網(wǎng)絡(luò)接口層接入控制技術(shù)研究【畢業(yè)論文】

1、<p><b>　　本科畢業(yè)設(shè)計</b></p><p><b>　?。?0 屆）</b></p><p>　　網(wǎng)絡(luò)接口層接入控制技術(shù)研究</p><p>　　所在學(xué)院 </p><p>　　專業(yè)班級 通信工程

2、 </p><p>　　學(xué)生姓名 學(xué)號 </p><p>　　指導(dǎo)教師 職稱 </p><p>　　完成日期 年 月 </p><p><b>　　摘要</b></

3、p><p>　　本文主要對網(wǎng)絡(luò)接入控制技術(shù)所進行的研究。在閱讀大量文獻之后，對網(wǎng)絡(luò)接入技術(shù)進行深入了解，對目前主流的網(wǎng)絡(luò)接入控制技術(shù)進行了了解比較。針對網(wǎng)絡(luò)面臨的接入或訪問安全以及服務(wù)質(zhì)量（QoS）的問題，提出了解決方案[1]。而基于ACL（網(wǎng)絡(luò)層訪問控制列表）技術(shù)的網(wǎng)絡(luò)控制及網(wǎng)絡(luò)安全可以在一定程度上緩解這一問題。訪問表是網(wǎng)絡(luò)防御外來攻擊的第一關(guān)。訪問表提供了一種機制用來控制通過路由器的不同接口的信息流，以制定網(wǎng)絡(luò)相

4、關(guān)安全策略。本課題以網(wǎng)絡(luò)接口層接入控制技術(shù)為研究對象，分析各種安全威脅對網(wǎng)絡(luò)資源的影響提出解決方案。通過對ACL 的應(yīng)用分析，在路由器下利用ACL 過濾網(wǎng)絡(luò)中信息的流量成為構(gòu)建網(wǎng)絡(luò)安全體系的一種技術(shù)手段。該研究方案對控制系統(tǒng)流量，提高整個系統(tǒng)的性能和系統(tǒng)的安全性有著重要的意義。通過對網(wǎng)絡(luò)接入控制技術(shù)的理論學(xué)習(xí)，特別是對編號式訪問表的研究，在實驗室對訪問表的具體應(yīng)用進行了詳細的實驗仿真，加深了自己對網(wǎng)絡(luò)訪問控制列表的認識，以及ACL在各領(lǐng)

5、域應(yīng)用的重要性。最后運用C語言來完成編號式網(wǎng)絡(luò)訪問表的設(shè)計，實現(xiàn)基本的訪問功能。</p><p>　　關(guān)鍵詞：網(wǎng)絡(luò)接入控制；訪問控制列表（ACL）；服務(wù)質(zhì)量（QoS）</p><p><b>　　Abstract</b></p><p>　　This paper focuses on the research of the network ac

6、cess control technology. After reading a large number of documents, depth of understanding of network access technology and understand and compared the mainstream of current network access control technology. Face for th

7、e network access or access security and quality of service (QoS) issues, proposed solutions. And based on the ACL (access control list network layer) technology network control and network security can alleviate this pro

8、blem in </p><p>　　Key Words: Network Access Control; Access Control List; Quality of Service</p><p><b>　　目 錄</b></p><p><b>　　1 引言1</b></p><p>

9、　　2 網(wǎng)絡(luò)接入控制2</p><p>　　2.1網(wǎng)絡(luò)接入保護架構(gòu)2</p><p>　　2.2可信網(wǎng)絡(luò)連接2</p><p>　　3 基于QoS的網(wǎng)絡(luò)接入控制4</p><p>　　3.1 QoS概述4</p><p>　　3.2 IntServ集成服務(wù)模型4</p><p>　　

10、3.3 DiffServ區(qū)分服務(wù)模型5</p><p>　　3.4 IntServ與DiffServ服務(wù)模型比較6</p><p>　　4 網(wǎng)絡(luò)訪問表技術(shù)7</p><p><b>　　4.1基本概念7</b></p><p>　　4.2訪問控制列表分類9</p><p>　　4.2.1

11、 標(biāo)準 IP ACL 配置9</p><p>　　4.2.2 擴展的IP ACL的配置10</p><p>　　4.3網(wǎng)絡(luò)訪問控制列表的實現(xiàn)12</p><p>　　4.3.1 命名式網(wǎng)絡(luò)訪問控制列表的引入13</p><p>　　4.3.2 編號式和命名式網(wǎng)絡(luò)訪問控制列表的主要區(qū)別13</p><p>　　

12、5 網(wǎng)絡(luò)訪問控制應(yīng)用仿真及其實現(xiàn)14</p><p>　　5.1 網(wǎng)絡(luò)訪問控制應(yīng)用實驗仿真14</p><p>　　5.1.1 網(wǎng)絡(luò)連接的訪問控制14</p><p>　　5.1.2 流量控制16</p><p>　　5.1.3 病毒和網(wǎng)絡(luò)攻擊的控制16</p><p>　　5.1.4 在企業(yè)網(wǎng)絡(luò)中的應(yīng)用1

13、7</p><p>　　5.2 編號式訪問表的設(shè)計與實現(xiàn)20</p><p><b>　　6 結(jié)論26</b></p><p>　　致 謝錯誤!未定義書簽。</p><p><b>　　參考文獻27</b></p><p>　　附錄1 部分程序代碼28</

14、p><p>　　附錄2 畢業(yè)設(shè)計作品說明書31</p><p><b>　　1 引言</b></p><p>　　在過去的幾年中，Internet得到了迅猛的發(fā)展，全世界每天都有成千上萬的主機連入Internet。Internet的網(wǎng)絡(luò)規(guī)模急劇膨脹，不僅供應(yīng)商開始利用它開拓電子商務(wù)等商業(yè)應(yīng)用，許多政府機構(gòu)也連入了Internet。如今網(wǎng)絡(luò)信息安

15、全越來越受到大家的重視，構(gòu)建網(wǎng)絡(luò)安全系統(tǒng)的技術(shù)手段，管理制度等方面都在逐步加強。網(wǎng)絡(luò)用戶通過實施ACL技術(shù)來控制對局域網(wǎng)內(nèi)部資源的訪問能力,保障內(nèi)部資源的安全性,進而可以有效地部署網(wǎng)絡(luò)安全。ACL技術(shù)是一種基于包過濾的流控制技術(shù)，可以對入站接口、出站接口及通過路由器中繼的數(shù)據(jù)包進行安全檢測。網(wǎng)絡(luò)正面臨著嚴峻的安全和服務(wù)質(zhì)量(QoS)保證等重大挑戰(zhàn)，保障網(wǎng)絡(luò)的安全成為網(wǎng)絡(luò)進一步發(fā)展的迫切需求。</p><p>　　

