《毕业论文:基于ACL校园网络安全的实现.doc》由会员分享,可在线阅读,更多相关《毕业论文:基于ACL校园网络安全的实现.doc(21页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、1. ACL的发展和应用1.1 ACL发展ACL(Access Control List)的全称是控制访问列表,控制访问起源于20世纪60年代,是一种重要的信息安全技术。所谓访问控制,就是通过某种途径显示地准许或限制访问能力及范围,从而限制对关键资源的访问,防止非法用户入侵或者合法用户的不慎操作造成破坏。网络中常说的ACL是CISCO IOS所提供的一种访问控制技术,初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机如2950之类也开始开始提供ACL的支持。只不过支持的特性不是那么完善而已。在其他厂商的路由器或多层交换机上也提供类似的技术,不过名称和配置方法都可能有细微的
2、差别。CISCO路由器中有两种常用的控制访问列表,一种是标准访问列表,另一种是扩展访问列表。标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。扩展ACL比标准ACL提供了更广泛的控制范围。例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确。在标准与扩展访问控制列表中均要使用表号,而在命名访问控制列表中使用一个字母或数字组合的字符串来代替前面所使用的数字。使用命名访问控制列表可以用来删除某一条特定的
3、控制条目,这样可以让我们在使用过程中方便地进行修改。 在使用命名访问控制列表时,要求路由器的IOS在11.2以上的版本,并且不能以同一名字命名多个ACL,不同类型的ACL也不能使用相同的名字。随着网络的发展和用户要求的变化,从IOS 12.0开始,思科(CISCO)路由器新增加了一种基于时间的访问列表。通过它,可以根据一天中的不同时间,或者根据一星期中的不同日期,或二者相结合来控制网络数据包的转发。这种基于时间的访问列表,就是在原来的标准访问列表和扩展访问列表中,加入有效的时间范围来更合理有效地控制网络。首先定义一个时间范围,然后在原来的各种访问列表的基础上应用它。1.2 ACL的应用ACL(
4、Access Control List,访问控制列表)是用来实现流识别功能的。网络设备为了过滤报文,需要配置一系列的匹配条件对报文进行分类,这些条件可以是报文的源地址、目的地址、端口号等。通过在路由器以及交换机上配置相关规则即可实现对数据包的过滤,而不需要添加额外的防火墙等过滤设备既能够实现对数据包的过滤。由于实现方式简单,效果明显,并且成本低廉,适合校园网、小型企业等节约网络成本的网络中用于数据包的控制1。同时其他网络技术结合ACL配置也能够实现相应的功能,例如NAT、IPSEC、路由策略、QOS等,由此可见ACL的重要性。2. ACL的概述2.1 ACL的定义访问控制列表(Access C
5、ontrol List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。2.2 ACL的作用访问控制列表(Access Control List, ACL)是管理者加入的一系列控制数据包在路由器中输入、输出的规则。ACL可以限制网络流量、提高网络性能。ACL可以根据数据包的协议,指定数据包的优先级。ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。ACL是提供网络安全访问的基本手段,ACL
6、允许主机A访问网络,而拒绝主机B访问。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。ACL是路由器接口的指令列表,用来控制端口进出的数据包,ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如,用户可以允许E-mail通信流量被路由,拒绝所有的Telnet通信流量。2.3 ACL基本原理网络中的节点资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。ACL中规定了两种操作,所有的应用都是围绕这两种操作来
7、完成的:允许、拒绝 ACL是CISCO IOS中的一段程序,对于管理员输入的指令,有其自己的执行顺序,它执行指令的顺序是从上至下,一行行的执行,寻找匹配,一旦匹配则停止继续查找,如果到末尾还未找到匹配项,则执行一段隐含代码丢弃DENY.所以在写ACL时,一定要注意先后顺序。可以发现,在ACL的配置中的一个规律:越精确的表项越靠前,而越笼统的表项越靠后放置。当入站数据包进入路由器内时,路由器首先判断数据包是否从可路由的源地址而来,否的话放入数据包垃圾桶中,是的话进入下一步;路由器判断是否能在路由选择表内找到入口,不能找到的话放入数据垃圾桶中,能找到的话进入下一步。接下来选择路由器接口,进入接口后
