jìn)的海上無線傳感網(wǎng)動(dòng)態(tài)源路由算法[J].物聯(lián)網(wǎng)技術(shù)，2018，8（1）：33-34.

[8]林暉.云南移動(dòng)支撐網(wǎng)邊界路由器安全策略的實(shí)施[J].電信技術(shù)，2003（8）：52-54.

[9]梅馮陽.無線傳感器網(wǎng)絡(luò)基于泰森圖分簇的路由算法[J].物聯(lián)網(wǎng)技術(shù)，2016，6（8）：44-47.

[10]范體貴，呂立君.基于訪問控制列表的路由器防火墻在網(wǎng)絡(luò)安全中的應(yīng)用研究[J].計(jì)算機(jī)與網(wǎng)絡(luò)，2004（24）：52-53.