李蔓菲，周 瑋

（四川工商學(xué)院電子信息工程學(xué)院，四川 成都 611745）

1 方案設(shè)計(jì)

1.1 設(shè)計(jì)背景

本次設(shè)計(jì)的題目就是要構(gòu)建一個(gè)小型的校園局域通信網(wǎng)絡(luò)，選取成都市某實(shí)驗(yàn)中學(xué)為例。學(xué)校設(shè)施分為致遠(yuǎn)樓、靜思樓、崇德樓三棟教學(xué)樓，圖書館、學(xué)生食堂、教師食堂、行政樓以及教師公寓、學(xué)生公寓、三個(gè)小型實(shí)驗(yàn)樓等主要建筑設(shè)施。因?yàn)闃?gòu)建的是一個(gè)小型的校園局域網(wǎng)，所以在拓?fù)湟?guī)劃中只劃分出了三棟教學(xué)樓，行政樓以及教師公寓、學(xué)生公寓和三個(gè)實(shí)驗(yàn)樓。設(shè)計(jì)的最終目的就是通過相關(guān)設(shè)備的協(xié)議及技術(shù)配置使該校園網(wǎng)絡(luò)能夠全網(wǎng)互通并且能夠安全訪問。

1.2 確定的方案

經(jīng)過一系列的資料搜集和導(dǎo)師的指導(dǎo)，最終確定的設(shè)計(jì)方案是利用思科模擬器來完成小型校園局域網(wǎng)的拓?fù)浣Y(jié)構(gòu)搭建。拓?fù)浣Y(jié)構(gòu)共有1 個(gè)公共服務(wù)器、8臺(tái)路由器、8 臺(tái)三層交換機(jī)、10 臺(tái)二層交換機(jī)及15臺(tái)PC 機(jī)，劃分9 個(gè)部門及8 個(gè)子網(wǎng)，并在相關(guān)設(shè)備上運(yùn)行OSPF、NAT、HSRP 協(xié)議，配置標(biāo)準(zhǔn)ACL 和擴(kuò)展ACL 限制相關(guān)部門之間的訪問，同時(shí)在拓?fù)渲型ㄟ^其中一臺(tái)路由器能夠telnet 訪問登錄別的路由器，并做OSPF 認(rèn)證，實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)互通和安全訪問，最后進(jìn)以一步加強(qiáng)網(wǎng)絡(luò)安全。具體搭建的校園網(wǎng)絡(luò)拓?fù)鋱D如圖1 所示：

圖1 拓?fù)湓O(shè)計(jì)圖

2 詳細(xì)設(shè)計(jì)

2.1 IP 的規(guī)劃和VLAN 的劃分

此部分一共分為了三個(gè)模塊，即PC 機(jī)的IP 和網(wǎng)關(guān)規(guī)劃、三層交換機(jī)以及路由器的相關(guān)VLAN 和IP 規(guī)劃，每個(gè)模塊具體闡述如下部分。

整個(gè)拓?fù)渲懈鶕?jù)教師公寓、行政樓、學(xué)生公寓、教學(xué)樓（崇德樓、致遠(yuǎn)樓、靜思樓）、實(shí)驗(yàn)樓1、實(shí)驗(yàn)樓2、實(shí)驗(yàn)樓3 部門需要共設(shè)置15 臺(tái)PC 機(jī)，因?yàn)楸驹O(shè)計(jì)搭建的是小型的校園局域網(wǎng)絡(luò)，C 類地址適用于校園網(wǎng)和辦公網(wǎng)絡(luò)等小型網(wǎng)絡(luò)，所以在本設(shè)計(jì)中使用C 類地址，采用192.168.0.0 網(wǎng)段來劃分它們的IP地址、子網(wǎng)掩碼及默認(rèn)網(wǎng)關(guān)。根據(jù)不同的部門，一共劃分了8 個(gè)VLAN，分別對(duì)應(yīng)的是教師公寓、行政樓、學(xué)生公寓崇德樓、致遠(yuǎn)樓、靜思樓、實(shí)驗(yàn)樓1、實(shí)驗(yàn)樓2 及實(shí)驗(yàn)樓3。

