收藏
下载资源 加入VIP免费专享

基于ACL校园网络安全的实现.docx

上传人:牧羊曲112 文档编号:1941600 上传时间:2022-12-27 格式:DOCX 页数:28 大小:337KB
返回 下载 相关 举报
基于ACL校园网络安全的实现.docx_第1页
第1页 / 共28页
基于ACL校园网络安全的实现.docx_第2页
第2页 / 共28页
基于ACL校园网络安全的实现.docx_第3页
第3页 / 共28页
基于ACL校园网络安全的实现.docx_第4页
第4页 / 共28页
基于ACL校园网络安全的实现.docx_第5页
第5页 / 共28页
点击查看更多>>
资源描述

《基于ACL校园网络安全的实现.docx》由会员分享,可在线阅读,更多相关《基于ACL校园网络安全的实现.docx(28页珍藏版)》请在三一办公上搜索。

1、南 阳 理 工 学 院本科生毕业设计(论文)学院(系): 软件学院 专 业: 网络工程 学 生: 指导教师: 完成日期 2012 年 04 月南阳理工学院本科生毕业设计(论文)基于ACL的校园网络安全策略的设计与实现Based on Design and Implementation of the campus network security policy in ACL总 计:毕业设计(论文) 21页表 格: 3个图 片: 6个南 阳 理 工 学 院 本 科 毕 业 设 计(论文)基于ACL的校园网络安全策略的设计与实现Based on Design and Implementation o

2、f the campus network security policy in ACL学 院(系): 软件学院 专 业: 网络工程 学 生 姓 名: 学 号: 指导教师(职称): 讲师 评 阅 教 师: 完 成 日 期: 2012年04月14日 南阳理工学院Nanyang Institute of Technology基于ACL的校园网络安全策略的设计与实现网络工程 摘 要 随着网络的高速发展,网络的普及也越来越平民化,在人们的学习和生活的方方面面,网络无孔不入,给人们的学习和生活带来了极大的便利,但随之而来的网络安全问题也越来越引起人们的重视。高校校园网的安全是一个庞大的系统工程,需要全方位

3、的防范。防范不仅是被动的,更要主动进行。ACL(访问控制列表)是网络安全防范和保护的主要策略,网络管理员通常首选ACL策略来完成对所管理网络的安全配置。由此可见ACL在网络中的重要性。本文通过在校园网中配置ACL实现对网络安全策略的应用,论文首先论述了ACL的发展和应用,详细介绍ACL的概念、作用、工作流程、分类和局限性,然后介绍了各种类型的访问控制列表的具体配置,最后搭建配置校园网的环境,具体配置校园网的控制访问列表,实现校园网运作在一个安全稳定的环境中。摘 要 ACL;校园网;网络安全策略Based on Design and Implementation of the campus ne

4、twork security policy in ACLNet Engineering MajorAbstract: With the rapid development of the network, the popularity of the network more and more civilians pervasive in peoples learning and all aspects of life, the network has brought great convenience to peoples learning and life, but the accompany

5、ing networkthe security issue has drawn increasing attention. Campus Network security is a huge project, a full range of prevention. Prevention is not only passive, but also to take the initiative. ACL (Access Control List) is the main strategy of prevention and protection of network security, netwo

6、rk administrators often preferred the ACL policy to complete the security configuration on the management network. This shows the importance of ACL in the network. This article through in the campus network configuration ACL to achieve in the application of network security policy, this paper first

7、discusses the development and application of the ACL, detailed introduces the concept, function, ACL working process, and the classification and limitations, and then introduces various types of access control list of the specific configuration, build environment of campus network last configuration

8、, and the specific configuration of the campus network access control list, realize campus network operating in a safe and stable environment Key words: ACL; Campus Network; Network Security Policy目 录1. ACL的发展和应用11.1 ACL发展11.2 ACL的应用12. ACL的概述22.1 ACL的定义22.2 ACL的作用22.3 ACL基本原理22.4 ACL的工作过程32.5 ACL的分

9、类42.6 ACL的局限性42.7 ACL的匹配顺序42.8 通配符掩码52.9 正确放置ACL53. ACL的各种应用配置63.1 标准ACL的配置63.2 扩展ACL的配置73.3 命名ACL83.4 基于时间段的ACL配置93.5 ACL的显示调试和删除104. 校园网ACL应用实例114.1 搭建配置环境124.2 ACL在院系机构的应用124.3 ACL在教学机房中作用144.3.1 屏蔽特定端口防范病毒与攻击144.3.2 通过ACL 限制上网行为154.4 ACL对校园网P2P流量的控制164.4.1 P2P工作原理164.4.2 抓包位置的部署164.4.3 索引服务器地址收集

