张思卿 张帆

摘 要：路由策略和策略路由的目的都是提高网络的安全性能。通过对路由策略和策略路由两者的比较，发现都是根据一定的要求制定相应的规则，通过改变某些参数实现不同流量在不同转发路径之间的传输控制。区别在于路由策略是路由发现时所用到的规则，能控制路由表的大小;策略路由是数据包转发时所用到的规则，能实现网络的负载均衡和链路备份。路由策略和策略路由应用技术对提高网络安全性能具有重要意义。

关键词：网络安全;ACL;流量控制;路由器;安全性能;TCP/UDP

中图分类号：TP39;TN915.08文献标识码：A文章编号：2095-1302（2019）09-00-05

0 引 言

在对网络服务质量要求越来越高的大环境中，访问控制列表（Access Control List，ACL）产生并得到了快速、广泛的应用。ACL是一组指令集，可根据网络安全的不同需求，通过有序的排列组合形成有效的条件列表，实现对流量的分类过滤，过滤技术是ACL实现的核心[1]，可以在交换机、路由器、防火墙等网络设备中应用ACL以更好地实现对网络的安全防护。

ACL实际上是路由器上的流量过滤器，它可以根据分组的属性，比如IP地址来识别特定类型的分组流量[2]。在识别以后ACL可执行特定操作，比如阻止它们通过某个特定的接口。ACL作为网络安全领域发展较为成熟的一项流量控制技术，在网络安全中发挥着较为重要的作用。在ACL的具体应用中，通过标准ACL与扩展ACL相结合实现对流量的控制，并且对不同级别的用户提供不同的服务器访问权限[3];在ACL的扩展應用中，通过设计ACL与其他应用技术相结合以实现不同的路由策略。

1 ACL工作原理

ACL由访问控制条目（ACE）组成，ACE通常也被称为ACL语句，其根据某一标准（源地址、目的地址、协议号和端口号）创建[4]。

ACL从第三层数据包报头中读取源IP地址、目的IP地址、ICMP消息类型信息;从第四层数据包报头中读取TCP/UDP源端口号、TCP/UDP目的端口号信息;根据预先定义的规则决定哪些数据包可以接收，哪些数据包需要拒绝，从而实现访问控制目的[5]。

ACL提供了一种区分不同类型数据包的方法。根据各自的特点，将不同的数据包分为不同的类型，以达到控制用户访问的目的。

ACL的工作原理如图1所示。

2 应用需求

2.1 路由策略需求

路由策略通过某些规则来改变影响路由发布、接收及路由选择的参数，从而改变路由发现的结果，目的是控制路由表的内容[6]。路由策略需求如下：

（1）路由器R1只能将环回接口中第3位为奇数的路由和F0/0接口的路由发送出去;

（2）在路由器R1和路由器R2之间使用RIPv2路由协议。

2.2 策略路由需求

策略路由仅针对某些特定需求，如主机不根据当前路由表中的路由进行转发，而单独使用别的路径转发。策略路由在数据包转发时进行策略匹配，使用单独的路径转发但不改变路由表中的路由信息。需求如下：

（1）在路由器R3的F0/0接口采用相应策略，PCA数据的下一跳地址为192.168.23.2，所有其他数据包正常转发;

（2）在路由器R3的F0/1接口应用相应策略，源地址为192.168.2.0/24网段的TELNET包，设置下一跳地址为192.168.32.2，将IP包的优先级设置为critical，其他包正常转发;

