vlan和訪問控制技術(shù)畢業(yè)設(shè)計

1、<p>　　畢 業(yè) 設(shè) 計（論文）</p><p>　　題 目：VLAN和訪問控制技術(shù)</p><p><b>　　的應(yīng)用研究</b></p><p>　　學(xué) 院： 計算機(jī)學(xué)院 </p><p>　　專業(yè)名稱： 計算機(jī)網(wǎng)絡(luò)技術(shù) </p><p>　　學(xué) 號

2、： </p><p>　　學(xué)生姓名： </p><p>　　指導(dǎo)教師： </p><p>　　2009 年 5 月 12 日</p><p><b>　　摘 要</b></p><p>　　隨著計算機(jī)科技的日趨盛行，

3、目前計算機(jī)已經(jīng)普遍應(yīng)用到人們的日常生活和工作中。人們可以在Internet上訪問和交換信息，也流行于在小型工作站中相互溝通和交流。在這里就應(yīng)用了局域網(wǎng)技術(shù)。有了局域網(wǎng)技術(shù)，人們的生活和工作更加方便，人們可以更高效地傳送和獲取信息。</p><p>　　在以三層交換機(jī)為核心的千兆網(wǎng)絡(luò)中，為保證不同職能部門管理的方便性和安全性以及整個網(wǎng)絡(luò)運行的穩(wěn)定性，可采用VLAN技術(shù)進(jìn)行虛擬網(wǎng)絡(luò)劃分。VLAN子網(wǎng)隔離了廣播風(fēng)暴，對

4、一些重要部門實施了安全保護(hù)；且當(dāng)某一部門物理位置發(fā)生變化時，只需對交換機(jī)進(jìn)行設(shè)置，就可以實現(xiàn)網(wǎng)絡(luò)的重組，非常方便、快捷，同時節(jié)約了成本。VLAN這一新興技術(shù)主要應(yīng)用于交換機(jī)和路由器中，但目前主流應(yīng)用還是在交換機(jī)之中 。VLAN也是三層交換技術(shù)的核心內(nèi)容。</p><p>　　在信息交流逐步變得高效便捷的同時也就引入了一個新的概念——網(wǎng)絡(luò)安全。眾所周知，網(wǎng)絡(luò)也不是雜亂無章的，有了正確的監(jiān)控，也就給信息安全帶來了一道

5、屏障。訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問控制涉及的技術(shù)也比較廣，包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級控制以及屬性控制等多種手段。ACL規(guī)則是Cisco IOS所提供的一種訪問控制技術(shù)。初期僅在路由器上支持，近些年來已經(jīng)擴(kuò)展到三層交換機(jī)。在這次課題的探討中我們將具體到ACL的研究和部署，通過對ACL的研究，將使我們對VLAN及局域網(wǎng)安全問題的理

6、解上一個新的層次。</p><p>　　關(guān)鍵詞： 局域網(wǎng)技術(shù)；三層交換技術(shù)； 虛擬工作組；網(wǎng)絡(luò)安全；訪問控制</p><p><b>　　Abstract</b></p><p>　　With the increasing prevalence of computer technology, computer has been generall

7、y applied to people's daily lives and work. In the Internet, people can access and exchange of information, but also popular in small workstations in mutual communication and exchange. Here the application of a local

8、 area network technology. With the local area network technology, people's life and work more convenient, people can more efficiently transmit and access to information.</p><p>　　In three Gigabit switche

9、s at the core network, different functional departments in order to ensure ease of management and security, as well as the stability of the entire network, VLAN technology can be divided into virtual network. Isolated VL

10、AN subnet broadcast storms, a number of important sectors of the implementation of security protection; and when a sector changes in physical location, just set on the switch, you can achieve the reorganization of the ne

11、twork is very convenient, fast and a</p><p>　　Gradually become the exchange of information at the same time efficient and convenient also to introduce a new concept - network security. As we all know, the ne

12、twork is not chaotic, with proper monitoring, information security will be brought to a barrier. Access Control is a network security and protection of the main strategy, its main task is to ensure that network resources

13、 are not illegal use and access. It is most important to ensure network security, one of the core strategy. Involved in</p><p>　　Key words: LAN technologies;three-switching technology;Virtual Working Group;n

14、etwork security; Access Control</p><p><b>　　目 錄</b></p><p><b>　　1 引言1</b></p><p>　　2 VLAN的概念和發(fā)展前景2</p><p>　　2.1 VLAN的原理2</p><p>

15、;　　2.2 VLAN的功能及作用3</p><p>　　2.3 VLAN的發(fā)展前景[1]5</p><p>　　3 VLAN的劃分與配置6</p><p>　　3.1 VLAN的劃分6</p><p>　　3.1.1 組建VLAN的條件6</p><p>　　3.1.2 劃分VLAN的基本策略6</

16、p><p>　　3.1.3 VLAN的劃分方式6</p><p>　　3.2 VLAN的配置8</p><p>　　4 訪問控制技術(shù)（ACL)14</p><p>　　4.1 訪問控制技術(shù)（ACL）簡介14</p><p>　　4.2 ACL的原理15</p><p>　　4.3 ACL的

17、功能及劃分15</p><p>　　4.4 ACL的配置16</p><p>　　4.4.1 訪問表配置方法16</p><p>　　4.4.2 標(biāo)準(zhǔn)IP ACL17</p><p>　　4.4.3 利用基于時間的訪問表控制22</p><p>　　5 校園網(wǎng)絡(luò)部署的實現(xiàn)27</p><

18、p>　　5.1 運用到得技術(shù)總結(jié)28</p><p>　　5.2具體配置29</p><p><b>　　6 結(jié) 論32</b></p><p><b>　　致 謝33</b></p><p><b>　　參考文獻(xiàn)34</b></p><

19、p><b>　　1 引言</b></p><p>　　隨著現(xiàn)代信息技術(shù)的飛速發(fā)展，中國教育也正以前所未有的速度和力度推進(jìn)自己的信息化水平，信息技術(shù)給教育帶來的變化是巨大的，它使教育突破了時間和空間的限制，大大擴(kuò)展了教育的形式和空間。建設(shè)校園網(wǎng)已經(jīng)成為教育領(lǐng)域信息化建設(shè)的當(dāng)務(wù)之急。目前新建立的校園網(wǎng)基本上都采用了性能先進(jìn)的千兆網(wǎng)技術(shù)，其核心交換機(jī)采用三層交換機(jī)，它能很好地支持虛擬局域網(wǎng)（

20、VLAN）技術(shù)，這對方便校園網(wǎng)的管理、保證校園網(wǎng)的高速可靠運行起到了非常重要的作用。本文以黃石理工學(xué)院計算機(jī)學(xué)院校園網(wǎng)規(guī)劃與設(shè)計為例展開信息化建設(shè)的研究。</p><p>　　VLAN（Virtual Local Area Network）又稱虛擬局域網(wǎng)，是指在交換局域網(wǎng)的基礎(chǔ)上，采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。一個VLAN組成一個邏輯子網(wǎng)，即一個邏輯廣播域，它可以覆蓋多個網(wǎng)絡(luò)設(shè)

