李蔓菲，周 玮

（四川工商学院电子信息工程学院，四川 成都 611745）

1 方案设计

1.1 设计背景

本次设计的题目就是要构建一个小型的校园局域通信网络，选取成都市某实验中学为例。学校设施分为致远楼、静思楼、崇德楼三栋教学楼，图书馆、学生食堂、教师食堂、行政楼以及教师公寓、学生公寓、三个小型实验楼等主要建筑设施。因为构建的是一个小型的校园局域网，所以在拓扑规划中只划分出了三栋教学楼，行政楼以及教师公寓、学生公寓和三个实验楼。设计的最终目的就是通过相关设备的协议及技术配置使该校园网络能够全网互通并且能够安全访问。

1.2 确定的方案

经过一系列的资料搜集和导师的指导，最终确定的设计方案是利用思科模拟器来完成小型校园局域网的拓扑结构搭建。拓扑结构共有1 个公共服务器、8台路由器、8 台三层交换机、10 台二层交换机及15台PC 机，划分9 个部门及8 个子网，并在相关设备上运行OSPF、NAT、HSRP 协议，配置标准ACL 和扩展ACL 限制相关部门之间的访问，同时在拓扑中通过其中一台路由器能够telnet 访问登录别的路由器，并做OSPF 认证，实现整个网络互通和安全访问，最后进以一步加强网络安全。具体搭建的校园网络拓扑图如图1 所示：

图1 拓扑设计图

2 详细设计

2.1 IP 的规划和VLAN 的划分

此部分一共分为了三个模块，即PC 机的IP 和网关规划、三层交换机以及路由器的相关VLAN 和IP 规划，每个模块具体阐述如下部分。

整个拓扑中根据教师公寓、行政楼、学生公寓、教学楼（崇德楼、致远楼、静思楼）、实验楼1、实验楼2、实验楼3 部门需要共设置15 台PC 机，因为本设计搭建的是小型的校园局域网络，C 类地址适用于校园网和办公网络等小型网络，所以在本设计中使用C 类地址，采用192.168.0.0 网段来划分它们的IP地址、子网掩码及默认网关。根据不同的部门，一共划分了8 个VLAN，分别对应的是教师公寓、行政楼、学生公寓崇德楼、致远楼、静思楼、实验楼1、实验楼2 及实验楼3。

2.2 基本配置及协议配置

完成二层交换机、三层交换机以及路由器的相关配置以后完成相关协议及技术配置。

（1）协议配置

协议及技术配置分为OSPF 协议和动态NAT 及HSRP 配置三个部分。配置OSPF 协议以实现全网互通。使用公有地址池进行动态转换时，分配这些地址使用的原则是先到先得，当私有IP 地址的主机请求访问外网时，NAT 将从公有地址池中选择未被占用的IP 地址对其进行一对一的转化。当完成数据会话后，路由器会将公有IP 地址释放并使其回到地址池，以提供其他内部私有IP 地址的转换。配置HSRP 是为了实现路由备份的目的。

（2）动态NAT 配置

校园内网中有设备需要去访问公网，则需要通过NAT 把私网的IP 地址转换成公网的IP 地址，在配置时，使用公有地址池中的地址进行IP 地址转换，以达到访问公网的目的。在router0 上通过动态NAT 实现校园内网地址转换为公网地址，访问外网114.114.100.0/24，通过向ISP（Internet 服务提供商）申请得到地址池，内网主机访问外网，内网的私有地址将被动态的、随机的转换成合法地址。

（3）HSRP 协议配置

HSRP 的可靠性较高，在网络的一组路由器中，只有一台活动的用来转发数据包的路由器，如果该路由器出故障了，备份路由器将接管主动路由器的任务。当拓扑中两台路由器中的其中一台坏掉时，HSRP 可保证顺利切换成另一台备份的路由器，这就解决了当主路由器出故障时路由器切换的问题。

2.3 ACL 技术实现

访问控制列表(Access Control List,ACL)是路由器与交换机接口的指令列表，其工作在OSI 参考模型三层以上设备，用来控制端口进出的数据包。按照给定的规则，将数据包中的第三、四层中的包头信息进行分析处理，并判断是否转发该数据包。ACL 可在路由器上配置，也可在具有ACL 功能的业务软件上配置。

ACL 技术能保护网络中的用户，使其免遭病毒的干扰，它适用于中小型局域网，配置ACL 后，不仅可以限制网络流量，还能允许特定的设备访问网络，例如，配置ACL 禁止局域网内的设备访问外部公网。此外，它可以阻止非法用户的访问，保护资源节点，特定的用户节点具备的访问权限也能被ACL 限制。

