訪問控制列表技術(shù)的實(shí)驗(yàn)仿真設(shè)計與實(shí)現(xiàn)

曹園青

（河套學(xué)院數(shù)學(xué)與計算機(jī)系，巴彥淖爾015000）

0 引言

訪問控制列表技術(shù)作為一種關(guān)鍵的網(wǎng)絡(luò)空間安全防護(hù)技術(shù)，不僅被廣泛應(yīng)用于校園和企業(yè)的組網(wǎng)工程領(lǐng)域，還是防止網(wǎng)絡(luò)安全事件發(fā)生的有力手段[1]。此外，訪問控制列表技術(shù)也是高校計算機(jī)、網(wǎng)絡(luò)、云計算、大數(shù)據(jù)和物聯(lián)網(wǎng)等專業(yè)基礎(chǔ)課程的核心知識點(diǎn)，隨著近些年實(shí)踐型應(yīng)用人才培養(yǎng)的教學(xué)改革在我國的不斷推進(jìn)，新的培養(yǎng)計劃對學(xué)生網(wǎng)絡(luò)實(shí)踐技能的要求越來越高，如何培養(yǎng)學(xué)生運(yùn)用訪問控制列表技術(shù)解決實(shí)踐應(yīng)用問題成為熱點(diǎn)。

為此，國內(nèi)關(guān)于訪問控制列表技術(shù)在計算機(jī)課程中的實(shí)驗(yàn)教學(xué)研究從未止步，如網(wǎng)絡(luò)課堂的實(shí)驗(yàn)教學(xué)改革、基于模擬器的虛擬化實(shí)驗(yàn)室的研究、虛實(shí)結(jié)合網(wǎng)絡(luò)教學(xué)平臺的設(shè)計、網(wǎng)絡(luò)仿真工具在組網(wǎng)工程中的應(yīng)用案例研究、ACL 在企業(yè)園區(qū)網(wǎng)絡(luò)中的應(yīng)用、訪問控制列表技術(shù)在高校網(wǎng)絡(luò)安全機(jī)制中的實(shí)踐研究、基于訪問控制列表技術(shù)的流量控制和軟件防火墻技術(shù)等，此外，還有很多利用ACL 技術(shù)防范網(wǎng)絡(luò)攻擊（如勒索病毒、蠕蟲病毒）的研究[2]。

但是，在傳統(tǒng)的網(wǎng)絡(luò)實(shí)驗(yàn)室，由于學(xué)校的經(jīng)費(fèi)有限，不能滿足每位學(xué)生做網(wǎng)絡(luò)實(shí)驗(yàn)的儀器設(shè)備需求，實(shí)驗(yàn)設(shè)備的數(shù)量和質(zhì)量無法滿足要求[3]，從而造成了訪問控制列表等網(wǎng)絡(luò)技術(shù)實(shí)驗(yàn)的可操作性差、可驗(yàn)證性差和可研究性差，最終導(dǎo)致實(shí)驗(yàn)效率低下，但模擬仿真工具就可以很好地彌補(bǔ)網(wǎng)絡(luò)實(shí)驗(yàn)室的缺點(diǎn)，基于Cisco Packet Tracer 仿真器的ACL 實(shí)驗(yàn)設(shè)計，既能創(chuàng)造條件讓學(xué)生親自動手做訪問控制列表實(shí)驗(yàn)，又能增強(qiáng)學(xué)生對訪問控制列表技術(shù)的理解和運(yùn)用，取得更好的教學(xué)效果。

1 訪問控制列表技術(shù)

訪問控制列表技術(shù)，又稱為軟件防火墻技術(shù)，是一種路由器的配置腳本，也是包過濾技術(shù)典型代表[4]，它的工作機(jī)制是通過讀取經(jīng)過自己的數(shù)據(jù)包的報文頭部的信息來決策是允許還是拒絕數(shù)據(jù)包的通過。通過在諸如路由器和三層網(wǎng)絡(luò)物理設(shè)備上實(shí)施訪問控制列表的網(wǎng)絡(luò)安全軟件加固策略，可以實(shí)現(xiàn)流經(jīng)路由器和三層交換機(jī)的數(shù)據(jù)進(jìn)行包過濾，從而達(dá)到網(wǎng)絡(luò)安全控制的目的，但訪問控制列表對路由器本身產(chǎn)生的數(shù)據(jù)包不起作用[5]。