16、接入或訪問控制是保證網(wǎng)絡(luò)安全的重要手段，它通過一組機制控制不同級別的主體對目標(biāo)資源的不同授權(quán)訪問，在對主體認證之后實施網(wǎng)絡(luò)資源的安全管理使用。網(wǎng)絡(luò)接入安全控制為當(dāng)前IT內(nèi)部控制進行了專門設(shè)計，可確保為訪問網(wǎng)絡(luò)資源的所有設(shè)備來得到有效的安全控制，以抵御各種安全威脅對網(wǎng)絡(luò)資源的影響，提升企業(yè)管理與生產(chǎn)效率。使網(wǎng)絡(luò)中的所有接入層網(wǎng)絡(luò)設(shè)備都成為一個安全加強點，而終端設(shè)備必須達到一定的安全和策略條件才可以通過路由器和交換機接入訪問網(wǎng)絡(luò)。這樣就可以

17、大大消除蠕蟲和病毒等對聯(lián)網(wǎng)業(yè)務(wù)越來越嚴重的威脅和影響，從而幫助客戶發(fā)現(xiàn)、預(yù)防和消除安全威脅[2]。</p><p>　　任何企業(yè)網(wǎng)絡(luò)系統(tǒng)在為創(chuàng)造價值的同時，對安全性也有很高的要求。ACL（網(wǎng)絡(luò)層訪問控制列表）是一個很不錯的解決工具或方案，ACL技術(shù)在路由器中被廣泛采用，它是一種基于包過濾的流控制技術(shù)。ACL通常應(yīng)用在企業(yè)的出口控制上，可以通過實施ACL，可以有效的部署企業(yè)網(wǎng)絡(luò)出網(wǎng)策略。隨著局域網(wǎng)內(nèi)部網(wǎng)絡(luò)資源的增加

18、，一些企業(yè)已經(jīng)開始使用ACL來控制對局域網(wǎng)內(nèi)部資源的訪問能力， 通過ACL過濾出哪些用戶不能訪問，哪些用戶能訪問進而來保障這些資源的安全性。所以本文就路由器下通過訪問控制列表ACL 實現(xiàn)計算機網(wǎng)絡(luò)安全體系的應(yīng)用加以分析。</p><p><b>　　2 網(wǎng)絡(luò)接入控制</b></p><p>　　網(wǎng)絡(luò)接人控制(Network Admission Control, NAC

19、)是由思科(Cisco)主導(dǎo)的產(chǎn)業(yè)級協(xié)同研究成果，NAC可以協(xié)助保證每臺計算機在進人網(wǎng)絡(luò)前均符合網(wǎng)絡(luò)安全策略。Cisco NAC架構(gòu)使用網(wǎng)絡(luò)基礎(chǔ)設(shè)施對試圖訪問網(wǎng)絡(luò)的計算資源的所有設(shè)備執(zhí)行安全策略檢查，從而限制病毒、蠕蟲、補丁、漏洞和間諜軟件等新興安全威脅損害網(wǎng)絡(luò)的安全性。實施NAC架構(gòu)的用戶僅允許遵守安全策略的可信終端設(shè)備(PC、服務(wù)器及PDA等)訪問網(wǎng)絡(luò)，并控制不符合策略和不可管理的設(shè)備受限地訪問網(wǎng)絡(luò)或拒絕訪問網(wǎng)絡(luò)。</p>

20、;<p>　　接入或訪問控制是保證網(wǎng)絡(luò)安全的重要手段，它通過一組機制控制不同級別的主體對目標(biāo)資源的不同授權(quán)訪問，在對主體認證之后實施網(wǎng)絡(luò)資源的安全管理使用[3]。</p><p>　　2.1網(wǎng)絡(luò)接入保護架構(gòu)</p><p>　　微軟在Windows Server系統(tǒng)中推出的Active Directory架構(gòu)，缺少良好的安全策略管理與策略執(zhí)行能力，作為微軟下一代操作系統(tǒng)Win

21、dows Vista和Windows Server Longhorn使用新的操作系統(tǒng)組件—Network Access Protection，NAP架構(gòu)解決此問題。</p><p>　　NAP架構(gòu)可以在用戶訪問私有網(wǎng)絡(luò)時提供系統(tǒng)平臺的健康校驗。NAP平臺提供了一套完整性的校驗方法來判斷接人網(wǎng)絡(luò)的客戶端的健康狀況。對不符合健康策略要求的客戶端將限制其網(wǎng)絡(luò)訪問權(quán)限。為了校驗訪問網(wǎng)絡(luò)的主機的健康，網(wǎng)絡(luò)架構(gòu)需要提供如下功

22、能：</p><p>　　——健康策略驗證：收集端點的健康狀況，判斷計算機是否適應(yīng)健康策略需求。</p><p>　　——網(wǎng)絡(luò)訪問限制：限制不適應(yīng)健康策略的計算機對網(wǎng)絡(luò)的訪問。</p><p>　　——自動補救：為不適應(yīng)健康策略的計算機提供必要的升級，使其適應(yīng)。</p><p>　　——動態(tài)適應(yīng)：自動升級適應(yīng)策略的計算機使其可以跟上策略的更新

23、。</p><p><b>　　2.2可信網(wǎng)絡(luò)連接</b></p><p>　　可信網(wǎng)絡(luò)連接技術(shù)(Trusted Network Connect，TNC)是建立在基于主機的可信計算技術(shù)之上的，其主要目的在于通過使用可信計算平臺提供的遠程證明技術(shù)，實現(xiàn)對網(wǎng)絡(luò)接入的訪問控制工作[4]。TNC網(wǎng)絡(luò)構(gòu)架也融合了已存在的網(wǎng)絡(luò)訪問控制策略(例如802.1x，IKE. Radius

24、協(xié)議)來實現(xiàn)訪問控制功能。</p><p>　　——平臺認證：TNC客戶端收集端點健康狀況。</p><p>　　——終端策略：根據(jù)該主機對網(wǎng)絡(luò)安全策略的符合情況提供適當(dāng)?shù)木W(wǎng)絡(luò)訪問</p><p>　　——訪問策略：確認終端機器以及其用戶的權(quán)限，并在其連接網(wǎng)絡(luò)以前建立可信級別，平衡已存在的標(biāo)準、產(chǎn)品及技術(shù)。</p><p>　　——評估、隔離

25、及補救: 隔離不符合安全策略要求的終端主機，并提供隔離檢測區(qū)，盡可能對這些終端進行補救（例如升級它的軟件或病毒簽名庫），使它滿足安全策略要求，從而獲得連接網(wǎng)絡(luò)的權(quán)限[5]。</p><p>　　其實，ACL（網(wǎng)絡(luò)層訪問控制列表）是一個很不錯的解決工具或方案，ACL可以幫助企業(yè)實現(xiàn)網(wǎng)絡(luò)安全策略，并利用訪問控制列表（ACL）對QoS進行配置及檢測，以實現(xiàn)幀過濾、帶寬管理和流量統(tǒng)計等功能。如圖2-1所示：</p&

