毕业论文：基于ACL校园网络安全实现

1

　1. ACL 的发展和应用 1.1 ACL 发展 ACL（Access Control List）的全称是控制访问列表，控制访问起源于 20 世纪 60年代，是一种重要的信息安全技术。所谓访问控制，就是通过某种途径显示地准许或限制访问能力及范围，从而限制对关键资源的访问，防止非法用户入侵或者合法用户的不慎操作造成破坏。网络中常说的 ACL 是 CISCO IOS 所提供的一种访问控制技术，初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机如 2950 之类也开始开始提供 ACL 的支持。只不过支持的特性不是那么完善而已。在其他厂商的路由器或多层交换机上也提供类似的技术，不过名称和配置方法都可能有细微的差别。CISCO 路由器中有两种常用的控制访问列表，一种是标准访问列表，另一种是扩展访问列表。标准 ACL 可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如 IP）的所有通信流量。扩展 ACL 比标准 ACL提供了更广泛的控制范围。例如，网络管理员如果希望做到“允许外来的 Web 通信流量通过，拒绝外来的 FTP 和 Telnet 等通信流量”，那么，他可以使用扩展 ACL 来达到目的，标准 ACL 不能控制这么精确。在标准与扩展访问控制列表中均要使用表号，而在命名访问控制列表中使用一个字母或数字组合的字符串来代替前面所使用的数字。使用命名访问控制列表可以用来删除某一条特定的控制条目，这样可以让我们在使用过程中方便地进行修改。

　在使用命名访问控制列表时，要求路由器的 IOS 在 11.2 以上的版本，并且不能以同一名字命名多个 ACL，不同类型的 ACL 也不能使用相同的名字。

　随着网络的发展和用户要求的变化，从 IOS 12.0 开始，思科（CISCO）路由器新增加了一种基于时间的访问列表。通过它，可以根据一天中的不同时间，或者根据一星期中的不同日期，或二者相结合来控制网络数据包的转发。这种基于时间的访问列表，就是在原来的标准访问列表和扩展访问列表中，加入有效的时间范围来更合理有效地控制网络。首先定义一个时间范围，然后在原来的各种访问列表的基础上应用它。

　1.2 ACL 的应用 ACL（Access Control List，访问控制列表）是用来实现流识别功能的。网络设备为了过滤报文，需要配置一系列的匹配条件对报文进行分类，这些条件可以是报文的源地址、目的地址、端口号等。通过在路由器以及交换机上配置相关规则即可实现对数据包的过滤，而不需要添加额外的防火墙等过滤设备既能够实现对数据包的过滤。由于实现方式简单，效果明显，并且成本低廉，适合校园网、小型企业等节约网络成本的网络2 中用于数据包的控制[1] 。同时其他网络技术结合 ACL 配置也能够实现相应的功能，例如NAT、IPSEC、路由策略、QOS 等，由此可见 ACL 的重要性。

　2. ACL 的概述 2.1 ACL 的定义 访问控制列表（Access Control List，ACL）

　是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL 适用于所有的被路由协议，如 IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。

　2.2 ACL 的作用 访问控制列表（Access Control List, ACL）是管理者加入的一系列控制数据包在路由器中输入、输出的规则。

　ACL 可以限制网络流量、提高网络性能。ACL 可以根据数据包的协议，指定数据包的优先级。

　ACL 可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。

　ACL 是提供网络安全访问的基本手段，ACL 允许主机 A 访问网络，而拒绝主机 B 访问。

　ACL 适用于所有的被路由协议，如 IP、IPX、AppleTalk 等。

　ACL 是路由器接口的指令列表，用来控制端口进出的数据包，ACL 可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许 E-mail 通信流量被路由，拒绝所有的 Telnet 通信流量。

　2.3 ACL 基本原理 网络中的节点资源节点和用户节点两大类，其中资源节点提供服务或数据，用户节点访问资源节点所提供的服务与数据。ACL 的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。

　ACL 中规定了两种操作，所有的应用都是围绕这两种操作来完成的：允许、拒绝

　ACL 是 CISCO IOS 中的一段程序，对于管理员输入的指令，有其自己的执行顺序，它执行指令的顺序是从上至下，一行行的执行，寻找匹配，一旦匹配则停止继续查找，如果到末尾还未找到匹配项，则执行一段隐含代码——丢弃 DENY.所以在写 ACL 时，一定要注意先后顺序。

　 可以发现，在 ACL 的配置中的一个规律：越精确的表项越靠前，而越笼统的表项越靠后放置。

　3 当入站数据包进入路由器内时，路由器首先判断数据包是否从可路由的源地址而来，否的话放入数据包垃圾桶中，是的话进入下一步；路由器判断是否能在路由选择表内找到入口，不能找到的话放入数据垃圾桶中，能找到的话进入下一步。接下来选择路由器接口，进入接口后使用 ACL。