21、備，允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個邏輯子網(wǎng)中。VLAN與普通局域網(wǎng)從原理上講沒有什么不同，但從用戶使用和網(wǎng)絡(luò)管理的角度來看，VLAN與普通局域網(wǎng)最基本的差異體現(xiàn)在：VLAN并不局限于某一網(wǎng)絡(luò)或物理范圍，VLAN中的用戶可以位于一個園區(qū)的任意位置，甚至位于不同的國家。有了VLAN技術(shù)，信息的交流變得越來越容易、便捷。</p><p>　　很多部署VLAN之后，由于處于不同VLAN的計算機(jī)之間不能直接通信，

22、使網(wǎng)絡(luò)的安全性能得到了很大提高。但事實上在很多網(wǎng)絡(luò)中要求不是這樣的，如何解決VLAN間的通信問題是我們在規(guī)劃VLAN時必須認(rèn)真考慮的問題。在網(wǎng)絡(luò)組建初期，網(wǎng)絡(luò)中只有10%~20%的信息在VLAN之間傳播，但隨著用戶應(yīng)用的增多，VLAN之間信息的傳輸量增加了許多倍，如果VLAN之間的通信問題解決得不好，將嚴(yán)重影響網(wǎng)絡(luò)的使用和安全。VACL（VLAN ACL）和定時訪問列表、動態(tài)訪問列表、自反訪問列表一樣都屬于ACL擴(kuò)展應(yīng)用的一部分，它定義

23、了基于3層以上的信息流量，而所對應(yīng)的參數(shù)則用于2層的VLAN。VACL多是針對硬件里面應(yīng)用，比傳統(tǒng)的路由器訪問列表處理速度明顯快的多。</p><p>　　總之VLAN技術(shù)可以讓不同地域、不同網(wǎng)絡(luò)通過組網(wǎng)實現(xiàn)技術(shù)交流，同時通過劃分VLAN控制廣播風(fēng)暴，結(jié)合訪問控制技術(shù)實現(xiàn)新時代信息交流的便捷化、安全化。</p><p>　　2 VLAN的概念和發(fā)展前景</p><p&g

24、t;　　2.1 VLAN的原理</p><p>　　VLAN(Virtual Local Area Network)的中文名為"虛擬局域網(wǎng)"。VLAN是一種將局域網(wǎng)設(shè)備從邏輯上劃分(注意，不是從物理上劃分)成一個個網(wǎng)段，從而實現(xiàn)虛擬工作組的新興數(shù)據(jù)技術(shù)。這一新興技術(shù)主要應(yīng)用于交換機(jī)和器中，但主流應(yīng)用還是在交換機(jī)之中。但又不是所有交換機(jī)都具有此功能，只有VLAN的第三層以上交換機(jī)才具有此功能。&

25、lt;/p><p>　　IEEE于1999年頒布了用以標(biāo)準(zhǔn)化VLAN實現(xiàn)方案的802.1Q標(biāo)準(zhǔn)草案。VLAN技術(shù)的出現(xiàn)，使得管理員根據(jù)實際應(yīng)用需求，把同一物理局域網(wǎng)內(nèi)的不同用戶邏輯地劃分成不同的廣播域，每一個VLAN都包含一組有著相同需求的計算機(jī)工作站，與物理上形成的LAN有著相同的屬性。由于它是從邏輯上劃分，而不是從物理上劃分，所以同一個VLAN內(nèi)的各個工作站沒有限制在同一個物理范圍中，即這些工作站可以在不同 物理

26、VLAN網(wǎng)段。由VLAN的特點可知，一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中，從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò) 管理、提高網(wǎng)絡(luò)的性。</p><p>　　交換技術(shù)的發(fā)展，也加快了新的交換技術(shù)(VLAN)的應(yīng)用速度。通過將企業(yè)網(wǎng)絡(luò)劃分為虛擬網(wǎng)絡(luò)VLAN網(wǎng)段，可以強(qiáng)化網(wǎng)絡(luò)管理和網(wǎng)絡(luò)，控制不必要的數(shù)據(jù)廣播。在共享網(wǎng)絡(luò)中，一個物理的網(wǎng)段就是一個廣播域。而在交換網(wǎng)絡(luò)中，廣播域可以是有一組任意選定

27、的第二層網(wǎng)絡(luò)地址(MAC地址)組成的虛擬網(wǎng)段。這樣，網(wǎng)絡(luò)中工作組的劃分可以突破共享網(wǎng)絡(luò)中的地理位置限制，而完全根據(jù)管理功能來劃分。這種基于 工作流的分組模式，大大提高了網(wǎng)絡(luò)規(guī)劃和重組的管理功能。在同一個VLAN中的工作站，不論它們實際與哪個交換機(jī)連接，它們之間的通訊就 好象在獨立的交換機(jī)上一樣。同一個VLAN中的廣播只有VLAN中的成員才能聽到，而不會傳輸?shù)狡渌?VLAN中去，這樣可以很好的控制不必要的 廣播風(fēng)暴的產(chǎn)生。同時，若沒有的

28、話，不同VLAN之間不能相互通訊，這樣增加了企業(yè)網(wǎng)絡(luò)中不同部門之間的安全性。網(wǎng)絡(luò)管理員可以通過 配置VLAN之間的路由來全面管理企業(yè)內(nèi)部不同管理單元之間的信息互訪。交換機(jī)是根據(jù)用戶工作站的MAC地址來劃分VLAN的。所以，用戶可以自由的在企業(yè)網(wǎng)絡(luò)中移動辦公，不論他在何處接入交換網(wǎng)絡(luò)，他都可以與VLAN內(nèi)其他用戶自如通訊。</p><p>　　VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個物理的LAN邏輯地劃分成不同的廣播域，每

29、一個VLAN都包含一組有著相同需求的計算機(jī)工作站，與物理上形成的LAN有著相同的屬性。但由于它是邏輯地而不是物理地劃分，所以同一個VLAN內(nèi)的各個工作站無須被放置在同一個物理空間里，即這些工作站不一定屬于同一個物理VLAN網(wǎng)段。一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中，從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。</p><p>　　VLAN是為解決以太網(wǎng)的廣播問題和安全性

30、而提出的一種協(xié)議，它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭，用VLAN ID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個工作組就是一個虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動態(tài)管理網(wǎng)絡(luò)。</p><p>　　VLAN網(wǎng)絡(luò)可以是有混合的網(wǎng)絡(luò)類型設(shè)備組成，比如：10M以太網(wǎng)、100M以太網(wǎng)、令牌網(wǎng)、FDDI、CDDI等等，可以是工作站、集線器、網(wǎng)絡(luò)上行主干等等。VLAN除

