ＡＣＬ技術在校園網中的應用

摘要：該文首先簡單介紹了ACL的基本原理，重點介紹ACL技術在校園網管理中的作用，并給出了一些簡單的配置實例，最后對ACL技術的發展展開展望。

關鍵詞：訪問權限控制列表；校園網；網絡安全

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)36-2965-02

The Application of ACL in Campus Network

LU Wei

(Yancheng Teachers University， College of Information Science and Technology， Yancheng 224002， China)

Abstract: First， this paper simply analyzes the basic principle of ACL; Second， it introduces the function of ACL in the campus network， and gives some examples of simple configuration; Last， it starts the development of ACL outlook.

Key words: Access Control List; Campus Network; Security of the Net

1 引言

隨著計算機技術和網絡技術的迅猛發展，以太網技術不斷成熟和廣泛應用，同時也給人們帶來了更多的挑戰。網絡數據的安全性以及如何有效的管理好校園網成了擺在網絡管理員面前的一個難題。該文主要介紹在以太網技術為主的校園網管理中如何利用ACL技術來降低對校園網中存在的安全隱患。

2 ACL技術概述

ACL的全稱為訪問控制列表（Access Control Lists），是Cisco IOS所提供的一種訪問控制技術。ACL使用包過濾技術，在路由器上讀取第三層及第四層包頭中的信息如源地址、目的地址、源端口、目的端口等，根據預先定義好的規則對包進行過濾，從而達到訪問控制的目的。ACL可以實現網絡流量限制，提高網絡性能。ACL還提供網絡訪問的基本安全級別。

3 ACL在校園網中的應用

校園網通過CERNET與Internet相連，在享受Internet方便快捷的同時，也面臨著遭遇病毒攻擊的風險。網絡管理員常使用ACL來禁止數據傳輸或僅允許指定的數據傳輸。然而這僅僅是訪問控制列表的基本使用方法，其實還有一些許多管理員并不經常使用的方法。

3.1 利用ACL技術實現流量控制

雖然現在網絡技術和網絡設備有了很大的改進，校園網帶寬拓展了很多，但很多學校的帶寬仍然有時不夠用。利用流量控制工具軟件對校園網進行一下分析我們會發現其大部分出口帶寬被下載軟件所占用。下面我們就以現在比較流行的下載工具BT和電驢為例，分析一下如何利用ACL技術來控制校園網的出口流量。一般情況下，BT軟件使用的是6880－6890端口，而電驢使用的是TCP的4662端口和UDP的4772端口，我們只要封鎖這些端口就可以達到母的。具體配置如下：

Router(config)# access-list 101 deny tcp any any range 6880 6890

Router(config)# access-list 101 deny tcp any any eq 4662

Router(config)# access-list 101 deny udp any any eq 4772

Router(config)# access-list 101 permit ip any any

Router(config)# inter S0/0

Router(config-if)# ip access-group 101 out

3.2 利用ACL技術實現上網時間控制

利用ACL可以對用戶限定上網的時間。比如為防止學生上網成癮而逃課，可以限定在周一至周五上課時間（8：00-18：00）不能訪問外網，其他時間可以開放。具體設置如下：

Router(config)#time–range limit

Router(config)#absolute start 1:00 1 October 2008 end 24:00 1 October 2009 periodic weekday 8:00 to 18:00

Router(config)#access–list 101 deny ip 192.168.0.1 0.0.0.255 any limit

Router(config)#permit ip any any

Router(config)#interface ethernet s0/0

Router(config)#ip access - group 101 in

以上我們就限定了從2008年10月1日到2009 年10月1日止，每周一到周五的早8點到18點不能訪問Internet。同樣，我們也可控制教職工對外網的訪問，例如我們希望限制工作人員在工作時間內使用QQ或者聯眾游戲，那么我們可以在路由器上使用時間控制的ACL來達到目的。

3.3 利用ACL技術實現網絡設備的管理

網絡交換設備作為校園網的核心部分，它維護著整個校園網的有效運行，只有對網絡設備進行一個有效的管理，才能為校園提供一個安全、穩定的網絡環境。例如，我們可以限定只有網絡管理員（192.168.0.1）才允許登錄并配置路由器。我們可以利用ACL技術進行如下的配置：

Router(config)#access–list 1 permit 192.168.0.1

Router(config)#line vty 0 4

Router(config)#access-class 1 in

4 總結與展望

ACL技術和校園網管理相結合是一項很有前景的技術，它解決了網絡管理上的很多難題，使得校園網有了一個更安全、更穩定的運行環境。但是由于ACL是使用包過濾技術來實現的，過濾的依據又僅僅只是第三層和第四層包頭中的部分信息，這種技術具有一些固有的局限性，如無法識別到具體的人，無法識別到應用內部的權限級別等。因此，要對校園網有一個更完善的管理于防護，還需要和系統級及應用級的訪問權限控制以及防火墻、入侵檢測、內網安全系統等一些網絡安全技術相結合。如何使ACL技術和這些網絡安全技術有機地結合起來，完善網絡管理還有待進一步的研究。

參考文獻：

[1] Michael Wenstrom. 管理Cisco網絡安全[M]. 北京:人民郵電出版社，2002.

[2] 張保通.網絡互連技術——路由、交換與遠程訪問[M]. 北京:中國水利水電出版社，2004.

[3] 魏大新，李育龍.Cisco網絡技術教程[M]. 北京:電子工業出版社，2004.

[4] 蔣熹.使用ACL在校園網內實現流量控制與安全訪問[J]. 中國科技信息，2007，(3):130-131.