訪問控制列表配置仿真實驗設計

陳建銳

(湛江師范學院實驗教學管理處，廣東 湛江 524048)

訪問控制列表配置仿真實驗設計

陳建銳

(湛江師范學院實驗教學管理處，廣東 湛江 524048)

訪問控制列表(access control list,ACL)是解決和提高網絡安全性的方法之一。探討了訪問控制列表的基本概念及工作原理，針對該實驗的教學要求與特點，運用Boson Netsim軟件提供的虛擬平臺進行實驗教學設計，解決了當前網絡實驗室建設中的重要問題，提高了網絡實驗的教學質量。

Boson Netsim；訪問控制列表；實驗設計

訪問控制是當前網絡安全保護與防范的其中一種主要策略，其主要任務是使得網絡資源不被非法使用和訪問。路由器通過利用訪問控制列表技術(aeeess control list，ACL)的安全特性來允許或拒絕報文通過，從而構建一個穩定有效、堅固安全的防御體系，既能抵御外部的攻擊又能限制內部用戶對外部的非法訪問，大大提高了網絡的安全性。

訪問控制列表實驗是網絡實驗課程必需理解掌握的一個重點，其難點在于對其配置和使用，過程中容易出現錯誤。在傳統的實驗環境中進行訪問控制列表配置實驗較為復雜，需要使用路由器、交換機、PC機、網線等多種硬件，而且對實驗環境的搭建過程要求繁瑣?，F實中硬件設備與經費的不足常常制約了相關實驗的開展［1］。針對以上存在問題，筆者利用Boson Netsim仿真軟件構建了一個適合訪問控制列表配置實驗開展的仿真實驗環境?湛江師范學院自然科學研究青年項目(QL1114)。。

1 訪問控制列表基本原理與類型

1.1訪問控制列表基本原理

訪問控制列表是對經過路由器的數據流進行判斷、分類、過濾并分析其合法性的技術。包含源地址、目的地址、端口號等信息的語句的集合，每條語句稱之為一個規則，由允許和拒絕語句組成的條件列表，將數據包信息與訪問控制列表規則進行匹配比較，對到達的數據包執行允許或拒絕處理。據此能起到阻止非法用戶對網絡資源的正常訪問，并可對特定的用戶的訪問權限進行限制，從而實現在路由器端口處決定哪種類型的通信流量被轉發或被阻塞，以達到限制網絡流量、提高網絡性能的目的，實現對路由器和網絡的安全控制。

1.2訪問控制列表的基本類型

1)標準訪問控制列表 一個標準訪問控制列表匹配IP包中的源地址或源地址中的一部分，可對匹配的包采取拒絕或允許2個操作。編號范圍是從1到99的訪問控制列表是標準IP訪問控制列表。命令格式如下：

Access-list access-list-number {permit|deny} source［source-wildcard］

其中，access-list-number 訪問控制列表號，標準為1-99，擴展為100-199；source表示源IP地址；source-wildcard表示通配符掩碼，該掩碼與子網掩碼剛好相反，如掩碼為：192.168.1.0 255.255.255.0 則通配符掩碼寫成：0.0.0.255。特別地，0.0.0.0 255.255.255.255 寫成any，把192.168.1.1 0.0.0.0寫成host 192.168.1.1(針對某一個主機)。當有多條訪問控制條件時，采用同一列表號進行多次定義即可。

2)擴展訪問控制列表 擴展訪問控制列表比標準IP訪問控制列表具有更多的匹配項，包括協議類型、源地址、目的地址、源端口、目的端口等。編號范圍是從100到199的訪問控制列表是擴展IP訪問控制列表。命令格式如下：

其中，protocol用來標識協議類型；source ［source-wildcard］表示源IP地址及通配符掩碼；destination ［destination-wildcard］為目標IP地址及通配符掩碼；operator port為通訊的端口號，如eq80(http)、eq23(telnet)、eq25(smtp)、eq110(pop3)、eq20(ftp數據端口)、eq21(ftp控制端口)等。

