邊界路由策略在網絡安全中的應用研究

張思卿 張帆

摘 要：路由策略和策略路由的目的都是提高網絡的安全性能。通過對路由策略和策略路由兩者的比較，發現都是根據一定的要求制定相應的規則，通過改變某些參數實現不同流量在不同轉發路徑之間的傳輸控制。區別在于路由策略是路由發現時所用到的規則，能控制路由表的大小;策略路由是數據包轉發時所用到的規則，能實現網絡的負載均衡和鏈路備份。路由策略和策略路由應用技術對提高網絡安全性能具有重要意義。

關鍵詞：網絡安全;ACL;流量控制;路由器;安全性能;TCP/UDP

中圖分類號：TP39;TN915.08文獻標識碼：A文章編號：2095-1302（2019）09-00-05

0 引 言

在對網絡服務質量要求越來越高的大環境中，訪問控制列表（Access Control List，ACL）產生并得到了快速、廣泛的應用。ACL是一組指令集，可根據網絡安全的不同需求，通過有序的排列組合形成有效的條件列表，實現對流量的分類過濾，過濾技術是ACL實現的核心[1]，可以在交換機、路由器、防火墻等網絡設備中應用ACL以更好地實現對網絡的安全防護。

ACL實際上是路由器上的流量過濾器，它可以根據分組的屬性，比如IP地址來識別特定類型的分組流量[2]。在識別以后ACL可執行特定操作，比如阻止它們通過某個特定的接口。ACL作為網絡安全領域發展較為成熟的一項流量控制技術，在網絡安全中發揮著較為重要的作用。在ACL的具體應用中，通過標準ACL與擴展ACL相結合實現對流量的控制，并且對不同級別的用戶提供不同的服務器訪問權限[3];在ACL的擴展應用中，通過設計ACL與其他應用技術相結合以實現不同的路由策略。

1 ACL工作原理

ACL由訪問控制條目（ACE）組成，ACE通常也被稱為ACL語句，其根據某一標準（源地址、目的地址、協議號和端口號）創建[4]。

ACL從第三層數據包報頭中讀取源IP地址、目的IP地址、ICMP消息類型信息;從第四層數據包報頭中讀取TCP/UDP源端口號、TCP/UDP目的端口號信息;根據預先定義的規則決定哪些數據包可以接收，哪些數據包需要拒絕，從而實現訪問控制目的[5]。

ACL提供了一種區分不同類型數據包的方法。根據各自的特點，將不同的數據包分為不同的類型，以達到控制用戶訪問的目的。

ACL的工作原理如圖1所示。

2 應用需求

2.1 路由策略需求

路由策略通過某些規則來改變影響路由發布、接收及路由選擇的參數，從而改變路由發現的結果，目的是控制路由表的內容[6]。路由策略需求如下：

（1）路由器R1只能將環回接口中第3位為奇數的路由和F0/0接口的路由發送出去;

（2）在路由器R1和路由器R2之間使用RIPv2路由協議。

2.2 策略路由需求

策略路由僅針對某些特定需求，如主機不根據當前路由表中的路由進行轉發，而單獨使用別的路徑轉發。策略路由在數據包轉發時進行策略匹配，使用單獨的路徑轉發但不改變路由表中的路由信息。需求如下：

（1）在路由器R3的F0/0接口采用相應策略，PCA數據的下一跳地址為192.168.23.2，所有其他數據包正常轉發;

（2）在路由器R3的F0/1接口應用相應策略，源地址為192.168.2.0/24網段的TELNET包，設置下一跳地址為192.168.32.2，將IP包的優先級設置為critical，其他包正常轉發;

