訪問控制列表在網(wǎng)絡優(yōu)化中的應用

摘 要：訪問控制列表ACL（Access Control List）是保障網(wǎng)絡安全性的方法之一，但訪問控制列表的部署將降低網(wǎng)絡設備的性能。為降低數(shù)據(jù)包進行訪問控制的延遲，提高網(wǎng)絡傳輸效率，該文對比了在不同的網(wǎng)絡層次應用訪問控制列表的兩種方法。通過數(shù)學分析兩種方法的數(shù)據(jù)包傳輸效率，在網(wǎng)絡負載不同時會對網(wǎng)絡性能造成不同的影響，運用合理可以優(yōu)化網(wǎng)絡性能。

關鍵詞：訪問控制列表；網(wǎng)絡性能；優(yōu)化

中圖分類號：TP393 文獻標識碼：A

Application of Access Control List in Network Optimization

LIU Xiaoyuan

（Luoding Polytechnic，Luoding 527200，China）

Abstract：The access control list （ACL） is one of the methods to ensure network security，but access control list deployment will reduce the performance of network equipment.In order to reduce packet delay in access control and increase the network transmission efficiency，this paper compares the two methods in different network level application of access control lists.Through the packet transmission efficiency by mathematical analysis of the two methods， it will be caused different impact the network load on network performance and it will be used optimize the network performance with reasonable network.

Keywords：access control list；network performance；optimization

1 引言（Introduction）

訪問控制是網(wǎng)絡安全防范和保護的主要策略，它的主要任務是保證網(wǎng)絡資源不被非法使用和訪問。訪問控制列表ACL是應用在路由器接口的指令列表。這些指令列表用來告訴路由器哪些數(shù)據(jù)包可以收、哪些數(shù)據(jù)包需要拒絕。至于數(shù)據(jù)包是被接收還是拒絕，可以由類似于源地址、目的地址、端口號等的特定指示條件來決定。

本文討論校園網(wǎng)中ACL的設計和部署對網(wǎng)絡效率的影響，提出對基于ACL的網(wǎng)絡效率優(yōu)化方法并進行了實驗論證。

2 ACL在網(wǎng)絡中的作用（Effect of ACL in network）

訪問控制列表是一組應用在網(wǎng)絡設備接口上的指令，這些指令用來指示設備允許或拒絕特定的數(shù)據(jù)包通過[1]。ACL的基本工作原理是：ACL將流量與列表中的指令逐一進行比較，如果找到匹配指令，則按照指令制定的方式（permit或者deny，即允許或者拒絕）執(zhí)行操作。如果沒有找到匹配的指令，則按照默認方式進行處理。

常規(guī)訪問控制列表如圖1所示[2]：

圖1 常規(guī)訪問控制列表

Fig.1 Conventional access control list

雖然與ACL相關的訪問控制研究獲得了廣泛關注，并取得了較好的成績，但基于ACL在網(wǎng)絡設備上的部署優(yōu)化問題則相關文獻較少，其優(yōu)化策略還有待進一步研究[3-6]。因此本文主要研究ACL的優(yōu)化問題，并進行分析，進而提出優(yōu)化方法。

3 優(yōu)化算法的研究（Study of optimization algorithm）

3.1 算法背景模型

根據(jù)常用網(wǎng)絡拓撲模型（圖2），在校園網(wǎng)分布層實施流量控制與優(yōu)化策略。為了清晰地描述優(yōu)化算法，本文對具體網(wǎng)絡環(huán)境進行抽象，將校園網(wǎng)的結構抽象成一種樹狀網(wǎng)絡拓撲模型。該結構主要由三層組成，從上到下依次為核心層、分布層和接入層。其中核心層與互聯(lián)網(wǎng)相連，而接入層與校園網(wǎng)內(nèi)用戶相連。

