ACL在校园网中的应用教程.doc

毕业设计（论文） 题 目 ACL在校园网中的应用 学生姓名 专业班级 学 号 系 别 计 算 机 系 指导教师(职称) 完成时间 年 月 日 ACL在校园网中的应用 摘 要 随着网络技术的飞速发展,校园网络的规模不断扩大网络在为学校提供现代化教育技术和教育资源共享的平台为学生和老师之间提供更多的交流渠道丰富了校园文化但网络互联也导致了部门之间数据保密性降低影响了部门安全因此校园网络建设需考虑部门之间的访问控制和网络设备的安全。如管理人员可登陆网络设备或访问其他部门并可自由访问互联网对学生或其他部门访问互联网的时间、内部相互访问的控制。因此笔者提出采用访问控制列表(Access Control ListACL)访问控制策略以满足校园网络安全的要求。ACL（Access Control Lists访问控制列表）是应用于路由器和交换机接口的指令列表用来控制端口进出的数据包。是CISCO IOS提供的访问技术，初期只支持在路由器上使用，近期已扩展到三层二层交换机。ACL就是一系列由源地址，目的地址，端口号等决定的允许和拒绝条件集合。通过匹配报文中的信息与访问控制列表参数可以过滤发进和发出的信息包的请求，实现对路由器和网络的安全控制。 关键词ACL/控制/策略/校园网网络安目 录 1研究背景 1 2 基本功能、原理与局限性 1 3 ACL原理概述 2 3.1概述 2 3.2 ACL的基本原理 2 3.3 ACL的主要功能 3 3.4 ACL 3P原则 4 3.5使用ACL的指导原则 4 4 访问控制列表概述 4 4.1访问控制列表的分类 4 4.1.1标准ACL 4 4.1.2 扩展ACL 4 4.1.3 复杂ACL 5 4.2访问控制列表的匹配顺序 6 4.3 访问控制列表的创建 7 4.4 通配符掩码 8 4.5 常见端口号 10 4.6 正确放置ACL 10 5 访问控制列表的配置 11 5.1标准访问控制列表配置 11 5.2扩展访问控制列表配置 13 5.3复杂ACL的配置 14 5.3.1 动态ACL的配置 14 5.3.2 自反ACL配置 15 5.3.3基于时间的 ACL 16 6 校园网ACL配置实例 17 6.1 搭建配置环境 18 6.2 校园网ACL实际用例 19 7 排除常见 ACL错误 22 总 结 25 致 谢 26 参考文献 271研究背景 自从产生了网络，随之而来的就是网络的安全问题。随着IP网络的飞速发展，网络QOS（Qulity of Service，服务质量）和网络安全越来越被ISP重视。对数据流实现较精确的识别和控制，成为服务质量提高的一个基本要求。在通信设备中，如果能根据报文的封装信息的特征配置过滤规则，并对经过报文的封装信息进行识别，就可以较精确的识别出具有相同特征的一条或一组数据流。针对此规则在配置一个数据流量控制方案，网络设备就可以较精确的对某条实行控制了。ACL(access Control List)就这样应运而生了。它实现了报文的过滤和控制功能。研究的内容就是：ACL怎样在校园网中发挥作用的。：ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。 图2-1 ACL工作原理 功能：网络中的节点资源节点和用户节点两大类，其中资源节点提供服务或数据，用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。：由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。因此，要达到end to end的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。ACL原理概述TCP/IP 协议中数据包由IP 报头、TCP/UDP 报头、数据组成，IP 报头中包含上层的协议端口号、源地址、目的地址，TCP/UDP 报头包含源端号、目的端口，设备信息。ACL（访问控制列表）利用这些信息来定义规则，通过一组由多条deny（拒绝）和permit（允许）语句组成的条件列表，对数据包进行比较、分类，然后根据条件实施过滤。如果满足条件，则执行给定