（计算机应用技术专业论文）用于骨干层网络交换机的访问控制技术.pdf

摘要 摘要 随着信息化技术的飞速发展和网络应用的日益普及，2 1 世纪已经进入以传 递，处理信息为特征的互联网时代，然而在组建网络系统时，往往对网络的结 构和功能考虑得较多，对整个网络系统的安全则关注较少。一些部门在得益于 网络加快业务运作的同时，其上网的数据也遭到了不同程度的破坏，数据的安 全性和自身的利益受到了严重的威胁。 网络服务商的系统对网络安全有着很大的影响作用。有效的管理网络服务 商的系统中的各个节点，能够有效的降低网络的风险。从技术角度上讲，网络 服务商的系统各个节点通常是骨干网络上的路由器，交换机等等。访问控制列 表能够过滤掉网络中的有害报文，给网络提供一层相对安全的保护。目前在国 内的设备生产厂商中，能够生产骨干层网络交换机的厂商为数不多，所以，在 骨干层网络交换机上的访问控制列表技术在国内是处于领先地位的。 访问控制就是通过某种途径显式地准许或限制访问权力及范围的一种方 法。通过访问控制服务可以限制对关键资源的访问，防止非法用户的侵入或者 因合法用户的不慎所造成的破坏。 对访问控制列表软件采用分布式的设计思路和在子模块的定义中屏蔽了子 模块中的设计细节和数据结构，便于软件的维护和移植，这是本文的创新。 关键词：访问控制列表，骨干层网络交换机，嵌入式设备，q o s a b s t r a c t a b s t r a c t w i t ht h eg r e a td e v e l o p m e n to fi n f o r m a t i o nt e c h n o l o g ya n dn e t w o r k a p p l i c a t i o n ，2 1 s tc e n t u r yb e c a m ei n t e r n e ta g e w h i l ec o n s t r u c t i n g n e t w o r ks y s t e m s ，u s u a l l yw e p a ym u c ha t t e n t i o nt ot h es t r u c t u r ea n d f u n c t i o n so f t h en e t w o r kw i t h g o i n g t on e t w o r k s e c u r i t y s o m e d e p a r t m e n t s a r e s u f f e r i n gf r o md e s t r o y e dd a t aw h i l eb e n e f i t i n gf r o m t h en e t w o r k ，d a t as e c u r i t ya n dt h e i ri n t e r e s ta r eu n d e rs e r i o u st h r e a t n e t w o r ks e c u r i t yi sg r e a t l ya f f e c t e db yi s p s s y s t e m e f f e c t i v e m a n a g e m e n to fa l lt h en o d e si ni s p ss y s t e mw o u l dr e d u c en e t w o r kr i s k t e c h n i c a l l ys p e a k i n g ，t h e s en o d e so fi s p ss y s t e ma r eu s u a l l yr o u t e s s w i t c h e si nb a c k b o n en e t w o r k a c c e s sc o n t r o l1i s tc a nb eu s e dt o f i i t e ra w a yd a n g e r o u sp a c k e t sa n dg i v es o m el e v e lo fp r o t e c t i o nt ot h e n e t w o r k c u r r e n t l y ， o n l y f e wd o m e s t i cd e v i c em a n u f a c t u r e r sc a n p r o d u c es w i t c h e sf o rc o r en e t w o r k ，s ot h i sm e t h o do fu t i l i z i n ga c c e s s c o n t r o l l i s ti nc o r en e t w o r ks w i t c h e s i sal e a d i n g t e c h n o l o g y d o m e s t i c a l l y a c c e s sc o n t r o li sam e t h o dt oe x p l i c i t l ya l l o wo rl i m i ta c c e