圖2 某校園網(wǎng)網(wǎng)絡拓撲結構

Fig.2 A campus network topology

對整個校園網(wǎng)來講，一般只有一個數(shù)據(jù)包匯總流出接口，用Iout表示；數(shù)據(jù)包自接入層流入接口，一般有多個Iin接口，現(xiàn)假設接口數(shù)為：Ic（Ic>1）；接口發(fā)送數(shù)據(jù)包速度，即每s接口i發(fā)送數(shù)據(jù)包進入設備的數(shù)量用Si表示；設備接收數(shù)據(jù)包速度，即每秒鐘數(shù)據(jù)接收到的數(shù)據(jù)包總量S可以表示為式（1）：

（1）

根據(jù)網(wǎng)絡拓撲的層次結構，我們可以將ACL部署在分布層網(wǎng)絡設備的兩個位置：Iout或者分別應用在Iin。當數(shù)據(jù)流量發(fā)生變化時，部署在不同位置的ACL將對網(wǎng)絡設備性能產(chǎn)生不同的影響：

方法1：每一個運行的ACL都將耗費網(wǎng)絡設備的資源，運行的ACL越多，耗費的資源也就越多，設備運行的效率也就越低，而每一個Iin接口上均運行獨立的ACL勢必消耗較多的網(wǎng)絡設備資源。

方法2：當使用一個ACL的指令去匹配一個數(shù)據(jù)包時，會產(chǎn)生一定的時間延遲，當數(shù)據(jù)包和ACL指令的數(shù)量較大時，時間延遲比較嚴重，網(wǎng)絡效率會降低。所以，如果將所有ACL均部署在Iout接口上進行控制，數(shù)據(jù)包在傳輸過程中會產(chǎn)生較大的時間延遲。

3.2 方法分析描述endprint

針對上節(jié)提出的方法1，我們對其進行量化分析，然后基于量化分析結果提出網(wǎng)絡優(yōu)化的具體措施。首先，本文將網(wǎng)絡優(yōu)化的目標定義在網(wǎng)絡整體效率的提高，主要內(nèi)容包括：

a.數(shù)據(jù)包在網(wǎng)絡中傳輸?shù)钠骄舆t；

b.網(wǎng)絡設備的數(shù)據(jù)包轉發(fā)網(wǎng)絡設備的數(shù)據(jù)包轉發(fā)速率V；

c.真實系統(tǒng)與量化分析的偏移量D。

則方法一數(shù)據(jù)包轉發(fā)的時間延遲3為：

（2）

又因為

（3）

由式（1），則式（2）為

（4）

其中，D表示估算與實際系統(tǒng)直接的偏移量；N（0，1，…，Ic）表示端口號；rn（rn≥1）為應用在n端口上的ACL指令數(shù)量；（>0）為每一條ACL匹配一個數(shù)據(jù)包所造成的時間延遲。

針對方法2：將所有的ACL均應用在設備的一個接口上，則需要將功能相同的ACL合并。合并后的數(shù)據(jù)包轉發(fā)的時間延遲為：

（5）

其中，s（0≤s≤1）為應用于每個接口ACL的指令重復率。

將方法1和方法2兩量化方法進行比對，得到兩種方法的頻率F，通過判斷F值，從而確定兩種方法的優(yōu)劣：

（6）

式6顯示兩種方法的效率與接口數(shù)和指令重復率相關，兩者成反比關系。其關系分為如下兩種情況：

當時，即F<1，方法1效率優(yōu)于方法2。

當時，即F>1，方法2效率優(yōu)于方法1。

4 實驗（The experiment）

針對上述兩種方法，本文按照文[5]的描述，在學校網(wǎng)絡中進行實驗。實驗拓撲圖如圖2所示，接入層采用D-link smarty link，使用24個接口，劃分24個VLAN。分布層采取cisco 3750-24ts-e，使用光纖接口接入核心層交換機。

實驗采用固定接口，變動ACL指令部署和指令的重復率，通過show ip interface命令查看IP數(shù)據(jù)包的吞吐率，進而計算出每個數(shù)據(jù)包在網(wǎng)絡設備中的延遲，如圖3所示。

