ACL访问控制列表在学校机房中的应用

ACL访问控制列表在学校机房中的应用黎乾坤摘要：如何控制中职学生在机房的上机行为，是教师们非常头痛的事情，因为很多学生到机房后对老师教授的内容不感兴趣，只会想方设法躲避老师的监管，自己玩游戏或上网，为禁止学生上网，教师常常会利用拨网线的方式断网，既麻烦又会对机房网络设备造成一定的损坏。实际上，通过对校园网中的路由器或交换机设置ACL访问控制列表就可以有效的限制和管理每间机房学生的上网行为，方便又实用。关键词：ACL学校机房学生上网行为一、访问控制列表ACL的基本概念访问控制列表（AccessControlList，简称ACL），是CiscoIOS提供的一种网络访问控制技术，是在路由器或交换机中常用的接口指令列表。ACL访问控制列表采用包过滤技术，由permit或deny语句组成，它在路由器上读取第三层及第四层包头中的源地址、目的地址、源端口、目的端口等信息，并根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。在S/C（服务器/客户机）模式的网络中，网络的节点分为资源节点和用户节点两大类，其中资源节点提供服务或数据，用户节点则访问资源节点所提供的服务与数据。ACL访问控制列表的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定用户节点的访问权限。具体包括三个功能：①在设备端口处控制哪种类型的通信被转发或被阻塞；②实现网络流量限制；③提供网络安全访问的基本安全级别。ACL访问控制列表分标准ACL和扩展ACL两种。标准的ACL使用1～99及1300～1999之间的数字作为表号，可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。标准ACL只检查数据包中的源地址，然后根据是否满足条件来决定是允许还是拒绝整个协议集。扩展的ACL使用100～199及2000～2699之间的数字作为表号。扩展ACL通过检查源地址、目的地址、协议以及相应端口四个参数来决定是允许还是拒绝某个特殊的协议如TCP，UDP，ICMP等等。所以扩展ACL的功能比标准ACL的功能要强，比标准ACL提供了更广泛的控制范围。二、访问控制列表ACL的基本配置不论是标准ACL还是扩展ACL,它们的配置主要就是两个命令，①设置访问控制列表Access-listacl_numberpermit|deny；②在接口上应用访问控制列表Ipaccess-groupacl_numberin|out（这里可以是某个接口，也可以是虚拟终端VTY、Qos等应用，in代表入站方向，out代表出站方向）。标准ACL的配置为：Access-listacl_number{permit|deny}source[mask]acl_number是ACL编号范围，可以是1～99或1300～1999；Permit表示通过，Deny表示拒绝；Source代表源地址，可以是某一个主机或一个网段；Mask是掩码(注意:ACL支持的是反掩码)。另外，有时可能会在source前面加上host或any，Host主要用于匹配一个特定的主机地址，是一个精确匹配，此时的反掩码是0.0.0.0。比如：Access-list1permit10.10.10.00.0.0.255，表示的是匹配网段10.10.10.0的所有数据报文。而Access-list1permit10.10.10.100.0.0.0，表示匹配源地址是10.10.10.10的一个具体主机，这个语句也可以写成Access-list10permithost10.10.10.10。Any表示匹配所有的地址，是0.0.0.0255.255.255.255的简写，如：Access-list10permit0.0.0.0255.255.255.255表示所有数据包通过，此语句可以写成Access-list10permitany。三、基于时间的ACL访问控制列表随着网络的发展和用户要求的变化，从IOS12.0开始，思科（CISCO）路由器新增加了一种基于时间的访问列表。这种基于时间的访问列表，就是在原来的标准访问列表和扩展访问列表中，加入有效的时间范围来更合理有效地控制网络。基于时间的访问控制列表允许网络管理员对流入网络和流出网络的数据进行附加的控制。合理有效地利用基于时间的访问控制列表，可以更有效、更安全、更方便地保护内部网络。在基于时间访问列表的设计中，用time-range命令来指定时间范围的名称，然后用absolute命令，或者一个或多个periodic命令来具体定义时间范围。具体命令格式为：time-range时间范围名称absolutestart[开始时间]end[结束时间]Periodicdays-of-theweekhh:mmto[days-of-theweek]hh:mm其中，time-range是用来定义时间范围的命令，后面跟着时间范围名称（time-range-name）用于标识时间范围，便于在访问列表中引用；absolute：指定绝对时间范围。absolute关键字之后紧跟着start关键字和end关键字,start关键字和end关键字之后分别是开始时间和结束时间，时间以24小时的格式指定，日期用日/月/年格式表示。定义一个时间范围只能有一个absolute语句，但可以有多个periodic语句。absolute语句只拥有开始和结束时间以及日期等少数几个参数，而periodic语句允许使用大量的参数，其范围可以是一星期中的某一天、几天的结合，或者使用关键字daily（每天）、weekdays（星期一到星期五）和weekend（星期天）等。实现基于时间的访问表只需要两个步骤。先定义一个时间范围，然后在访问控制列表中用time-range范围引用时间范围。