s s r i g h to rs c o p e t h es e r v i c eo fa c c e s sc o n t r o lc o u l d l i m i tt h ea c c e s s t o k e yr e s o u r c e s ，p r e v e n ti l l e g a lu s e r sf r o mb r e a k i n gi na n da l s o p r e v e n tl e g a lu s e rsf r o md e s t r o y i n gt h e s er e s o u r c e si n a d v e r t e n t l y a sa ni n n o v a t i o no f t h i sp a p e r ，a c c e s sc o n t r o ll i s ts o f t w a r ei s c o n s t r u c t e dw i t hd i s t r i b u t e ds t r u c t u r e s ，a n dd e f i n i t i o no f s u b m o d u l e s h i d e st h e d e s i g nd e t a i l sa n dd a t as t r u c t u r e t h i sd e s i g nm a k e s s o f t w a r em a i n t e n a n c ea n dp o r t i n gm u c he a s i e r k e y w o r d s ：a c c e s sc o n t r o ll i s t ，n e t w o r kc o r es w i t c h ，e m b e d d e dd e v i c e q u a l i t yo fs e r v i c e 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明 确的说明并表示谢意。 日期：卯占年月日 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 签名：导师签名： 日期：印 第一章绪论 第一章绪论 随着信息化技术的飞速发展和网络应用的日益普及，2 1 世纪已经进入以传 递，处理信息为特征的互联网时代。然而在组建网络系统时，往往对网络的结 构和功能考虑得较多，对整个网络系统的安全则关注较少。一些部门在得益于 网络加快业务运作的同时，其上网的数据也遭到了不同程度的破坏，数据的安 全性和自身的利益受到了严重的威胁。无论是在局域网还是在广域网中，都存 在着技术弱点和人为疏忽等潜在的威胁，致使网络受到黑客，恶意软件或者病 毒的攻击。因而在加快建设网络系统的同时，必须认真考虑网上信息的安全和 保密这一至关重要的问题。 那什么是网络安全呢? 计算机网络安全从其本质上来讲，就是网络上的信息安全，广义地说，凡 是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术 和理论，都是网络安全所要研究的领域。因此，网络安全是指网络的硬件系 统，软件及其系统工程中的数据受到保护，不受偶然或者恶意的原因而遭到破 环，更改和泄露，即通过各种计算机，网络，密码技术和信息安全技术，保护 在公用通信网络中传输，交换，和存储的信息的完整性和真实性，并对信息的 传播及内容具有控制能力。 1 1 本文的研究意义 从本国的国情出发，可以看到本文比较符合目前我国网络安全的情况，要 想从根本上解决网络安全问题，作者个人愚见是提高人们的网络道德素质，这 也是最彻底的解决了安全问题，但这也是不可能的。所以我们必须找到一种行 之有效的方法，能够从很大程度上缓解网络安全危机。 我与很多朋友讨论过国内很多防火墙软件的情况，最后得出这样一个结 论：与其使用最好的防火墙软件，不如使用一条物理网络专线。一管窥豹，可 以得出目前网络用户对网络安全的需求特点：他们需要安全的服务。 要维护网络上的安全，人们很可能首先想到的是国家行政机关。从理论上 电子科技大学硕士学位论文 讲，行政机关可以建立起一套监控网络信息系统，全方位地对互联网进行数据 监控，一旦发现有危害网络安全的行为，行政机关可以直接跟踪这些信息，并 采取相关的措施来制止。但是，从技术的角度上来讲，互联网是一个众多计算 机分别连入的系统，行为人可以在任何时间和地点危害网络的安全，要做到对 所有的行为进行监控不但要耗费大量的资金，而且由于互联网的开放性和不断 发展，这一目标几乎不可能达到。 综合上述观点和实践经验，要预防和解决互联网的安全问题，“网络服务 商”是一个关键。所谓网络服务商，包括网络接入服务商( 即通常意义上的 i s p ) ，应用服务提供商( a s p ) ，网络内容提供商( i c p ) 以及业务范围跨越上述 诸种领域的服务商，他们运用自己掌握的硬件资源和软件技术，为信息发布者 和信息接收者提供服务并从中收费。 