【正文】 ny eq 443access —list 101 deny udp any any eq 443access —list 101 permit tcp any anyaccess —list 101 permit uap permit any anyaccess —list 101 ip any anyinterface range fastethemet0／1—24ip accessgroup 101 in ACL對校園網(wǎng)P2P流量的控制 P2P工作原理P2P 技術(shù)是P2S 技術(shù)和P2P 技術(shù)的結(jié)合體，是P2P 技術(shù)的進(jìn)一步延伸，它不需要文件資源服務(wù)器，充分利用了用戶網(wǎng)絡(luò)的“上行帶寬”，實(shí)現(xiàn)用戶間數(shù)據(jù)的傳輸[15]。通過多媒體檢索數(shù)據(jù)庫這個橋梁把原本孤立的服務(wù)器資源和P2P 用戶資源整合到了一起，利用服務(wù)器性能資源優(yōu)勢和用戶上行帶寬的優(yōu)勢，以達(dá)到下載速度更快、資源豐富、穩(wěn)定性更強(qiáng)的目的。 抓包位置的部署網(wǎng)絡(luò)協(xié)議分析軟件以嗅探方式工作，它必須要采集到網(wǎng)絡(luò)中的原始數(shù)據(jù)包，才能準(zhǔn)確分析網(wǎng)絡(luò)故障。如安裝的位置不當(dāng)，采集到的數(shù)據(jù)包將存在較大的差別，從而影響分析的結(jié)果，無法反映網(wǎng)絡(luò)真正存在的問題。校園網(wǎng)應(yīng)用是網(wǎng)絡(luò)應(yīng)用中最活躍的分支，網(wǎng)絡(luò)管理和維護(hù)也比較有代表性。在設(shè)計(jì)時， 常采用經(jīng)典的三層網(wǎng)絡(luò)結(jié)構(gòu)，對出口數(shù)據(jù)進(jìn)行分析時，在核心交換機(jī)中將出口數(shù)據(jù)鏡像到核心交換機(jī)的某一端口，此時協(xié)議分析軟件可以捕獲整個網(wǎng)絡(luò)中轉(zhuǎn)發(fā)的數(shù)據(jù)。 索引服務(wù)器地址收集收集迅雷服務(wù)器地址可通過DNS 解析、出口鏡像抓包等方法來獲取。如果使用DNS 解析的方法來獲取地址，將無法得出新增加或未進(jìn)行域名綁定的資源索。 ACL 的組成 ACL 是應(yīng)用在路由器、交換機(jī)、網(wǎng)關(guān)等網(wǎng)絡(luò)設(shè)備接口的指令列表。它讀取數(shù)據(jù)包第三及第四層包頭中的信息，如源地址、目的地址、源端口、目的端口等；根據(jù)預(yù)先設(shè)定好的規(guī)則，設(shè)備接口對包進(jìn)行過濾，從而達(dá)到訪問控制的目的。交換機(jī)路由器中的ACL 有標(biāo)準(zhǔn)ACL 和擴(kuò)展ACL，區(qū)別主要體現(xiàn)在匹配和過濾流量的條件上。標(biāo)準(zhǔn)ACL 可檢查IP 包頭的源IP 地址，并以此為匹配條件對流量允許或拒絕；而擴(kuò)展的ACL 可基于包的目標(biāo)地址、源地址和網(wǎng)絡(luò)協(xié)議及其端口來匹配和過濾流量。隨著網(wǎng)絡(luò)的發(fā)展和用戶要求的變化，各類網(wǎng)絡(luò)設(shè)備支持基于時間的訪問列表，它可以根據(jù)一天中的不同時間或者根據(jù)一周中的不同日期來控制對應(yīng)類型數(shù)據(jù)包的轉(zhuǎn)發(fā)，為網(wǎng)絡(luò)的流量管理工作帶來更大的便捷和靈活性。 創(chuàng)建ACL 策略 基于P2P 資源的下載方式是用戶從網(wǎng)上獲取資料的主要手段。P2P 流量占據(jù)了近80%的出口帶寬，利用ACL 封迅雷資源索引服務(wù)器的方法將無條件地禁止了迅雷的下載。這種“一刀切”的流量管理策略不能滿足用戶的需求，我們應(yīng)該結(jié)合實(shí)際應(yīng)用及時間變化規(guī)律來制定校園網(wǎng)帶寬管理策略。根據(jù)我校對帶寬使用的具體情況，為保障教學(xué)及各項(xiàng)關(guān)鍵性應(yīng)用的進(jìn)行，規(guī)定在每周的星期一到五工作時間內(nèi)，限制迅雷的下載；在周末以及其它休息時間開放P2P 的應(yīng)用帶寬，這樣以達(dá)到人性化的管理。結(jié)束語本文所介紹的校園網(wǎng)ACL設(shè)置滿足了校園網(wǎng)用戶的實(shí)際需要，保證了校園網(wǎng)內(nèi)部的安全，并能達(dá)到防止了外部入侵的目的。同時通過擴(kuò)展研究，對P2P的工作原理采取了ACL流量控制，這樣在對保證校園網(wǎng)出口帶寬起到一定的保護(hù)作用，對合理分配上網(wǎng)流量帶寬，保證上網(wǎng)速度起到一定的幫助，同時還能保護(hù)學(xué)校網(wǎng)絡(luò)設(shè)備，對延長網(wǎng)絡(luò)設(shè)備的壽命起到一定的保護(hù)。本設(shè)計(jì)主要通過Packet Tracer ，由于模擬器的局限性，所以有些功能實(shí)現(xiàn)不了，主要通過文字語言來描述。通過最后的模擬和描述，通過ACL訪問控制對校園網(wǎng)的安全和流量控制達(dá)到了初步的成效，希望能夠?qū)韺CL更深的研究，達(dá)到更好的安全和流量控制效果。參考文獻(xiàn)[1] 孫輝.《路由發(fā)展歷程與趨勢》，中國數(shù)據(jù)通訊2004[2] 王芳，韓國棟，李鑫.《路由器訪問控制列表及其實(shí)現(xiàn)技術(shù)研究》.計(jì)算機(jī)工程與設(shè)計(jì)，2007[3] （美） Dayid Hucaby,CCIE 4594著，王兆文譯，《CCNP SWITCH（642813）》.