（1）ACL 的工作原理

当一个数据包传输到路由器的接口时，第一步就是检查它的访问控制列表，若执行控制列表中有拒绝和允许的操作，路由器将会丢弃被拒绝的数据包，然后，被允许的数据包进入到路由选择状态，根据路由表，对进入路由选择状态的数据包执行路由选择，如果路由表中没有到达目标网络的路由，相应的数据包就会被路由器丢弃，反之，则数据包被送到相应的网络接口。当ACL 处理数据包时，如果包中的内容与控制列表中某条ACL 语句的内容是匹配的，就跳过列表中剩余的语句，以这条匹配的语句内容作为依据，从而决定该数据包是被允许还是被拒绝，反之，ACL 列表中的下一条语句就会依次对分组进行测试，该匹配过程会一直持续到列表末尾的时候。ACL 应用在接口上，接下来以ACL 应用在入接口上为例进行说明，工作流程如图2 所示：

图2 应用于入接口的ACL

ACL 规则在配置时需要遵循的三个基本原则为：第一个是最小特权原则，它仅向受控对象提供完成任务所需的最小特权。第二个最接近控制原理的方法，即使用规则检查自身时，如果找到匹配项，则会在ACL 列表中从上到下逐一检测，找到匹配项后，会立即将其交付，检测到的ACL 语句将不会再继续。第三是基本处置原则。默认规则“全部拒绝”将自动添加到每个访问控制列表的末尾。换句话说，该数据包将被拒绝并被丢弃，因为在执行所有ACL 语句后找不到匹配的数据包。

（2）ACL 的分类

ACL 有两类，分别为标准ACL 和扩展ACL。标准ACL 编号范围为1-99，匹配的是IP 包中的源地址，可以拒绝或允许匹配的包。扩展ACL 的编号范围为100-199，它有更多的匹配项，如协议类型、源或目的地址、源端口及目的端口等。

a.标准ACL

标准ACL 可以拒绝或允许来自某一特定网络的通信流量。 其格式为：access-list accesslist-number{permit|deny}{source[sourcewildcard]|any}。标准ACL 对整个TCP/IP 协议生效，使用源IP 地址过滤数据包，从而允许或拒绝基于子网或主机的IP 地址的所有通信流量通过路由器的接口。

b.扩展ACL

扩展ACL 在数据包的过滤方面灵活性更强，其编号范围为100-199 或2000-2699，扩展ACL 能提供多种匹配项（源地址及目的地址、源端口及目的端口、协议类型等），并对它们进行过滤，扩展ACL 可以更精确的过滤流量[10]。扩展ACL 的通用格式：accesslistaccess-listnumber{permit|deny}{protocolprotocol-keyword}{source[source-wildcard]|any}{destination-wildcard|any}[protocol-specific options][log]。

综上，ACL 是一种语句集合，表示允许或拒绝的规则，这些语句通过检查数据包地址、端口号等来控制网络通信过程中的数据流，总之，它能保护网络的安全，提高网络通信质量。

（3）ACL 的作用

ACL的作用有很多，首先，它能限制网络中的流量。其次，它能在路由器的端口处决定哪一类或哪几类的数据流量能够被转发或被阻塞，同时可以提供手段去控制通信流量。再次，ACL 是提供对网络的安全访问的主要方法。最后，ACL 能提高网络性能。

（4）ACL 的应用场景

a.登录控制:就是控制登录权限，允许合法用户登录并拒绝非法用户访问，有效防止未经授权的用户的非法访问，以保证网络的安全性。

配置ACL 后，telnet 不成功，但仍可使用ping 命令验证router0 到router2 的互通性，由于只拒绝了telnet协议而放行了icmp协议，所以是能够ping通的。

b.相关部门访问权限配置:ACL 可以通过定义规则允许或拒绝流量的通过。本设计中利用标准ACL 用来限制学生公寓不能访问教师公寓和行政楼，从而保护了行政楼和教师公寓的信息。标准ACL 在三层交换机2 上配置。

选用扩展ACL 通过限制行政楼的电脑访问教学楼的网络,扩展ACL 用来限制行政楼不能访问教学楼，保证该楼电脑无法访问教学楼的网，但能访问内网其他的电脑，实现了行政楼电脑对互联网的防护。扩展ACL 在三层交换机1 上配置。

ACL 配置完后，行政楼不能访问教学楼、学生公寓不能访问教师公寓和行政楼的目的即可实现，相关验证在测试与验证部分。

3 测试及验证

该设计完成了全网互通以及相关协议的配置，接下来，完成测试及验证。该部分分成三个测试模块，分别为全网互通测试、内外网互通、ACL效果配置验证。配置好ACL 后，限制访问的部门之间是不能够互通的，通过以上验证，ACL 技术起到了作用，即设计目的已经实现。