　ACL 使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的[2] 。其中标准控制列表只读取数据包中的源地址信息，而扩展访问控制列表则还会读取数据包中的目的地址、源端口、目的端口和协议类型等信息。ACL 判断数据包是否符合所定义的规则，符合要求的数据包允许其到达目的地址进入网络内部，不符合规则的则丢弃，同时通知数据包发送端，数据包未能成功通过路由器。通过 ACL，可以简单的将不符合规则要求的危险数据包拒之门外，使其不能进入内部网络。具体过程如下图所示:

　图 2–1 2.4 ACL 的工作过程 无论在路由器上有无 ACL，接到数据包的处理方法都是一样的：当数据进入某个入站口时，路由器首先对其进行检查，看其是否可路由，如果不可路由那么就丢弃，反之通过查路由选择表发现该路由的详细信息——包括 AD，METRIC……及对应的出接口。这时，我们假定该数据是可路由的，并且已经顺利完成了第一步，找出了要将其送出站的接口，此时路由器检查该出站口有没有被编入 ACL，如果没有 ACL 的话，则直接从该口送出。如果该接口编入了 ACL，那么就比较麻烦[3] 。第一种情况——路由器将按照从上到下的顺序依次把该数据和 ACL 进行匹配，从上往下，逐条执行，当发现其中某条 ACL匹配，则根据该 ACL 指定的操作对数据进行相应处理（允许或拒绝），并停止继续查询4 匹配；当查到 ACL 的最末尾，依然未找到匹配，则调用 ACL 最末尾的一条隐含语句 deny any 来将该数据包丢弃。

　2.5 ACL 的分类 目前有两种主要的 ACL：标准 ACL 和扩展 ACL。标准 ACL 只检查数据包的源地址；扩展 ACL 既检查数据包的源地址，也检查数据包的目的地址，同时还可以检查数据包的特定协议类型、端口号等。

　这两种 ACL 的区别是，标准 ACL 只检查数据包的源地址；扩展 ACL 既检查数据包的源地址，也检查数据包的目的地址，同时还可以检查数据包的特定协议类型、端口号等。

　网络管理员可以使用标准 ACL 阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如 IP）的所有通信流量。

　扩展 ACL 比标准 ACL 提供了更广泛的控制范围。例如，网络管理员如果希望做到“允许外来的 Web 通信流量通过，拒绝外来的 FTP 和 Telnet 等通信流量”，那么，他可以使用扩展 ACL 来达到目的，标准 ACL 不能控制这么精确。

　在路由器配置中，标准 ACL 和扩展 ACL 的区别是由 ACL 的表号来体现的，上表指出了每种协议所允许的合法表号的取值范围。

　IP 标准访问控制列表编号：1～99 或 1300～1999 IP 扩展访问控制列表编号：100～199 或 2000～2699 标准访问控制列表和扩展访问控制列表的对比如下图所示。

　图 2–2 标准 ACL 与扩展 ACL 对比 2.6 ACL 的局限性 由于 ACL 是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等[4] 。因此，要达到 end to end 的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。

　5 2.7 ACL 的匹配顺序 ACL 的执行顺序是从上往下执行，Cisco IOS 按照各描述语句在 ACL 中的顺序，根据各描述语句的判断条件，对数据包进行检查。一旦找到了某一匹配条件，就结束比较过程，不再检查以后的其他条件判断语句。

　在写 ACL 时，一定要遵循最为精确匹配的 ACL 语句一定要卸载最前面的原则，只有这样才能保证不会出现无用的 ACL 语句

　图 2–3 ACL 匹配顺序 2.8 通配符掩码 通配符掩码是一个 32 位的数字字符串，0 表示“检查相应的位”，1 表示“不检查（忽略）相应的位”。

　IP 地址掩码的作用：区分网络为和主机位，使用的是与运算。0 和任何数相乘都得0，1 和任何数相乘都得任何数。

　通配符掩码：把需要准确匹配的位设为 0，其他位为 1，进行或运算。1 或任何数都得 1，0 或任何数都得任何数。

　特殊的通配符掩码：

　1.Any 0.0.0.0 255.255.255.255 2.Host 172.16.30.28 0.0.0.0 Host 172.16.30.28 6 2.9 正确放置 ACL

　ACL 通过制定的规则过滤数据包，并且丢弃不希望抵达目的地址的不安全数据包来达到控制通信流量的目的[5] 。但是网络能否有效地减少不必要的通信流量，同时达到保护内部网络的目的，将 ACL 放置在哪个位置也十分关键。

