基于ACL校園網(wǎng)絡(luò)安全的實(shí)現(xiàn)

59/74南陽理工學(xué)院本科生畢業(yè)設(shè)計(jì)(論文)學(xué)院(系)： 軟件學(xué)院專業(yè)： 網(wǎng)絡(luò)工程學(xué)生： 指導(dǎo)教師： 完成日期2012年04月南陽理工學(xué)院本科生畢業(yè)設(shè)計(jì)（論文）基于ACL的校園網(wǎng)絡(luò)安全策略的設(shè)計(jì)與實(shí)現(xiàn)BasedonDesignandImplementationofth

ecampusnetworksecuritypolicyinACL總計(jì)：畢業(yè)設(shè)計(jì)(論文)21頁表格：3個(gè)圖片：6個(gè)南陽理工學(xué)院本科畢業(yè)設(shè)計(jì)(論文)基于ACL的校園網(wǎng)絡(luò)安全策略的設(shè)計(jì)與實(shí)現(xiàn)BasedonDesignandImplementationofth

ecampusnetworksecuritypolicyinACL學(xué)院(系)： 軟件學(xué)院專業(yè)： 網(wǎng)絡(luò)工程學(xué)生姓名： 學(xué)號(hào)： 指導(dǎo)教師(職稱)： 講師評(píng)閱教師： 完成日期： 2012年04月14日南陽理工學(xué)院NanyangInstituteofTechnology基于ACL的校園網(wǎng)絡(luò)安全策略的設(shè)計(jì)與實(shí)現(xiàn)網(wǎng)絡(luò)工程隨著網(wǎng)絡(luò)的高速進(jìn)展，網(wǎng)絡(luò)的普及也越來越平民化，在人們的學(xué)習(xí)和生活的方方面面，網(wǎng)絡(luò)無孔不入，給人們的學(xué)習(xí)和生活帶來了極大的便利，但隨之而來的網(wǎng)絡(luò)安全問題也越來越引起人們的重視。高校校園網(wǎng)的安全是一個(gè)龐大的系統(tǒng)工程，需要全方位的防范。防范不僅是被動(dòng)的，更要主動(dòng)進(jìn)行。ACL（訪問操縱列表）是網(wǎng)絡(luò)安全防范和愛護(hù)的要緊策略，網(wǎng)絡(luò)治理員通常首選ACL策略來完成對(duì)所治理網(wǎng)絡(luò)的安全配置。由此可見ACL在網(wǎng)絡(luò)中的重要性。本文通過在校園網(wǎng)中配置ACL實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全策略的應(yīng)用，論文首先論述了ACL的進(jìn)展和應(yīng)用，詳細(xì)介紹ACL的概念、作用、工作流程、分類和局限性，然后介紹了各種類型的訪問操縱列表的具體配置，最后搭建配置校園網(wǎng)的環(huán)境，具體配置校園網(wǎng)的操縱訪問列表，實(shí)現(xiàn)校園網(wǎng)運(yùn)作在一個(gè)安全穩(wěn)定的環(huán)境中。ACL；校園網(wǎng)；網(wǎng)絡(luò)安全策略BasedonDesignandImplementationofth

ecampusnetworksecuritypolicyinACLNetEngineeringMajor Withtherapiddevelopmentofthenetwork,thepopularityofthenetworkmoreandmorecivilianspervasiveinpeople'slearningandallaspectsoflife,thenetworkhasbroughtgreatconveniencetopeople'slearningandlife,buttheaccompanyingnetworkthesecurityissuehasdrawnincreasingattention.CampusNetworksecurityisahugeproject,afullrangeofprevention.Preventionisnotonlypassive,butalsototaketheinitiative.ACL(AccessControlList)isthemainstrategyofpreventionandprotectionofnetworksecurity,networkadministratorsoftenpreferredtheACLpolicytocompletethesecurityconfigurationonthemanagementnetwork.ThisshowstheimportanceofACLinthenetwork.ThisarticlethroughinthecampusnetworkconfigurationACLtoachieveintheapplicationofnetworksecuritypolicy,thispaperfirstdiscussesthedevelopmentandapplicationoftheACL,detailedintroducestheconcept,function,ACLworkingprocess,andtheclassificationandlimitations,andthenintroducesvarioustypesofaccesscontrollistofthespecificconfiguration,buildenvironmentofcampusnetworklastconfiguration,andthespecificconfigurationofthecampusnetworkaccesscontrollist,realizecampusnetworkoperatinginasafeandstableenvironmentACL;CampusNetwork;NetworkSecurityPolicy目錄1.ACL的進(jìn)展和應(yīng)用 11.1ACL進(jìn)展 11.2ACL的應(yīng)用 12.ACL的概述 22.1ACL的定義 22.2ACL的作用 22.3ACL差不多原理 22.4ACL的工作過程 32.5ACL的分類 42.6ACL的局限性 42.7ACL的匹配順序 42.8通配符掩碼 52.9正確放置ACL 53.ACL的各種應(yīng)用配置 63.1標(biāo)準(zhǔn)ACL的配置 63.2擴(kuò)展ACL的配置 73.3命名ACL 83.4基于時(shí)刻段的ACL配置 93.5ACL的顯示調(diào)試和刪除 104.