陈建锐

(湛江师范学院实验教学管理处，广东 湛江 524048)

访问控制列表配置仿真实验设计

陈建锐

(湛江师范学院实验教学管理处，广东 湛江 524048)

访问控制列表(access control list,ACL)是解决和提高网络安全性的方法之一。探讨了访问控制列表的基本概念及工作原理，针对该实验的教学要求与特点，运用Boson Netsim软件提供的虚拟平台进行实验教学设计，解决了当前网络实验室建设中的重要问题，提高了网络实验的教学质量。

Boson Netsim；访问控制列表；实验设计

访问控制是当前网络安全保护与防范的其中一种主要策略，其主要任务是使得网络资源不被非法使用和访问。路由器通过利用访问控制列表技术(aeeess control list，ACL)的安全特性来允许或拒绝报文通过，从而构建一个稳定有效、坚固安全的防御体系，既能抵御外部的攻击又能限制内部用户对外部的非法访问，大大提高了网络的安全性。

访问控制列表实验是网络实验课程必需理解掌握的一个重点，其难点在于对其配置和使用，过程中容易出现错误。在传统的实验环境中进行访问控制列表配置实验较为复杂，需要使用路由器、交换机、PC机、网线等多种硬件，而且对实验环境的搭建过程要求繁琐。现实中硬件设备与经费的不足常常制约了相关实验的开展［1］。针对以上存在问题，笔者利用Boson Netsim仿真软件构建了一个适合访问控制列表配置实验开展的仿真实验环境❶湛江师范学院自然科学研究青年项目(QL1114)。。

1 访问控制列表基本原理与类型

1.1访问控制列表基本原理

访问控制列表是对经过路由器的数据流进行判断、分类、过滤并分析其合法性的技术。包含源地址、目的地址、端口号等信息的语句的集合，每条语句称之为一个规则，由允许和拒绝语句组成的条件列表，将数据包信息与访问控制列表规则进行匹配比较，对到达的数据包执行允许或拒绝处理。据此能起到阻止非法用户对网络资源的正常访问，并可对特定的用户的访问权限进行限制，从而实现在路由器端口处决定哪种类型的通信流量被转发或被阻塞，以达到限制网络流量、提高网络性能的目的，实现对路由器和网络的安全控制。

1.2访问控制列表的基本类型

1)标准访问控制列表 一个标准访问控制列表匹配IP包中的源地址或源地址中的一部分，可对匹配的包采取拒绝或允许2个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。命令格式如下：

Access-list access-list-number {permit|deny} source［source-wildcard］

其中，access-list-number 访问控制列表号，标准为1-99，扩展为100-199；source表示源IP地址；source-wildcard表示通配符掩码，该掩码与子网掩码刚好相反，如掩码为：192.168.1.0 255.255.255.0 则通配符掩码写成：0.0.0.255。特别地，0.0.0.0 255.255.255.255 写成any，把192.168.1.1 0.0.0.0写成host 192.168.1.1(针对某一个主机)。当有多条访问控制条件时，采用同一列表号进行多次定义即可。

2)扩展访问控制列表 扩展访问控制列表比标准IP访问控制列表具有更多的匹配项，包括协议类型、源地址、目的地址、源端口、目的端口等。编号范围是从100到199的访问控制列表是扩展IP访问控制列表。命令格式如下：

其中，protocol用来标识协议类型；source ［source-wildcard］表示源IP地址及通配符掩码；destination ［destination-wildcard］为目标IP地址及通配符掩码；operator port为通讯的端口号，如eq80(http)、eq23(telnet)、eq25(smtp)、eq110(pop3)、eq20(ftp数据端口)、eq21(ftp控制端口)等。

2 Boson Netsim软件

Boson NetSim是一套由BosonNetwork Designer (实验拓扑图设计软件)和Boson NetSim(实验环境模拟器)2个部分组成的用于模拟Cisco路由器、交换机等的软件产品［4］。Boson Network Design 能根据实验的需要设计描绘出相应的拓扑图，能提供附带的样图予用户直接选定使用，用户也可以根据自己的思想设计所需的拓扑图。拓扑设计软件的主界面主要分为菜单栏、设备列表、设备信息和绘图区,菜单栏主要提供文件、设备的一些连接操作；设备列表则提供模拟的环境给用户进行使用,设备信息的主界面的设备区则列出了设备的参数,包括数目和型号；绘图区放置了各种设备的平台。