　假设存在着一个简单的运行在 TCP/IP 协议的网络环境，分成 4 个网络，设置一个ACL 拒绝从网络 1 到网络 4 的访问。根据减少不必要通信流量的准则，应该把 ACL 放置于被拒绝的网络，即网络 1 处，在本例中是图中的路由器 A 上。但如果按这个准则设置ACL 后会发现，不仅是网络 1 与网络 4 不能连通，网络 1 与网络 2 和 3 也都不能连通。回忆标准 ACL 的特性就能知道，标准 ACL 只检查数据包的中的源地址部分，在本例子中，凡是发现源地址为网络 1 网段的数据包都会被丢弃，造成了网络 1 不能与其他网络联通的现象。由此可知，根据这个准则放置的 ACL 不能达到目的，只有将 ACL 放置在目的网络，在本例子中即是网络 4 中的路由器 D 上，才能达到禁止网络 1 访问网络 4 的目的。由此可以得出一个结论，标准访问控制列表应尽量放置在靠近目的端口的位置。

　在本例子中，如果使用扩展 ACL 来达到同样的要求，则完全可以把 ACL 放置在网络1 的路由器 A 上。这是因为扩展访问控制列表不仅检查数据包中的源地址，还会检查数据包中的目的地址、源端口、目的端口等参数。放置在路由器 A 中的访问控制列表只要检查出数据包的目的地址是指向网络 4 的网段，则会丢弃这个数据包，而检查出数据包的目的地址是指向网络 2 和 3 的网段，则会让这个数据包通过。既满足了减少网络通信流量的要求，又达到了阻挡某些网络访问的目的。由此，可以得出一个结论，扩展访问控制列表应尽量放置在靠近源端口的位置。

　图 2–4 正确设置 ACL 编辑原则：标准 ACL 要尽量靠近目的端，扩展 ACL 要尽量靠近源端。

　3. ACL 的各种应用配置 3.1 标准 ACL 的配置 标准 ACL 命令的详细语法 创建 ACL 定义 例如：Router(config)#access-list 1 permit 10.0.0.0 0.255.255.255 将配置应用于接口：

　例如：Router(config-if)#ip access-group 1 out 7 下面更详细的介绍扩展 ACL 的各个参数：

　以下是标准访问列表的常用配置命令。

　跳过简单的路由器和 PC 的 IP 地址设置 配置路由器上的标准访问控制列表 R1(config)#access-list 1 deny 172.16.1.0 0.0.0.255 R1(config)#access-list 1 permit any R1(config)#access-list 2 permit 172.16.3.1 0.0.0.255 常用实验调试命令 在 PC1 网络所在的主机上 ping 2.2.2.2，应该通，在 PC2 网络所在的主机上 ping 2.2.2.2,应该不通，在主机 PC3 上 Telnet 2.2.2.2,应该成功。

　……

　 Outgoing access list is not set

　 Inbound

　access list is 1 …… 以上输出表明在接口 S2/0 的入方向应用了访问控制列表 1。

　3.2 扩展 ACL 的配置 扩展 ACL 命令的详细语法 创建 ACL 定义 例如：accell-list101 permit host 10.1.6.6 any eq telnet 应用于接口 例如：Router(config-if)#ip access-group 101 out Router(config)# access-list access-list-number

　{ permit | deny } protocol source source-wildcard [operator port] destination destination-wildcard [ operator port ]

　[ established ] [log] 表格 1 扩展 ACL 参数描述

　参数 参数描述 access-list-number 访问控制列表表号 permit|deny 如果满足条件，允许或拒绝后面指定特定地址的通信流量 protocol 用来指定协议类型，如 IP、TCP、UDP、ICMP 等 Source and destination 分别用来标识源地址和目的地址 source-mask 通配符掩码，跟源地址相对应 destination-mask 通配符掩码，跟目的地址相对应 operator

　lt,gt,eq,neq(小于，大于，等于，不等于)

　operand 一个端口号 established 如果数据包使用一个已建立连接，便可允许 TCP 信息通过 表格 2 常见端口号 端口号(Port Number )

　 20 文件传输协议（FTP）数据 8 21 文件传输协议（FTP）程序 23 远程登录（Telnet）

　25 简单邮件传输协议（SMTP）

　69 普通文件传送协议（TFTP）

　80 超文本传输协议(HTTP) 53 域名服务系统（DNS）

　相比基本访问控制列表，扩展访问控制列表更加复杂，不仅需要读取数据包的源地址，还有目的地址、源端口和目的端口。

　图 3–1 扩展访问控制列表的常见配置命令。

　(1) 配置路由器 (config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq www (2) 常用调试命令 分别在访问路由器的 Telnet 和 WWW 服务，然后查看访问控制列表 100：

　R1#show ip access-lists 100 Extended IP access list 100 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq www

　……

　3.3 命名 ACL 命名 ACL 是 IOS11.2 以后支持的新特性。命名 ACL 允许在标准 ACL 和扩展 ACL 中使用字符串代替前面所使用的数字来表示 ACL，命名 ACL 还可以被用来从某一特定的 ACL中删除个别的控制条目，这样可以让网络管理员方便地修改 ACL[6] 。它提供的两个主要优点是：

