张波

摘要：针对网络实验室内设备不足，不便于学生开展网络实验的问题，本文描述了利用Packet Tracer仿真模拟软件开展配置IP访问控制列表的意义，详细介绍了开展配置访问控制列表的实验原理、实验项目设计、实验技能的拓展。帮助学生理解访问控制列表的功能，掌握其配置方法，并应用于实践中去。

关键词：实验教学；访问控制列表；流量控制；网络安全

中图分类号：TP309 文献标识码：A 文章编号：1009-3044（2016）27-0046-03

1 引言

网络时代的高速发展，对网络的安全性也越来越高，企业内部可能存在不同网段计算机访问许可不同，服务器拒绝收到某种服务信息流量等问题。通过配置路由器中访问控制列表，可以控制网络流量，按规则过滤数据报文，实现访问许可，并帮助企业内部网络制定相关策略，描述安全功能，反映流量的优先级，提高网络的安全性[1]。配置访问控制列表是《构建中小型企业网络》课程中重要内容，需要掌握路由器基本配置的基础知识。

Packet Tracer是思科发布的一款网络辅助学习软件，它可以模拟设计网络结构，配置网络仿真环境，排除网络故障，整个界面和网络环境真实再现。Packet Tracer解决了学校网络实验室内设备不足，减轻了教学负担的问题，有利于培养学生的网络学习兴趣[2]。

2 实验原理

IP访问控制列表是应用在路由器接口的指令列表，可分为标准IP访问控制列表和扩展IP访问控制列表。标准IP访问控制列表检查路由数据包的源地址，从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。扩展IP访问控制列表既检查数据包的源地址，也检查数据包的目的地址，还检查数据包的特定协议类型、端口号等。扩展访问控制列表可以对同一地址允许使用某些协议通信流量通过，而拒绝使用其他协议的流量通过[3]。

通过灵活地增加访问控制列表，达到过滤流入和流出路由器接口的数据包，限制网络流量，提高网络性能，起到网络访问的基本安全作用。

3 实验项目设计

3.1 实验目标

（1）理解标准IP访问控制列表的原理及功能；

（2）掌握命名的标准IP访问控制列表的配置方法；

（3）理解扩展IP访问控制列表的原理及功能；

（4）掌握编号的扩展IP访问控制列表的配置方法。

3.2 实验任务描述

某公司下设经理室、销售部、财务部，另外架设了公司的Web服务器，各部门分别属于不同的网段，具体见图1 网络拓扑图。考虑财务处存放有重要的账套信息，保证服务器安全，领导要求实现：

任务一 销售部不能访问财务部，但经理室可以访问财务部；

任务二.各部门主机只能访问服务器的WWW服务，不能对其使用ICMP服务。

3.3 实验设计

1）实验步骤分析

为实现任务目标，需要依次完成（1）在Packet Tracer仿真平台中搭建网络物理环境，考虑减少实验复杂性，这里仅选用了三台路由器、三台电脑、一台服务器；（2）给各个端口分配IP地址，其中IP规划设计如表1所示；（3）配置路由，保证PC之间、PC到服务器间网络畅通，仅畅通后才能实验允许或拒绝服务，测试网络连通性；（4）配置标准IP访问控制列表，实现任务一；（5）配置扩展IP访问控制列表，实现任务二；（6）测试实验结果。

2）实验关键指令

（1）路由配置指令

R1路由配置：

R1（config）#route ospf 1

R1 （config-router）#network 192.168.1.0 0.0.0.255 area 0

R1 （config-router）#network 192.168.2.0 0.0.0.255 area 0

R1 （config-router）#network 192.168.3.0 0.0.0.255 area 0

依次配置R2、R3，分别用PC2电脑ping PC3和Web服务器，测试网络整体连通性，并用WEB浏览器访问WEB服务器，测试结果如图2所示，显示网络畅通：

（2）配置标准IP访问控制列表命令

标准IP访问控制列表可以实现允许或拒绝来自某一网段完整协议，可以帮助我们实现PC1可以与PC3通信，但是不允许PC2与PC3通信。考虑PC1、PC2、PC3都要访问WEB服务器，只有在R2的F0/0端口宣告应用。关键命令如下：