从技术上讲，在维护互联网安全的过程中，网络服务商起着关键的作用： 一方面，他们各自维护着自己的网络和应用系统，可以较为容易地控制系统内 的信息，与此同时，他们也是最容易对网络安全造成影响的主体无论他们 有意制作和发布的有害信息，还是出于过失导致他们的系统出现安全问题。另 一方面，他们直接和广大网络用户联系，能够较为迅速的获取用户的资料，为 跟踪危害网络的行为提供线索。 所以，网络服务商的系统对网络安全有着很大的影响作用。有效的管理网 络服务商系统中的各个节点，能够有效的降低网络的风险。从技术角度上讲， 网络服务商的系统各个节点通常是骨干网络上的路由器，交换机等等。本文属 于工程性论文，是作者在国内某著名数据通信设备企业中实习的时候，作为访 问控制列表的主要设计和实现的工程师，所以从实现的角度阐述了访问控制列 表的实现全方案。本文主要阐述了访问控制列表在骨干层网络交换机上的实 现。当然，对于局域网用户，网络中的交换机也是安全的重点。访问控制列表 能够过滤掉网络中的有害报文，给网络提供一层相对安全的保护。目前在国内 的设备生产厂商中，能够生产骨干层网络交换机的厂商为数不多，所以，在骨 干层网络交换机上的访问控制列表技术在国内是处于领先地位的。 第一章绪论 1 2 本文的技术背景 国际化标准组织i s o 在网络安全的体系的设计标准( i s 0 7 4 9 8 2 ) 中，提 出了层次型的安全体系结构，并定义了五大安全服务功能：访问控制服务，数 据保密服务，数据完整性服务，不可否认性服务。访问控制服务作为五大服务 之一，在网络安全体系中具有不可替代的作用。 访问控制就是通过某种途径显式地准许或限制访问权力及范围的一种方 法。通过访问控制服务可以限制对关键资源的访问，防止非法用户的侵入或者 因合法用户的不慎所造成的破坏。 访问控制系统一般包括： 1 主体( s u b j e c t ) ：发出访问操作，存取要求的主动方，通常指用 户或用户的某个进程。 2 客体( o b j e c t ) ：被调用的程序或欲存取的数据访问个体。 3 安全访问规则：用以确定一个主体是否对某个客体拥有访问权 力。 访问控制规定了哪些主体能够访问，访问权限有多大，如下图所示： 主体客体 ( 访问控制实施功能)f 访丁访问产求 访问控制的决策功能 图i - i 访问控制原理图 在主体和客体之间加入了一个访问控制实施模块，由它来负责控制主体对 客体的访问。其中，访问控制决策功能块是访问控制实施功能中最主要的部 分，它根据访问控制信息做出是否允许主体操作的决定。这里访问控制信息可 以存放在数据库，数据文件中，也可以选择其他的存取方法，视访问控制信息 的多少及安全敏感度而定。访问控制列表就是其中的一个典型的应用。 电子科技大学硕士学位论文 访问控制列表主要用来构建防火墙体系。一个全局的安全策略应根据安全 分析和业务需求分析来决定。网络防火墙安全策略是指要明确哪些数据包允许 或者禁止通过并使用网络服务，以及这些服务的使用规则。网络防火墙安全策 略中的每一条规定都应该在实际应用时得到实现。 访问控制列表是应用在路由器或者交换机端口或者接口上的规则列表。这 些规则列表用来使交换机或者路由器决定哪些数据包可以接受，哪些数据包需 要拒绝。至于数据包是被拒绝还是被接收，可以根据源地址，目的地址，端口 号，协议号等来决定。通过灵活地增加访问控制列表，访问控制列表可以当作 是一种网络控制的有力工具，用来过滤流入和流出交换机或者路由器的数据 包。 建立访问控制列表后，可以限制网络流量，提高网络性能，对通信流量进 行控制，这也是对网络访问的基本安全手段。在路由器或者交换机的端口上配 置访问控制列表后，可以对流入或流出的数据包进行安全检测。在下面的章节 中，会对访问控制列表技术作详细的介绍。 1 3 本文研究的主要内容 在本文中，作者结合实践，从访问控制列表的原理概念出发，结合嵌入式 软件的开发经验，从设备的开发角度详细阐述了访问控制列表软件的设计和实 现的过程。 在开发访问控制列表软件的过程中，本文作者在国内某著名数据通信设备 生产企业的担任软件工程师的工作。在写作本文之前，本文作者已经有大半年 的访问控制列表在各种通信设备上的设计经验，但在骨干层交换机上实现访问 控制列表还是首次，所以在设计实现的过程中也遇到了不少的困难。首先，骨 干层交换机在当时国内属于比较高端的项目，在有些方面技术上尚未成熟，当 时市场上只有华为推出了样机，但并没有实行量产，且价格昂贵。作者只能通 过公司仅有的一台华为生产的骨干层网络交换机上的一些用户界面对比着芯 片，猜测华为骨干层网络交换机的设计结构。再次，骨干层交换机采用分布式 的设计结构，这也决定了访问控制列表软件采用分布式的结构设计，在这方 面，作者没有任何经验，属于摸索尝试阶段。第三，在这个骨干层交换机的项 目中，使用的m 系列的核心交换路由芯片是尚未发布的芯片，其中也存在不少 缺陷，且芯片文档上还有许多不清楚的地方。本文作者在通过多次与芯片厂商 4 第一章绪论 的工程师沟通后，才解决了上述问题，并且在论文中专门安排了一个章节来介 绍m 系列交换路由芯片中关于访问控制的一些细节。第四，在骨干层交换机项 目中，本文作者从以前的设计经验出发，弥补了以前设计上不合理的地方，并 且新增了很多有特色的功能模块，比如时间域模块，事件通知模块等。 