　解决 ACL 的号码不足问题； 可以自由的删除 ACL 中的一条语句，而不必删除整个 ACL。

　9 命名 ACL 的主要不足之处在于无法实现在任意位置加入新的 ACL 条目。

　语法为：

　Router(config)# ip access-list { standard | extended } name 名字字符串要唯一 Router(config {std- | ext-}nacl)# { permit | deny } { ip access list test conditions } { permit | deny } { ip access list test conditions }

　no { permit | deny } { ip access list test conditions }

　允许或拒绝陈述前没有表号 可以用“NO”命令去除特定的陈述 Router(config-if)# ip access-group name { in | out }

　 在接口上激活命名 ACL 例如：

　ip access-list extend server- protect permit tcp 10.1.0.0 0.0.0.255 host 10.1.2.21 eq 1521 int vlan 2 ip access-group server- protect 命名 ACL 还有一个很好的优点就是可以为每个 ACL 取一个有意义的名字，便于日后的管理和维护。

　最后是命名 ACL 常用配置命令。

　(1) 在路由器上配置命名的标准 ACL R1(config)#ip access-list standard stand R1(config-std-nacl)#deny 172.16.1.0 0.0.0.255 R1(config-std-nacl)#permit any 创建名为 stand 的标准命名 ACL (2) 在路由器上查看命名 ACL R1#show ip access-lists

　Standard IP access list 1

　 deny 172.16.1.0 0.0.0.255

　 permit any (110 match(es)) …… (3) 在路由器配置命名的扩展 ACL

　R1(config)#ip access-list extended ext1 R1(config-ext-nacl)#permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq www 创建名为 ext1 的命名扩展访问 ACL (4) 在路由器上查看命名访问 ACL R1#show access-lists

　Extended IP access list ext1

　 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq www

　10 3.4 基于时间段的 ACL 配置 使用标准访问控制列表和扩展访问控制列表就可以应付大部分过滤网络数据包的要求了。不过在实际的使用中总会有人提出一些较为苛刻的要求，这是就还需要掌握一些关于 ACL 的高级技巧[7] 。基于时间的访问控制类别就属于高级技巧之一。

　基于时间的访问控制列表的用途：

　可能一些单位或者公司会遇到这样的情况，要求上班时间不能使用 QQ 或者浏览某些网站，或者不能在上班时间使用某些应用，只有在下班或者周末才可以。对于这种情况，仅仅通过发布通知不能彻底杜绝员工非法使用的问题，这时基于时间的访问控制列表就应运而生了。

　基于时间的访问控制列表的格式; 基于时间的访问控制列表由两部分组成，第一部分是定义时间段，第二部分是用扩展访问控制列表定义规则。这里主要解释下定义时间段，具体格式如下：

　time-range

　时间段格式 absolute start [小时：分钟] [日 月 年] [end] [小时：分钟] [日 月 年] 例如：time-range softer absolute start 0:00 1 may 2005 end 12:00 1 june 2005 意思是定义了一个时间段，名称为 softer，并且设置了这个时间段的起始时间为2005 年 5 月 1 日零点，结束时间为 2005 年 6 月 1 日中午 12 点。还可以定义工作日和周末，具体要使用 periodic 命令。将在下面的配置实例中详细介绍。

　基于时间的 ACL 配置常用命令 R1(config)#time-range time

　//定义时间范围 R1(config-time-range)#periodic weekdays 8:00 to 18:00 R1(config)#access-list 111 permit tcp host 172.16.3.1 host 2.2.2.2 eq telnet time-range time 常用实验调试命令 用“clock set”命令将系统时间调整到周一至周五的 8：00-18：00 范围内，然后在 Telnet 路由器 R1，此时可以成功，然后查看访问控制列表 111：

　R1#show access-lists Extended IP access list 111

　 10 permit tcp host 172.16.3.1 host 2.2.2.2 eq telnet time-range time (active) 用“clock set”命令将系统时间调整到 8：00-18：00 范围之外，然后 Telnet 路由器 R1，此时不可以成功，然后查看访问控制列表 111：

　R1#show access-lists Extended IP access list 111

　 10 permit tcp host 172.16.3.1 host 2.2.2.2 eq telnet time-range time (inactive) show time-range：该命令用来查看定义的时间范围。

　R1#show time-range time-range entry: time (inactive)

　periodic weekdays 8:00 to 18:00

　used in: IP ACL entry 以上输出表示在 3 条 ACL 中调用了该 time-range。

　11 3.5 ACL 的显示调试和删除 访问控制列表的现实和调试都在特权模式下执行。

　使用“show access-lists ”可以显示路由器上设置的所有 ACL 条目； 使用“show access-list acl number”则可以显示特定 ACL 号的 ACL 条目； 使用“show time-range”命令可以用来查看定义的时间范围； 使用“clear access-list counters”命令可以将访问控制列表的计数器清零[8] 。

