唐 磊

（重慶三峽職業(yè)學(xué)院網(wǎng)絡(luò)安全信息中心 重慶 404155）

0 引言

隨著計(jì)算機(jī)技術(shù)快速發(fā)展，網(wǎng)絡(luò)對(duì)社會(huì)影響日益廣泛。 目前，高等院校為我國網(wǎng)絡(luò)用戶最密集的區(qū)域之一，隨著高校數(shù)字化校園建設(shè)的推進(jìn)，高校已建立了網(wǎng)絡(luò)中心、數(shù)字化圖書館、計(jì)算中心等信息化部門，學(xué)生可以在多種場(chǎng)所接觸網(wǎng)絡(luò)，更容易吸收多種有利的信息，進(jìn)而更加自覺地提高和完善自己。 然而，網(wǎng)絡(luò)是一把雙刃劍，在為學(xué)習(xí)提供便利的同時(shí)也會(huì)帶來負(fù)面影響。 網(wǎng)絡(luò)游戲和娛樂較多，學(xué)生容易沉迷其中，對(duì)學(xué)習(xí)負(fù)面影響十分明顯?；谝陨显虮疚奶岢鍪褂没跁r(shí)間訪問控制列表（access control list，ACL）來控制學(xué)生上網(wǎng)。

1 ACL

ACL 是一種訪問控制技術(shù)，主要應(yīng)用于路由器或三層交換機(jī)等［1］。 ACL 應(yīng)用于路由器或交換機(jī)接口的指令列表，指定哪些數(shù)據(jù)包可以接收轉(zhuǎn)發(fā)或拒絕，過濾進(jìn)出接口的數(shù)據(jù)包，保護(hù)路由器、交換機(jī)和網(wǎng)絡(luò)的安全。

ACL 的作用是限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能，可以提供對(duì)通信流量的控制手段。 可以提供網(wǎng)絡(luò)安全訪問的基本手段。 能夠在路由器或交換機(jī)的端口處決定哪種類型的通信流量能夠被轉(zhuǎn)發(fā)或被阻塞。

ACL 技術(shù)的基本原理是基于已定義的規(guī)則，在網(wǎng)絡(luò)出入口處對(duì)數(shù)據(jù)包進(jìn)行過濾，從而實(shí)現(xiàn)網(wǎng)絡(luò)訪問控制、安全控制和流量控制。 一個(gè)數(shù)據(jù)包由接口進(jìn)行路由交換設(shè)備后，首先查看路由表，看數(shù)據(jù)包的目的地址是否在路由表?xiàng)l目中，再根據(jù)路由表送至相應(yīng)的接口，否則將數(shù)據(jù)包丟棄；當(dāng)數(shù)據(jù)到達(dá)相應(yīng)的接口后，查看接口上是否有ACL 配置，有則根據(jù)ACL 的規(guī)則，對(duì)比數(shù)據(jù)報(bào)文，判斷是否允許該數(shù)據(jù)包通過，如果不符合ACL 所有規(guī)則，就不能通過設(shè)備，需被丟棄；如果沒有配置ACL，則數(shù)據(jù)包直接通過［2］。

ACL 分為基本訪問控制列表和高級(jí)訪問控制列表［3］。 基本訪問控制列表僅根據(jù)分組內(nèi)的源IP 地址進(jìn)行過濾，優(yōu)點(diǎn)是占用網(wǎng)絡(luò)設(shè)備資源較少，不足之處是可控制功能較少。 高級(jí)訪問控制列表不但檢查數(shù)據(jù)包源地址，而且檢查數(shù)據(jù)包協(xié)議類型。 目的地址以及傳輸控制協(xié)議（transmission control protocol，TCP）/用戶數(shù)據(jù)報(bào)協(xié)議（user datagram protocol，UDP）協(xié)議族的端口號(hào)，具有更強(qiáng)的靈活性和擴(kuò)展性。

2 基于時(shí)間的ACL 概述

基于時(shí)間的ACL 可以根據(jù)某天的不同時(shí)間段、某個(gè)星期固定時(shí)間段，或某個(gè)固定的日期和時(shí)間，或三者相結(jié)合來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)訪問的控制。 基于時(shí)間的訪問控制列表允許管理員定義不同的安全規(guī)則，對(duì)包含網(wǎng)絡(luò)協(xié)議和端口的數(shù)據(jù)包進(jìn)行控制。 這種基于時(shí)間的數(shù)據(jù)包過濾方法使管理員對(duì)網(wǎng)絡(luò)安全策略更具有可控性。

2.1 配置時(shí)間段time-range

配置時(shí)間段如下。

周期時(shí)間段：每天配置固定時(shí)間段，例如星期一至星期五的8：00 至18：00。

絕對(duì)時(shí)間段形式為：日期1 時(shí)間1 至日期2 時(shí)間2（日期格式為：YYYY-MM-DD，時(shí)間格式為：HH：MM：SS），例如從2022 年10 月1 日0：00 起至2022 年10 月7 日23：59 結(jié)束。