圖3 方法1和方法2的實驗對比

Fig.3 Experimental methods 1 and 2

實驗結果整體基本上能夠反映出方法1和方法2的特點，但是效率并不能與Ic的值成比例變化。主要原因是：網(wǎng)絡整體的數(shù)據(jù)包吞吐率的不規(guī)則，不可精確控制，容易受到的干擾因素較多，峰谷數(shù)值差異較大；所選擇的網(wǎng)絡設備的處理能力較強，而網(wǎng)絡負載較小，使得每一條ACL指令所造成的延遲較小等因素；每個獨立的ACL進程所消耗的網(wǎng)絡設備資源不同等。

為了測試算法在不同設備上的執(zhí)行效率，我們選擇了某品牌的國產(chǎn)設備作為測試對象，比較了兩種方法的效率。試驗結果如圖4所示。

圖4 在某國產(chǎn)設備商性能測試

Fig.4 In a domestic equipment manufacturers

performance test

如圖4所示，在這種國產(chǎn)設備上，兩種方法表現(xiàn)出了與思科設備上相似的特性，說明本文的算法具有很好的設備適應性。

5 結論（Conclusion）

本文對基于ACL網(wǎng)絡優(yōu)化的兩種方法進行了分析和研究，通過量化分析，并進行了對應的實驗，對實驗結果進行了分析。但是ACL的應用和部署對網(wǎng)絡性能的影響是復雜的，文中的公式和實驗沒有考慮網(wǎng)絡吞吐率、網(wǎng)絡設備資源占用等因素，這些將是下一步的研究工作。

參考文獻（References）

[1] 曾曠怡，楊家海.訪問控制列表的優(yōu)化問題[J].軟件學報，2007

（4）：978-985.

[2] 唐子蛟，李紅蟬.基于ACL的網(wǎng)絡安全管理的應用研究[J].四

川理工學院學報：自然科學版，2009（2）：48-51.

[3] 陸偉.ACL技術在校園網(wǎng)中的應用[J].電腦知識與技術.2008

（4）：2965-2966.

[4] 汪厚祥，李卉.基于角色的訪問控制研究[J].計算機應用研究，

2005（4）：125-127.

[5] 思科ACL管理者用戶指南（軟件版本1.5）.2003.233-242.

[6] 徐恪，等.路由查找算法研究綜述[J].軟件學報，2002（1）： 43-50.

作者簡介：

劉小園（1978-），男，碩士，講師.研究領域：網(wǎng)絡與數(shù)據(jù)庫系

統(tǒng)，計算機軟件與理論.endprint

針對上節(jié)提出的方法1，我們對其進行量化分析，然后基于量化分析結果提出網(wǎng)絡優(yōu)化的具體措施。首先，本文將網(wǎng)絡優(yōu)化的目標定義在網(wǎng)絡整體效率的提高，主要內(nèi)容包括：

a.數(shù)據(jù)包在網(wǎng)絡中傳輸?shù)钠骄舆t；

b.網(wǎng)絡設備的數(shù)據(jù)包轉發(fā)網(wǎng)絡設備的數(shù)據(jù)包轉發(fā)速率V；

c.真實系統(tǒng)與量化分析的偏移量D。

則方法一數(shù)據(jù)包轉發(fā)的時間延遲3為：

（2）

又因為

（3）

由式（1），則式（2）為

（4）

其中，D表示估算與實際系統(tǒng)直接的偏移量；N（0，1，…，Ic）表示端口號；rn（rn≥1）為應用在n端口上的ACL指令數(shù)量；（>0）為每一條ACL匹配一個數(shù)據(jù)包所造成的時間延遲。

針對方法2：將所有的ACL均應用在設備的一個接口上，則需要將功能相同的ACL合并。合并后的數(shù)據(jù)包轉發(fā)的時間延遲為：

（5）

其中，s（0≤s≤1）為應用于每個接口ACL的指令重復率。

將方法1和方法2兩量化方法進行比對，得到兩種方法的頻率F，通過判斷F值，從而確定兩種方法的優(yōu)劣：

（6）

式6顯示兩種方法的效率與接口數(shù)和指令重復率相關，兩者成反比關系。其關系分為如下兩種情況：

當時，即F<1，方法1效率優(yōu)于方法2。

當時，即F>1，方法2效率優(yōu)于方法1。

4 實驗（The experiment）

針對上述兩種方法，本文按照文[5]的描述，在學校網(wǎng)絡中進行實驗。實驗拓撲圖如圖2所示，接入層采用D-link smarty link，使用24個接口，劃分24個VLAN。分布層采取cisco 3750-24ts-e，使用光纖接口接入核心層交換機。