31、了能將網(wǎng)絡(luò)劃分為多個廣播域，從而有效地控制廣播風(fēng)暴的發(fā)生，以及使網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變得非常靈活的優(yōu)點外，還可以用于控制網(wǎng)絡(luò)中不同部門、不同站點之間的互相訪問。</p><p>　　通過設(shè)置VLAN，我們把網(wǎng)絡(luò)中的眾多的廣播報文阻隔在各個vlan中，主干線路上效率提高了。除了有效地控制廣播風(fēng)暴的發(fā)生，以及使網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變得非常靈活的優(yōu)點外，還可以用于控制網(wǎng)絡(luò)中不同部門、不同站點之間的互相訪問，提高了安全性。</

32、p><p>　　2.2 VLAN的功能及作用</p><p>　　任何新技術(shù)要得到廣泛支持和應(yīng)用，肯定存在一些關(guān)鍵優(yōu)勢，VLAN技術(shù)也一樣，它的優(yōu)勢主要體現(xiàn)在以下幾個方面：　　</p><p>　　1．增加了網(wǎng)絡(luò)連接的靈活性</p><p>　　借助VLAN技術(shù)，能將不同地點、不同網(wǎng)絡(luò)、不同用戶組合在一起，形成一個虛擬的網(wǎng)絡(luò)環(huán)境 ，就像使用本地L

33、AN一樣方便、靈活 、有效。VLAN可以降低移動或變更工作站地理位置的管 理費用，特別是一些業(yè)務(wù)情況有經(jīng)常性變動的公司使用了VLAN后，這部分管理費用大大降低?！　?lt;/p><p>　　2．控制網(wǎng)絡(luò)上的廣播</p><p>　　VLAN可以提供建立的機(jī)制，防止交換網(wǎng)絡(luò)的過量廣播。使用VLAN，可以將某個交換端口或用戶賦于某一個特定的VLAN組， 該VLAN組可以在一個交換網(wǎng)中或跨接多個交換

34、機(jī)， 在一個VLAN中的廣播不會送到VLAN之外。同樣，相鄰的端口不會收到其他VLAN產(chǎn)生的廣播 。這樣可以減少廣播流量，釋放帶寬給用戶應(yīng)用，減少廣播的產(chǎn)生?！?lt;/p><p>　　3．增加網(wǎng)絡(luò)的安全性　</p><p>　　因為一個VLAN就是一個單獨的廣播域，VLAN之間相互隔離，這大大提高了網(wǎng)絡(luò)的利用率，確保了網(wǎng)絡(luò)的安全保密性。人們在LAN上經(jīng)常傳送一些保密的、關(guān)鍵性的數(shù)據(jù)。保密的數(shù)

35、據(jù)應(yīng)提供訪問控制等安全手段。一個有效和容易實現(xiàn)的方法是將網(wǎng)絡(luò)分段成幾個不同的廣播組，網(wǎng)絡(luò)管理員限制了VLAN中用戶的數(shù)量，禁止未經(jīng)允許而訪問VLAN中的應(yīng)用。交換端口可以基于應(yīng)用類型和訪問特權(quán)來進(jìn)行分組，被限制的 應(yīng)用程序和資源一般置于安全性VLAN中。</p><p>　　通常，只有通過劃分子網(wǎng)才可以隔離廣播，但是VLAN的出現(xiàn)打破了這個定律，用二層的東西解決三層的問題很是奇怪，但是的確做到了。VLAN虛擬局域

36、網(wǎng)，它的作用就是將物理上互連的網(wǎng)絡(luò)在邏輯上劃分為多個互不相干的網(wǎng)絡(luò)，這些網(wǎng)絡(luò)之間是無法通訊的，就好像互相之間沒有連接一樣，因此廣播也就隔離開了。 </p><p>　　VLAN的實現(xiàn)原理非常簡單，通過交換機(jī)的控制，某一VLAN成員發(fā)出的數(shù)據(jù)包交換機(jī)只發(fā)個同一VLAN的其它成員，而不會發(fā)給該VLAN成員以外的計算機(jī)。 使用VLAN的目的不僅僅是隔離廣播，還有安全和管理等方面的應(yīng)用，例如將重要部門與其它部門通過VLA

37、N隔離，即使同在一個網(wǎng)絡(luò)也可以保證他們不能互相通訊，確保重要部門的數(shù)據(jù)安全；也可以按照不同的部門、人員，位置劃分VLAN，分別賦給不同的權(quán)限來進(jìn)行管理。 </p><p>　　如果兩臺交換機(jī)都有同一VLAN的計算機(jī)，怎么辦呢，我們可以通過VLAN Trunk來實現(xiàn)。如果交換機(jī)1的VLAN1中的機(jī)器要訪問交換機(jī)2的VLAN1中的機(jī)器，我們可以把兩臺交換機(jī)的級聯(lián)端口設(shè)置為Trunk口，這樣，當(dāng)交換機(jī)把數(shù)據(jù)包從級聯(lián)口發(fā)

38、出去的時候，會在數(shù)據(jù)包中做一個標(biāo)記（TAG），以使其它交換機(jī)識別該數(shù)據(jù)包屬于哪一個VLAN，這樣，其它交換機(jī)收到這樣一個數(shù)據(jù)包后，只會將該數(shù)據(jù)包轉(zhuǎn)發(fā)到標(biāo)記中指定的VLAN，從而完成了跨越交換機(jī)的VLAN內(nèi)部數(shù)據(jù)傳輸。VLAN Trunk目前有兩種標(biāo)準(zhǔn)，ISL和802.1q，前者是Cisco專有技術(shù)，后者則是IEEE的國際標(biāo)準(zhǔn)，除了Cisco兩者都支持外，其它廠商都只支持后者。</p><p>　　在寬帶接入迅猛發(fā)

39、展的同時，運營商為了高質(zhì)量地拓展業(yè)務(wù)，必須要解決的一個問題是，如何對網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行合理的分層規(guī)劃，以實現(xiàn)對用戶的定位以及業(yè)務(wù)管理。</p><p>　　由于在接入網(wǎng)層面大量地采用了以太網(wǎng)技術(shù)，目前基于以太網(wǎng)來實現(xiàn)網(wǎng)絡(luò)劃分的技術(shù)主要是虛擬局域網(wǎng)（VLAN）技術(shù)。VLAN是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的新興技術(shù)。IEEE于1999年頒布了用以標(biāo)準(zhǔn)化VLAN實現(xiàn)方案的802

40、.1Q協(xié)議標(biāo)準(zhǔn)草案。但是，傳統(tǒng)的以太網(wǎng)幀格式中只定義了4096個VLAN，對VLAN在更大規(guī)模上的應(yīng)用已經(jīng)形成了制約，SCNB為此提出了全面的解決方案。</p><p>　　VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的，它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭，用VLANID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個工作組就是一個虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工

41、作組，動態(tài)管理網(wǎng)絡(luò)。VLAN隔離了廣播風(fēng)暴，同時也隔離了各個不同的VLAN之間的通信，所以不同的VLAN之間的通信是需要有路由來完成的。</p><p>　　2.3 VLAN的發(fā)展前景[1]</p><p>　　通過以上對虛擬局域網(wǎng)（VLAN）功能和作用的探討，不難發(fā)現(xiàn)VLAN具有一下主要優(yōu)點：</p><p><b>　　1、控制廣播風(fēng)暴</b&g

