路由器性能指標(biāo)詳解

路由器性能指標(biāo)詳解路由器類型該表項(xiàng)主要比較路由器是否是模塊化結(jié)構(gòu)。模塊化結(jié)構(gòu)的路由器一般可擴(kuò)展性較好，可以支持多種端口類型，例如以太網(wǎng)接口、快速以太網(wǎng)接口、高速串行口等，各種類型端口的數(shù)量一般可選。價格通常比較昂貴。固定配置路由器可擴(kuò)展性較差，只用于固定類型和數(shù)量的端口，一般價格比較便宜。路由器配置接口種類列舉路由器能支持的接口種類，體現(xiàn)路由器的通用性。常見的接口種類有：通用串行接口（通過電纜轉(zhuǎn)換成RS232DTE/DCE接口、V.35DTE/DCE接口、X.21DTE/DCE接口、RS449DTE/DCE接口和EIA530DTE接口等）、10M以太網(wǎng)接口、快速以太網(wǎng)接口、10/100自適應(yīng)以太網(wǎng)接口、千兆以太網(wǎng)接口、ATM接口（2M、25M、155M、633M等）、POS接口（155M、622M等）、令牌環(huán)接口、FDDI接口、E1/T1接口、E3/T3接口、ISDN接口等。用戶可用槽數(shù)該指標(biāo)指模塊化路由器中除CPU板、時鐘板等必要系統(tǒng)板及/或系統(tǒng)板專用槽位外用戶可以使用的插槽數(shù)。根據(jù)該指標(biāo)以及用戶板端口密度可以計(jì)算該路由器所支持的最大端口數(shù)。CPU無論在中低端路由器還是在高端路由器中，CPU都是路由器的心臟。通常在中低端路由器中，CPU負(fù)責(zé)交換路由信息、路由表查找以及轉(zhuǎn)發(fā)數(shù)據(jù)包。在上述路由器中，CPU的能力直接影響路由器的吞吐量（路由表查找時間）和路由計(jì)算能力（影響網(wǎng)絡(luò)路由收斂時間）。在高端路由器中，通常包轉(zhuǎn)發(fā)和查表由ASIC芯片完成，CPU只實(shí)現(xiàn)路由協(xié)議、計(jì)算路由以及分發(fā)路由表。由于技術(shù)的發(fā)展，路由器中許多工作都可以由硬件實(shí)現(xiàn)（專用芯片）。CPU性能并不完全反映路由器性能。路由器性能由路由器吞吐量、時延和路由計(jì)算能力等指標(biāo)體現(xiàn)。內(nèi)存路由器中可能由多種內(nèi)存，例如Flash、DRAM等。內(nèi)存用作存儲配置、路由器操作系統(tǒng)、路由協(xié)議軟件等內(nèi)容。在中低端路由器中，路由表可能存儲在內(nèi)存中。通常來說路由器內(nèi)存越大越好（不考慮價格）。但是與CPU能力類似，內(nèi)存同樣不直接反映路由器性能與能力。因?yàn)楦咝У乃惴ㄅc優(yōu)秀的軟件可能大大節(jié)約內(nèi)存。端口密度該指標(biāo)體現(xiàn)路由器制作的集成度。由于路由器體積不同，該指標(biāo)應(yīng)當(dāng)折合成機(jī)架內(nèi)每英寸端口數(shù)。但是出于直觀和方便，通常可以使用路由器對每種端口支持的最大數(shù)量來替代。路由協(xié)議支持路由信息協(xié)議(RIP)RIP是基于距離向量的路由協(xié)議，通常利用跳數(shù)來作為計(jì)量標(biāo)準(zhǔn)。RIP是一種內(nèi)部網(wǎng)關(guān)協(xié)議。由于RIP實(shí)現(xiàn)簡單，是使用范圍最廣泛的路由協(xié)議。該協(xié)議收斂較慢，一般用于規(guī)模較小的網(wǎng)絡(luò)。RIP協(xié)議在RFC1058規(guī)定。路由信息協(xié)議版本2(RIPv2)該協(xié)議是RIP的改進(jìn)版本，允許攜帶更多的信息，并且與RIP保持兼容。在RIP基礎(chǔ)上增加了地址掩碼(支持CIDR)、下一跳地址、可選的認(rèn)證信息等內(nèi)容。該版本在RFC1723中規(guī)范化。開放的最短路徑優(yōu)先協(xié)議版本2(OSPFv2)該協(xié)議是一種基于鏈路狀態(tài)的路由協(xié)議，由IETF內(nèi)部網(wǎng)關(guān)協(xié)議工作組專為IP開發(fā)，作為RIP的后繼內(nèi)部網(wǎng)關(guān)協(xié)議。OSPF的作用在于最小代價路由、多相同路徑計(jì)算和負(fù)載均衡。OSPF擁有開放性和使用SPF算法兩大特性?！爸虚g系統(tǒng)一中間系統(tǒng)”協(xié)議(ISIS)ISIS協(xié)議同樣是基于鏈路狀態(tài)的路由協(xié)議。該協(xié)議由ISO提出，起初用于OSI網(wǎng)絡(luò)環(huán)境，后修改成可以在雙重環(huán)境下運(yùn)行。該協(xié)議與OSPF協(xié)議類似，可用于大規(guī)模IP網(wǎng)作為內(nèi)部網(wǎng)關(guān)協(xié)議。邊緣網(wǎng)關(guān)協(xié)議(BGP4)BGP協(xié)議是用于替代EGP的域間路由協(xié)議。BGP4是當(dāng)前IP網(wǎng)上最流行的也是唯一可選的自治域間路由協(xié)議。該版本協(xié)議支持CIDR，并且可以使用路由聚合機(jī)制大大減小路由表。BGP4協(xié)議可以利用多種屬性來靈活地控制路由策略。802.3、802.1Q的支持802.3是IEEE針對以太網(wǎng)的標(biāo)準(zhǔn)。支持以太網(wǎng)接口的路由器必須符合802.3協(xié)議。802.1Q是IEEE對虛擬網(wǎng)的標(biāo)準(zhǔn)。符合802.1Q的路由器接口可以在同一物理接口上支持多個VLAN。