配置時(shí)間段命令格式如下［4］：

time-range 時(shí)間段名稱｛ 開始時(shí)間to 結(jié)束時(shí)間［from時(shí)間1 日期1］ ［to 時(shí)間2 日期2］ | from 時(shí)間1 日期1［to 時(shí)間2 日期2］ | to 時(shí)間2 日期2 ｝ 例如：

time-range work_time 8：00 to 18：00 working-day，其意思為定義周期時(shí)間段work_time，時(shí)間范圍為每周一至周五早上8：00 至晚上18：00。

其意思為定義周期時(shí)間段net_time，時(shí)間范圍為前一天晚上21：00 至當(dāng)日凌晨3：00。

from time1 date1 為從某個(gè)日期某個(gè)時(shí)間開始，to time2 date2 為到某個(gè)日期某個(gè)時(shí)間結(jié)束。 例如：time-range gqj from 0：00 2022/10/1 to 23：59 2022/10/7，其意思為定義絕對(duì)時(shí)間段gqj，時(shí)間范圍為從2022 年10 月1 日0：00 起至2022 年10 月7 日23：59 結(jié)束。

days 為星期一（Mon），星期二（Tue），星期三（Wed），星期四（Thu），星期五（Fri），星期六（Sat）和星期日（Sun）中的某一天，也可為每天（daily），工作日（working-day）和周末（off-day）。

2.2 校正系統(tǒng)時(shí)鐘

在使用基于時(shí)間的ACL 之前，必須確認(rèn)路由器提供可靠的系統(tǒng)時(shí)鐘，網(wǎng)絡(luò)管理員使用用戶模式命令clock datetime HH：MM：SS YYYY-MM-DD 來設(shè)置路由器本地時(shí)間［5］。 例如：在路由器AR 上設(shè)定時(shí)間：＜AR ＞clock datetime 11：14：51 2022-09-27，顯示路由器當(dāng)前時(shí)間：＜AR＞display clock。

2.3 關(guān)聯(lián)ACL 與時(shí)間段time-range

在訪問控制列表中，可以使用rule 命令定義規(guī)則允許或者阻止用戶訪問報(bào)文或者協(xié)議，在rule 命令中可通過time-range 參數(shù)關(guān)聯(lián)時(shí)間段名稱，從而使規(guī)則實(shí)現(xiàn)基于時(shí)間的訪問控制功能。

3 基于時(shí)間的ACL 應(yīng)用案例

場(chǎng)景：某學(xué)校使用三層交換機(jī)實(shí)現(xiàn)各樓棟互聯(lián)，各樓棟通過路由器訪問外網(wǎng)。 辦公樓計(jì)算機(jī)使用VLAN 2001，IP 段為10.1.0.0，學(xué)生宿舍計(jì)算機(jī)使用VLAN 2002，IP 段為10.2.0.0，教學(xué)樓計(jì)算機(jī)使用VLAN 2003，IP 段為10.3.0.0，服務(wù)器使用VLAN 3006，IP 段為10.0.1.0，網(wǎng)絡(luò)拓?fù)淙鐖D1 所示。 配置ACL 規(guī)則，允許學(xué)生宿舍在工作日7：00-23：00 可訪問外網(wǎng)，工作日其余時(shí)間禁止訪問外網(wǎng)，但可訪問內(nèi)網(wǎng)服務(wù)器。 學(xué)生宿舍在周末全天可訪問外網(wǎng)，在清明節(jié)2023 年4 月4 日23：01—2023 年4 月5 日23：00 可訪問外網(wǎng)，其他樓棟不受限制。

圖1 網(wǎng)絡(luò)拓?fù)鋱D

3.1 創(chuàng)建時(shí)間段

＃配置周期時(shí)間段trname_work，時(shí)間范圍為每周一至周五的7：00 到23：00

［AR］ time-range trname _ work 07： 00 to 23： 00 working-day

＃配置周期時(shí)間段trname_week，時(shí)間范圍為每周六至周日的0：00 到23：59

［AR］time-range trname_week 00：00 to 23：59 off-day

＃配置周期時(shí)間段trname_work_deny，時(shí)間范圍為每周一至周五的23：01 到23：59，0：00 到6：59

［AR］time-range trname_work_deny 23：01 to 23：59 working-day

［AR］time-range trname_work_deny 00：00 to 06：59 working-day

＃配置絕對(duì)時(shí)間段trname_qmj，時(shí)間范圍為2023 年4月4 日23：01—2023 年4 月5 日23：00

［AR］time-range trname_qmj from 23：01 2023/4/4 to 23：00 2023/4/5

3.2 創(chuàng)建ACL 規(guī)則并將時(shí)間段與之綁定

＃創(chuàng)建訪問控制列表ACL

［AR］acl 3000

＃創(chuàng)建規(guī)則，允許學(xué)生宿舍訪問內(nèi)網(wǎng)服務(wù)器

［AR-acl-adv-3000］ rule permit ip source 10.2.0.0 0.0.1.255 destination 10.0.1.0 0.0.0.255

