ACL在校園網核心設備的配置方案

◆覃德澤張家偉

（1.賀州學院計算機科學與信息工程學院 廣西 542899；2.北京天宏海闊科技有限公司 北京 100083）

ACL在校園網核心設備的配置方案

◆覃德澤1張家偉2

（1.賀州學院計算機科學與信息工程學院 廣西 542899；2.北京天宏海闊科技有限公司 北京 100083）

校園網的核心設備主要有路由器和交換機等。通過在它們中設置訪問控制列表（ACL），可以對進出校園網絡的流量進行有效控制。本文針對校園網絡管理中的有關需求，在邊緣路由器和核心交換機中合理配置ACL。仿真實驗表明，本配置方案能夠實現校園網絡的有效監控和安全管理，是科學、實用的方案。

校園網；核心設備；ACL；配置方案

0 引言

隨著校園網絡規模擴大，用戶及應用的增多，各種校園網絡的安全問題也隨之出現，并日顯突出。為了校園網絡的安全，就必須對進出校園網絡的流量進行有效控制，即拒絕那些不安全的訪問鏈接，同時又要允許那些正常的網絡訪問。一種較好的辦法就是在校園網的核心設備，如邊緣路由器、核心交換機中配置訪問控制列表（ACL）。通過配置ACL，可以對不同的用戶進行分別管理，限定特定網段和特定流量訪問互聯網，加強了校園網的安全控制。這種方法的優點是：不需要增加網絡設備即可實現校園網絡的安全性。本文主要探討如何在校園網的核心設備中配置ACL。

1 ACL的工作原理

ACL（Access Control List，ACL）即訪問控制列表。該技術源于20世紀60年代，它是對包進行過濾，讀取路由器上的數據包中第三層以及第四層包頭中信息，如源地址、目的地址、源端口、目的端口等信息，然后根據預先設定好的規則完成對包的過濾。ACL是一個路由器的配置腳本，它能夠根據分組報頭中的條件來控制路由器允許還是拒絕分組，還能選擇數據流類型，對其進行分析、轉發或者其他處理。每當數據分組經過端口時，按從上到下的順序且每次一行的方式來執行ACL語句，從中查找到分組匹配的語句從而決定分組是被允許還是被拒絕。

2 ACL的類型

目前主要的ACL分為標準ACL和擴展ACL。其他的還有自反ACL、基于時間ACL、以太協議ACL、IPv6 ACL等。

2.1 標準ACL

只根據源IP地址過濾分組，與分組的目標地址和端口無關緊要。編號ACL中標準IP ACL使用1-99以及1300-1999之間的數字作為編號，而命名ACL使用包含字母數字字符，不過建議以大寫字母書寫，但名稱中不能包含空格或標點，且必須以字母開頭。

2.2 擴展ACL

根據多種屬性過濾IP分組，如源和目標IP地址、源和目標TCP/UDP端口、協議類型（IP、UDP、TCP或協議號）。編號ACL中擴展IP ACL使用100-199以及2000-2699之間的數字作為編號，而命名ACL使用包含字母數字字符，不過建議以大寫字母書寫，但名稱中不能包含空格或標點，且必須以字母開頭。

2.3 自反ACL

是基于上層會話信息來過濾數據包。它允許起源于內網的數據流通過路由器，外網響應起源于內網的之前的會話的數據流也可以通過路由器，但是禁止起源于外網的數據通過路由器進入內網。

2.4 基于時間ACL

能設置在特定時間范圍內允許或拒絕網絡訪問。該ACL允許網絡管理員對流入網絡和流出網絡的數據加以控制，不同的時段定義不同的安全策略。而設備是根據系統時鐘來判斷時間，因此，管理員就必須保證系統時鐘準確。

3 校園網絡安全現狀及分析

校園網內的主機數量很大，其中有的主機存儲重要的數據信息，這對計算機間的通信以及網絡的安全性是一個極大的考驗。首先網絡設計與布局要合理。其次要確保網絡設備的安全性，對外要防范非法信息與操作進入校園的網絡設備，如黑客攻擊、病毒入侵等，對內要根據安全性需求為給定用戶設定權限，比如禁止學生telent重要的網絡設備與訪問服務器等，這樣才能保障校園的網絡安全，使計算機間能正常通信。最后，保障校園網內的信息安全也是必要的，包括個人及公共的信息安全。