實驗采用固定接口，變動ACL指令部署和指令的重復率，通過show ip interface命令查看IP數(shù)據(jù)包的吞吐率，進而計算出每個數(shù)據(jù)包在網(wǎng)絡設備中的延遲，如圖3所示。

圖3 方法1和方法2的實驗對比

Fig.3 Experimental methods 1 and 2

實驗結果整體基本上能夠反映出方法1和方法2的特點，但是效率并不能與Ic的值成比例變化。主要原因是：網(wǎng)絡整體的數(shù)據(jù)包吞吐率的不規(guī)則，不可精確控制，容易受到的干擾因素較多，峰谷數(shù)值差異較大；所選擇的網(wǎng)絡設備的處理能力較強，而網(wǎng)絡負載較小，使得每一條ACL指令所造成的延遲較小等因素；每個獨立的ACL進程所消耗的網(wǎng)絡設備資源不同等。

為了測試算法在不同設備上的執(zhí)行效率，我們選擇了某品牌的國產(chǎn)設備作為測試對象，比較了兩種方法的效率。試驗結果如圖4所示。

圖4 在某國產(chǎn)設備商性能測試

Fig.4 In a domestic equipment manufacturers

performance test

如圖4所示，在這種國產(chǎn)設備上，兩種方法表現(xiàn)出了與思科設備上相似的特性，說明本文的算法具有很好的設備適應性。

5 結論（Conclusion）

本文對基于ACL網(wǎng)絡優(yōu)化的兩種方法進行了分析和研究，通過量化分析，并進行了對應的實驗，對實驗結果進行了分析。但是ACL的應用和部署對網(wǎng)絡性能的影響是復雜的，文中的公式和實驗沒有考慮網(wǎng)絡吞吐率、網(wǎng)絡設備資源占用等因素，這些將是下一步的研究工作。

參考文獻（References）

[1] 曾曠怡，楊家海.訪問控制列表的優(yōu)化問題[J].軟件學報，2007

（4）：978-985.

[2] 唐子蛟，李紅蟬.基于ACL的網(wǎng)絡安全管理的應用研究[J].四

川理工學院學報：自然科學版，2009（2）：48-51.

[3] 陸偉.ACL技術在校園網(wǎng)中的應用[J].電腦知識與技術.2008

（4）：2965-2966.

[4] 汪厚祥，李卉.基于角色的訪問控制研究[J].計算機應用研究，

2005（4）：125-127.

[5] 思科ACL管理者用戶指南（軟件版本1.5）.2003.233-242.

[6] 徐恪，等.路由查找算法研究綜述[J].軟件學報，2002（1）： 43-50.

作者簡介：

劉小園（1978-），男，碩士，講師.研究領域：網(wǎng)絡與數(shù)據(jù)庫系

統(tǒng)，計算機軟件與理論.endprint

針對上節(jié)提出的方法1，我們對其進行量化分析，然后基于量化分析結果提出網(wǎng)絡優(yōu)化的具體措施。首先，本文將網(wǎng)絡優(yōu)化的目標定義在網(wǎng)絡整體效率的提高，主要內(nèi)容包括：

a.數(shù)據(jù)包在網(wǎng)絡中傳輸?shù)钠骄舆t；

b.網(wǎng)絡設備的數(shù)據(jù)包轉發(fā)網(wǎng)絡設備的數(shù)據(jù)包轉發(fā)速率V；

c.真實系統(tǒng)與量化分析的偏移量D。

則方法一數(shù)據(jù)包轉發(fā)的時間延遲3為：

（2）

又因為

（3）

由式（1），則式（2）為

（4）

其中，D表示估算與實際系統(tǒng)直接的偏移量；N（0，1，…，Ic）表示端口號；rn（rn≥1）為應用在n端口上的ACL指令數(shù)量；（>0）為每一條ACL匹配一個數(shù)據(jù)包所造成的時間延遲。