10、164.4.4 ACL 的组成164.4.5 创建ACL 策略16结束语17参考文献18附录19致谢211. ACL的发展和应用1.1 ACL发展ACL(Access Control List)的全称是控制访问列表,控制访问起源于20世纪60年代,是一种重要的信息安全技术。所谓访问控制,就是通过某种途径显示地准许或限制访问能力及范围,从而限制对关键资源的访问,防止非法用户入侵或者合法用户的不慎操作造成破坏。网络中常说的ACL是CISCO IOS所提供的一种访问控制技术,初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机如2950之类也开始开始提供ACL的支持。只不过支持的

11、特性不是那么完善而已。在其他厂商的路由器或多层交换机上也提供类似的技术,不过名称和配置方法都可能有细微的差别。CISCO路由器中有两种常用的控制访问列表,一种是标准访问列表,另一种是扩展访问列表。标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。扩展ACL比标准ACL提供了更广泛的控制范围。例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确。在标准与扩展访问控制列表中均要使用表号,而在命名访问控制

12、列表中使用一个字母或数字组合的字符串来代替前面所使用的数字。使用命名访问控制列表可以用来删除某一条特定的控制条目,这样可以让我们在使用过程中方便地进行修改。 在使用命名访问控制列表时,要求路由器的IOS在11.2以上的版本,并且不能以同一名字命名多个ACL,不同类型的ACL也不能使用相同的名字。随着网络的发展和用户要求的变化,从IOS 12.0开始,思科(CISCO)路由器新增加了一种基于时间的访问列表。通过它,可以根据一天中的不同时间,或者根据一星期中的不同日期,或二者相结合来控制网络数据包的转发。这种基于时间的访问列表,就是在原来的标准访问列表和扩展访问列表中,加入有效的时间范围来更合理有

13、效地控制网络。首先定义一个时间范围,然后在原来的各种访问列表的基础上应用它。1.2 ACL的应用ACL(Access Control List,访问控制列表)是用来实现流识别功能的。网络设备为了过滤报文,需要配置一系列的匹配条件对报文进行分类,这些条件可以是报文的源地址、目的地址、端口号等。通过在路由器以及交换机上配置相关规则即可实现对数据包的过滤,而不需要添加额外的防火墙等过滤设备既能够实现对数据包的过滤。由于实现方式简单,效果明显,并且成本低廉,适合校园网、小型企业等节约网络成本的网络中用于数据包的控制1。同时其他网络技术结合ACL配置也能够实现相应的功能,例如NAT、IPSEC、路由策略

14、、QOS等,由此可见ACL的重要性。2. ACL的概述2.1 ACL的定义访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。2.2 ACL的作用访问控制列表(Access Control List, ACL)是管理者加入的一系列控制数据包在路由器中输入、输出的规则。ACL可以限制网络流量、提高网络性能。ACL可以根据数据包的协议,指定数据包的优先级。ACL可以限定或

15、简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。ACL是提供网络安全访问的基本手段,ACL允许主机A访问网络,而拒绝主机B访问。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。ACL是路由器接口的指令列表,用来控制端口进出的数据包,ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如,用户可以允许E-mail通信流量被路由,拒绝所有的Telnet通信流量。2.3 ACL基本原理网络中的节点资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访

16、问,另一方面限制特定的用户节点所能具备的访问权限。ACL中规定了两种操作,所有的应用都是围绕这两种操作来完成的:允许、拒绝 ACL是CISCO IOS中的一段程序,对于管理员输入的指令,有其自己的执行顺序,它执行指令的顺序是从上至下,一行行的执行,寻找匹配,一旦匹配则停止继续查找,如果到末尾还未找到匹配项,则执行一段隐含代码丢弃DENY.所以在写ACL时,一定要注意先后顺序。可以发现,在ACL的配置中的一个规律:越精确的表项越靠前,而越笼统的表项越靠后放置。当入站数据包进入路由器内时,路由器首先判断数据包是否从可路由的源地址而来,否的话放入数据包垃圾桶中,是的话进入下一步;路由器判断是否能在路