4 校園網對ACL的功能需求

校園網絡主要使用者是教師、學生和行政管理人員，一個好的校園網絡環境可以讓用戶更好學習、工作以及娛樂。因為校園內人口密集，所以保障信息安全就顯得尤為重要，這就需要通過安全策略來限制非授權用戶只能訪問特定的網絡資源。為了達到這個目的，可以在網絡的核心設備中配置ACL，因為ACL是控制訪問的一種網絡技術手段，能夠為校園網的安全提供基本保障。

為了達到校園網絡的安全性管理要求，在校園網中使用ACL要達到如下功能。

（1）禁止非管理人員telnet網絡設備，防止非法用戶惡意修改網絡設備內的配置，確保網絡設備的安全性。

（2）禁止學生telnet各部門、各科室的電腦，預防重要數據、資料遭受破壞，影響正常工作。

（3）禁止學生telnet服務器，預防服務器設置被意外修改，數據遭受破壞，確保服務器的正常運行，確保數據的保密性、完整性和可用性。

（4）根據學校有關要求，禁止學生通宵上網，以保證睡眠質量，以免擔誤學習，荒廢學業。

（5）禁止學生訪問非法的網站或服務器。

（6）根據要求，對校園網中的某些特殊網段進行特殊保護，禁止任何數據流量的流入或流出。

（7）防止病毒入侵校園網，如防范蠕蟲等病毒進入校園網絡。

5 ACL在校園網核心設備中的配置方案

圖1 校園網簡略拓樸圖

如圖1為某校園網的簡略拓樸圖，其中R1為校園網邊緣路由器，C1為核心（三層）交換機，DQ1、DQ2、…、DQ5為各大樓（分布層）交換機，JXJXY、XQJSL1、…、XQXSXS1為相應大樓某一樓層（接入層）交換機。

為了實現小節4提出的功能需求，核心設備的ACL配置方案如下。

5.1 交換機的配置

不同的需求需要配置不同的ACL，以西區學生宿舍1棟為例（大樓（分布層）交換機為DQ5）配置ACL，其它分布層交換機配置類似。

（1）拒絕FTP與telnet

DQ5（config）#access-list 110 deny tcp 192.168.23.0 0.0.1.255 192.168.2.0 0.0.0.255 eq 20 //拒絕FTP。（服務器群網段：192.168.2.0/24；西區學生宿舍1棟網段：192.168.23.0/23）

DQ5（config）#access-list 110 deny tcp 192.168.23.0 0.0.1.255 192.168.2.0 0.0.0.255 eq 21 //拒絕FTP

DQ5（config）#access-list 110 deny tcp 192.168.23.0 0.0.1.255 any eq 23 //拒絕Telnet數據流

DQ5（config）#access-list 110 deny icmp 192.168.23.0 0.0.1.255 192.168.4.0 0.0.0.255 //禁止icmp數據包進入財務處。（財務處網段：192.168.4.0/24）

DQ5（config）#access-list 110 permit ip any any //允許其它數據流通過

DQ5（config）#interface fa0/3

DQ5（config-if）#ip access-group 110 in //將ACL應用到接口

DQ5（config）#exit

（2）使用ACL控制VTY訪問

可以拒絕非法的訪問，保障網絡設備的安全性。

DQ5（config）#access-list 10 permit 192.168.1.0 0.0.0.255//交換機和路由器的管理網段：192.168.1.0/24

