用交換機(jī)訪問(wèn)控制列表策略解決校園網(wǎng)學(xué)生機(jī)房封網(wǎng)考試問(wèn)題

朱潔蘭

摘要：該文交換機(jī)訪問(wèn)控制列表的四個(gè)命令：acl 命令、rule 命令、display acl 命令、packet-filter 命令解決校園網(wǎng)學(xué)生機(jī)房封網(wǎng)考試問(wèn)題。實(shí)現(xiàn)了機(jī)房?jī)?nèi)的考試服務(wù)器可以連接到互聯(lián)網(wǎng)，與遠(yuǎn)程考試中心服務(wù)器進(jìn)行數(shù)據(jù)傳送，機(jī)房?jī)?nèi)的考試機(jī)（考生用機(jī)）不能連接到互聯(lián)網(wǎng)，但是可以與同機(jī)房的考試服務(wù)器互連。

關(guān)鍵詞：交換機(jī)；訪問(wèn)控制列表；校園網(wǎng)學(xué)生機(jī)房；封網(wǎng)考試

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2018）15-0060-02

在校園網(wǎng)的學(xué)生機(jī)房舉辦的上機(jī)考試中，主辦方常常要求在考試中實(shí)現(xiàn)學(xué)生上機(jī)的計(jì)算機(jī)不能連接互聯(lián)網(wǎng)，以防止考生在考試過(guò)程中利用網(wǎng)絡(luò)資料作弊。如果考試系統(tǒng)采用的是C/S結(jié)構(gòu)的架構(gòu)，考生的考題由機(jī)房?jī)?nèi)服務(wù)器下發(fā)到學(xué)生使用的計(jì)算機(jī)，使用內(nèi)部局域網(wǎng)互聯(lián)即可，但是遠(yuǎn)程的考試中心要求機(jī)房?jī)?nèi)的服務(wù)器即時(shí)地把考生答案和考試統(tǒng)計(jì)信息上傳到遠(yuǎn)程考試中心，則需要機(jī)房?jī)?nèi)的服務(wù)器可以連接互聯(lián)網(wǎng)。面對(duì)這種情況，筆者與機(jī)房管理人員一起測(cè)試了以下的方法，用交換機(jī)訪問(wèn)控制列表策略滿足了這個(gè)需求。

首先介紹一下該次實(shí)驗(yàn)的基礎(chǔ)網(wǎng)絡(luò)設(shè)施部署情況，在校園網(wǎng)中學(xué)校機(jī)房單獨(dú)構(gòu)成虛擬局域網(wǎng)，通過(guò)一臺(tái)匯聚交換機(jī)上聯(lián)校園網(wǎng)，每個(gè)機(jī)房教室配置接入交換機(jī)上聯(lián)到匯聚交換機(jī)。例如機(jī)房一的計(jì)算機(jī)網(wǎng)段在10.1.12.0/24內(nèi)，網(wǎng)關(guān)為10.1.12.1，機(jī)房一的接入交換機(jī)上聯(lián)匯聚交換機(jī)的 G2/0/2端口。整個(gè)校園網(wǎng)的網(wǎng)絡(luò)計(jì)費(fèi)系統(tǒng)服務(wù)器為10.1.1.131，校園網(wǎng)內(nèi)所有計(jì)算機(jī)必須使用賬戶密碼登錄計(jì)費(fèi)系統(tǒng)才可以登錄外網(wǎng)。

封網(wǎng)考試要求：1）機(jī)房?jī)?nèi)的考試服務(wù)器可以連接到互聯(lián)網(wǎng)，與遠(yuǎn)程考試中心服務(wù)器進(jìn)行數(shù)據(jù)傳送；2）機(jī)房?jī)?nèi)的考試機(jī)（考生用機(jī)）不能連接到互聯(lián)網(wǎng)，但是可以與同機(jī)房的考試服務(wù)器互連，以便服務(wù)器向考試機(jī)下發(fā)試題，以及考試機(jī)向服務(wù)器提交答題結(jié)果。

交換機(jī)實(shí)施策略（以機(jī)房一為例）：1）機(jī)房一內(nèi)的考試服務(wù)器以及備用服務(wù)器共三臺(tái)，分別為10.1.12.120、10.1.12.121、10.1.12.122，這三臺(tái)服務(wù)器允許訪問(wèn)校園網(wǎng)的計(jì)費(fèi)系統(tǒng)服務(wù)器；2）機(jī)房一內(nèi)所有機(jī)器可以連接網(wǎng)關(guān)10.1.12.1；3.機(jī)房一內(nèi)其他ip不能連接校園網(wǎng)的計(jì)費(fèi)系統(tǒng)服務(wù)器。

該文以H3C交換機(jī)為例編寫(xiě)交換機(jī)策略的實(shí)施代碼，先介紹一下代碼中使用到的幾個(gè)交換機(jī)命令：

1）acl 命令用來(lái)創(chuàng)建ACL訪問(wèn)控制列表，并進(jìn)入ACL 視圖。如果指定的ACL 已存在，則直接進(jìn)入ACL 視圖。undo acl 命令用來(lái)刪除指定或全部ACL。

命令格式如下：

acl [ ipv6 ] { advanced | basic } { acl-number | name acl-name } [ match-order { auto | config } ]