四、利用基于时间的ACL控制列表控制中职学生的上网行为了解学习了ACL访问控制列表的相关知识后，我们发现，如果在中职学校的机房管理中利用基于时间的ACL访问控制列表技术可以有效对学生的上网时间及上网行为进行控制。下面，我们通过实例研究利用基于时间的ACL控制列表控制学生的上网时间和上网行为。比如某中职学校一共建有八间计算机实训机房供教学及实验使用，八间机房分别分布在电教楼一和电教楼二，网络拓扑结构如下图所示。根据学校学生机房上机实验课程的需要，学校的八间机房中机房二和机房三因为上网络实验课程需要全天上网，但限于进行WEB浏览，不能QQ聊天，不能上MSN，不能进行FTP下载，其它机房在星期一到星期五每天的8:30到16:30这段时间禁止访问Internet，其它时间开放不限制。首先，对需要进行分析可知，在路由器R1的E0端口连接的机房五、机房六、机房七、机房八的学生计算机，每周一至周五的8:30到16:30这段时间禁止访问Internet。所以，首先可以在路由器R1上做如下ACL设置：router(config)#Time-rangeTC1router(config)#Periodicweekdaysstart8:30to16:30router(config)#Exitrouter(config)#Ipaccess-listextendWN-limit1router(config)#Denytcpanyanyeq80time-rangeTC1router(config)#Denytcpanyanyeq443time-rangeTC1router(config)#PermitIPanyanyrouter(config)#intE0/0router(config-if)#ipaccess-groupWN_limit1in也可以在连接五、六、七、八四机房的主干交换机SW1上进行以下ACL设置：Switch(config)#time-rangeTC1//设置一个time-rangeSwitch(config-time-range)#periodicweekdaystart8:30to16:30Switch(config)#endSwitch(config)#ipaccess-listextendedWEB_limitSwitch(config-ext-nacl)#denytcpanyanyeq(config-ext-nacl)#permitipanyanySwitch(config)#endSwitch(config)#interfacefastethemet0/1Switch(config-if)#ipaccess-groupWEB_limitin另外，连接路由器E1接口的机房一、机房二、机房三和机房四，机房一和机房四的学生机在上课期间不能上网，而机房二和机房三的学生机在上课期间可以访问WEB,即http或https应用（两个应用的协议和端口分别为TCP/80和TCP/443），但不能上QQ,不能登录MSN和进行FTP下载。因为登录QQ会使用到TCP/UDP8000，可能使用到UDP/4000，MSN登录使用TCP/1863端口，FTP下载使用TCP/21，同时，还会有代理服务器端口TCP8080、TCP3128（HTTP代理）和TCP1080(socks)。所以，只要在以上端口禁止数据包通过即可实现控制策略，可以在路由器R1上做如下ACL设置：router(config)#Time-rangeTC1router(config)#Periodicweekdaysstart8:30to16:30router(config)#Exitrouter(config)#ipaccess-listextendWN_limit2router(config)#Denytcp17.16.1.00.0.0.255anyeq80time-rangeTC1router(config)#Denytcp17.16.1.00.0.0.255anyeq443time-rangeTC1router(config)#Denytcp17.16.4.00.0.0.255anyeq80time-rangeTC1router(config)#Denytcp17.16.4.00.0.0.255anyeq443time-rangeTC1router(config)#Denytcp17.16.2.00.0.0.255anyeq1863time-rangeTC1router(config)#Denytcp17.16.2.00.0.0.255anyeq21time-rangeTC1router(config)#Denytcp17.16.2.00.0.0.255anyeq8000time-rangeTC1router(config)#Denyudp17.16.2.00.0.0.255anyeq8000time-rangeTC1router(config)#Denyudp17.16.2.00.0.0.255anyeq4000time-rangeTC1router(config)#Denytcp17.16.2.00.0.0.255anyeq3128time-rangeTC1router(config)#Denytcp17.16.2.00.0.0.255anyeq8080time-rangeTC1router(config)#Denytcp17.16.2.00.0.0.255anyeq1080time-rangeTC1router(config)#Denytcp17.16.3.00.0.0.255anyeq1863time-rangeTC1router(config)#Denytcp17.16.3.00.0.0.255anyeq21time-rangeTC1router(config)#Denytcp17.16.3.00.0.0.255anyeq8000time-rangeTC1router(config)#Denyudp17.16.3.00.0.0.255anyeq8000time-rangeTC1r