摘 要：擴展訪問控制列表是在三層交換機和路由器上經(jīng)常采用的一種防火墻技術(shù)，它可以根據(jù)一定規(guī)則對經(jīng)過該網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包進行控制，主要起到流量過濾和保護網(wǎng)絡(luò)的作用，常用于校園網(wǎng)絡(luò)。本文從基本概念入手，深入剖析了擴展訪問控制列表的工作過程和配置方法，對如何在校園網(wǎng)應(yīng)用進行了全面的探索和研究。

關(guān)鍵詞：擴展訪問控制列表；校園網(wǎng)絡(luò)；配置；應(yīng)用

中圖分類號：TP393.18

1 擴展訪問控制列表介紹

1.1 什么是擴展訪問控制列表

訪問控制列表（Access Control List，簡稱ACL）是一種數(shù)據(jù)包控制技術(shù)，能夠起到防火墻的作用，目前廣泛應(yīng)用于三層交換機和路由器等網(wǎng)絡(luò)設(shè)備，通過配置訪問規(guī)則并在接口上應(yīng)用，然后讀取數(shù)據(jù)包中的部分信息，能夠有效地控制數(shù)據(jù)包的通過，實現(xiàn)控制目的。根據(jù)數(shù)據(jù)包通過時的判斷依據(jù)的不同，分為三種類型，分別為：標(biāo)準(zhǔn)訪問控制列表；擴展訪問控制列表；基于時間的訪問控制列表。

1.2 擴展訪問控制列表的作用

通過在路由器或三層交換機上配置并應(yīng)用擴展訪問控制列表，可以避免網(wǎng)絡(luò)遭受攻擊，進行網(wǎng)絡(luò)流量的控制，提高網(wǎng)絡(luò)性能，具體有以下兩方面的作用。

（1）網(wǎng)絡(luò)安全控制

通過預(yù)先在網(wǎng)絡(luò)設(shè)備上編寫并應(yīng)用訪問規(guī)則，當(dāng)數(shù)據(jù)包通過網(wǎng)絡(luò)設(shè)備時進行控制，若符合規(guī)則可以通過，否則不能通過，以此來控制非法數(shù)據(jù)包的進入，保護網(wǎng)絡(luò)的安全。

（2）限制網(wǎng)絡(luò)流量，提高網(wǎng)絡(luò)性能

通過建立訪問規(guī)則能夠來限制大量無用的數(shù)據(jù)包通過，減少網(wǎng)上數(shù)據(jù)包的數(shù)量，實現(xiàn)網(wǎng)絡(luò)訪問流量的控制，大大提高帶寬的利用率。

1.3 擴展訪問控制列表的工作過程

當(dāng)路由器收到一個數(shù)據(jù)包時，根據(jù)數(shù)據(jù)包中的源IP地址、目的IP地址、協(xié)議及端口號等信息從訪問控制列表中自上而下檢查控制語句，如果檢查到與一條deny語句相匹配，則該數(shù)據(jù)包被丟棄；如果檢查到最后一條語句后還沒有找到匹配的語句，那么也會將數(shù)據(jù)包丟棄；如果檢查到與一條permit語句相匹配，則允許該數(shù)據(jù)包通過，那么路由器會讀取其中的目的網(wǎng)絡(luò)地址，查詢路由信息，向?qū)?yīng)的端口發(fā)送。

2 擴展訪問控制列表的配置

擴展訪問控制列表可以應(yīng)用在不同的網(wǎng)絡(luò)設(shè)備上，如三層交換機、路由器等，但它們起到的作用是完全一樣的，如果是應(yīng)用在路由器上，那么通常用編號來表示，稱之為編號擴展訪問控制列表；如果是應(yīng)用在三層交換機，那么通常用字符串來表示，稱之為命名擴展訪問控制列表。

無論哪種訪問控制列表的配置都分為兩步：第一步是編寫訪問規(guī)則，編寫訪問規(guī)則是分析需求，弄清允許哪些數(shù)據(jù)包訪問什么目標(biāo)，禁止哪些數(shù)據(jù)包訪問什么目標(biāo)，然后根據(jù)數(shù)據(jù)包的源IP地址、目的IP地址、協(xié)議及端口號編寫相關(guān)規(guī)則。第二步是在接口上應(yīng)用規(guī)則，分析數(shù)據(jù)流的方向，找到一個最合適的控制位置，并在該位置上應(yīng)用訪問規(guī)則。

3 擴展訪問控制列表在校園網(wǎng)中的應(yīng)用

一個校園網(wǎng)一般包含WEB、FTP、數(shù)據(jù)庫和DNS等多種服務(wù)器，在此以一個簡單的校園網(wǎng)為例，對擴展訪問控制列表在校園網(wǎng)絡(luò)的應(yīng)用進行說明。

案例：某學(xué)校校園網(wǎng)絡(luò)拓撲結(jié)構(gòu)如下圖所示，網(wǎng)絡(luò)中有一臺Cisco3570交換機，一臺WEB服務(wù)器（10.1.3.1/24）、一臺FTP服務(wù)器（10.1.3.2/24）和一臺Cisco2811路由器，路由器的F0/0接口連接內(nèi)網(wǎng)，S0/0鏈接外網(wǎng)，校園網(wǎng)內(nèi)部使用了VLAN技術(shù)，按照不同的功能分為3個VLAN，其中VLAN 10為辦公網(wǎng)，VLAN20為學(xué)生網(wǎng)，VLAN30為服務(wù)，要求學(xué)生不能夠訪問外網(wǎng)，但能夠訪問WEB和FTP服務(wù)，教師能夠訪問外網(wǎng)、WEB、FTP，外網(wǎng)的主機可以訪問WEB服務(wù)器。

4 擴展訪問控制列表的局限性

由于訪問控制列表是通過對數(shù)據(jù)包的嚴格判斷來決定是否允許通過的，判斷數(shù)據(jù)包時只根據(jù)包中的源IP地址、目的IP地址、源端口、目的端口、協(xié)議等信息，而不考慮到底是哪類用戶，有沒有相應(yīng)的想要，因此存在較大的局限性，需要和其它的一些控制手術(shù)結(jié)合使用，才能達到更佳效果。

5 結(jié)束語

擴展訪問控制列表的配置較為簡單，不需要額外的網(wǎng)絡(luò)設(shè)備，運行成本低，并且在一定程度上保護了校園網(wǎng)絡(luò)免受外界的攻擊，同時，也起到了流量控制的作用。目前在校園網(wǎng)中應(yīng)用非常廣泛。

參考文獻：

[1]劉曉軍.局域網(wǎng)組網(wǎng)技術(shù)大全[M].北京：人民郵電出版社，2010.

作者簡介：黃斌（1983.04-），男，海南萬寧人，本科，講師，研究方向：計算機網(wǎng)絡(luò)技術(shù)。

作者單位：海南經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院，?？?571127