8、使用ACL。ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的2。其中标准控制列表只读取数据包中的源地址信息,而扩展访问控制列表则还会读取数据包中的目的地址、源端口、目的端口和协议类型等信息。ACL判断数据包是否符合所定义的规则,符合要求的数据包允许其到达目的地址进入网络内部,不符合规则的则丢弃,同时通知数据包发送端,数据包未能成功通过路由器。通过ACL,可以简单的将不符合规则要求的危险数据包拒之门外,使其不能进入内部网络。具体过程如下图所示:图212.4 ACL的工作过程无论在路由器上
9、有无ACL,接到数据包的处理方法都是一样的:当数据进入某个入站口时,路由器首先对其进行检查,看其是否可路由,如果不可路由那么就丢弃,反之通过查路由选择表发现该路由的详细信息包括AD,METRIC及对应的出接口。这时,我们假定该数据是可路由的,并且已经顺利完成了第一步,找出了要将其送出站的接口,此时路由器检查该出站口有没有被编入ACL,如果没有ACL 的话,则直接从该口送出。如果该接口编入了ACL,那么就比较麻烦3。第一种情况路由器将按照从上到下的顺序依次把该数据和ACL进行匹配,从上往下,逐条执行,当发现其中某条ACL匹配,则根据该ACL指定的操作对数据进行相应处理(允许或拒绝),并停止继续查
10、询匹配;当查到ACL的最末尾,依然未找到匹配,则调用ACL最末尾的一条隐含语句deny any来将该数据包丢弃。2.5 ACL的分类目前有两种主要的ACL:标准ACL和扩展ACL。标准ACL只检查数据包的源地址;扩展ACL既检查数据包的源地址,也检查数据包的目的地址,同时还可以检查数据包的特定协议类型、端口号等。这两种ACL的区别是,标准ACL只检查数据包的源地址;扩展ACL既检查数据包的源地址,也检查数据包的目的地址,同时还可以检查数据包的特定协议类型、端口号等。网络管理员可以使用标准ACL阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)
11、的所有通信流量。扩展ACL比标准ACL提供了更广泛的控制范围。例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确。在路由器配置中,标准ACL和扩展ACL的区别是由ACL的表号来体现的,上表指出了每种协议所允许的合法表号的取值范围。IP标准访问控制列表编号:199或13001999IP扩展访问控制列表编号:100199或20002699标准访问控制列表和扩展访问控制列表的对比如下图所示。图22标准ACL与扩展ACL对比2.6 ACL的局限性由于ACL是使用包过滤技术来实现的,过滤
12、的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等4。因此,要达到end to end的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。2.7 ACL的匹配顺序ACL的执行顺序是从上往下执行,Cisco IOS按照各描述语句在ACL中的顺序,根据各描述语句的判断条件,对数据包进行检查。一旦找到了某一匹配条件,就结束比较过程,不再检查以后的其他条件判断语句。在写ACL时,一定要遵循最为精确匹配的ACL语句一定要卸载最前面的原则,只有这样才能保证不会出现无用的ACL语句图23 ACL匹配顺序2.8 通配符掩码
13、通配符掩码是一个32位的数字字符串,0表示“检查相应的位”,1表示“不检查(忽略)相应的位”。IP地址掩码的作用:区分网络为和主机位,使用的是与运算。0和任何数相乘都得0,1和任何数相乘都得任何数。通配符掩码:把需要准确匹配的位设为0,其他位为1,进行或运算。1或任何数都得1,0或任何数都得任何数。特殊的通配符掩码:1.Any0.0.0.0 255.255.255.2552.Host172.16.30.28 0.0.0.0Host 172.16.30.282.9 正确放置ACL ACL通过制定的规则过滤数据包,并且丢弃不希望抵达目的地址的不安全数据包来达到控制通信流量的目的5。但是网络能否有效