17、由选择表内找到入口,不能找到的话放入数据垃圾桶中,能找到的话进入下一步。接下来选择路由器接口,进入接口后使用ACL。ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的2。其中标准控制列表只读取数据包中的源地址信息,而扩展访问控制列表则还会读取数据包中的目的地址、源端口、目的端口和协议类型等信息。ACL判断数据包是否符合所定义的规则,符合要求的数据包允许其到达目的地址进入网络内部,不符合规则的则丢弃,同时通知数据包发送端,数据包未能成功通过路由器。通过ACL,可以简单的将不符合规则要求的危

18、险数据包拒之门外,使其不能进入内部网络。具体过程如下图所示:图212.4 ACL的工作过程无论在路由器上有无ACL,接到数据包的处理方法都是一样的:当数据进入某个入站口时,路由器首先对其进行检查,看其是否可路由,如果不可路由那么就丢弃,反之通过查路由选择表发现该路由的详细信息包括AD,METRIC及对应的出接口。这时,我们假定该数据是可路由的,并且已经顺利完成了第一步,找出了要将其送出站的接口,此时路由器检查该出站口有没有被编入ACL,如果没有ACL 的话,则直接从该口送出。如果该接口编入了ACL,那么就比较麻烦3。第一种情况路由器将按照从上到下的顺序依次把该数据和ACL进行匹配,从上往下,逐

19、条执行,当发现其中某条ACL匹配,则根据该ACL指定的操作对数据进行相应处理(允许或拒绝),并停止继续查询匹配;当查到ACL的最末尾,依然未找到匹配,则调用ACL最末尾的一条隐含语句deny any来将该数据包丢弃。2.5 ACL的分类目前有两种主要的ACL:标准ACL和扩展ACL。标准ACL只检查数据包的源地址;扩展ACL既检查数据包的源地址,也检查数据包的目的地址,同时还可以检查数据包的特定协议类型、端口号等。这两种ACL的区别是,标准ACL只检查数据包的源地址;扩展ACL既检查数据包的源地址,也检查数据包的目的地址,同时还可以检查数据包的特定协议类型、端口号等。网络管理员可以使用标准AC

20、L阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。扩展ACL比标准ACL提供了更广泛的控制范围。例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确。在路由器配置中,标准ACL和扩展ACL的区别是由ACL的表号来体现的,上表指出了每种协议所允许的合法表号的取值范围。IP标准访问控制列表编号:199或13001999IP扩展访问控制列表编号:100199或20002699标准访问控制列表和扩展访问控制列表的对比如

21、下图所示。图22标准ACL与扩展ACL对比2.6 ACL的局限性由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等4。因此,要达到end to end的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。2.7 ACL的匹配顺序ACL的执行顺序是从上往下执行,Cisco IOS按照各描述语句在ACL中的顺序,根据各描述语句的判断条件,对数据包进行检查。一旦找到了某一匹配条件,就结束比较过程,不再检查以后的其他条件判断语句。在写ACL时,一定要遵循最为精确匹配的ACL语句

22、一定要卸载最前面的原则,只有这样才能保证不会出现无用的ACL语句图23 ACL匹配顺序2.8 通配符掩码通配符掩码是一个32位的数字字符串,0表示“检查相应的位”,1表示“不检查(忽略)相应的位”。IP地址掩码的作用:区分网络为和主机位,使用的是与运算。0和任何数相乘都得0,1和任何数相乘都得任何数。通配符掩码:把需要准确匹配的位设为0,其他位为1,进行或运算。1或任何数都得1,0或任何数都得任何数。特殊的通配符掩码:1.Any0.0.0.0 255.255.255.2552.Host172.16.30.28 0.0.0.0Host 172.16.30.282.9 正确放置ACL ACL通过制

23、定的规则过滤数据包,并且丢弃不希望抵达目的地址的不安全数据包来达到控制通信流量的目的5。但是网络能否有效地减少不必要的通信流量,同时达到保护内部网络的目的,将ACL放置在哪个位置也十分关键。假设存在着一个简单的运行在TCP/IP协议的网络环境,分成4个网络,设置一个ACL拒绝从网络1到网络4的访问。根据减少不必要通信流量的准则,应该把ACL放置于被拒绝的网络,即网络1处,在本例中是图中的路由器A上。但如果按这个准则设置ACL后会发现,不仅是网络1与网络4不能连通,网络1与网络2和3也都不能连通。回忆标准ACL的特性就能知道,标准ACL只检查数据包的中的源地址部分,在本例子中,凡是发现源地址为网

