报文访问控制列表及其在校园网内网管理中的应用研究

访问控制列表及其在校园网内网管理中的应用研究

目前,各高校都建立了自己的校园网,随着校园网上应用不断增多,学校对校园网的依赖越来越大,校园网的畅通与否将直接影响各高校的教学、科研和管理。很多学校都非常重视网络管理,但是许多学校的网络管理主要是针对出口进行管理,而忽略了内网的管理。随着网络的不断发展,三层及三层以上交换机在校园网中担当起了重要的角色,不过很多学校仅仅利用了它的一个基本功能——路由,而没有发挥其访问控制列表(Access Control List,简称ACL)的作用。本文以华为交换机的AC L为例,结合实际需求,通过AC L来加强校园网内网的管理。

1理解AC L

1.1 ACL及其工作原理。

AC L是为了过滤网络设备上的数据包,而在网络设备上设置的有限语句序列。一个IP数据包如图1所示(图中IP所承载的上层协议为TC P):

图1 IP数据包示意图

AC L就是使用包过滤技术,在网络设备上通过将报文的协议号、源地址、 目的地址、源端口号、 目的端口号与已经应用的AC L表相比较,来允许或拒绝报文通过。当报文到达时,网络设备对报文进行检查,如果报文与AC L的某条规则匹配,则执行该语句中的动作,如果报文不匹配,则检查访问表中的下一条语句,直到最后一条语句结束时仍然没有匹配语句,则报文按缺省规则被允许或拒绝(华为交换机缺省为允许)。其工作过程如图2所示:

图2访问控制列表工作工程

1.2 ACL的分类。