校園網(wǎng)ACL應(yīng)用實(shí)例 114.1搭建配置環(huán)境 124.2ACL在院系機(jī)構(gòu)的應(yīng)用 124.3ACL在教學(xué)機(jī)房中作用 144.3.1屏蔽特定端口防范病毒與攻擊 144.3.2通過ACL限制上網(wǎng)行為 154.4ACL對(duì)校園網(wǎng)P2P流量的操縱 164.4.1P2P工作原理 164.4.2抓包位置的部署 164.4.3索引服務(wù)器地址收集 164.4.4ACL的組成 164.4.5創(chuàng)建ACL策略 16結(jié)束語 17參考文獻(xiàn) 18附錄 19致謝 21ACL的進(jìn)展和應(yīng)用ACL進(jìn)展ACL（AccessControlList）的全稱是操縱訪問列表，操縱訪問起源于20世紀(jì)60年代，是一種重要的信息安全技術(shù)。所謂訪問操縱，確實(shí)是通過某種途徑顯示地準(zhǔn)許或限制訪問能力及范圍，從而限制對(duì)關(guān)鍵資源的訪問，防止非法用戶入侵或者合法用戶的不慎操作造成破壞。網(wǎng)絡(luò)中常講的ACL是CISCOIOS所提供的一種訪問操縱技術(shù)，初期僅在路由器上支持，近些年來差不多擴(kuò)展到三層交換機(jī)，部分最新的二層交換機(jī)如2950之類也開始開始提供ACL的支持。只只是支持的特性不是那么完善而已。在其他廠商的路由器或多層交換機(jī)上也提供類似的技術(shù)，只是名稱和配置方法都可能有細(xì)微的差不。CISCO路由器中有兩種常用的操縱訪問列表，一種是標(biāo)準(zhǔn)訪問列表，另一種是擴(kuò)展訪問列表。標(biāo)準(zhǔn)ACL能夠阻止來自某一網(wǎng)絡(luò)的所有通信流量，或者同意來自某一特定網(wǎng)絡(luò)的所有通信流量，或者拒絕某一協(xié)議簇（比如IP）的所有通信流量。擴(kuò)展ACL比標(biāo)準(zhǔn)ACL提供了更廣泛的操縱范圍。例如，網(wǎng)絡(luò)治理員假如希望做到“同意外來的Web通信流量通過，拒絕外來的FTP和Telnet等通信流量”，那么，他能夠使用擴(kuò)展ACL來達(dá)到目的，標(biāo)準(zhǔn)ACL不能操縱這么精確。在標(biāo)準(zhǔn)與擴(kuò)展訪問操縱列表中均要使用表號(hào)，而在命名訪問操縱列表中使用一個(gè)字母或數(shù)字組合的字符串來代替前面所使用的數(shù)字。使用命名訪問操縱列表能夠用來刪除某一條特定的操縱條目，如此能夠讓我們?cè)谑褂眠^程中方便地進(jìn)行修改。在使用命名訪問操縱列表時(shí)，要求路由器的IOS在11.2以上的版本，同時(shí)不能以同一名字命名多個(gè)ACL，不同類型的ACL也不能使用相同的名字。隨著網(wǎng)絡(luò)的進(jìn)展和用戶要求的變化，從IOS12.0開始，思科（CISCO）路由器新增加了一種基于時(shí)刻的訪問列表。通過它，能夠依照一天中的不同時(shí)刻，或者依照一星期中的不同日期，或二者相結(jié)合來操縱網(wǎng)絡(luò)數(shù)據(jù)包的轉(zhuǎn)發(fā)。這種基于時(shí)刻的訪問列表，確實(shí)是在原來的標(biāo)準(zhǔn)訪問列表和擴(kuò)展訪問列表中，加入有效的時(shí)刻范圍來更合理有效地操縱網(wǎng)絡(luò)。首先定義一個(gè)時(shí)刻范圍，然后在原來的各種訪問列表的基礎(chǔ)上應(yīng)用它。ACL的應(yīng)用ACL（AccessControlList，訪問操縱列表）是用來實(shí)現(xiàn)流識(shí)不功能的。網(wǎng)絡(luò)設(shè)備為了過濾報(bào)文，需要配置一系列的匹配條件對(duì)報(bào)文進(jìn)行分類，這些條件能夠是報(bào)文的源地址、目的地址、端口號(hào)等。通過在路由器以及交換機(jī)上配置相關(guān)規(guī)則即可實(shí)現(xiàn)對(duì)數(shù)據(jù)包的過濾，而不需要添加額外的防火墻等過濾設(shè)備既能夠?qū)崿F(xiàn)對(duì)數(shù)據(jù)包的過濾。由于實(shí)現(xiàn)方式簡單，效果明顯，同時(shí)成本低廉，適合校園網(wǎng)、小型企業(yè)等節(jié)約網(wǎng)絡(luò)成本的網(wǎng)絡(luò)中用于數(shù)據(jù)包的操縱[1]。同時(shí)其他網(wǎng)絡(luò)技術(shù)結(jié)合ACL配置也能夠?qū)崿F(xiàn)相應(yīng)的功能，例如NAT、IPSEC、路由策略、QOS等，由此可見ACL的重要性。ACL的概述ACL的定義訪問操縱列表（AccessControlList，ACL）是路由器和交換機(jī)接口的指令列表，用來操縱端口進(jìn)出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議，如IP、IPX、AppleTalk等。這張表中包含了匹配關(guān)系、條件和查詢語句，表只是一個(gè)框架結(jié)構(gòu)，其目的是為了對(duì)某種訪問進(jìn)行操縱。ACL的作用訪問操縱列表（AccessControlList,ACL）是治理者加入的一系列操縱數(shù)據(jù)包在路由器中輸入、輸出的規(guī)則。ACL能夠限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。ACL能夠依照數(shù)據(jù)包的協(xié)議，指定數(shù)據(jù)包的優(yōu)先級(jí)。ACL能夠限定或簡化路由更新信息的長度，從而限制通過路由器某一網(wǎng)段的通信流量。ACL是提供網(wǎng)絡(luò)安全訪問的差不多手段，ACL同意主機(jī)A訪問網(wǎng)絡(luò)，而拒絕主機(jī)B訪問。ACL適用于所有的被路由協(xié)議，如IP、IPX、AppleTalk等。ACL是路由器接口的指令列表，用來操縱端口進(jìn)出的數(shù)據(jù)包，ACL能夠在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被堵塞。例如，用戶能夠同意E-mail通信流量被路由，拒絕所有的Telnet通信流量。ACL差不多原理網(wǎng)絡(luò)中的節(jié)點(diǎn)資源節(jié)點(diǎn)和用戶節(jié)點(diǎn)兩大類，其中資源節(jié)點(diǎn)提供服務(wù)或數(shù)據(jù)，用戶節(jié)點(diǎn)訪問資源節(jié)點(diǎn)所提供的服務(wù)與數(shù)據(jù)。ACL的要緊功能確實(shí)是一方面愛護(hù)資源節(jié)點(diǎn)，阻止非法用戶對(duì)資源節(jié)點(diǎn)的訪問，另一方面限制特定的用戶節(jié)點(diǎn)所能具備的訪問權(quán)限。ACL中規(guī)定了兩種操作，所有的應(yīng)用差不多上圍繞這兩種操作來完成的：同意、拒絕

ACL是CISCOIOS中的一段程序，關(guān)于治理員輸入的指令，有其自己的執(zhí)行順序，它執(zhí)行指令的順序是從上至下，一行行的執(zhí)行，查找匹配，一旦匹配則停止接著查找，假如到末尾還未找到匹配項(xiàng)，則執(zhí)行一段隱含代碼——丟棄DENY.因此在寫ACL時(shí)，一定要注意先后順序。