在本文中，前面的一些章节多数是对一些原理的介绍，这些是本文作者在 工作的过程中的一些积累，并且加入了很多作者的新的见解。在本文的后半部 分，是作者根据自己在软件设计中的一些经验，从简单易懂的角度出发，详细 描述了本文作者的设计思路。这些对于以后从事相同工作的工程师，有着良好 的借鉴价值。 1 4 本文大致内容安排 全篇论文内容安排如下： 第一章绪论 第二章访问控制列表原理 主要内容为访问控制列表的概念，原理和分类，并介绍了q o s 的基 本概念。 第三章基于嵌入式设备的访问控制列表软件 主要内容包括介绍嵌入式设备、嵌入式软件的概念和在开发过程中 的一些问题，并且介绍交换机的基本原理和访问控制列表软件在交换机软 件中的位置和作用。在本章最后介绍m 系列交换芯片中的访问控制列表部 分一些细节，以及数据报文在交换芯片中的具体控制。 第四章用户接口的定义 主要内容为访问控制列表的在s h e l l 下使用的用户接口。 第五章访问控制列表软件的大体框架 主要内容包括访问控制列表软件的大体框架和子模块的定义，以及 各子模块的功能和之间的业务联系。 第六章访问控制列表软件的具体数据结构和比较重要的算法流程介绍 主要内容为访问控制列表软件软件设计中一些比较重要的数据结构 和它们之间的关系，也介绍一些比较重要的算法和流程。 电子科技大学硕士学位论文 第二章访问控制列表原理 2 1 访问控制列表概念 访问控制列表( a c c e s sc o n t r o ll i s t ) 是一个有序的语句集。它是基于 规则与报文进行匹配，用来允许或拒绝报文流的排序表。用来允许或拒绝报文 的标准是基于报文自身包含的信息，通常这些信息只限于第三层和第四层报文 头中的包含的信息。但是在骨干层网络交换机中，通常可以指定报文头部任何 一个位置的信息，比如说m a c 地址。当报文到达路由器或者交换机的接口时， 路由器或者交换机对报文进行检查，如果报文匹配，则执行该语句中的动作； 如果报文不匹配，则继续匹配访问控制列表中的下一个语句，直到最后一条语 句结束时仍没有匹配语句，则报文按缺省规则被拒绝。一般来说，访问控制列 表的默认语句是丢弃报文，但是默认语句可以根据不同的应用环境来配置。 访问控制列表可以根据用户的需求设定不同的深度( 一组访问控制列表最 多由多少条语句构成) ，一般来说，大多数的设备生产厂商都规定了1 2 8 或者是 2 5 6 作为访问控制列表的最大深度。从访问控制列表匹配报文的行为上来看， 访问控制列表是串行匹配，这就意味着需要耗费大量的资源和时间去做匹配报 文的行为，如果报文流量比较大，对交换机的硬件和软件都是一个严峻的考 验。也有的交换机在这方面通过并行匹配并且配合优先级的方法来加快访问控 制列表的匹配速度，但这也是在有限的范围内进行，如果访问列表的规模比较 大，或者是访问控制列表的逻辑比较复杂，这种方法就不行了。 访问控制列表的各条语句之间都有着严格的顺序，大多数的设备厂商在设 计访问控制列表的时候不允许用户调换访问控制列表的顺序就是这个原因。因 为调换访问控制列表的语句顺序会打乱访问控制列表的逻辑，致使安全漏洞的 出现。比如，有下面一组访问控制列表，只由两条语句构成： 语句一：拒绝目的地址是服务器a 的t e l n e t 的t c p 报文。 语句二：允许目的地址是服务器a 的t c p 报文。 这样一组访问控制列表配置在交换机的端口上。当有用户通过交换机这个 端口发起向服务器a 的t e l n e t 联接，就会被访问控制列表的语句一拦截掉，因 为语句一在语句二之前被匹配。这组访问控制列表的目的是，除了t e l n e t 联 第二章访问控制列表原理 接，可以让所有t c p 报文通过。但是，一旦改变了访问控制列表语句之间的顺 序： 语句一：允许目的地址是服务器a 的t c p 报文。 语句二：拒绝目的地址是服务器a 的t e l n e t 的t c p 报文。 t e l n e t 报文就不再受到拦截，可以顺利通过了。当然，一般的访问控制列 表不会这么简单，可能由很多语句构成，这就意味着访问控制列表的逻辑结构 就更复杂了，控制就更精细了。 访问控制列表一般应用在路由器或者交换机的端口或者接口上，对这个端 口或者接口输入或者输出的报文进行访问控制列表规则检查，然后执行相应的 动作，这就为路由器或者交换机分别对不同的端口或者接口配置不同的访问控 制列表规则提供了方便。 总体来说，在现代网络安全体系中，最重要的安全要素访问控制的控 制点在网络通信通道的出入口上。内部网络通过路由器的广域网接口与 i n t e r n e t 相连，再通过此路由器或者交换机的局域网接口接入内部网络，而正 确地放置访问控制列表将起到防火墙的作用。为了满足与i n t e r n e t 间的访问控 制，以及满足内部网络不同安全属性网络间的访问控制要求，在路由器或者交 换机上配置防火墙，让网络通信均通过它，以此控制网络通信及网络应用的访 问权限。 