　删除 ACL 的方法十分简单，只需在 ACL 表号前加“NO”就可以了，例如：

　R2(config)#no access-list 1

　 输入这个命令后，ACL 表号为 1 和 2 的 ACL 内所有的条目都会被删除。标准和扩展的 ACL 只能删除整个 ACL 条目，不能删除个别条目。

　命名 ACL 与标准和扩展 ACL 不同，它可以删除个别的控制条目。

　例如: no permit tcp 10.0.0.0 0.0.255.255 host 10.1.2.21 eq 1521 在“permit tcp 10.0.0.0 0.0.255.255 host 10.1.2.21 eq 1521”前加“no” 即可删除这条 ACL 语句条目，之后可以重新写入新的条目。

　4. 校园网 ACL 应用实例 校园网建设的目标简而言之是将校园内各种不同应用的信息资源通过高性能的网络设备相互连接起来，形成校园园区内部的 Intranet 系统，对外通过路由设备接入广域网。包过滤技术和代理服务技术是当今最广泛采用的网络安全技术，也就是我们通常称的防火墙技术[9] 。防火墙可以根据网络安全的规则设置允许经过授权的数据包进出内部网络，同时将非法数据包挡在防火墙内外，最大限度地阻止黑客攻击。包过滤技术以访问控制列表的形式出现，一个设计良好的校园网络访问控制列表不仅可以起到控制网络流量、流量的作用，还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。

　针对校园网中各种网络攻击、网络病毒对教学和管理造成的一系列的影响，通过对校园网络拓扑结构的分析，在三层网络结构中的汇聚层设定相应的 ACL 策略，校园网络是典型的三层网络拓扑结构即接入层、汇聚层、核心层，接入层面对的是大量的学生 PC、教师 PC，通过划分 VLAN 来区分不同系别的学生，教师，同时能够减小广播域，保证网络安全等功能。通过设置基于 MAC 的 ACL 来完成对接入层网络的控制，避免由于任意接入网络对网络造成的潜在安全隐患。同时在接入层设备上设置限速 ACL 来限制迅雷等P2P 软件的速度将网络流量控制在接入层从而保证网络出口的流畅，在汇聚层设置基于时间的 ACL 主要保证教师 PC 的网络带宽而在夜间自动将带宽分给学生。在核心层出口12 配置扩展 ACL 来完成数据包过滤、在入口上实现禁止外网访问指定的内部网站等。在出口配置 NAT 来解决 IP 不足问题，同时能够很好的隐藏内网 IP，来防止网络的攻击。

　下面通过模拟 Cisco Packet Tracert 5.3 模拟器模拟校园网环境，配置校园网路由器及三层交换机上的 ACL，达到模拟校园网络数据控制的目的。通过模拟环境的实验，还可以模拟各种网络攻击，模拟特定目的端口数据包的发送，从而检验配置的 ACL 命令的可行性。

　4.1 搭建配置环境 校园网拓扑图如图 4–1 所示

　图 4–1 校园网的 的 N VLAN 及 及 P IP 地址规划

　VLAN 号 VLAN 名称 IP 网段 默认网关 说明 VLAN1 - 192.168.0.0/24 192.168.0.1 管理 VLAN VLAN 10 JWC 192.168.10.0/24 192.168.10.1 教务处 VLAN VLAN 20 XSSS 192.168.20.0/24 192.168.20.1 学生宿舍 VLAN VLAN 30 CWC 192.168.30.0/24 192.168.30.1 财务处 VLAN VLAN 40 JGSS 192.168.40.0/24 192.168.40.1 教工宿舍 VLAN VLAN 50 ZWX 192.168.50.0/24 192.168.50.1 中文系 VLAN VLAN 60 WYX 192.168.60.0/24 192.168.60.1 外语系 VLAN VLAN 70 JSJX 192.168.70.0/24 192.168.70.1 计算机系 VLAN VLAN 100 FWQQ 192.168.100.0 192.168.100.1 服务器群 VLAN 表 4–1 具体的 VLAN 设置方法及网络联通设置在这里不在冗述，重点放在 ACL 的设置上。

　4.2 ACL 在院系机构的应用 (1) 首先是设置校园网内部三层交换机上的 ACL。

　13 规定只有在财务处 VLAN 30 内的主机可以访问财务处 VLAN 30，其他的教学单位部门可以互访；学生宿舍和教工宿舍 VLAN 可以互访，并且可以访问除了财务处和教务处外的其他教学单位。所有 VLAN 都可以访问服务器群 VLAN。

　 财务处 ACL 设置 Multilayer Switch1(config)#ip access-list extended CWC Multilayer Switch1(config-ext-nacl)#permit tcp 192.168.30.0 0.0.0.255 any