1.1 訪問控制列表工作機(jī)制

當(dāng)激活關(guān)聯(lián)有ACL 的端口后，網(wǎng)絡(luò)互聯(lián)設(shè)備就自發(fā)依據(jù)訪問控制列表里設(shè)置好的包過濾規(guī)則，將出入端口的數(shù)據(jù)包實(shí)施特性匹配，在數(shù)據(jù)包的匹配過程中，指令的執(zhí)行順序是自上而下的，并在邏輯上進(jìn)行檢查和處理，如果數(shù)據(jù)包的某一個特征信息與訪問控制列表中的某條規(guī)則不匹配，則繼續(xù)檢查和匹配緊接的下一條規(guī)則，直到最后執(zhí)行隱含的規(guī)則，訪問控制列表技術(shù)的執(zhí)行流程原理圖如圖1 所示。

圖1 訪問控制列表過濾數(shù)據(jù)包流程

路由器在默認(rèn)情況下是沒有配置訪問控制列表技術(shù)的，從而不進(jìn)行包過濾，即全部放行流經(jīng)自己的數(shù)據(jù)，這種情況下，數(shù)據(jù)包進(jìn)入路由器后只會匹配路由表項(xiàng)進(jìn)行下跳路由，進(jìn)入下個網(wǎng)段。

1.2 訪問控制列表作用

（1）對流量進(jìn)行限制，提高網(wǎng)絡(luò)性能。例如學(xué)校內(nèi)網(wǎng)不允許學(xué)生宿舍在傳輸流媒體，那么就應(yīng)該配置和應(yīng)用訪問控制列表技術(shù)禁止學(xué)生網(wǎng)段使用流媒體，這樣就可以明顯緩解網(wǎng)絡(luò)負(fù)載壓力；

（2）進(jìn)行流量控制。訪問控制列表可以限制路由更新信息在內(nèi)網(wǎng)進(jìn)行洪泛，即內(nèi)網(wǎng)狀態(tài)信息無變化，就不需要更新，從而節(jié)約網(wǎng)絡(luò)帶寬；

（3）控制網(wǎng)絡(luò)訪問行為。訪問控制列表技術(shù)可以限制某臺主機(jī)訪問一個網(wǎng)段，同時也能允許其他主機(jī)訪問這個網(wǎng)段。如圖2 所示。

（4）限制路由器端口轉(zhuǎn)發(fā)流量類型。例如，訪問控制列表技術(shù)可以允許SMTP 電子郵件協(xié)議，但放行HTTPS 安全網(wǎng)頁訪問報文。

圖2 ACL控制不同的數(shù)據(jù)流通過網(wǎng)絡(luò)

1.3 訪問控制列表分類

（1）標(biāo)準(zhǔn)訪問控制列表（Standard IP ACL）

標(biāo)準(zhǔn)訪問控制列表對數(shù)據(jù)包的源IP 地址進(jìn)行檢查，當(dāng)數(shù)據(jù)包流入網(wǎng)絡(luò)設(shè)備后進(jìn)行包頭IP 地址解析，若匹配成功，則采取處理動作，“允許”或“拒絕”。

針對標(biāo)準(zhǔn)訪問控制列表進(jìn)行編號時，使用1～99 的編碼范圍來命名，也即最多可以編制100 條規(guī)則。創(chuàng)建標(biāo)準(zhǔn)ACL 的語法如下：

Router（config）#access-list access-list-number{permit|deny}source[souce-wildcard]

（2）擴(kuò)展訪問控制列表（Extended IP ACL）

擴(kuò)展型訪問控制列表對于數(shù)據(jù)包過濾的精細(xì)程度，要遠(yuǎn)高于標(biāo)準(zhǔn)型訪問控制列表，即數(shù)據(jù)包檢查功能更加強(qiáng)大，除了對數(shù)據(jù)包中的源IP 地址進(jìn)行檢測，而后進(jìn)行更細(xì)致的數(shù)據(jù)包特征檢測，如源端口，目的端口、目的地址、協(xié)議類型，并用上述特性進(jìn)行數(shù)據(jù)包屬性匹配。

擴(kuò)展訪問控制列表使用的編碼范圍是100～199 標(biāo)識，區(qū)別同一接口上的多條列表，創(chuàng)建擴(kuò)展ACL 語法如下：

Router（config）#access-list access-list-number{permit|deny} protocol {source souce- wildcard destination destinationwildcard}[operator operan]