對IPv6的支持未來的IP網(wǎng)可能是一個采用IPv6的網(wǎng)絡(luò)。由于Web的出現(xiàn)導(dǎo)致互聯(lián)網(wǎng)爆炸性的發(fā)展，IP網(wǎng)的用戶迅速增加，IP地址空前緊張，于是提出IPv6。IPv6首先要解決的問題是擴(kuò)大地址空間，同時還在IP層增加了認(rèn)證和加密的安全措施，為實(shí)時業(yè)務(wù)的應(yīng)用定義了流標(biāo)簽（FlowLabel）。但是由于市場的巨大慣性以及無類別編址（CIDR）的有效應(yīng)用大大推遲了IP地址耗盡的時間，IPv6至今尚未得到廣泛應(yīng)用。但是隨著業(yè)務(wù)的增加，互聯(lián)網(wǎng)的進(jìn)一步發(fā)展，采用IPv6是不可避免的。對IP以外協(xié)議的支持除支持IP協(xié)議外，路由器設(shè)備還可以支持IPX、DECNet、AppleTalk等協(xié)議。這些協(xié)議在國外有一定應(yīng)用，在我國應(yīng)用較少，一般不用考慮。源地址路由支持,透明橋接地址路由指路由器為數(shù)據(jù)包選擇路由時不根據(jù)IP包的目的地址（通常情況根據(jù)目的地址），而根據(jù)IP包的源地址選路。源地址路由是策略路由的一種。一般路由器應(yīng)當(dāng)支持。透明橋接是指路由器端口以透明網(wǎng)橋的方式工作，執(zhí)行網(wǎng)橋的功能。不對數(shù)據(jù)包作路由檢查轉(zhuǎn)發(fā)，只作MAC幀橋接。策略路由方式路由器除將目的地址作為選路的依據(jù)以外，還可以根據(jù)TOS字段、源和目的端口號（高層應(yīng)用協(xié)議）來為數(shù)據(jù)包選擇路徑。策略路由可以在一定程度上實(shí)現(xiàn)流量工程，使不同服務(wù)質(zhì)量的流或者不同性質(zhì)的數(shù)據(jù)（語音、FTP）走不同的路徑。PPP，MLPPPPPP協(xié)議是互聯(lián)網(wǎng)協(xié)議中一個重要協(xié)議：早期的網(wǎng)絡(luò)是由路由器使用PPP協(xié)議點(diǎn)到點(diǎn)連接起來的，并且大多數(shù)用戶采用PPP接入。所以凡是具有串口的路由器都應(yīng)當(dāng)支持PPP協(xié)議并作為首選。MLPPP是指將多個PPP鏈路捆綁使用。PPPOE支持PPPOverEthernet是一種新型的協(xié)議用于解決對以太網(wǎng)接入用戶的認(rèn)證和計(jì)費(fèi)問題。與此類似的是PPPOverATM協(xié)議，使用該協(xié)議的路由器設(shè)備可以終結(jié)接入業(yè)務(wù)。當(dāng)前PPPOE與PPPOA協(xié)議存在的問題是容量問題。大多數(shù)支持該協(xié)議的路由器只能處理數(shù)千個活動的會話。組播支持（列舉協(xié)議）互連網(wǎng)組管理協(xié)議（IGMP）IGMP(InternetGroupManagementProtocol)是IP主機(jī)用作向相鄰多目路由器報(bào)告多目組成員。多目路由器是支持組播的路由器，向本地網(wǎng)絡(luò)發(fā)送IGMP查詢。主機(jī)通過發(fā)送IGMP報(bào)告來應(yīng)答查詢。組播路由器負(fù)責(zé)將組播包轉(zhuǎn)發(fā)到所有網(wǎng)絡(luò)中組播成員。距離矢量組播路由協(xié)議(DVMRP)DVMRP是基于距離矢量的組播路由協(xié)議，基本上基于RIP開發(fā)。DVMRP利用IGMP與鄰居交換路由數(shù)據(jù)包。協(xié)議無關(guān)組播協(xié)議(PIM)PIM是一種組播傳輸協(xié)議，能在現(xiàn)存IP網(wǎng)上傳輸組播數(shù)據(jù)。PIM是一種獨(dú)立于路由協(xié)議的組播協(xié)議，可以工作在兩種模式：密集模式和疏松模式。在PIM密集模式下，報(bào)文分組缺省向所有端口轉(zhuǎn)發(fā)，直到發(fā)生裁減和切除。在密集模式下假設(shè)所有端口上的設(shè)備都是組播成員，可能使用組播包。疏松模式與密集模式相反，只向有請求的端口發(fā)送組播數(shù)據(jù)。VPN支持IP上的VPN已經(jīng)在上文路由器技術(shù)中描述。可能使用的協(xié)議有L2TP、GRE、IPOverIP、IPSec等。并且應(yīng)當(dāng)關(guān)注支持VPN的能力。加密方式路由器可能在VPN實(shí)現(xiàn)中或其他條件下使用加密機(jī)制來保證安全。路由器使用CPU執(zhí)行軟件算法通常會影響轉(zhuǎn)發(fā)效率。部分路由器在設(shè)計(jì)中采用硬件加密方式來提高轉(zhuǎn)發(fā)效率。MPLSMPLS技術(shù)已在上文路由器技術(shù)中描述。MPLS中除包括標(biāo)記交換外還包括快速重路由、MPLS中VPN、流量工程等高級應(yīng)用。由于MPLS標(biāo)準(zhǔn)尚未成熟，對MPLS互通也應(yīng)當(dāng)關(guān)注。路由器性能全雙工線速轉(zhuǎn)發(fā)能力路由器最基本且最重要的功能是數(shù)據(jù)包轉(zhuǎn)發(fā)。在同樣端口速率下轉(zhuǎn)發(fā)小包是對路由器包轉(zhuǎn)發(fā)能力最大的考驗(yàn)。全雙工線速轉(zhuǎn)發(fā)能力是指以最小包長(以太網(wǎng)64字節(jié)、POS口40字節(jié))和最小包間隔(符合協(xié)議規(guī)定)在路由器端口上雙向傳輸同時不引起丟包。該指標(biāo)是路由器性能重要指標(biāo)。