利用Packet Tracer模擬三層交換訪問(wèn)控制列表實(shí)驗(yàn)

2012-07-06 03:10:28李泗蘭

科技視界 2012年30期

郭雅李泗蘭

（1.華南師范大學(xué)增城學(xué)院廣東廣州 511363；2.惠州市科技職業(yè)技術(shù)學(xué)校廣東惠州 516001）

0 引言

隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的高速發(fā)展，網(wǎng)絡(luò)規(guī)模日益龐大，網(wǎng)絡(luò)中的安全問(wèn)題也日趨嚴(yán)重。安全采用的技術(shù)很多，訪問(wèn)控制列表（ACL）是實(shí)現(xiàn)基本的網(wǎng)絡(luò)安全的手段之一。初期僅在路由器上支持，近些年來(lái)已經(jīng)擴(kuò)展到三層交換機(jī)，部分最新的二層交換機(jī)如2960之類(lèi)也開(kāi)始提供ACL的支持。只不過(guò)支持的特性不是那么完善而已。

訪問(wèn)控制列表技術(shù)是高校計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)學(xué)生必須掌握的實(shí)驗(yàn)內(nèi)容，但由于高校投入資金少，購(gòu)置交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備還不能滿足學(xué)生的需求，學(xué)生實(shí)際操作機(jī)會(huì)少。這就使得學(xué)生在學(xué)習(xí)理論知識(shí)時(shí)感覺(jué)抽象難懂。利用Packet Tracer模擬軟件實(shí)現(xiàn)三層交換訪問(wèn)控制列表實(shí)驗(yàn)，能達(dá)到很好的教學(xué)效果。

1 ACL基本原理與類(lèi)型

1.1 ACL技術(shù)的基本原理

訪問(wèn)控制列表是使用包過(guò)濾技術(shù)，在路由器上讀取第三層及第四層包頭中的信息如源地址、目的地址、源端口、目的端口等，根據(jù)預(yù)先定義好的規(guī)則對(duì)包進(jìn)行過(guò)濾，從而達(dá)到訪問(wèn)控制的目的。

ACL中規(guī)定了兩種操作，所有的應(yīng)用都是圍繞這兩種操作來(lái)完成的：允許、拒絕。ACL主要用于對(duì)入站數(shù)據(jù)、出站數(shù)據(jù)、被路由器中繼的數(shù)據(jù)進(jìn)行控制。

1.2 ACL 技術(shù)的類(lèi)型

訪問(wèn)控制列表大體劃分為兩類(lèi)：標(biāo)準(zhǔn)訪問(wèn)控制列表和擴(kuò)展訪問(wèn)控制列表，他們的命令都具有基本格式：Access-list-number{permit/deny}match-condition。

1）標(biāo)準(zhǔn)ACL。其編號(hào)一般為1～99之間的整數(shù)值。標(biāo)準(zhǔn)的訪問(wèn)控制列表只根據(jù)分組內(nèi)的源地址進(jìn)行過(guò)濾，占用路由器資源較少，應(yīng)用比較廣泛，但是控制級(jí)別較低。

2）擴(kuò)展ACL。其編號(hào)一般為101～199之間的整數(shù)值。擴(kuò)展訪問(wèn)控制列表不僅可以檢查數(shù)據(jù)包的源地址，還可以檢查數(shù)據(jù)包的目的地址、協(xié)議類(lèi)型和TCP/UDP協(xié)議族的端口號(hào)，具有更大的靈活性和可擴(kuò)充性。但是擴(kuò)展ACL會(huì)消耗大量的路由器CPU資源，一般來(lái)說(shuō)中低檔路由器還是使用標(biāo)準(zhǔn)訪問(wèn)控制列表比較有效。

2 利用PT模擬三層交換訪問(wèn)控制列表實(shí)驗(yàn)

2.1 實(shí)驗(yàn)?zāi)康?/h3>
1）理解訪問(wèn)控制列表的作用；
2）掌握訪問(wèn)控制列表的配置和使用方法。

2.2 實(shí)驗(yàn)拓?fù)鋱D設(shè)計(jì)

圖1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

2.3 實(shí)驗(yàn)設(shè)計(jì)與實(shí)現(xiàn)

根據(jù)圖1網(wǎng)絡(luò)拓?fù)鋱D結(jié)構(gòu)，需規(guī)劃好vlan和IP地址，詳細(xì)參考表1。對(duì)于如何劃分vlan、接口如何劃分到相應(yīng)接口、PC機(jī)及服務(wù)器IP地址的設(shè)置等，在這里就不詳細(xì)闡述。配置完需要測(cè)試，保證PC1、PC2、Server1、Server2都能互通才能做訪問(wèn)控制列表實(shí)驗(yàn)。

表1 IP地址表

2.3.1 標(biāo)準(zhǔn)訪問(wèn)控制列表實(shí)驗(yàn)

實(shí)驗(yàn)要求：PC1只能訪問(wèn)Server1主機(jī)、Server2網(wǎng)絡(luò)。PC2不能訪問(wèn)Server1主機(jī)，可以訪問(wèn)Server2網(wǎng)絡(luò)。

配置步驟如下：

2.3.2 實(shí)驗(yàn)效果驗(yàn)證

在PC1上測(cè)試ping服務(wù)器1和服務(wù)器2，結(jié)果是能ping通，其他不能ping通。PC2不能ping通服務(wù)器1，能ping通服務(wù)器2，配置符合實(shí)驗(yàn)要求。

2.3.3 擴(kuò)展訪問(wèn)控制列表實(shí)驗(yàn)

實(shí)驗(yàn)要求：PC1只能訪問(wèn)Server1主機(jī)、Server2網(wǎng)絡(luò)。PC2不能訪問(wèn)Server1主機(jī)，可以訪問(wèn)Server2網(wǎng)絡(luò)。

配置步驟如下：

2.3.4 實(shí)驗(yàn)效果驗(yàn)證

3 結(jié)語(yǔ)

從上實(shí)驗(yàn)可以看出，訪問(wèn)控制列表用不同的配置方式可以達(dá)到相同的效果，具體設(shè)置可以根據(jù)相應(yīng)的需求設(shè)置。訪問(wèn)控制列表還有其他功能，例如禁止端口、協(xié)議等，在這里就不再詳細(xì)闡述。通過(guò)Packet Tracer仿真技術(shù)模擬實(shí)驗(yàn)，學(xué)生不但可以獨(dú)立完成整個(gè)實(shí)驗(yàn)過(guò)程，還避免了真實(shí)設(shè)備帶來(lái)的種種弊端，讓學(xué)生把所學(xué)理論知識(shí)應(yīng)用到實(shí)踐中，提高了學(xué)習(xí)興趣和效率。

［1］郭雅.計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)指導(dǎo)書(shū)[M].北京：電子工業(yè)出版社，2012.

［2］唐燈平.基于Packet Tracer的訪問(wèn)控制列表實(shí)驗(yàn)教學(xué)設(shè)計(jì)[J].長(zhǎng)沙通信職業(yè)技術(shù)學(xué)院學(xué)報(bào),2011,10(1):52-57.

［3］郭雅，李泗蘭.基于Packet Tracer仿真技術(shù)的校園網(wǎng)構(gòu)建技術(shù)研究[J].電腦知識(shí)與技術(shù),2012,8(12):2746-2749.