＃創(chuàng)建規(guī)則，允許學(xué)生宿舍在清明節(jié)期間訪問外網(wǎng)

［AR-acl-adv-3000］ rule permit ip source 10.2.0.0 0.0.1.255 destination any time-range trname_qmj

＃創(chuàng)建規(guī)則，禁止學(xué)生宿舍在周一至周五的23：01 到次日早上6：59 訪問外網(wǎng)

［AR-acl-adv - 3000］ rule deny ip source 10.2.0.0 0.0.1.255 destination any time-range trname_work

_deny

＃創(chuàng)建規(guī)則，允許學(xué)生宿舍在周一至周五7：00-23：00訪問網(wǎng)站

［AR-acl-adv-3000］ rule permit ip source 10.2.0.0 0.0.1.255 destination any time-range trname

_work

＃創(chuàng)建規(guī)則，允許學(xué)生宿舍在周六至周日0：00-23：59訪問網(wǎng)站

［AR-acl-adv-3000］ rule permit ip source 10.2.0.0 0.0.1.255 destination any time-range trname

_week

［AR-acl-adv-3000］quit ＃退出

3.3 將創(chuàng)建的ACL 規(guī)則應(yīng)用到指定端口

＃進(jìn)入G0/0/1 端口

［AR］interface GigabitEthernet 0/0/1

＃在G0/0/1 端口流量入口方向上配置基于ACL 3000流量過濾策略

［ AR-GigabitEthernet0/0/1 ］ traffic-filter inbound acl 3000

3e 1H NMR(CDCl3) δ:8.11-8.06(m,2 H),7.81-7.77(m,1 H),7.61-7.57(m,1 H),7.44-7.25(m,4 H),2.44(s,3 H).

［AR-GigabitEthernet0/0/1］quit ＃退出

4 測(cè)試結(jié)果

測(cè)試使用Ping 命令來檢測(cè)網(wǎng)絡(luò)的連通性。

首先，查看系統(tǒng)當(dāng)前時(shí)間，命令如下：

＜AR＞display clock ＃查看系統(tǒng)時(shí)間

2023-04-07 00：38：42

Friday

Time Zone（China-Standard-Time） ： UTC-08：00

顯示此時(shí)為00：38：42，即非工作時(shí)間，測(cè)試PC1（辦公樓） 和PC2 （學(xué)生宿舍） 能否訪問外網(wǎng)IP 地址114.114.114.3，測(cè)試結(jié)果如圖2 和圖3 所示；測(cè)試PC1 和PC2 能否訪問Web 服務(wù)器10.0.1.2，測(cè)試結(jié)果如圖4 和圖5 所示。

圖2 創(chuàng)建ACL 后PC1 訪問外網(wǎng)結(jié)果

圖3 創(chuàng)建ACL 后PC2 訪問外網(wǎng)結(jié)果

設(shè)置ACL 訪問規(guī)則后，在非工作時(shí)間23：01-6：59內(nèi)，學(xué)生宿舍無法訪問外網(wǎng)，但可訪問內(nèi)網(wǎng)，辦公樓則可正常訪問內(nèi)網(wǎng)和外網(wǎng)，達(dá)到案例預(yù)期目的。

其次，使用clock datetime 更改系統(tǒng)時(shí)間，命令如下：

＜AR＞clock datetime 8：00 2023-04-07 ＃更改系統(tǒng)時(shí)間

＜AR＞display clock ＃查看系統(tǒng)時(shí)間

2023-04-07 08：00：24

Friday

Time Zone（China-Standard-Time） ： UTC-08：00

此時(shí)系統(tǒng)時(shí)間已修改為工作時(shí)間，測(cè)試PC1 和PC2能否訪問外網(wǎng)IP 地址114.114.114.3，測(cè)試結(jié)果如圖6 和圖7 所示。

圖6 更改系統(tǒng)時(shí)間后，PC1 訪問外網(wǎng)結(jié)果

圖7 更改系統(tǒng)時(shí)間后，PC2 訪問外網(wǎng)結(jié)果

更改系統(tǒng)時(shí)間后，學(xué)生宿舍和辦公樓均可正常訪問外網(wǎng)，以同樣的方法更改系統(tǒng)時(shí)間為周末和清明節(jié)，測(cè)試結(jié)果與圖6 和圖7 一致，結(jié)果符合案例預(yù)期。

5 結(jié)語

綜上所述，本文通過在路由器上配置基于時(shí)間的ACL規(guī)則，以解決學(xué)校網(wǎng)絡(luò)管理中存在的學(xué)生通宵上網(wǎng)問題。測(cè)試結(jié)果表明，配置ACL 規(guī)則可以有效控制訪問者權(quán)限，保障網(wǎng)絡(luò)安全，給網(wǎng)絡(luò)管理員工作帶來極大便利。