設(shè)備吞吐量指設(shè)備整機(jī)包轉(zhuǎn)發(fā)能力，是設(shè)備性能的重要指標(biāo)。路由器的工作在于根據(jù)IP包頭或者M(jìn)PLS標(biāo)記選路，所以性能指標(biāo)是轉(zhuǎn)發(fā)包數(shù)量每秒。設(shè)備吞吐量通常小于路由器所有端口吞吐量之和。端口吞吐量端口吞吐量是指端口包轉(zhuǎn)發(fā)能力，通常使用pps:包每秒來衡量，它是路由器在某端口上的包轉(zhuǎn)發(fā)能力。通常采用兩個相同速率接口測試。但是測試接口可能與接口位置及關(guān)系相關(guān)。例如同一插卡上端口間測試的吞吐量可能與不同插卡上端口間吞吐量值不同。背靠背幀數(shù)背靠背幀數(shù)是指以最小幀間隔發(fā)送最多數(shù)據(jù)包不引起丟包時的數(shù)據(jù)包數(shù)量。該指標(biāo)用于測試路由器緩存能力。有線速全雙工轉(zhuǎn)發(fā)能力的路由器該指標(biāo)值無限大。路由表能力路由器通常依靠所建立及維護(hù)的路由表來決定如何轉(zhuǎn)發(fā)。路由表能力是指路由表內(nèi)所容納路由表項(xiàng)數(shù)量的極限。由于Internet上執(zhí)行BGP協(xié)議的路由器通常擁有數(shù)十萬條路由表項(xiàng)，所以該項(xiàng)目也是路由器能力的重要體現(xiàn)。背板能力背板能力是路由器的內(nèi)部實(shí)現(xiàn)。背板能力能夠體現(xiàn)在路由器吞吐量上：背板能力通常大于依據(jù)吞吐量和測試包場所計(jì)算的值。但是背板能力只能在設(shè)計(jì)中體現(xiàn)，一般無法測試。丟包率丟包率是指測試中所丟失數(shù)據(jù)包數(shù)量占所發(fā)送數(shù)據(jù)包的比率，通常在吞吐量范圍內(nèi)測試。丟包率與數(shù)據(jù)包長度以及包發(fā)送頻率相關(guān)。在一些環(huán)境下可以加上路由抖動、大量路由后測試。時延時延是指數(shù)據(jù)包第一個比特進(jìn)入路由器到最后一比特從路由器輸出的時間間隔。在測試中通常使用測試儀表發(fā)出測試包到收到數(shù)據(jù)包的時間間隔。時延與數(shù)據(jù)包長相關(guān)，通常在路由器端口吞吐量范圍內(nèi)測試，超過吞吐量測試該指標(biāo)沒有意義。時延抖動時延抖動是指時延變化。數(shù)據(jù)業(yè)務(wù)對時延抖動不敏感，所以該指標(biāo)沒有出現(xiàn)在Benchmarking測試中。由于IP上多業(yè)務(wù)，包括語音、視頻業(yè)務(wù)的出現(xiàn)，該指標(biāo)才有測試的必要性。VPN支持能力通常路由器都能支持VPN。其性能差別一般體現(xiàn)在所支持VPN數(shù)量上。專用路由器一般支持VPN數(shù)量較多。無故障工作時間該指標(biāo)按照統(tǒng)計(jì)方式指出設(shè)備無故障工作的時間。一般無法測試，可以通過主要器件的無故障工作時間計(jì)算或者大量相同設(shè)備的工作情況計(jì)算。內(nèi)部時鐘精度擁有ATM端口做電路仿真或者POS口的路由器互連通常需要同步。如使用內(nèi)部時鐘則其精度會影響誤碼率。內(nèi)部時鐘精度級別定義以及測試方法可參見相應(yīng)同步標(biāo)準(zhǔn)。QoS能力隊(duì)列管理機(jī)制隊(duì)列管理控制機(jī)制通常指路由器擁塞管理機(jī)制以及隊(duì)列調(diào)度算法。常見的方法有RED、WRED、WRR、DRR、WFQ、WF2Q等。端口硬件隊(duì)列數(shù)通常路由器中所支持的優(yōu)先級由端口硬件隊(duì)列來保證。每個隊(duì)列中的優(yōu)先級由隊(duì)列調(diào)度算法控制。QoS分類方式指路由器可以區(qū)分QoS所依據(jù)的信息。最簡單的QoS分類可以基于端口。同樣路由器也可以依據(jù)鏈路層優(yōu)先級（802.1Q中規(guī)定）、上層內(nèi)容（TOS字段、源地址、目的地址、源端口、目的端口等信息）來區(qū)分包優(yōu)先級。分類業(yè)務(wù)帶寬保證體現(xiàn)路由器是否能對各種業(yè)務(wù)等級作帶寬保證。該指標(biāo)可以由隊(duì)列調(diào)度算法等方式實(shí)現(xiàn)。RSVPRSVP是資源預(yù)留協(xié)議，用于端到端路徑上資源的預(yù)留。使用軟狀態(tài)刷新，是流驅(qū)動工作方式。該協(xié)議一般不能在大規(guī)模全國范圍網(wǎng)絡(luò)上運(yùn)行。但是通常路由器支持該協(xié)議，一些著名廠商使用該協(xié)議用于MPLS。IPDiffServ區(qū)分服務(wù)是對IP服務(wù)質(zhì)量分級，是對QoS的一種簡化。CAR支持CAR是指承諾接入速率，是一種接入控制。按照與用戶簽訂的協(xié)議，對超出承諾速率的數(shù)據(jù)包做不同處理：丟棄或標(biāo)記；又稱為標(biāo)記顏色。冗余冗余可以包括接口冗余、插卡冗余、電源冗余、系統(tǒng)板冗余、時鐘板冗余、設(shè)備冗余等。冗余用于保證設(shè)備的可靠性與可用性。冗余量的設(shè)計(jì)應(yīng)當(dāng)在設(shè)備可靠性要求與投資間折衷。熱插拔組件由于路由器通常要求24小時工作，所以更換部件不應(yīng)影響路由器工作。部件熱插拔是路由器24小時工作的保障。路由器冗余協(xié)議路由器可以通過VRRP等協(xié)議來保證路由器的冗余。網(wǎng)管網(wǎng)管是指網(wǎng)絡(luò)管理員通過網(wǎng)絡(luò)管理程序?qū)W(wǎng)絡(luò)上資源進(jìn)行集中化管理的操作。