14、地减少不必要的通信流量,同时达到保护内部网络的目的,将ACL放置在哪个位置也十分关键。假设存在着一个简单的运行在TCP/IP协议的网络环境,分成4个网络,设置一个ACL拒绝从网络1到网络4的访问。根据减少不必要通信流量的准则,应该把ACL放置于被拒绝的网络,即网络1处,在本例中是图中的路由器A上。但如果按这个准则设置ACL后会发现,不仅是网络1与网络4不能连通,网络1与网络2和3也都不能连通。回忆标准ACL的特性就能知道,标准ACL只检查数据包的中的源地址部分,在本例子中,凡是发现源地址为网络1网段的数据包都会被丢弃,造成了网络1不能与其他网络联通的现象。由此可知,根据这个准则放置的ACL不能
15、达到目的,只有将ACL放置在目的网络,在本例子中即是网络4中的路由器D上,才能达到禁止网络1访问网络4的目的。由此可以得出一个结论,标准访问控制列表应尽量放置在靠近目的端口的位置。在本例子中,如果使用扩展ACL来达到同样的要求,则完全可以把ACL放置在网络1的路由器A上。这是因为扩展访问控制列表不仅检查数据包中的源地址,还会检查数据包中的目的地址、源端口、目的端口等参数。放置在路由器A中的访问控制列表只要检查出数据包的目的地址是指向网络4的网段,则会丢弃这个数据包,而检查出数据包的目的地址是指向网络2和3的网段,则会让这个数据包通过。既满足了减少网络通信流量的要求,又达到了阻挡某些网络访问的目
16、的。由此,可以得出一个结论,扩展访问控制列表应尽量放置在靠近源端口的位置。图24正确设置ACL编辑原则:标准ACL要尽量靠近目的端,扩展ACL要尽量靠近源端。3. ACL的各种应用配置3.1 标准ACL的配置标准ACL命令的详细语法创建ACL定义例如:Router(config)#access-list 1 permit 10.0.0.0 0.255.255.255将配置应用于接口:例如:Router(config-if)#ip access-group 1 out下面更详细的介绍扩展ACL的各个参数:以下是标准访问列表的常用配置命令。跳过简单的路由器和PC的IP地址设置配置路由器上的标准访问
17、控制列表R1(config)#access-list 1 deny 172.16.1.0 0.0.0.255R1(config)#access-list 1 permit anyR1(config)#access-list 2 permit 172.16.3.1 0.0.0.255常用实验调试命令在PC1网络所在的主机上ping 2.2.2.2,应该通,在PC2网络所在的主机上ping 2.2.2.2,应该不通,在主机PC3上Telnet 2.2.2.2,应该成功。 Outgoing access list is not set Inbound access list is 1以上输出表明在接
18、口S2/0的入方向应用了访问控制列表1。3.2 扩展ACL的配置扩展ACL命令的详细语法创建ACL定义例如:accell-list101 permit host 10.1.6.6 any eq telnet应用于接口例如:Router(config-if)#ip access-group 101 outRouter(config)# access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator
19、 port established log表格 1 扩展ACL参数描述 参数参数描述access-list-number访问控制列表表号permit|deny如果满足条件,允许或拒绝后面指定特定地址的通信流量protocol用来指定协议类型,如IP、TCP、UDP、ICMP等Source and destination分别用来标识源地址和目的地址source-mask通配符掩码,跟源地址相对应destination-mask通配符掩码,跟目的地址相对应operator lt,gt,eq,neq(小于,大于,等于,不等于) operand一个端口号established如果数据包使用一个已建立连
20、接,便可允许TCP信息通过表格 2常见端口号端口号(Port Number )20文件传输协议(FTP)数据21文件传输协议(FTP)程序23远程登录(Telnet)25简单邮件传输协议(SMTP)69普通文件传送协议(TFTP)80超文本传输协议(HTTP)53域名服务系统(DNS)相比基本访问控制列表,扩展访问控制列表更加复杂,不仅需要读取数据包的源地址,还有目的地址、源端口和目的端口。图31扩展访问控制列表的常见配置命令。(1) 配置路由器(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq ww
