访问控制列表及其在校园网内网管理中应用研究.docVIP

访问控制列表及其在校园网内网管理中应用研究 　　目前,各高校都建立了自己的校园网,随着校园网上应用不断增多,学校对校园网的依赖越来越大,校园网的畅通与否将直接影响各高校的教学、科研和管理。很多学校都非常重视网络管理,但是许多学校的网络管理主要是针对出口进行管理,而忽略了内网的管理。随着网络的不断发展,三层及三层以上交换机在校园网中担当起了重要的角色,不过很多学校仅仅利用了它的一个基本功能――路由,而没有发挥其访问控制列表(Access Control List,简称ACL)的作用。本文以华为交换机的ACL为例,结合实际需求,通过ACL来加强校园网内网的管理。 　　1理解ACL 　　1.1 ACL及其工作原理。 　　ACL是为了过滤网络设备上的数据包,而在网络设备上设置的有限语句序列。一个IP数据包如图1所示(图中IP所承载的上层协议为TCP): 　　 　　 　　 　　 　　 　　 　　图1 IP数据包示意图 　　ACL就是使用包过滤技术,在网络设备上通过将报文的协议号、源地址、目的地址、源端口号、目的端口号与已经应用的ACL表相比较,来允许或拒绝报文通过。当报文到达时,网络设备对报文进行检查,如果报文与ACL的某条规则匹配,则执行该语句中的动作,如果报文不匹配,则检查访问表中的下一条语句,直到最后一条语句结束时仍然没有匹配语句,则报文按缺省规则被允许或拒绝(华为交换机缺省为允许)。其工作过程如图2所示: 　　 　　 　　 　　 　　 　　 　　 　　 　　 　　 　　 　　 　　 　　图2访问控制列表工作工程 　　1.2 ACL的分类。 　　交换机上支持的ACL大致可以分为基本ACL、高级ACL、二层ACL、自定义ACL四类。其特点如表1: 　　表1ACL的类型与特点 　　 　　 　　 　　 　　 　　 　　 　　 　　1.3 ACL的配置方法。 　　要应用ACL,必须要作两个方面的工作,一是根据实际需要正确编写ACL。二是要把ACL应用到相应接口。如果使用的是带时间段的ACL,那首先得定义好时间段,并在编写ACL规则时加上所定义的时间段。下面以“实现在每天8:00-18:00时间段内对源IP为的主机发出报文的过滤”为例来说明配置方法: 　　(1)定义时间段。 　　[3526E] time-range time1 8:00 to 18:00 daily 　　(2)定义源IP为的ACL。 　　[3526E] acl name traffic1 basic 　　[3526E-ACL-basic-traffic1] rule 1 deny source 0 time-range time1 　　(3)激活已经定义的ACL。 　　[3526E] packet-filter ip-group traffic1 　　 　　 　　 　　 　　 　　 　　 　　 　　 　　 　　 　　 　　 　　 　　 　　图3A校校园网拓扑图 　　2ACL在校园网内网管理中的应用 　　2.1应用校园网环境。 　　如图3所示,A校整个校园网划分为3个区域,采用三层体系结构:核心层、汇聚层和接入层(图中只画出了核心层和汇聚层)。核心层由3台华为6506R组成,汇聚层均采用华为3526E,接入层设备用的是华为2403H。除服务器网段和网管网段是建立在核心1上外,其余网段均建立在相应的3526E上。校园网中的地址规划见表2: 　　表2:A校校园网的地址规划 　　 　　 　　 　　 　　 　　2.2 ACL在校园网内网管理中的具体应用。 　　2.2.1控制用户登录网络设备。 　　实现目标:为了提高网络设备的安全性,禁止普通用户对网络设备的非法登录。 　　分析:以太网设备提供了多种用户登录访问设备的方式,主要有SNMP、TELNET和HTTP三种。由于HTTP方式安全性不高,所以通常采用禁止HTTP,并使用ACL对SNMP和TELNET进行限制。本例仅允许网管地址段/24登录网络设备。 　　具体配置: 　　basic acl1 　　rule 1 permit source 55 　　rule 2 deny 　　snmp-agent community readsnmpr_yb ACL 1 　　snmp-agent community write snmpw_yb ACL 1 　　user-interface vty 0 4 　　user privilege level 1 　　ACL 1 inbound 　　2.2.2控制病毒传播。 　　实现目标:控制病毒在校园网内传播,从而保护未受感染的计算