【摘要】随着网络在教育领域的应用得到迅速的发展,为全面实现温江区教育现代化,我区部分学校已经塔建了校园网,逐步建立了学校内部网络资源,其余学校也会陆续建设完成。在很多时侯要对内部网络进行管理,网络管理员就要用到ACL(访问控制列表),ACL可以限制网络流量、提高网络性能,提供对通信流量的控制手段,是提供网络安全访问的基本手段,可以在网络进出口处决定哪种类型的通信流量被转发或被阻塞。
【关键词】ACL 访问控制 流量限制 校园网安全
引言
ACL在校园网中对学生上网权限的控制,对教师的流量进行限制,对各部门之间的访问控制,还能封闭特定端口来防范病毒等,提高校园网的网络安全性,也大大提高了网络中心的管理工作效率。在路由器或三层交换机上,通过使用访问控制列表(ACL)来执行数据包过滤。访问控制列表可用来控制网络上数据包的传递、限制虚拟终端的通信量或者控制路由选择更新,限制网络访问特定的用户和设备。
1  访问控制列表
1.1 访问控制列表概念
访问控制列表(Access Control List, ACL)是应用在路由器或有路由功能的交换机接口的指令列表。这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。
1.2 常用访问控制列表分类
1.2.1 标准IP访问控制列表
一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分,可对匹配的包采取拒绝或允许两个操作。编号范围是从1到99或从1300到1999的访问控制列表是标准IP访问控制列表。标准IP访问控制列表检查源地址,通常允许、拒绝的是完整的协议,如图1.2.1;其语句格式为:
Step1:Router(config)# access-list access-list-number {permit|deny} source [mask] 
Step2: Router(config-if)# ip  access-group access-list-number {in | out}
其中access-list-number值为1-99 或1300-1999。
 

图1.2.1
1.2.2 扩展IP访问控制列表
扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项,包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100到199或从2000到2699的访问控制列表是扩展IP访问控制列表。扩展IP访问控制列表检查源地址和目的地址,通常允许、拒绝的是某个特定的协议,如图1.2.2;其语句格式为:
Step1:Router(config)# access-list access-list-number  { permit | deny } protocol source source-wildcard [operator port] destination destination