2.2 基本配置及協(xié)議配置

完成二層交換機(jī)、三層交換機(jī)以及路由器的相關(guān)配置以后完成相關(guān)協(xié)議及技術(shù)配置。

（1）協(xié)議配置

協(xié)議及技術(shù)配置分為OSPF 協(xié)議和動(dòng)態(tài)NAT 及HSRP 配置三個(gè)部分。配置OSPF 協(xié)議以實(shí)現(xiàn)全網(wǎng)互通。使用公有地址池進(jìn)行動(dòng)態(tài)轉(zhuǎn)換時(shí)，分配這些地址使用的原則是先到先得，當(dāng)私有IP 地址的主機(jī)請(qǐng)求訪問外網(wǎng)時(shí)，NAT 將從公有地址池中選擇未被占用的IP 地址對(duì)其進(jìn)行一對(duì)一的轉(zhuǎn)化。當(dāng)完成數(shù)據(jù)會(huì)話后，路由器會(huì)將公有IP 地址釋放并使其回到地址池，以提供其他內(nèi)部私有IP 地址的轉(zhuǎn)換。配置HSRP 是為了實(shí)現(xiàn)路由備份的目的。

（2）動(dòng)態(tài)NAT 配置

校園內(nèi)網(wǎng)中有設(shè)備需要去訪問公網(wǎng)，則需要通過NAT 把私網(wǎng)的IP 地址轉(zhuǎn)換成公網(wǎng)的IP 地址，在配置時(shí)，使用公有地址池中的地址進(jìn)行IP 地址轉(zhuǎn)換，以達(dá)到訪問公網(wǎng)的目的。在router0 上通過動(dòng)態(tài)NAT 實(shí)現(xiàn)校園內(nèi)網(wǎng)地址轉(zhuǎn)換為公網(wǎng)地址，訪問外網(wǎng)114.114.100.0/24，通過向ISP（Internet 服務(wù)提供商）申請(qǐng)得到地址池，內(nèi)網(wǎng)主機(jī)訪問外網(wǎng)，內(nèi)網(wǎng)的私有地址將被動(dòng)態(tài)的、隨機(jī)的轉(zhuǎn)換成合法地址。

（3）HSRP 協(xié)議配置

HSRP 的可靠性較高，在網(wǎng)絡(luò)的一組路由器中，只有一臺(tái)活動(dòng)的用來轉(zhuǎn)發(fā)數(shù)據(jù)包的路由器，如果該路由器出故障了，備份路由器將接管主動(dòng)路由器的任務(wù)。當(dāng)拓?fù)渲袃膳_(tái)路由器中的其中一臺(tái)壞掉時(shí)，HSRP 可保證順利切換成另一臺(tái)備份的路由器，這就解決了當(dāng)主路由器出故障時(shí)路由器切換的問題。

2.3 ACL 技術(shù)實(shí)現(xiàn)

訪問控制列表(Access Control List,ACL)是路由器與交換機(jī)接口的指令列表，其工作在OSI 參考模型三層以上設(shè)備，用來控制端口進(jìn)出的數(shù)據(jù)包。按照給定的規(guī)則，將數(shù)據(jù)包中的第三、四層中的包頭信息進(jìn)行分析處理，并判斷是否轉(zhuǎn)發(fā)該數(shù)據(jù)包。ACL 可在路由器上配置，也可在具有ACL 功能的業(yè)務(wù)軟件上配置。

