桂林电子科技大学职业技术学院毕业设计（论文）

体要使用periodic命令。将在下面的配置实例中详细介绍。

基于时间的ACL配置常用命令

R1(config)#time-range time //定义时间范围

R1(config-time-range)#periodic weekdays 8:00 to 18:00

R1(config)#access-list 111 permit tcp host 172.16.3.1 host 2.2.2.2 eq telnet time-range time

常用实验调试命令

① 用“clock set”命令将系统时间调整到周一至周五的8：00-18：00范围内，然后在Telnet路由器R1，此时可以成功，然后查看访问控制列表111：

R1#show access-lists Extended IP access list 111

10 permit tcp host 172.16.3.1 host 2.2.2.2 eq telnet time-range time (active)

② 用“clock set”命令将系统时间调整到8：00-18：00范围之外，然后Telnet路由器R1，此时不可以成功，然后查看访问控制列表111：

R1#show access-lists Extended IP access list 111

10 permit tcp host 172.16.3.1 host 2.2.2.2 eq telnet time-range time (inactive)

③ show time-range：该命令用来查看定义的时间范围。 R1#show time-range

time-range entry: time (inactive) periodic weekdays 8:00 to 18:00 used in: IP ACL entry

以上输出表示在3条ACL中调用了该time-range。

2.5 访问控制列表的显示和调试

在特权模式下，

使用“show access-lists ”可以显示路由器上设置的所有ACL条目； 使用“show access-list acl number”则可以显示特定ACL号的ACL条目； 使用“show time-range”命令可以用来查看定义的时间范围；

使用“clear access-list counters”命令可以将访问控制列表的计数器清零。

- 11 -

桂林电子科技大学职业技术学院毕业设计（论文）

3、ACL在校园网中的应用实例

图6是某学校网络结构体的一部分，其中包括教师办公室，服务器机房和学生实验室若干。本网络中全部使用24位子网掩码。

图6.某学校的网络拓扑结构图

在图6中，路由器使用以太网端口E0连接到教师办公室(网段为192.168.1.0)，使用以太网端口E1连接到学校的服务器机房（网段为192.168.2.0），使用以太网端口E2连接到你学生实验室（网段为192.168.3.0），使用串口S0连接到校园网。路由器E1、E1和E2端口的IP地址为192.168.1.1，192.168.2.1和195.168.3.1。计算机1的IP地址为192.168.1.11，计算机2的IP地址为192.168.1.12，计算机3的IP 地址为192.168.3.11，计算机4的IP地址为192.168.3.12.FTP服务器的IP地址为192.168.2.11，WWW服务器的IP地址为192.168.2.12。

根据教室办公室，服务器机房和学生实验室对网络及其数据安全的要求不同，利用ACL技术构建了以下的网络安全策略。

3.1实现网络访问的单向控制

教室办公室(网段为192.168.1.0)用于教师办公，主机上往往会存一些试卷等敏感数据，因此不能让学生实验室（网段为192.168.3.0）访问，但是教师办公室网段可以访问学生实验室的计算机，以便对学生做实验、上课等情况进行管理和监控。

首先在路由器上采用IP标准控制列表如下：

- 12 -

桂林电子科技大学职业技术学院毕业设计（论文）

Router(config)#access-list 1 deny 192.168.3.0 0.0.0.255 Router(config)#access-list 1 permit any Router(config)#int E0

Router(config)#ip access-group 1 out

在路由器上配置成功后，192.168.3.0网段不能访问192.16.1.0网段，但同时192.168.1.0网段也不能访问192.168.3.0网段，原因是在路由器E0端口的out方向上设置了访问控制策略deny 192.168.3.0 0.0.0.255它阻止了从192.168.3.0发给192.168.1.0的所以数据包，即使是192.168.3.0给192.168.1.0的回复数据包也一样阻止了。由此可见，简单的使用访问控制列表还不能解决这个问题。

要实现192.168.1.0网段到192.168.3.0网段的单向访问控制，采用访问控制列表配置如下：

Router(config)#access-list 101 permit tcp 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 estaelished

Router(config)#access-list 101 permit tcp any any Router(config)#int E2

Router(config)#ip access-group 101 in

该策略的原理是当TCP连接已经建立时，在路由器E2端口的in方向上检查数据包，如果它表示确认的数据包即可通过，而如果是192.168.3.0网段向192.168.1.0网段发起TCP连接数据包则它不表示确认数据包，因此拒绝通过。这样设置以后，学生在实验室就不能访问教师计算机上的试卷等敏感资料，而教室计算机依然可以管理学生实验室的上课和上机情况。

3.2禁止或允许部分网络服务

实验室一旦连接了校园网，就可以访问很多资源，包括电影之类的。但是实验室是为学生提供做实验、学习的场所，在上课期间不允许学生下载电影或者在线观。在图6中，假设大部分电影之类的资源放在校园网的192.168.2.0网段的FTP服务器上，因此要禁止学生实验室192.168.3.0网段访问192.168.2.0网段的FTP服务，但依然可以正常访问WWW服务。可以采用一下的ACL配置策略实现该要求：

Router(config)#access-list 102 permit tcp 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 eq wwww

Router(config)#access-list 102 deny tcp 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 eq ftp

Router(config)#access-list 102 permit ip any any Router(config)#int E1

- 13 -

桂林电子科技大学职业技术学院毕业设计（论文）

Router(config)#ip access-group 102 out

在学生实验室，像QQ游戏之类的网络应用也是不允许学生使用的，可以采用同样的原理来禁止该服务。首先需要查找到因特尔网上提供QQ游戏的服务器的IP地址，然后采用ACL命令来禁止学生实验室网段192.168.3.0和这些IP地址的服务器之间的网络连接。

3.3禁止某台主机的通信

局域网受病毒攻击是不可避免的，一旦局域网内有一台计算机感染病毒，就有可能影响整个外局域网内的通信，严重时可能导致网络瘫痪。虽然不能将病毒拒之门，但是可以在尽量防毒的基础上，及时检测病毒并对有毒主机采取隔离措施以保护网络。

假设学生实验室的计算机4（IP地址为192.168.3.12）主机感染了病毒，正在向局域网内的其他主机疯狂发数据包，那么可以采取一下ACL策略限制该主机的数据传输，从而阻断病毒向其他网段传播，将病毒对网络的影响降到最小：

Router(config)#access-list 2 deny 192.168.3.12 0.0.0.255 Router(config)#access-list 2 permit any Router(config)#int E2

Router(config)#ip access-group 2 in

3.4保护重要端口免受病毒攻击

操作系统开放了一些端口，例如135，136，137，138，139，445等。病毒攻击原理就是向这些开放端口发送大量数据使所以操作系统资源和网络资源耗尽，最终使网络无法向合法用户提供正常的服务。使用ACL防范病毒攻击的策略如下：

Router(config)#access-list 103 deny tcp any any eq 135 Router(config)#access-list 103 deny udp any any eq 135 Router(config)#access-list 103 deny ip any any eq 135 Router(config)#int S0

Router(config)#ip access-group 103 in

以上策略是以135端口为例，其他端口配置策略相同。在路由器上限制了135端口基于TCP、UDP和IP协议的访问，从而禁止病毒从135端口攻击内网。当然，该策略也禁止了135端口的其他正常功能。

3.5小结

通过对路由器配置以上策略，对内部网络构建了基本的网络安全体系，在一定程度上可以提高网络的安全性。但是ACL是用包过滤技术来实现的，过滤的依据仅仅是第3层和

- 14 -