26、gt;<p>　　圖2-1 網(wǎng)絡(luò)安全接入控制的實現(xiàn)</p><p>　　3 基于QoS的網(wǎng)絡(luò)接入控制</p><p><b>　　3.1 QoS概述</b></p><p>　　QoS（Quality of Service）即服務(wù)質(zhì)量。對于網(wǎng)絡(luò)業(yè)務(wù)，服務(wù)質(zhì)量包括傳輸?shù)膸?、傳送的時延、數(shù)據(jù)的丟包率等。在網(wǎng)絡(luò)中可以通過保證傳輸?shù)膸?/p>

27、寬、降低傳送的時延、降低數(shù)據(jù)的丟包率以及時延抖動等措施來提高服務(wù)質(zhì)量。在目前IP網(wǎng)絡(luò)中應(yīng)用的是由IETF提出的QoS模型,主要分為三類:Best Effort、Integrated Service和Differentiated Service。Best-Effort 是一個單一的服務(wù)模型，也是最簡單的服務(wù)模型。對 Best-Effort 服務(wù)模型，網(wǎng)絡(luò)盡最大的可能性來發(fā)送報文，但對時延、可靠性等性能不提供任何保證。Best-Effort

28、服務(wù)是現(xiàn)在Internet的缺省服務(wù)模型。所以,目前應(yīng)用比較廣泛的是集成服務(wù)Integrated Service(簡稱IntServ)模型和區(qū)分服務(wù)Differentiated Service(簡稱DiffServ)模型[6]。</p><p>　　3.2 IntServ集成服務(wù)模型</p><p>　　服務(wù)質(zhì)量控制研究的目標(biāo)是有效提供端到端的服務(wù)質(zhì)量控制或保證。IntServ該模型使用資

29、源預(yù)留協(xié)議（RSVP），RSVP 運行在從源端到目的端的每個設(shè)備上，預(yù)留路徑上的網(wǎng)絡(luò)節(jié)點可以通過執(zhí)行分組的分類、流量管制、低時延的排隊調(diào)度（如加權(quán)公平排隊）等QoS控制機制，可以監(jiān)視每個流，以防止其消耗資源過多，來實現(xiàn)對承載流量的QoS保證。這種體系能夠明確區(qū)分并保證每一個業(yè)務(wù)流的服務(wù)質(zhì)量，為網(wǎng)絡(luò)提供最細粒度化的服務(wù)質(zhì)量區(qū)分。首先,該模型定義了一個作用于整個網(wǎng)絡(luò)的要求集合,網(wǎng)絡(luò)中的每個元素(子網(wǎng)或路由器)都將能夠?qū)崿F(xiàn)這一要求集合。隨后,

30、通過一定的信令機制,將特定應(yīng)用的服務(wù)等級要求通知其傳輸路徑上所有網(wǎng)絡(luò)元素,并應(yīng)用于各個網(wǎng)絡(luò)元素之間進行各種資源預(yù)留與處理策略的設(shè)置。這樣,在整條路徑建立起來之后,這條路徑上的所有網(wǎng)絡(luò)元素都己經(jīng)做好了為相應(yīng)的數(shù)據(jù)流提供QoS保證的準備。如圖3-1所示。</p><p>　　圖3-1 IntServ模型所有網(wǎng)元采取每一流業(yè)務(wù)量處理</p><p>　　但是，IntServ 模型對設(shè)備的要求

31、很高，當(dāng)網(wǎng)絡(luò)中的數(shù)據(jù)流數(shù)量很大時，設(shè)備的存儲和處理能力會遇到很大的壓力。IntServ 模型可擴展性不好，不適于在流量匯集的骨干網(wǎng)上大量應(yīng)用。</p><p>　　3.3 DiffServ區(qū)分服務(wù)模型</p><p>　　Diff-Serv 是一個多服務(wù)模型，它可以滿足不同的 QoS 需求。與 Int-Serv 不同，它不需要通知網(wǎng)絡(luò)為每個業(yè)務(wù)預(yù)留資源。DiffServ區(qū)分服務(wù)網(wǎng)絡(luò)模型實現(xiàn)

32、簡單，提供了一種具有良好可擴展性的，適用于骨干網(wǎng)絡(luò)，滿足多種服務(wù)需求的QoS解決方案,很大程度上源于其“邊緣分類,內(nèi)部轉(zhuǎn)發(fā)”的設(shè)計思想。其最大特點是網(wǎng)絡(luò)邊界路由器和內(nèi)部路由器的功能各有側(cè)重，各自完成不同的功能并作為一個整體協(xié)同工作。DiffServ將復(fù)雜的流分類和流量控制交由邊界路由器完成，區(qū)域內(nèi)部的路由器只需進行簡單的流分類。該模型是將用戶的數(shù)據(jù)流按照服務(wù)質(zhì)量要求劃分等級,任何用戶的數(shù)據(jù)流都可自由進入網(wǎng)絡(luò),但當(dāng)網(wǎng)絡(luò)出現(xiàn)擁塞時,級別高的

33、數(shù)據(jù)流比級別低的數(shù)據(jù)流在排隊和占用資源擁有上更高的優(yōu)先權(quán)。區(qū)分服務(wù)只承諾相對的服務(wù)質(zhì)量,而不對任何用戶承諾具體的服務(wù)質(zhì)量指標(biāo)。如圖3-2所示。</p><p>　　圖3-2　DiffServ模型簡化核心路由器的復(fù)雜性</p><p>　　可以清楚地看到,DiffServ體系結(jié)構(gòu)是作為對應(yīng)于相對復(fù)雜的、端到端特性的IntServ體系結(jié)構(gòu)而提出的。DiffServ的目的是簡化結(jié)構(gòu),使復(fù)雜的決策

34、決定(如多個域分類)被推到邊緣。</p><p>　　3.4 IntServ與DiffServ服務(wù)模型比較</p><p>　　集成服務(wù)模型與區(qū)分服務(wù)模型比較存在以下幾方面的區(qū)別：</p><p>　　(1) 區(qū)分方式不同: 主干網(wǎng)路由器傳送大量的單個流。Internet為每個流維持預(yù)約狀態(tài)十分復(fù)雜。 因此, diffServ建議不按每個流作區(qū)分, 而是根據(jù)延遲和丟

35、失敏感度預(yù)先定義少數(shù)的類, 可為不同的類提供不同的服務(wù)。</p><p>　　(2) 網(wǎng)絡(luò)內(nèi)不對分組分類：IntServ每個路由器實現(xiàn)分組分類功能, 以提供不同級別的服務(wù),綜合服務(wù)模型實現(xiàn)的是一種基于流的細粒度QoS；差別服務(wù)模型則是將分組分類功能被移到網(wǎng)絡(luò)的邊界上, 且只需處理數(shù)目較少的分組。邊界路由器對分組做適當(dāng)?shù)姆诸惡蜆?biāo)識；內(nèi)部路由器僅僅需要根據(jù)其標(biāo)識作簡單的處理，實現(xiàn)的是一種粒度較粗的QoS。</p