　教工宿舍 ACL 设置与学生宿舍 ACL 设置同理 在网络环境中还普遍存在着一些非常重要的、影响服务器群安全的隐患。接下来是对连接外网的路由器添加 ACL。

　 屏蔽简单网络管理协议（SNMP）

　利用这个协议，远程主机可以监视、控制网络上的其他网络设备。它有两种服务类型：SNMP 和 SNMPTRAP[10] 。

　R1(config)#ip access-list extended net R1(config-ext-nacl)#deny udp any any eq 161 …… 对外屏蔽远程登录协议 Telnet R1(config-ext-nacl)#deny tcp any any eq 23  对外屏蔽其他不安全的协议和服务 这样的协议主要有 SUN OS 的文件共享协议端口 2049，远程执行（rsh）、远程登录（rlogin）和远程命令（rcmd）端口 512、513、514，远程过程调用（SUNRPC）端口 111。

　R1(config-ext-nacl)#deny tcp any any range 512 514 ……  防止 DoS 攻击 DoS 攻击（Denial of Service Attack，拒绝服务攻击）是一种非常常见而且极具破坏力的攻击手段，它可以导致服务器、网络设备的正常服务进程停止，严重时会导致服务器操作系统崩溃[11] 。

　R1(config-ext-nacl)#deny udp any any eq 7 …… R1(config)#int f0/0 R1(config-if)#no ip directed-broadcast 最后一行的设置禁止子网内广播  保护路由器安全 作为内网、外网间屏障的路由器，保护自身安全的重要性也是不言而喻的。为了阻止黑客入侵路由器，必须对路由器的访问位置加以限制[12] 。应只允许来自服务器群的 IP地址使用 Telnet 访问并配置路由器，内部其他部分的主机都不能用 Telnet 访问和配置路由器。

　R1(config)#access-list 1 permit 192.168.100.0 0.0.0.255 R1(config)#line vty 0 4 R1(config-line)#access-class 1 in R1(config-line)#password cisco 14 R1(config-line)#enable password cisco  系统测试 当校园网环境建成后，应对校园网的整体运行情况做一下细致的测试和评估。大致包含以下测试：对相同 VLAN 内通信进行测试、对不同 VLAN 内的通信进行测试、对内部网的 ACL 进行测试、对广域网接入路由器上的 ACL 进行测试。

　 测试相同 VLAN 内通信 添加一台财务处 VLAN30 的主机，与 VLAN30 的用 PING 命令测试联通性。

　PC>ping 192.168.30.100 Pinging 192.168.3.111 with 32 bytes of data: Reply from 192.168.3.111: bytes=32 time=47ms TTL=128 成功联通 测试不同 VLAN 间通信 (2) 使用 VLAN30 内的主机与学生宿舍 VLAN20 用 PING 命令测试联通性 PC>ping 192.168.20.100 Pinging 192.168.20.100 with 32 bytes of data: Request timed out. 连接失败，证明 ACL 设置成功。

　(3) 使用学生宿舍内主机 PING 教务处主机 PC>ping 192.168.10.100 Pinging 192.168.10.100 with 32 bytes of data: Request timed out. 连接失败，证明 ACL 设置成功。

　测试路由器 ACL  内部网络 使用服务器群 Telnet 路由器 PC>telnet 192.168.100.100 Trying 192.168.100.100 ...Open User Access Verification Password: Telnet 成功 使用其他 VLAN 主机 Telnet 路由器 PC>telnet 192.168.100.100 Trying 192.168.100.100 ... % Connection refused by remote host Telnet 失败，路由器 ACL 设置成功。

　 外部网络 添加一台路由器，与校园网路由器的 S2/0 口相连，发送 SNMP,Telnet 等应用包。

　Extended IP access list net

　 deny udp any any eq snmp (3 match(es))

　 deny udp any any eq 162 (1 match(es)) 显示阻止成功。

　15 4.3 ACL 在教学机房中作用 4.3.1 屏蔽特定端口防范病毒与攻击 由于机房通常与外网相连，容易遭受外部病毒的侵害和黑客的攻击。甚至，个别学生也利用机房机器进行非法扫描和监听[14] 。对于机房管理人员来说，除了经常更新杀毒软件、病毒防火墙外，还可以使用 ACL 来屏蔽病毒入侵时经常通过的端口，以达到防范目的。

　例如：屏蔽某些特殊端口和服务 deny udp any any eq 135// 屏蔽端口 deny udp any any eq 136 deny udp any any eq netbios -ns// 关闭服务 deny udp any any eq netbios -dgm 通过 ACL 访问控制列表限制上网时间 机房管理人员可以根据在机房上课老师的具体要求，制定出一周内哪个机房哪个时间段需要上网的具体计划。然后，通过配置基于时间的访问控制列表来对机房的上网时间进行管理。在配置基于时间的访问控制列表时，最重要的一点就是设置一个 time- range。

　例如：通过 ACL，在每周一上午 8:00 至 10：00 这个时间段内（第一、二节课），禁止 HTTP 数据流：

　Switch(config)#time-range noweb // 设置一个 time-range

　Switeh (config—time—range)#periodic monday 8：00 to 1 0：00

　Switeh(config)#end

　Switch(config)#ip access-list extended limitwww

　Switch (config-ext-nacl)#deny tcp any any eq www

　time-range noweb Switch(config-ext-nacl)#permit ip any any Switch(config)#end Switch(config)#interface fastethemet0／1 Switch(config-if)#ip access —group limitwww in 下面为 time—range 的显示范例：