21、w(2) 常用调试命令分别在访问路由器的Telnet和WWW服务,然后查看访问控制列表100:R1#show ip access-lists 100Extended IP access list 100permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq www 3.3 命名ACL命名ACL是IOS11.2以后支持的新特性。命名ACL允许在标准ACL和扩展ACL中使用字符串代替前面所使用的数字来表示ACL,命名ACL还可以被用来从某一特定的ACL中删除个别的控制条目,这样可以让网络管理员方便地修改ACL6。它提供的两个主要优点是:解决ACL的号码不足问
22、题;可以自由的删除ACL中的一条语句,而不必删除整个ACL。命名ACL的主要不足之处在于无法实现在任意位置加入新的ACL条目。语法为:Router(config)#ip access-list standard | extended name名字字符串要唯一Router(config std- | ext-nacl)# permit | deny ip access list test conditions permit | deny ip access list test conditions no permit | deny ip access list test conditions 允
23、许或拒绝陈述前没有表号可以用“NO”命令去除特定的陈述Router(config-if)# ip access-group name in | out 在接口上激活命名ACL例如:ip access-list extend server- protectpermit tcp 10.1.0.0 0.0.0.255 host 10.1.2.21 eq 1521int vlan 2ip access-group server- protect命名ACL还有一个很好的优点就是可以为每个ACL取一个有意义的名字,便于日后的管理和维护。最后是命名ACL常用配置命令。(1) 在路由器上配置命名的标准ACLR
24、1(config)#ip access-list standard standR1(config-std-nacl)#deny 172.16.1.0 0.0.0.255R1(config-std-nacl)#permit any创建名为stand的标准命名ACL(2) 在路由器上查看命名ACLR1#show ip access-lists Standard IP access list 1 deny 172.16.1.0 0.0.0.255 permit any (110 match(es)(3) 在路由器配置命名的扩展ACL R1(config)#ip access-list extende
25、d ext1R1(config-ext-nacl)#permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq www创建名为ext1的命名扩展访问ACL(4) 在路由器上查看命名访问ACLR1#show access-lists Extended IP access list ext1 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq www3.4 基于时间段的ACL配置使用标准访问控制列表和扩展访问控制列表就可以应付大部分过滤网络数据包的要求了。不过在实际的使用中总会有人提出一些较为苛刻的要求,这是就还需要掌
26、握一些关于ACL的高级技巧7。基于时间的访问控制类别就属于高级技巧之一。基于时间的访问控制列表的用途:可能一些单位或者公司会遇到这样的情况,要求上班时间不能使用QQ或者浏览某些网站,或者不能在上班时间使用某些应用,只有在下班或者周末才可以。对于这种情况,仅仅通过发布通知不能彻底杜绝员工非法使用的问题,这时基于时间的访问控制列表就应运而生了。基于时间的访问控制列表的格式;基于时间的访问控制列表由两部分组成,第一部分是定义时间段,第二部分是用扩展访问控制列表定义规则。这里主要解释下定义时间段,具体格式如下:time-range 时间段格式absolute start 小时:分钟 日 月 年 end
27、 小时:分钟 日 月 年例如:time-range softerabsolute start 0:00 1 may 2005 end 12:00 1 june 2005意思是定义了一个时间段,名称为softer,并且设置了这个时间段的起始时间为2005年5月1日零点,结束时间为2005年6月1日中午12点。还可以定义工作日和周末,具体要使用periodic命令。将在下面的配置实例中详细介绍。基于时间的ACL配置常用命令R1(config)#time-range time /定义时间范围R1(config-time-range)#periodic weekdays 8:00 to 18:00R1