36、><p>　　(3) 網(wǎng)絡(luò)的可擴展性:集成服務(wù)模型中資源預(yù)留的軟狀態(tài)會會耗費路由器較多的資源，引起整個網(wǎng)絡(luò)的可擴展性下降；相對而言,區(qū)分服務(wù)模型下的網(wǎng)絡(luò)更具備可擴展性。</p><p>　　(4) 沒有絕對的服務(wù)保證 :IntServ中的延遲保證型服務(wù)，通過在其路徑上顯示預(yù)約資源,保證分組的最大延遲不超過某一嚴格上限。一般地, DiffServ將不提供嚴格的保證, 除非專門為某特定流保證了一條

37、靜態(tài)路徑。DiffServ中, 內(nèi)部路由器對單個流不加區(qū)分, 而是處理聚合類, 所以無法優(yōu)先處理一個特定的流請求。</p><p><b>　　4 網(wǎng)絡(luò)訪問表技術(shù)</b></p><p><b>　　4.1基本概念</b></p><p>　　ACL（Access Control List，訪問控制列表）是應(yīng)用到路由器接口

38、的指定列表，用來實現(xiàn)流識別功能的。網(wǎng)絡(luò)設(shè)備為了過濾報文，需要配置一系列的匹配條件對報文進行分類，這些條件可以是報文的源地址、目的地址、端口號等。當(dāng)設(shè)備的端口接收到報文后，即根據(jù)當(dāng)前端口上應(yīng)用的ACL規(guī)則對報文的字段進行分析，在識別出特定的報文之后，根據(jù)預(yù)先設(shè)定的策略允許或禁止該報文通過。這樣并不意味著安全中任何問題都能夠用訪問表解決，也不意味著使用訪問表根據(jù)報文中特定參數(shù)建立一種安全策略或者實現(xiàn)一個數(shù)據(jù)流。訪問表的主要作用是基于已經(jīng)建立

39、的標(biāo)準來允許或拒絕報文流[7]。</p><p><b>　　訪問表ACL的原理</b></p><p>　　ACL是配置在路由器接口上的命令序列。這些命令告訴路由器，根據(jù)數(shù)據(jù)包的源地址、目的地址、上層協(xié)議類型、端口號，分別在路由器的輸入接口和輸出接口上決定是接受還是拒絕相關(guān)數(shù)據(jù)包，即實現(xiàn)數(shù)據(jù)包的有效過濾，從而實現(xiàn)網(wǎng)絡(luò)流量有效控制[8]。</p><

40、;p>　　圖4-1 訪問控制列表內(nèi)向匹配規(guī)則</p><p>　　入口檢查。入口檢查主要分兩部分進行。首先，當(dāng)一個數(shù)據(jù)包進入一個路由器的輸入接口時，路由器檢查這個數(shù)據(jù)包是否可路由，若不可路由則丟棄該數(shù)據(jù)包，否則繼續(xù)。其次路由器根據(jù)路由表項選擇接口，并檢查這個接口是否配置了ACL，如果沒有，則直接轉(zhuǎn)發(fā)數(shù)據(jù)包（這就是在入口沒有ACL限制，網(wǎng)絡(luò)流量失控的主要原因）；如果有，則根據(jù)ACL中的條件指令，檢查這個數(shù)據(jù)

41、包是否允許通過，如果不允許，則丟棄該數(shù)據(jù)包，否則轉(zhuǎn)發(fā)該數(shù)據(jù)包到輸出接口。（即圖4-1所示）</p><p>　　出口的檢查。出口的檢查類似于入口。首先路由器通過檢查輸出端口ACL的存在情況，決定是否控制流出的數(shù)據(jù)包。如果不存在，這個數(shù)據(jù)包就被直接放行，即通過了路由器（這就是在出口沒有ACL限制，網(wǎng)絡(luò)流量失控的主要原因）；否則必須根據(jù)ACL中的指令來定：如果不允許該數(shù)據(jù)包通過，則丟棄該包，如果允許則該數(shù)據(jù)包才能通過

42、路由器。（即圖4-2所示）</p><p>　　由此可見，在路由器的輸入和輸出接口配置了恰當(dāng)?shù)腁CL，網(wǎng)絡(luò)流量就能夠得到有效地控制。</p><p>　　圖4-2 訪問控制列表外向匹配規(guī)則</p><p>　　路由器對一個數(shù)據(jù)包的檢查，就是根據(jù)該包的屬性（如路由協(xié)議、IP地址等），自頂向下的執(zhí)行特定步驟來查找匹配的ACL語句。ACL語句是有順序的，數(shù)據(jù)包和ACL中

43、的語句進行逐條比較，比較是否有匹配的，如果匹配，則后續(xù)語句就不再進行，而是直接按該條中的規(guī)定對該數(shù)據(jù)包進行處理（允許或拒絕），否則，將進一步的進行后續(xù)ACL的匹配過程，直到找到匹配項。假如所有的條件都不滿足，一個隱藏的命令是——“禁止任何的數(shù)據(jù)包（deny any）”將被使用。這意味著即使在ACL中末一行看不見“deny any”，實際上它也是存在的，最大程度地實現(xiàn)網(wǎng)絡(luò)流量的控制。因此ACL中的語句順序是十分重要的，應(yīng)該總是把最詳盡的A

44、CL語句放在列表頂部，把最不詳盡的放在列表的底部。</p><p>　　4.2訪問控制列表分類</p><p>　　訪問控制列表大致可以分為標(biāo)準型 (Standard)和擴展型(Extended)標(biāo)準訪問控制列表(編號范圍 0-99或1300-1999)主要根據(jù)數(shù)據(jù)包的源地址進行過濾。 而擴展型的訪問控制列表(編號范圍100-199或2000-2699) 則增強了功能和靈活性，除了可以根據(jù)

45、源地址和目標(biāo)地址進行過濾外，還可以根據(jù)協(xié)議、端口過濾， 甚至可以利用擴展型訪問控制列表的選項啟用許多附加的功能[9]。例如，網(wǎng)絡(luò)管理員如果希望做到允許外來的Web通信流量通過，拒絕外來的FTP和 Telnet 等通信流量，那么，他可以使用擴展ACL來達到目的，標(biāo)準ACL則不能控制的這么精確。</p><p>　　4.2.1 標(biāo)準 IP ACL 配置</p><p>　　標(biāo)準 IP ACL

46、是應(yīng)用在源 IP 地址的允許和拒絕的一個有序集合。</p><p>　　標(biāo)準 IP ACL 配置的命令格式如下:</p><p>　　Access -list access- list- number [insert | replace entry] | [move destination source1 [source2]] {deny |permit} source [source-