Boson NetSim 是模拟各种路由器、交换机搭建起来的实验环境。用户可以在此放入各种型号的路由器或交换机，观察实验结果,对运行的协议进行诊断等。Boson NetSim 主要分为菜单栏、工具栏和路由器(交换机)配置界面。菜单栏的前3个按钮主要是用来切换待配置的设备(路由器、交换机和工作站PC)。配置界面可以观察用户输入交换机、路由器配置命令,也观察交换机、路由器配置命令输出。

该软件提供了一个能够输入配置命令、验证理论和实例的环境。利用其仿真界面，学生根据实际情况可以自行定义各种网络拓扑结构和设备连接方式以搭建所需的网络实验环境。

3 访问控制列表配置实验

3.1实验目的与要求

①从实验角度来帮助理解路由器中重要的安全控制技术访问控制列表的工作原理；②对路由器IP访问控制列表ACL进行配置与监测，掌握标准访问控制列表和扩展访问控制列表的配置和使用方法；③掌握实验工具Boson Netsim模拟器的使用方法。

3.2实验拓扑结构

表1 PC机的IP地址和网关

图1 访问控制列表实验网络拓扑图

该实验设计在网络中模拟出PC机4台，操作系统为Windows2000 Professional；每台主机配置一个IP地址，模拟出Cisco路由器2台，分别为R1、R2；把PC机和路由器连接起来,配置路由器。启动Boson Network Designer，根据实验要求利用Boson Network Designer绘制实验拓扑结构图［6］，如图1所示。运行Boson NetSim，用File菜单中的Load NetMap命令把拓扑图map.top装入Boson进行配置。单击工具栏中的NetMap可以看到装入的拓扑图。为了达到实验目的，先进行IP地址规划，PC机的IP地址按表1进行配置。

用File菜单中的Load Sigle Device Config(merge)命令把R1.rtr、R2.rtr、PC1.rtr、PC2.rtr、PC3.rtr、PC4.rtr装入对应的设备。各设备的接口、IP地址、路由等都已经配置好了，各网络之间都已经可以通信了。

3.3实验设计与实现

1)标准访问控制列表的配置实验 ①实验配置内容。在路由器R1上配置标准访问控制列表(ACL)做到以下控制要求：(a)对网络192.168.1.0/24：拒绝来自网络10.1.1.0/24和10.1.2.0/24的访问；(b)对网络172.16.1.0/24：拒绝来自网络192.168.1.0/24中的IP地址为192.168.1.1-192.168.1.15的主机访问。配置完成后，用ping命令验证各PC机的通信情况。②配置路由器R1。进入全局配置模式：

R1>enable

R1#configure terminal

创建表号为1的访问控制列表：

R1(config)#access-list 1 deny 10.1.1.0 0.0.0.255

R1(config)#access-list 1 deny 10.1.2.0 0.0.0.255

R1(config)#access-list 1 permit any

创建表号为2的访问控制列表：

R1(config)#access-list 2 deny 192.168.1.0 0.0.0.15

R1(config)#access-list 2 permit any

把ACL1用于R1的E0口：

R1(config)#interface e0

R1(config-if)#ip access-group 1 out

R1(config-if)#exit

把ACL2用于R1的E1口：

R1(config)#interface e1

R1(config-if)#ip access-group 2 out

R1(config-if)#end

配置完成后，PC1与PC2、PC3、PC4均不通。PC2与PC1不通，但和PC3、PC4可通。如果把PC1的IP地址改为192.168.1.16，则PC1与PC2可通。

