肖耀国

摘要：互联网时代的今天，网络安全问题逐渐被人们重视起来，访问控制列表作为网络设备，管控网络各类数据，是网络安全技术中常用的一种手段。该文以校园网为例，首先介绍了访问控制列表的作用和分类，然后叙述了访问控制列表定位丢包功能，可以有效保障校园网络安全稳定运行。

关键词：访问控制列表；校园网络；定位丢包

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2017）17-0033-02

1ACL介绍

接入访问控制列表英文全称（Access Control Lists，简称ACL）。目前按照功能划分主要分为安全的ACL和基于服务质量的Qos ACL两大类。接入访问控制列表主要功能是对网络数据流按照管理员设定的模板进行过滤，限制网络中数据类型、使用者和特定设备等。安全的ACL在网络数据流经网络设备的时候，首先对网络数据进行分类、然后进行检查。完成分类和检查后，根据网络管理员设置的conditions匹配条件，决定对各类网络数据的处理方式，处理方式通过包括允许（permit）和丢弃（deny）。网络数据通过安全ACL处理后，下一步可以使用基于服务质量的QosACL策略，对符合管理员预先设置的QosACL对网络数据类型进行优先级的分类处理，类似交通警察对马路上各类车辆进行优先级的差异化处理模式。

ACL通常是用各种类型的功能表项，依照网络管理员对网络进行有效管理而产生的集合统称为接入控制列表表项（Ac-cess Control Entry：ACE）。下面通过5个地区和5个地区管理员举例说明ACL和ACE的关系。A地区处于B、C、D、E地区包围之中，并与其4个地区相邻。A地区人员前往其他地区，必须经由A地区管理员检查后才能离开A地區。其他B、C、D、E地区的人员想前往地区，也必须途径A地区才到到达目的地。A地区的管理员对经由本地区的人员进行严格的过境人员身份检查限制，其过境检查规则如图1。

A地区通往其他四个地区均有不同的出口通道，因为A地区管理人员有限，故每天通过出口通过的人数都有一定限制。基于这种情况，A地区管理机构根据人员身份不同进行了分类处理，给特殊人群不同的待遇，方便特殊人群进出出口通道。具体情况如图2。

通过上面的例子，网络设备就如同A地区管理员一样，要对通过A地区所有人员进行分类、检查、处理。与A地区相邻的四个地区出口就如同网络设备的四接口。管理人员采用不同的规则如图1所示就是安全ACL，而对进入人员进行身份识别规则就是QoS ACL。A地区管理员对出入人员的每一条规则就是ACE，若干条ACE组合在一起形成了完整的ACL，而每一条身份识别可以理解为是ACE规则条件。对于出入人员能否通过就如同ACE处理方式中的允许（permit）和拒绝（deny）。

地区管理员对出入地管理规则中每一条细则称为ACE，ACE通常要对人员身份进行识别，按照图1所示的人员身份情况进行相关人员进行permit和deny两种处理方式。例如当出人A地区人员满足从B地区到D地区（条件三）的时候，A地区管理员会对这类人员进行（permit）处理方式；如携带危险物品人员进入A地区，ACE会根据图1的条件一拒绝进入A地区，其处理方式为（deny）。

同理，图2的人境身份识别规则组合在一起就形成了ACL，而形成ACL中的每一条规则则是ACE。图2的ACL是先让人员进人A地区后进行检查后，在对应ACL规则进行处理。因此每条规则中都隐藏着允许人员进人A地区，利用QOS进行分类识别后，要求对各类人员进行permit和deny的处理行为。而在各类网络设备中QoS ACL是不能定义deny为首条规则的ACE。

通过上述的例子，A地区依照自己本地区的特点和相关地区的友好程度，可以制定不同的规则。如A地区与C地区关系非常融洽，制定针对C地区非常宽松的规则。B地区因其他因素导致存在大量携带危险物品的人员，故B地区经过A地区的人员进行严格检查。同理针对网络设备，网络设备的不同接口，也可以定义不同规则的ACL。

2ACL的输入和输出

访问控制列表各类规则制定完善后，需要定义在不同的接口。在接口处配合制定好的规则才能形成良好的管理方式和方法。例如第一节的例子中，A地区管理员对出入境人员管理方式可以采用以下三种方式：

（1）进入A地区和出A地区进行双重检查；

（2）进入A地区检查、出A地区不检查；

（3）进入A地区不检查、出A地区检查。

在网络设备中，在接口处输入和输出ACL，类似A地区出入人员管理规则。分别在网络设备接口处对进出数据进行检查，也可以采用以下三种方式：

（1）进入接口和出接口处进行双重检查；

（2）进入接口时检查、出接口时不检查；

（3）进入接口时不检查、出接口时检查。

数据在经过网络设备接口接收到报文时，需要对报文进行检查，确定该报文是否与该接口输入ACL中某条ACE相匹配。而输出ACL和输入ACL类似，当报文已经经过网络设备后，流出网络设备进行检查，检查报文是否与ACL中的某条ACE进行相匹配。in和out是相对于网络设备来说的，离开网络设备接口的流量即为out；进入这个网络设备的接口的流量即为in，在配置ACL的时候，in和out并不是绝对的。

ACE中的过滤域模板（masks）和规则（mles），类似A地区出入境管理方式。在制定管理方式的时候按照所在地区、目的地区、职业、年龄、所持证件、携带物品等若干主要因素，对各类人员身份信息进行识别。

3定位丢包功能实例

对于支持ACL计数功能的交换机，通过使用技术功能，能够方便定位丢包问题。客户网络出现丢包的情况，可以通过ACL计数功能来定位丢报点，方便我们后续进一步排查。但是并非所有交换机都支持该功能，如果设备支持ip access-listcount命令，就可能支持该能。

举如下案例：

1）客户网络环境：

客户电脑的网关在S57交换机上，S57交换机与S86交换机通过三层口互联

PC（10.1.1.1）——G0/1（10.1.1.254）$57（20.1.1.1）G0/2——G1/1（20.1.1.2）S86

2）客户问题：

客户PCping$86交换机出现丢包，但是不确定报文丢在哪台设备上。

3）ACL调用：

可以在5750-e的G0/12还有$86交换机的G1/1口的in方向和out方向都调用一条acl：

acl定位发现，通过以上测试效果可以发现，S86交换机可以发出报文，但是没有接收到回应报文，丢包点在S86交换机上一级设备。

4结束语

熟练掌握ACL的使用，能够使网络管理员更好地保证网络的安全性和易用性。利用定位丢包技术还能够准备判断网络故障点，更加有效地保障网络的稳定性和可靠性。但是不能需要使用ACL，而忽略防火墙的重要性。网络的安全性和稳定性需要多种专业设备多维度、多层次的立体防御，才能使得网络环境更加健康和稳定。