42、t;</p><p>　　一個VLAN就是一個邏輯廣播域，通過對VLAN的創(chuàng)建，隔離了廣播，縮小了廣播范圍，可以控制廣播風(fēng)暴的產(chǎn)生。</p><p>　　2、提高網(wǎng)絡(luò)整體安全性</p><p>　　通過路由訪問列表和MAC地址分配等VLAN劃分原則，可以控制用戶訪問權(quán)限和邏輯網(wǎng)段大小，將不同用戶群劃分在不同VLAN，從而提高交換式網(wǎng)絡(luò)的整體性能和安全性。</p

43、><p>　　3、網(wǎng)絡(luò)管理簡單、直觀</p><p>　　對于交換式以太網(wǎng)，如果對某些用戶重新進(jìn)行網(wǎng)段分配，需要網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)系統(tǒng)的物理結(jié)構(gòu)重新進(jìn)行調(diào)整，甚至需要追加網(wǎng)絡(luò)設(shè)備，增大網(wǎng)絡(luò)管理的工作量。而對于采用VLAN技術(shù)的網(wǎng)絡(luò)來說，一個VLAN可以根據(jù)部門職能、對象組或者應(yīng)用將不同地理位置的網(wǎng)絡(luò)用戶劃分為一個邏輯網(wǎng)段。在不改動網(wǎng)絡(luò)物理連接的情況下可以任意地將工作站在工作組或子網(wǎng)之間移動。利用

44、虛擬網(wǎng)絡(luò)技術(shù)，大大減輕了網(wǎng)絡(luò)管理和維護(hù)工作的負(fù)擔(dān)，降低了網(wǎng)絡(luò)維護(hù)費用。在一個交換網(wǎng)絡(luò)中，VLAN提供了網(wǎng)段和機(jī)構(gòu)的彈性組合機(jī)制。</p><p>　　3 VLAN的劃分與配置</p><p>　　3.1 VLAN的劃分</p><p>　　3.1.1 組建VLAN的條件</p><p>　　VLAN是建立在物理網(wǎng)絡(luò)基礎(chǔ)上的一種邏輯子網(wǎng)，因此建

45、立VLAN需要相應(yīng)的支持VLAN技術(shù)的網(wǎng)絡(luò)設(shè)備。當(dāng)網(wǎng)絡(luò)中的不同VLAN間進(jìn)行相互通信時，需要路由的支持，這時就需要增加路由設(shè)備——要實現(xiàn)路由功能，既可采用路由器，也可采用三層交換機(jī)來完成。</p><p>　　3.1.2 劃分VLAN的基本策略</p><p>　　從技術(shù)角度講，VLAN的劃分可依據(jù)不同原則，一般有以下三種劃分方法： </p><p>　　(1) 基

46、于端口的VLAN劃分</p><p>　　這種劃分是把一個或多個交換機(jī)上的幾個端口劃分一個邏輯組，這是最簡單、最有效的劃分方法。該方法只需網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)設(shè)備的交換端口進(jìn)行重新分配即可，不用考慮該端口所連接的設(shè)備。</p><p>　　(2) 基于MAC地址的VLAN劃分</p><p>　　MAC地址其實就是指網(wǎng)卡的標(biāo)識符，每一塊網(wǎng)卡的MAC地址都是惟一且固化在網(wǎng)

47、卡上的。MAC地址由12位16進(jìn)制數(shù)表示，前8位為廠商標(biāo)識，后4位為網(wǎng)卡標(biāo)識。網(wǎng)絡(luò)管理員可按MAC地址把一些站點劃分為一個邏輯子網(wǎng)。</p><p>　　(3) 基于路由的VLAN劃分</p><p>　　路由協(xié)議工作在網(wǎng)絡(luò)層，相應(yīng)的工作設(shè)備有路由器和路由交換機(jī)（即三層交換機(jī)）。該方式允許一個VLAN跨越多個交換機(jī)，或一個端口位于多個VLAN中。</p><p>　

48、　就目前來說，對于VLAN的劃分主要采取上述第1、3種方式，第2種方式為輔助性的方案。</p><p>　　3.1.3 VLAN的劃分方式</p><p>　　VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的，它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭，用VLANID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個工作組就是一個虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠

49、形成虛擬工作組，動態(tài)管理網(wǎng)絡(luò)。VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的一種協(xié)議?？梢宰屧谕粋€地方的人實現(xiàn)不同的部門，可以實現(xiàn)不同的訪問，組網(wǎng)方便靈活，實用性強(qiáng)，安全系數(shù)高。VLAN隔離了廣播風(fēng)暴，同時也隔離了各個不同的VLAN之間的通信，所以不同的VLAN之間的通信是需要有路由來完成的。</p><p>　　VLAN在交換機(jī)上的實現(xiàn)方法，可以大致劃分為6類：</p><p>　　

50、（1）基于端口劃分的VLAN</p><p>　　這種劃分VLAN的方法是根據(jù)以太網(wǎng)交換機(jī)的端口來劃分屬于同一VLAN的端口可以不連續(xù)，如何配置，由管理員決定，如果有多個交換機(jī)，例如，可以指定交換機(jī) 1 的1~6端口和交換機(jī) 2 的1~4端口為同一VLAN，即同一VLAN可以跨越數(shù)個以太網(wǎng)交換機(jī)，根據(jù)端口劃分是目前定義VLAN的最廣泛的方法，IEEE 802.1Q規(guī)定了依據(jù)以太網(wǎng)交換機(jī)的端口來劃分VLAN的國際標(biāo)

51、準(zhǔn)。這種劃分的方法的優(yōu)點是定義VLAN成員時非常簡單，只要將所有的端口都指定義一下就可以了。它的缺點是如果VLAN A的用戶離開了原來的端口，到了一個新的交換機(jī)的某個端口，那么就必須重新定義。</p><p>　?。?）基于MAC地址劃分VLAN</p><p>　　這種劃分VLAN的方法是根據(jù)每個主機(jī)的MAC地址來劃分，即對每個MAC地址的主機(jī)都配置他屬于哪個組。這種劃分VLAN的方法的

52、最大優(yōu)點就是當(dāng)用戶物理位置移動時，即從一個交換機(jī)換到其他的交換機(jī)時，VLAN不用重新配置，所以，可以認(rèn)為這種根據(jù)MAC地址的劃分方法是基于用戶的VLAN，這種方法的缺點是初始化時，所有的用戶都必須進(jìn)行配置，如果有幾百個甚至上千個用戶的話，配置是非常累的。而且這種劃分的方法也導(dǎo)致了交換機(jī)執(zhí)行效率的降低，因為在每一個交換機(jī)的端口都可能存在很多個VLAN組的成員，這樣就無法限制廣播包了。</p><p>　?。?）基于