47、wildcard]</p><p>　　其中 access- list──命令字。</p><p>　　access- list- number──ACL的編號, 標(biāo)準IP ACL的編號是從 1 到 99。</p><p>　　insert──在現(xiàn)有的ACL條目之前插入新的ACL條目。</p><p>　　replace──在 ACL 中替換

48、已有的ACL條目。</p><p>　　move──改變已有的ACL條目的次序。</p><p>　　deny | permit──表示該條目是允許或者拒絕所指定的源地址。</p><p>　　source [source- wildcard]──代表來源 IP 地址, 有 host、any 和 須 匹 配 的 IP 地 址 三 項 選 項 。</p>

49、<p>　　wildcard——通配符碼，通IP地址，也是32bit，與IP地址配合使用。若通配符碼某位是0，表示檢查IP地址相應(yīng)的bit位；若是1，則忽略IP地址相應(yīng)的bit位。</p><p>　　如220.13.25.1 0.0.0.255，則對該C類地址的網(wǎng)絡(luò)地址部分進行嚴格匹配，而主機部分全部忽略。</p><p>　　host——用于指定一臺特定的主機，即檢測一個I

50、P地址的所有bit時使用。如172.30.15.27，是172.30.15.27 0.0.0.0的簡寫形式。</p><p>　　any——用來表示任何IP地址時，如0.0.0.0 255.255.255.255，就可簡寫為any。</p><p>　　4.2.2 擴展的IP ACL的配置</p><p>　　擴展的 IP 訪問控制列表既檢查數(shù)據(jù)包的源地址, 也檢查

51、數(shù)據(jù)包的目的地址, 還檢查數(shù)據(jù)包的特定協(xié)議類型、端口號等。擴展訪問控制列表更具有靈活性和可擴充性, 即可以對同一地址允許使用某些協(xié)議通信流量通過, 而拒絕使用其他協(xié)議的流量通過, 從而提供更高程度的訪問控制。</p><p>　　擴展 IP ACL 配置的命令格式如下：</p><p>　　Access - list access- list- number [insert | repla

52、ce entry] | [move destination source1</p><p>　　[source2]] {deny | permit} protocol source[source- wildcard] [operator [port]]</p><p>　　Destination [destination - wildcard] [operator [port]] [icm

53、p - type] [icmp-code]</p><p>　　其中 access- list- number──ACL 的編號, 擴展IP ACL 的編號是從100到199。</p><p>　　Protocol──協(xié)議, 可以是 ip、tcp、udp、icmp、gre、esp、ah 等協(xié)議之一，但常見的需要過濾的協(xié)議有 ip、tcp、udp。</p><p>　

54、　destination [destination- wildcard]──代表目的IP 地址, 同 source [source- wildcard]。</p><p>　　operator [port] ──分為 source [operator [port]]( 源端口號) 和 destination [operator [port]]( 目的端口號), 是報文主機或網(wǎng)絡(luò)的 TCP 和 UDP 協(xié)議的端。&

55、lt;/p><p><b>　　訪問控制列表的擴展</b></p><p>　　目前常用的包括標(biāo)準，擴展，命名，動態(tài)，基于時間，自反和基于上下文的。</p><p><b>　　動態(tài)訪問表</b></p><p>　　動態(tài)訪問表是能創(chuàng)建動態(tài)訪問表項的訪問表，又稱lock-and-key安全，主要應(yīng)用于I

56、SP的動態(tài)認證。用戶一般通過提供用戶名和口令，就能開啟一個到路由器的telnet會話，在用戶被認證之后，路由器關(guān)閉telnet會話，并將一個動態(tài)的訪問表項置于某個訪問表中，允許來自用戶的報文。如果空閑時間過長或連接超時，表項會被動態(tài)地清除。動態(tài)訪問表克服了傳統(tǒng)訪問表表項一直產(chǎn)生作用 （除非手工刪除）為訪問內(nèi)部資源永久性地開啟一個突破口的弊端，動態(tài)訪問表減小了攻擊的可能性，攻擊者找到源IP地址的時間只是表項開啟之時。其語法如下：</

57、p><p>　　Access-list [access-list number] dynamic [time minutes] [permit |deny] [protocol] any [destination mask]</p><p><b>　　基于時間的訪問表</b></p><p>　　使用基于時間的訪問表的主要是通過定義不同時間域來控

58、制對網(wǎng)絡(luò)的資源的訪問。它能基于不同時間建立不同策略從而提供了靈活性[10]?；跁r間的訪問表是靜態(tài)創(chuàng)建和配置的，與傳統(tǒng)訪問表的差別在于對訪問表中的每一個表項增加了時間限制條件。只有合法的用戶才知道什么時間段能訪問哪些資源，增加了非法攻擊的難度。其語法如下：</p><p>　　Time-range [time-range-name]</p><p>　　Absolute [start ti

59、me data] [end time data]</p><p>　　Periodic days-of-the-week hh:mm to [days-of-the-week]hh:mm</p><p>　　實現(xiàn)應(yīng)用基于時間的訪問表需兩步：（1）定義時間范圍。（2）在訪問表中引用時間范圍。</p><p>　　time-range用來定義時間范圍的命令。</p

60、><p>　　time-range-name時間范圍名稱，用來標(biāo)識時間范圍，以便于在后面的訪問列表中引用。</p><p>　　absolute該命令用來指定絕對時間范圍。它后面緊跟著</p><p>　　start和end兩個關(guān)鍵字。在這兩個關(guān)鍵字后面的時間要以24小時制 hh:mm表示，日期要按照日/ 月/ 年來表示。如果省略start及其后面的時間，則表示與之相聯(lián)

61、系的permit或deny 語句立即生效，并一直作用到end處的時間為止。如果省略end及其后面的時間，則表示與之相聯(lián)系的permit或deny語句在start處表示的時間開始生效，并且一直進行下去 。</p><p>　　periodic主要是以星期為參數(shù)來定義時間范圍的一個命令。它的參數(shù)主要有 Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、Sunday 中

62、的一個或者幾個的組合，也可以是daily(每天)、weekday(周一至周五)，或者 weekend(周末)。</p><p><b>　　自反訪問表</b></p><p>　　傳統(tǒng)的訪問表無法判斷一個報文是否為一個已存在連接的一部分。自反訪問表在路由器的一邊創(chuàng)建IP流量的動態(tài)開啟，該過程是基于來自路由器另一邊的會話進行的。在正常的操作模式下，自反訪問表被配置并應(yīng)用

63、于路由器的不可信方，主要基于TCP等單通道的應(yīng)用。自反訪問表建立動態(tài)的、臨時的開啟表項，如果流量是原有會話的一部分，則可以允許流量進入網(wǎng)絡(luò)，從而彌補了傳統(tǒng)訪問表的不足。本質(zhì)上，自反訪問表在一個已存在的訪問表中建立鏡像（mirror image）表項。其語法如下：</p><p>　　Permit protocol source destination reflect name [timeout seconds]&

