扩展ACL技术在校园网信息安全中的应用

摘要：随着校园网络规模的不断扩大和使用网络学生人数的增多，校园网络安全问题越来越突出。为了保障校园网中重要位置机器和关键服务器上信息安全，通过在校园网中使用扩展ACL技术对学生机访问权限进行控制，可以有效阻止学生访问敏感位置信息实现校园网网络信息安全。

关键词：校园网;扩展ACL;信息安全

1网络连通配置和测试结果查看

下面的网络拓扑图是由两台路由器，四台交换机连接了四个不同部门组成的简化了的校园网络。

在这个校园网络中网管中心可以提供web服务和ftp服务。通过配置扩展ACL实现下面的两项安全功能要求：第一，禁止学生机访问网管中心的web服务器和ftp服务器。第二，禁止学生机ping校长的电脑。要实现这两项功能首先要为R1、R2两台路由器配置接口的网络参数使网络能够互联互通，配置完后查看路由器R1路由表，结果显示获得了到校长电脑192.168.3.0以及到服务器192.168.8.0网络的路由。

然后查看路由器R2路由表，结果显示获得了到学生机192.168.1.0以及教师机192.168.2.0网络的路由。

查看结果表明，R1、R2两台路由器的路由表是完整的，整个网络可以

实现互联互通。

接着为终端电脑以及服务器配置IP地址，其中WEB-server服务器的IP地址配置为192.168.8.100;FTP-server服务器的IP地址配置为192.168.8.200。

接下来查看WEBserver服务器以及FTPserver服务器的运行情况。

以下是在packettracer仿真软件中查看到的WEB服务器运行状态图，从图中可以看出，WEB服务器已经开启，并且可以显示网站内容的HTML代码。

通过学生机浏览器访问IP地址为192.168.8.100WEB服务器，结果表明网站访问正常。

接下来测试学生机ping校长电脑的情况，校长机的IP地址为192.168.3.100，用学生机ping该IP地址，测试结果如下。

结果显示学生机可以ping通校长电脑，因为经过了两个路由器所以返回的TTL值为126。

2配置扩展ACL

要求满足以下两个安全要求：

第一，禁止学生机访问网管中心的web服务器和ftp服务器。第二，允许学生机ping网管中心的web服务器，禁止学生机ping校长电脑。

要实现上面两项安全要求，首先选择要配置ACL的路由器，该网络拓扑中有两个路由器分别为R1和R2，在路由器R1上实施扩展ACL较为合理。WEB服务器和FTP服务器通过交换机S4和路由器R2相连，为了实现禁止学生机访问网管中心的web服务器和ftp服务器。定义规则100为：access-list100denytcp192.168.1.00.0.0.255host192.168.8.100eqwww。用来达到禁止学生机访问网管中心web服务器的目的。通过定义规则access-list100denytcp192.168.1.00.0.0.255host192.168.8.200eqftp，来达到禁止学生机访问网管中心的FTP服务器。为了能够禁止学生

机ping校长电脑，通过定义规则access-list100denyicmp192.168.1.00.0.0.255host192.168.3.100来实现。下面就是定义规则的过程。

定义好规则之后，在相关接口应用该规则，该访问控制列表才能起作用。

为了实现禁止学生机访问网管中心的web服务器以及ftp服务器，禁

止学生机ping校长电脑，具体配置为：首先进入路由器R1的接口fastEthernet0/0，然后通过命令ipaccess-group100in，在路由器R1的接口fastEthernet0/0接口应用规则100。

3验证安全效果

配置完扩展ACL后通过学生机访问web服务器，结果表明WEB服务器拒绝了学生机的访问，结果如图7所示。

接下来验证学生机访问FTP服务器，结果表明学生机不能访问FTP服务器了，如图8所示。

然后测试学生機ping服务器以及校长电脑情况，结果表明学生机可以ping通WEB服务器，不能ping通校长电脑，结果如图9和图10所示。

以上就是利用扩展ACL技术配置校园网络安全的过程。实验结果达到了实际安全要求，实现了校园网信息安全控制。

参考文献：

[1]徐婷婷.ACL访问控制列表在校园网中的应用[J].科技风，2017，（15）：53.

[2]陈涛.ACL技术在校园网络安全中的应用[J].网络安全技术与应用，2017（10）：98-99.

[3]覃德泽，张家伟.ACL在校园网核心设备的配置方案[J].网络安全技术与应用，2016（8）.

作者简介：王振亚（1975，男，讲师，主要从事网络技术与信息安全研究，E-mail：1010187633@qq.com）