訪問控制列表ACL在網(wǎng)絡精細化管理中的作用研究

張易鴻，邱 瑞，陶成義，柯 迅，李 逸＊

（貴州師范大學 物理與電子科學學院，貴州 貴陽 550001）

訪問控制列表ACL在網(wǎng)絡精細化管理中的作用研究

張易鴻，邱 瑞，陶成義，柯 迅，李 逸＊

（貴州師范大學 物理與電子科學學院，貴州 貴陽 550001）

近年隨著高校校園網(wǎng)絡規(guī)模的增長，隨之而來的管理和安全問題日益凸顯，其管理模式也必將向可控化、精細化模式方向發(fā)展?；谠L問控制列表的校園網(wǎng)絡控制技術可以滿足網(wǎng)絡精細化管理的需要。在簡要介紹ACL基本概念及其工作原理的基礎上，文章結合實例通過配置ACL規(guī)則研究了ACL在網(wǎng)絡精細化管理中的作用，探討了ACL在網(wǎng)絡精細化管理中的作用和意義。

訪問控制列表；ACL規(guī)則；網(wǎng)絡精細化管理

近年隨著高校校園網(wǎng)絡規(guī)模的增長，隨之而來的管理和安全問題日益凸顯，其管理模式也必將向可控化、精細化模式方向發(fā)展。基于訪問控制列表(Access Control Lists，ACL)的校園網(wǎng)絡控制技術可以滿足校園網(wǎng)絡精細化管理的需要。

1 ACL基本概念

ACL是應用于路由器接口的指令列表，用于確定哪些數(shù)據(jù)包可以接收轉發(fā)(permit)，哪些數(shù)據(jù)包需要拒絕(deny)。是一系列包含源地址(Source Address)、目的地址(Destination Address)、端口號(Port Number)等諸多信息的語句集合，每條語句組成一個規(guī)則(rule)，它規(guī)定了對接收到的數(shù)據(jù)包的處理動作，對經(jīng)過路由器或交換機的數(shù)據(jù)流進行判斷、分類和過濾。ACL通過匹配數(shù)據(jù)包中的信息與訪問控制列表的規(guī)則實現(xiàn)過濾接收到的數(shù)據(jù)包，實現(xiàn)對路由器的安全控制。ACL使用包過濾技術，在路由器或交換機網(wǎng)絡設備上讀取網(wǎng)絡層及傳輸層數(shù)據(jù)報首部中的端口和地址信息，根據(jù)預先制定好的規(guī)則對包進行過濾處理，從而實現(xiàn)訪問控制的目的。ACL工作原理如圖1所示。

圖1 交換機ACL工作原理

從圖1中看到數(shù)據(jù)包發(fā)送到交換機中，從接口位置進入路由表，由路由器表進行判斷，如果未通過路由器表判斷則將數(shù)據(jù)包丟棄，通過則根據(jù)數(shù)據(jù)包內容選擇接口。繼續(xù)對是否使用ACL進行判斷，如果不使用ACL數(shù)據(jù)包將直接從接口處發(fā)出。將使用ACL的數(shù)據(jù)包進行ACL規(guī)則匹配控制，通過匹配則將數(shù)據(jù)包從接口發(fā)出，反之則直接丟棄。

2 ACL工作原理

ACL自動控制的工作原理如圖2所示。

由圖2可以知道，若數(shù)據(jù)包同時滿足多條規(guī)則，則匹配排在最前面的那一條規(guī)則，因此一般把范圍小的規(guī)則放在最前面，范圍大的規(guī)則放在最后面。同時，出于網(wǎng)絡安全考慮，在每個ACL的最后，系統(tǒng)會自動附加一條隱式的拒絕所有數(shù)據(jù)包通過的deny規(guī)則。因此ACL的最后經(jīng)常需定義一條允許所有數(shù)據(jù)包通過的permit規(guī)則。

在實際使用ACL的過程中，應遵循以下3個基本原則：（1）最小特權原則：只給予受控對象完成任務所必須的最小權限。（2）最靠近受控對象原則：所有的網(wǎng)絡層訪問權限控制。（3）默認丟棄原則：如在ZXR10 5950三層交換機中默認最后一句為ACL加入了deny any any規(guī)則，即全部拒絕—丟棄所有不符合規(guī)則的數(shù)據(jù)包。