24、络1网段的数据包都会被丢弃,造成了网络1不能与其他网络联通的现象。由此可知,根据这个准则放置的ACL不能达到目的,只有将ACL放置在目的网络,在本例子中即是网络4中的路由器D上,才能达到禁止网络1访问网络4的目的。由此可以得出一个结论,标准访问控制列表应尽量放置在靠近目的端口的位置。在本例子中,如果使用扩展ACL来达到同样的要求,则完全可以把ACL放置在网络1的路由器A上。这是因为扩展访问控制列表不仅检查数据包中的源地址,还会检查数据包中的目的地址、源端口、目的端口等参数。放置在路由器A中的访问控制列表只要检查出数据包的目的地址是指向网络4的网段,则会丢弃这个数据包,而检查出数据包的目的地址是

25、指向网络2和3的网段,则会让这个数据包通过。既满足了减少网络通信流量的要求,又达到了阻挡某些网络访问的目的。由此,可以得出一个结论,扩展访问控制列表应尽量放置在靠近源端口的位置。图24正确设置ACL编辑原则:标准ACL要尽量靠近目的端,扩展ACL要尽量靠近源端。3. ACL的各种应用配置3.1 标准ACL的配置标准ACL命令的详细语法创建ACL定义例如:Router(config)#access-list 1 permit 10.0.0.0 0.255.255.255将配置应用于接口:例如:Router(config-if)#ip access-group 1 out下面更详细的介绍扩展ACL

26、的各个参数:以下是标准访问列表的常用配置命令。跳过简单的路由器和PC的IP地址设置配置路由器上的标准访问控制列表R1(config)#access-list 1 deny 172.16.1.0 0.0.0.255R1(config)#access-list 1 permit anyR1(config)#access-list 2 permit 172.16.3.1 0.0.0.255常用实验调试命令在PC1网络所在的主机上ping 2.2.2.2,应该通,在PC2网络所在的主机上ping 2.2.2.2,应该不通,在主机PC3上Telnet 2.2.2.2,应该成功。 Outgoing acc

27、ess list is not set Inbound access list is 1以上输出表明在接口S2/0的入方向应用了访问控制列表1。3.2 扩展ACL的配置扩展ACL命令的详细语法创建ACL定义例如:accell-list101 permit host 10.1.6.6 any eq telnet应用于接口例如:Router(config-if)#ip access-group 101 outRouter(config)# access-list access-list-number permit | deny protocol source source-wildcard ope

28、rator port destination destination-wildcard operator port established log表格 1 扩展ACL参数描述 参数参数描述access-list-number访问控制列表表号permit|deny如果满足条件,允许或拒绝后面指定特定地址的通信流量protocol用来指定协议类型,如IP、TCP、UDP、ICMP等Source and destination分别用来标识源地址和目的地址source-mask通配符掩码,跟源地址相对应destination-mask通配符掩码,跟目的地址相对应operator lt,gt,eq,ne

29、q(小于,大于,等于,不等于) operand一个端口号established如果数据包使用一个已建立连接,便可允许TCP信息通过表格 2常见端口号端口号(Port Number )20文件传输协议(FTP)数据21文件传输协议(FTP)程序23远程登录(Telnet)25简单邮件传输协议(SMTP)69普通文件传送协议(TFTP)80超文本传输协议(HTTP)53域名服务系统(DNS)相比基本访问控制列表,扩展访问控制列表更加复杂,不仅需要读取数据包的源地址,还有目的地址、源端口和目的端口。图31扩展访问控制列表的常见配置命令。(1) 配置路由器(config)#access-list 10

30、0 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq www(2) 常用调试命令分别在访问路由器的Telnet和WWW服务,然后查看访问控制列表100:R1#show ip access-lists 100Extended IP access list 100permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq www 3.3 命名ACL命名ACL是IOS11.2以后支持的新特性。命名ACL允许在标准ACL和扩展ACL中使用字符串代替前面所使用的数字来表示ACL,命名ACL还可以被用来从某一特定的ACL中删

31、除个别的控制条目,这样可以让网络管理员方便地修改ACL6。它提供的两个主要优点是:解决ACL的号码不足问题;可以自由的删除ACL中的一条语句,而不必删除整个ACL。命名ACL的主要不足之处在于无法实现在任意位置加入新的ACL条目。语法为:Router(config)#ip access-list standard | extended name名字字符串要唯一Router(config std- | ext-nacl)# permit | deny ip access list test conditions permit | deny ip access list test conditio