2 Boson Netsim軟件

Boson NetSim是一套由BosonNetwork Designer (實驗拓撲圖設計軟件)和Boson NetSim(實驗環境模擬器)2個部分組成的用于模擬Cisco路由器、交換機等的軟件產品［4］。Boson Network Design 能根據實驗的需要設計描繪出相應的拓撲圖，能提供附帶的樣圖予用戶直接選定使用，用戶也可以根據自己的思想設計所需的拓撲圖。拓撲設計軟件的主界面主要分為菜單欄、設備列表、設備信息和繪圖區,菜單欄主要提供文件、設備的一些連接操作；設備列表則提供模擬的環境給用戶進行使用,設備信息的主界面的設備區則列出了設備的參數,包括數目和型號；繪圖區放置了各種設備的平臺。

Boson NetSim 是模擬各種路由器、交換機搭建起來的實驗環境。用戶可以在此放入各種型號的路由器或交換機，觀察實驗結果,對運行的協議進行診斷等。Boson NetSim 主要分為菜單欄、工具欄和路由器(交換機)配置界面。菜單欄的前3個按鈕主要是用來切換待配置的設備(路由器、交換機和工作站PC)。配置界面可以觀察用戶輸入交換機、路由器配置命令,也觀察交換機、路由器配置命令輸出。

該軟件提供了一個能夠輸入配置命令、驗證理論和實例的環境。利用其仿真界面，學生根據實際情況可以自行定義各種網絡拓撲結構和設備連接方式以搭建所需的網絡實驗環境。

3 訪問控制列表配置實驗

3.1實驗目的與要求

①從實驗角度來幫助理解路由器中重要的安全控制技術訪問控制列表的工作原理；②對路由器IP訪問控制列表ACL進行配置與監測，掌握標準訪問控制列表和擴展訪問控制列表的配置和使用方法；③掌握實驗工具Boson Netsim模擬器的使用方法。

3.2實驗拓撲結構

表1 PC機的IP地址和網關

圖1 訪問控制列表實驗網絡拓撲圖

該實驗設計在網絡中模擬出PC機4臺，操作系統為Windows2000 Professional；每臺主機配置一個IP地址，模擬出Cisco路由器2臺，分別為R1、R2；把PC機和路由器連接起來,配置路由器。啟動Boson Network Designer，根據實驗要求利用Boson Network Designer繪制實驗拓撲結構圖［6］，如圖1所示。運行Boson NetSim，用File菜單中的Load NetMap命令把拓撲圖map.top裝入Boson進行配置。單擊工具欄中的NetMap可以看到裝入的拓撲圖。為了達到實驗目的，先進行IP地址規劃，PC機的IP地址按表1進行配置。

用File菜單中的Load Sigle Device Config(merge)命令把R1.rtr、R2.rtr、PC1.rtr、PC2.rtr、PC3.rtr、PC4.rtr裝入對應的設備。各設備的接口、IP地址、路由等都已經配置好了，各網絡之間都已經可以通信了。

3.3實驗設計與實現

1)標準訪問控制列表的配置實驗 ①實驗配置內容。在路由器R1上配置標準訪問控制列表(ACL)做到以下控制要求：(a)對網絡192.168.1.0/24：拒絕來自網絡10.1.1.0/24和10.1.2.0/24的訪問；(b)對網絡172.16.1.0/24：拒絕來自網絡192.168.1.0/24中的IP地址為192.168.1.1-192.168.1.15的主機訪問。配置完成后，用ping命令驗證各PC機的通信情況。②配置路由器R1。進入全局配置模式：

R1>enable

R1#configure terminal

創建表號為1的訪問控制列表：

R1(config)#access-list 1 deny 10.1.1.0 0.0.0.255

R1(config)#access-list 1 deny 10.1.2.0 0.0.0.255

R1(config)#access-list 1 permit any

創建表號為2的訪問控制列表：

R1(config)#access-list 2 deny 192.168.1.0 0.0.0.15

R1(config)#access-list 2 permit any

把ACL1用于R1的E0口：

R1(config)#interface e0

R1(config-if)#ip access-group 1 out

R1(config-if)#exit

把ACL2用于R1的E1口：

R1(config)#interface e1

R1(config-if)#ip access-group 2 out

R1(config-if)#end

配置完成后，PC1與PC2、PC3、PC4均不通。PC2與PC1不通，但和PC3、PC4可通。如果把PC1的IP地址改為192.168.1.16，則PC1與PC2可通。