能夠發(fā)覺，在ACL的配置中的一個(gè)規(guī)律：越精確的表項(xiàng)越靠前，而越籠統(tǒng)的表項(xiàng)越靠后放置。當(dāng)入站數(shù)據(jù)包進(jìn)入路由器內(nèi)時(shí)，路由器首先推斷數(shù)據(jù)包是否從可路由的源地址而來，否的話放入數(shù)據(jù)包垃圾桶中，是的話進(jìn)入下一步；路由器推斷是否能在路由選擇表內(nèi)找到入口，不能找到的話放入數(shù)據(jù)垃圾桶中，能找到的話進(jìn)入下一步。接下來選擇路由器接口，進(jìn)入接口后使用ACL。ACL使用包過濾技術(shù)，在路由器上讀取第三層及第四層包頭中的信息如源地址、目的地址、源端口、目的端口等，依照預(yù)先定義好的規(guī)則對(duì)包進(jìn)行過濾，從而達(dá)到訪問操縱的目的[2]。其中標(biāo)準(zhǔn)操縱列表只讀取數(shù)據(jù)包中的源地址信息，而擴(kuò)展訪問操縱列表則還會(huì)讀取數(shù)據(jù)包中的目的地址、源端口、目的端口和協(xié)議類型等信息。ACL推斷數(shù)據(jù)包是否符合所定義的規(guī)則，符合要求的數(shù)據(jù)包同意其到達(dá)目的地址進(jìn)入網(wǎng)絡(luò)內(nèi)部，不符合規(guī)則的則丟棄，同時(shí)通知數(shù)據(jù)包發(fā)送端，數(shù)據(jù)包未能成功通過路由器。通過ACL，能夠簡單的將不符合規(guī)則要求的危險(xiǎn)數(shù)據(jù)包拒之門外，使其不能進(jìn)入內(nèi)部網(wǎng)絡(luò)。具體過程如下圖所示:圖STYLEREF1\s2–SEQ圖\*ARABIC\s11ACL的工作過程不管在路由器上有無ACL，接到數(shù)據(jù)包的處理方法差不多上一樣的：當(dāng)數(shù)據(jù)進(jìn)入某個(gè)入站口時(shí)，路由器首先對(duì)其進(jìn)行檢查，看其是否可路由，假如不可路由那么就丟棄，反之通過查路由選擇表發(fā)覺該路由的詳細(xì)信息——包括AD，METRIC……及對(duì)應(yīng)的出接口。這時(shí)，我們假定該數(shù)據(jù)是可路由的，同時(shí)差不多順利完成了第一步，找出了要將其送出站的接口，現(xiàn)在路由器檢查該出站口有沒有被編入ACL，假如沒有ACL的話，則直接從該口送出。假如該接口編入了ACL，那么就比較苦惱[3]。第一種情況——路由器將按照從上到下的順序依次把該數(shù)據(jù)和ACL進(jìn)行匹配，從上往下，逐條執(zhí)行，當(dāng)發(fā)覺其中某條ACL匹配，則依照該ACL指定的操作對(duì)數(shù)據(jù)進(jìn)行相應(yīng)處理（同意或拒絕），并停止接著查詢匹配；當(dāng)查到ACL的最末尾，依舊未找到匹配，則調(diào)用ACL最末尾的一條隱含語句denyany來將該數(shù)據(jù)包丟棄。ACL的分類目前有兩種要緊的ACL：標(biāo)準(zhǔn)ACL和擴(kuò)展ACL。標(biāo)準(zhǔn)ACL只檢查數(shù)據(jù)包的源地址；擴(kuò)展ACL既檢查數(shù)據(jù)包的源地址，也檢查數(shù)據(jù)包的目的地址，同時(shí)還能夠檢查數(shù)據(jù)包的特定協(xié)議類型、端口號(hào)等。這兩種ACL的區(qū)不是，標(biāo)準(zhǔn)ACL只檢查數(shù)據(jù)包的源地址；擴(kuò)展ACL既檢查數(shù)據(jù)包的源地址，也檢查數(shù)據(jù)包的目的地址，同時(shí)還能夠檢查數(shù)據(jù)包的特定協(xié)議類型、端口號(hào)等。網(wǎng)絡(luò)治理員能夠使用標(biāo)準(zhǔn)ACL阻止來自某一網(wǎng)絡(luò)的所有通信流量，或者同意來自某一特定網(wǎng)絡(luò)的所有通信流量，或者拒絕某一協(xié)議簇（比如IP）的所有通信流量。擴(kuò)展ACL比標(biāo)準(zhǔn)ACL提供了更廣泛的操縱范圍。例如，網(wǎng)絡(luò)治理員假如希望做到“同意外來的Web通信流量通過，拒絕外來的FTP和Telnet等通信流量”，那么，他能夠使用擴(kuò)展ACL來達(dá)到目的，標(biāo)準(zhǔn)ACL不能操縱這么精確。在路由器配置中，標(biāo)準(zhǔn)ACL和擴(kuò)展ACL的區(qū)不是由ACL的表號(hào)來體現(xiàn)的，上表指出了每種協(xié)議所同意的合法表號(hào)的取值范圍。IP標(biāo)準(zhǔn)訪問操縱列表編號(hào)：1～99或1300～1999IP擴(kuò)展訪問操縱列表編號(hào)：100～199或2000～2699標(biāo)準(zhǔn)訪問操縱列表和擴(kuò)展訪問操縱列表的對(duì)比如下圖所示。圖STYLEREF1\s2–SEQ圖\*ARABIC\s12標(biāo)準(zhǔn)ACL與擴(kuò)展ACL對(duì)比ACL的局限性由于ACL是使用包過濾技術(shù)來實(shí)現(xiàn)的，過濾的依據(jù)又僅僅只是第三層和第四層包頭中的部分信息，這種技術(shù)具有一些固有的局限性，如無法識(shí)不到具體的人，無法識(shí)不到應(yīng)用內(nèi)部的權(quán)限級(jí)不等[4]。因此，要達(dá)到endtoend的權(quán)限操縱目的，需要和系統(tǒng)級(jí)及應(yīng)用級(jí)的訪問權(quán)限操縱結(jié)合使用。ACL的匹配順序ACL的執(zhí)行順序是從上往下執(zhí)行，CiscoIOS按照各描述語句在ACL中的順序，依照各描述語句的推斷條件，對(duì)數(shù)據(jù)包進(jìn)行檢查。一旦找到了某一匹配條件，就結(jié)束比較過程，不再檢查以后的其他條件推斷語句。在寫ACL時(shí)，一定要遵循最為精確匹配的ACL語句一定要卸載最前面的原則，只有如此才能保證可不能出現(xiàn)無用的ACL語句圖STYLEREF1\s2–SEQ圖\*ARABIC\s13ACL匹配順序通配符掩碼通配符掩碼是一個(gè)32位的數(shù)字字符串，0表示“檢查相應(yīng)的位”，1表示“不檢查（忽略）相應(yīng)的位”。IP地址掩碼的作用：區(qū)分網(wǎng)絡(luò)為和主機(jī)位，使用的是與運(yùn)算。0和任何數(shù)相乘都得0，1和任何數(shù)相乘都得任何數(shù)。通配符掩碼：把需要準(zhǔn)確匹配的位設(shè)為0，其他位為1，進(jìn)行或運(yùn)算。1或任何數(shù)都得1，0或任何數(shù)都得任何數(shù)。專門的通配符掩碼：1.Any552.Host8Host8正確放置ACLACL通過制定的規(guī)則過濾數(shù)據(jù)包，同時(shí)丟棄不希望抵達(dá)目的地址的不安全數(shù)據(jù)包來達(dá)到操縱通信流量的目的[5]。