53、網(wǎng)絡(luò)層劃分VLAN</p><p>　　這種劃分VLAN的方法是根據(jù)每個主機(jī)的網(wǎng)絡(luò)層地址或協(xié)議類型劃分的，雖然這種劃分方法是根據(jù)網(wǎng)絡(luò)地址，比如IP地址，但它不是路由，與網(wǎng)絡(luò)層的路由毫無關(guān)系。它雖然查看每個數(shù)據(jù)包的IP地址，但由于不是路由，所以，沒有RIP，OSPF等路由協(xié)議這種方法的優(yōu)點是用戶的物理位置改變了，不需要重新配置所屬的VLAN，而且可以根據(jù)協(xié)議類型來劃分VLAN，這對網(wǎng)絡(luò)管理者來說很重要，還有，這種方

54、法不需要附加的幀標(biāo)簽來識別VLAN，這樣可以減少網(wǎng)絡(luò)的通信量。</p><p>　　這種方法的缺點是效率低，因為檢查每一個數(shù)據(jù)包的網(wǎng)絡(luò)層地址是需要消耗處理時間的，需要更高的技術(shù)，同時也更費時。</p><p>　?。?）根據(jù)IP組播劃分VLAN</p><p>　　IP 組播實際上也是一種VLAN的定義，即認(rèn)為一個組播組就是一個VLAN，這種劃分的方法將VLAN擴(kuò)大

55、到了廣域網(wǎng)，因此這種方法具有更大的靈活性，而且也很容易通過路由器進(jìn)行擴(kuò)展，當(dāng)然這種方法不適合局域網(wǎng)，主要是效率不高。</p><p>　　考慮到各種VLAN劃分方式的優(yōu)缺點，為了最大程度上地滿足用戶在具體使用過程中需求，減輕用戶在VLAN的具體使用和維護(hù)中的工作量。</p><p>　?。?）按策略劃分VLAN</p><p>　　基于策略組成的VLAN能實現(xiàn)多種分

56、配方法，包括VLAN交換機(jī)端口、MAC地址、IP地址、網(wǎng)絡(luò)層協(xié)議等。網(wǎng)絡(luò)管理人員可根據(jù)自己的 管理模式和本單位的需求來決定選擇哪種類型的VLAN ?！　?lt;/p><p>　?。?）按用戶定義、非用戶授權(quán)劃分VLAN</p><p>　　基于用戶定義、非用戶授權(quán)來劃分VLAN，是指為了適應(yīng)特別的VLAN網(wǎng)絡(luò)，根據(jù)具體的網(wǎng)絡(luò)用戶的特別要求來定義和設(shè)計VLAN，而 且可以讓非VLAN群體用戶訪問

57、VLAN，但是需要提供用戶密碼，在得到VLAN管理的認(rèn)證后才可以加入一個VLAN。在實際應(yīng)用中，虛擬網(wǎng)絡(luò)的作用類似不同工作組的劃分，即是說各虛擬網(wǎng)之間不能直接進(jìn)行通訊，而必須通過路由器轉(zhuǎn)發(fā)，這在一定程度上提高了整個網(wǎng)絡(luò)的安全性能，同時也起到了提高網(wǎng)絡(luò)傳輸效率的作用。 </p><p>　　3.2 VLAN的配置</p><p>　　我們知道，傳統(tǒng)的局域網(wǎng)Ethernet 使用具有沖突檢測的

58、載波監(jiān)聽多路訪問方法。在CSMA/CD 網(wǎng)絡(luò)中，節(jié)點可以在它們有數(shù)據(jù)需要發(fā)送的任何時候使用網(wǎng)絡(luò)。在節(jié)點傳輸數(shù)據(jù)之前，它進(jìn)行"監(jiān)聽"以了解網(wǎng)絡(luò)是否很繁忙。如果不是，則節(jié)點開始傳送數(shù)據(jù)。如果網(wǎng)絡(luò)正在使用，則節(jié)點等待。如果兩個節(jié)點進(jìn)行監(jiān)聽，沒有聽到任何東西，而開始同時使用線路，則會出現(xiàn)沖突。在發(fā)送數(shù)據(jù)時，它如果使用廣播地址，那么在此網(wǎng)段上的所有PC都將收到數(shù)據(jù)包，這樣一來如果該網(wǎng)段PC眾多，很容易引起廣播風(fēng)暴。而沖突和廣播

59、風(fēng)暴是影響網(wǎng)絡(luò)性能的重要因素。為解決這一問題，引入了虛擬局域網(wǎng)。 虛擬網(wǎng)絡(luò)是在整個網(wǎng)絡(luò)中通過網(wǎng)絡(luò)交換設(shè)備建立的虛擬工作組。虛擬網(wǎng)在邏輯上等于OSI模型的第二層的廣播域，與具體的物理網(wǎng)及地理位置無關(guān)。虛擬工作組可以包含不同位置的部門和工作組，不必在物理上重新配置任何端口，真正實現(xiàn)了網(wǎng)絡(luò)用戶與它們的物理位置無關(guān)。虛擬網(wǎng)技術(shù)把傳統(tǒng)的廣播域按需要分割成各個獨立的子廣播域，將廣播限制在虛擬工作組中，由于廣播域的縮小，網(wǎng)絡(luò)中廣播包消耗帶寬所占的比例

60、大大降低，網(wǎng)絡(luò)的性能得到顯著的提高。我們結(jié)合下面的圖來看看講下。圖1所表示的是兩層</p><p>　　我們可以在交換機(jī)的某個端口上定義VLAN ，所有連接到這個特定端口的終端都是虛擬網(wǎng)絡(luò)的一部分，并且整個網(wǎng)絡(luò)可以支持多個VLAN。VLAN通過建立網(wǎng)絡(luò)防火墻使不必要的數(shù)據(jù)流量減至最少，隔離各個VLAN間的傳輸和可能出現(xiàn)的問題，使網(wǎng)絡(luò)吞吐量大大增加，減少了網(wǎng)絡(luò)延遲。在虛擬網(wǎng)絡(luò)環(huán)境中，可以通過劃分不同的虛擬網(wǎng)絡(luò)來控制

61、處于同一物理網(wǎng)段中的用戶之間的通信。這樣一來有效的實現(xiàn)了數(shù)據(jù)的保密工作，而且配置起來并不麻煩，網(wǎng)絡(luò)管理員可以邏輯上重新配置網(wǎng)絡(luò)，迅速、簡單、有效地平衡負(fù)載流量，輕松自如地增加、刪除和修改用戶，而不必從物理上調(diào)整網(wǎng)絡(luò)配置。既然VLAN有那么多的優(yōu)點，我們?yōu)槭裁床涣私馑鼜亩裋LAN技術(shù)應(yīng)用到我們的現(xiàn)實網(wǎng)絡(luò)管理中去呢。好的讓我們通過實際的在Catalyst 1900交換機(jī)上來配置靜態(tài)VLAN的例子來看看如何在交換機(jī)上配置VLAN。</

62、p><p>　　設(shè)置好超級終端，連接上1900交換機(jī)后會出現(xiàn)如下的主配置界面：</p><p>　　1 user(s) now active on Management Console.</p><p>　　User Interface Menu</p><p><b>　　[M] Menus</b></p>

