李晋超

（山西机电职业技术学院 信息与管理工程系，山西 长治 046011）

基于Packet Tracer模拟软件配置路由器ACL

李晋超

（山西机电职业技术学院 信息与管理工程系，山西 长治 046011）

文章简要地介绍了访问控制列表（Access Control Lists）的概念和技术以及Packet Tracer模拟软件的技术特性，较为详细地介绍了如何利用Packet Tracer模拟软件实现路由器标准IPACL和扩展IPACL配置，并验证配置结果。

Packet Tracer；路由器；标准IPACL；扩展IP ACL

1 引言

随着计算机网络技术的迅速发展，网络安全越来越受到人们的重视。交换机、路由器已经成为构建网络的主要设备。通过路由器建立访问控制列表，定义一些规则对网络设备接口上的数据报文进行控制，允许通过或丢弃，从而提高网络可管理性和安全性，是实现基本的网络安全手段之一。本文基于Packet Tracer模拟软件设计了由路由器、PC机等组成的网络拓扑图，在路由器上进行了标准IP访问控制列表配置和扩展IP访问控制列表配置，并在实际的网络设备上进行了实验验证。

2 Packet Tracer简介

Packet Tracer（简称PT）是由思科公司推出的一款Cisco路由器、交换机模拟软件。PT模拟软件比Boson功能强大，比Dynamips操作简单，用户可以利用提供的网络模拟环境进行设计、配置、排除网络故障，是学习组网、配置、协议分析不可或缺的好帮手。PT模拟软件支持大量的设备仿真模型:路由器、交换机、无线网络设备、服务器、各种连接电缆、终端等，还能仿真各种模块，这在实际实验设备中是无法配置齐全的[1]；并可提供数据包在网络中行进的详细处理过程，观察网络实时运行情况。目前最新的版本是PT5.3，它支持VPN，AAA认证等高级配置。

3 访问控制列表（Access Control Lists）基本原理

访问控制列表称为ACL（Access Control Lists），俗称防火墙，在路由器上根据第三层或第四层包头中的信息、如源地址、目的地址、源端口以及上层协议等对数据包进行过滤。通过ACL可以实现以下功能：检查和过滤数据包、限制网络流量、提高网络性能、限制或减少路由更新的内容、提供网络访问的基本安全级别、控制用户网络行为、控制网络病毒的传播[2]。ACL种类很多，一般分为标准ACL、扩展ACL、命名 ACL、基于时间的 ACL、动态 ACL、自反ACL、基于上下文的访问控制（CBAC）等，根据不同的环境应使用不同种类的访问控制列表。

本文借助PT模拟软件进行标准IP ACL和扩展IPACL配置实验，其工作原理如下。

（1）标准IP访问控制列表。标准IP访问控制列表ACL编号范围为1～99，其作用为根据数据包的源地址对数据进行过滤，采取拒绝（deny）或允许（permit）两种操作。标准IP访问控制列表的基本格式为：access-list[list number][permit|deny][host/any][sourceaddress][wildcard-mask][log]。

（2）扩展IP访问控制列表。扩展IP访问控制列表ACL编号范围为100～199，可以处理更多的匹配项，包括协议类型、源地址、目的地址、源端口、目的端口等，根据这些匹配项对数据包进行过滤，采取拒绝或允许两种操作。扩展的IP访问控制列表的一般语法格式如下：access-list[list number][permit|deny][protocol][源主机范围][源端口][目的主机范围][目的端口][其他选项]。

3.1 配置标准IP访问控制列表

（1）参照标准IP访问控制列表配置拓扑图（图1）和参数配置表（表1）配置各路由器的端口及PC机。

图1 标准IP访问控制列表配置拓扑图

（2）分别对Router0和Router1进行静态路由配置并且查看其路由表。

（3）验证PC0与PC2、PC1与PC3是否能够通信。

在 PC0 上运行 ping 192.168.4.2（success）

在 PC1 上运行 ping 192.168.5.2（success）

（4）在路由器Router0上配置标准IP ACL，实现PC0与PC2能够正常通信，但PC1与PC3不能通信的实验效果。

表1 参数配置表

（5）经过测试，结果显示配置标准IP ACL实验成功。

在PC0上运行ping 192.168.4.2（success）

在PC1上运行ping 192.168.5.2（Reply from 192.168.2.1:Destination host unreachable）3.2 配置扩展IP访问控制列表

（1）参照扩展IP访问控制列表配置拓扑图（图2）和参数配置表（表2）配置各路由器的端口及PC机。

图2 扩展IP访问控制列表配置拓扑图

表2 参数配置表

（2）在各路由器上配置静态路由协议，使PC0与PC1能相互通信，因为只有在互通的前提下才涉及到访问控制列表。

（3）在PC0上验证能否与PC1通信，能否通过PC0的Web浏览器访问PC1。

在 PC0 上运行 ping 192.168.4.2（success）

在PC0上运行Web浏览器：http：//192.168.4.2（success）

（4）在Router1上配置扩展IP ACL，实现PC0能够通过浏览器访问PC1，但PC0不能与PC1通信的实验效果。

（5）经过测试，结果显示配置扩展IP ACL实验成功。

在 PC0上运行 ping 192.168.4.2（Reply from 192.168.2.2:Destination host unreachable）

在PC0上运行Web浏览器：http：//192.168.4.2（success）

4 结束语

通过PT模拟软件实现了标准IP ACL和扩展IP ACL配置实验，对配置前后的结果进行了测试，并在实际的网络设备上进行了验证，证明基于PT模拟软件配置路由器ACL是可行的。利用PT模拟软件进行网络实验，不仅加深了对相关知识的理解，也提高了工程实践能力，具有广泛推广价值。

［1］窦琨，赵海丽，马国泰.用Packet Tracer模拟软件提高《网络互联技术》实验教学效果［J］.电脑知识与技术，2009，（36）：10476-10477.

［2］吴刚.Cisco路由器 ACL 剖析［J］.计算机安全，2010，（9）：91-94.

［3］王东，秦品乐，林焰.计算机网络工程实践教程［M］.大连：大连理工大学出版社，2010.

［4］崔北亮.CCNA 认证指南（640-802）［M］.北京：电子工业出版社，2009.

TP393

A

1673-2014（2011）02-0064-04

2011—01—10

李晋超（1983— ），男，山西长治人，助教，硕士，主要从事计算机理论与教学研究。