28、(config)#access-list 111 permit tcp host 172.16.3.1 host 2.2.2.2 eq telnet time-range time常用实验调试命令用“clock set”命令将系统时间调整到周一至周五的8:00-18:00范围内,然后在Telnet路由器R1,此时可以成功,然后查看访问控制列表111:R1#show access-listsExtended IP access list 111 10 permit tcp host 172.16.3.1 host 2.2.2.2 eq telnet time-range time (active
29、)用“clock set”命令将系统时间调整到8:00-18:00范围之外,然后Telnet路由器R1,此时不可以成功,然后查看访问控制列表111:R1#show access-listsExtended IP access list 111 10 permit tcp host 172.16.3.1 host 2.2.2.2 eq telnet time-range time (inactive)show time-range:该命令用来查看定义的时间范围。R1#show time-rangetime-range entry: time (inactive) periodic weekday
30、s 8:00 to 18:00 used in: IP ACL entry以上输出表示在3条ACL中调用了该time-range。3.5 ACL的显示调试和删除访问控制列表的现实和调试都在特权模式下执行。使用“show access-lists ”可以显示路由器上设置的所有ACL条目;使用“show access-list acl number”则可以显示特定ACL号的ACL条目;使用“show time-range”命令可以用来查看定义的时间范围;使用“clear access-list counters”命令可以将访问控制列表的计数器清零8。删除ACL的方法十分简单,只需在ACL表号前加“
31、NO”就可以了,例如:R2(config)#no access-list 1 输入这个命令后,ACL表号为1和2的ACL内所有的条目都会被删除。标准和扩展的ACL只能删除整个ACL条目,不能删除个别条目。命名ACL与标准和扩展ACL不同,它可以删除个别的控制条目。例如:no permit tcp 10.0.0.0 0.0.255.255 host 10.1.2.21 eq 1521在“permit tcp 10.0.0.0 0.0.255.255 host 10.1.2.21 eq 1521”前加“no”即可删除这条ACL语句条目,之后可以重新写入新的条目。4. 校园网ACL应用实例校园网建设
32、的目标简而言之是将校园内各种不同应用的信息资源通过高性能的网络设备相互连接起来,形成校园园区内部的Intranet系统,对外通过路由设备接入广域网。包过滤技术和代理服务技术是当今最广泛采用的网络安全技术,也就是我们通常称的防火墙技术9。防火墙可以根据网络安全的规则设置允许经过授权的数据包进出内部网络,同时将非法数据包挡在防火墙内外,最大限度地阻止黑客攻击。包过滤技术以访问控制列表的形式出现,一个设计良好的校园网络访问控制列表不仅可以起到控制网络流量、流量的作用,还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。针对校园网中各种网络攻击、网络病毒对教学和管理造成的一系列
33、的影响,通过对校园网络拓扑结构的分析,在三层网络结构中的汇聚层设定相应的ACL策略,校园网络是典型的三层网络拓扑结构即接入层、汇聚层、核心层,接入层面对的是大量的学生PC、教师PC,通过划分VLAN来区分不同系别的学生,教师,同时能够减小广播域,保证网络安全等功能。通过设置基于MAC的ACL来完成对接入层网络的控制,避免由于任意接入网络对网络造成的潜在安全隐患。同时在接入层设备上设置限速ACL来限制迅雷等P2P软件的速度将网络流量控制在接入层从而保证网络出口的流畅,在汇聚层设置基于时间的ACL主要保证教师PC的网络带宽而在夜间自动将带宽分给学生。在核心层出口配置扩展ACL来完成数据包过滤、在入