63、<p>　　[K] Command Line</p><p>　　[I] I P Configuration</p><p>　　Enter Selection:</p><p>　　我們簡單介紹下，這兒顯示了三個選項，[M] Menus 是主菜單，主要是交換機(jī)的初始配置和監(jiān)控交換機(jī)的運行狀況。[K] Command Line 是命令行，很象路由器里面用命

64、令來配置和監(jiān)控路由器一樣，主要是通過命令來操作。[I] IP Configuration 是配置IP地址、子網(wǎng)掩碼和默認(rèn)網(wǎng)管的一個選項。這是第一次連上交換機(jī)顯示的界面，如果你已經(jīng)配置好了IP Configuration，那么下次登陸的時候?qū)]有這個選項。因為用命令配置簡潔明了，清晰易懂，所以我們通過 [K] Command Line 來實現(xiàn)VLAN的配置的。</p><p>　　設(shè)置好超級終端，連接上1900交換

65、機(jī)后會出現(xiàn)如下的主配置界面： </p><p>　　-------------------------------------------------</p><p>　　1 user(s) now active on Management Console.</p><p>　　User Interface Menu</p><p><

66、b>　　[M] Menus</b></p><p>　　[K] Command Line</p><p>　　[I] IP Configuration</p><p>　　Enter Selection:</p><p>　　[M] Menus 是主菜單，主要是交換機(jī)的初始配置和監(jiān)控交換機(jī)的運行狀況。[K] Command

67、Line 是命令行，很象路由器里面用命令來配置和監(jiān)控路由器一樣，主要是通過命令來操作。[I] IP Configuration 是配置IP地址、子網(wǎng)掩碼和默認(rèn)網(wǎng)管的一個選項。這是第一次連上交換機(jī)顯示的界面，如果你已經(jīng)配置好了IP Configuration，那么下次登陸的時候?qū)]有這個選項。我們通過 [K] Command Line 來實現(xiàn)VLAN的配置的。</p><p>　　我們選擇 [K] Command

68、Line ，進(jìn)入命令行配置</p><p>　　Enter Selection:K 回車</p><p>　　CLI session with the switch is open.</p><p>　　To end the CLI session,enter [Exit ].</p><p>　　現(xiàn)在我們進(jìn)入到了交換機(jī)的普通用戶模式， 就象

69、路由器一樣，這種模式只能查看現(xiàn)在的配置，不能更改配置，并且能夠使用的命令很有限。我們輸入enable，進(jìn)入特權(quán)模式：</p><p><b>　　>enable</b></p><p>　　#config t </p><p>　　Enter configuration commands,one per line.End with CNT

70、L/Z</p><p><b>　　(config)#</b></p><p>　　為了安全和方便起見，我們給這個交換機(jī)起個名字，并且設(shè)置登陸密碼。</p><p>　　(config)#hostname 1900Switch</p><p>　　1900Switch(config)# enable password l

71、evel 15 goodwork</p><p>　　1900Switch(config)#</p><p>　　注意：密碼必須是4-8位的字符。交換機(jī)密碼的設(shè)置和路由器稍微不同，交換機(jī)用 level 級別的大小來決定密碼的權(quán)限。Level 1 是進(jìn)入命令行界面的密碼，也就是說，設(shè)置了 level 1 的密碼后，你下次連上交換機(jī)，并輸入 K 后，就會讓你輸入密碼，這個密碼就是 level

72、1 設(shè)置的密碼。而 level 15 是你輸入了enable命令后讓你輸入的特權(quán)模式密碼。路由器里面是使用 enable password 和 enable screet做此區(qū)分的。</p><p>　　VLAN的設(shè)置分以下2步：</p><p>　　1． 設(shè)置VLAN名稱</p><p><b>　　2． 應(yīng)用到端口</b></p>

73、;<p>　　Switch (config)#vlan 2 name accounting</p><p>　　Switch (config)#vlan 3 name marketing</p><p>　　我們新配置了2個VLAN，為什么VLAN號從2開始呢？這是因為默認(rèn)情況下，所有的端口否放在VLAN 1上，所以要從2開始配置。1900系列的交換機(jī)最多可以配置1024個V

74、LAN，但是，只能有64個同時工作，當(dāng)然了，這是理論上的，我們應(yīng)該根據(jù)自己網(wǎng)絡(luò)的實際需要來規(guī)劃VLAN的號碼。配置好了VLAN名稱后我們要進(jìn)入每一個端口來設(shè)置VLAN。在交換機(jī)中，要進(jìn)入某個端口比如說第4個端口，要用 interface Ethernet 0/4，好的，結(jié)合上面給出的圖我們讓端口2、3、4和5屬于VLAN2 ，端口17---22屬于VLAN3 。命令是 vlan-membership static/dynamic VLA

75、N號 。 靜態(tài)的或者動態(tài)的兩者必須選擇一個，后面是剛才配置的VLAN號。結(jié)果是：</p><p>　　Switch(config)#interface ethernet 0/2</p><p>　　Switch(config-if)#vlan-membership static 2</p><p>　　Switch(config-if)#int e0/3</p

76、><p>　　witch(config-if)#vlan-membership static 2</p><p>　　Switch(config-if)#int e0/4 </p><p>　　Switch(config-if)#vlan-membership static 2</p><p>　　Switch(config-if)#int e0

77、/5 </p><p>　　Switch(config-if)#vlan-membership static 2</p><p>　　Switch(config-if)#int e0/17</p><p>　　Switch(config-if)#vlan-membership static 3</p><p><b>　　.....

78、.</b></p><p>　　Switch(config-if)#int e0/22</p><p>　　Switch(config-if)#vlan-membership static 3</p><p>　　Switch(config-if)#</p><p>　　好的，我們已經(jīng)把VLAN都定義到了交換機(jī)的端口上了。這兒，我

79、們只是配置的靜態(tài)的，關(guān)于動態(tài)的，我們在后面會有提及的。到現(xiàn)在為止，我們已經(jīng)把交換機(jī)的VLAN配置好了。為了驗證我們的配置，我們在特權(quán)模式使用 show vlan命令。輸出如下：</p><p>　　Switch(config)#show vlan</p><p>　　VLAN Name Status Ports</p><p>　　1 default Enabled

80、 1,6-16,22-24,AUI,A,B</p><p>　　2 acconting Enabled 2-5</p><p>　　3 marketing Enabled 17-22</p><p>　　1002 fdd i-default Suspended</p><p>　　1003 token-ring-defau Suspended

81、</p><p>　　1004 fddinet-default Suspended</p><p>　　1005 trnet-default Suspended</p><p>　　這是一個24口的交換機(jī)，并且?guī)в蠥UI和兩個100兆端口（A、B），可以看出來，我們的設(shè)置已經(jīng)正常工作了,交換機(jī)是即時自動保存的，所以不用我們使用命令來保存設(shè)置了。當(dāng)然了，你也可以使用

82、show vlan vlan號 的命令來查看某個VLAN，比如show vlan 2 , show vlan 3. 還可以使用show vlan-membership ，改命令主要是顯示交換機(jī)上的每一個端口靜態(tài)或動態(tài)的屬于哪個VLAN。這是給交換機(jī)配置靜態(tài)VLAN的過程，下面我們看看動態(tài)的VLAN。</p><p>　　動態(tài)的VLAN 形成很簡單，由端口自己決定它屬于哪個VLAN 時，就形成了動態(tài)的VLAN。不過

