【分　 类】 教育科学
【关 键 词】 路由器; 交换机; 访问控制列表（ACL）; 虚拟局域网（VLAN）
【来 　源】 互联网
【收　 录】 中文学术期刊网

正文：

配置实例
在某校园网络中，要对校园内的各部门加以访问控制，可以使用一台或多台华为3C0M $3900系列网管型交换机实现各部门VLAN的划分。（1）不同部门之间不能互相访问，同部门之间的员工可以相互访问；（2）部门的员工在特定时间段才能访问Internet；(3)学校行政管理人员可以访问所有的部门，并能自由访问Internet；(4)对服务器及网络设备进行安全保护操作，要区分不同部门的网络，然后再通过路由器接人Internet，要求按部门进行子网的划分，把部门1、2、3分别分在VLAN2、VLAN3、VLAN4，并为它们分配相应的IP网段，路由器和交换机通过VLAN1相连。
网络拓扑结构见图1，交换机VALN及子网分配见表1。









图1 网络拓扑结构
表1 VLAN与子网的划分
网络号
子网
交换机端口

VLAN1
192.168.1.0/24
E1/0/1

VLAN2
192.168.2.0/24
E1/0/2

VLAN3
192.168.3.0/24
E1/0/3

VLAN4
192.168.4.0/24
E1/0/4

划分VLAN后，根据学校工作的需要，采用基于IP的高级访问控制列表，实现控制部门之间的访问和对Internet的限时访问。
交换机的配置如下：
【Quidway】time-range huawei 8：00 to 1 7：00 working-day
说明：定义8：00至17：00的周期时间段
【Quidway】acl number 3000
说明：进入3000号的高级访问控制列表视图
【Quidway-acl-adv-3000】rule 1 deny ip source any destination any time-range huawei
说明：禁止上班时间访问Internet
【Quidway-Ethernet1／0／1】packet-filter inbound ip-group 3000 
说明：将3000号ACL激活
【Quidway】acl number 3001 
说明：进入3000号的高级访问控制列表视图
【Quidway-acl-adv-3001】rule 1 deny ip source any destination 192.168.1.0 0.0.0.255
【Quidway-Ethernet1／0／2】packet-filter inbound ip-group 3001 
说明：将3001号ACL激活
再用相同的方法创建acl 3002、acl 3003，分别在e1／0／3、e1／O/4 应用，这样就实现了部门之间的相互隔离，为了加强网络设备的管理，可以应用ACL基本访问控制列表来限制其它部门非法登陆校园网络设备，在交换机上可以用下述方法来实现对某个TELNET用户的ACL控制：
【Quidway】acl number 2000 
说明：进入2000号的基本访问控制列表视图
【Quidway-acl-basic-2000】rule 0 deny source 192.168.1.0 0.0.0.255
说明：禁止vlan1的用户telnet到交换机
【Quidway-acl-basic-2000】rule 1 deny source 192.168.2.0 0.0.0.255
说明：禁止vlan2的用户telnet到交换机
【Quidway-acl-basic-2000】rule 1 deny source 192.168.3.0 0.0.0.255
说明：禁止vlan3的用户telnet到交换机
【Quidway】user-interface vty 0 4
【Quidway-ui-vtyO-4】acl 2000 inbound 
说明：参数inbound对telnet到本交换机的用户进行acl控制
配置完成后，按各部门所在VLAN设置IP地址、子网掩码及网关，用Ping或Tracert命令进行测试，测试结果表明交换机配置正确，实现了部门之间的访问控制、上网时间控制，还可以有效地保护网络设备。
结论
路由器、交换机和防火墙上的访问控制列表，有它们各自的特点，路由器上主要是基本的和扩展的访问控制列表，需要应用在接口上；交换机上增加了接口和基于二层的访问控制列表，可以区分来自不同的VLAN的业务流以及区分同一个VLAN内部的数据流；防火墙上是设定4个安全区域，数据在不同安全区域流动时开启访问控制。因此在实际工作中可以根据实际需要，灵活制定安全策略。
通过本文几个案例的实现，使我们了解到，在校园网的配置和管理中，在实现校园网内部网络连接的基础上，还要对网络进行有效的控制与管理。而通过采用ACL技术，充分利用路由器、交换机及防火墙的安全管理功能，就能保证校园网络的安全，使得校园网能为师生提供便捷安全的服务。
参考文献
1. 华为3Com技术有限公司．华为3Comm网络学院教材(一、二学期)[M]. 
2. 聂真理，秀芹．计算机网络基础教程[M]. 北京：北京工业大学出版社．2002． 
3. 李从信，唐国维，郭福田.计算机网络实用教程[M].北京：石油出版社，1997.
4. 张保通.网络互联技术——路由、交换与远程访问[M].北京：中国水利水电出版社，2004. [5]Cisco Systems.思科网络技术学院教程[M].北京：人民邮电出版社，2004.
5. 周丽佩，张利锋，杨克远.高速以太校园网的规划与建设[J].大庆石油学院学报，2003，27（1）；58-61.
6. 李从信，刘贤梅，任庆东等.网络管理技术及其在CNPnet中的应用[J].大庆石油学院学报，2001，25（3）；88-91. 

 2/2   首页 上一页 1 2