2)扩展访问控制列表的配置 ①配置内容。在路由器R1上配置扩展访问控制列表(ACL)做到以下控制要求：(a)只允许网段192.168.1.0/24访问主机10.1.1.1的WWW服务，拒绝其他网络服务；(b)只允许网段172.16.1.0/24访问主机10.1.1.1的TFTP服务，拒绝其他网络服务；(c)使主机PC1(192.168.1.1)不能访问主机PC4(10.1.2.1)的FTP功能，但其他可以访问。Boson软件不支持用表号的方式建立扩展访问控制列表，只能用命名的扩展访问控制列表进行定义。any关键字可以正常使用。如果在实验之前路由器上已经设置了标准访问列表,可用no ip access-group 1命令删除。②配置路由器R1。进入全局配置模式：

R1>enable

R1#configure terminal

创建名字为list101的访问控制列表：

R1(config)#ip access-list extended list101

R1(config-ext-nacl)#deny 192.168.1.0 0.0.0.255 host 10.1.1.1

R1(config-ext-nacl)#permit tcp 192.168.1.0 0.0.0.255 host 10.1.1.1 eq 80

R1(config-ext-nacl)#deny 172.16.1.0 0.0.0.255 host 10.1.1.1

R1(config-ext-nacl)# permit udp 172.16.1.0 0.0.0.255 host 10.1.1.1 eq 69

R1(config-ext-nacl)#deny ip host 192.168.1.1 host 10.1.2.1 eq 20

R1(config-ext-nacl)#deny ip host 192.168.1.1 host 10.1.2.1 eq 21

R1(config-ext-nacl)#permit ip any any

R1(config-ext-nacl)#exit

把list101用于R1的S0口：

R1(config)#interface s0

R1(config-if)#ip access-group list101 in

R1(config-if)#end

配置完成后，可用相关命令查看实验结果：可分别在PC1可以与PC3进行WWW连接，但不能执行其它类型的数据连接。PC2可以与PC3进行TFTP连接，但不能执行其它类型的数据连接。PC1不可以与PC3进行FTP连接，但能执行其它类型的数据连接。

3.4试验效果

通过以上试验可表明，在使用Boson Netsim软件搭建的仿真实验环境中能正常开展访问控制列表配置实验。构建该独立的实验环境能提供独立动手与思考的条件，能针对性的设计实验重点，在实验的过程中能有序的完成相关的技术配置，输入相关命令可方便直观的对比查看不同类型访问控制列表的工作情况，有助于清晰理解访问控制技术的原理与特点，实验教学效果明显。

4 结 语

Boson NetSim软件给计算机网络实验教学提供了一种有效的工具。笔者探讨了Boson NetSim 的特点与访问控制列表工作原理，提出的一种新的实验教学方案既符合计算机网络课程的要求，也切合实际的实验环境，在现有资源上开展更多的网络实验课程，节约资源，利于开展，管理方便，并能取得良好的实验教学效果，对推动实验室建设与实验课程的开展有明显的帮助。

［1］陈勇兵.路由器访问控制列表应用与实践［J］.实验技术与管理，2010，27(3)：92-93.

［2］李领治,陆建德.基于NetSim 的计算机网络实验教学方案［J］.实验技术与管理.2009，26(2)：150-153.

［3］王芳，韩国栋，李鑫．路由器访问控制列表及其实现技术研究［J］ .计算机工程与设计，2007,28(23): 5638-5639.

［4］陈建锐.基于Boson Netsim的网络地址转换实验教学设计［J］.实验室研究与探索，2010，26(8)：56-62.

［5］Saadat Malik.网络安全原理与实践［M］ .王宝生等译.北京：人民邮电出版社，2008：467-472.

［6］Steve McQuerry.CCNA学习指南：CISCO网络设备互连(ICND2)［M］.李祥瑞 译.北京：人民邮电出版社，2008.

［7］谢慧,聂峰.基于Boson Netsim的计算机网络仿真实验教学研究［J］.实验技术与管理，2007，24(5)：89-91.

10.3969/j.issn.1673-1409(N).2012.07.041

TP391.9

A

1673-1409(2012)07-N120-04

2012-02-24

陈建锐(1981-)，男，2004年大学毕业，硕士，实验师，现主要从事计算机与网络应用、实验教学与管理方面的研究工作。

［编辑］ 洪云飞