83、，這并不意味著就一層不變了，它只是一個簡單的映射，這個映射取決于網(wǎng)絡(luò)管理員創(chuàng)建的數(shù)據(jù)庫。分配給動態(tài)VLAN 的端口被激活后，交換機(jī)就緩存初始幀的源MAC 地址，隨后，交換機(jī)便向一個稱為VMPS （VLAN 管理策略服務(wù)器）的外部服務(wù)器發(fā)出請求，VMPS 中包含一個文本文件，文件中存有進(jìn)行VLAN 映射的MAC 地址。交換機(jī)對這個文件進(jìn)行下載，然后對文件中的MAC 地址進(jìn)行校驗。如果在文件列表中找到MAC地址，交換機(jī)就將端口分配給列表中的

84、VLAN 。如果列表中沒有MAC地址，交換機(jī)就將端口分配給默認(rèn)的VLAN 。如果在列表中沒有 MAC 地址，而且也沒有定義默認(rèn)的VLAN ，端口不會被激活。這是維護(hù)網(wǎng)絡(luò)安全一種非常好的的方法。從表面上看，動態(tài)VLAN 的優(yōu)勢很大，但它也有致命的缺點，即創(chuàng)建數(shù)據(jù)庫是一項非常艱苦而且非常繁瑣的工作。如果網(wǎng)絡(luò)上有數(shù)千個工作站，則有大量的輸入工作要做。即使有人能勝任這項工作，也還會出現(xiàn)與動態(tài)的VLAN 有關(guān)的很多問題。另外，保持?jǐn)?shù)據(jù)庫為最新也是

85、要隨時進(jìn)行的非常費時的工作</p><p>　　我們已經(jīng)把VLAN配置好了，那么VLAN的另一部分不容忽視的工作，就是前期的對網(wǎng)絡(luò)的規(guī)劃。就是說，哪些機(jī)器在一個VLAN中，各自的IP地址、子網(wǎng)掩碼如何分配，以及VLAN之間互相通訊的問題。只有規(guī)劃計劃好了，才能夠在配置和以后的使用維護(hù)過程中輕松省事。</p><p>　　4 訪問控制技術(shù)（ACL)</p><p>　

86、　4.1 訪問控制技術(shù)（ACL）簡介</p><p>　　訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問控制涉及的技術(shù)也比較廣，包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級控制以及屬性控制等多種手段。訪問控制列表（Access Control List，ACL) 是路由器接口的指令列表，用來控制端口進(jìn)出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)

87、議，如IP、IPX、AppleTalk等。</p><p>　　ACL技術(shù)在路由器中被廣泛采用，它是一種基于包過濾的流控制技術(shù)。標(biāo)準(zhǔn)訪問控制列表通過把源地址、目的地址及端口號作為數(shù)據(jù)包檢查的基本元素，并可以規(guī)定符合條件的數(shù)據(jù)包是否允許通過。ACL通常應(yīng)用在企業(yè)的出口控制上，可以通過實施ACL，可以有效的部署企業(yè)網(wǎng)絡(luò)出網(wǎng)策略。隨著局域網(wǎng)內(nèi)部網(wǎng)絡(luò)資源的增加，一些企業(yè)已經(jīng)開始使用ACL來控制對局域網(wǎng)內(nèi)部資源的訪問能力，

88、進(jìn)而來保障這些資源的安全性。ACL技術(shù)可以有效的在三層上控制網(wǎng)絡(luò)用戶對網(wǎng)絡(luò)資源的訪問，它可以具體到兩臺網(wǎng)絡(luò)設(shè)備間的網(wǎng)絡(luò)應(yīng)用，也可以按照網(wǎng)段進(jìn)行大范圍的訪問控制管理，為網(wǎng)絡(luò)應(yīng)用提供了一個有效的安全手段。一方面，采用ACL技術(shù)，網(wǎng)絡(luò)管理員需要明確每一臺主機(jī)及工作站所在的IP子網(wǎng)并確認(rèn)它們之間的訪問關(guān)系，適用于網(wǎng)絡(luò)終端數(shù)量有限的網(wǎng)絡(luò)。對于大型網(wǎng)絡(luò)，為了完成某些訪問控制甚至不得不浪費很多的IP地址資源。同時，巨大的網(wǎng)絡(luò)終端數(shù)量，同樣會增加管理的

89、復(fù)雜度和難度。另一方面，維護(hù)ACL不僅耗時，而且在較大程度上增加路由器開銷。訪問控制列表的策略性非常強(qiáng)，并且牽涉到網(wǎng)絡(luò)的整體規(guī)劃，它的使用對于策略制定及網(wǎng)絡(luò)規(guī)劃的人員的技術(shù)素質(zhì)要求比較高。因此，是否采用ACL</p><p>　　ACL是提供網(wǎng)絡(luò)安全訪問的基本手段。如圖所示，ACL允許主機(jī)A訪問人力資源網(wǎng)絡(luò)，而拒絕主機(jī)B訪問。如圖4-1所示： </p><p>　　圖4-1 ACL提供安

90、全功能示意圖</p><p>　　4.2 ACL的原理</p><p>　　ACL規(guī)則是Cisco IOS所提供的一種訪問控制技術(shù)。初期僅在路由器上支持，近些年來已經(jīng)擴(kuò)展到三層交換機(jī)，部分最新的二層交換機(jī)如2950之類也開始提供ACL的支持。只不過支持的特性不是那么完善而已。在其它廠商的路由器或多層交換機(jī)上也提供類似的技術(shù)，不過名稱和配置方式都可能有細(xì)微的差別。</p>&l

91、t;p>　　ACL使用包過濾技術(shù)，在路由器上讀取第三層及第四層包頭中的信息如源地址、目的地址、源端口、目的端口等，根據(jù)預(yù)先定義好的規(guī)則對包進(jìn)行過濾，從而達(dá)到訪問控制的目的。網(wǎng)絡(luò)中的節(jié)點有資源節(jié)點和用戶節(jié)點兩大類，其中資源節(jié)點提供服務(wù)或數(shù)據(jù)，用戶節(jié)點訪問資源節(jié)點所提供的服務(wù)與數(shù)據(jù)。ACL的主要功能就是一方面保護(hù)資源節(jié)點，阻止非法用戶對資源節(jié)點的訪問，另一方面限制特定的用戶節(jié)點所能具備的訪問權(quán)限。 </p><p&

92、gt;　　在實施ACL的過程中，應(yīng)當(dāng)遵循如下兩個基本原則：[2] </p><p>　　1.最小特權(quán)原則：只給受控對象完成任務(wù)所必須的最小的權(quán)限。</p><p>　　2.最靠近受控對象原則：所有的網(wǎng)絡(luò)層訪問權(quán)限控制。 </p><p>　　3.默認(rèn)丟棄原則：在CISCO路由交換設(shè)備中默認(rèn)最后一句為ACL中加入了DENY ANY ANY，也就是丟棄所有不符合條件的數(shù)

