基于Packet Tracer的访问控制列表实验教学设计

唐灯平

（南京铁道职业技术学院苏州校区，江苏苏州 215006）

随着大规模开放式网络的开发，网络面临的威胁也就越来越多。网络安全问题成为网络管理员最为头疼的问题。一方面，为了业务的发展，网络管理员必须允许对网络资源开放访问权限，另一方面，又必须确保数据和资源的尽可能安全。[1]网络安全采用的技术很多，访问控制列表（ACL）是实现基本的网络安全的手段之一。ACL是在交换机和路由器上经常采用的一种防火墙技术，它可以对经过网络设备的数据包根据一定的规则进行过滤，以达到实现网络安全的目的。

访问控制列表技术是高职计算机网络技术专业学生必须重点掌握的实验内容。而传统的实现该实训的方式是在真实的设备上实现，存在以下一些弊端：1)资金投入相对较大，某些院校难以实现。2)需要路由器、交换机、PC机、网线等多种硬件设备，网络环境组建较繁琐，容易出现问题。3)扩展访问控制列表效果的验证需要配置网络操作系统相应的网络服务，实现较为困难。4)很难实现每位同学独立完成整个实训过程，人均时间及实训效果均得不到保证。利用Packet Tracer模拟软件实现访问控制列表实训时可以轻松地避免上述问题，达到很好的教学效果。[2]

1 ACL基本原理与类型

1.1 ACL技术的基本原理

访问控制列表是一种路由器配置脚本，它根据从数据包包头中发现的信息（源地址、目的地址、源端口、目的端口和协议等）来控制路由器应该允许还是拒绝数据包通过，从而达到访问控制的目的。

ACL是一系列permit或deny语句组成的顺序列表，应用于地址或上层协议。ACL能够控制进出网络的流量。可以只简单地允许或拒绝网络主机或地址。还可以将ACL配置为根据使用的TCP端口来控制网络流量。

ACL的工作方法具有以下一些特征：1)自上而下的处理方式。2)规则的最后有一条默认的禁止所有的语句。3)先定义规则再应用规则。4)标准访问控制列表尽量应用于靠近目的主机的路由器接口。扩展访问控制列表尽量应用于靠近源主机的路由器接口。[3]

1.2 ACl技术的基本类型

Cisco ACL有两种类型，标准 ACL和扩展ACL，其中标准ACL又分为标准号码式ACL和标准命名式ACL。扩展ACL又分为扩展号码式ACL和扩展命名式ACL。

1）标准ACL。标准号码式访问控制列表，其编号取值范围为0～99之间的整数值。标准命名式ACL，使用一个字母数字组合的字符串（名字）代替号码式所使用的数字来表示ACL表号。标准ACL用来阻止来自某一网络的所有通信流量时，或允许来自某一特定网络的所有通信流量时，或想要拒绝某一协议族的所有通信流量时使用。

2）扩展ACL。扩展号码式ACL，其编号取值范围为100～199之间的整数值。扩展命名式ACL，使用一个字母数字组合的字符串（名字）代替号码式所使用的数字来表示ACL表号。扩展ACL即检查数据包的源地址，也检查数据包的目的地址。此外，还可以检查数据包的特定协议类型、端口号等。

2 Packet Tracer软件应用

Packet Tracer是Cisco公司为思科网络技术学院开发的一款模拟软件，Packet Tracer模拟器的使用者可以在软件的图形用户界面上直接使用拖曳物件建立网络拓扑，可根据实际需要对网络设备进行相应的配置，并可提供数据包在网络中的详细处理过程，观察网络实时运行情况。该软件以其方便性和真实性被广泛所接受。目前它的最高版本为Packet Tracer 5.3.1，可以用来模拟CCNA全部实验以及部分CCNP实验。[4-5]

Packet Tracer能够根据需要灵活地组建网络拓扑结构。提供了丰富的网络设备如：路由器、交换机、集线器、无线设备、终端设备、仿真广域网、Custom Made Devices（自定义设备）。提供了各种设备之间的连线（Connections）线型。

Packet Tracer模拟器中的设备还可以根据实际需要添加删除接口模块。更加形象地模拟了模块化网络设备。在调试网络时还可以根据需要跟踪数据包的流动过程。

3 ACL配置实验

3.1 实验目的

1）理解ACL的作用

2）掌握几种ACL的配置和使用方法

3）掌握模拟器工具Packet Tracer的使用方法

3.2 实验拓扑结构

图1 网络拓扑结构图

高职院校要培养面向生产、建设、服务和管理第一线需要的高技能人才[6]，这就要求在设计实训项目时尽量使用真实的工程项目，使学生在真实的工程项目中得到锻炼。在设计该实训项目时，遵循“够用为度”的原则，设计了三个不同的部门，分别为校长室、财务部和人事部，这三个部门属于三个不同的网络，如图1所示[7]。

组建这样的网络，需要两台Cisco 2811路由器，一台Cisco 2950普通二层交换机，一台服务器和三台电脑。连接方式为：财务部的服务器和路由器R2的f0/0相连，两个路由器之间利用串口s0/0/

