《ACL在校园中的应用 毕业论文 定稿.doc》由会员分享,可在线阅读,更多相关《ACL在校园中的应用 毕业论文 定稿.doc(28页珍藏版)》请在三一办公上搜索。
1、 编号 毕业论文题 目ACL在校园网中的应用学生姓名学 号系 部专 业班 级指导教师顾问教师二O一一年十月摘 要随着网络技术的飞速发展,校园网络的规模不断扩大,网络在为学校提供现代化教育技术和教育资源共享的平台, 为学生和老师之间提供更多的交流渠道, 丰富了校园文化, 但网络互联也导致了部门之间数据保密性降低,影响了部门安全, 因此, 校园网络建设需考虑部门之间的访问控制和网络设备的安全。如管理人员可登陆网络设备或访问其他部门并可自由访问互联网; 对学生或其他部门访问互联网的时间、内部相互访问的控制。因此,笔者提出采用访问控制列表(Access Control List,ACL)访问控制策略,
2、 以满足校园网络安全的要求。ACL(Access Control Lists访问控制列表)是应用于路由器和交换机接口的指令列表,用来控制端口进出的数据包。是CISCO IOS提供的访问技术,初期只近支持在路由器上使用,近期已扩展到三层,二层交换机。ACL就是一系列由源地址,目的地址,端口号等决定的允许和拒绝条件集合。通过匹配报文中的信息与访问控制列表参数可以过滤发进和发出的信息包的请求,实现对路由器和网络的安全控制。关键词: ACL 控制 策略 校园网 网络安全目 录摘 要I第一章论述11.1课题研究背景11.1.1研究背景11.1.2 课题研究的意义1第二章ACL原理概述22.1概述22.1
3、.1 ACL的基本原理22.1.2ACL的主要功能22.1.3ACL的分类32.1.4扩展ACL的命令格式32.1.5 ACL的匹配顺序62.1.6通配符72.1.7 ACL 3P原则72.1.8 正确放置ACL82.1.9 ACL 的特性9第三章 ACL的配置113.1. 配置标准ACL113.2 扩展ACL的配置113.3 扩展ACL的配置实例123.4 ACL配置原则12第四章ACL 在校园网中的应用144.1 论述144.2 ACL 在校园网中的应用144.3 ACL的设计16第五章 总结22致 谢23参考文献24第一章论述1.1课题研究背景1.1.1研究背景随着IP网络的飞速发展,网
4、络QOS(Qaulity of Service,服务质量)和网络安全越来越被ISP重视。对数据流实现较精确的识别和控制,成为服务质量提高的有一个基本要求。在通信设备中,如果能根据报文的封装信息的特征配置过滤规则,并对经过报文的封装信息进行识别,就可以较精确的识别出具有相同特征的一条或一组数据流。针对此规则在配置一个数据流量控制方案,网络设备就可以较精确的对某条流实行控制了。ACL(access Control List)就这样应运而生了。它实现了报文的过滤和控制功能。本文研究的内容就是:ACL怎样在校园网中发挥作用的。1.1.2 课题研究的意义研究ACL,可以限制网络流量、提高网络性能。例如,
5、ACL可以根据数据包的协议,指定数据包的优先级。 ACL提供对通信流量的控制手段。例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。 ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络,而拒绝主机B访问。 ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如,用户可以允许E-mail通信流量被路由,拒绝所有的Telnet通信流量。第二章ACL原理概述2.1概述TCP/IP 协议中数据包具有数据包由IP 报头、TCP/UDP 报头、数据组成,IP 报头中包含上层的协议端口号、源地址、目的地址,TCP/UDP 报头包含源端号、目的端
6、口,设备信息。ACL(访问控制列表)利用这些信息来定义规则,通过一组由多条deny(拒绝)和permit(允许)语句组成的条件列表,对数据包进行比较、分类,然后根据条件实施过滤。如果满足条件,则执行给定的操作;如果不满足条件,则不做任何操作继续测试下一条语句。2.1.1 ACL的基本原理 ACL使用包过滤技术,在路由器上读取第二层,第三层及第四层包头中的信息源地址,目的地址,源端口和目的端口等。根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。在网络中,ACL不但可以让网管员用来制定网络策略,对个别用户或特定数据流进行控制;也可以用来加强网络的安全屏蔽作用。从简单的Ping of De
