【分　 类】 教育科学
【关 键 词】 路由器; 交换机; 访问控制列表（ACL）; 虚拟局域网（VLAN）
【来 　源】 互联网
【收　 录】 中文学术期刊网

正文：
引言 
近几年网络技术的水平发展迅速，网络应用范围普及到了各行各业，许多单位都开始实行内部局域网与互联网的连接，网络成为单位内部各部门之间、单位与单位之间的合作提供了方便，实现了资源共享。其中，校园网的规模更是在不断扩大，网络成为学校共享现代化教育技术和教育资源的平台，成为学生和老师之间、老师和家长之间、学校和社会之间便捷的交流桥梁，并对校园文化的建设起了十分积极的作用。但是网络的互联，过分畅通的信息交流，也导致了数据安全性的降低，它作为开放系统，面临着来自各方面的威胁和攻击。因此，我们要努力探索对网络安全系统的构建和管理，网络的建设既要考虑单位内部各部门之间的访问，如学校的网络管理员可以访问其他各部门及自由访问互联网；学校行政部门可以访问各子部门但子部门不能随意访问行政部门；学生可以访问提供教师教学资源的服务器；教学楼、图书馆的上网时间限制；限制某些部门访问互联网等。本人采用访问控制列表（ACL）与虚拟局域网(VLAN)技术相结合的访问控制策略，来解决校园网中的一些网络安全问题。
VLAN
VLAN是一种将局域网设备从逻辑上划分为多个网段，实现虚拟工作的交换技术。一个VLAN是一个逻辑子网，允许将处于不同地理位置的网络用户划入到某个VLAN中，也可将同一物理局域网内的不同用户，逻辑地划分到不同的VLAN中。一个VLAN是一个广播域，一个VLAN内部的广播和单播信息都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、加强网络管理、提高网络的安全性。
ACL
3.1 ACL简介
ACL(Access Control List) 是一种应用在路由器端口上的指令列表，这些指令列表初步决定路由器对数据包的接受与否，数据包最终接受与否由数据包的源地址、目的地址、端口号、协议号等匹配列表项共同决定，通过在路由器端口添加ACL，可以过滤流入和流出路由器端口的数据包，限制网络流量，提高网络性能。同时，ACL也用于控制对网络资源的访问，保护网络设备不被非法访问或攻击，以提高网络的安全性。ACL是Cisco IOS所提供的一种访问控制技术，起初只是在路由器上支持，现在已经扩展到三层交换机上。部分最新的二层交换机也开始提供对ACL的支持，不过支持的特性还不是很完善。此外，其它厂商的路由器或多层交换机上也提供类似的技术，在命令名称和配置方式存在些细微的差别，本文所列举出的配置实例是基于华为产品的ACL进行编写的。
3.2 ACL基本原理
ACL基本原理：ACL使用包过滤技术，在路由器上读取第二层、第三层及第四层包头中的数据流源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤．从而达到控制访问的目的。利用ACL是为了提高网络服务做的一系列控制，访问控制列表可以应用在路由器接口的指令列表中和操作系统中，这些指令列表用来指明哪些数据包可以接收、哪些数据禁止接收。3COM公司的设备中访问控制列表分很多种，不同场合应用不同种类的ACL。
常用的ACL有4类：（1）基本访问控制列表。该列表根据三层源IP制定规则，对数据包进行相应的分析处理。（2）高级访问控制列表。该列表根据源IP、目的IP、使用的TCP或UDP端口号、报文优先级等这些数据包的属性制定分类规则，对数据包进行相应的处理。高级访问控制列表支持对三种报文优先级的分析处理，三种优先级分别是：TOS(Type Of Service，服务类型)优先级、IP优先级和DSCP优先级。（3）二层访问控制列表。该列表根据源MAC地址、源VLAN ID、二层协议类型、报文二层接收端口、报文二层转发端口、目的MAC地址等二层信息制定规则，对数据进行处理。（4）基于时间的访问控制列表。该列表在扩展访问控制列表中，加入确定的时间范围，合理有效地控制网络，可以根据不同时间、不同日期，或二者相结合控制网络数据包的转发。
ACL在校园网中的应用
在校园网络中，我们要使校园网的有限带宽得到充分的利用，并且保障校园网络不被非法登陆和破坏。可以把ACL技术和路由器及交换机的VLAN技术相结合来保障校园网络的服务质量和网络的安全。VLAN技术是一种将局域网内的设备逻辑地划分成一个个网段，从而实现虚拟工作组的技术，将不同部门划分在不同的VLAN里，VLAN是传统的以太网安全技术，它通过分割多个广播域，可以控制用户的访问权限和逻辑网段大小，并将不同用户群划分在不同VLAN，从而提高交换式网络的整体性能和安全性。一个VLAN就是一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到同一个逻辑子网中。
路由与访问控制
将不同性质的成员划分为不同的VLAN后，即使它们连接到同一台交换机设备上，不同VLAN之间也无法直接通信，就达到了不同部门之间不能互访的目的。如果要使分属不同VLAN的用户能够互相通信，则需要利用网络层的信息进行路由，即需要使用路由器或三层交换机进行VLAN间路由。使用路由器进行VLAN间路由时，采用了汇聚（Trunk）链接的方式，通过对数据帧添加VLAN信息，实现多个VLAN共用一条链路。
附加VLAN信息的方法有：（1）IEEE802.1Q方法。在以太网数据帧的标准格式中附加VLAN识别信息协议，当数据帧进入汇聚链路时，附加的VLAN识别信息位于数据帧中的“发送源MAC地址”，与“类别域”之间，内容为2bit的TPID和2bit的TCI共计4bit；当数据离开汇聚链路时，TPID和TCI被去除，重新计算CRC校验值，TPID值固定为0x8100，交换机通过TPID确认数据帧内附加的基于IEEE802.1Q的VLAN信息。（2）Cisco ISL方法。当数据帧进入汇聚链路时，每个标准的以太网数据帧头都会被附加26bit的ISL包头，路由器和交换机通过ISL包头识别不同的VLAN，连同帧尾带上，通过对包括ISL包头在内的整个数据帧进行计算，得到新的4bit CRC校验值，共增加30bit的信息；当数据帧离开汇聚链路时，只要去除ISL包头和新CRC即可。
当路由器和交换机连接后，用路由器中的ACL对不同的VLAN实施访问控制策略。根据单位的具体情况，使用一台交换机划分VLAN，区分不同部门，一台路由器实现VLAN间路由与访问控制、互联网的接入。
VLAN间路由与访问控制实现过程划分为三个步聚：第1步，在交换机上按部门划分VLAN，并为各部门VLAN命名；把各部门的VLAN对应到相应的交换机端口。第2步，通过路由器实现VLAN间路由，包括将路由器与交换机相连的端口设为汇聚链路，双方采用相同的汇聚链路协议ISL或IEEE802.1Q；将路由器与交换机相连的路由器端口划分为多个子端口，每个子端口对应交换机中的一个VLAN，并为其分配一个IP地址，使该地址应与相应的VLAN属于同一子网，当VLAN中的成员与其他VLAN成员通信时，使用这一地址作为缺省网关。第3步，在路由器上实现ACL控制，在一个子端口上配置访问控制列表，包括定义访问表，指定访问表所应用的端口，定义访问表所作用端口上的方向。下面用举例说明ACL技术在校园网中的应用。

 1/2    1 2 下一页 尾页