93、據(jù)包。這一點要特別注意，雖然我們可以修改這個默認(rèn)，但未改前一定要引起重視。</p><p>　　4.3 ACL的功能及劃分</p><p>　　網(wǎng)絡(luò)中的節(jié)點有資源節(jié)點和用戶節(jié)點兩大類，其中資源節(jié)點提供服務(wù)或數(shù)據(jù)，用戶節(jié)點訪問資源節(jié)點所提供的服務(wù)與數(shù)據(jù)。ACL的主要功能就是一方面保護(hù)資源節(jié)點，阻止非法用戶對資源節(jié)點的訪問，另一方面限制特定的用戶節(jié)點所能具備的訪問權(quán)限。</p>

94、<p><b>　　ACL的功能：</b></p><p>　?。?）對于一個數(shù)據(jù)包來說，在訪問表對其進(jìn)行處理時，訪問表中的語句按照由上而下的順序依次對數(shù)據(jù)包進(jìn)行處理，直到出現(xiàn)匹配的情況，決定是否讓訪問表通過。這樣，訪問表中語句的順序是非常重要的。</p><p>　?。?）創(chuàng)建訪問表是針對某個接口的，訪問表中的語句將對通過接口的數(shù)據(jù)包產(chǎn)生作用。它可以允許或

95、阻止?jié)M足一定條件的數(shù)據(jù)包通過接口。在訪問表中，接口也可以是具體的線路和設(shè)備。</p><p>　　（3）在訪問表的運用方面，有一個重要的問題，就是接口的方向問題。訪問表既可以用于入口（inbound），也可以用于出口（outbound）。</p><p>　　4.4 ACL的配置</p><p>　　4.4.1 訪問表配置方法</p><p>

96、;　　訪問表要工作，需要做以下的三個步驟：</p><p>　?。?）定義訪問表：在設(shè)備的全局配置模式下完成，按照訪問表的基本格式進(jìn)行。</p><p>　?。?）定義訪問表所應(yīng)用的接口：在設(shè)備的全局模式下完成，有兩種接口可以使用，實接口和虛接口（即線配置模式），實接口以關(guān)鍵字interface開始，后接接口名，虛接口以關(guān)鍵字line vty開始，后接虛接口數(shù)目。</p>&

97、lt;p>　?。?）定義訪問表用于接口的方向：在實接口配置模式下，以關(guān)鍵字ip access-group開始，后接訪問表號，在虛接口配置模式下，以關(guān)鍵定ip access-class開始，再接in或out，in表示在報文進(jìn)入接口時進(jìn)行檢查，out表示在報文離開接口時進(jìn)行檢查。</p><p>　　在使用訪問表的時候，需要注意的是：在訪問表中沒有列出的，就是禁止的。</p><p>　

98、　訪問表的使用規(guī)則：[3]</p><p>　?、僭L問表總是被用于適當(dāng)?shù)慕涌凇?lt;/p><p>　?、谠L問表規(guī)定了接口信息的流向。</p><p>　?、郛?dāng)只需要根據(jù)數(shù)據(jù)包的源地址進(jìn)行過濾時，請采用標(biāo)準(zhǔn)型IP訪問表。</p><p>　?、苋绻枰鶕?jù)更高級的規(guī)則實現(xiàn)過濾，則采用擴(kuò)展型IP訪問表。</p><p>　　

99、⑤在創(chuàng)建通配符掩碼的時候，二進(jìn)制0表示匹配，二進(jìn)制1表示不匹配。</p><p>　?、拊谠L問表中，語句的次序是極其重要的。</p><p>　?、卟槐卦谧詈蟀衙鞔_拒絕的語句加上。</p><p>　　⑧要把根據(jù)非IP協(xié)議過濾的語句往前放。</p><p>　　⑨如果要增加或修改一條語句，就需要刪除現(xiàn)有的列表，并重新應(yīng)用新的或修改過的列表。&

100、lt;/p><p>　　4.4.2 標(biāo)準(zhǔn)IP ACL</p><p>　　我們在SwitchA上進(jìn)行如下的配置：[4] </p><p>　　SwitchA(config)#ip access-list standard 2</p><p>　　SwitchA(config-std-nacl)#permit host 10.1.6.66</

101、p><p>　　SwitchA(config-std-nacl)#exit</p><p>　　SwitchA(config)#access-list 2 deny any </p><p>　　SwitchA(config)#int vlan 2</p><p>　　SwitchA(config-if)#ip access-group 2 ou

102、t這幾條命令中的相應(yīng)關(guān)鍵字的意義如下： </p><p>　　access-list：配置均ACL的關(guān)鍵字，所有的ACL均使用這個命令進(jìn)行配置。 </p><p>　　access-list后面的2：ACL號，ACL號相同的所有ACL形成一個組。在判斷一個包時，使用同一組中的條目從上到下逐一進(jìn)行判斷，一遇到滿足的條目就終止對該包的判斷。1-99為標(biāo)準(zhǔn)的IP ACL號，標(biāo)準(zhǔn)IP ACL由于只

103、讀取IP包頭的源地址部分，消耗資源少。 </p><p>　　Permit與deny操作。Permit是允許通過，deny是丟棄包。 host 10.1.6.66/any：匹配條件，等同于10.1.6.66 0.0.0.0。剛才說過，標(biāo)準(zhǔn)的ACL只限制源地址。Host 10.1.6.66(10.1.6.66 0.0.0.0)的意思是只匹配源地址為10.1.6.66的包。0.0.0.0是wildcards，某位的w

104、ildcards為0表示IP地址的對應(yīng)位必須符合，為1表示IP地址的對應(yīng)位不管是什么都行。簡單點說，就是255.255.255.255減去子網(wǎng)掩碼后的值，0.0.0.0的wildcards就是意味著IP地址必須符合10.1.6.66，可以簡稱為host 10.1.6.66。any表示匹配所有地址。 </p><p>　　int vlan1和ip access-group 2 out：這兩句將access-list

105、 2應(yīng)用到vlan2接口的out方向。其中2是ACL號，和相應(yīng)的ACL進(jìn)行關(guān)聯(lián)。Out是對路由器該接口上哪個方向的包進(jìn)行過濾，可以有in和out兩種選擇。in/out都是站在路由器或交換機(jī)三層模塊上看的，in表示從該接口進(jìn)入路由器或交換機(jī)的包，out表示從該接口出去的包。 </p><p>　　擴(kuò)展的IP ACL的配置 </p><p>　　先看看配置實例吧。在SwitchA上進(jìn)行如下配置

106、： </p><p>　　SwitchA#config t </p><p>　　Enter configuration commands, one per line. End with CNTL/Z.</p><p>　　SwitchA(config)#int vlan 2</p><p>　　SwitchA(config-if)#no

107、ip access-group 2 out</p><p>　　SwitchA(config-if)#exit</p><p>　　SwitchA(config)#access-list 101 permit tcp host 10.1.6.66 any eq telnet</p><p>　　SwitchA(config)#access-list 101 den