7、ath攻击、TCP Syn攻击,到更多样化更复杂的黑客攻击,ACL都可以起到一定的屏蔽作用。如果从边缘、二层到三层交换机都具备支持标准ACL及扩展ACL的能力,网络设备就可以将安全屏蔽及策略执行能力延伸到网络的边缘。需要指出的是,与速率限制相同,网络设备不仅应该能够执行完整的ACL功能,包括进站和出站,同时也必须强调硬件的处理能力。这样,用户在启动ACL的同时,才不会影响到二层或三层交换设备线速转发数据包的能力。非法接入、报文窃取、IP地址欺骗、拒绝服务攻击等来自网络层和应用层的攻击常常会耗尽网络资源,让用户网管人员疲于应对。针对这些问题,二、三层的访问控制、防火墙技术、入侵检测、身份验证、数
8、据加密、防病毒都提供了有效的解决途径。而在保障网络边际安全方面,访问控制列表(Access Control List,ACL)可以说是最先与安全威胁最行交火的生力军。 ACL是对通过网络接口进入网络内部的数据包进行控制的机制,分为标准ACL和扩展ACL(Extended ACL)两种。标准ACL只对数据包的源地址进行检查,扩展ACL对数据包中的源地址、目的地址、协议以及端口号进行检查。作为一种应用在路由器接口的指令列表,ACL已经在一些核心路由交换机和边缘交换机上得到应用,从原来的网络层技术扩展为端口限速、端口过滤、端口绑定等二层技术,实现对网络的各层面的有效控制。2.1.2ACL的主要功能A
9、CL实现网络流量限制及提高网络性能;ACL提供对通信流量的控制手段;ACL提供网络安全访问的基本安全级别;ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。2.1.3ACL的分类图1-1ACL的处理过程一是标准ACL是基于源地址的数据包过滤,采用比较源地址的方法来允许/拒绝报文通过.当我们要想阻止来自某一网络的所有通信流量,或者充许来自某一特定网络的所有通信流量,或者想要拒绝某一协议簇的所有通信流量时。可以使用标准ACL来实现这一目标,检查路由的数据包的源地址,从而允许或拒绝基于网络或子网或主机的IP地址的所有通信流量通过路由器的出口。标准ACL的格式:ACCESS-LIST ac
10、cess-list-number DENY/PERMITsource address source wildcard /ANY其中access-list-number是标准的IP ACL号码,范围在1-99.ACL号相同的所有的ACL可以形成一个组DENY/PERMIT指出该访问控制列表是允许还是拒绝数据包,最后可以选择主机体部分。二是扩展ACL是基于目标地址,源地址和网络协议及其端口的数据包过滤,采用比较源和目的地址,源和目的端口,协议的方法来允许/拒绝报文通过。扩展ACL既检查数据包的源地址,也检查数据包的目的地址,还检查数据包的特定协议类型,端口号等,更具有灵活性和可扩充性。即可以对同一
11、地址允许使用某些协议通信流量通过,而拒绝使用其他协议的流量通过。2.1.4扩展ACL的命令格式ACCESS-LIST access-list-number DENY/PERMITProtocolsource address source wildcard source portdestination address destination wildcard destination port其中ACCESS-LIST是扩展acl 的号码,范围在100-199或2000-2699(扩展的范围) DENY/PERMIT指出该访问控制列表是允许还是拒绝数据包. Protocol关键字指明要过滤使用什么
12、协议的数据包,如TCP UDP ICMP IP等等。source address source wildcard是源地址和通配符,source port是源端口,destination address destinationwildcard是目的地址和通配符,destination port是目的端口。和标准IP访问控制列表一样, 定义好扩展IP 访问控制列表语句后,也要将IP访问控制列表应用到具体接口上。而基于时间的ACL先定义一个时间范围,然后在原来的各种访问表的基础上应用它, 在原来的标准IP和扩展IP中加入有效的时间范围来更合理有效的控制网络。基于时间的ACL的命令格式:Time ra
13、ng time rang- name absolutestar time date end time date periodic days of the week hh:mm to days of the week hh:mmTime rang用来定义时间范围的命令:time rang- name时间范围名称,用来标识时间范围,便于在后面的访问列表中引用。absolute用来指定绝对时间范围,后面紧跟star和end两个关键字,star和end后面的时间以24小时制hh:mm(小时,分钟)表示,日期按照日/月/年来表示。periodic主要是以星期为参数来定义时间范围的一个命令。一个时间范围只