包括配置管理、記賬管理、性能管理、差錯管理和安全管理。設(shè)備所支持的網(wǎng)管程度體現(xiàn)設(shè)備的可管理性與可維護(hù)性?；赪eb的管理體現(xiàn)設(shè)備是否能夠通過Web進(jìn)行管理。通過Web管理比較方便，但是安全性較差。通常允許通過Web瀏覽，不允許通過Web作更改。網(wǎng)管類型指示網(wǎng)絡(luò)管理所支持的類型。通常使用SNMP協(xié)議管理。帶外網(wǎng)管支持帶外網(wǎng)管的支持表示路由器能否通過帶外信道管理。網(wǎng)管粒度指示路由器管理的精細(xì)程度：管理到端口、到網(wǎng)段、到IP地址、到MAC地址等粒度。管理粒度可能會影響路由器轉(zhuǎn)發(fā)能力。計(jì)費(fèi)能力/協(xié)議隨著路由器進(jìn)入運(yùn)營商網(wǎng)絡(luò)，計(jì)費(fèi)成為必不可少的一部分。路由器必須能夠支持某種計(jì)費(fèi)能力和協(xié)議來計(jì)費(fèi)。分組語音能力分組語音支持方式在企業(yè)中，路由器分組語音承載能力非常重要。在遠(yuǎn)程辦公室與總部間，支持分組語音的路由器可以使電話通信和數(shù)據(jù)通信一體化，有效地節(jié)省長途話費(fèi)。當(dāng)前技術(shù)環(huán)境下，分組語音可以分為3種：使用IP承載分組語音、使用ATM承載語音以及使用幀中繼承載語音。使用ATM承載語音時可以分AAL1和AAL2兩種。AAL1即電路仿真，技術(shù)非常成熟但是相對成本較高，AAL2技術(shù)較先進(jìn)，但是當(dāng)前ATM接口通常不支持。幀中繼承載語音也比較成熟，相對成本較低。IP承載語音當(dāng)前較流行。在上述技術(shù)中成本最低，但是當(dāng)前IP網(wǎng)絡(luò)QoS保證困難，通話質(zhì)量較難保證。協(xié)議支持在IP承載語音中，H.323是ITU標(biāo)準(zhǔn)，是當(dāng)前IPPhone網(wǎng)絡(luò)最常用的協(xié)議棧。SIP是IETF標(biāo)準(zhǔn)，其目的是將網(wǎng)絡(luò)設(shè)備簡單化，將復(fù)雜功能做到用戶終端中。從IP網(wǎng)本質(zhì)來看，路由器與所承載業(yè)務(wù)無關(guān)，但是路由器端口對IPPhone協(xié)議的支持可以節(jié)約成本。語音壓縮能力語音壓縮是IP電話節(jié)約成本的關(guān)鍵之一。通?？梢允褂肎.723和G.729。G.723在ITU-T建議G.723.1(1996)，語音編碼器在5.3和6.3Kbps多媒體通信傳輸雙率語音編碼器中規(guī)定。相對壓縮比較高，壓縮時延較大。G.729在ITU-T建議G.729(1996)，8Kbps共扼結(jié)構(gòu)代數(shù)碼激勵線形預(yù)測(CS-ACELP)語音編碼中規(guī)定。壓縮比較低，通話質(zhì)量較好。端口密度指路由器支持IP電話的能力。通常以E1計(jì)算，一般一個E1支持30路電話。信令支持路由器E1端口上可能支持多種信令：ISUP、TUP、中國1號信令以及DSS1。支持ISUP、TUP或者DSS1信令的路由器可以有效地減少接續(xù)時間。在電信級的IP電話網(wǎng)絡(luò)設(shè)備中通常要求支持7號信令。但是作為中低端路由器，通常只支持DSS1和中國1號信令。網(wǎng)絡(luò)層訪問權(quán)限控制技術(shù)ACL詳解技術(shù)從來都是一把雙刃劍，網(wǎng)絡(luò)應(yīng)用與互聯(lián)網(wǎng)的普及在大幅提高企業(yè)的生產(chǎn)經(jīng)營效率的同時，也帶來了諸如數(shù)據(jù)的安全性，員工利用互聯(lián)網(wǎng)做與工作不相干事等負(fù)面影響。如何將一個網(wǎng)絡(luò)有效的管理起來，盡可能的降低網(wǎng)絡(luò)所帶來的負(fù)面影響就成了擺在網(wǎng)絡(luò)管理員面前的一個重要課題。A公司的某位可憐的網(wǎng)管目前就面臨了一堆這樣的問題。A公司建設(shè)了一個企業(yè)網(wǎng)，并通過一臺路由器接入到互聯(lián)網(wǎng)。在網(wǎng)絡(luò)核心使用一臺基于IOS的多層交換機(jī)，所有的二層交換機(jī)也為可管理的基于IOS的交換機(jī)，在公司內(nèi)部使用了VLAN技術(shù)，按照功能的不同分為了6個VLAN。分別是網(wǎng)絡(luò)設(shè)備與網(wǎng)管(VLAN1，10?1?1.0/24)、內(nèi)部服務(wù)器(VLAN2)、Internet連接(VLAN3)、財(cái)務(wù)部(VLAN4)、市場部(VLAN5)、研發(fā)部門(VLAN6)，出口路由器上FaO/O接公司內(nèi)部網(wǎng)，通過s0/0連接到Internet。每個網(wǎng)段的三層設(shè)備(也就是客戶機(jī)上的缺省網(wǎng)關(guān))地址都從高位向下分配，所有的其它節(jié)點(diǎn)地址均從低位向上分配。該網(wǎng)絡(luò)的拓樸如下圖所示：自從網(wǎng)絡(luò)建成后麻煩就一直沒斷過，一會兒有人試圖登錄網(wǎng)絡(luò)設(shè)備要搗亂；一會兒領(lǐng)導(dǎo)又在抱怨說互聯(lián)網(wǎng)開通后，員工成天就知道泡網(wǎng)；一會兒財(cái)務(wù)的人又說研發(fā)部門的員工看了不該看的數(shù)據(jù)。這些抱怨都找這位可憐的網(wǎng)管，搞得他頭都大了。那有什么辦法能夠解決這些問題呢？