　Switch#show time-range time—range name：noweb periodic monday 8：00 to 10：00 4.3.2 通过 ACL 限制上网行为 对于一些需要上网的上机课，个别学生常常不能自律，上课期间聊 QQ、玩网络游戏。这些行为不仅影响课堂教学质量，更给机房网络安全带来隐患。对此，可以通过配置 ACL 屏蔽 QQ 和一些网络游戏的常用访问端口，来禁止学生聊 QQ 或玩网络游戏。例如，找出 QQ 软件所用的端口，配置 ACL 过滤这些端口的流量，然后把访问控制列表应用到机房相应的接口上：

　access —list 101 deny udp any any eq 8000 access —list 101 deny tcp any any eq 443 access —list 101 deny udp any any eq 443 access —list 101 permit tcp

　any any 16 access —list 101 permit uap permit any any access —list 101 ip any any interface range fastethemet0／1—24 ip access-group 101 in 4.4 ACL 对校园网 P2P 流量的控制 4.4.1 P2P 工作原理 P2P 技术是 P2S 技术和 P2P 技术的结合体，是 P2P 技术的进一步延伸，它不需要文件资源服务器，充分利用了用户网络的“上行带宽”，实现用户间数据的传输[15] 。通过多媒体检索数据库这个桥梁把原本孤立的服务器资源和 P2P 用户资源整合到了一起，利用服务器性能资源优势和用户上行带宽的优势，以达到下载速度更快、资源丰富、稳定性更强的目的。

　4.4.2 抓包位置的部署 网络协议分析软件以嗅探方式工作，它必须要采集到网络中的原始数据包，才能准确分析网络故障。如安装的位置不当，采集到的数据包将存在较大的差别，从而影响分析的结果，无法反映网络真正存在的问题。校园网应用是网络应用中最活跃的分支，网络管 理和维护也比较有代表性。在设计时， 常采用经典的三层网络结构，对出口数据进行分析时，在核心交换机中将出口数据镜像到核心交换机的某一端口，此时协议分析软件可以捕获整个网络中转发的数据。

　4.4.3 索引服务器地址收集 收集迅雷服务器地址可通过 DNS 解析、出口镜像抓包等方法来获取。如果使用 DNS 解析的方法来获取地址，将无法得出新增加或未进行域名绑定的资源索。

　4.4.4 ACL 的组成

　ACL 是应用在路由器、交换机、网关等网络设备接口的指令列表。它读取数据包第三及第四层包头中的信息，如源地址、目的地址、源端口、目的端口等；根据预先设定好的规则，设备接口对包进行过滤，从而达到访问控制的目的。交换机路由器中的 ACL 有标准 ACL 和扩展 ACL，区别主要体现在匹配和过滤流量的条件上。标准 ACL 可检查IP 包头的源 IP 地址，并以此为匹配条件对流量允许或拒绝；而扩展的 ACL 可基于包的目标地址、源地址和网络协议及其端口来匹配和过滤流量。随着网络的发展和用户要求的变化，各类网络设备支持基于时间的访问列表，它可以根据一天中的不同时间或者根据一周中的不同日期来控制对应类型数据包的转发，为网络的流量管理工作带来更大的便捷和灵活性。

　17 4.4.5 创建 ACL 策略

　基于 P2P 资源的下载方式是用户从网上获取资料的主要手段。P2P 流量占据了近80%的出口带宽，利用 ACL 封迅雷资源索引服务器的方法将无条件地禁止了迅雷的下载。这种“一刀切”的流量管理策略不能满足用户的需求，我们应该结合实际应用及时间变化规律来制定校园网带宽管理策略。根据我校对带宽使用的具体情况，为保障教学及 各项关键性应用的进行，规定在每周的星期一到五工作时间内，限制迅雷的下载；在周末以及其它休息时间开放 P2P 的应用带宽，这样以达到人性化的管理。

　结束语 本文所介绍的校园网 ACL 设置满足了校园网用户的实际需要，保证了校园网内部的安全，并能达到防止了外部入侵的目的。同时通过扩展研究，对 P2P 的工作原理采取了ACL 流量控制，这样在对保证校园网出口带宽起到一定的保护作用，对合理分配上网流量带宽，保证上网速度起到一定的帮助，同时还能保护学校网络设备，对延长网络设备的寿命起到一定的保护。本设计主要通过 Packet Tracer 5.3 进行模拟实验，由于模拟器的局限性，所以有些功能实现不了，主要通过文字语言来描述。通过最后的模拟和描述，通过 ACL 访问控制对校园网的安全和流量控制达到了初步的成效，希望能够将来对ACL 更深的研究，达到更好的安全和流量控制效果。