DQ5（config）#access-list 10 deny any

DQ5（config）#line vty 0 4

DQ5（config-line）#login

DQ5（config-line）#password cisco

DQ5（config-line）#access-class 10 in

（3）使用基于時間ACL限制上網時段

基于時間ACL不僅能夠讓網絡管理員更好地控制對資源的訪問和控制日志信息，還能使學生在工作日獲得充分休息時間，不至于影響第二天的工作、學習，保證教學質量。

DQ5（config）#ntp source giga0/1 //指定NTP服務連接國家授時中心的端口

DQ5（config）#ntp server 210.72.145.44 //國家授時中心地址

DQ5（config）#ntp update-calender //更新時間

DQ5（config）#time-range time-online //創建能夠上網的時間序列

DQ5（config-time-range）#periodic weekdays 06：00 to 23：00 //工作日6點到11點

DQ5（config-time-range）#periodic weeked 00：00 to 23：59 //周末全天

DQ5（config）#ip access-list extend net-control //創建訪問控制列表

DQ5（config-ext-nacl）#perimt ip any any time-range time-online //在時間序列內可以通過

DQ5（config-ext-nacl）#exit

DQ5（config）#interface giga0/4

DQ5（config-if）#ip access-list net-control in

（4）利用自反ACL限定訪問特定網段的數據流

由于自反ACL只允許內網用戶主動訪問外網流量，外網主動訪問內網的所有流量都被拒絕。但它允許由內網發向外網的返回（應答）流量。這對有嚴格要求的科室能起良好的防范作用，如財務處。財務處位于分布層交換機DQ3所在大樓內。

DQ3（config）#ip access-list extended zfacl-out

DQ3（config-ext-nacl）#permit tcp 192.168.4.0 0.0.0.255 any reflect TCPTRAFFIC //根據列表，產生自反項

DQ3（config-ext-nacl）#exit

DQ3（config）#ip access-list extended zfacl-in

DQ3（config-ext-nacl）#evaluate TCPTRAFFIC //生成自反列表

DQ3（config-ext-nacl）#exit

DQ3（config）#interface fa0/4

DQ3（config-if）#ip access-group zfacl-in in

DQ3（config-if）#ip access-group zfacl-out out

5.2 路由器的配置

路由器作為局域網的“大門”，它是實現與外網互聯的關鍵。除了像交換機一樣使用ACL控制VTY訪問、使用基于時間ACL限制上網時段等外，還要利用ACL阻擋非法或不安全信息進入局域網，使路由器具有防火墻功能。例如，利用ACL阻止病毒入侵。

阻斷病毒從特征端口進入，從而達到降低網絡常見病毒的傳播性的目的，也降低病毒對網絡安全的危害性。我們已經知道病毒程序和網絡攻擊程序常利用的端口有135、137、138、139、445、539、593、1434、4444、9996、5554 等，通過建立ACL，禁止與這些目的端口匹配的數據包通過路由器，把病毒阻止在大門之外，就達到保護網絡安全的目的。

R1（config）#ip access-list standard zdbd

R1（config-ext-nacl）#deny tcp any any eq 135

R1（config-ext-nacl）#deny udp any any eq 135

R1（config-ext-nacl）#deny tcp any any eq 137

R1（config-ext-nacl）#deny tcp any any eq 138

R1（config-ext-nacl）#deny tcp any any eq 139

R1（config-ext-nacl）#deny any any eq netbios-ssn//禁止連接文件與打印共享端口

R1（config-ext-nacl）#deny tcp any any eq 445

R1（config-ext-nacl）#deny udp any any eq 445

R1（config-ext-nacl）#deny tcp any any eq 539

R1（config-ext-nacl）#deny any any eq 539

R1（config-ext-nacl）#deny udp any any eq netbios-ns//禁止連接NetBIOS名稱服務端口

R1（config-ext-nacl）#deny udp any any eq netbios-dgm//禁止連接NETBIOS 數據報服務端口

R1（config-ext-nacl）#deny udp any any eq 593

R1（config-ext-nacl）#deny tcp any any eq 593

R1（config-ext-nacl）#deny udp any any eq 1434

R1（config-ext-nacl）#deny tcp any any eq 4444

R1（config-ext-nacl）#deny tcp any any eq 9996

R1（config-ext-nacl）#deny tcp any any eq 5554

R1（config-ext-nacl）#deny udp any any eq 5554

R1（config-ext-nacl）#permit ip any any

R1（config）#interface s0/0/0

R1（config-if）#ip access-group zdbd in

5.3 測試配置

圖2 測試FTP服務器截圖

實驗采用CiscoPacket Tracer5.5.3作為校園網模擬軟件。為了驗證ACL策略是否配置成功，下面選取部分項目進行測試。

（1）測試FTP服務器

本校園網中，FTP服務器的IP地址是192.168.2.111。測試結果如圖2所示。

從上圖可以看出，PC5可以ping通FTP服務器，但不能telnet FTP服務器（設置了拒絕Telnet數據流）。

（2）測試連接財務處

本校園網中，財務處主機的IP地址是192.168.4.1。測試結果如圖3所示。