答案就是使用網(wǎng)絡(luò)層的訪問限制控制技術(shù)一一訪問控制列表（下文簡稱ACL）。那么，什么是ACL呢？ACL是種什么樣的技術(shù)，它能做什么，又存在一些什么樣的局限性呢？ACL的基本原理、功能與局限性網(wǎng)絡(luò)中常說的ACL是CiscoIOS所提供的一種訪問控制技術(shù)，初期僅在路由器上支持，近些年來已經(jīng)擴(kuò)展到三層交換機(jī)，部分最新的二層交換機(jī)如2950之類也開始提供ACL的支持。只不過支持的特性不是那么完善而已。在其它廠商的路由器或多層交換機(jī)上也提供類似的技術(shù)，不過名稱和配置方式都可能有細(xì)微的差別。本文所有的配置實(shí)例均基于CiscoIOS的ACL進(jìn)行編寫?；驹恚篈CL使用包過濾技術(shù)，在路由器上讀取第三層及第四層包頭中的信息如源地址、目的地址、源端口、目的端口等，根據(jù)預(yù)先定義好的規(guī)則對包進(jìn)行過濾，從而達(dá)到訪問控制的目的。功能：網(wǎng)絡(luò)中的節(jié)點(diǎn)資源節(jié)點(diǎn)和用戶節(jié)點(diǎn)兩大類，其中資源節(jié)點(diǎn)提供服務(wù)或數(shù)據(jù)，用戶節(jié)點(diǎn)訪問資源節(jié)點(diǎn)所提供的服務(wù)與數(shù)據(jù)。ACL的主要功能就是一方面保護(hù)資源節(jié)點(diǎn)，阻止非法用戶對資源節(jié)點(diǎn)的訪問，另一方面限制特定的用戶節(jié)點(diǎn)所能具備的訪問權(quán)限。配置ACL的基本原則：在實(shí)施ACL的過程中，應(yīng)當(dāng)遵循如下兩個基本原則：最小特權(quán)原則：只給受控對象完成任務(wù)所必須的最小的權(quán)限最靠近受控對象原則：所有的網(wǎng)絡(luò)層訪問權(quán)限控制局限性：由于ACL是使用包過濾技術(shù)來實(shí)現(xiàn)的，過濾的依據(jù)又僅僅只是第三層和第四層包頭中的部分信息，這種技術(shù)具有一些固有的局限性，如無法識別到具體的人，無法識別到應(yīng)用內(nèi)部的權(quán)限級別等。因此，要達(dá)到endtoend的權(quán)限控制目的，需要和系統(tǒng)級及應(yīng)用級的訪問權(quán)限控制結(jié)合使用。ACL基本配置ACL配置技術(shù)詳解“說那么多廢話做什么，趕快開始進(jìn)行配置吧?！保珹公司的網(wǎng)管說。呵呵，并不是我想說那么多廢話，因?yàn)槔斫膺@些基礎(chǔ)的概念與簡單的原理對后續(xù)的配置和排錯都是相當(dāng)有用的。說說看，你的第一個需求是什么?！白鰹橐粋€網(wǎng)管，我不期望普通用戶能elnet到網(wǎng)絡(luò)設(shè)備”一一ACL基礎(chǔ)“補(bǔ)充一點(diǎn)，要求能夠從我現(xiàn)在的機(jī)器(研發(fā)VLAN的6)上telnet到網(wǎng)絡(luò)設(shè)備上去?！?。hamm，是個不錯的主意，誰都不希望有人在自己的花園中撤野。讓我們分析一下，在A公司的網(wǎng)絡(luò)中，除出口路由器外，其它所有的網(wǎng)絡(luò)設(shè)備段的是放在Vlanl中，那個我只需要在到VLAN1的路由器接口上配置只允許源地址為6的包通過，其它的包通通過濾掉。這中只管源IP地址的ACL就叫做標(biāo)準(zhǔn)IPACL：我們在SWA上進(jìn)行如下的配置：access-list1permithost6access-list1denyanyintvlan1ipaccess-group1out這幾條命令中的相應(yīng)關(guān)鍵字的意義如下：access-list配置均ACL的關(guān)鍵字，所有的ACL均使用這個命令進(jìn)行配置。accessTist后面的1：ACL號，ACL號相同的所有ACL形成一個組。在判斷一個包時，使用同一組中的條目從上到下逐一進(jìn)行判斷，一遇到滿足的條目就終止對該包的判斷。1-99為標(biāo)準(zhǔn)的IPACL號，標(biāo)準(zhǔn)IPACL由于只讀取IP包頭的源地址部分，消耗資源少。permit/deny操作。Permit是允許通過，deny是丟棄包。host6/any匹配條件，等同于6。剛才說過，標(biāo)準(zhǔn)的ACL只限制源地址。Host6(6)的意思是只匹配源地址為6的包。是wildcards，某位的wildcards為0表示IP地址的對應(yīng)位必須符合，為1表示IP地址的對應(yīng)位不管是什么都行。簡單點(diǎn)說，就是55減去子網(wǎng)掩碼后的值，的wildcards就是意味著IP地址必須符合6，可以簡稱為host6。any表示匹配所有地址。注意：IOS中的ACL均使用wildcards，并且會用wildcards對IP地址進(jìn)行嚴(yán)格的對齊，如你輸入一條access-list1permit291，在你showaccess-list看時，會變成access-list1permit281，PIXOS中的ACL均使用subnetmasks，并且不會進(jìn)行對齊操作。intvlanl///ipaccess-grouplout：這兩句將access-list1應(yīng)用至Uvlanl接口的out方向。其中1是ACL號，和相應(yīng)的ACL進(jìn)行關(guān)聯(lián)。Out是對路由器該接口上哪個方向的包進(jìn)行過濾，可以有in和out兩種選擇。注意：這里的in/out都是站在路由器或三層模塊（以后簡稱R）上看的，in表示從該接口進(jìn)入R的包，out表示從該接口出去的包。