64、lt;/p><p><b>　　基于上下文的訪問表</b></p><p>　　基于上下文的訪問控制(Context-Based Access Control, CBAC) 其工作方式是檢查向外的會話，并創(chuàng)建臨時的表項來允許返回的報文。它能夠支持多通道應(yīng)用程序和Java模塊，并且能夠提供實時警告和審核跟蹤功能。它不只是訪問表的一種增強功能，可以說，它是一個相對較復(fù)雜的安全

65、工具集。</p><p>　　4.3網(wǎng)絡(luò)訪問控制列表的實現(xiàn)</p><p>　　訪問表的實現(xiàn)方式主要考慮兩個因素：</p><p>　　1）訪問表的配置和維護簡單；</p><p>　　2）應(yīng)用時，訪問表的匹配快速、有效。</p><p>　　4.3.1 命名式網(wǎng)絡(luò)訪問控制列表的引入</p><p&

66、gt;　　不管是標(biāo)準IP訪問控制列表，還是擴展的IP訪問控制列表，其編號的范圍都不超過100個，這樣，就可能出現(xiàn)編號不夠用的情況；還有就是僅用編號區(qū)分的訪問控制列表不便于網(wǎng)絡(luò)管理員對訪問控制列表作用的識別 。</p><p>　　命名IP訪問控制列表是通過一個名稱而不是一個編號來引用的。命名的訪問控制列表可用于標(biāo)準的和擴展的訪問表中。名稱的使用是區(qū)分大小寫的，并且必須以字母開頭。在名稱的中間可以包含任何字母數(shù)字混

67、合使用的字符，名稱的最大長度為100個字符。 </p><p>　　4.3.2 編號式和命名式網(wǎng)絡(luò)訪問控制列表的主要區(qū)別</p><p>　?。?）名字能更直觀地反映出訪問控制列表完成的功能。</p><p>　?。?）命名訪問控制列表突破了99個標(biāo)準訪問控制列表和100個擴展訪問控制列表的數(shù)目限制，能夠定義更多的訪問控制列表。</p><p&g

68、t;　?。?）單個路由器上命名訪問控制列表的名稱在所有協(xié)議和類型的命名訪問控制列表中必須是唯一的，而不同路由器上的命名訪問控制列表名稱可以相同。</p><p>　?。?）命名訪問控制列表是一個全局命令，它將使用者進入到命名IP列表的子模式，在該子模式下建立匹配和允許／拒絕動作的相關(guān)語句。</p><p>　?。?）命名IP訪問控制列表允許刪除個別語句，當(dāng)一個命名訪問控制列表中的語句要被刪

69、除時，只需將該語句刪除即可，而編號訪問控制列表中則需要將訪問控制列表中的所有語句刪除后再重新輸入。</p><p>　　（6）命名訪問控制列表的命令為ip access-list，在命令中用standard和extended來區(qū)別標(biāo)準訪問控制列表和擴展訪問控制列表，而編號訪問控制列表的配置命令為access-list，并用編號來區(qū)別標(biāo)準和擴展。</p><p>　　5 網(wǎng)絡(luò)訪問控制應(yīng)用仿真

70、及其實現(xiàn)</p><p>　　通過對網(wǎng)絡(luò)接入控制技術(shù)的理論學(xué)習(xí)，特別是對編號式訪問表的研究，下面的工作主要在實驗室對訪問表的具體應(yīng)用進行了詳細的實驗仿真，加深了自己對網(wǎng)絡(luò)訪問控制列表的認識，以及ACL在各領(lǐng)域應(yīng)用的重要性。最后運用C語言來完成編號式網(wǎng)絡(luò)訪問表的設(shè)計，實現(xiàn)基本的訪問功能。</p><p>　　5.1 網(wǎng)絡(luò)訪問控制應(yīng)用實驗仿真</p><p>　　ACL

71、 作為一種規(guī)則，可以應(yīng)用在諸多領(lǐng)域，通過與其它功能的配合，ACL 可應(yīng)用于諸如路由、安全、QoS 等領(lǐng)域[11]。</p><p>　　5.1.1 網(wǎng)絡(luò)連接的訪問控制</p><p>　　如果需要允許從10.1.1.2來的數(shù)據(jù)包通過，而拒絕從10.1.1.3網(wǎng)段來的數(shù)據(jù)通過，則可用基本訪問控制列表來實現(xiàn)[12]。實驗拓撲圖如圖5-1所示，設(shè)備參數(shù)如表5-1所示：</p>&l

72、t;p>　　圖5-1 網(wǎng)絡(luò)連接訪問控制拓撲</p><p>　　表5-1 拓撲圖設(shè)備實驗參數(shù)</p><p>　　1) pc2訪問pc1，而pc3無法訪問pc1。</p><p>　　Router(config-if)#ip access-list standard 1</p><p>　　Router(config-std-nacl)

73、#permit 10.1.1.2 255.255.255.255 </p><p>　　Router(config-std-nacl)#deny 10.1.1.3 255.255.255.255 </p><p>　　2) 將訪問控制列表應(yīng)用到端口F1的out方向；</p><p>　　Router(config-if)#ip access-group 1 out&

74、lt;/p><p><b>　　顯示訪問表：</b></p><p>　　Router#show access-list</p><p>　　Standard IP access list 1</p><p>　　permit host 10.1.1.2 (6 match(es))</p><p>　

75、　deny host 10.1.1.3 (4 match(es))</p><p>　　3) 測試結(jié)果：pc2 ping pc1如圖5-2所示：</p><p>　　圖5-2 pc2 ping pc1</p><p>　　結(jié)果及原因分析：如圖5-2所示，pc2可以ping通pc1，因為在路由器上設(shè)置訪問表時，是允許pc2可以訪問pc1的，說明配置正確。</p&

76、gt;<p>　　pc3 ping pc1 如圖5-3所示：</p><p>　　圖5-3 pc3 ping pc1</p><p>　　結(jié)果及原因分析：如圖5-3所示，pc3ping不通pc1，因為在路由器上配置訪問表時，是拒絕pc3訪問pc1的，說明配置正確。</p><p>　　5.1.2 流量控制</p><p>　　目

77、前，占用高帶寬的網(wǎng)絡(luò)下載工具是使網(wǎng)絡(luò)變慢的一個十分重要的原因，這些工具主要是以BT、電驢、迅雷等，BT的端口通常是6881到6890，電驢占用的是TCP的4662端口和UDP的4772端口，迅雷則是使用3076到3078端口。我們通過配置ACL拒絕這些端口的數(shù)據(jù)包來實現(xiàn)禁止使用這些軟件運行的目的。</p><p>　　acl number 3001</p><p>　　rule 1 den

78、y tcp destination-port range 6881 6890</p><p>　　rule 2 deny tcp destination-port eq 4662</p><p>　　rule 3 deny udp destination -port eq 4772</p><p>　　rule 4 deny tcp destination-port