32、ns no permit | deny ip access list test conditions 允许或拒绝陈述前没有表号可以用“NO”命令去除特定的陈述Router(config-if)# ip access-group name in | out 在接口上激活命名ACL例如:ip access-list extend server- protectpermit tcp 10.1.0.0 0.0.0.255 host 10.1.2.21 eq 1521int vlan 2ip access-group server- protect命名ACL还有一个很好的优点就是可以为每个ACL取一个有

33、意义的名字,便于日后的管理和维护。最后是命名ACL常用配置命令。(1) 在路由器上配置命名的标准ACLR1(config)#ip access-list standard standR1(config-std-nacl)#deny 172.16.1.0 0.0.0.255R1(config-std-nacl)#permit any创建名为stand的标准命名ACL(2) 在路由器上查看命名ACLR1#show ip access-lists Standard IP access list 1 deny 172.16.1.0 0.0.0.255 permit any (110 match(es)

34、(3) 在路由器配置命名的扩展ACL R1(config)#ip access-list extended ext1R1(config-ext-nacl)#permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq www创建名为ext1的命名扩展访问ACL(4) 在路由器上查看命名访问ACLR1#show access-lists Extended IP access list ext1 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq www3.4 基于时间段的ACL配置使用标准访问控制列表和扩展访问控制列表

35、就可以应付大部分过滤网络数据包的要求了。不过在实际的使用中总会有人提出一些较为苛刻的要求,这是就还需要掌握一些关于ACL的高级技巧7。基于时间的访问控制类别就属于高级技巧之一。基于时间的访问控制列表的用途:可能一些单位或者公司会遇到这样的情况,要求上班时间不能使用QQ或者浏览某些网站,或者不能在上班时间使用某些应用,只有在下班或者周末才可以。对于这种情况,仅仅通过发布通知不能彻底杜绝员工非法使用的问题,这时基于时间的访问控制列表就应运而生了。基于时间的访问控制列表的格式;基于时间的访问控制列表由两部分组成,第一部分是定义时间段,第二部分是用扩展访问控制列表定义规则。这里主要解释下定义时间段,具

36、体格式如下:time-range 时间段格式absolute start 小时:分钟 日 月 年 end 小时:分钟 日 月 年例如:time-range softerabsolute start 0:00 1 may 2005 end 12:00 1 june 2005意思是定义了一个时间段,名称为softer,并且设置了这个时间段的起始时间为2005年5月1日零点,结束时间为2005年6月1日中午12点。还可以定义工作日和周末,具体要使用periodic命令。将在下面的配置实例中详细介绍。基于时间的ACL配置常用命令R1(config)#time-range time /定义时间范围R1(

37、config-time-range)#periodic weekdays 8:00 to 18:00R1(config)#access-list 111 permit tcp host 172.16.3.1 host 2.2.2.2 eq telnet time-range time常用实验调试命令用“clock set”命令将系统时间调整到周一至周五的8:00-18:00范围内,然后在Telnet路由器R1,此时可以成功,然后查看访问控制列表111:R1#show access-listsExtended IP access list 111 10 permit tcp host 172.1

38、6.3.1 host 2.2.2.2 eq telnet time-range time (active)用“clock set”命令将系统时间调整到8:00-18:00范围之外,然后Telnet路由器R1,此时不可以成功,然后查看访问控制列表111:R1#show access-listsExtended IP access list 111 10 permit tcp host 172.16.3.1 host 2.2.2.2 eq telnet time-range time (inactive)show time-range:该命令用来查看定义的时间范围。R1#show time-ran

39、getime-range entry: time (inactive) periodic weekdays 8:00 to 18:00 used in: IP ACL entry以上输出表示在3条ACL中调用了该time-range。3.5 ACL的显示调试和删除访问控制列表的现实和调试都在特权模式下执行。使用“show access-lists ”可以显示路由器上设置的所有ACL条目;使用“show access-list acl number”则可以显示特定ACL号的ACL条目;使用“show time-range”命令可以用来查看定义的时间范围;使用“clear access-list

