边界路由策略在网络安全中的应用需求与测试

2019-11-07 19:10:05     来源:物联网技术

摘要:路由策略和策略路由的目的都是提高网络的安全性能。通过对路由策略和策略路由两者的比较,发现都是根据一定的要求制定相应的规则,通过改变某些参数实现不同流量在不同转发路径之间的传输控制。区别在于路由策略是路由发现时所用到的规则,能控制路由表的大小;策略路由是数据包转发时所用到的规则,能实现网络的负载均衡和链路备份。路由策略和策略路由应用技术对提高网络安全性能具有重要意义。


在对网络服务质量要求越来越高的大环境中,访问控制列表(Access Control List,ACL)产生并得到了快速、广泛的应用。ACL是一组指令集,可根据网络安全的不同需求,通过有序的排列组合形成有效的条件列表,实现对流量的分类过滤,过滤技术是ACL实现的核心[1],可以在交换机、路由器、防火墙等网络设备中应用ACL以更好地实现对网络的安全防护。


ACL实际上是路由器上的流量过滤器,它可以根据分组的属性,比如IP地址来识别特定类型的分组流量[2]。在识别以后ACL可执行特定操作,比如阻止它们通过某个特定的接口。ACL作为网络安全领域发展较为成熟的一项流量控制技术,在网络安全中发挥着较为重要的作用。在ACL的具体应用中,通过标准ACL与扩展ACL相结合实现对流量的控制,并且对不同级别的用户提供不同的服务器访问权限[3];在ACL的扩展應用中,通过设计ACL与其他应用技术相结合以实现不同的路由策略。


1 ACL工作原理


ACL由访问控制条目(ACE)组成,ACE通常也被称为ACL语句,其根据某一标准(源地址、目的地址、协议号和端口号)创建[4]。


ACL从第三层数据包报头中读取源IP地址、目的IP地址、ICMP消息类型信息;从第四层数据包报头中读取TCP/UDP源端口号、TCP/UDP目的端口号信息;根据预先定义的规则决定哪些数据包可以接收,哪些数据包需要拒绝,从而实现访问控制目的[5]。


ACL提供了一种区分不同类型数据包的方法。根据各自的特点,将不同的数据包分为不同的类型,以达到控制用户访问的目的。


ACL的工作原理如图1所示。

边界路由策略在网络安全中的应用需求与测试

2应用需求


2.1路由策略需求


路由策略通过某些规则来改变影响路由发布、接收及路由选择的参数,从而改变路由发现的结果,目的是控制路由表的内容[6]。路由策略需求如下:


(1)路由器R1只能将环回接口中第3位为奇数的路由和F0/0接口的路由发送出去;


(2)在路由器R1和路由器R2之间使用RIPv2路由协议。


2.2策略路由需求


策略路由仅针对某些特定需求,如主机不根据当前路由表中的路由进行转发,而单独使用别的路径转发。策略路由在数据包转发时进行策略匹配,使用单独的路径转发但不改变路由表中的路由信息。需求如下:


(1)在路由器R3的F0/0接口采用相应策略,PCA数据的下一跳地址为192.168.23.2,所有其他数据包正常转发;


(2)在路由器R3的F0/1接口应用相应策略,源地址为192.168.2.0/24网段的TELNET包,设置下一跳地址为192.168.32.2,将IP包的优先级设置为critical,其他包正常转发;


(3)在路由器R2与路由器R3之间使用EIGRP路由协议。


2.3拓扑结构


应用拓扑结构如图2所示。

边界路由策略在网络安全中的应用需求与测试

拓扑图中在路由器R1与R2之间实现路由更新策略,路由器R2与R3之间实现策略路由;路由器R4,R5,R6分别表示三台主机。


2.4设备需求及IP地址分配


根据需求分析及应用拓扑图,该应用设备及IP分配见表1所列。

边界路由策略在网络安全中的应用需求与测试

3应用实现


3.1路由策略实现


4应用测试


4.1路由策略测试


在R2上查看路由表,结果如图3所示。


结果分析:


在路由器R1的接口S2/0的出方向应用distribute-list 10,该分发列表中调用ACL 10只允许第三位为奇数的路由条目,其他路由条目拒绝。


图中大写字母R表示从路由器R1所收到的RIPv2路由条目,并且第三位为奇数,基于ACL的路由更新控制生效。


4.2策略路由测试


4.2.1网络层测试结果


在PCA上ping地址2.2.2.2,路由器R3上显示的信息如图4所示。


结果分析:


以上输出信息表明源地址为192.168.1.2的主机发送给目的地址2.2.2.2的数据包在接口F0/0匹配route-map MAP1的序列号10所定义的策略,执行策略路由并设置数据包下一跳地址为192.168.23.2。


在PCA上使用L0接口地址ping地址2.2.2.2,路由器R3显示的信息如图5所示。


结果分析:


以上输出信息表明源地址为3.3.3.3接口发送到目的地址的2.2.2.2数据包在接口F0/1不匹配策略路由,数据包正常转发。


在策略路由中只允许源地址为192.168.1.2的数据包,所以当源地址为3.3.3.3时不匹配策略路由故正常转发。


4.2.2应用层测试结果


在PCB上访问2.2.2.2的TELNET服务,路由器R3显示的信息如图6所示。


结果分析:


以上输出信息表明从PCB发送的TELNET数据包在接口F0/1匹配策略,执行策略路由并设置数据包下一跳地址为192.168.32.2。


在PCB上ping路由器R2的2.2.2.2,路由器R3显示的调试信息如图7所示。


结果分析:


以上输出信息表明源地址为192.168.2.2的主机发送到目的地址2.2.2.2的数据包在接口F0/1不匹配路由策略,数据包正常转发。


在策略中ACL只接纳源地址为192.168.2.2的TELNET数据包,在PCB上ping路由器R2的地址2.2.2.2则产生ICMP类型数据包,不匹配策略,所以正常转发。


在PCB上用L0接口访问2.2.2.2的TELNET服务,路由器R3显示的信息如图8所示。


结果分析:


以上输出信息表明源地址为4.4.4.4的接口发送到目的地址2.2.2.2的HTTP数据包在接口F0/1不匹配路由策略,数据包正常转发。


虽然源地址4.4.4.4发送的是TELNET类型数据包,但在策略中只允许源地址为192.168.2.2的数据包执行策略,所以不匹配策略正常转发。


5结语


本文通过不同的需求实现路由策略和策略路由。分析实现需求,列出路由协议的配置和策略配置,对应用进行测试,并对测试结果进行分析说明。两者的相同点:均根据一定的要求制定相应的规则,通过改变某些参数实现不同流量在不同转发路径之间的传输控制。两者之间的区别:路由策略是路由发现时所用到的规则,可控制路由表的大小。策略路由是数据包转发时所用到的规则,能实现网络的负载均衡和链路备份。路由策略和策略路由应用技术对提高网络安全性能具有重要意义。

注:文章内的所有配图皆为网络转载图片,侵权即删!

我来说几句

不吐不快,我来说两句
最新评论

还没有人评论哦,抢沙发吧~

为您推荐

最大社交网站Facebook今年共清除54亿个假账号
最大社交网站Facebook今年共清除54亿个假账号
11月15日 17:01   Facebook  社交
使用过华为Watch GT后,感觉华为找到了智能手表的核心竞争力
使用过华为Watch GT后,感觉华为找到了智能手表的核心竞争力
11月15日 16:40   智能手表  华为智能手表
口碑饿了么地推人员自述:有人转行,也有人内部转岗
口碑饿了么地推人员自述:有人转行,也有人内部转岗
11月15日 16:18   美团  口碑  饿了么
基于低空无人机影像的城市三维模型构建与精度评估
基于低空无人机影像的城市三维模型构建与精度评估
11月15日 16:02   无人机  三维模型
​联想副总裁王帅:5G+AIoT智能网联车新动能
​联想副总裁王帅:5G+AIoT智能网联车新动能
11月15日 15:22   联想  汽车
​2019年十大企业管理软件品牌排行榜
​2019年十大企业管理软件品牌排行榜
11月15日 13:44   企业管理  软件
Docker被Mirantis收购,折射出开源软件厂商缺乏商业模式
Docker被Mirantis收购,折射出开源软件厂商缺乏商业模式
11月15日 11:00   Docker  Mirantis  开源软件
中国移动2020年要发展5G客户7000万,销售5G手机1亿部
中国移动2020年要发展5G客户7000万,销售5G手机1亿部
11月15日 10:36   中国移动  5G  5G手机
我国芯片制造企业谁能执芯片之“牛耳”?
我国芯片制造企业谁能执芯片之“牛耳”?
11月15日 09:36   芯片  高通  华为