14、能有一个absolute语句,但是可以有几个periodic语句。自反访问控制列表:这些访问控制列表依据上层会话信息过滤IP包,并且它们统称允许出口流量通过,而对入口流量进行限制。你无法使用编号的或是标准的IP访问列表或是任何其他协议的访问控制列表来定义自反访问控制列表。自反访问控制列表可随同其他标准或是静态的扩展访问列表一起使用,但是它们只能用扩展的命名IP访问控制列表定义。图1-2ACL的工作原理下面以应用在外出接口方向的ACL为例说明ACL的工作流程:首先数据包进入路由器的接口,根据目的地址查找路由表,找到转发接口(如果路由表中没有相应的路由条目,路由器会直接丢弃此数据包,并给源主机发送
15、目的不可达消息)。确定外出接口后需要检查是否在外出接口上配置了ACL,如果没有配置ACL,路由器将做与外出接口数据链路层协议相同的2层封装,并转发数据。如果在外出接口上配置了ACL,则要根据ACL制定的原则对数据包进行判断,如果匹配了某一条ACL的判断语句并且这条语句的关键字果是permit,转发数据包。如果在外出接口上配置了ACL,则要根据ACL制定的原则对数据包进行判断,如果匹配了某一条ACL的判断语句并且这条语句的关键字果是permit,转发数据包。2.1.5 ACL的匹配顺序图2-1ACL的匹配顺序ACL的规则总结:按照由上到下的顺序执行,找到第一个匹配后既执行相应的操作(然后跳出AC
16、L)每条ACL的末尾隐含一条deny any 的规则,ACL可应用于某个具体的IP接口的出方向或入方向,ACL可应用于系统的某种特定的服务(如针对设备的TELNET);在引用ACL之前,要首先创建好ACL,对于一个协议,一个接口的一个方向上同一时间内只能设置一个ACL。ACL配置步骤1: 设置判断标准语句(一个ACL可由多个语句组成)Router(config)# access-list access-list-number permit/deny (test condition)2: 将ACL应用到接口上 In router(config-if)# access-list access-li
17、st-numberin/out 在全局配置模式下使用语句access-list access-list-number permit | deny test conditions 配置ACL,其中: access-list-number 是ACL编号,如果使用同一个是ACL编号配置不同的语句,这些语句属于同一个ACL permit | deny 是关键字,必选项 test conditions 为匹配条件。在接口配置模式下使用语句ip access-group access-list-number in | out 将配置好的ACL应用在接口上,其中:access-list-number是ACL
18、编号,用以引用一个已经配置好的ACLin | out必选项,指定ACL应用在接口的哪个方向0 代表对应位必须与前面的地址相应位一致(匹配)1 代表对应位可以是任意值(忽略)2.1.6通配符通配符和访问列表一起用来指定一台主机、一个网络、一个网络或几个网络内的某个范围。通配符和主机或网络地址一起使用来告诉路由器要过滤的有效地址范围。要指定一台主机,地址应当如下:172.16.30.5 0.0.0.0 4个零代表每个八位位组地址。无论何时出现零,都意味着地址中的八位位组必须精确匹配。使用255,可指定一个八位位组可以是任何值。ACL:Acess Control List,即访问控制列表。这张表中包
19、含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。信息点间通信,内外网络的通信都是企业网络中必不可少的业务需求,但是为了保证内网的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的。简而言之,ACL可以过滤网络中的流量,控制访问的一种网络技术手段。2.1.7 ACL 3P原则记住 3P 原则,您便记住了在路由器上应用 ACL 的一般规则。您可以为每种协议 (per protocol)、每个方向 (per direction)、每个接口 (per interface) 配置一个 ACL: 每种协议一个 ACL 要控制接口上
20、的流量,必须为接口上启用的每种协议定义相应的 ACL。 每个方向一个 ACL 一个 ACL 只能控制接口上一个方向的流量。要控制入站流量和出站流量,必须分别定义两个 ACL。 每个接口一个 ACL 一个 ACL 只能控制一个接口(例如快速以太网 0/0)上的流量。 ACL 的编写可能相当复杂而且极具挑战性。每个接口上都可以针对多种协议和各个方向进行定义。示例中的路由器有两个接口配置了 IP、AppleTalk 和 IPX。该路由器可能需要 12 个不同的 ACL 协议数 (3) 乘以方向数 (2),再乘以端口数 (2)。2.1.8 正确放置ACLACL通过过滤数据包并且丢弃不希望抵达目的地的数
