張波

摘要：針對(duì)網(wǎng)絡(luò)實(shí)驗(yàn)室內(nèi)設(shè)備不足，不便于學(xué)生開展網(wǎng)絡(luò)實(shí)驗(yàn)的問題，本文描述了利用Packet Tracer仿真模擬軟件開展配置IP訪問控制列表的意義，詳細(xì)介紹了開展配置訪問控制列表的實(shí)驗(yàn)原理、實(shí)驗(yàn)項(xiàng)目設(shè)計(jì)、實(shí)驗(yàn)技能的拓展。幫助學(xué)生理解訪問控制列表的功能，掌握其配置方法，并應(yīng)用于實(shí)踐中去。

關(guān)鍵詞：實(shí)驗(yàn)教學(xué)；訪問控制列表；流量控制；網(wǎng)絡(luò)安全

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）27-0046-03

1 引言

網(wǎng)絡(luò)時(shí)代的高速發(fā)展，對(duì)網(wǎng)絡(luò)的安全性也越來越高，企業(yè)內(nèi)部可能存在不同網(wǎng)段計(jì)算機(jī)訪問許可不同，服務(wù)器拒絕收到某種服務(wù)信息流量等問題。通過配置路由器中訪問控制列表，可以控制網(wǎng)絡(luò)流量，按規(guī)則過濾數(shù)據(jù)報(bào)文，實(shí)現(xiàn)訪問許可，并幫助企業(yè)內(nèi)部網(wǎng)絡(luò)制定相關(guān)策略，描述安全功能，反映流量的優(yōu)先級(jí)，提高網(wǎng)絡(luò)的安全性[1]。配置訪問控制列表是《構(gòu)建中小型企業(yè)網(wǎng)絡(luò)》課程中重要內(nèi)容，需要掌握路由器基本配置的基礎(chǔ)知識(shí)。

Packet Tracer是思科發(fā)布的一款網(wǎng)絡(luò)輔助學(xué)習(xí)軟件，它可以模擬設(shè)計(jì)網(wǎng)絡(luò)結(jié)構(gòu)，配置網(wǎng)絡(luò)仿真環(huán)境，排除網(wǎng)絡(luò)故障，整個(gè)界面和網(wǎng)絡(luò)環(huán)境真實(shí)再現(xiàn)。Packet Tracer解決了學(xué)校網(wǎng)絡(luò)實(shí)驗(yàn)室內(nèi)設(shè)備不足，減輕了教學(xué)負(fù)擔(dān)的問題，有利于培養(yǎng)學(xué)生的網(wǎng)絡(luò)學(xué)習(xí)興趣[2]。

2 實(shí)驗(yàn)原理

IP訪問控制列表是應(yīng)用在路由器接口的指令列表，可分為標(biāo)準(zhǔn)IP訪問控制列表和擴(kuò)展IP訪問控制列表。標(biāo)準(zhǔn)IP訪問控制列表檢查路由數(shù)據(jù)包的源地址，從而允許或拒絕基于網(wǎng)絡(luò)、子網(wǎng)或主機(jī)的IP地址的所有通信流量通過路由器的出口。擴(kuò)展IP訪問控制列表既檢查數(shù)據(jù)包的源地址，也檢查數(shù)據(jù)包的目的地址，還檢查數(shù)據(jù)包的特定協(xié)議類型、端口號(hào)等。擴(kuò)展訪問控制列表可以對(duì)同一地址允許使用某些協(xié)議通信流量通過，而拒絕使用其他協(xié)議的流量通過[3]。

通過靈活地增加訪問控制列表，達(dá)到過濾流入和流出路由器接口的數(shù)據(jù)包，限制網(wǎng)絡(luò)流量，提高網(wǎng)絡(luò)性能，起到網(wǎng)絡(luò)訪問的基本安全作用。

3 實(shí)驗(yàn)項(xiàng)目設(shè)計(jì)

3.1 實(shí)驗(yàn)?zāi)繕?biāo)

（1）理解標(biāo)準(zhǔn)IP訪問控制列表的原理及功能；

（2）掌握命名的標(biāo)準(zhǔn)IP訪問控制列表的配置方法；

（3）理解擴(kuò)展IP訪問控制列表的原理及功能；

（4）掌握編號(hào)的擴(kuò)展IP訪問控制列表的配置方法。

3.2 實(shí)驗(yàn)任務(wù)描述

某公司下設(shè)經(jīng)理室、銷售部、財(cái)務(wù)部，另外架設(shè)了公司的Web服務(wù)器，各部門分別屬于不同的網(wǎng)段，具體見圖1 網(wǎng)絡(luò)拓?fù)鋱D。考慮財(cái)務(wù)處存放有重要的賬套信息，保證服務(wù)器安全，領(lǐng)導(dǎo)要求實(shí)現(xiàn)：