79、 range 3076 3078</p><p>　　通過上述設(shè)置，可以限制BT等上傳下載等消耗大量帶寬的應(yīng)用，類似的限制方法還可以限制使用QQ、MSN、網(wǎng)絡(luò)游戲，大大提高網(wǎng)絡(luò)的效率。</p><p>　　5.1.3 病毒和網(wǎng)絡(luò)攻擊的控制</p><p>　　針對網(wǎng)絡(luò)中大量用戶通過玩游戲、下載盜版軟件等，造成蠕蟲病毒繁殖、傳播使得網(wǎng)絡(luò)阻塞的嚴重后果，通過設(shè)置ACL封

80、鎖蠕蟲病毒傳播、掃描、攻擊所利用的端口，從而過濾掉此類病毒。例如針對沖擊波(Worm.Blaster)病毒，在路由器上做如下配置即可：</p><p>　　acl number 3002</p><p>　　rule 0 deny udp destination-port eq 4444</p><p>　　rule 1 deny udp destination-p

81、ort eq 69</p><p>　　rule 2 deny tcp destination-port eq 135</p><p>　　rule 3 deny udp destination-port eq 135</p><p>　　rule 4 deny tcp destination-port eq 139</p><p>　　ru

82、le 5 deny udp destination-port eq 139</p><p>　　rule 6 deny tcp destination-port eq 445</p><p>　　rule 7 deny udp destination-port eq 445</p><p>　　黑客入侵時,大多使用Ping命令來檢測主機,如果Ping不通,就可以一

83、定程度的保護網(wǎng)絡(luò)的信息,防止黑客的攻擊。</p><p>　　[router-acl-adv-3000]rule deny icmp source any destination any</p><p>　　有些軟件或病毒具有啟用隨機端口進行連線的能力,如QQ默認情況下使用udp協(xié)議的4000端口和6000端口,如果這兩個端口被禁止的話,它會自動尋找其它端口,比如,用tcp協(xié)議的10XX的

84、端口(隨機的)連接到服務(wù)器,這就要求我們查封它的服務(wù)器所在的ip阻止通信。</p><p>　　5.1.4 在企業(yè)網(wǎng)絡(luò)中的應(yīng)用</p><p><b>　　限制上網(wǎng)時間</b></p><p>　　某公司經(jīng)理最近發(fā)現(xiàn)，有些員工在上班時間經(jīng)常上網(wǎng)瀏覽與工作無關(guān)的網(wǎng)站，影響了工作，因此他通知網(wǎng)絡(luò)管理員，在網(wǎng)絡(luò)上進行設(shè)置，在上班時間只允許瀏覽與工作相

85、關(guān)的幾個網(wǎng)站，禁止訪問其它網(wǎng)站[13]。</p><p>　　圖5-4 企業(yè)網(wǎng)絡(luò)應(yīng)用實驗拓撲圖</p><p>　　表5-2 拓撲圖設(shè)備實驗參數(shù)</p><p>　　表5-2 實驗拓撲圖設(shè)備參數(shù)</p><p>　　第一步：在路由器上定義基于時間的訪問控制列表</p><p>　　Router(config)#acce

86、ss-list 100 permit ip any host 160.16.1.1 ！定義擴展訪問列表，允許訪問主機160.16.1.1</p><p>　　Router(config)#access-list 100 permit ip any any time-range t1 ! 關(guān)聯(lián)time-range接口t1，允許在規(guī)定時間段訪問任何網(wǎng)絡(luò)</p><p>　　Rout

87、er(config)#time-range t1 ！定義time-range接口t1 ，即定義時間段</p><p>　　Router(config- time-range)#absolute start 8:00 1 oct 2011 end 18:00 30 dec 2020 ！定義絕對時間 </p><p>　　Rout

88、er(config- time-range)#periodic daily 0:00 to 8:00 ! 定義周期性時間段（非上班時間）</p><p>　　Router(config- time-range)#periodic daily 17:00 to 23:59</p><p>　　驗證測試：驗證訪問列表和time-range接口配置</p><p>

89、　　Router# show access-lists ！顯示所有訪問列表配置</p><p>　　Extended IP access list 100</p><p>　　permit ip any host 160.16.1.1</p><p>　　permit ip any any</p><p>　　Router#

90、show time-range ! 顯示time-range接口配置</p><p>　　time-range entry:t1</p><p>　　第二步：在接口上應(yīng)用訪問列表</p><p>　　Router(config)# interface fastethernet 1 ! 進入接口F1配置模式</p><

91、;p>　　Router(config-if)# ip access-group 100 out ! 在接口F1的出方向上應(yīng)用訪問列表100</p><p>　　absolute start 08:00 1 October 2011 end 18:00 30 December 2015</p><p>　　periodic daily 00:00 to 08:00</p&g

92、t;<p>　　periodic daily 17:00 to 23:59</p><p>　　第三步：測試訪問列表的效果</p><p>　　路由器的當(dāng)前時間為上班時間。</p><p>　　ping 160.16.1.1 如圖5-5所示</p><p>　　圖5-5 ping 160.16.1.1</p>&l

93、t;p>　　結(jié)果及原因分析：如圖5-5所示，pc可以連接到服務(wù)器。因為定義擴展訪問列表時，是允許可以訪問主機160.16.1.1的。</p><p>　　現(xiàn)在改變服務(wù)器的IP地址為160.16.1.5（或用另一臺服務(wù)器），再進行測試。</p><p>　　ping 160.16.1.5 如圖5-6所示：</p><p>　　圖5-6 ping 160.16.

94、1.5</p><p>　　結(jié)果及原因分析：如圖5-6所示，pc連接不到服務(wù)器。因為在工作時間不能訪問服務(wù)器160.16.1.5。</p><p>　　現(xiàn)在改變路由器的時鐘到非工作時間22:00，再進行測試。</p><p>　　ping 160.16.1.5 如圖5-7所示：</p><p>　　圖5-7 ping 160.16.1.5&l

95、t;/p><p>　　結(jié)果及原因分析：如圖5-7所示，pc可以連接到服務(wù)器。因為在非工作時間可以訪問服務(wù)器160.16.1.5。</p><p>　　通過上述設(shè)置就可以限定從2011年10月1日到2015年12月30日，每天8:00到18:00不能訪問外網(wǎng)。</p><p>　　5.2 編號式訪問表的設(shè)計與實現(xiàn)</p><p><b>

96、　　編號式訪問表結(jié)構(gòu)</b></p><p>　　采用編號方式時，接入控制表以一個簡單的編號（數(shù)字）直接標(biāo)識，這個數(shù)字編號可以直接跟鏈表（采用鏈表結(jié)構(gòu)）或數(shù)組（采用數(shù)組結(jié)構(gòu)）的偏移地址映射。在進行過濾匹配或表項配置時，根據(jù)編號直接找到對應(yīng)的接入控制列表節(jié)點，效率明顯提高。另外，可以根據(jù)控制的要求將編號接入控制表分成不同的等級，如標(biāo)準訪問列表和擴展訪問列表，標(biāo)準訪問列表提供基本的接入?yún)?shù)控制，在實現(xiàn)接入