相连。校长室的电脑和路由器R1的f0/1相连。人事部的两台电脑通过交换机和路由器的f0/0相连。两台路由器之间利用串口相连时需要在两台路由器上均要添加广域网模块。具体操作为：1）单击需要添加模块的路由器R1，弹出图2所示的窗口。关闭机器的电源。2） 在窗口的Physical区选择WIC-2T模块，将它拖放到空的模块槽中，然后释放鼠标。3）重新打开电源。使用同样的方法，将路由器R2添加WIC-2T模块。[8-10]0

图2 开关电源以及添加删除模块窗口

3.3 实验环境配置

1）设置终端机器的IP地址

通过终端机器的图形界面可以方便地设置PC机和服务器的IP地址。用鼠标依次单击需要配置IP地址的四台终端设备，在弹出的窗口中选择desktop菜单，在desktop菜单中单击IP configuratio n，在弹出的窗口中设置IP地址，如图3所示。

图3 终端机器IP地址设置界面

2）在路由器上使用动态路由协议RIP使整个网络互连互通[11-13]。

路由器R1的基本配置如下：

3.4 实验设计与实现

通过以上的实验环境可以进一步完成访问控制列表实验。

3.4.1 标准访问控制列表实验

实验要求：要求校长室可以访问财务部，但人事部不可以访问财务部。

根据标准访问控制列表尽量应用于靠近目的主机的路由器接口的原则，在路由器R2上进行ACL设置。

3.4.2 实验效果验证

3.4.3 扩展访问控制列表实验

实验要求：要求校长室可以访问财务部服务器的Web服务，但人事部不可以访问财务部服务器的Web服务。

根据扩展访问控制列表尽量应用于靠近源的主机的路由器接口的原则，在路由器R1上进行ACL设置。

其次应用规则：

3.4.4 实验效果验证

由于Packet Tracer模拟器的终端服务器，自动开启的www服务功能，为该实验的结构的验证提供了方便。具体查看：1） 单击Server，在弹出的窗口中选择“config”选项。2）点击HTTP，在右边的状态栏中可以看到状态为“ON”说明已经自动开启了web服务功能。在浏览器里直接输入地址172.16.3.2即可访问该服务器上的网站。

首先从校长室电脑访问财务服务器的web服务：具体操作如下：

1）单击校长室的电脑，在弹出的窗口中选择“desktop”。2）单击浏览器“Web Browser”。3）在弹出的浏览器窗口中输入服务器的IP地址“172.16.3.2”，回车。即可访问服务器上的Web网站。结果表明校长室的电脑可以访问财务部的电脑的网站，符合定义的访问控制列表的规则。

同样的方法用人事电脑访问财务web电脑的web服务结果如下：

结果表明人事部的电脑不能访问财务部的电脑的网站，同样符合定义的访问控制列表的规则。

4 结束语

高职院校是培养面向生产一线的高技能人才，因此培养学生的动手能力是高职院校教学的重点，但由于资金以及实际真实的工程项目环境难以搭建的情况下，可以考虑使用仿真技术。仿真技术不但能够使每个学生独立完成整个工程项目的实施过程还避免了真实设备带来的种种弊端，在有针对性的教学中起到很好的教学效果。

[1]梁广民，王隆杰.思科网络实验室CCNA实验指南 [M].北京：电子工业出版社，2009.

[2]唐灯平.职业技术学院计算机网络实验室建设的研究［J］.中国现代教育装备，2008，（10）：132-134.

[3]唐灯平.利用ACL构建校园网安全体系的研究［J］.有线电视技术，2009，（12）：34-35.

[4]薛琴.基于Packet Tracer的计算机网络仿真实验教学［J］.实验室研究与探索，2010，（2）：57-59.

[5]丁美荣.基于综合设计性实验项目的计算机网络实践教学［J］.实验室研究与探索，2009，（3）：118-120.

[6]教育部.教育部关于全面提高高等职业教育教学质量的若干意见[EB/OL].http://www.moe.edu.cn/edoas/website18/23/in fo27723.htm，2006-11-16.

[7]王春枝，李红，欧阳勇.计算机网络课程实验教学研究［J］.实验室研究与探索，2007，（12）：350-352.

[8]唐灯平.职业技术学院校园网建设的研究［J］.网络安全知识与应用，2009，（4）：71-73.

[9]唐灯平.关于《网络设备配置与管理》精品课程的建设［J］.职业教育研究，2010，（3）：147-148.

[10]唐灯平.利用三层交换机实现vlan间通信［J］.电脑知识与技术，2009，(18)：4898-4899.

[11]唐灯平.职业技术学院计算机网络实验室建设的研究［J］.中国现代教育装备，2008，（10）：132-134.

[12]唐灯平，吴凤梅.利用路由器子接口解决的网络问题［J］.电脑学习，2009，（4）：66-67.

[13]唐灯平.Windows Server 2003中OSPF路由实现的研究［J］.电脑开发与应用，2010，（7）：75-77.