ACL 技術(shù)能保護(hù)網(wǎng)絡(luò)中的用戶，使其免遭病毒的干擾，它適用于中小型局域網(wǎng)，配置ACL 后，不僅可以限制網(wǎng)絡(luò)流量，還能允許特定的設(shè)備訪問網(wǎng)絡(luò)，例如，配置ACL 禁止局域網(wǎng)內(nèi)的設(shè)備訪問外部公網(wǎng)。此外，它可以阻止非法用戶的訪問，保護(hù)資源節(jié)點(diǎn)，特定的用戶節(jié)點(diǎn)具備的訪問權(quán)限也能被ACL 限制。

（1）ACL 的工作原理

當(dāng)一個(gè)數(shù)據(jù)包傳輸?shù)铰酚善鞯慕涌跁r(shí)，第一步就是檢查它的訪問控制列表，若執(zhí)行控制列表中有拒絕和允許的操作，路由器將會(huì)丟棄被拒絕的數(shù)據(jù)包，然后，被允許的數(shù)據(jù)包進(jìn)入到路由選擇狀態(tài)，根據(jù)路由表，對(duì)進(jìn)入路由選擇狀態(tài)的數(shù)據(jù)包執(zhí)行路由選擇，如果路由表中沒有到達(dá)目標(biāo)網(wǎng)絡(luò)的路由，相應(yīng)的數(shù)據(jù)包就會(huì)被路由器丟棄，反之，則數(shù)據(jù)包被送到相應(yīng)的網(wǎng)絡(luò)接口。當(dāng)ACL 處理數(shù)據(jù)包時(shí)，如果包中的內(nèi)容與控制列表中某條ACL 語句的內(nèi)容是匹配的，就跳過列表中剩余的語句，以這條匹配的語句內(nèi)容作為依據(jù)，從而決定該數(shù)據(jù)包是被允許還是被拒絕，反之，ACL 列表中的下一條語句就會(huì)依次對(duì)分組進(jìn)行測(cè)試，該匹配過程會(huì)一直持續(xù)到列表末尾的時(shí)候。ACL 應(yīng)用在接口上，接下來以ACL 應(yīng)用在入接口上為例進(jìn)行說明，工作流程如圖2 所示：

圖2 應(yīng)用于入接口的ACL

ACL 規(guī)則在配置時(shí)需要遵循的三個(gè)基本原則為：第一個(gè)是最小特權(quán)原則，它僅向受控對(duì)象提供完成任務(wù)所需的最小特權(quán)。第二個(gè)最接近控制原理的方法，即使用規(guī)則檢查自身時(shí)，如果找到匹配項(xiàng)，則會(huì)在ACL 列表中從上到下逐一檢測(cè)，找到匹配項(xiàng)后，會(huì)立即將其交付，檢測(cè)到的ACL 語句將不會(huì)再繼續(xù)。第三是基本處置原則。默認(rèn)規(guī)則“全部拒絕”將自動(dòng)添加到每個(gè)訪問控制列表的末尾。換句話說，該數(shù)據(jù)包將被拒絕并被丟棄，因?yàn)樵趫?zhí)行所有ACL 語句后找不到匹配的數(shù)據(jù)包。

（2）ACL 的分類

ACL 有兩類，分別為標(biāo)準(zhǔn)ACL 和擴(kuò)展ACL。標(biāo)準(zhǔn)ACL 編號(hào)范圍為1-99，匹配的是IP 包中的源地址，可以拒絕或允許匹配的包。擴(kuò)展ACL 的編號(hào)范圍為100-199，它有更多的匹配項(xiàng)，如協(xié)議類型、源或目的地址、源端口及目的端口等。

a.標(biāo)準(zhǔn)ACL

標(biāo)準(zhǔn)ACL 可以拒絕或允許來自某一特定網(wǎng)絡(luò)的通信流量。 其格式為：access-list accesslist-number{permit|deny}{source[sourcewildcard]|any}。標(biāo)準(zhǔn)ACL 對(duì)整個(gè)TCP/IP 協(xié)議生效，使用源IP 地址過濾數(shù)據(jù)包，從而允許或拒絕基于子網(wǎng)或主機(jī)的IP 地址的所有通信流量通過路由器的接口。