2 2 访问控制列表的分类 访问控制列表在各种设备上的实现方式是多种多样的，表现形式也不太相 同，但是从大体上来看，可以分为以下几类： 1 标准访问控制列表 2 扩展访问控制列表 3 自定义访问控制列表 4 自反访问控制列表 虽然除了这几种访问控制列表，还有其他类型，但这不是主流，本文不再 介绍。下面我们从应用的角度出发，分别介绍这几种访问控制列表。 7 电子科技大学硕士学位论文 2 2 1 标准访问控制列表 标准访问控制列表又口ui p 访问控制列表，是只对i p 地址进行控制的访问 控制列表，这种访问控制列表一般应用在接入层交换机上。比如，服务器a 的 i p 地址是i 0 0 1 0 1 1 ，除了i p 地址为2 0 0 2 0 2 1 和2 0 0 2 0 2 2 的主机不能 访问，且这两台主机都在交换机的1 端口下，其他1 端口下的主机都能访问服 务器a 。我们可以配置下面一组访问控制列表，就可以达到我们的目的： 定义访问控制列表的编号为1 2 ( 一般来说，i p 访问控制列表的标号在卜 1 0 0 ) i pa c c e s s g r o u p 1 2 主机2 0 0 2 0 2 1 不可以访问服务器a a c c e s s l i s t1 2d e n yh o s t2 0 0 2 0 2 1h o s ti 0 0 i 0 1 1 主机2 0 0 2 0 2 2 不可以访问服务器a a c c e s s 一1 i s t1 2d e n yh o s t2 0 0 2 0 2 2h o s ti 0 0 i 0 1 1 其他主机可以访问服务器a a c c e s s 一1 i s t1 2p e r m i ta n yh o s tl o o 1 0 1 1 应用这组编号为1 2 的访问控制列表到端口1 上 ( p o r t 一1 # ) i pa c c e s s g r o u p1 2 i n 以上的访问控制列表就可以达到我们的要求了。当然，我们也可以用掩码 方式来定制访问控制列表，如果把主机2 0 0 2 0 2 1 和2 0 0 2 0 2 2 的条件换成 2 0 0 2 0 2 0 网段的主机不能访问服务器a ，我们只需要修改上面的访问列表即 可： i pa c c e s s g r o u p1 3 2 0 0 2 0 2 0 网段的主机不可以访问服务器a a c c e s s 一1 i s t1 3d e n y2 0 0 2 0 2 00 0 0 2 5 5h o s t1 0 0 1 0 1 1 a c c e s s 一1 i s t1 3p e r m i ta n yh o s ti 0 0 1 0 1 1 ( p o r t l # ) i pa c c e s s g r o u p1 3i n 掩码一般用通配符方式实现。在通配符中，业界的一般准则是0 代表关心 的位，1 代表不关心的位。标准访问控制列表的优点是简单易懂，但是因为功 能比较有限，所以，一般只在接入层交换机中应用的比较多。 第二章访问控制列表原理 2 2 2 扩展访问控制列表 这是目前应用最为广泛的访问控制列表，在几乎所有的路由器和交换机上 都能看到这种访问控制列表。与标准访问控制列表相比，扩展访问控制列表能 够对i p 五元组进行控制。i p 五元组包括源i p 地址、目的i p 地址、协议号、 源端口、目的端口。利用i p 五元组，可以定义丰富的网络特性，完成在一定范 围内的网络控制。比如，对于某些特定的服务器，可以限定禁止i c m p 报文，只 允许特定端口的t c p 报文的访问。或者对于一些网关来说，只允许h t t p 报文流 出，禁止t e l n e t 连接等等。 我们可以用一个实例说明扩展访问控制列表的用法。比如，要配置一组访 问控制列表来阻止1 9 2 1 6 8 0 4 5 服务器t e l n e t 流量，而允许p i n g 流量，并且 禁止1 9 2 1 6 8 2 0 网段的主机访问这台服务器的所有流量。 定义访问控制列表的编号为1 0 1 ( 一般来说，扩展i p 访问控制列表的标号 是1 0 1 3 0 0 ) i pa c c e s s g r o u pi 0 1 允许目的地是1 9 2 1 6 8 0 4 5 主机的i c m p 报文。 a c c e s s 一1 i s ti 0 1p e r m i ti c m pa n y1 9 2 1 6 8 0 4 50 0 0 0 禁止目的地是1 9 2 1 6 8 0 4 5 主机的t e l n e t 报文。 a c c e s s l i s t1 0 ld e n yt c pa n y1 9 2 1 6 8 0 4 50 0 0 0e q2 3 禁止源地址是1 9 2 1 6 8 2 0 网段的主机访问这台服务器。 a c c e s s 一1 i s ti 0 1 d e n yi p 1 9 2 1 6 8 2 00 0 o 2 5 51 9 2 1 6 8 0 4 5 o o o o 应用这组编号为1 0 1 的访问控制列表到接口l 上 i n t e f f a c ee t h e r n e t1 i pa c c e s s g r o u p1 0 1i n 因为p i n g 命令使用网络层的i c m p 协议，所以让i c m p 协议报文通过。