其中主要參數(shù)的含義是：

ipv6：指定ACL 類(lèi)型為IPv6 ACL。如果未指定本參數(shù)，則表示IPv4 ACL。

basic：指定創(chuàng)建基本ACL。

advanced：指定創(chuàng)建高級(jí)ACL。

mac：指定創(chuàng)建二層ACL。

user-defined：指定創(chuàng)建用戶自定義ACL。

number acl-number：指定ACL 的編號(hào)。

acl-number 表示ACL 的編號(hào)，取值范圍及其代表的ACL 類(lèi)型如下：

· 2000～2999：表示基本ACL。

· 3000～3999：表示高級(jí)ACL。

· 4000～4999：表示二層ACL。

· 5000～5999：表示用戶自定義ACL。

name acl-name：指定ACL 的名稱(chēng)。

2）rule 命令用來(lái)為IPv4 高級(jí)ACL 創(chuàng)建一條規(guī)則。undo rule 命令用來(lái)為IPv4 高級(jí)ACL 刪除一條規(guī)則或刪除規(guī)則中的部分內(nèi)容。

例如管理員為IPv4 高級(jí)ACL 3000 創(chuàng)建規(guī)則允許129.9.0.0/16 網(wǎng)段內(nèi)的主機(jī)與202.38.160.0/24 網(wǎng)段內(nèi)主機(jī)的WWW端口（端口號(hào)為80）建立連接。則登陸交換機(jī)輸入以下命令。

system-view

[Sysname] acl advanced 3000

[Sysname-acl-ipv4-adv-3000] rule permit tcp source 129.9.0.0 0.0.255.255 destination

202.38.160.0 0.0.0.255 destination-port eq 80

其中主要參數(shù)含義：

source：指定ACL規(guī)則的源地址信息

destination：目的地址信息

deny：表示拒絕符合條件的報(bào)文。

permit：表示允許符合條件的報(bào)文。

3）display acl 命令用來(lái)顯示ACL 的配置和運(yùn)行情況。

命令格式如下：

display acl { acl-number | all | name acl-name }

其中主要參數(shù)含義：

acl-number 表示ACL 的編號(hào)。

all：顯示指定類(lèi)型中全部ACL 的配置和運(yùn)行情況。

name acl-name：顯示指定名稱(chēng)的ACL 的配置和運(yùn)行情況。acl-name 表示ACL 的名稱(chēng)。

4）packet-filter 命令用來(lái)在接口上應(yīng)用ACL 進(jìn)行報(bào)文過(guò)濾。undo packet-filter 命令用來(lái)取消在接口上應(yīng)用ACL 進(jìn)行報(bào)文過(guò)濾。

命令格式如下：

packet-filter [ ipv6 | mac | user-defined ] { acl-number | name acl-name } { inbound | outbound }[ hardware-count ]

其中主要參數(shù)含義：

inbound：對(duì)收到的報(bào)文進(jìn)行過(guò)濾。

outbound：對(duì)發(fā)出的報(bào)文進(jìn)行過(guò)濾。

hardware-count：表示開(kāi)啟規(guī)則匹配統(tǒng)計(jì)功能，缺省為關(guān)閉。

具體交換價(jià)實(shí)施代碼以H3C交換機(jī)為例

第一步：創(chuàng)建ACL訪問(wèn)控制列表

system-view

[Sysname] acl advanced 3000

[Sysname-acl-ipv4-adv-3000] rule 5 permit ip source 10.1.12.120 0 destination 10.1.1.131 0

[Sysname-acl-ipv4-adv-3000] rule 10 permit ip source 10.1.12.121 0 destination 10.1.1.131 0

[Sysname-acl-ipv4-adv-3000] rule 15 permit ip source 10.1.12.122 0 destination 10.1.1.131 0

[Sysname-acl-ipv4-adv-3000] rule 20 permit ip destination 10.1.12.1 0

[Sysname-acl-ipv4-adv-3000] rule 21 deny ip destination 10.1.1.131 0

第二步：瀏覽檢查ACL訪問(wèn)控制列表

< Sysname >display acl 3000

Advanced ACL 3000， named -none-， 7 rules，ACL's step is 5

rule 5 permit ip source 10.1.12.120 0 destination 10.1.1.131 0

rule 10 permit ip source 10.1.12.121 0 destination 10.1.1.131 0

rule 15 permit ip source 10.1.12.122 0 destination 10.1.1.131 0

rule 20 permit ip destination 10.1.12.1 0

rule 21 deny ip destination 10.1.1.131 0

第三步：用secuerCRT軟件遠(yuǎn)程telnet登陸交換機(jī)，啟用封網(wǎng)策略的訪問(wèn)控制列表。

system-view

[Sysname] interface GigabitEthernet 2/0/2

[S7506E-CORE-GigabitEthernet2/0/2] packet-filter 3000 inbound

[S7506E-CORE-GigabitEthernet2/0/2] packet-filter 3000 outbound

第四步：用secuerCRT軟件遠(yuǎn)程telnet登陸交換機(jī)，取消封網(wǎng)策略的訪問(wèn)控制列表。

system-view

[Sysname] interface GigabitEthernet 2/0/2

[S7506E-CORE-GigabitEthernet2/0/2] undo packet-filter 3000 inbound

[S7506E-CORE-GigabitEthernet2/0/2] undo packet-filter 3000 outbound

參考文獻(xiàn)：

[1] jayandcui. H3C交換機(jī)典型（ACL）訪問(wèn)控制列表配置實(shí)例[EB/OB]. https：//wenku.baidu.com/view/72be653f3186bceb18e 8bb60.html.