北京：人民郵電出版社[4] 易建勛，姜臘林，史長瓊?！队?jì)算機(jī)網(wǎng)絡(luò)設(shè)計(jì)（第二版）》北京郵電出版社 2011[5] David Barnes，Basir Sakandar著 劉大偉譯. 《Cisco局域網(wǎng)交換基礎(chǔ)》. 北京：人民郵電出版社，2005，9[6] Justin Menga著 李莉，高雪，周永生譯. 《CCNP實(shí)戰(zhàn)指南：交換》. 北京：人民郵電出版社，2005，1[7] Cisco System著 中山大學(xué)思科網(wǎng)絡(luò)技術(shù)學(xué)院譯. 《CCNP1：高級路由》. 北京：人民郵電出版社，2005，3[8] 謝希仁.《計(jì)算機(jī)網(wǎng)絡(luò)（第五版）》.，[9] 斯桃枝，姚馳甫.《路由與交換技術(shù)[M]》.北京:北京大學(xué)出版社，2008[10] 謝希仁. 《計(jì)算機(jī)網(wǎng)絡(luò) 第五版[M]》.北京:電子工程出版社，2008[11] 蘭少華，楊余旺，呂建勇.《TCP/IP網(wǎng)絡(luò)與協(xié)議[M]》.北京:清華大學(xué)出版社，2009[12] 王鳳英，《訪問控制原理與實(shí)踐》.北京：郵電大學(xué)出版社，2010[13] 殷玉明，《交換機(jī)與路由器配置項(xiàng)目式教程》.電子工業(yè)出版社，2010[14] .[M].北京：清華大學(xué)出版社，2004[15] 周星，[J].河南大學(xué)學(xué)報(bào)，2004，20（5）：5658附錄核心路由器interface FastEthernet0/0 ip address duplex auto speed auto!interface FastEthernet0/1 no ip address duplex auto speed auto shutdowninterface FastEthernet1/0 ip address duplex auto speed autointerface FastEthernet1/1 ip address duplex auto speed autointerface Vlan1 no ip addressrouter ospf 1 routerid logadjacencychanges network area 0 defaultinformation originaterouter rip network ip classlessip route FastEthernet1/1 accesslist 101 permit tcp host eq telnetline con 0line vty 0 4password ciscologinprivilege level 15核心交換機(jī)：interface FastEthernet0/1 no switchport ip address duplex auto speed auto!interface FastEthernet0/2 no switchport ip address duplex auto speed auto!interface FastEthernet0/3 no switchport ip address duplex auto speed autoip classlessrouter ospf 1 logadjacencychanges network area 0 network area 1 network area 1!router rip network !ip classless接入層交換機(jī)：hostname Switch!!spanningtree portfast default!interface FastEthernet0/1 switchport trunk allowed vlan 1,10,20 switchport mode trunk!interface FastEthernet0/2 switchport trunk allowed vlan 1,10,20 switchport mode trunk!interface FastEthernet0/3 switchport access vlan 10 switchport mode access!interface FastEthernet0/4 switchport access vlan 20 switchport mode accessinterface Vlan1 no ip address shutdown!interface Vlan10 no ip address!!accesslist 1 deny line con 0!line vty 0 4 loginline vty 5 15 login致謝本論文的工作是在我的導(dǎo)師李相海老師的悉心指導(dǎo)下完成的，李相海老師嚴(yán)謹(jǐn)?shù)闹螌W(xué)態(tài)度和科學(xué)的工作方法給了我極大的幫助和影響。在此衷心感謝李相海老師對我的關(guān)心和指導(dǎo)。通過這一階段的努力，我的畢業(yè)論文終于完成了，這意味著我的大學(xué)生活即將結(jié)束。在大學(xué)階段，我在學(xué)習(xí)上和思想上都受益匪淺，住除了自身的努力外，與各位老師、同學(xué)和朋友的關(guān)心、支持和鼓勵是分不開的。在工作及撰寫論文期間，李慶偉、馬杰超等同學(xué)對我論文中的配置研究工作給予了熱情幫助，在此向他們表達(dá)我的感激之情。另外也感謝家人、學(xué)院領(lǐng)導(dǎo)、同事和朋友，他們的理解和支持使我能夠完成我的學(xué)業(yè)。