好了，這就是一個最基本的ACL的配置方法。什么，你說普通用戶還能telnet到RTA?那你在intvlan3上現(xiàn)加一個ipaccess-group1out吧。Hammmm，等等，你這樣加上去普通用戶就訪問不了internet了。讓我們把剛才的ACL去掉,重新寫一個?；貞浺幌拢覀兊哪康氖浅?能夠進(jìn)行telnet操作外，其它用戶都不允許進(jìn)行telnet操作。剛才我們說過，標(biāo)準(zhǔn)的IPACL只能控制源IP地址，不能控制到端口。要控制到第四層的端口，就需要使用到：擴(kuò)展的IPACL的配置先看看配置實(shí)例吧。在SWA上進(jìn)行如下配置：intvlan1noipaccess-group1outexitnoaccess-list1access-list101permittcphost6anyeqtelnetaccess-list101denytcpanyanyeqtelnetintvlan1ipaccess-group101outintvlan3ipaccess-group101out你應(yīng)該注意到到這里的ACL有一些變化了，現(xiàn)在對變化的部分做一些說明：access-list101：注意這里的101，和剛才的標(biāo)準(zhǔn)ACL中的1一樣，101是ACL號，表示這是一個擴(kuò)展的IPACL。擴(kuò)展的IPACL號范圍是100-199，擴(kuò)展的IPACL可以控制源IP、目的IP、源端口、目的端口等，能實(shí)現(xiàn)相當(dāng)精細(xì)的控制，擴(kuò)展ACL不僅讀取IP包頭的源地址/目的地址，還要讀取第四層包頭中的源端口和目的端口，的IP在沒有硬件ACL加速情況下，會消耗大量的CPU資源。intvlan1///noipaccess-group1out///exit///noaccess-lis：t1取消access-list1,對于非命名的ACL,可以只需要這一句就可以全部取消。注意，在取消或修改一個ACL前，必須先在它所應(yīng)用的接口上先把應(yīng)用給no掉，否則會導(dǎo)致相當(dāng)嚴(yán)重的后果。tcphost6anyeqtelne：t匹配條件。完整格式為：協(xié)議源地址源wildcards［關(guān)系］［源端口］目的地址目的wildcards［關(guān)系］［目的端口］。其中協(xié)議可以是IP、TCP、UDP、EIGRP等，口內(nèi)為可選字段。僅在協(xié)議為tcp/udp等具備端口號的協(xié)議才有用。關(guān)系可以是eq（等于）、neq（不等于）、lt（大于）、range（范圍）等。端口一般為數(shù)字的1-65535，對于周知端口，如23（服務(wù)名為telnet）等可以用服務(wù)名代替。源端口和目的端口不定義時表示所有端口。把這個ACL應(yīng)用上去后，用戶們開始打電話來罵娘了，因?yàn)樗麄兌荚L問不了Internet了，是哪里出了問題了呢？注意：所有的ACL，缺省情況下，從安全角度考慮，最后都會隱含一句denyany（標(biāo)準(zhǔn)ACL）或denyipanyany（擴(kuò)展IPACL）。所以在不了解業(yè)務(wù)會使用到哪些端口的情況下，最好在ACL的最后加上一句permitipanyany，在這里就是access-list101permitipanyany?，F(xiàn)在用戶倒是能夠訪問Internet了，但我們的可憐的網(wǎng)管卻發(fā)現(xiàn)普通用戶還是能夠telnet到他的SWA上面，因?yàn)镾WA上面有很多個網(wǎng)絡(luò)接口，而且使用擴(kuò)展的ACL會消耗很多的資源。有什么簡單的辦法能夠控制用戶對網(wǎng)絡(luò)設(shè)備的Telnet訪問，而又不消耗太多的資源呢？這就需要使用到：對網(wǎng)絡(luò)設(shè)備自身的訪問如何進(jìn)行控制的技術(shù)讓我們先把剛才配置的ACL都取掉（具體配置略，不然后讀者會以為我在騙稿費(fèi)了。），再在每臺網(wǎng)絡(luò)設(shè)備上均進(jìn)行如下配置：access-list1permithost6linevty04（部分設(shè)備是15）access-class1in這樣就行了，telnet都是訪問的設(shè)備上的linevty，在linevty下面使用access-class與ACL組進(jìn)行關(guān)聯(lián)，in關(guān)鍵字表示控制進(jìn)入的連接。就這么簡單？wk,你丫是不是在玩我們，為什么還要繞一大圈？臭雞蛋和爛西紅柿開始在70的腦袋上方狂飛。(5555555，偶也只是想向大家把ACL的基礎(chǔ)知識講的明白一些的嘛)。經(jīng)過剛才的配置，我們可以理出一個簡單的ACL配置步驟了：分析需求，找清楚需求中要保護(hù)什么或控制什么；為方便配置，最好能以表格形式列出。在本文的后面會舉例的。分析符合條件的數(shù)據(jù)流的路徑，尋找一個最適合進(jìn)行控制的位置；書寫ACL，并將ACL應(yīng)用到接口上；測試并修改ACL。當(dāng)A公司的領(lǐng)導(dǎo)知道在網(wǎng)管能夠控制普通用戶對網(wǎng)絡(luò)設(shè)備的訪問后，我們的可憐的網(wǎng)管就收到了很多看起來很難的要求。領(lǐng)導(dǎo)要求網(wǎng)管：ACL執(zhí)行順序“使用ACL技術(shù)對網(wǎng)絡(luò)訪問進(jìn)行精細(xì)化控制”一一ACL進(jìn)階配置命名的IPACL由于最近服務(wù)器網(wǎng)段的機(jī)器老是被人用telnet、rsh等手段進(jìn)行攻擊，我們只對員工開放web服務(wù)器(0)所提供的http、FTP服務(wù)器(2)提供的FTP服務(wù)和數(shù)據(jù)庫服務(wù)器(1：1521)。