圖2 ACL工作原理圖

3 ACL在網(wǎng)絡精細化管理中的作用研究與實現(xiàn)

很多企業(yè)和學校都在使用網(wǎng)絡地址轉換（Network Address Translation，NAT）技術進行地址轉換，而NAT技術中就包含了ACL技術的應用。目前ACL的主要應用有兩種：基本ACL和擴展ACL，其區(qū)別是：基本ACL只能實現(xiàn)檢查數(shù)據(jù)包的源地址(Source Address)；擴展ACL既檢查源地址，也檢查目的地址，同時還可以檢查特定的協(xié)議類型、端口號等。網(wǎng)絡管理員可以配置基本ACL阻止或者允許來自某一網(wǎng)絡的所有通信流量，或者拒絕某一協(xié)議簇（如IP協(xié)議）的所有通信流量。但擴展ACL比基本ACL提供了更廣泛的控制范圍。

除了主要的兩種ACL（基本ACL、擴展ACL）外還有二層ACL、混合ACL、基本IPv6 ACL、擴展IPv6 ACL等若干種不同的ACL。在日常生活中最主要的兩種ACL就是基本ACL和擴展ACL。現(xiàn)在使用擴展ACL為學校微機教室的網(wǎng)絡環(huán)境進行管理，為學校師生服務。

配置實例：學校有一臺ZXR10 5950三層交換機，3臺服務器和機房A、機房B的用戶都連接到這臺交換機上，并作出以下規(guī)定：

①機房A和機房B的用戶在上課時間（8:30—17:30）不允許訪問文件服務器和視頻點播服務器，但可隨時訪問郵件服務器。

②內網(wǎng)用戶可以通過代理192.168.4.100訪問互聯(lián)網(wǎng)，但不允許機房A的用戶在上課時間訪問互聯(lián)網(wǎng)。

③機房A和機房B的教師（IP地址分別為192.168.1.101和192.168.2.101）可以隨時訪問互聯(lián)網(wǎng)和所有服務器。

3臺服務器的IP地址分配如下：

郵件服務器：192.168.5.50；文件服務器：192.168.5.60；視頻點播服務器：192.168.5.70。

在ZXR10 5950三層交換機設備中的ACL規(guī)則配置如下：

在配置實例中設置了不同的ACL規(guī)則，實現(xiàn)了通過ACL對網(wǎng)絡中的數(shù)據(jù)包的收發(fā)進行精細化管理的目的。

4 結語

可以將ACL這一技術引用到學校公司等對網(wǎng)絡安全有一定需求的地方。在實際應用中，可靈活配置ACL以更加細致地管理網(wǎng)絡，使網(wǎng)絡的管理向著更加智能化的方向發(fā)展，并使之成為生活中前進的動力。

[1]謝希仁.計算機網(wǎng)絡[M].6版.北京：電子工業(yè)出版社，2013.

[2]姜丹丹.路由與交換實戰(zhàn)入門[M].北京：科學出版社，2012.

[3]杭州華三通信技術有限公司.H3C以太網(wǎng)交換機典型配置指導[M].北京：清華大學出版社，2012.

[4]蘭少華，楊余旺，呂建勇.TCP/IP網(wǎng)絡與協(xié)議[M].北京：清華大學出版社，2009.

[5]斯桃枝，姚馳甫.路由與交換技術[M].北京：北京大學出版社，2008.

[6]周星，汪國安，張震，等.網(wǎng)絡層訪問控制列表的應用[J].河南大學學報（自然版），2004（3）：62-66.

Research on effect of the access control list in the network elaborate management

Zhang Yihong, Qiu Rui, Tao Chengyi, Ke Xun, Li Yi*
（Physics and Electronic Science School of Guizhou Normal University, Guiyang 550001, China）

In recent years, as the growth of the college campus network scale, the subsequent management and security problems highlighted increasingly, its management mode also will be certainly changed to controllable and elaborate. Based on the ACL of the campus network control technology can meet the needs of the network elaborate management. On the basis of brief introduction of ACL basic concept and principles, an instance by how to configure ACL rules in the research and implementation of network elaborate management was given. Finally, the effect and meaning of the ACL in the network elaborate management was discussed.

ACL; ACL rules; network elaborate management

2015年度貴州師范大學大學生科研訓練計劃項目；項目編號：20150808。

張易鴻（1994— ），男，甘肅白銀，本科。

＊通訊作者：李逸（1980— ），男，貴州畢節(jié)，講師；研究方向：計算機網(wǎng)絡通信，網(wǎng)絡信息安全。