34、口上实现禁止外网访问指定的内部网站等。在出口配置NAT来解决IP不足问题,同时能够很好的隐藏内网IP,来防止网络的攻击。下面通过模拟Cisco Packet Tracert 5.3模拟器模拟校园网环境,配置校园网路由器及三层交换机上的ACL,达到模拟校园网络数据控制的目的。通过模拟环境的实验,还可以模拟各种网络攻击,模拟特定目的端口数据包的发送,从而检验配置的ACL命令的可行性。4.1 搭建配置环境校园网拓扑图如图41所示图41校园网的VLAN及IP地址规划VLAN号VLAN名称IP网段默认网关说明VLAN1-192.168.0.0/24192.168.0.1管理VLANVLAN 10JWC1
35、92.168.10.0/24192.168.10.1教务处VLANVLAN 20XSSS192.168.20.0/24192.168.20.1学生宿舍VLANVLAN 30CWC192.168.30.0/24192.168.30.1财务处VLANVLAN 40JGSS192.168.40.0/24192.168.40.1教工宿舍VLANVLAN 50ZWX192.168.50.0/24192.168.50.1中文系VLANVLAN 60WYX192.168.60.0/24192.168.60.1外语系VLANVLAN 70JSJX192.168.70.0/24192.168.70.1计算机系V
36、LANVLAN 100FWQQ192.168.100.0192.168.100.1服务器群VLAN表41具体的VLAN设置方法及网络联通设置在这里不在冗述,重点放在ACL的设置上。4.2 ACL在院系机构的应用(1) 首先是设置校园网内部三层交换机上的ACL。规定只有在财务处VLAN 30内的主机可以访问财务处VLAN 30,其他的教学单位部门可以互访;学生宿舍和教工宿舍VLAN可以互访,并且可以访问除了财务处和教务处外的其他教学单位。所有VLAN都可以访问服务器群VLAN。 财务处ACL设置Multilayer Switch1(config)#ip access-list extended
37、CWCMultilayer Switch1(config-ext-nacl)#permit tcp 192.168.30.0 0.0.0.255 any 教工宿舍ACL设置与学生宿舍ACL设置同理在网络环境中还普遍存在着一些非常重要的、影响服务器群安全的隐患。接下来是对连接外网的路由器添加ACL。 屏蔽简单网络管理协议(SNMP)利用这个协议,远程主机可以监视、控制网络上的其他网络设备。它有两种服务类型:SNMP和SNMPTRAP10。R1(config)#ip access-list extended netR1(config-ext-nacl)#deny udp any any eq 16
38、1对外屏蔽远程登录协议TelnetR1(config-ext-nacl)#deny tcp any any eq 23 对外屏蔽其他不安全的协议和服务这样的协议主要有SUN OS的文件共享协议端口2049,远程执行(rsh)、远程登录(rlogin)和远程命令(rcmd)端口512、513、514,远程过程调用(SUNRPC)端口111。R1(config-ext-nacl)#deny tcp any any range 512 514 防止DoS攻击DoS攻击(Denial of Service Attack,拒绝服务攻击)是一种非常常见而且极具破坏力的攻击手段,它可以导致服务器、网络设备的
39、正常服务进程停止,严重时会导致服务器操作系统崩溃11。R1(config-ext-nacl)#deny udp any any eq 7R1(config)#int f0/0R1(config-if)#no ip directed-broadcast最后一行的设置禁止子网内广播 保护路由器安全作为内网、外网间屏障的路由器,保护自身安全的重要性也是不言而喻的。为了阻止黑客入侵路由器,必须对路由器的访问位置加以限制12。应只允许来自服务器群的IP地址使用Telnet访问并配置路由器,内部其他部分的主机都不能用Telnet访问和配置路由器。R1(config)#access-list 1 permi
40、t 192.168.100.0 0.0.0.255R1(config)#line vty 0 4R1(config-line)#access-class 1 inR1(config-line)#password ciscoR1(config-line)#enable password cisco 系统测试当校园网环境建成后,应对校园网的整体运行情况做一下细致的测试和评估。大致包含以下测试:对相同VLAN内通信进行测试、对不同VLAN内的通信进行测试、对内部网的ACL进行测试、对广域网接入路由器上的ACL进行测试。 测试相同VLAN内通信添加一台财务处VLAN30的主机,与VLAN30的用PIN