（3）命名型訪問控制列表

用字符串來標(biāo)識不同規(guī)則條目的網(wǎng)絡(luò)安全技術(shù)稱之為命名型訪問控制列表技術(shù)，與標(biāo)準(zhǔn)和擴(kuò)展的編碼型訪問控制列表技術(shù)不同，命名型訪問控制列表技術(shù)突破了條數(shù)的限制且便于管理員記憶，它可以解決訪問控制列表超過限度溢出問題，也可以解決修改一條規(guī)則需要取消全部規(guī)則的缺陷。命名型訪問控制列表技術(shù)也分為標(biāo)準(zhǔn)型和擴(kuò)展型兩種，語句的指令格式與編號型訪問控制列表類似。

2 網(wǎng)絡(luò)模擬仿真工具

網(wǎng)絡(luò)模擬仿真工具可以直接安裝在計算機(jī)機(jī)房的電腦上，無需花銷大量經(jīng)費(fèi)購買昂貴的網(wǎng)絡(luò)實(shí)驗(yàn)設(shè)備，可以不依賴實(shí)驗(yàn)環(huán)境進(jìn)行網(wǎng)絡(luò)技術(shù)的學(xué)習(xí)和研究，從而能夠提高實(shí)驗(yàn)效率，增強(qiáng)教學(xué)效果。目前，計算機(jī)領(lǐng)域比較主流的網(wǎng)絡(luò)模擬仿真工具有三種，分別是由Galaxy Technologies 公司研發(fā)的GNS3、華為公司開發(fā)的eNSP 和Cisco 公司研發(fā)的Cisco Packet Tracer，三款軟件的優(yōu)缺點(diǎn)對比如表1 所示。

表1 三種模擬仿真工具對比

綜合考慮，Cisco Packet Tracer 更適合作為網(wǎng)絡(luò)初學(xué)者的學(xué)生，它既對機(jī)房的電腦配置要求不高，又便于學(xué)生自由搭建組網(wǎng)拓?fù)浜蛯W(wǎng)絡(luò)協(xié)議進(jìn)行實(shí)時解析，還利于教師進(jìn)行實(shí)驗(yàn)指導(dǎo)和模擬結(jié)果反饋，是一款網(wǎng)絡(luò)知識實(shí)踐課堂的絕佳教學(xué)輔助工具。下面便用這款軟件進(jìn)行實(shí)驗(yàn)設(shè)計。

3 模擬實(shí)驗(yàn)設(shè)計

3.1 實(shí)驗(yàn)意義和內(nèi)容

之所以設(shè)計訪問控制列表技術(shù)模擬實(shí)驗(yàn)，主要意義有：首先，加強(qiáng)了學(xué)生對ACL 的實(shí)驗(yàn)?zāi)芰蛯χR的掌握程度；其次，讓學(xué)生們更加靈活地把訪問控制列表包過濾技術(shù)運(yùn)用熟練；再次，達(dá)到預(yù)期的網(wǎng)絡(luò)實(shí)驗(yàn)課程教學(xué)效果。

設(shè)計一個基于Cisco Packet Tracer 模擬器的ACL包過濾技術(shù)的綜合性仿真實(shí)驗(yàn)，實(shí)驗(yàn)中包含了標(biāo)準(zhǔn)ACL、擴(kuò)展ACL 和命名型ACL 三種技術(shù)，讓學(xué)生由易到難地掌握包過濾知識。

實(shí)驗(yàn)步驟：

（1）打開Cisco Packet Tracer 模擬器，完成組網(wǎng)拓?fù)涞睦L制；

（2）基本網(wǎng)絡(luò)參數(shù)和動態(tài)路由的設(shè)置，完成網(wǎng)絡(luò)連通性測試；

（3）根據(jù)實(shí)驗(yàn)需求1，配置標(biāo)準(zhǔn)型ACL 并進(jìn)行結(jié)果驗(yàn)證；

（4）根據(jù)實(shí)驗(yàn)需求2，配置擴(kuò)展型ACL 并進(jìn)行結(jié)果驗(yàn)證；

（5）根據(jù)實(shí)驗(yàn)需求3，配置命名型ACL 并進(jìn)行結(jié)果驗(yàn)證。

3.2 實(shí)驗(yàn)組網(wǎng)拓?fù)?/h3>

組網(wǎng)拓?fù)涫怯? 臺C2811 路由器，4 臺C2950 二層交換機(jī)和4 個客戶端PC 構(gòu)成，為了模擬真實(shí)組網(wǎng)環(huán)境下的DCE 和DTE 串口，每個路由器都手動添加了NM-8A/S 型號的擴(kuò)展板卡，新增了8 個串口。路由器之間用帶有DCE 時鐘頻率信號的串口線連接，其他連線均為直通雙絞線。組網(wǎng)拓?fù)淙鐖D3 所示，其中，IP 地址規(guī)劃和端口信息在拓?fù)鋱D中均已標(biāo)出。