2)擴展訪問控制列表的配置 ①配置內容。在路由器R1上配置擴展訪問控制列表(ACL)做到以下控制要求：(a)只允許網段192.168.1.0/24訪問主機10.1.1.1的WWW服務，拒絕其他網絡服務；(b)只允許網段172.16.1.0/24訪問主機10.1.1.1的TFTP服務，拒絕其他網絡服務；(c)使主機PC1(192.168.1.1)不能訪問主機PC4(10.1.2.1)的FTP功能，但其他可以訪問。Boson軟件不支持用表號的方式建立擴展訪問控制列表，只能用命名的擴展訪問控制列表進行定義。any關鍵字可以正常使用。如果在實驗之前路由器上已經設置了標準訪問列表,可用no ip access-group 1命令刪除。②配置路由器R1。進入全局配置模式：

R1>enable

R1#configure terminal

創建名字為list101的訪問控制列表：

R1(config)#ip access-list extended list101

R1(config-ext-nacl)#deny 192.168.1.0 0.0.0.255 host 10.1.1.1

R1(config-ext-nacl)#permit tcp 192.168.1.0 0.0.0.255 host 10.1.1.1 eq 80

R1(config-ext-nacl)#deny 172.16.1.0 0.0.0.255 host 10.1.1.1

R1(config-ext-nacl)# permit udp 172.16.1.0 0.0.0.255 host 10.1.1.1 eq 69

R1(config-ext-nacl)#deny ip host 192.168.1.1 host 10.1.2.1 eq 20

R1(config-ext-nacl)#deny ip host 192.168.1.1 host 10.1.2.1 eq 21

R1(config-ext-nacl)#permit ip any any

R1(config-ext-nacl)#exit

把list101用于R1的S0口：

R1(config)#interface s0

R1(config-if)#ip access-group list101 in

R1(config-if)#end

配置完成后，可用相關命令查看實驗結果：可分別在PC1可以與PC3進行WWW連接，但不能執行其它類型的數據連接。PC2可以與PC3進行TFTP連接，但不能執行其它類型的數據連接。PC1不可以與PC3進行FTP連接，但能執行其它類型的數據連接。

3.4試驗效果

通過以上試驗可表明，在使用Boson Netsim軟件搭建的仿真實驗環境中能正常開展訪問控制列表配置實驗。構建該獨立的實驗環境能提供獨立動手與思考的條件，能針對性的設計實驗重點，在實驗的過程中能有序的完成相關的技術配置，輸入相關命令可方便直觀的對比查看不同類型訪問控制列表的工作情況，有助于清晰理解訪問控制技術的原理與特點，實驗教學效果明顯。

4 結 語

Boson NetSim軟件給計算機網絡實驗教學提供了一種有效的工具。筆者探討了Boson NetSim 的特點與訪問控制列表工作原理，提出的一種新的實驗教學方案既符合計算機網絡課程的要求，也切合實際的實驗環境，在現有資源上開展更多的網絡實驗課程，節約資源，利于開展，管理方便，并能取得良好的實驗教學效果，對推動實驗室建設與實驗課程的開展有明顯的幫助。

［1］陳勇兵.路由器訪問控制列表應用與實踐［J］.實驗技術與管理，2010，27(3)：92-93.

［2］李領治,陸建德.基于NetSim 的計算機網絡實驗教學方案［J］.實驗技術與管理.2009，26(2)：150-153.

［3］王芳，韓國棟，李鑫．路由器訪問控制列表及其實現技術研究［J］ .計算機工程與設計，2007,28(23): 5638-5639.

［4］陳建銳.基于Boson Netsim的網絡地址轉換實驗教學設計［J］.實驗室研究與探索，2010，26(8)：56-62.

［5］Saadat Malik.網絡安全原理與實踐［M］ .王寶生等譯.北京：人民郵電出版社，2008：467-472.

［6］Steve McQuerry.CCNA學習指南：CISCO網絡設備互連(ICND2)［M］.李祥瑞 譯.北京：人民郵電出版社，2008.

［7］謝慧,聶峰.基于Boson Netsim的計算機網絡仿真實驗教學研究［J］.實驗技術與管理，2007，24(5)：89-91.

10.3969/j.issn.1673-1409(N).2012.07.041

TP391.9

A

1673-1409(2012)07-N120-04

2012-02-24

陳建銳(1981-)，男，2004年大學畢業，碩士，實驗師，現主要從事計算機與網絡應用、實驗教學與管理方面的研究工作。

［編輯］ 洪云飛