（3）在路由器R2与路由器R3之间使用EIGRP路由协议。

2.3 拓扑结构

应用拓扑结构如图2所示。

拓扑图中在路由器R1与R2之间实现路由更新策略，路由器R2与R3之间实现策略路由;路由器R4，R5，R6分别表示三台主机。

2.4 设备需求及IP地址分配

根据需求分析及应用拓扑图，该应用设备及IP分配见表1所列。

3 应用实现

3.1 路由策略实现

4 应用测试

4.1 路由策略测试

在R2上查看路由表，结果如图3所示。

结果分析：

在路由器R1的接口S2/0的出方向应用distribute-list 10，该分发列表中调用ACL 10 只允许第三位为奇数的路由条目，其他路由条目拒绝。

图中大写字母R表示从路由器R1所收到的RIPv2路由条目，并且第三位为奇数，基于ACL的路由更新控制生效。

4.2 策略路由测试

4.2.1 网络层测试结果

在PCA上ping地址2.2.2.2，路由器R3上显示的信息如图4所示。

结果分析：

以上输出信息表明源地址为192.168.1.2的主机发送给目的地址2.2.2.2的数据包在接口F0/0匹配route-map MAP1的序列号10所定义的策略，执行策略路由并设置数据包下一跳地址为192.168.23.2。

在PCA上使用L0接口地址ping地址2.2.2.2，路由器 R3显示的信息如图5所示。

结果分析：

以上输出信息表明源地址为3.3.3.3接口发送到目的地址的2.2.2.2数据包在接口F0/1不匹配策略路由，数据包正常转发。

在策略路由中只允许源地址为192.168.1.2的数据包，所以当源地址为3.3.3.3时不匹配策略路由故正常转发。

4.2.2 应用层测试结果

在PCB上访问2.2.2.2的TELNET服务，路由器R3显示的信息如图6所示。

结果分析：

以上输出信息表明从PCB发送的TELNET数据包在接口F0/1匹配策略，执行策略路由并设置数据包下一跳地址为192.168.32.2。

在PCB上ping路由器R2的2.2.2.2，路由器R3显示的调试信息如图7所示。

结果分析：

以上输出信息表明源地址为192.168.2.2的主机发送到目的地址2.2.2.2的数据包在接口F0/1不匹配路由策略，数据包正常转发。

在策略中ACL只接纳源地址为192.168.2.2的TELNET数据包，在PCB上ping路由器R2的地址2.2.2.2则产生ICMP类型数据包，不匹配策略，所以正常转发。

在PCB上用L0接口访问2.2.2.2的TELNET服务，路由器R3显示的信息如图8所示。

结果分析：

以上输出信息表明源地址为4.4.4.4的接口发送到目的地址2.2.2.2的HTTP数据包在接口F0/1不匹配路由策略，数据包正常转发。

虽然源地址4.4.4.4发送的是TELNET类型数据包，但在策略中只允许源地址为192.168.2.2的数据包执行策略，所以不匹配策略正常转发。

5 结 语

本文通过不同的需求实现路由策略和策略路由。分析实现需求，列出路由协议的配置和策略配置，对应用进行测试，并对测试结果进行分析说明。两者的相同点：均根据一定的要求制定相应的规则，通过改变某些参数实现不同流量在不同转发路径之间的传输控制。两者之间的区别：路由策略是路由发现时所用到的规则，可控制路由表的大小。策略路由是数据包转发时所用到的规则，能实现网络的负载均衡和链路备份。路由策略和策略路由应用技术对提高网络安全性能具有重要意义。

参 考 文 献

[1]兀俊. ACL访问控制列表在交易连接平台上的应用[D].上海：复旦大学，2008.

[2]张峥.基于访问控制技术的银行网络安全研究及应用[D].重慶：重庆大学，2007.

[3]秦成海.访问列表在网络管理中的应用[J].中国科技信息，2011（17）：102.

[4]刘辉.企业计算机网络的安全管理[J].工业安全与环保，2003，29（11）：40-41.

[5]王芳.路由器访问控制列表及其应用技术研究[D].郑州：解放军信息工程大学，2007.

[6]刘军，彩萍. ACL在IP网络中的应用[J].计算机与数字工程，2009，7（1）：178-181.

[7]童列高.一种改进的海上无线传感网动态源路由算法[J].物联网技术，2018，8（1）：33-34.

[8]林晖.云南移动支撑网边界路由器安全策略的实施[J].电信技术，2003（8）：52-54.

[9]梅冯阳.无线传感器网络基于泰森图分簇的路由算法[J].物联网技术，2016，6（8）：44-47.

[10]范体贵，吕立君.基于访问控制列表的路由器防火墙在网络安全中的应用研究[J].计算机与网络，2004（24）：52-53.