圖3 ACL實(shí)驗(yàn)組網(wǎng)拓?fù)?/p>

3.3 基本組網(wǎng)配置

在客戶端PC 將IP 地址配置好后，配置每個路由器的接口IP 地址，對于DCE 端還要配置時鐘頻率。此外，為了保證每個網(wǎng)段可互訪，需要在路由器上配置OSPF 動態(tài)路由協(xié)議，由于篇幅有限，以Router1 為例的配置如下：

網(wǎng)絡(luò)連通性測試，在Router3 中輸入show ip route指令查看路由信息，如圖4 所示，不難看出，R3 的5 個非直連網(wǎng)段均出現(xiàn)在了路由信息里，表明網(wǎng)絡(luò)的所有PC 均可互ping 通。

圖4 Router3的路由信息

3.4 標(biāo)準(zhǔn)訪問控制列表實(shí)驗(yàn)

實(shí)驗(yàn)需求：拒絕PC0 所在的192.168.1.0 網(wǎng)段訪問PC2 所在的192.168.3.0 網(wǎng)段。

經(jīng)分析，這個標(biāo)準(zhǔn)ACL 加在R2 的Fa0/2 口out 方向?yàn)橐?，配置指令如下：?jīng)測試，發(fā)現(xiàn)PC1 和PC3 可以ping 通PC2，但PC0 不行，測試結(jié)果如圖5 所示（以PC3 為例）。

圖5 標(biāo)準(zhǔn)ACL實(shí)驗(yàn)測試結(jié)果

3.5 擴(kuò)展訪問控制列表實(shí)驗(yàn)

實(shí)驗(yàn)需求：拒絕PC0（192.168.1.2）通過telnet 遠(yuǎn)程管理Router3 的管理地址192.168.4.1。

經(jīng)分析，這個擴(kuò)展ACL 應(yīng)加在Router0 的Fa0/0 口的in 方向，配置如下：

（1）在Router3 上配置telnet 服務(wù)：

（2）在Router0 上配置擴(kuò)展ACL：

通過實(shí)驗(yàn)結(jié)果測試，除了PC0，其它PC 均可通過telnet 遠(yuǎn)程訪問Router3 的管理地址192.168.4.1，測試結(jié)果如圖6 所示（以PC1 為例）。

3.6 命名型訪問控制列表實(shí)驗(yàn)

實(shí)驗(yàn)需求：拒絕主機(jī)PC1（192.168.2.2）ping 通主機(jī)PC3（192.168.4.2）。

經(jīng)分析，需在Router1 上配置命名型擴(kuò)展ACL，應(yīng)用到Fa0/0 的in 方向，配置如下：

圖6 擴(kuò)展ACL實(shí)驗(yàn)測試結(jié)果

經(jīng)測試，除了PC1，其它PC 均可ping 通PC3，測試結(jié)果如圖7 所示（以PC2 為例）：

圖7 命名型ACL實(shí)驗(yàn)測試結(jié)果

4 結(jié)語

結(jié)合仿真實(shí)驗(yàn)學(xué)習(xí)了訪問控制列表包過濾技術(shù)主要分類的基本原理，體現(xiàn)出了高等院校計算機(jī)網(wǎng)絡(luò)類課程在訪問控制列表技術(shù)實(shí)驗(yàn)?zāi)芰ε囵B(yǎng)方面的特點(diǎn)?；贑isco Packet Tracer 模擬仿真平臺，設(shè)計了結(jié)合標(biāo)準(zhǔn)型、擴(kuò)展型和命名型訪問控制列表三種技術(shù)的綜合性實(shí)驗(yàn)，模擬了工程案例中的真實(shí)場景，讓學(xué)生對訪問控制列表技術(shù)的掌握程度更加的熟練，實(shí)驗(yàn)設(shè)計在實(shí)驗(yàn)教學(xué)里有特別重要的實(shí)驗(yàn)教學(xué)價值，能提高學(xué)生理論結(jié)合實(shí)踐的綜合素質(zhì)，對高校網(wǎng)絡(luò)類專業(yè)課程體系的發(fā)展和改革具有深遠(yuǎn)的意義。