訪問控制列表ACL在網絡精細化管理中的作用研究

張易鴻，邱 瑞，陶成義，柯 迅，李 逸＊

（貴州師范大學 物理與電子科學學院，貴州 貴陽 550001）

訪問控制列表ACL在網絡精細化管理中的作用研究

張易鴻，邱 瑞，陶成義，柯 迅，李 逸＊

（貴州師范大學 物理與電子科學學院，貴州 貴陽 550001）

近年隨著高校校園網絡規模的增長，隨之而來的管理和安全問題日益凸顯，其管理模式也必將向可控化、精細化模式方向發展。基于訪問控制列表的校園網絡控制技術可以滿足網絡精細化管理的需要。在簡要介紹ACL基本概念及其工作原理的基礎上，文章結合實例通過配置ACL規則研究了ACL在網絡精細化管理中的作用，探討了ACL在網絡精細化管理中的作用和意義。

訪問控制列表；ACL規則；網絡精細化管理

近年隨著高校校園網絡規模的增長，隨之而來的管理和安全問題日益凸顯，其管理模式也必將向可控化、精細化模式方向發展。基于訪問控制列表(Access Control Lists，ACL)的校園網絡控制技術可以滿足校園網絡精細化管理的需要。

1 ACL基本概念

ACL是應用于路由器接口的指令列表，用于確定哪些數據包可以接收轉發(permit)，哪些數據包需要拒絕(deny)。是一系列包含源地址(Source Address)、目的地址(Destination Address)、端口號(Port Number)等諸多信息的語句集合，每條語句組成一個規則(rule)，它規定了對接收到的數據包的處理動作，對經過路由器或交換機的數據流進行判斷、分類和過濾。ACL通過匹配數據包中的信息與訪問控制列表的規則實現過濾接收到的數據包，實現對路由器的安全控制。ACL使用包過濾技術，在路由器或交換機網絡設備上讀取網絡層及傳輸層數據報首部中的端口和地址信息，根據預先制定好的規則對包進行過濾處理，從而實現訪問控制的目的。ACL工作原理如圖1所示。

圖1 交換機ACL工作原理

從圖1中看到數據包發送到交換機中，從接口位置進入路由表，由路由器表進行判斷，如果未通過路由器表判斷則將數據包丟棄，通過則根據數據包內容選擇接口。繼續對是否使用ACL進行判斷，如果不使用ACL數據包將直接從接口處發出。將使用ACL的數據包進行ACL規則匹配控制，通過匹配則將數據包從接口發出，反之則直接丟棄。

2 ACL工作原理

ACL自動控制的工作原理如圖2所示。

由圖2可以知道，若數據包同時滿足多條規則，則匹配排在最前面的那一條規則，因此一般把范圍小的規則放在最前面，范圍大的規則放在最后面。同時，出于網絡安全考慮，在每個ACL的最后，系統會自動附加一條隱式的拒絕所有數據包通過的deny規則。因此ACL的最后經常需定義一條允許所有數據包通過的permit規則。

在實際使用ACL的過程中，應遵循以下3個基本原則：（1）最小特權原則：只給予受控對象完成任務所必須的最小權限。（2）最靠近受控對象原則：所有的網絡層訪問權限控制。（3）默認丟棄原則：如在ZXR10 5950三層交換機中默認最后一句為ACL加入了deny any any規則，即全部拒絕—丟棄所有不符合規則的數據包。

圖2 ACL工作原理圖

3 ACL在網絡精細化管理中的作用研究與實現

很多企業和學校都在使用網絡地址轉換（Network Address Translation，NAT）技術進行地址轉換，而NAT技術中就包含了ACL技術的應用。目前ACL的主要應用有兩種：基本ACL和擴展ACL，其區別是：基本ACL只能實現檢查數據包的源地址(Source Address)；擴展ACL既檢查源地址，也檢查目的地址，同時還可以檢查特定的協議類型、端口號等。網絡管理員可以配置基本ACL阻止或者允許來自某一網絡的所有通信流量，或者拒絕某一協議簇（如IP協議）的所有通信流量。但擴展ACL比基本ACL提供了更廣泛的控制范圍。

除了主要的兩種ACL（基本ACL、擴展ACL）外還有二層ACL、混合ACL、基本IPv6 ACL、擴展IPv6 ACL等若干種不同的ACL。在日常生活中最主要的兩種ACL就是基本ACL和擴展ACL。現在使用擴展ACL為學校微機教室的網絡環境進行管理，為學校師生服務。

配置實例：學校有一臺ZXR10 5950三層交換機，3臺服務器和機房A、機房B的用戶都連接到這臺交換機上，并作出以下規定：

①機房A和機房B的用戶在上課時間（8:30—17:30）不允許訪問文件服務器和視頻點播服務器，但可隨時訪問郵件服務器。

②內網用戶可以通過代理192.168.4.100訪問互聯網，但不允許機房A的用戶在上課時間訪問互聯網。

③機房A和機房B的教師（IP地址分別為192.168.1.101和192.168.2.101）可以隨時訪問互聯網和所有服務器。

3臺服務器的IP地址分配如下：

郵件服務器：192.168.5.50；文件服務器：192.168.5.60；視頻點播服務器：192.168.5.70。

在ZXR10 5950三層交換機設備中的ACL規則配置如下：

在配置實例中設置了不同的ACL規則，實現了通過ACL對網絡中的數據包的收發進行精細化管理的目的。

4 結語

可以將ACL這一技術引用到學校公司等對網絡安全有一定需求的地方。在實際應用中，可靈活配置ACL以更加細致地管理網絡，使網絡的管理向著更加智能化的方向發展，并使之成為生活中前進的動力。

[1]謝希仁.計算機網絡[M].6版.北京：電子工業出版社，2013.

[2]姜丹丹.路由與交換實戰入門[M].北京：科學出版社，2012.

[3]杭州華三通信技術有限公司.H3C以太網交換機典型配置指導[M].北京：清華大學出版社，2012.

[4]蘭少華，楊余旺，呂建勇.TCP/IP網絡與協議[M].北京：清華大學出版社，2009.

[5]斯桃枝，姚馳甫.路由與交換技術[M].北京：北京大學出版社，2008.

[6]周星，汪國安，張震，等.網絡層訪問控制列表的應用[J].河南大學學報（自然版），2004（3）：62-66.

Research on effect of the access control list in the network elaborate management

Zhang Yihong, Qiu Rui, Tao Chengyi, Ke Xun, Li Yi*
（Physics and Electronic Science School of Guizhou Normal University, Guiyang 550001, China）

In recent years, as the growth of the college campus network scale, the subsequent management and security problems highlighted increasingly, its management mode also will be certainly changed to controllable and elaborate. Based on the ACL of the campus network control technology can meet the needs of the network elaborate management. On the basis of brief introduction of ACL basic concept and principles, an instance by how to configure ACL rules in the research and implementation of network elaborate management was given. Finally, the effect and meaning of the ACL in the network elaborate management was discussed.

ACL; ACL rules; network elaborate management

2015年度貴州師范大學大學生科研訓練計劃項目；項目編號：20150808。

張易鴻（1994— ），男，甘肅白銀，本科。

＊通訊作者：李逸（1980— ），男，貴州畢節，講師；研究方向：計算機網絡通信，網絡信息安全。