然而網(wǎng)絡(luò)能否有效地減少不必要的通信流量，同時(shí)達(dá)到愛護(hù)內(nèi)部網(wǎng)絡(luò)的目的，將ACL放置在哪個(gè)位置也十分關(guān)鍵。假設(shè)存在著一個(gè)簡單的運(yùn)行在TCP/IP協(xié)議的網(wǎng)絡(luò)環(huán)境，分成4個(gè)網(wǎng)絡(luò)，設(shè)置一個(gè)ACL拒絕從網(wǎng)絡(luò)1到網(wǎng)絡(luò)4的訪問。依照減少不必要通信流量的準(zhǔn)則，應(yīng)該把ACL放置于被拒絕的網(wǎng)絡(luò)，即網(wǎng)絡(luò)1處，在本例中是圖中的路由器A上。但假如按那個(gè)準(zhǔn)則設(shè)置ACL后會(huì)發(fā)覺，不僅是網(wǎng)絡(luò)1與網(wǎng)絡(luò)4不能連通，網(wǎng)絡(luò)1與網(wǎng)絡(luò)2和3也都不能連通?；貞洏?biāo)準(zhǔn)ACL的特性就能明白，標(biāo)準(zhǔn)ACL只檢查數(shù)據(jù)包的中的源地址部分，在本例子中，凡是發(fā)覺源地址為網(wǎng)絡(luò)1網(wǎng)段的數(shù)據(jù)包都會(huì)被丟棄，造成了網(wǎng)絡(luò)1不能與其他網(wǎng)絡(luò)聯(lián)通的現(xiàn)象。由此可知，依照那個(gè)準(zhǔn)則放置的ACL不能達(dá)到目的，只有將ACL放置在目的網(wǎng)絡(luò)，在本例子中即是網(wǎng)絡(luò)4中的路由器D上，才能達(dá)到禁止網(wǎng)絡(luò)1訪問網(wǎng)絡(luò)4的目的。由此能夠得出一個(gè)結(jié)論，標(biāo)準(zhǔn)訪問操縱列表應(yīng)盡量放置在靠近目的端口的位置。在本例子中，假如使用擴(kuò)展ACL來達(dá)到同樣的要求，則完全能夠把ACL放置在網(wǎng)絡(luò)1的路由器A上。這是因?yàn)閿U(kuò)展訪問操縱列表不僅檢查數(shù)據(jù)包中的源地址，還會(huì)檢查數(shù)據(jù)包中的目的地址、源端口、目的端口等參數(shù)。放置在路由器A中的訪問操縱列表只要檢查出數(shù)據(jù)包的目的地址是指向網(wǎng)絡(luò)4的網(wǎng)段，則會(huì)丟棄那個(gè)數(shù)據(jù)包，而檢查出數(shù)據(jù)包的目的地址是指向網(wǎng)絡(luò)2和3的網(wǎng)段，則會(huì)讓那個(gè)數(shù)據(jù)包通過。既滿足了減少網(wǎng)絡(luò)通信流量的要求，又達(dá)到了阻擋某些網(wǎng)絡(luò)訪問的目的。由此，能夠得出一個(gè)結(jié)論，擴(kuò)展訪問操縱列表應(yīng)盡量放置在靠近源端口的位置。圖STYLEREF1\s2–SEQ圖\*ARABIC\s14正確設(shè)置ACL編輯原則：標(biāo)準(zhǔn)ACL要盡量靠近目的端，擴(kuò)展ACL要盡量靠近源端。ACL的各種應(yīng)用配置標(biāo)準(zhǔn)ACL的配置標(biāo)準(zhǔn)ACL命令的詳細(xì)語法創(chuàng)建ACL定義例如：Router(config)#access-list1permit55將配置應(yīng)用于接口：例如：Router(config-if)#ipaccess-group1out下面更詳細(xì)的介紹擴(kuò)展ACL的各個(gè)參數(shù)：以下是標(biāo)準(zhǔn)訪問列表的常用配置命令。躍過簡單的路由器和PC的IP地址設(shè)置配置路由器上的標(biāo)準(zhǔn)訪問操縱列表R1(config)#access-list1deny55R1(config)#access-list1permitanyR1(config)#access-list2permit55常用實(shí)驗(yàn)調(diào)試命令在PC1網(wǎng)絡(luò)所在的主機(jī)上ping，應(yīng)該通，在PC2網(wǎng)絡(luò)所在的主機(jī)上ping,應(yīng)該不通，在主機(jī)PC3上Telnet,應(yīng)該成功?！璒utgoingaccesslistisnotsetInboundaccesslistis1……以上輸出表明在接口S2/0的入方向應(yīng)用了訪問操縱列表1。擴(kuò)展ACL的配置擴(kuò)展ACL命令的詳細(xì)語法創(chuàng)建ACL定義例如：accell-list101permithostanyeqtelnet應(yīng)用于接口例如：Router(config-if)#ipaccess-group101outRouter(config)#access-listaccess-list-number{permit|deny}protocolsourcesource-wildcard[operatorport]destinationdestination-wildcard[operatorport][established][log]表格SEQ表格\*ARABIC1擴(kuò)展ACL參數(shù)描述參數(shù)參數(shù)描述access-list-number訪問操縱列表表號(hào)permit|deny假如滿足條件，同意或拒絕后面指定特定地址的通信流量protocol用來指定協(xié)議類型，如IP、TCP、UDP、ICMP等Sourceanddestination分不用來標(biāo)識(shí)源地址和目的地址source-mask通配符掩碼，跟源地址相對(duì)應(yīng)destination-mask通配符掩碼，跟目的地址相對(duì)應(yīng)operatorlt,gt,eq,neq(小于，大于，等于，不等于)operand一個(gè)端口號(hào)established假如數(shù)據(jù)包使用一個(gè)已建立連接，便可同意TCP信息通過表格SEQ表格\*ARABIC2常見端口號(hào)端口號(hào)(PortNumber)

