APP下载

基于Packet Tracer模拟软件配置路由器ACL

2011-01-11李晋超

长治学院学报 2011年2期
关键词:拓扑图访问控制列表

李晋超

(山西机电职业技术学院 信息与管理工程系,山西 长治 046011)

基于Packet Tracer模拟软件配置路由器ACL

李晋超

(山西机电职业技术学院 信息与管理工程系,山西 长治 046011)

文章简要地介绍了访问控制列表(Access Control Lists)的概念和技术以及Packet Tracer模拟软件的技术特性,较为详细地介绍了如何利用Packet Tracer模拟软件实现路由器标准IPACL和扩展IPACL配置,并验证配置结果。

Packet Tracer;路由器;标准IPACL;扩展IP ACL

1 引言

随着计算机网络技术的迅速发展,网络安全越来越受到人们的重视。交换机、路由器已经成为构建网络的主要设备。通过路由器建立访问控制列表,定义一些规则对网络设备接口上的数据报文进行控制,允许通过或丢弃,从而提高网络可管理性和安全性,是实现基本的网络安全手段之一。本文基于Packet Tracer模拟软件设计了由路由器、PC机等组成的网络拓扑图,在路由器上进行了标准IP访问控制列表配置和扩展IP访问控制列表配置,并在实际的网络设备上进行了实验验证。

2 Packet Tracer简介

Packet Tracer(简称PT)是由思科公司推出的一款Cisco路由器、交换机模拟软件。PT模拟软件比Boson功能强大,比Dynamips操作简单,用户可以利用提供的网络模拟环境进行设计、配置、排除网络故障,是学习组网、配置、协议分析不可或缺的好帮手。PT模拟软件支持大量的设备仿真模型:路由器、交换机、无线网络设备、服务器、各种连接电缆、终端等,还能仿真各种模块,这在实际实验设备中是无法配置齐全的[1];并可提供数据包在网络中行进的详细处理过程,观察网络实时运行情况。目前最新的版本是PT5.3,它支持VPN,AAA认证等高级配置。

3 访问控制列表(Access Control Lists)基本原理

访问控制列表称为ACL(Access Control Lists),俗称防火墙,在路由器上根据第三层或第四层包头中的信息、如源地址、目的地址、源端口以及上层协议等对数据包进行过滤。通过ACL可以实现以下功能:检查和过滤数据包、限制网络流量、提高网络性能、限制或减少路由更新的内容、提供网络访问的基本安全级别、控制用户网络行为、控制网络病毒的传播[2]。ACL种类很多,一般分为标准ACL、扩展ACL、命名 ACL、基于时间的 ACL、动态 ACL、自反ACL、基于上下文的访问控制(CBAC)等,根据不同的环境应使用不同种类的访问控制列表。

本文借助PT模拟软件进行标准IP ACL和扩展IPACL配置实验,其工作原理如下。

(1)标准IP访问控制列表。标准IP访问控制列表ACL编号范围为1~99,其作用为根据数据包的源地址对数据进行过滤,采取拒绝(deny)或允许(permit)两种操作。标准IP访问控制列表的基本格式为:access-list[list number][permit|deny][host/any][sourceaddress][wildcard-mask][log]。

(2)扩展IP访问控制列表。扩展IP访问控制列表ACL编号范围为100~199,可以处理更多的匹配项,包括协议类型、源地址、目的地址、源端口、目的端口等,根据这些匹配项对数据包进行过滤,采取拒绝或允许两种操作。扩展的IP访问控制列表的一般语法格式如下:access-list[list number][permit|deny][protocol][源主机范围][源端口][目的主机范围][目的端口][其他选项]。

3.1 配置标准IP访问控制列表

(1)参照标准IP访问控制列表配置拓扑图(图1)和参数配置表(表1)配置各路由器的端口及PC机。

图1 标准IP访问控制列表配置拓扑图

(2)分别对Router0和Router1进行静态路由配置并且查看其路由表。

(3)验证PC0与PC2、PC1与PC3是否能够通信。

在 PC0 上运行 ping 192.168.4.2(success)

在 PC1 上运行 ping 192.168.5.2(success)

(4)在路由器Router0上配置标准IP ACL,实现PC0与PC2能够正常通信,但PC1与PC3不能通信的实验效果。

表1 参数配置表

(5)经过测试,结果显示配置标准IP ACL实验成功。

在PC0上运行ping 192.168.4.2(success)

在PC1上运行ping 192.168.5.2(Reply from 192.168.2.1:Destination host unreachable)3.2 配置扩展IP访问控制列表

(1)参照扩展IP访问控制列表配置拓扑图(图2)和参数配置表(表2)配置各路由器的端口及PC机。

图2 扩展IP访问控制列表配置拓扑图

表2 参数配置表

(2)在各路由器上配置静态路由协议,使PC0与PC1能相互通信,因为只有在互通的前提下才涉及到访问控制列表。

(3)在PC0上验证能否与PC1通信,能否通过PC0的Web浏览器访问PC1。

在 PC0 上运行 ping 192.168.4.2(success)

在PC0上运行Web浏览器:http://192.168.4.2(success)

(4)在Router1上配置扩展IP ACL,实现PC0能够通过浏览器访问PC1,但PC0不能与PC1通信的实验效果。

(5)经过测试,结果显示配置扩展IP ACL实验成功。

在 PC0上运行 ping 192.168.4.2(Reply from 192.168.2.2:Destination host unreachable)

在PC0上运行Web浏览器:http://192.168.4.2(success)

4 结束语

通过PT模拟软件实现了标准IP ACL和扩展IP ACL配置实验,对配置前后的结果进行了测试,并在实际的网络设备上进行了验证,证明基于PT模拟软件配置路由器ACL是可行的。利用PT模拟软件进行网络实验,不仅加深了对相关知识的理解,也提高了工程实践能力,具有广泛推广价值。

[1]窦琨,赵海丽,马国泰.用Packet Tracer模拟软件提高《网络互联技术》实验教学效果[J].电脑知识与技术,2009,(36):10476-10477.

[2]吴刚.Cisco路由器 ACL 剖析[J].计算机安全,2010,(9):91-94.

[3]王东,秦品乐,林焰.计算机网络工程实践教程[M].大连:大连理工大学出版社,2010.

[4]崔北亮.CCNA 认证指南(640-802)[M].北京:电子工业出版社,2009.

TP393

A

1673-2014(2011)02-0064-04

2011—01—10

李晋超(1983— ),男,山西长治人,助教,硕士,主要从事计算机理论与教学研究。

猜你喜欢

拓扑图访问控制列表
低压配网拓扑图自动成图关键技术的研究与设计
简单拓扑图及几乎交错链环补中的闭曲面
学习运用列表法
扩列吧
基于含圈非连通图优美性的拓扑图密码
ONVIF的全新主张:一致性及最访问控制的Profile A
动态自适应访问控制模型
浅析云计算环境下等级保护访问控制测评技术
大数据平台访问控制方法的设计与实现
列表画树状图各有所长