R2（config）#Iip access-list standed SYZS //创建名称为SYZS的访问列表

R2（config-std-nacl）#permit 192.168.1.0 0.0.0.255 //允许192.168.1.0网段数据包通行

R2（config-std-nacl）#deny 192.168.2.0 0.0.0.255 //丢弃192.168.2.0网段数据包

R2（config-std-nacl）#permit any //允许其他网段数据包通行

R2（config-std-nacl）#exit

R2（config）#int f0/0

R2（config-if）#ip access-group SYZS out //访问列表应用于R2的F0/0端口

R2#show ip access-list

Standard IP access list SYZS

10 permit 192.168.1.0 0.0.0.255

20 deny 192.168.2.0 0.0.0.255

30 permit any

至此，完成标准IP访问控制列表的配置，经测试达到预期目标，测试结果如图3-4所示：

（3）配置扩展IP访问控制列表命令

扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项，它检查数据包的源地址和目标地址，允许或拒绝某个特定的协议，例如TCP协议。它可以帮助我们实现任务2中提到的各子网段可以使用www服务，访问WEB服务器，但是拒绝使用ICMP服务。根据访问控制列表的最靠近受控对象原则，将扩展IP访问控制列表应用在R2的S0/0/1端口，关键命令如下：

R2（config）#access-list 100 permit tcp host 192.168.1.0 0.0.0.255 192.168.6.2 eq www //允许192.168.1.0网段使用TCP协议访问192.168.6.2的WWW服务；

R2（config）#access-list 100 permit tcp host 192.168.2.0 0.0.0.255 192.168.6.2 eq www

R2（config）#access-list 100 permit tcp host 192.168.4.0 0.0.0.255 192.168.6.2 eq www

R2（config）#access-list 100 deny icmp any 192.168.6.2 0.0.0.0 echo

//拒绝所有网段使用ICMP协议访问192.168.6.2；

R2（config）#int s0/0/1

R2（config-if）#ip access-group 100 out //将ACL列表号为100的扩展访问列表应用到R2的S0/0/1端口；

至此，完成扩展IP访问控制列表的配置，经测试达到预期目标，测试结果如图5-6所示：

3）实验结果分析

从结果可以看出，标准IP访问控制列表仅检查源地址，允许和拒绝的是完整的协议；扩展IP访问控制列表检查源地址和目标地址，允许或拒绝的是某个特定的协议。配置访问列表的每一条语句就是一个规则，数据包发送后，逐条匹配，直到匹配到合适语句，执行语句的动作（允许或拒绝）；如果没有找到匹配的规则，按照缺省规则执行[4]。

另外在实验中，允许或拒绝的都是整个网段，使用了反向子网掩码帮助实现，方向子网掩码中的0表示检查相应IP相应位，1表示不检查，从而可以通过反向子网掩码再对IP地址段进行细分，实现过滤指定部分网段数据功能。

3.4 实验总结

基于Packet Tracer仿真平台，配置访问控制列表的实验，能在教学中帮助同学们理解了标准IP访问控制列表和扩展IP访问控制列表的原理及其功能；通过任务驱动教学方法，帮助同学们掌握基本配置方法，加深理解路由器的网络管理功能。通过理论和实践结合提高了学生学习网络基础知识的积极性 。

4 技能拓展

本次实验中仅涉及标准IP访问控制列表配置、扩展IP访问控制列表配置，ACL访问控制列表还包含反向访问控制列表、基于时间的访问控制列表、基于名称的访问控制列表。综合配置访问控制列表，可以保护存放敏感数据的计算机，拒绝非法访问服务器，阻止病毒传播与攻击，控制网络流量，提高网络性能，限定上网时间等作用。

参考文献：

[1] Malik. 网络安全原理与实践[M].王宝生，朱培栋，白建军，译.北京：人民邮电出版社，2008.

[2] 刘静. 基于Packet Tracer的IP访问控制列表教学设计与实现的研究[J]. 科技创新与应用，2012（12）：276.

[3] 王芳.路由器访问控制列表及其应用技术研究[J]. 解放军信息工程大学， 2007.

[4] 王华丽. 访问控制列表在网络安全中的应用[J].电子科技， 2007（1）：58.