而 t e l n e t 使用端口2 3 ，所以将端口号为2 3 的数据包拒绝了。然后拒绝了 1 9 2 1 6 8 2 0 网段的所有主机访问这台服务器。最终应用到某一接口，这样就 可以达到目的。 从上面我们可以看到，在很多网络环境中，利用扩展访问控制列表，可以 轻松的达到目的。但是在有些个别的网络环境中，利用i p 五元组来描述报文特 电子科技大学硕士学位论文 性还是不够，比如，对m a c 地址的控制，对v l a n 号的控制等等。所以，我们用 其他类型的访问控制列表来作为i p 扩展访问控制列表的补充。 2 2 3 自定义访问控制列表 在上一节我们讲到，在一些特别的网络环境中，需要用一些特别的字段来 描述报文的特征，从而达到网络控制的要求。比如说，如果我们要对报文的以 太报头中的源m a c 地址，目的m a c 地址，或者是v l a n 号进行控制，或者是对 t c p 报文中的t c p 标志进行控制，或者是对那些特殊的协议的报文控制，那么 标准访问控制列表和扩展访问控制列表就不能达到我们要求，所以，针对以上 的应用，我们可以使用自定义访问控制列表。 比如，对于一个认证网关( i p 地址是1 9 2 1 6 8 0 4 5 ) ，我们只允许一些特 定的用户访问( m a c 地址是o l 0 2 一0 3 一0 4 一0 5 一0 6 ，另一个是0 7 0 8 一0 9 一i 0 1 卜 1 2 ) ，或者是在某一网段( v l a n2 ) 内的用户才能访问，我们就可以定义一组自 定义访问控制列表来达到目的。 定义访问控制列表的编号为5 0 1 ( 我们定义自定义访问控制列表的标号是 4 0 1 6 0 0 ) i pa c c e s s g r o u p5 0 1 允许目的地是1 9 2 1 6 8 0 4 5 主机的源m a c 地址是o 卜0 2 一0 3 0 4 一0 5 一0 6 报 文。 a c c e s s l i s t5 0 1 p e r m i t s m a c0 1 0 2 0 3 0 4 0 5 0 6 d i p 1 9 2 1 6 8 0 4 5 0 0 0 0 允许目的地是1 9 2 1 6 8 0 4 5 主机的源m a c 地址是0 7 0 8 0 9 1 0 1 1 1 2 报 文。 a c c e s s l i s t5 0 1 p e r m i t s m a c 0 7 0 8 0 9 一i 0 一l l 一1 2 d i p 1 9 2 1 6 8 0 4 5 0 o o 0 允许目的地是1 9 2 1 6 8 0 4 5 主机的v l a n 号是2 的报文。 a c c e s s 一1i s t 5 0 1p e r m i td i p1 9 2 1 6 8 0 4 50 0 0 0v l a n2 应用这组编号为5 0 1 的访问控制列表到接口2 上 i n t e r f a c ee t h e r n e t2 i pa c c e s s g r o u p5 0 1i n 第二章访问控制列表原理 白定义访问控制列表能够定义绝大多数的报文字段，能够满足那些对于特 定网络环境和特殊应用的要求，但是定义起来稍微复杂一点，所以，在一些低 端的设各上基本没有。一般来讲，自定义访问控制列表能够定义的字段的多少 取决于不同的设备生产商在设计上选择的字段，但对于绝大部分用户来说，设 备生产商定义的这些字段已经足够了。 2 2 4 自反访问控制列表 在路由器和交换机上，还有一种特殊的访问控制列表也应用的比较广泛， 那就是自反访问控制列表。 自反访问控制列表是一种“状态”的访问列表，其原理是，定义一条规 则，使内部网络可以访问外部网络，当内部网络数据流经路由器时，路由器会 根据自反访问表白动创建一个允许数据包返回的访问表，而使用自反只需要创建 一个从源到目的的访问表，那么路由器会根据这张表自动创建返回的访问表， 而且这个访问表是动态的，当回话结束或者到达超时时间，就会自动删除。 定义访问控制列表的编号为8 0 1 ( 我们定义自反访问控制列表的标号是 8 0 1 9 0 0 ) i pa c c e s s g r o u p8 0 1 允许i 0 0 0 o 8 网段的主机的h t t p 流量并且会话时间为i 0 0 秒 i pa c c e s s l i s t8 0 1p e r m i t t c pi 0 0 0 00 2 5 5 2 5 5 2 5 5a n ye q8 0 r e f l e c tb a c k p a c kt i m e o u ti 0 0 定义访问控制列表的编号为8 0 2 为自反访问列表。 