郭 雅 李泗兰

（1.华南师范大学增城学院 广东 广州 511363；2.惠州市科技职业技术学校 广东 惠州 516001）

0 引言

随着计算机和网络技术的高速发展，网络规模日益庞大，网络中的安全问题也日趋严重。安全采用的技术很多，访问控制列表（ACL）是实现基本的网络安全的手段之一。初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机如2960之类也开始提供ACL的支持。只不过支持的特性不是那么完善而已。

访问控制列表技术是高校计算机网络专业学生必须掌握的实验内容，但由于高校投入资金少，购置交换机、路由器等网络设备还不能满足学生的需求，学生实际操作机会少。这就使得学生在学习理论知识时感觉抽象难懂。利用Packet Tracer模拟软件实现三层交换访问控制列表实验，能达到很好的教学效果。

1 ACL基本原理与类型

1.1 ACL技术的基本原理

访问控制列表是使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

ACL中规定了两种操作，所有的应用都是围绕这两种操作来完成的：允许、拒绝。ACL主要用于对入站数据、出站数据、被路由器中继的数据进行控制。

1.2 ACL 技术的类型

访问控制列表大体划分为两类：标准访问控制列表和扩展访问控制列表，他们的命令都具有基本格式：Access-list-number{permit/deny}match-condition。

1）标准ACL。其编号一般为1～99之间的整数值。标准的访问控制列表只根据分组内的源地址进行过滤，占用路由器资源较少，应用比较广泛，但是控制级别较低。

2）扩展ACL。其编号一般为101～199之间的整数值。扩展访问控制列表不仅可以检查数据包的源地址，还可以检查数据包的目的地址、协议类型和TCP/UDP协议族的端口号，具有更大的灵活性和可扩充性。但是扩展ACL会消耗大量的路由器CPU资源，一般来说中低档路由器还是使用标准访问控制列表比较有效。

2 利用PT模拟三层交换访问控制列表实验

2.1 实验目的

1）理解访问控制列表的作用；

2）掌握访问控制列表的配置和使用方法。

2.2 实验拓扑图设计

图1 网络拓扑结构图

2.3 实验设计与实现

根据图1网络拓扑图结构，需规划好vlan和IP地址，详细参考表1。对于如何划分vlan、接口如何划分到相应接口、PC机及服务器IP地址的设置等，在这里就不详细阐述。配置完需要测试，保证PC1、PC2、Server1、Server2都能互通才能做访问控制列表实验。

表1 IP地址表

2.3.1 标准访问控制列表实验

实验要求：PC1只能访问Server1主机、Server2网络。PC2不能访问Server1主机，可以访问Server2网络。

配置步骤如下：

2.3.2 实验效果验证

在PC1上测试ping服务器1和服务器2，结果是能ping通，其他不能ping通。PC2不能ping通服务器1，能ping通服务器2，配置符合实验要求。

2.3.3 扩展访问控制列表实验

实验要求：PC1只能访问Server1主机、Server2网络。PC2不能访问Server1主机，可以访问Server2网络。

配置步骤如下：

2.3.4 实验效果验证

在PC1上测试ping服务器1和服务器2，结果是能ping通，其他不能ping通。PC2不能ping通服务器1，能ping通服务器2，配置符合实验要求。

3 结语

从上实验可以看出，访问控制列表用不同的配置方式可以达到相同的效果，具体设置可以根据相应的需求设置。访问控制列表还有其他功能，例如禁止端口、协议等，在这里就不再详细阐述。通过Packet Tracer仿真技术模拟实验，学生不但可以独立完成整个实验过程，还避免了真实设备带来的种种弊端，让学生把所学理论知识应用到实践中，提高了学习兴趣和效率。

［1］郭雅.计算机网络实验指导书[M].北京：电子工业出版社，2012.

［2］唐灯平.基于Packet Tracer的访问控制列表实验教学设计[J].长沙通信职业技术学院学报,2011,10(1):52-57.

［3］郭雅，李泗兰.基于Packet Tracer仿真技术的校园网构建技术研究[J].电脑知识与技术,2012,8(12):2746-2749.