用交换机访问控制列表策略解决校园网学生机房封网考试问题
2018-07-28朱洁兰
朱洁兰
摘要:该文交换机访问控制列表的四个命令:acl 命令、rule 命令、display acl 命令、packet-filter 命令解决校园网学生机房封网考试问题。实现了机房内的考试服务器可以连接到互联网,与远程考试中心服务器进行数据传送,机房内的考试机(考生用机)不能连接到互联网,但是可以与同机房的考试服务器互连。
关键词:交换机;访问控制列表;校园网学生机房;封网考试
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2018)15-0060-02
在校园网的学生机房举办的上机考试中,主办方常常要求在考试中实现学生上机的计算机不能连接互联网,以防止考生在考试过程中利用网络资料作弊。如果考试系统采用的是C/S结构的架构,考生的考题由机房内服务器下发到学生使用的计算机,使用内部局域网互联即可,但是远程的考试中心要求机房内的服务器即时地把考生答案和考试统计信息上传到远程考试中心,则需要机房内的服务器可以连接互联网。面对这种情况,笔者与机房管理人员一起测试了以下的方法,用交换机访问控制列表策略满足了这个需求。
首先介绍一下该次实验的基础网络设施部署情况,在校园网中学校机房单独构成虚拟局域网,通过一台汇聚交换机上联校园网,每个机房教室配置接入交换机上联到汇聚交换机。例如机房一的计算机网段在10.1.12.0/24内,网关为10.1.12.1,机房一的接入交换机上联汇聚交换机的 G2/0/2端口。整个校园网的网络计費系统服务器为10.1.1.131,校园网内所有计算机必须使用账户密码登录计费系统才可以登录外网。
封网考试要求:1)机房内的考试服务器可以连接到互联网,与远程考试中心服务器进行数据传送;2)机房内的考试机(考生用机)不能连接到互联网,但是可以与同机房的考试服务器互连,以便服务器向考试机下发试题,以及考试机向服务器提交答题结果。
交换机实施策略(以机房一为例):1)机房一内的考试服务器以及备用服务器共三台,分别为10.1.12.120、10.1.12.121、10.1.12.122,这三台服务器允许访问校园网的计费系统服务器;2)机房一内所有机器可以连接网关10.1.12.1;3.机房一内其他ip不能连接校园网的计费系统服务器。
该文以H3C交换机为例编写交换机策略的实施代码,先介绍一下代码中使用到的几个交换机命令:
1)acl 命令用来创建ACL访问控制列表,并进入ACL 视图。如果指定的ACL 已存在,则直接进入ACL 视图。undo acl 命令用来删除指定或全部ACL。
命令格式如下:
acl [ ipv6 ] { advanced | basic } { acl-number | name acl-name } [ match-order { auto | config } ]
其中主要参数的含义是:
ipv6:指定ACL 类型为IPv6 ACL。如果未指定本参数,则表示IPv4 ACL。
basic:指定创建基本ACL。
advanced:指定创建高级ACL。
mac:指定创建二层ACL。
user-defined:指定创建用户自定义ACL。
number acl-number:指定ACL 的编号。
acl-number 表示ACL 的编号,取值范围及其代表的ACL 类型如下:
· 2000~2999:表示基本ACL。
· 3000~3999:表示高级ACL。
· 4000~4999:表示二层ACL。
· 5000~5999:表示用户自定义ACL。
name acl-name:指定ACL 的名称。
2)rule 命令用来为IPv4 高级ACL 创建一条规则。undo rule 命令用来为IPv4 高级ACL 删除一条规则或删除规则中的部分内容。
例如管理员为IPv4 高级ACL 3000 创建规则允许129.9.0.0/16 网段内的主机与202.38.160.0/24 网段内主机的WWW端口(端口号为80)建立连接。则登陆交换机输入以下命令。
[Sysname] acl advanced 3000
[Sysname-acl-ipv4-adv-3000] rule permit tcp source 129.9.0.0 0.0.255.255 destination
202.38.160.0 0.0.0.255 destination-port eq 80
其中主要参数含义:
source:指定ACL规则的源地址信息
destination:目的地址信息
deny:表示拒绝符合条件的报文。
permit:表示允许符合条件的报文。
3)display acl 命令用来显示ACL 的配置和运行情况。
命令格式如下:
display acl { acl-number | all | name acl-name }
其中主要参数含义:
acl-number 表示ACL 的编号。
all:显示指定类型中全部ACL 的配置和运行情况。
name acl-name:显示指定名称的ACL 的配置和运行情况。acl-name 表示ACL 的名称。
4)packet-filter 命令用来在接口上应用ACL 进行报文过滤。undo packet-filter 命令用来取消在接口上应用ACL 进行报文过滤。
命令格式如下:
packet-filter [ ipv6 | mac | user-defined ] { acl-number | name acl-name } { inbound | outbound }[ hardware-count ]
其中主要参数含义:
inbound:对收到的报文进行过滤。
outbound:对发出的报文进行过滤。
hardware-count:表示开启规则匹配统计功能,缺省为关闭。
具体交换价实施代码以H3C交换机为例
第一步:创建ACL访问控制列表
[Sysname] acl advanced 3000
[Sysname-acl-ipv4-adv-3000] rule 5 permit ip source 10.1.12.120 0 destination 10.1.1.131 0
[Sysname-acl-ipv4-adv-3000] rule 10 permit ip source 10.1.12.121 0 destination 10.1.1.131 0
[Sysname-acl-ipv4-adv-3000] rule 15 permit ip source 10.1.12.122 0 destination 10.1.1.131 0
[Sysname-acl-ipv4-adv-3000] rule 20 permit ip destination 10.1.12.1 0
[Sysname-acl-ipv4-adv-3000] rule 21 deny ip destination 10.1.1.131 0
第二步:浏览检查ACL访问控制列表
< Sysname >display acl 3000
Advanced ACL 3000, named -none-, 7 rules,ACL's step is 5
rule 5 permit ip source 10.1.12.120 0 destination 10.1.1.131 0
rule 10 permit ip source 10.1.12.121 0 destination 10.1.1.131 0
rule 15 permit ip source 10.1.12.122 0 destination 10.1.1.131 0
rule 20 permit ip destination 10.1.12.1 0
rule 21 deny ip destination 10.1.1.131 0
第三步:用secuerCRT軟件远程telnet登陆交换机,启用封网策略的访问控制列表。
[Sysname] interface GigabitEthernet 2/0/2
[S7506E-CORE-GigabitEthernet2/0/2] packet-filter 3000 inbound
[S7506E-CORE-GigabitEthernet2/0/2] packet-filter 3000 outbound
第四步:用secuerCRT软件远程telnet登陆交换机,取消封网策略的访问控制列表。
[Sysname] interface GigabitEthernet 2/0/2
[S7506E-CORE-GigabitEthernet2/0/2] undo packet-filter 3000 inbound
[S7506E-CORE-GigabitEthernet2/0/2] undo packet-filter 3000 outbound
参考文献:
[1] jayandcui. H3C交换机典型(ACL)访问控制列表配置实例[EB/OB]. https://wenku.baidu.com/view/72be653f3186bceb18e 8bb60.html.