20文件傳輸協(xié)議（FTP）數(shù)據(jù)21文件傳輸協(xié)議（FTP）程序23遠(yuǎn)程登錄（Telnet）25簡單郵件傳輸協(xié)議（SMTP）69一般文件傳送協(xié)議（TFTP）80超文本傳輸協(xié)議(HTTP)53域名服務(wù)系統(tǒng)（DNS）相比差不多訪問操縱列表，擴(kuò)展訪問操縱列表更加復(fù)雜，不僅需要讀取數(shù)據(jù)包的源地址，還有目的地址、源端口和目的端口。圖STYLEREF1\s3–SEQ圖\*ARABIC\s11擴(kuò)展訪問操縱列表的常見配置命令。配置路由器(config)#access-list100permittcp55hosteqwww常用調(diào)試命令分不在訪問路由器的Telnet和WWW服務(wù)，然后查看訪問操縱列表100：R1#showipaccess-lists100ExtendedIPaccesslist100permittcp55hosteqwww……命名ACL命名ACL是IOS11.2以后支持的新特性。命名ACL同意在標(biāo)準(zhǔn)ACL和擴(kuò)展ACL中使用字符串代替前面所使用的數(shù)字來表示ACL，命名ACL還能夠被用來從某一特定的ACL中刪除個(gè)不的操縱條目，如此能夠讓網(wǎng)絡(luò)治理員方便地修改ACL[6]。它提供的兩個(gè)要緊優(yōu)點(diǎn)是：解決ACL的號(hào)碼不足問題；能夠自由的刪除ACL中的一條語句，而不必刪除整個(gè)ACL。命名ACL的要緊不足之處在于無法實(shí)現(xiàn)在任意位置加入新的ACL條目。語法為：Router(config)#ipaccess-list{standard|extended}name名字字符串要唯一Router(config{std-|ext-}nacl)#{permit|deny}{ipaccesslisttestconditions}{permit|deny}{ipaccesslisttestconditions}no{permit|deny}{ipaccesslisttestconditions}同意或拒絕陳述前沒有表號(hào)能夠用“NO”命令去除特定的陳述Router(config-if)#ipaccess-groupname{in|out}在接口上激活命名ACL例如：ipaccess-listextendserver-protectpermittcp55host1eq1521intvlan2ipaccess-groupserver-protect命名ACL還有一個(gè)專門好的優(yōu)點(diǎn)確實(shí)是能夠?yàn)槊總€(gè)ACL取一個(gè)有意義的名字，便于日后的治理和維護(hù)。最后是命名ACL常用配置命令。在路由器上配置命名的標(biāo)準(zhǔn)ACLR1(config)#ipaccess-liststandardstandR1(config-std-nacl)#deny55R1(config-std-nacl)#permitany創(chuàng)建名為stand的標(biāo)準(zhǔn)命名ACL在路由器上查看命名ACLR1#showipaccess-listsStandardIPaccesslist1deny55permitany(110match(es))……在路由器配置命名的擴(kuò)展ACLR1(config)#ipaccess-listextendedext1R1(config-ext-nacl)#permittcp55hosteqwww創(chuàng)建名為ext1的命名擴(kuò)展訪問ACL在路由器上查看命名訪問ACLR1#showaccess-listsExtendedIPaccesslistext1permittcp55hosteqwww基于時(shí)刻段的ACL配置使用標(biāo)準(zhǔn)訪問操縱列表和擴(kuò)展訪問操縱列表就能夠應(yīng)付大部分過濾網(wǎng)絡(luò)數(shù)據(jù)包的要求了。只是在實(shí)際的使用中總會(huì)有人提出一些較為苛刻的要求，這是就還需要掌握一些關(guān)于ACL的高級(jí)技巧[7]?；跁r(shí)刻的訪問操縱類不就屬于高級(jí)技巧之一。基于時(shí)刻的訪問操縱列表的用途：可能一些單位或者公司會(huì)遇到如此的情況，要求上班時(shí)刻不能使用QQ或者掃瞄某些網(wǎng)站，或者不能在上班時(shí)刻使用某些應(yīng)用，只有在下班或者周末才能夠。關(guān)于這種情況，僅僅通過公布通知不能完全杜絕職員非法使用的問題，這時(shí)基于時(shí)刻的訪問操縱列表就應(yīng)運(yùn)而生了?；跁r(shí)刻的訪問操縱列表的格式;基于時(shí)刻的訪問操縱列表由兩部分組成，第一部分是定義時(shí)刻段，第二部分是用擴(kuò)展訪問操縱列表定義規(guī)則。那個(gè)地點(diǎn)要緊解釋下定義時(shí)刻段，具體格式如下：time-range時(shí)刻段格式absolutestart[小時(shí)：分鐘][日月年][end][小時(shí)：分鐘][日月年]例如：time-rangesofterabsolutestart0:001may2005end12:001june2005意思是定義了一個(gè)時(shí)刻段，名稱為softer，同時(shí)設(shè)置了那個(gè)時(shí)刻段的起始時(shí)刻為2005年5月1日零點(diǎn)，結(jié)束時(shí)刻為2005年6月1日中午12點(diǎn)。還能夠定義工作日和周末，具體要使用periodic命令。將在下面的配置實(shí)例中詳細(xì)介紹?；跁r(shí)刻的ACL配置常用命令R1(config)#time-rangetime//定義時(shí)刻范圍R1(config-time-range)#periodicweekdays8:00to18:00R1(config)#access-list111permittcphosthosteqtelnettime-rangetime常用實(shí)驗(yàn)調(diào)試命令用“clockset”命令將系統(tǒng)時(shí)刻調(diào)整到周一至周五的8：00-18：00范圍內(nèi)，然后在Telnet路由器R1，現(xiàn)在能夠成功，然后查看訪問操縱列表111：R1#showaccess-listsExtendedIPaccesslist11110permittcphosthosteqtelnettime-rangetime(active)用“clockset”命令將系統(tǒng)時(shí)刻調(diào)整到8：00-18：00范圍之外，然后Telnet路由器R1，現(xiàn)在不能夠成功，然后查看訪問操縱列表111：R1#showaccess-listsExtendedIPaccesslist11110permittcphosthosteqtelnettime-rangetime(inactive)showtime-range：該命令用來查看定義的時(shí)刻范圍。R1#showtime-rangetime-rangeentry:time(inactive)periodicweekdays8:00to18:00usedin:IPACLentry以上輸出表示在3條ACL中調(diào)用了該time-range。ACL的顯示調(diào)試和刪除訪問操縱列表的現(xiàn)實(shí)和調(diào)試都在特權(quán)模式下執(zhí)行。使用“showaccess-lists”能夠顯示路由器上設(shè)置的所有ACL條目；使用“showaccess-listaclnumber”則能夠顯示特定ACL號(hào)的ACL條目；使用“showtime-range”命令能夠用來查看定義的時(shí)刻范圍；使用“clearaccess-listcounters”命令能夠?qū)⒃L問操縱列表的計(jì)數(shù)器清零[8]。