b.擴(kuò)展ACL

擴(kuò)展ACL 在數(shù)據(jù)包的過濾方面靈活性更強(qiáng)，其編號(hào)范圍為100-199 或2000-2699，擴(kuò)展ACL 能提供多種匹配項(xiàng)（源地址及目的地址、源端口及目的端口、協(xié)議類型等），并對(duì)它們進(jìn)行過濾，擴(kuò)展ACL 可以更精確的過濾流量[10]。擴(kuò)展ACL 的通用格式：accesslistaccess-listnumber{permit|deny}{protocolprotocol-keyword}{source[source-wildcard]|any}{destination-wildcard|any}[protocol-specific options][log]。

綜上，ACL 是一種語句集合，表示允許或拒絕的規(guī)則，這些語句通過檢查數(shù)據(jù)包地址、端口號(hào)等來控制網(wǎng)絡(luò)通信過程中的數(shù)據(jù)流，總之，它能保護(hù)網(wǎng)絡(luò)的安全，提高網(wǎng)絡(luò)通信質(zhì)量。

（3）ACL 的作用

ACL的作用有很多，首先，它能限制網(wǎng)絡(luò)中的流量。其次，它能在路由器的端口處決定哪一類或哪幾類的數(shù)據(jù)流量能夠被轉(zhuǎn)發(fā)或被阻塞，同時(shí)可以提供手段去控制通信流量。再次，ACL 是提供對(duì)網(wǎng)絡(luò)的安全訪問的主要方法。最后，ACL 能提高網(wǎng)絡(luò)性能。

（4）ACL 的應(yīng)用場(chǎng)景

a.登錄控制:就是控制登錄權(quán)限，允許合法用戶登錄并拒絕非法用戶訪問，有效防止未經(jīng)授權(quán)的用戶的非法訪問，以保證網(wǎng)絡(luò)的安全性。

配置ACL 后，telnet 不成功，但仍可使用ping 命令驗(yàn)證router0 到router2 的互通性，由于只拒絕了telnet協(xié)議而放行了icmp協(xié)議，所以是能夠ping通的。

b.相關(guān)部門訪問權(quán)限配置:ACL 可以通過定義規(guī)則允許或拒絕流量的通過。本設(shè)計(jì)中利用標(biāo)準(zhǔn)ACL 用來限制學(xué)生公寓不能訪問教師公寓和行政樓，從而保護(hù)了行政樓和教師公寓的信息。標(biāo)準(zhǔn)ACL 在三層交換機(jī)2 上配置。

選用擴(kuò)展ACL 通過限制行政樓的電腦訪問教學(xué)樓的網(wǎng)絡(luò),擴(kuò)展ACL 用來限制行政樓不能訪問教學(xué)樓，保證該樓電腦無法訪問教學(xué)樓的網(wǎng)，但能訪問內(nèi)網(wǎng)其他的電腦，實(shí)現(xiàn)了行政樓電腦對(duì)互聯(lián)網(wǎng)的防護(hù)。擴(kuò)展ACL 在三層交換機(jī)1 上配置。

ACL 配置完后，行政樓不能訪問教學(xué)樓、學(xué)生公寓不能訪問教師公寓和行政樓的目的即可實(shí)現(xiàn)，相關(guān)驗(yàn)證在測(cè)試與驗(yàn)證部分。

3 測(cè)試及驗(yàn)證

該設(shè)計(jì)完成了全網(wǎng)互通以及相關(guān)協(xié)議的配置，接下來，完成測(cè)試及驗(yàn)證。該部分分成三個(gè)測(cè)試模塊，分別為全網(wǎng)互通測(cè)試、內(nèi)外網(wǎng)互通、ACL效果配置驗(yàn)證。配置好ACL 后，限制訪問的部門之間是不能夠互通的，通過以上驗(yàn)證，ACL 技術(shù)起到了作用，即設(shè)計(jì)目的已經(jīng)實(shí)現(xiàn)。