i pa c c e s s 一1 i s t8 0 2e v a l u a t eb a c k p a c k 应用这组编号为8 0 1 的访问控制列表到接口2 上检查流入的数据包 i n t e r f a c ee t h e r n e t2 i pa c c e s s g r o u p8 0 1i n 应用这组编号为8 0 2 的访问控制列表到接口2 上检查流出的数据包 i n t e r f a c ee t h e r n e t3 i pa c c e s s g r o u p8 0 2o u t 这种动态的访问列表在防火墙和路由器上应用的比较多，很多都是针对 t c p 连接的，在交换机上应用的要相对来说少一点。当然，除了这四种访问控 i i 电子科技大学硕士学位论文 制列表，还有其他的访问控制列表，因为应用的比较少，本文就不做过多的介 绍了。 2 3 访问控制列表的增值特性 从业内比较流行的做法考虑，访问控制列表在实现上都不是简单的访问许 入控制，而是从流的角度，增加了q o s 功能特性。也就是说，我们对于每条访 问列表，并不仅仅是p e r m i t 或者d e n y 那么简单，而是对匹配上菜条访问控制 列表的数据报文带上q o s 特性，比如说限流，改变优先级等等。q o s 作为一个 专门网络专题，限于篇幅，不做详细阐述，这里要顺带介绍q o s 的一些基本概 念，以及在我们要实现的访问控制列表软件中我们只关心那些功能。 目前的i n t e r n e t 仅提供尽力而为( b e s t e f f o r ts e r v i c e ) 的传送服务，业 务量尽快传送，没有明确的时间和可靠性保障。随着网络多媒体技术的飞速发 展，i n t e r n e t 上的多媒体应用层出不穷，如i p 电话、视频会议、视频点播 ( v o d ) 、远程教育等多媒体实时业务、电子商务在i n t e r n e t 上传送等。 i n t e r n e t 已逐步从单一的数据传送网向数据、语音、图像等多媒体信息的综合 传输网演化。这些不同的应用需要有不同的q o s ( q u a i t yo fs e r v i c e ) 要求， q o s 通常用带宽、时延、时延抖动和分组丢失率来衡量。各种应用对服务质量 的需求在迅速增长。 显然，现有的尽力传送服务已无法满足各种应用对网络传输质量的不同要 求，需要i n t e r n e t 提供多种服务质量类型的业务。而尽力而为的服务仍将提供 给那些只需要连通性的应用。 服务质量q o s 系指用来表示服务性能之属性的任何组合。为了使其具有价 值，这些属性必须是可提供的、可管理的、可验证和计费的，而且在使用时它 们必须是始终如一的、可预测的、有的属性甚至是起决定性作用的。为了满足 各种用户应用的需要，构建对i p 最优并具备各种服务质量机制的网络是完全必 要的。专线服务、语音、文件传递、存储转发、交互式视频和广播视频是现有 应用的一些例子。 q o s 的关键指标主要包括：可用性、吞吐量、时延、时延变化( 包括抖动和 漂移) 和丢失。下面详细叙述。 可用性 是当用户需要时网络即能工作的时间百分比。可用性主要是设备可靠性和 1 2 第二章访问控制列表原理 网络存活性相结合的结果。对它起作用的还有一些其他因素，包括软件稳定性 以及网络演进或升级时不中断服务的能力。 吞吐量 是在一定时间段内对网上流量( 或带宽) 的度量。对i p 网而言可以从帧中 继网借用一些概念。根据应用和服务类型，服务水平协议( s l a ) 可以规定承诺信 息速率( c i r ) 、突发信息速率( b i r ) 和最大突发信号长度。承诺信息速率是应该 予以严格保证的，对突发信息速率可以有所限定，以在容纳预定长度突发信号 的同时容纳从话音到视像以及一般数据的各种服务。一般讲，吞吐量越大越 好。 时延 指项服务从网络入口到出口的平均经过时间。许多服务，特别是话音和 视像等实时服务都是高度不能容忍时延的。当时延超过2 0 0 2 5 0 毫秒时，交互 式会话是非常麻烦的。为了提供高质量话音和会议电视，网络设备必须能保证 低的时延。产生时延的因素很多，包括分组时延、排队时延、交换时延和传播 时延。传播时延是信息通过铜线、光纾或无线链路所需的时间，它是光速的函 数。在任何系统中，包括同步数字系列( s d h ) 、异步传输模式( a t m ) 和弹性分 组环路( r p r ) ，传播时延总是存在的。 时延变化 是指同一业务流中不同分组所呈现的时延不同。高频率的时延变化称作抖 动，而低频率的时延变化称作漂移。抖动主要是由于业务流中相继分组的排队 等候时间不同引起的，是对服务质量影响最大的一个问题。某些业务类型，特 别是话音和视像等实时业务是极不容忍抖动的。分组到达时间的差异将在话音 或视像中造成断续。所有传送系统都有抖动，只要抖动落在规定容差之内就不 会影响服务质量。利用缓存可以克服过量的抖动，但这将增加时延，造成其他 问题。 漂移是任何同步传输系统都有的一个问题。在s d h 系统中是通过严格的全 网分级定时来克服漂移的。在异步系统中，漂移一般不是问题。漂移会造成基 群失帧，使服务质量的要求不能满足。 丢包 不管是比特丢失还是分组丢失，对分组数据业务的影响比对实时业务的影 响都大。在通话期间，丢失一个比特或一个分组的信息往往用户注意不到。在 视像广播期间，这在屏幕上可能造成瞬间的波形干扰，然后视像很快恢复如 电子科技大学硕士学位论文 初。