扩展访问控制列表在校园网中的应用

摘 要：扩展访问控制列表是在三层交换机和路由器上经常采用的一种防火墙技术，它可以根据一定规则对经过该网络设备的数据包进行控制，主要起到流量过滤和保护网络的作用，常用于校园网络。本文从基本概念入手，深入剖析了扩展访问控制列表的工作过程和配置方法，对如何在校园网应用进行了全面的探索和研究。

关键词：扩展访问控制列表；校园网络；配置；应用

中图分类号：TP393.18

1 扩展访问控制列表介绍

1.1 什么是扩展访问控制列表

访问控制列表（Access Control List，简称ACL）是一种数据包控制技术，能够起到防火墙的作用，目前广泛应用于三层交换机和路由器等网络设备，通过配置访问规则并在接口上应用，然后读取数据包中的部分信息，能够有效地控制数据包的通过，实现控制目的。根据数据包通过时的判断依据的不同，分为三种类型，分别为：标准访问控制列表；扩展访问控制列表；基于时间的访问控制列表。

1.2 扩展访问控制列表的作用

通过在路由器或三层交换机上配置并应用扩展访问控制列表，可以避免网络遭受攻击，进行网络流量的控制，提高网络性能，具体有以下两方面的作用。

（1）网络安全控制

通过预先在网络设备上编写并应用访问规则，当数据包通过网络设备时进行控制，若符合规则可以通过，否则不能通过，以此来控制非法数据包的进入，保护网络的安全。

（2）限制网络流量，提高网络性能

通过建立访问规则能够来限制大量无用的数据包通过，减少网上数据包的数量，实现网络访问流量的控制，大大提高带宽的利用率。

1.3 扩展访问控制列表的工作过程

当路由器收到一个数据包时，根据数据包中的源IP地址、目的IP地址、协议及端口号等信息从访问控制列表中自上而下检查控制语句，如果检查到与一条deny语句相匹配，则该数据包被丢弃；如果检查到最后一条语句后还没有找到匹配的语句，那么也会将数据包丢弃；如果检查到与一条permit语句相匹配，则允许该数据包通过，那么路由器会读取其中的目的网络地址，查询路由信息，向对应的端口发送。

2 扩展访问控制列表的配置

扩展访问控制列表可以应用在不同的网络设备上，如三层交换机、路由器等，但它们起到的作用是完全一样的，如果是应用在路由器上，那么通常用编号来表示，称之为编号扩展访问控制列表；如果是应用在三层交换机，那么通常用字符串来表示，称之为命名扩展访问控制列表。

无论哪种访问控制列表的配置都分为两步：第一步是编写访问规则，编写访问规则是分析需求，弄清允许哪些数据包访问什么目标，禁止哪些数据包访问什么目标，然后根据数据包的源IP地址、目的IP地址、协议及端口号编写相关规则。第二步是在接口上应用规则，分析数据流的方向，找到一个最合适的控制位置，并在该位置上应用访问规则。

3 扩展访问控制列表在校园网中的应用

一个校园网一般包含WEB、FTP、数据库和DNS等多种服务器，在此以一个简单的校园网为例，对扩展访问控制列表在校园网络的应用进行说明。

案例：某学校校园网络拓扑结构如下图所示，网络中有一台Cisco3570交换机，一台WEB服务器（10.1.3.1/24）、一台FTP服务器（10.1.3.2/24）和一台Cisco2811路由器，路由器的F0/0接口连接内网，S0/0链接外网，校园网内部使用了VLAN技术，按照不同的功能分为3个VLAN，其中VLAN 10为办公网，VLAN20为学生网，VLAN30为服务，要求学生不能够访问外网，但能够访问WEB和FTP服务，教师能够访问外网、WEB、FTP，外网的主机可以访问WEB服务器。

4 扩展访问控制列表的局限性

由于访问控制列表是通过对数据包的严格判断来决定是否允许通过的，判断数据包时只根据包中的源IP地址、目的IP地址、源端口、目的端口、协议等信息，而不考虑到底是哪类用户，有没有相应的想要，因此存在较大的局限性，需要和其它的一些控制手术结合使用，才能达到更佳效果。

5 结束语

扩展访问控制列表的配置较为简单，不需要额外的网络设备，运行成本低，并且在一定程度上保护了校园网络免受外界的攻击，同时，也起到了流量控制的作用。目前在校园网中应用非常广泛。

参考文献：

[1]刘晓军.局域网组网技术大全[M].北京：人民邮电出版社，2010.

作者简介：黄斌（1983.04-），男，海南万宁人，本科，讲师，研究方向：计算机网络技术。

作者单位：海南经贸职业技术学院，海口 571127