基于时间的ACL在校园网中的用法.docVIP

基于时间的ACL在校园网中的用法 　　引言 　　随着科技的进步和社会的发展，网络与我们每个人的生活都越来越密切。 我们可以通过网络获取最新的新闻咨询，学习到任何自己想要学习的知识，足不出户进行网络购物，下载到喜欢的音乐和影片，甚至于通过在线订餐来解决一日三餐。 　　毫不夸张地说，网络已经深入到生活的方方面面。 然而，我们必须清醒地认识到，网络是一把双刃剑，人们在享受着网络为生活提供的便利的同时，也应该更多地注意到它不利的一面。 据中国互联网络信息中心(CNNIC)分别于 2014 年 5 月、7 月发布的《2013 年中国青少年上网行为调查报告》和《第 34 次中国互联网络发展状况统计报告》中的统计数据指出，学生是我国网民中最大的群体，占比达 25.1%。 而 19-24 岁的网民占青少年网民总数的45.5%。 　　互联网普及率在学生中处于高位已是不争的事实。互联网上资源丰富，使用得当对于学生学业及个人综合素质的提高有很大的帮助，然而由于青年学生涉世不深，自制力差，网络对学生学习负面的影响也十分明显。据调查，在每周平均上网时长超过 25 小时的大学生群体中，即时通信、微博、社交网站以及网络音、视频和网络游戏等应用占用掉大量的时间。 有学生沉溺于网络娱乐中，甚至于通宵达旦，严重影响学生第二天的学习，长久熬夜也必然会给学生身体带来损害。 因此，为引导学生合理使用互联网，养成良好的作息习惯，夜晚休息时间对学生网络进行限制是十分必要的。本文就使用基于时间的 ACL 禁止学生通宵上网进行了详细的讨论，由于基于时间的 ACL 需要以精确的时间为参考，所以在网络中搭建一台 NTP 服务器以实现网络设备时间的准确也是十分必要的，本文也讨论了 Linux 系统下 NTP 服务器的搭建和配置。 　　1.NTP 的相关配置 　　1.1 NTP计算机时钟主要由内部 BIOS 芯片提供， 芯片之间的差异会造成计时误差，从而导致每台设备和主机上的时间与标准时间不同。 主机时间的不同步会引发许多问题，例如在查看设备日志以进行故障和性能分析时，如果设备时间不准确将无法快速准确定位故障，这就要求我们在网内实现设备时钟与标准时间同步。NTP(Network Time Protocol，RFC1305)是用来使计算机时间同步化的一种协议，它使计算机与选择的时间源同步，提供高精度的时间校正。NTP 协议采用巧妙的算法，估算封包在网络上的往返时延，并计算出计算机之间时钟的偏差，根据这两个数据精确校正时间。 NTP 协议使用 UDP 协议的 123 端口进行通信。 　　1.2 NTP 服务器搭建时间服务器是利用 NTP 协议搭建的服务器， 可以对其他计算机提供时钟同步服务。 本文在校园网中搭建一台 NTP 服务器，并作为客户端获取外部权威时间服务器的标准时间，再为网内其他设备提供时间同步服务。Linux 操作系统具有开源、运行稳定的优点，特别适合作为服务器操作系统使用。 我们选择 Ubuntu 14.10 服务器版作为 NTP 服务器系统平台。在 Ubuntu 下使用 sudo apt-get install ntp 就可以完成 NTP 服务的安装，安装好之后系统会默认启动 NTP 服务。 我们需要设定客户端同步规则，在 ntp.conf 文件中，使用 restric 控制权限，规则格式为：restrict ip-address mask parameter通过把 parameter 设置为不同的参数，可以实现不同的控制功能。本文中设置规则为 restrict default nomodify，即允许所有客户端通过本NTP 服务进行时间同步，但不允许客户端更改服务器端时间参数。 　　1.3 交换机上 NTP 的配置在 H3C 交换机上配置 NTP， 首先需要确保交换机与 NTP 服务2.1 ACL 介绍访问控制列表(Access Control Lists, ACL)是应用在路由器接口的指令列表。 这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。 至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。访问控制列表不但可以起到控制网络流量、流向的作用，而且在很大程度上起到保护网络设备、服务器的关键作用。 作为外网进入企业内网的第一道关卡，路由器上的访问控制列表成为保护内网安全的有效手段。中低端 H3C 交换机产品提供 4 个层级的的 ACL：基本 ACL，用于阻断某一网络的所有流量，编号为 2000-2999;扩展 ACL，可以基于端口号做更为精细的控制动作，编号为 3000-3999;MAC-ACL，可以对以太网帧头部进行分析， 从而达到从底层