刪除ACL的方法十分簡單，只需在ACL表號(hào)前加“NO”就能夠了，例如：R2(config)#noaccess-list1輸入那個(gè)命令后，ACL表號(hào)為1和2的ACL內(nèi)所有的條目都會(huì)被刪除。標(biāo)準(zhǔn)和擴(kuò)展的ACL只能刪除整個(gè)ACL條目，不能刪除個(gè)不條目。命名ACL與標(biāo)準(zhǔn)和擴(kuò)展ACL不同，它能夠刪除個(gè)不的操縱條目。例如:nopermittcp55host1eq1521在“permittcp55host1eq1521”前加“no即可刪除這條ACL語句條目，之后能夠重新寫入新的條目。校園網(wǎng)ACL應(yīng)用實(shí)例校園網(wǎng)建設(shè)的目標(biāo)簡而言之是將校園內(nèi)各種不同應(yīng)用的信息資源通過高性能的網(wǎng)絡(luò)設(shè)備相互連接起來，形成校園園區(qū)內(nèi)部的Intranet系統(tǒng)，對(duì)外通過路由設(shè)備接入廣域網(wǎng)。包過濾技術(shù)和代理服務(wù)技術(shù)是當(dāng)今最廣泛采納的網(wǎng)絡(luò)安全技術(shù)，也確實(shí)是我們通常稱的防火墻技術(shù)[9]。防火墻能夠依照網(wǎng)絡(luò)安全的規(guī)則設(shè)置同意通過授權(quán)的數(shù)據(jù)包進(jìn)出內(nèi)部網(wǎng)絡(luò)，同時(shí)將非法數(shù)據(jù)包擋在防火墻內(nèi)外，最大限度地阻止黑客攻擊。包過濾技術(shù)以訪問操縱列表的形式出現(xiàn)，一個(gè)設(shè)計(jì)良好的校園網(wǎng)絡(luò)訪問操縱列表不僅能夠起到操縱網(wǎng)絡(luò)流量、流量的作用，還能夠在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產(chǎn)品的功能。針對(duì)校園網(wǎng)中各種網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)病毒對(duì)教學(xué)和治理造成的一系列的阻礙，通過對(duì)校園網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的分析，在三層網(wǎng)絡(luò)結(jié)構(gòu)中的匯聚層設(shè)定相應(yīng)的ACL策略，校園網(wǎng)絡(luò)是典型的三層網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)即接入層、匯聚層、核心層，接入層面對(duì)的是大量的學(xué)生PC、教師PC，通過劃分VLAN來區(qū)分不同系不的學(xué)生，教師，同時(shí)能夠減小廣播域，保證網(wǎng)絡(luò)安全等功能。通過設(shè)置基于MAC的ACL來完成對(duì)接入層網(wǎng)絡(luò)的操縱，幸免由于任意接入網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)造成的潛在安全隱患。同時(shí)在接入層設(shè)備上設(shè)置限速ACL來限制迅雷等P2P軟件的速度將網(wǎng)絡(luò)流量操縱在接入層從而保證網(wǎng)絡(luò)出口的流暢，在匯聚層設(shè)置基于時(shí)刻的ACL要緊保證教師PC的網(wǎng)絡(luò)帶寬而在夜間自動(dòng)將帶寬分給學(xué)生。在核心層出口配置擴(kuò)展ACL來完成數(shù)據(jù)包過濾、在入口上實(shí)現(xiàn)禁止外網(wǎng)訪問指定的內(nèi)部網(wǎng)站等。在出口配置NAT來解決IP不足問題，同時(shí)能夠?qū)ｉT好的隱藏內(nèi)網(wǎng)IP，來防止網(wǎng)絡(luò)的攻擊。下面通過模擬CiscoPacketTracert5.3模擬器模擬校園網(wǎng)環(huán)境，配置校園網(wǎng)路由器及三層交換機(jī)上的ACL，達(dá)到模擬校園網(wǎng)絡(luò)數(shù)據(jù)操縱的目的。通過模擬環(huán)境的實(shí)驗(yàn)，還能夠模擬各種網(wǎng)絡(luò)攻擊，模擬特定目的端口數(shù)據(jù)包的發(fā)送，從而檢驗(yàn)配置的ACL命令的可行性。搭建配置環(huán)境校園網(wǎng)拓?fù)鋱D如REF_Ref322154238圖4–1所示圖STYLEREF1\s4–SEQ圖\*ARABIC\s11校園網(wǎng)的VLAN及IP地址規(guī)劃VLAN號(hào)VLAN名稱IP網(wǎng)段默認(rèn)網(wǎng)關(guān)講明VLAN1-/24治理VLANVLAN10JWC/24教務(wù)處VLANVLAN20XSSS/24學(xué)生宿舍VLANVLAN30CWC/24財(cái)務(wù)處VLANVLAN40JGSS/24教工宿舍VLANVLAN50ZWX/24中文系VLANVLAN60WYX/24外語系VLANVLAN70JSJX/24計(jì)算機(jī)系VLANVLAN100FWQQ服務(wù)器群VLAN表STYLEREF1\s4–SEQ表\*ARABIC\s11具體的VLAN設(shè)置方法及網(wǎng)絡(luò)聯(lián)通設(shè)置在那個(gè)地點(diǎn)不在冗述，重點(diǎn)放在ACL的設(shè)置上。ACL在院系機(jī)構(gòu)的應(yīng)用首先是設(shè)置校園網(wǎng)內(nèi)部三層交換機(jī)上的ACL。規(guī)定只有在財(cái)務(wù)處VLAN30內(nèi)的主機(jī)能夠訪問財(cái)務(wù)處VLAN30，其他的教學(xué)單位部門能夠互訪；學(xué)生宿舍和教工宿舍VLAN能夠互訪，同時(shí)能夠訪問除了財(cái)務(wù)處和教務(wù)處外的其他教學(xué)單位。所有VLAN都能夠訪問服務(wù)器群VLAN。財(cái)務(wù)處ACL設(shè)置MultilayerSwitch1(config)#ipaccess-listextendedCWCMultilayerSwitch1(config-ext-nacl)#permittcp55any教工宿舍ACL設(shè)置與學(xué)生宿舍ACL設(shè)置同理在網(wǎng)絡(luò)環(huán)境中還普遍存在著一些特不重要的、阻礙服務(wù)器群安全的隱患。接下來是對(duì)連接外網(wǎng)的路由器添加ACL。屏蔽簡單網(wǎng)絡(luò)治理協(xié)議（SNMP）利用那個(gè)協(xié)議，遠(yuǎn)程主機(jī)能夠監(jiān)視、操縱網(wǎng)絡(luò)上的其他網(wǎng)絡(luò)設(shè)備。它有兩種服務(wù)類型：SNMP和SNMPTRAP[10]。