針對方法2：將所有的ACL均應用在設備的一個接口上，則需要將功能相同的ACL合并。合并后的數(shù)據(jù)包轉發(fā)的時間延遲為：

（5）

其中，s（0≤s≤1）為應用于每個接口ACL的指令重復率。

將方法1和方法2兩量化方法進行比對，得到兩種方法的頻率F，通過判斷F值，從而確定兩種方法的優(yōu)劣：

（6）

式6顯示兩種方法的效率與接口數(shù)和指令重復率相關，兩者成反比關系。其關系分為如下兩種情況：

當時，即F<1，方法1效率優(yōu)于方法2。

當時，即F>1，方法2效率優(yōu)于方法1。

4 實驗（The experiment）

針對上述兩種方法，本文按照文[5]的描述，在學校網(wǎng)絡中進行實驗。實驗拓撲圖如圖2所示，接入層采用D-link smarty link，使用24個接口，劃分24個VLAN。分布層采取cisco 3750-24ts-e，使用光纖接口接入核心層交換機。

實驗采用固定接口，變動ACL指令部署和指令的重復率，通過show ip interface命令查看IP數(shù)據(jù)包的吞吐率，進而計算出每個數(shù)據(jù)包在網(wǎng)絡設備中的延遲，如圖3所示。

圖3 方法1和方法2的實驗對比

Fig.3 Experimental methods 1 and 2

實驗結果整體基本上能夠反映出方法1和方法2的特點，但是效率并不能與Ic的值成比例變化。主要原因是：網(wǎng)絡整體的數(shù)據(jù)包吞吐率的不規(guī)則，不可精確控制，容易受到的干擾因素較多，峰谷數(shù)值差異較大；所選擇的網(wǎng)絡設備的處理能力較強，而網(wǎng)絡負載較小，使得每一條ACL指令所造成的延遲較小等因素；每個獨立的ACL進程所消耗的網(wǎng)絡設備資源不同等。

為了測試算法在不同設備上的執(zhí)行效率，我們選擇了某品牌的國產(chǎn)設備作為測試對象，比較了兩種方法的效率。試驗結果如圖4所示。

圖4 在某國產(chǎn)設備商性能測試

Fig.4 In a domestic equipment manufacturers

performance test

如圖4所示，在這種國產(chǎn)設備上，兩種方法表現(xiàn)出了與思科設備上相似的特性，說明本文的算法具有很好的設備適應性。

5 結論（Conclusion）

本文對基于ACL網(wǎng)絡優(yōu)化的兩種方法進行了分析和研究，通過量化分析，并進行了對應的實驗，對實驗結果進行了分析。但是ACL的應用和部署對網(wǎng)絡性能的影響是復雜的，文中的公式和實驗沒有考慮網(wǎng)絡吞吐率、網(wǎng)絡設備資源占用等因素，這些將是下一步的研究工作。

參考文獻（References）

[1] 曾曠怡，楊家海.訪問控制列表的優(yōu)化問題[J].軟件學報，2007

（4）：978-985.

[2] 唐子蛟，李紅蟬.基于ACL的網(wǎng)絡安全管理的應用研究[J].四

川理工學院學報：自然科學版，2009（2）：48-51.

[3] 陸偉.ACL技術在校園網(wǎng)中的應用[J].電腦知識與技術.2008

（4）：2965-2966.

[4] 汪厚祥，李卉.基于角色的訪問控制研究[J].計算機應用研究，

2005（4）：125-127.

[5] 思科ACL管理者用戶指南（軟件版本1.5）.2003.233-242.

[6] 徐恪，等.路由查找算法研究綜述[J].軟件學報，2002（1）： 43-50.

作者簡介：

劉小園（1978-），男，碩士，講師.研究領域：網(wǎng)絡與數(shù)據(jù)庫系

統(tǒng)，計算機軟件與理論.endprint