21、据包来控制通信流量。然而,网络能否有效地减少不必要的通信流量,这还要取决于网络管理员把ACL放置在哪个地方。 假设在的一个运行TCP/IP协议的网络环境中,网络只想拒绝从RouterA的T0接口连接的网络到RouterD的E1接口连接的网络的访问,即禁止从网络1到网络2的访问。 根据减少不必要通信流量的通行准则,网管员应该尽可能地把ACL放置在靠近被拒绝的通信流量的来源处,即RouterA上。如果网管员使用标准ACL来进行网络流量限制,因为标准ACL只能检查源IP地址,所以实际执行情况为:凡是检查到源IP地址和网络1匹配的数据包将会被丢掉,即网络1到网络2、网络3和网络4的访问都将被禁止。由此
22、可见,这个ACL控制方法不能达到网管员的目的。同理,将ACL放在RouterB和RouterC上也存在同样的问题。只有将ACL放在连接目标网络的RouterD上(E0接口),网络才能准确实现网管员的目标。由此可以得出一个结论: 标准ACL要尽量靠近目的端。 网管员如果使用扩展ACL来进行上述控制,则完全可以把ACL放在RouterA上,因为扩展ACL能控制源地址(网络1),也能控制目的地址(网络2),这样从网络1到网络2访问的数据包在RouterA上就被丢弃,不会传到RouterB、RouterC和RouterD上,从而减少不必要的网络流量。因此,我们可以得出另一个结论:扩展ACL要尽量靠近源
23、端。ACL的主要的命令命令描述access-list 定义访问控制列表参数ip access-group 指派一个访问控制列表到一个接口ip access-list extended 定义一个扩展访问控制列表Remark 注释一个访问控制列表show ip access-list 显示已配置的访问控制列表。基本原理:ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。 功能:网络中的节点资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的
24、主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。配置ACL的基本原则:在实施ACL的过程中,应当遵循如下两个基本原则:最小特权原则:只给受控对象完成任务所必须的最小的权限,最靠近受控对象原则:所有的网络层访问权限控制。局限性:由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到end to end的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。2.1.9 ACL 的特性1)每条ACL 应当至少
25、包含一条允许语句,否则将拒绝所有流量。2)ACL 被创建后并不是马上生效,只有在被应用到接口时才会过滤流量。3)ACL 只过滤通过设备的流量,而不过滤本设备所产生的流量。4)将标准ACL 尽可能放置在靠近目的地址的位置,将扩展ACL 尽可能放置在靠近在源地址的位置,以避免不必要的流量占用网络带宽。5)避免在核心层设备上大量使用ACL,这将大量占用设备的处理能力。ACL 常见问题:1) “ACL 的最后一条语句都是隐式拒绝语句” 是什么意思? 每个 ACL 的末尾都会自动插入一条隐含的 deny 语句,虽然ACL中看不到这条语句,它仍起作用。隐含的 deny 语句会阻止所有流量,以防不受欢迎的流
26、量意外进入网络。 2) 配置ACL后为什么没有生效?在创建访问控制列表之后,必须将其应用到某个接口才可开始生效。ACL 控制的对象是进出接口的流量。访问控制列表指南:1.通常,按顺序比较访问列表的每一行,如从第一行开始,然后转到第二行、第三行等等;2.比较访问列表的各行,直到找到匹配的一行。一旦数据包域访问列表的某一行匹配,遵照规定行事,不再进行后续比较;3.在每个访问列表的最后是一行隐含“deny(拒绝)”语句意味着如果数据包与前面的所有行都不匹配,将被丢弃;4.每个接口、每个协议或每个方向只可以分派一个访问列表。这意味着如果创建了IP访问列表,每个接口只能有一个入口访问列表和一个出口访问列