任務(wù)一 銷售部不能訪問財(cái)務(wù)部，但經(jīng)理室可以訪問財(cái)務(wù)部；

任務(wù)二.各部門主機(jī)只能訪問服務(wù)器的WWW服務(wù)，不能對(duì)其使用ICMP服務(wù)。

3.3 實(shí)驗(yàn)設(shè)計(jì)

1）實(shí)驗(yàn)步驟分析

為實(shí)現(xiàn)任務(wù)目標(biāo)，需要依次完成（1）在Packet Tracer仿真平臺(tái)中搭建網(wǎng)絡(luò)物理環(huán)境，考慮減少實(shí)驗(yàn)復(fù)雜性，這里僅選用了三臺(tái)路由器、三臺(tái)電腦、一臺(tái)服務(wù)器；（2）給各個(gè)端口分配IP地址，其中IP規(guī)劃設(shè)計(jì)如表1所示；（3）配置路由，保證PC之間、PC到服務(wù)器間網(wǎng)絡(luò)暢通，僅暢通后才能實(shí)驗(yàn)允許或拒絕服務(wù)，測(cè)試網(wǎng)絡(luò)連通性；（4）配置標(biāo)準(zhǔn)IP訪問控制列表，實(shí)現(xiàn)任務(wù)一；（5）配置擴(kuò)展IP訪問控制列表，實(shí)現(xiàn)任務(wù)二；（6）測(cè)試實(shí)驗(yàn)結(jié)果。

2）實(shí)驗(yàn)關(guān)鍵指令

（1）路由配置指令

R1路由配置：

R1（config）#route ospf 1

R1 （config-router）#network 192.168.1.0 0.0.0.255 area 0

R1 （config-router）#network 192.168.2.0 0.0.0.255 area 0

R1 （config-router）#network 192.168.3.0 0.0.0.255 area 0

依次配置R2、R3，分別用PC2電腦ping PC3和Web服務(wù)器，測(cè)試網(wǎng)絡(luò)整體連通性，并用WEB瀏覽器訪問WEB服務(wù)器，測(cè)試結(jié)果如圖2所示，顯示網(wǎng)絡(luò)暢通：

（2）配置標(biāo)準(zhǔn)IP訪問控制列表命令

標(biāo)準(zhǔn)IP訪問控制列表可以實(shí)現(xiàn)允許或拒絕來自某一網(wǎng)段完整協(xié)議，可以幫助我們實(shí)現(xiàn)PC1可以與PC3通信，但是不允許PC2與PC3通信?？紤]PC1、PC2、PC3都要訪問WEB服務(wù)器，只有在R2的F0/0端口宣告應(yīng)用。關(guān)鍵命令如下：

R2（config）#Iip access-list standed SYZS //創(chuàng)建名稱為SYZS的訪問列表

R2（config-std-nacl）#permit 192.168.1.0 0.0.0.255 //允許192.168.1.0網(wǎng)段數(shù)據(jù)包通行

R2（config-std-nacl）#deny 192.168.2.0 0.0.0.255 //丟棄192.168.2.0網(wǎng)段數(shù)據(jù)包

R2（config-std-nacl）#permit any //允許其他網(wǎng)段數(shù)據(jù)包通行

R2（config-std-nacl）#exit

R2（config）#int f0/0

R2（config-if）#ip access-group SYZS out //訪問列表應(yīng)用于R2的F0/0端口

R2#show ip access-list

Standard IP access list SYZS

10 permit 192.168.1.0 0.0.0.255

20 deny 192.168.2.0 0.0.0.255

30 permit any

至此，完成標(biāo)準(zhǔn)IP訪問控制列表的配置，經(jīng)測(cè)試達(dá)到預(yù)期目標(biāo)，測(cè)試結(jié)果如圖3-4所示：

（3）配置擴(kuò)展IP訪問控制列表命令

擴(kuò)展IP訪問控制列表比標(biāo)準(zhǔn)IP訪問控制列表具有更多的匹配項(xiàng)，它檢查數(shù)據(jù)包的源地址和目標(biāo)地址，允許或拒絕某個(gè)特定的協(xié)議，例如TCP協(xié)議。它可以幫助我們實(shí)現(xiàn)任務(wù)2中提到的各子網(wǎng)段可以使用www服務(wù)，訪問WEB服務(wù)器，但是拒絕使用ICMP服務(wù)。根據(jù)訪問控制列表的最靠近受控對(duì)象原則，將擴(kuò)展IP訪問控制列表應(yīng)用在R2的S0/0/1端口，關(guān)鍵命令如下：

