基于Packet Tracer配置访问控制列表的实验综述报告

2016-12-15 18:25张波
电脑知识与技术 2016年27期
关键词:网络安全实验教学

张波

摘要:针对网络实验室内设备不足,不便于学生开展网络实验的问题,本文描述了利用Packet Tracer仿真模拟软件开展配置IP访问控制列表的意义,详细介绍了开展配置访问控制列表的实验原理、实验项目设计、实验技能的拓展。帮助学生理解访问控制列表的功能,掌握其配置方法,并应用于实践中去。

关键词:实验教学;访问控制列表;流量控制;网络安全

中图分类号:TP309 文献标识码:A 文章编号:1009-3044(2016)27-0046-03

1 引言

网络时代的高速发展,对网络的安全性也越来越高,企业内部可能存在不同网段计算机访问许可不同,服务器拒绝收到某种服务信息流量等问题。通过配置路由器中访问控制列表,可以控制网络流量,按规则过滤数据报文,实现访问许可,并帮助企业内部网络制定相关策略,描述安全功能,反映流量的优先级,提高网络的安全性[1]。配置访问控制列表是《构建中小型企业网络》课程中重要内容,需要掌握路由器基本配置的基础知识。

Packet Tracer是思科发布的一款网络辅助学习软件,它可以模拟设计网络结构,配置网络仿真环境,排除网络故障,整个界面和网络环境真实再现。Packet Tracer解决了学校网络实验室内设备不足,减轻了教学负担的问题,有利于培养学生的网络学习兴趣[2]。

2 实验原理

IP访问控制列表是应用在路由器接口的指令列表,可分为标准IP访问控制列表和扩展IP访问控制列表。标准IP访问控制列表检查路由数据包的源地址,从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。扩展IP访问控制列表既检查数据包的源地址,也检查数据包的目的地址,还检查数据包的特定协议类型、端口号等。扩展访问控制列表可以对同一地址允许使用某些协议通信流量通过,而拒绝使用其他协议的流量通过[3]。

通过灵活地增加访问控制列表,达到过滤流入和流出路由器接口的数据包,限制网络流量,提高网络性能,起到网络访问的基本安全作用。

3 实验项目设计

3.1 实验目标

(1)理解标准IP访问控制列表的原理及功能;

(2)掌握命名的标准IP访问控制列表的配置方法;

(3)理解扩展IP访问控制列表的原理及功能;

(4)掌握编号的扩展IP访问控制列表的配置方法。

3.2 实验任务描述

某公司下设经理室、销售部、财务部,另外架设了公司的Web服务器,各部门分别属于不同的网段,具体见图1 网络拓扑图。考虑财务处存放有重要的账套信息,保证服务器安全,领导要求实现:

任务一 销售部不能访问财务部,但经理室可以访问财务部;

任务二.各部门主机只能访问服务器的WWW服务,不能对其使用ICMP服务。

3.3 实验设计

1)实验步骤分析

为实现任务目标,需要依次完成(1)在Packet Tracer仿真平台中搭建网络物理环境,考虑减少实验复杂性,这里仅选用了三台路由器、三台电脑、一台服务器;(2)给各个端口分配IP地址,其中IP规划设计如表1所示;(3)配置路由,保证PC之间、PC到服务器间网络畅通,仅畅通后才能实验允许或拒绝服务,测试网络连通性;(4)配置标准IP访问控制列表,实现任务一;(5)配置扩展IP访问控制列表,实现任务二;(6)测试实验结果。

2)实验关键指令

(1)路由配置指令

R1路由配置:

R1(config)#route ospf 1

R1 (config-router)#network 192.168.1.0 0.0.0.255 area 0

R1 (config-router)#network 192.168.2.0 0.0.0.255 area 0

R1 (config-router)#network 192.168.3.0 0.0.0.255 area 0

依次配置R2、R3,分别用PC2电脑ping PC3和Web服务器,测试网络整体连通性,并用WEB浏览器访问WEB服务器,测试结果如图2所示,显示网络畅通:

(2)配置标准IP访问控制列表命令

标准IP访问控制列表可以实现允许或拒绝来自某一网段完整协议,可以帮助我们实现PC1可以与PC3通信,但是不允许PC2与PC3通信。考虑PC1、PC2、PC3都要访问WEB服务器,只有在R2的F0/0端口宣告应用。关键命令如下:

R2(config)#Iip access-list standed SYZS //创建名称为SYZS的访问列表

R2(config-std-nacl)#permit 192.168.1.0 0.0.0.255 //允许192.168.1.0网段数据包通行

R2(config-std-nacl)#deny 192.168.2.0 0.0.0.255 //丢弃192.168.2.0网段数据包

R2(config-std-nacl)#permit any //允许其他网段数据包通行

R2(config-std-nacl)#exit

R2(config)#int f0/0

R2(config-if)#ip access-group SYZS out //访问列表应用于R2的F0/0端口

R2#show ip access-list

Standard IP access list SYZS

10 permit 192.168.1.0 0.0.0.255

20 deny 192.168.2.0 0.0.0.255

30 permit any

至此,完成标准IP访问控制列表的配置,经测试达到预期目标,测试结果如图3-4所示:

(3)配置扩展IP访问控制列表命令

扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项,它检查数据包的源地址和目标地址,允许或拒绝某个特定的协议,例如TCP协议。它可以帮助我们实现任务2中提到的各子网段可以使用www服务,访问WEB服务器,但是拒绝使用ICMP服务。根据访问控制列表的最靠近受控对象原则,将扩展IP访问控制列表应用在R2的S0/0/1端口,关键命令如下:

R2(config)#access-list 100 permit tcp host 192.168.1.0 0.0.0.255 192.168.6.2 eq www //允许192.168.1.0网段使用TCP协议访问192.168.6.2的WWW服务;

R2(config)#access-list 100 permit tcp host 192.168.2.0 0.0.0.255 192.168.6.2 eq www

R2(config)#access-list 100 permit tcp host 192.168.4.0 0.0.0.255 192.168.6.2 eq www

R2(config)#access-list 100 deny icmp any 192.168.6.2 0.0.0.0 echo

//拒绝所有网段使用ICMP协议访问192.168.6.2;

R2(config)#int s0/0/1

R2(config-if)#ip access-group 100 out //将ACL列表号为100的扩展访问列表应用到R2的S0/0/1端口;

至此,完成扩展IP访问控制列表的配置,经测试达到预期目标,测试结果如图5-6所示:

3)实验结果分析

从结果可以看出,标准IP访问控制列表仅检查源地址,允许和拒绝的是完整的协议;扩展IP访问控制列表检查源地址和目标地址,允许或拒绝的是某个特定的协议。配置访问列表的每一条语句就是一个规则,数据包发送后,逐条匹配,直到匹配到合适语句,执行语句的动作(允许或拒绝);如果没有找到匹配的规则,按照缺省规则执行[4]。

另外在实验中,允许或拒绝的都是整个网段,使用了反向子网掩码帮助实现,方向子网掩码中的0表示检查相应IP相应位,1表示不检查,从而可以通过反向子网掩码再对IP地址段进行细分,实现过滤指定部分网段数据功能。

3.4 实验总结

基于Packet Tracer仿真平台,配置访问控制列表的实验,能在教学中帮助同学们理解了标准IP访问控制列表和扩展IP访问控制列表的原理及其功能;通过任务驱动教学方法,帮助同学们掌握基本配置方法,加深理解路由器的网络管理功能。通过理论和实践结合提高了学生学习网络基础知识的积极性 。

4 技能拓展

本次实验中仅涉及标准IP访问控制列表配置、扩展IP访问控制列表配置,ACL访问控制列表还包含反向访问控制列表、基于时间的访问控制列表、基于名称的访问控制列表。综合配置访问控制列表,可以保护存放敏感数据的计算机,拒绝非法访问服务器,阻止病毒传播与攻击,控制网络流量,提高网络性能,限定上网时间等作用。

参考文献:

[1] Malik. 网络安全原理与实践[M].王宝生,朱培栋,白建军,译.北京:人民邮电出版社,2008.

[2] 刘静. 基于Packet Tracer的IP访问控制列表教学设计与实现的研究[J]. 科技创新与应用,2012(12):276.

[3] 王芳.路由器访问控制列表及其应用技术研究[J]. 解放军信息工程大学, 2007.

[4] 王华丽. 访问控制列表在网络安全中的应用[J].电子科技, 2007(1):58.

猜你喜欢
网络安全实验教学
网络安全知多少?
关于基础教育阶段实验教学的几点看法
电容器的实验教学
网络安全
网络安全人才培养应“实战化”
上网时如何注意网络安全?
几何体在高中数学实验教学中的应用
基于云计算的计算机实验教学探讨
“4.29首都网络安全日”特别报道