27、表;5.组织好访问列表,要将最特殊的测试放在访问列表的最前面;6.任何时候访问列表添加新条目时,将把新条目放置到列表的末尾(强烈推荐使用文本编辑器编辑访问列表);7.不能从访问列表中删除一行。如果试着这样做,将删除整个列表。最好在编辑列表之前将访问列表复制到一个文本编辑器中。只有使用命名访问列表时例外;8.除非在访问列表末尾有permit any命令,否则所有和列表的测试条件都不符合的数据包将被丢弃。每个列表应当至少有一个允许语句,否则将会拒绝所有流量;9.先创建访问列表,然后将列表应用到一个接口。任何应用到一个接口的访问列表如果不是现成的访问列表,那么此列表不会过滤流量;10.访问列表设计为
28、过滤通过路由器的流量,但不过滤路由器自身产生的流量;11.将IP标准的访问列表尽可能的放置在靠近目的地址的位置。这是因为我们并不真的要在自己的网络内使用标准的访问列表。不能将标准的访问列表放置在靠近源主机或源网络的位置,因为这样会只过滤基于源地址的流量,而造成不能转发任何流量;12.将IP扩展的访问列表尽可能放置在靠近源地址的位置。既然扩展的访问列表可以过滤每个特定的地址和协议,那么你不希望你的流量穿过整个网络后再被拒绝。通过将这样的列表放置在尽量靠近源地址的位置,可以在它使用宝贵的带宽之前过滤掉此流量。第三章 ACL的配置3.1. 配置标准ACLZXR10(Config)#access-li
29、st access-list-number permit/denysourceMask缺省通配符为 0.0.0.0IP 标准ACL使用列表号 1 至 99“no access-list access-list-number” 删除整个ACLZXR10(Config-if)#Ip access-group access-list-number in/out在接口上应用ACL设置进入或外出方向“no ip access-group access-list-number” 去掉接口上的ACL设置access-list 1 deny 172.16.4.13 0.0.0.0 access-list 1
30、permit any(access-list 1 deny 0.0.0.0 255.255.255.255)隐含拒绝全部interface fei_1/2ip access-group 1 out拒绝特定主机172.16.4.13对172.16.3.0网段的访问(见图2-2)图2-2标准,扩展ACL配置图3.2 扩展ACL的配置ZXR(config)#access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard
31、 operator port established 应用到接口:ZXR10(config)# ip access-group access-list-number in | out 使用命令access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established 其中access-list-number 为ACL列表号,号码范围为100-199, permit | de
32、ny 为关键字,必选项:Protocol为协议类型,包括:协议类型-协议类型包括Ip 、Udp、Tcp、Icmp、source source-wildcard为源地址及源地址掩码,operator port传输层的源端口号,destination destination-wildcard为目的地址及目的地址掩码 operator port 传输层的目的端口号, established 只有当协议类型为TCP时可用,其含义为允许从源到目的建立TCP连接并传输数据而不允许其他连接的建立。在接口配置模式下使用命令Router(config-if)# ip access-group access-li
33、st-number in | out 将ACL应用到接口上。3.3 扩展ACL的配置实例access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20access-list 101 permit ip any anyinterface fei_2/1ip access-group 101 out拒绝从子网 172.16.4.0 到子网 172.16.3.0 通过fei_
34、2/1口出去的FTP访问 允许其他所有流量。(图见图四)3.4 ACL配置原则(1)ACL的列表号指出了是哪种协议的ACL。各种协议有自己的ACL,而每个协议的ACL又分为标准ACL和扩展ACL。这些ACL是通过ACL列表号区别的。如果在使用一种访问ACL时用错了列表号,那么就会出错误。 (2)一个ACL的配置是每协议、每接口、每方向的。路由器的一个接口上每一种协议可以配置进方向和出方向两个ACL。也就是说,如果路由器上启用了IP和IPX两种协议栈,那么路由器的一个接口上可以配置IP、IPX两种协议,每种协议进出两个方向,共四个ACL。 (3)ACL的语句顺序决定了对数据包的控制顺序。在ACL