（3）在路由器R2與路由器R3之間使用EIGRP路由協議。

2.3 拓撲結構

應用拓撲結構如圖2所示。

拓撲圖中在路由器R1與R2之間實現路由更新策略，路由器R2與R3之間實現策略路由;路由器R4，R5，R6分別表示三臺主機。

2.4 設備需求及IP地址分配

根據需求分析及應用拓撲圖，該應用設備及IP分配見表1所列。

3 應用實現

3.1 路由策略實現

4 應用測試

4.1 路由策略測試

在R2上查看路由表，結果如圖3所示。

結果分析：

在路由器R1的接口S2/0的出方向應用distribute-list 10，該分發列表中調用ACL 10 只允許第三位為奇數的路由條目，其他路由條目拒絕。

圖中大寫字母R表示從路由器R1所收到的RIPv2路由條目，并且第三位為奇數，基于ACL的路由更新控制生效。

4.2 策略路由測試

4.2.1 網絡層測試結果

在PCA上ping地址2.2.2.2，路由器R3上顯示的信息如圖4所示。

結果分析：

以上輸出信息表明源地址為192.168.1.2的主機發送給目的地址2.2.2.2的數據包在接口F0/0匹配route-map MAP1的序列號10所定義的策略，執行策略路由并設置數據包下一跳地址為192.168.23.2。

在PCA上使用L0接口地址ping地址2.2.2.2，路由器 R3顯示的信息如圖5所示。

結果分析：

以上輸出信息表明源地址為3.3.3.3接口發送到目的地址的2.2.2.2數據包在接口F0/1不匹配策略路由，數據包正常轉發。

在策略路由中只允許源地址為192.168.1.2的數據包，所以當源地址為3.3.3.3時不匹配策略路由故正常轉發。

4.2.2 應用層測試結果

在PCB上訪問2.2.2.2的TELNET服務，路由器R3顯示的信息如圖6所示。

結果分析：

以上輸出信息表明從PCB發送的TELNET數據包在接口F0/1匹配策略，執行策略路由并設置數據包下一跳地址為192.168.32.2。

在PCB上ping路由器R2的2.2.2.2，路由器R3顯示的調試信息如圖7所示。

結果分析：

以上輸出信息表明源地址為192.168.2.2的主機發送到目的地址2.2.2.2的數據包在接口F0/1不匹配路由策略，數據包正常轉發。

在策略中ACL只接納源地址為192.168.2.2的TELNET數據包，在PCB上ping路由器R2的地址2.2.2.2則產生ICMP類型數據包，不匹配策略，所以正常轉發。

在PCB上用L0接口訪問2.2.2.2的TELNET服務，路由器R3顯示的信息如圖8所示。

結果分析：

以上輸出信息表明源地址為4.4.4.4的接口發送到目的地址2.2.2.2的HTTP數據包在接口F0/1不匹配路由策略，數據包正常轉發。

雖然源地址4.4.4.4發送的是TELNET類型數據包，但在策略中只允許源地址為192.168.2.2的數據包執行策略，所以不匹配策略正常轉發。

5 結 語

本文通過不同的需求實現路由策略和策略路由。分析實現需求，列出路由協議的配置和策略配置，對應用進行測試，并對測試結果進行分析說明。兩者的相同點：均根據一定的要求制定相應的規則，通過改變某些參數實現不同流量在不同轉發路徑之間的傳輸控制。兩者之間的區別：路由策略是路由發現時所用到的規則，可控制路由表的大小。策略路由是數據包轉發時所用到的規則，能實現網絡的負載均衡和鏈路備份。路由策略和策略路由應用技術對提高網絡安全性能具有重要意義。

參 考 文 獻

[1]兀俊. ACL訪問控制列表在交易連接平臺上的應用[D].上海：復旦大學，2008.

[2]張崢.基于訪問控制技術的銀行網絡安全研究及應用[D].重慶：重慶大學，2007.

[3]秦成海.訪問列表在網絡管理中的應用[J].中國科技信息，2011（17）：102.

[4]劉輝.企業計算機網絡的安全管理[J].工業安全與環保，2003，29（11）：40-41.

[5]王芳.路由器訪問控制列表及其應用技術研究[D].鄭州：解放軍信息工程大學，2007.

[6]劉軍，彩萍. ACL在IP網絡中的應用[J].計算機與數字工程，2009，7（1）：178-181.

[7]童列高.一種改進的海上無線傳感網動態源路由算法[J].物聯網技術，2018，8（1）：33-34.

[8]林暉.云南移動支撐網邊界路由器安全策略的實施[J].電信技術，2003（8）：52-54.

[9]梅馮陽.無線傳感器網絡基于泰森圖分簇的路由算法[J].物聯網技術，2016，6（8）：44-47.

[10]范體貴，呂立君.基于訪問控制列表的路由器防火墻在網絡安全中的應用研究[J].計算機與網絡，2004（24）：52-53.