R2（config）#access-list 100 permit tcp host 192.168.1.0 0.0.0.255 192.168.6.2 eq www //允許192.168.1.0網(wǎng)段使用TCP協(xié)議訪問192.168.6.2的WWW服務(wù)；

R2（config）#access-list 100 permit tcp host 192.168.2.0 0.0.0.255 192.168.6.2 eq www

R2（config）#access-list 100 permit tcp host 192.168.4.0 0.0.0.255 192.168.6.2 eq www

R2（config）#access-list 100 deny icmp any 192.168.6.2 0.0.0.0 echo

//拒絕所有網(wǎng)段使用ICMP協(xié)議訪問192.168.6.2；

R2（config）#int s0/0/1

R2（config-if）#ip access-group 100 out //將ACL列表號(hào)為100的擴(kuò)展訪問列表應(yīng)用到R2的S0/0/1端口；

至此，完成擴(kuò)展IP訪問控制列表的配置，經(jīng)測(cè)試達(dá)到預(yù)期目標(biāo)，測(cè)試結(jié)果如圖5-6所示：

3）實(shí)驗(yàn)結(jié)果分析

從結(jié)果可以看出，標(biāo)準(zhǔn)IP訪問控制列表僅檢查源地址，允許和拒絕的是完整的協(xié)議；擴(kuò)展IP訪問控制列表檢查源地址和目標(biāo)地址，允許或拒絕的是某個(gè)特定的協(xié)議。配置訪問列表的每一條語句就是一個(gè)規(guī)則，數(shù)據(jù)包發(fā)送后，逐條匹配，直到匹配到合適語句，執(zhí)行語句的動(dòng)作（允許或拒絕）；如果沒有找到匹配的規(guī)則，按照缺省規(guī)則執(zhí)行[4]。

另外在實(shí)驗(yàn)中，允許或拒絕的都是整個(gè)網(wǎng)段，使用了反向子網(wǎng)掩碼幫助實(shí)現(xiàn)，方向子網(wǎng)掩碼中的0表示檢查相應(yīng)IP相應(yīng)位，1表示不檢查，從而可以通過反向子網(wǎng)掩碼再對(duì)IP地址段進(jìn)行細(xì)分，實(shí)現(xiàn)過濾指定部分網(wǎng)段數(shù)據(jù)功能。

3.4 實(shí)驗(yàn)總結(jié)

基于Packet Tracer仿真平臺(tái)，配置訪問控制列表的實(shí)驗(yàn)，能在教學(xué)中幫助同學(xué)們理解了標(biāo)準(zhǔn)IP訪問控制列表和擴(kuò)展IP訪問控制列表的原理及其功能；通過任務(wù)驅(qū)動(dòng)教學(xué)方法，幫助同學(xué)們掌握基本配置方法，加深理解路由器的網(wǎng)絡(luò)管理功能。通過理論和實(shí)踐結(jié)合提高了學(xué)生學(xué)習(xí)網(wǎng)絡(luò)基礎(chǔ)知識(shí)的積極性 。

4 技能拓展

本次實(shí)驗(yàn)中僅涉及標(biāo)準(zhǔn)IP訪問控制列表配置、擴(kuò)展IP訪問控制列表配置，ACL訪問控制列表還包含反向訪問控制列表、基于時(shí)間的訪問控制列表、基于名稱的訪問控制列表。綜合配置訪問控制列表，可以保護(hù)存放敏感數(shù)據(jù)的計(jì)算機(jī)，拒絕非法訪問服務(wù)器，阻止病毒傳播與攻擊，控制網(wǎng)絡(luò)流量，提高網(wǎng)絡(luò)性能，限定上網(wǎng)時(shí)間等作用。

參考文獻(xiàn)：

[1] Malik. 網(wǎng)絡(luò)安全原理與實(shí)踐[M].王寶生，朱培棟，白建軍，譯.北京：人民郵電出版社，2008.

[2] 劉靜. 基于Packet Tracer的IP訪問控制列表教學(xué)設(shè)計(jì)與實(shí)現(xiàn)的研究[J]. 科技創(chuàng)新與應(yīng)用，2012（12）：276.

[3] 王芳.路由器訪問控制列表及其應(yīng)用技術(shù)研究[J]. 解放軍信息工程大學(xué)， 2007.

[4] 王華麗. 訪問控制列表在網(wǎng)絡(luò)安全中的應(yīng)用[J].電子科技， 2007（1）：58.