R1(config)#ipaccess-listextendednetR1(config-ext-nacl)#denyudpanyanyeq161……對(duì)外屏蔽遠(yuǎn)程登錄協(xié)議TelnetR1(config-ext-nacl)#denytcpanyanyeq23對(duì)外屏蔽其他不安全的協(xié)議和服務(wù)如此的協(xié)議要緊有SUNOS的文件共享協(xié)議端口2049，遠(yuǎn)程執(zhí)行（rsh）、遠(yuǎn)程登錄（rlogin）和遠(yuǎn)程命令（rcmd）端口512、513、514，遠(yuǎn)程過程調(diào)用（SUNRPC）端口111。R1(config-ext-nacl)#denytcpanyanyrange512514……防止DoS攻擊DoS攻擊（DenialofServiceAttack，拒絕服務(wù)攻擊）是一種特不常見而且極具破壞力的攻擊手段，它能夠?qū)е路?wù)器、網(wǎng)絡(luò)設(shè)備的正常服務(wù)進(jìn)程停止，嚴(yán)峻時(shí)會(huì)導(dǎo)致服務(wù)器操作系統(tǒng)崩潰[11]。R1(config-ext-nacl)#denyudpanyanyeq7……R1(config)#intf0/0R1(config-if)#noipdirected-broadcast最后一行的設(shè)置禁止子網(wǎng)內(nèi)廣播愛護(hù)路由器安全作為內(nèi)網(wǎng)、外網(wǎng)間屏障的路由器，愛護(hù)自身安全的重要性也是不言而喻的。為了阻止黑客入侵路由器，必須對(duì)路由器的訪問位置加以限制[12]。應(yīng)只同意來自服務(wù)器群的IP地址使用Telnet訪問并配置路由器，內(nèi)部其他部分的主機(jī)都不能用Telnet訪問和配置路由器。R1(config)#access-list1permit55R1(config)#linevty04R1(config-line)#access-class1inR1(config-line)#passwordciscoR1(config-line)#enablepasswordcisco系統(tǒng)測(cè)試當(dāng)校園網(wǎng)環(huán)境建成后，應(yīng)對(duì)校園網(wǎng)的整體運(yùn)行情況做一下細(xì)致的測(cè)試和評(píng)估。大致包含以下測(cè)試：對(duì)相同VLAN內(nèi)通信進(jìn)行測(cè)試、對(duì)不同VLAN內(nèi)的通信進(jìn)行測(cè)試、對(duì)內(nèi)部網(wǎng)的ACL進(jìn)行測(cè)試、對(duì)廣域網(wǎng)接入路由器上的ACL進(jìn)行測(cè)試。測(cè)試相同VLAN內(nèi)通信添加一臺(tái)財(cái)務(wù)處VLAN30的主機(jī)，與VLAN30的用PING命令測(cè)試聯(lián)通性。PC>ping00Pinging11with32bytesofdata:Replyfrom11:bytes=32time=47msTTL=128成功聯(lián)通測(cè)試不同VLAN間通信使用VLAN30內(nèi)的主機(jī)與學(xué)生宿舍VLAN20用PING命令測(cè)試聯(lián)通性PC>ping00Pinging00with32bytesofdata:Requesttimedout.連接失敗，證明ACL設(shè)置成功。使用學(xué)生宿舍內(nèi)主機(jī)PING教務(wù)處主機(jī)PC>ping00Pinging00with32bytesofdata:Requesttimedout.連接失敗，證明ACL設(shè)置成功。測(cè)試路由器ACL內(nèi)部網(wǎng)絡(luò)使用服務(wù)器群Telnet路由器PC>telnet00Trying00...OpenUserAccessVerificationPassword:Telnet成功使用其他VLAN主機(jī)Telnet路由器PC>telnet00Trying00...%ConnectionrefusedbyremotehostTelnet失敗，路由器ACL設(shè)置成功。外部網(wǎng)絡(luò)添加一臺(tái)路由器，與校園網(wǎng)路由器的S2/0口相連，發(fā)送SNMP,Telnet等應(yīng)用包。ExtendedIPaccesslistnetdenyudpanyanyeqsnmp(3match(es))denyudpanyanyeq162(1match(es))顯示阻止成功。ACL在教學(xué)機(jī)房中作用屏蔽特定端口防范病毒與攻擊由于機(jī)房通常與外網(wǎng)相連，容易遭受外部病毒的侵害和黑客的攻擊。甚至，個(gè)不學(xué)生也利用機(jī)房機(jī)器進(jìn)行非法掃描和監(jiān)聽[14]。關(guān)于機(jī)房治理人員來講，除了經(jīng)常更新殺毒軟件、病毒防火墻外，還能夠使用ACL來屏蔽病毒入侵時(shí)經(jīng)常通過的端口，以達(dá)到防范目的。例如：屏蔽某些專門端口和服務(wù)denyudpanyanyeq135//屏蔽端口denyudpanyanyeq136denyudpanyanyeqnetbios-ns//關(guān)閉服務(wù)denyudpanyanyeqnetbios-dgm通過ACL訪問操縱列表限制上網(wǎng)時(shí)刻機(jī)房治理人員能夠依照在機(jī)房上課老師的具體要求，制定出一周內(nèi)哪個(gè)機(jī)房哪個(gè)時(shí)刻段需要上網(wǎng)的具體打算。然后，通過配置基于時(shí)刻的訪問操縱列表來對(duì)機(jī)房的上網(wǎng)時(shí)刻進(jìn)行治理。在配置基于時(shí)刻的訪問操縱列表時(shí)，最重要的一點(diǎn)確實(shí)是設(shè)置一個(gè)time-range。例如：通過ACL，在每周一上午8:00至10：00那個(gè)時(shí)刻段內(nèi)（第一、二節(jié)課），禁止HTTP數(shù)據(jù)流：Switch(config)#time-rangenoweb//設(shè)置一個(gè)time-rangeSwiteh(config—time—range)#periodicmonday8：00to10：00Switeh(config)#endSwitch(config)#ipaccess-listextendedlimitwwwSwitch(config-ext-nacl)#denytcpanyanyeqwwwtime-rangenowebSwitch(config-ext-nacl)#permitipanyanySwitch(config)#endSwitch(config)#interfacefastethemet0／1Switch(config-if)#ipaccess—grouplimitwwwin下面為time—range的顯示范例：Switch#showtime-rangetime—rangename：nowebperiodicmonday8：00to10：00通過ACL限制上網(wǎng)行為關(guān)于一些需要上網(wǎng)的上機(jī)課，個(gè)不學(xué)生常常不能自律，上課期間聊QQ、玩網(wǎng)絡(luò)游戲。