40、counters”命令可以将访问控制列表的计数器清零8。删除ACL的方法十分简单,只需在ACL表号前加“NO”就可以了,例如:R2(config)#no access-list 1 输入这个命令后,ACL表号为1和2的ACL内所有的条目都会被删除。标准和扩展的ACL只能删除整个ACL条目,不能删除个别条目。命名ACL与标准和扩展ACL不同,它可以删除个别的控制条目。例如:no permit tcp 10.0.0.0 0.0.255.255 host 10.1.2.21 eq 1521在“permit tcp 10.0.0.0 0.0.255.255 host 10.1.2.21 eq 1521

41、”前加“no”即可删除这条ACL语句条目,之后可以重新写入新的条目。4. 校园网ACL应用实例校园网建设的目标简而言之是将校园内各种不同应用的信息资源通过高性能的网络设备相互连接起来,形成校园园区内部的Intranet系统,对外通过路由设备接入广域网。包过滤技术和代理服务技术是当今最广泛采用的网络安全技术,也就是我们通常称的防火墙技术9。防火墙可以根据网络安全的规则设置允许经过授权的数据包进出内部网络,同时将非法数据包挡在防火墙内外,最大限度地阻止黑客攻击。包过滤技术以访问控制列表的形式出现,一个设计良好的校园网络访问控制列表不仅可以起到控制网络流量、流量的作用,还可以在不增加网络系统软、硬件

42、投资的情况下完成一般软、硬件防火墙产品的功能。针对校园网中各种网络攻击、网络病毒对教学和管理造成的一系列的影响,通过对校园网络拓扑结构的分析,在三层网络结构中的汇聚层设定相应的ACL策略,校园网络是典型的三层网络拓扑结构即接入层、汇聚层、核心层,接入层面对的是大量的学生PC、教师PC,通过划分VLAN来区分不同系别的学生,教师,同时能够减小广播域,保证网络安全等功能。通过设置基于MAC的ACL来完成对接入层网络的控制,避免由于任意接入网络对网络造成的潜在安全隐患。同时在接入层设备上设置限速ACL来限制迅雷等P2P软件的速度将网络流量控制在接入层从而保证网络出口的流畅,在汇聚层设置基于时间的AC

43、L主要保证教师PC的网络带宽而在夜间自动将带宽分给学生。在核心层出口配置扩展ACL来完成数据包过滤、在入口上实现禁止外网访问指定的内部网站等。在出口配置NAT来解决IP不足问题,同时能够很好的隐藏内网IP,来防止网络的攻击。下面通过模拟Cisco Packet Tracert 5.3模拟器模拟校园网环境,配置校园网路由器及三层交换机上的ACL,达到模拟校园网络数据控制的目的。通过模拟环境的实验,还可以模拟各种网络攻击,模拟特定目的端口数据包的发送,从而检验配置的ACL命令的可行性。4.1 搭建配置环境校园网拓扑图如图41所示图41校园网的VLAN及IP地址规划VLAN号VLAN名称IP网段默认

44、网关说明VLAN1-192.168.0.0/24192.168.0.1管理VLANVLAN 10JWC192.168.10.0/24192.168.10.1教务处VLANVLAN 20XSSS192.168.20.0/24192.168.20.1学生宿舍VLANVLAN 30CWC192.168.30.0/24192.168.30.1财务处VLANVLAN 40JGSS192.168.40.0/24192.168.40.1教工宿舍VLANVLAN 50ZWX192.168.50.0/24192.168.50.1中文系VLANVLAN 60WYX192.168.60.0/24192.168.60

45、.1外语系VLANVLAN 70JSJX192.168.70.0/24192.168.70.1计算机系VLANVLAN 100FWQQ192.168.100.0192.168.100.1服务器群VLAN表41具体的VLAN设置方法及网络联通设置在这里不在冗述,重点放在ACL的设置上。4.2 ACL在院系机构的应用(1) 首先是设置校园网内部三层交换机上的ACL。规定只有在财务处VLAN 30内的主机可以访问财务处VLAN 30,其他的教学单位部门可以互访;学生宿舍和教工宿舍VLAN可以互访,并且可以访问除了财务处和教务处外的其他教学单位。所有VLAN都可以访问服务器群VLAN。 财务处ACL设置Multilayer Switch1(config)#ip access-list extended CWCMultilayer Switch1(config-ext-nacl)#permit tcp 192.168.30.0 0.0.0.255 any 教工宿舍ACL设置与学生宿舍ACL设置同理在网络环境中还普遍存

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号