好吧，我們著手進(jìn)行配置,可是我們的ACL剛寫到一半，發(fā)現(xiàn)前面寫的幾句好像有問題，一個no命令輸進(jìn)去，整個ACL都沒了，唉，一切都得重來，難道就沒有一個變通的辦法么？有，這里我就需要用到：命名的IPacl提供的兩個主要優(yōu)點(diǎn)是：1解決ACL號碼不足的問題。1可以自由的刪除ACL中的一條語句，而不必刪除整個ACL。命名的ACL的主要不足之處在于無法實(shí)現(xiàn)在任意位置加入新的ACL條目。比如上面那個例子中，我們進(jìn)行了如下的配置：ipaccess-listextendserver-protectpermittcp55host0eqwwwpermittcp55host1eq1521permittcp55host2eqftp配置到這里，我們發(fā)現(xiàn)permittcp55host1eq1521這句配錯了，我們得把它給取掉并重新配置，OK,我樣可以簡單的進(jìn)行如下配置：ipaccess-listextendserver-protectnopermittcp55host1eq1521permittcp55host1eq1521exitintvlan2ipaccess-groupserver-protect就可以了?，F(xiàn)在對命名的IPaccess-list的配置方法解釋如下：ipaccess-listextendserver-access-lim：itipaccess-list相當(dāng)于使用編號的access-list中的access-list段。extend表明是擴(kuò)展的ACL（對應(yīng)地，standard表示標(biāo)準(zhǔn)的ACL）。server-access-limit是access-list的名字，相當(dāng)于基于編號的ACL中的編號字段。permittcp55host1eq1：52這1一段和使用編號的access-list的后半段的意義相同，都由操作和條件兩段組成。其實(shí)基于名字的IPACL還有一個很好的優(yōu)點(diǎn)就是可以為每個ACL取一個有意義的名字，便于日后的管理與維護(hù)。所以Ultra工作室強(qiáng)烈建議各位看官在實(shí)際工作中均使用命名的ACL。進(jìn)一步完善對服務(wù)器數(shù)據(jù)的保護(hù)一一ACL執(zhí)行順序再探討在服務(wù)器網(wǎng)段中的數(shù)據(jù)庫服務(wù)器中存放有大量的市場信息，市場部門的人員不希望研發(fā)部門訪問到數(shù)據(jù)庫服務(wù)器，經(jīng)過協(xié)商，同意研發(fā)部門的領(lǐng)導(dǎo)的機(jī)器（IP地址為3）可以訪問到數(shù)據(jù)庫服務(wù)器。這樣，我們的服務(wù)器網(wǎng)段的的訪問權(quán)限部分如下表所示：協(xié)議源地址源端口目的地址目的端口操作TCP10.1/16所有0/3280允許訪問TCP10.1/16所有2/3221允許訪問TCP10.1/16所有1/321521允許訪問TCP10.1.6/24所有1/321521禁止訪問TCP3/32所有1/321521允許訪問IP10.1/16N/A所有N/A禁止訪問于是，網(wǎng)管就在server-protect后面順序加了兩條語句進(jìn)去，整個ACL變成了如下形式：ipaccess-listextendserver-protectpermittcp55host0eqwwwpermittcp55host1eq1521permittcp55host2eqftpdenytcp55host1eq1521permittcphost3host1eq1521做完之后發(fā)現(xiàn)根本沒起到應(yīng)有的作用，研發(fā)部門的所有機(jī)器還是可以訪問到數(shù)據(jù)庫服務(wù)器。這是為什么呢？前面我們提到過，ACL的執(zhí)行順序是從上往下執(zhí)行，一個包只要遇到一條匹配的ACL語句后就會停止后續(xù)語句的執(zhí)行在我們的這個ACL中,因?yàn)榍懊嬉呀?jīng)有了一條permittcp55host1eq1521語句。內(nèi)部網(wǎng)上所有訪問1的1521端口的在這兒就全部通過了，跟本不會到后面兩句去比較。所以導(dǎo)致達(dá)不到我們的目的。應(yīng)該把server-protect這個ACL按如下形式進(jìn)行修改才能滿足我們的要求：ipaccess-listextendserver-protectpermittcphost3host1eq1521denytcp55host1eq1521permittcp55host1eq1521permittcp55host0eqwwwpermittcp55host2eqftp這個例子告訴我們在寫ACL時,一定要遵循最為精確匹配的ACL語句一定要寫在最前面的原則，只有這樣才能保證不會出現(xiàn)無用的ACL語句?；跁r間的ACL在保證了服務(wù)器的數(shù)據(jù)安全性后，領(lǐng)導(dǎo)又準(zhǔn)備對內(nèi)部員工上網(wǎng)進(jìn)行控制。要求在上班時間內(nèi)(9:00-18:00)禁止內(nèi)部員工瀏覽internet,禁止使用QQ、MSN。而且在2003年6月1號到2號的所有時間內(nèi)都不允許進(jìn)行上述操作。但在任何時間都可以允許以其它方式訪問Internet。天哪，這可叫人怎么活呀，但領(lǐng)導(dǎo)既然這樣安排,也只好按指示做了。