35、中各描述语句的放置顺序是很重要的。当路由器决定某一数据包是被转发还是被阻塞时,会按照各项描述语句在ACL中的顺序,根据各描述语句的判断条件,对数据报进行检查,一旦找到了某一匹配条件就结束比较过程,不再检查以后的其他条件判断语句。 (4)最有限制性的语句应该放在ACL语句的首行。把最有限制性的语句放在ACL语句的首行或者语句中靠近前面的位置上,把“全部允许”或者“全部拒绝”这样的语句放在末行或接近末行,可以防止出现诸如本该拒绝(放过)的数据包被放过(拒绝)的情况。 (5)新的表项只能被添加到ACL的末尾,这意味着不可能改变已有访问控制列表的功能。如果必须改变,只有先删除已存在的ACL,然后创建一
36、个新ACL,将新ACL应用到相应的接口上。 (6)在将ACL应用到接口之前,一定要先建立ACL。首先在全局模式下建立ACL,然后把它应用在接口的出方向或进方向上。在接口上应用一个不存在的ACL是不可能的。 (7)ACL语句不能被逐条的删除,只能一次性删除整个ACL。(8)在ACL的最后,有一条隐含的“全部拒绝”的命令,所以在 ACL里一定至少有一条“允许”的语句。(9)ACL只能过滤穿过路由器的数据流量,不能过滤由本路由器上发出的数据包。 (10)在路由器选择进行以前,应用在接口进入方向的ACL起作用。(11)在路由器选择决定以后,应用在接口离开方向的ACL起作用。ACL会议(Annual M
37、eeting of the Association for Computational Linguistics) ACL会议是自然语言处理与计算语言学领域最高级别的学术会议,由计算语言学协会主办,每年一届。涉及对话(Dialogue)篇章(Discourse)评测( Eval)信息抽取( IE) 信息检索( IR) 语言生成(LanguageGen) 语言资源(LanguageRes) 机器翻译(MT) 多模态(Multimodal) 音韵学/ 形态学( Phon/ Morph) 自动问答(QA) 语义(Semantics) 情感(Sentiment) 语音(Speech) 统计机器学习(St
38、at ML) 文摘(Summarisation) 句法(Syntax) 等多个方面。第四章ACL 在校园网中的应用4.1 论述在校园网络中, 我们要使校园网络的有限带宽得到充分的利用, 并且保障校园网络设备不被非法登陆。可以把ACL 技术和交换机的VLAN 技术相结合来保障校园网络的服务质量和网络的安全。VLAN 技术是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术, 将不同部门划分在不同的VLAN 里,VLAN是传统的以太网安全技术, 它通过分割多个广播域,可以控制用户访问权限和逻辑网段大小, 将不同用户群划分在不同VLAN, 从而提高交换式网络的整体性能
39、和安全性。一个VLAN 组成一个逻辑子网, 即一个逻辑广播域,它可以覆盖多个网络设备, 允许处于不同地理位置的网络用户加入到一个逻辑子网中。4.2 ACL 在校园网中的应用a过滤病毒计算机病毒能够破坏网络设备、破坏计算机系统软件和文件系统,木马程序会导致信息泄漏,蠕虫类病毒则会导致网络运行效率下降甚至瘫痪。所以说影响校园网络安全的主要因素是病毒,除了应该配置防火墙和对计算机安装杀毒软件外,我们还可以通过配置ACL 列表来关闭一些常见病毒程序端口,达到保护网络安全的目的。例如针对冲击波病毒,我们知道冲击波病毒常用的端口:69、135,138、445、593、4444 等,所以在路由器上建立ACL
40、, 封锁病毒传播、扫描、攻击所利用的端口,禁止与这些目的端口匹配的数据包通过路由器,把病毒阻止在设备之外。具体配置如下:Router(config)#access-list 120 deny tcp any any eq 135Router(config)#access-list 120 deny tcp any any eq 138Router(config)#access-list 120 deny tcp any any eq 139Router(config)#access-list 120 deny tcp any any eq 445Router(config)#access-li
41、st 120 deny tcp any any eq 593Router(config)#access-list 120 deny tcp any any eq 4444Router(config)#access-list 120 deny udp any any eq 69Router(config)#access-list 120 deny udp any any eq 135Router(config)#access-list 120 deny udp any any eq 445Router(config)#access-list 120 permit ip any anyb对服务器进