即便是用传输控制协议( t c p ) 传送数据也能处理丢失，因为传输控制协议允 许丢失的信息重发。事实上，一种叫做随机早丢( r e d ) 的拥塞控制机制在故意丢 失分组，其目的是在流量达到设定门限时抑制t c p 传输速率，减少拥塞，同时 还使t c p 流失去同步，以防止因速率窗口的闭合引起吞吐量摆动。但分组丢失 多了，会影响传输质量。所以，要保持统计数字，当超过预定门限时就向网络 管理人员告警。 在本文要实现的访问控制列表软件中，我们提供一些比较重要的q o s 特 性，比如，对于匹配上某条访问控制列表的报文，可以对报文改变8 0 2 i p 优先 级，可以改变报文的d s c p 值，可咀对某种报文进行限流操作等。 2 4 基于时间段的访问控制列表 随着网络的发展和用户要求的变化，现在的路由器和交换机都新增加了一 种基于时间段的访问列表。通过它，可以根据一天中的不同时间，或者根据一 星期中的不同日期，或二者相结合来控制网络数据包的转发。这种基于时间的 访问列表，就是在访问控制列表中，加入有效的时间范围来更合理有效地控制 网络。首先定义一个时间范围，然后在原来的各种访问控制列表的基础上应用 它。 用本文将要设计的访问控制列表软件为例，用t i m e r a n g e 命令来指定时间 范围的名称，然后用a b s o l u t e 命令，或者一个或多个p e r i o d i c 命令来具体定 义时间范围。 定义一个时间范围的名字 t i m e r a n g et i m e r a n g e n a m e 定义一个绝对时间 a b s o l u t e s t a r tt i m ed a t e e n dt i m ed a t e 定义一个相对时间 p e r i o d i cd a y s o f t h ew e e kh h ：m mt o d a y s o f - t h ew e e k h h ：m m 下面分别来介绍一下每个命令和参数的详细情况： t i m e r a n g e 用来定义时间范围的命令。 t i m e r a n g e n a m e 时间范围名称，用来标识时间范围，以便于在后面的访 问列表中引用。 a b s o l u t e 该命令用来指定绝对时间范围。它后面紧跟着s t a r t 和e n d 两 1 4 第二章访问控制列表原理 个关键字。在这两个关键字后面的时间要以2 4 小时制h h ：t t u a 表示，日期要按照 日月年来表示。如果省略s t a r t 及其后面的时间，则表示与之相联系的 p e r m i t 或d e n y 语句立即生效，并一直作用到e n d 处的时间为止。如果省略 e n d 及其后面的时间，则表示与之相联系的p e r m i t 或d e n y 语句在s t a r t 处表 示的时间开始生效，并且一直进行下去。 p e r i o d i c 主要是以星期为参数来定义时间范围的一个命令。它的参数主 要有m o n d a y 、t u e s d a y 、w e d n e s d a y 、t h u r s d a y 、f r i d a y 、s a t u r d a y 、s u n d a y 中 的一个或者几个的组合，也可以是d a i l y ( 每天) 、w e e k d a y ( 周一至周五) ，或者 w e e k e n d ( 周末) 。 下面我们来看一个实例：在一个网络中，路由器的以太网接口1 连接着 2 0 2 1 0 2 2 4 0 0 网络。为了让2 0 2 1 0 2 2 4 0 0 网络内的公司员工在工作时间内 不能进行w e b 浏览，只有在周六早7 时到周日晚1 0 时才可以通过公司的网络访 问i n t e r n e t 。 我们通过基于时间的扩展访问控制列表来实现这一功能： 定义一个ti m e r a n g e t i m e r a n g eh t t p 定义一个相对时间语句 p e r i o d i cs a t u r d a y7 ：0 0t os u n d a y2 2 ：0 0 i pa c c e s s g r o u pi 01 在访问控制列表语句上绑定t i m e r a n g e i pa c c e s s l i s ti 0 1p e r m i tt c pa n ya n ye q8 0t i m e r a n g eh t t p 应用这组编号为1 0 1 的访问控制列表到接口1 上 i n t e r f a e ee t h e r n e tl i pa c c e s s g r o u pi 0 1i n 我们是在一个扩展访问控制列表的基础上，再加上时间控制就达到了目 的。因为是控制w e b 访问的协议，所以必须要用扩展列表。我们定义了这个时 间范围的名称是h t t p ，这样，我们就在列表中的最后一句方便地引用了。 合理有效地利用基于时间的访问控制列表，可以更有效、更安全、更方便 地保护我们的内部网络，这样网络才会更安全，网络管理人员也会更加轻松。 电子科技大学硕士学位论文