首先,讓我們來分析一下這個需求，瀏覽internet現(xiàn)在基本上都是使用http或https進(jìn)行訪問，標(biāo)準(zhǔn)端口是TCP/80端口和TCP/443，MSN使用TCP/1863端口，QQ登錄會使用到TCP/UDP8000這兩個端口，還有可能使用到udp/4000進(jìn)行通訊。而且這些軟件都能支持代理服務(wù)器，目前的代理服務(wù)器主要布署在TCP8080、TCP3128(HTTP代理)和TCP1080(socks)這三個端口上。這個需求如下表所示：應(yīng)用協(xié)議源地址源端口目的地址目的端口操作IETCP10.1/16所有所有80限制訪問IETCP10.1/16所有所有443限制訪問MSNTCP10.1/16所有所有1863限制訪問QQTCP10.1/16所有所有8000限制訪問QQUDP10.1/16所有所有8000限制訪問QQUDP10.1/16所有所有4000限制訪問HTTP代理TCP10.1/16所有所有8080限制訪問HTTP代理TCP10.1/16所有所有3128限制訪問SocksTCP10.1/16所有所有1080限制訪問AllotherIP10.1/16N/A所有N/A允許訪問然后，讓我們看看ACL應(yīng)該在哪個位置配置比較好呢？由于是對訪問Internet進(jìn)行控制，涉及到的是公司內(nèi)部所有的網(wǎng)段，這們這次把ACL就放到公司的Internet出口處。在RTA上進(jìn)行如下的配置，就能夠滿足領(lǐng)導(dǎo)的要求了:time-rangeTR1absolutestart00:001June2003end00:003June2003periodicweekdaysstart9:0018:00exitipaccess-listextendinternet_limitdenytcp55anyeq80time-rangeTR1denytcp55anyeq443time-rangeTR1denytcp55anyeq1863time-rangeTR1denytcp55anyeq8000time-rangeTR1denyudp55anyeq8000time-rangeTR1denyudp55anyeq4000time-rangeTR1denytcp55anyeq3128time-rangeTR1denytcp55anyeq8080time-rangeTR1denytcp55anyeq1080time-rangeTR1permitipanyanyints0/0ipaccess-groupinternet_limitout或intfa0/0ipaccess-groupinternet_limitin或者將ACL配置在SWA上，并intvlan3ipaccess-groupinternet_limitout呵呵，現(xiàn)在讓我們來看看在基于時間的訪問列表中都有哪些新內(nèi)容吧：time-rangeTRl：定義一個新的時間范圍，其中的TR1是為該時間范圍取的一個名字。absolute為絕對時間。只使用一次。可以定義為1993-2035年內(nèi)的任意一個時點(diǎn)。具體的用法請使用？命令查看。Periodic：為周期性重復(fù)使用的時間范圍的定義。完整格式為periodic日期關(guān)鍵字開始時間結(jié)束時間。其中日期關(guān)鍵字的定義如下所示：Monday星期一Tuesday星期二Wednesday星期三Thursday星期四Friday星期五Saturday星期六Sunday星期天daily每天weekdays周一至五weekend周末access-list101denyip55anytime-rangeTR1:注意這一句最后的time-rangeTR1,使這條ACL語句與time-rangeTR1相關(guān)聯(lián)，表明這條語句在time-rangeTR1所定義的時間范圍內(nèi)才起作用。注意：給出三種配置位置是幫助大家深刻理解關(guān)于in/out的區(qū)別的。acl是對從一個接上流入(in)或流出(out)路由器的包進(jìn)行過濾的。網(wǎng)管發(fā)問了，“你是怎么找到這些應(yīng)用的所使用的端口的？”。呵呵，在如下文件中可以找到大多數(shù)應(yīng)用的端口的定義：Win9x:%windir%servicesWinNT/2000/XP：%windir%system32driversetcservicesLinux：/etc/services對于在services文件中找不到端口的應(yīng)用，可以在運(yùn)行程序的前后，運(yùn)行netstat-ap來找出應(yīng)用所使用的端口號。單向訪問控制使用IPACL實(shí)現(xiàn)單向訪問控制A公司準(zhǔn)備實(shí)行薪資的不透明化管理，由于目前的薪資收入數(shù)據(jù)還放在財(cái)務(wù)部門的Vlan中,所以公司不希望市場和研發(fā)部門能訪問到財(cái)務(wù)部Vlan中的數(shù)據(jù),另一方面，財(cái)務(wù)部門做為公司的核心管理部門，又希望能訪問到市場和研發(fā)部門Vlan內(nèi)的數(shù)據(jù)。我們的網(wǎng)管在接到這個需求后就在SWA上做了如下的配置：ipaccess-listextendfi-access-limitdenyipany55permitipanyanyintvlan5ipaccess-groupfi-access-limitinintvlan6ipaccess-groupfi-access-limitin配置做完后,測試了一下,市場和研發(fā)部門確實(shí)訪問不到財(cái)務(wù)部了,剛準(zhǔn)備休息一下,財(cái)務(wù)部打電話