這些行為不僅阻礙課堂教學(xué)質(zhì)量，更給機(jī)房網(wǎng)絡(luò)安全帶來隱患。對(duì)此，能夠通過配置ACL屏蔽QQ和一些網(wǎng)絡(luò)游戲的常用訪問端口，來禁止學(xué)生聊QQ或玩網(wǎng)絡(luò)游戲。例如，找出QQ軟件所用的端口，配置ACL過濾這些端口的流量，然后把訪問操縱列表應(yīng)用到機(jī)房相應(yīng)的接口上：access—list101denyudpanyanyeq8000access—list101denytcpanyanyeq443access—list101denyudpanyanyeq443access—list101permittcpanyanyaccess—list101permituappermitanyanyaccess—list101ipanyanyinterfacerangefastethemet0／1—24ipaccess-group101inACL對(duì)校園網(wǎng)P2P流量的操縱P2P工作原理P2P技術(shù)是P2S技術(shù)和P2P技術(shù)的結(jié)合體，是P2P技術(shù)的進(jìn)一步延伸，它不需要文件資源服務(wù)器，充分利用了用戶網(wǎng)絡(luò)的“上行帶寬”，實(shí)現(xiàn)用戶間數(shù)據(jù)的傳輸[15]。通過多媒體檢索數(shù)據(jù)庫那個(gè)橋梁把原本孤立的服務(wù)器資源和P2P用戶資源整合到了一起，利用服務(wù)器性能資源優(yōu)勢(shì)和用戶上行帶寬的優(yōu)勢(shì)，以達(dá)到下載速度更快、資源豐富、穩(wěn)定性更強(qiáng)的目的。抓包位置的部署網(wǎng)絡(luò)協(xié)議分析軟件以嗅探方式工作，它必須要采集到網(wǎng)絡(luò)中的原始數(shù)據(jù)包，才能準(zhǔn)確分析網(wǎng)絡(luò)故障。如安裝的位置不當(dāng)，采集到的數(shù)據(jù)包將存在較大的差不，從而阻礙分析的結(jié)果，無法反映網(wǎng)絡(luò)真正存在的問題。校園網(wǎng)應(yīng)用是網(wǎng)絡(luò)應(yīng)用中最活躍的分支，網(wǎng)絡(luò)管理和維護(hù)也比較有代表性。在設(shè)計(jì)時(shí)，常采納經(jīng)典的三層網(wǎng)絡(luò)結(jié)構(gòu)，對(duì)出口數(shù)據(jù)進(jìn)行分析時(shí)，在核心交換機(jī)中將出口數(shù)據(jù)鏡像到核心交換機(jī)的某一端口，現(xiàn)在協(xié)議分析軟件能夠捕獲整個(gè)網(wǎng)絡(luò)中轉(zhuǎn)發(fā)的數(shù)據(jù)。索引服務(wù)器地址收集收集迅雷服務(wù)器地址可通過DNS解析、出口鏡像抓包等方法來獵取。假如使用DNS解析的方法來獵取地址，將無法得出新增加或未進(jìn)行域名綁定的資源索。ACL的組成ACL是應(yīng)用在路由器、交換機(jī)、網(wǎng)關(guān)等網(wǎng)絡(luò)設(shè)備接口的指令列表。它讀取數(shù)據(jù)包第三及第四層包頭中的信息，如源地址、目的地址、源端口、目的端口等；依照預(yù)先設(shè)定好的規(guī)則，設(shè)備接口對(duì)包進(jìn)行過濾，從而達(dá)到訪問操縱的目的。交換機(jī)路由器中的ACL有標(biāo)準(zhǔn)ACL和擴(kuò)展ACL，區(qū)不要緊體現(xiàn)在匹配和過濾流量的條件上。標(biāo)準(zhǔn)ACL可檢查IP包頭的源IP地址，并以此為匹配條件對(duì)流量同意或拒絕；而擴(kuò)展的ACL可基于包的目標(biāo)地址、源地址和網(wǎng)絡(luò)協(xié)議及其端口來匹配和過濾流量。隨著網(wǎng)絡(luò)的進(jìn)展和用戶要求的變化，各類網(wǎng)絡(luò)設(shè)備支持基于時(shí)刻的訪問列表，它能夠依照一天中的不同時(shí)刻或者依照一周中的不同日期來操縱對(duì)應(yīng)類型數(shù)據(jù)包的轉(zhuǎn)發(fā)，為網(wǎng)絡(luò)的流量治理工作帶來更大的便捷和靈活性。創(chuàng)建ACL策略基于P2P資源的下載方式是用戶從網(wǎng)上獵取資料的要緊手段。P2P流量占據(jù)了近80%的出口帶寬，利用ACL封迅雷資源索引服務(wù)器的方法將無條件地禁止了迅雷的下載。這種“一刀切”的流量治理策略不能滿足用戶的需求，我們應(yīng)該結(jié)合實(shí)際應(yīng)用及時(shí)刻變化規(guī)律來制定校園網(wǎng)帶寬治理策略。依照我校對(duì)帶寬使用的具體情況，為保障教學(xué)及各項(xiàng)關(guān)鍵性應(yīng)用的進(jìn)行，規(guī)定在每周的星期一到五工作時(shí)刻內(nèi)，限制迅雷的下載；在周末以及其它休息時(shí)刻開放P2P的應(yīng)用帶寬，如此以達(dá)到人性化的治理。結(jié)束語本文所介紹的校園網(wǎng)ACL設(shè)置滿足了校園網(wǎng)用戶的實(shí)際需要，保證了校園網(wǎng)內(nèi)部的安全，并能達(dá)到防止了外部入侵的目的。同時(shí)通過擴(kuò)展研究，對(duì)P2P的工作原理采取了ACL流量操縱，如此在對(duì)保證校園網(wǎng)出口帶寬起到一定的愛護(hù)作用，對(duì)合理分配上網(wǎng)流量帶寬，保證上網(wǎng)速度起到一定的關(guān)心，同時(shí)還能愛護(hù)學(xué)校網(wǎng)絡(luò)設(shè)備，對(duì)延長網(wǎng)絡(luò)設(shè)備的壽命起到一定的愛護(hù)。本設(shè)計(jì)要緊通過PacketTracer5.3進(jìn)行模擬實(shí)驗(yàn)，由于模擬器的局限性，因此有些功能實(shí)現(xiàn)不了，要緊通過文字語言來描述。通過最后的模擬和描述，通過ACL訪問操縱對(duì)校園網(wǎng)的安全和流量操縱達(dá)到了初步的成效，希望能夠今后對(duì)ACL更深的研究，達(dá)到更好的安全和流量操縱效果。參考文獻(xiàn)孫輝.《路由進(jìn)展歷程與趨勢(shì)》，中國數(shù)據(jù)通訊2004王芳，韓國棟，李鑫.《路由器訪問操縱列表及事實(shí)上現(xiàn)技術(shù)研究》.計(jì)算機(jī)工程與設(shè)計(jì)，2007（美）DayidHucaby,CCIE#4594著，王兆文譯，《CCNPSWITCH（642