41、G命令测试联通性。PCping 192.168.30.100Pinging 192.168.3.111 with 32 bytes of data:Reply from 192.168.3.111: bytes=32 time=47ms TTL=128成功联通测试不同VLAN间通信(2) 使用VLAN30内的主机与学生宿舍VLAN20用PING命令测试联通性PCping 192.168.20.100Pinging 192.168.20.100 with 32 bytes of data:Request timed out.连接失败,证明ACL设置成功。(3) 使用学生宿舍内主机PING教务处主
42、机PCping 192.168.10.100Pinging 192.168.10.100 with 32 bytes of data:Request timed out.连接失败,证明ACL设置成功。测试路由器ACL 内部网络使用服务器群Telnet路由器PCtelnet 192.168.100.100Trying 192.168.100.100 .OpenUser Access VerificationPassword:Telnet成功使用其他VLAN主机Telnet路由器PCtelnet 192.168.100.100Trying 192.168.100.100 .% Connection
43、 refused by remote hostTelnet失败,路由器ACL设置成功。 外部网络添加一台路由器,与校园网路由器的S2/0口相连,发送SNMP,Telnet等应用包。Extended IP access list net deny udp any any eq snmp (3 match(es) deny udp any any eq 162 (1 match(es)显示阻止成功。4.3 ACL在教学机房中作用4.3.1 屏蔽特定端口防范病毒与攻击由于机房通常与外网相连,容易遭受外部病毒的侵害和黑客的攻击。甚至,个别学生也利用机房机器进行非法扫描和监听14。对于机房管理人员来说,
44、除了经常更新杀毒软件、病毒防火墙外,还可以使用ACL 来屏蔽病毒入侵时经常通过的端口,以达到防范目的。例如:屏蔽某些特殊端口和服务deny udp any any eq 135/ 屏蔽端口deny udp any any eq 136deny udp any any eq netbios -ns/ 关闭服务deny udp any any eq netbios -dgm通过ACL 访问控制列表限制上网时间机房管理人员可以根据在机房上课老师的具体要求,制定出一周内哪个机房哪个时间段需要上网的具体计划。然后,通过配置基于时间的访问控制列表来对机房的上网时间进行管理。在配置基于时间的访问控制列表时,
45、最重要的一点就是设置一个time-range。例如:通过ACL,在每周一上午8:00 至10:00 这个时间段内(第一、二节课),禁止HTTP 数据流:Switch(config)#time-range noweb / 设置一个time-range Switeh (configtimerange)#periodic monday 8:00 to 1 0:00 Switeh(config)#end Switch(config)#ip access-list extended limitwww Switch (config-ext-nacl)#deny tcp any any eq www tim
46、e-range nowebSwitch(config-ext-nacl)#permit ip any anySwitch(config)#endSwitch(config)#interface fastethemet01Switch(config-if)#ip access group limitwww in下面为timerange 的显示范例:Switch#show time-rangetimerange name:nowebperiodic monday 8:00 to 10:004.3.2 通过ACL 限制上网行为对于一些需要上网的上机课,个别学生常常不能自律,上课期间聊QQ、玩网络游戏。这些行为不仅影响课堂教学质量,更给机房网络安全带来隐患。对此,可以通过配置ACL 屏蔽QQ 和一些网络游戏的常用访问端口,来禁止学生聊QQ 或玩网络游戏。例如,找出QQ 软件所用的端口,配置ACL 过滤这些端口的流量,然后把访问控制列表应用到机房相应的接口上:access list 101 deny udp any any eq 8000access list 101 deny tcp any any eq 44