　 18

　 参考文献 [1] 孙辉.《路由发展历程与趋势》，中国数据通讯 2004 [2] 王芳，韩国栋，李鑫.《路由器访问控制列表及其实现技术研究》.计算机工程与设计，2007 [3] （美）

　Dayid Hucaby,CCIE #4594 著，王兆文译，《CCNP SWITCH（642-813）》.北京：人民邮电出版社 [4] 易建勋，姜腊林，史长琼。《计算机网络设计（第二版）》北京邮电出版社 2011 [5] David Barnes，Basir Sakandar 著 刘大伟译. 《Cisco 局域网交换基础》. 北京：人民邮电出版社，2005，9 [6]

　Justin Menga 著 李莉，高雪，周永生译. 《CCNP 实战指南：交换》. 北京：人民邮电出版社，2005，1 [7]

　Cisco System 著 中山大学思科网络技术学院译. 《CCNP1：高级路由》. 北京：人民邮电出版社，2005，3 [8] 谢希仁.《计算机网络（第五版）》.北京.电子工业出版社，2009.11 [9] 斯桃枝，姚驰甫.《路由与交换技术[M]》.北京:北京大学出版社，2008 [10] 谢希仁. 《计算机网络 第五版[M]》.北京:电子工程出版社，2008 [11] 兰少华，杨余旺，吕建勇.《TCP/IP 网络与协议[M]》.北京:清华大学出版社，2009 [12] 王凤英，《访问控制原理与实践》.北京：邮电大学出版社，2010 [13] 殷玉明，《交换机与路由器配置项目式教程》.电子工业出版社，2010 [14] 郭自龙.访问控制列表在网络管理中的应用.[M].北京：清华大学出版社，2004 [15] 周星，张震等.网络层访问控制列表的应用[J].河南大学学报，2004，20（5）：56-58

　19

　 附录 核心路由器 interface FastEthernet0/0

　ip address 192.168.1.65 255.255.255.0

　duplex auto

　speed auto ! interface FastEthernet0/1

　no ip address

　duplex auto

　speed auto

　shutdown interface FastEthernet1/0

　ip address 193.1.1.1 255.255.255.0

　duplex auto

　speed auto interface FastEthernet1/1

　ip address 100.1.1.1 255.255.255.252

　duplex auto

　speed auto interface Vlan1

　no ip address router ospf 1

　router-id 1.1.1.1

　log-adjacency-changes

　network 192.168.1.0 0.0.0.255 area 0

　default-information originate router rip

　network 192.168.1.0 ip classless ip route 0.0.0.0 0.0.0.0 FastEthernet1/1

　access-list 101 permit tcp 192.168.100.0 0.0.0.255 host 192.168.1.65 eq telnet line con 0 line vty 0 4 password cisco login privilege level 15

　核心交换机：

　interface FastEthernet0/1

　no switchport

　ip address 192.168.1.66 255.255.255.0

　duplex auto

　speed auto ! interface FastEthernet0/2

　no switchport

　ip address 192.168.2.1 255.255.255.0 20

　duplex auto

　speed auto ! interface FastEthernet0/3

　no switchport

　ip address 192.168.3.1 255.255.255.0

　duplex auto

　speed autoip classless router ospf 1

　log-adjacency-changes

　network 192.168.1.0 0.0.0.255 area 0

　network 192.168.2.0 0.0.0.255 area 1

　network 192.168.3.0 0.0.0.255 area 1 ! router rip

　network 192.168.1.0 ! ip classless

　接入层交换机：

　hostname Switch ! ! spanning-tree portfast default ! interface FastEthernet0/1

　switchport trunk allowed vlan 1,10,20

　switchport mode trunk ! interface FastEthernet0/2

　switchport trunk allowed vlan 1,10,20

　switchport mode trunk ! interface FastEthernet0/3

　switchport access vlan 10

　switchport mode access ! interface FastEthernet0/4

　switchport access vlan 20

　switchport mode access interface Vlan1

　no ip address

　shutdown ! interface Vlan10

　no ip address ! ! access-list 1 deny 192.168.20.0 0.0.0.255 line con 0 ! line vty 0 4

　login line vty 5 15

　login

　21

　致谢 本论文的工作是在我的导师李相海老师的悉心指导下完成的，李相海老师严谨的治学态度和科学的工作方法给了我极大的帮助和影响。在此衷心感谢李相海老师对我的关心和指导。通过这一阶段的努力，我的毕业论文终于完成了，这意味着我的大学生活即将结束。在大学阶段，我在学习上和思想上都受益匪浅，住除了自身的努力外，与各位老师、同学和朋友的关心、支持和鼓励是分不开的。在工作及撰写论文期间，李庆伟、马杰超等同学对我论文中的配置研究工作给予了热情帮助，在此向他们表达我的感激之情。另外也感谢家人、学院领导、同事和朋友，他们的理解和支持使我能够完成我的学业。

推荐访问:网络安全 毕业论文 校园