42、行控制服务器是校园网的重要设施,是与外界沟通的桥梁,比如主页服务器,是宣传学校的窗口,同时也是恶意攻击的首选目标,特别是来自校园内部,学生是Internet 环境中比较活跃的群体, 他们求知欲强, 好奇心更强, 喜欢在网上进行一些尝试,有的没什么目的,只是为了满足一时的好奇心和表现欲,所以我们除了在服务器本身做好安全措施外,还可以在路由器或交换机上建立ACL,只放开与服务器对应的一些端口,其余都关闭,例如WWW 服务器只开放80 端口、DNS 服务器只开放53 端口、Email 服务器开放80、25、110 端口,这样一些数据包在没到达服务器之前,已经被路由器或交换机过滤掉。具体配置如下:Ro
43、uter(config)#access-list 120 permit tcp any host 172.16.1.1 eq wwwRouter(config)#access-list 120 permit tcp any host 172.16.1.2 eq domainRouter(config)#access-list 120 permit tcp any host 172.16.1.3 eq wwwRouter(config)#access-list 120 permit tcp any host 172.16.1.3 eq smtpRouter(config)#access-list
44、 120 permit tcp any host 172.16.1.3 eq pop3Router(config)#access-list 120 permit ip any any/172.16.1.1 为WWW 服务器,172.16.1.2 为DNS 服务器, 172.16.1.3 为Email 服务器。c流量控制校园网用户利用BT 等工具下载电影,占用了大量的网络带宽,影响了校园网的正常使用。BT 是一种P2P 的应用。客户端本身就是一个服务器,可以采取一定的措施,限制校园外的用户对校园网内的BT 用户发起主动连接, 从而限制出流量, 进而达到限制双向BT 流量的目的。具体配置如下:Ro
45、uter(config)#access-list 120 permit tcp any any gt 1023 establishedRouter(config)#access-list 120 permit tcp any any以上控制列表的含义: 只允许校园网内的主机主动与校园网外的主机建立TCP 连接进行下载, 不允许校园网外的主机对校园内的主机主动发起连接。d限定上网的时间上网时间的控制学生的自觉性与自我约束的能力比较差,经常上网忘了时间,使生活变得毫无规律,严重影响了正常的学习,为了防止学生熬夜上网,可以利用ACL 限定上网的时间,比如限定在一学期的周一至周五晚24:00早8:00
46、 不能访问外网,周末和放假期间可以放开,具体配置如下:Router(config)#timerange limitRouter(config)#absolute start 0:00 1 September 2010 end 24:00 31 December 2010 periodic weekday 24:00 to 8:00Router(config)#accesslist 120 deny ip 172.16.1.0 0.0.0.255 any limit/172.16.1.0 0.0.0.255 为学生宿舍所在网段。Router(config)#access-list 120 per
47、mit ip any any以上我们就限定从2010 年9 月1 日到12 月31 日,每周一到周五的晚24 点到早8 点学生不能访问外网。同样我们也可以限制机房和教职工的上网时间,例如可以限制学生在机房上课的时候使用QQ、MSN 等聊天软件,都可以使用时间控制的ACL 达到目的。4.3 ACL的设计在校园网中,有多个实验室,为了工作方便、增强工作效率,各实验室必须能相互通信。但不允许学生之间相互通信。我们该怎样做呢?使用ACL技术。本文讲述如何使用NAT + VLAN +ACL管理校园网络。如下是设计环境:设计环境介绍:校园网中只有一个公网地址,172.16.1.1/24校园中共有三个实验室:实验室一,实验室二,实验室三。PC1 PC3 PC5 分别为三个实验室的老师用。PC1 的ip地址为192.168.1.2/24PC2 的ip地址