97、控制表時，可將編號進行分段定義實現(xiàn)擴展級在標(biāo)準級基礎(chǔ)上提供更嚴格的或特殊的接入?yún)?shù)控制。</p><p><b>　　定義變量指針</b></p><p>　　定義變量指針是直接將創(chuàng)建的訪問控制列表插入到指定接口指定方向的訪問表鏈表中，而不是系統(tǒng)全局的訪問表鏈表中。每個接口維護自己獨立的基于方向的訪問表鏈。</p><p>　　在這種情況下，就

98、要求我們在對訪問表表項的配置時必須指明應(yīng)用的端口、方向以及具體的訪問表名稱。</p><p><b>　　訪問表的形狀</b></p><p>　　訪問控制列表主要配置在端口上，端口可以配置多個訪問表，端口和訪問表之間，訪問表與訪問表之間，訪問表與表項之間都是通過指針指向前后的訪問表和表項，從而想成循環(huán)。訪問表的基本形狀如圖5-8所示。</p><

99、p>　　圖5-8 訪問表的基本形狀</p><p>　　若每個端口每個方向只許配置一個訪問表，此時的具體數(shù)據(jù)配置結(jié)構(gòu)如下：</p><p>　　struct stdAccesslist</p><p><b>　　{</b></p><p>　　struct stdAlItemStru *p; 指向訪問表表項的指

100、針</p><p><b>　　}</b></p><p>　　/* 定義了99個ip標(biāo)準訪問表1～99 */</p><p>　　struct stdAccesslist * sysCfgStdAlTbl[99];</p><p>　　/* 定義了100個ip擴展訪問表100～199 */</p><

101、;p>　　struct extAccesslist * sysCfgExtAlTbl[100];</p><p>　　struct accesslistStru 訪問表結(jié)構(gòu)</p><p><b>　　{</b></p><p>　　int alindex; 訪問表編號</p><p><b>　　};

102、</b></p><p>　　typedef struct portALstru 端口配置訪問表結(jié)構(gòu)</p><p><b>　　{</b></p><p>　　char * portname; 端口名稱</p><p>　　struct accesslistStru AlIn; 指向端口配置的in方向訪問

103、表</p><p>　　struct accesslistStru AlOut; 指向端口配置的out方向訪問表</p><p>　　} PORT_ACCESSLIST;</p><p>　　struct PORT_ACCESSLIST cfgSysAlTbl[MAX_PORT_NUM]; 系統(tǒng)配置的訪問表</p><p><b>

104、;　　訪問表的創(chuàng)建和應(yīng)用</b></p><p>　　interface ethernet0</p><p>　　ip access-group 100 in</p><p><b>　　具體的應(yīng)用如下：</b></p><p>　　interface ethernet0

105、！指定接口</p><p>　　ip access-group 101 in ! 應(yīng)用到指定方向</p><p>　　access-list 101 ip any host 198.78.46.8 ！配置具體表項</p><p>　　access-list 101 tcp any host 198.78.46.12 eq 80<

106、;/p><p>　　access-list 101 deny any any</p><p>　　由上可以看出，訪問表的配置和應(yīng)用是獨立的，方便、簡潔而有效</p><p><b>　　訪問表的實現(xiàn)</b></p><p>　　系統(tǒng)采用三級鏈表結(jié)構(gòu)，設(shè)置全局的接口接入控制表指針和全局的標(biāo)準以及擴展接入控制表指針分別指向指向接

107、口接入控制鏈表，標(biāo)準接入控制鏈表和擴展接入控制鏈表；接口接入控制表結(jié)構(gòu)中定義相應(yīng)的in向和out向指針指向接入控制表；接入控制表中設(shè)置表項指針指向表項鏈表。接入控制表系統(tǒng)結(jié)構(gòu)如圖5-9所示。</p><p>　　圖5-9 接入控制表系統(tǒng)結(jié)構(gòu)圖</p><p><b>　　訪問表的配置</b></p><p>　　接入控制表的配置是獨立的，根據(jù)

108、編號從標(biāo)準接入控制鏈表或擴展接入控制鏈表中分配一個節(jié)點，然后直接進行表項配置；將某個接入控制表應(yīng)用到某接口時，直接將接口中對應(yīng)方向的接入控制表指針指向該接入控制表。</p><p><b>　　訪問表的匹配查詢</b></p><p>　　根據(jù)接口名稱（接口類型＋接口編號）從系統(tǒng)接口接入控制鏈表中找到該接口配置的in向或out向接入控制表的編號，通過這個編號直接映射接

109、入控制表結(jié)構(gòu)，然后根據(jù)接入控制表中的表項指針在表項鏈表中進行首項匹配操作。</p><p><b>　　軟件實現(xiàn)結(jié)果：</b></p><p>　　1）創(chuàng)建并應(yīng)用訪問表的界面</p><p>　　ACL Numebr表示訪問表編號，Port to Apply表示指向端口，Direction表示方向，Action表示動作指令，Protocol表示

110、協(xié)議，Source MAC表示源MAC地址，Source IP表示源IP地址，Source Mask表示掩飾源，Port表示指向。如下圖5-10所示。</p><p>　　圖5-10 創(chuàng)建并應(yīng)用訪問表的界面</p><p>　　2）顯示訪問表具體內(nèi)容的界面</p><p>　　圖中的訪問表編號是1，指向的端口是eth0，訪問表登陸口是8，指向是（in）。如下圖5-

111、11所示。</p><p>　　圖5-11 訪問表具體表項的界面</p><p>　　3）系統(tǒng)中配置的所有訪問表信息界面</p><p>　　圖中總的訪問表數(shù)是200，已使用的訪問表數(shù)是6。如下圖5-12所示。</p><p>　　圖5-12 系統(tǒng)中配置的所有訪問表信息界面</p><p><b>　　6

112、 結(jié)論</b></p><p>　　本設(shè)計方案按照任務(wù)書的要求，介紹了在網(wǎng)絡(luò)急劇發(fā)展的情況下所帶來的問題，從而引出網(wǎng)絡(luò)接入控制的必要性。在閱讀大量文獻之后，對網(wǎng)絡(luò)接入技術(shù)進行深入了解，對目前主流的網(wǎng)絡(luò)接入控制技術(shù)進行了了解比較。針對網(wǎng)絡(luò)面臨的接入或訪問安全以及服務(wù)質(zhì)量（QoS）的問題，提出了解決方案。對業(yè)務(wù)類數(shù)據(jù)流基于QOS的接入服務(wù)控制提出了兩種不同的機制和策略。即采用集成服務(wù)IntServ模型和區(qū)