访问控制列表技术综合实验设计与实现

李政蓬 张孝临

摘要：本文基于最新的Packet Tracer6.0模拟器，提出了一套完整的路径访问控制列表的实验设计方案，描述了业务需求、网络拓扑结构、设备配置和功能测试，实验结果良好，为学习其他网络技术提供了很好的参考方案。

关键字：访问控制列表 综合实验 模拟器

1 绪论

ACL是保障保护客户pc以及网络安全的重要技术，在设备硬件层安全基础上，通过对在软件层面对硬件设备通信进行访问控制，使用可编程方法指定访问规则，防止非法設备破坏系统安全，非法获取系统数据。ACL不仅仅只可以保护限制流量，还可以通过制定数据包的优先级来提高网络性能在模拟器内可采用虚拟的网络设备来组建常见的网络拓扑，在网络拓扑内可按照使用需求加入多种网络设备。

2 实验设计

实验通过模拟器使用Packet Tracer 6.0模拟器来组建整个网络拓扑图。在拓扑结构内依据功能需求来完成组网设备的配置和最终结果的验证。

2.1 实验拓扑

按照实验要求使用Packet Tracer6.0模拟器组建公司网拓扑。

公司网络拓扑结构分为是三个部分：经理，管理员，员工。经理pc端与管理员及员工属于静态路由相连接。员工区域pc端通过管理员区域三层交换机通过ospf路由协议动态获取IP地址。

（1）经理区域一台pc，使用私有ip地址段192.168.133.0/24。机关管理员区域有一台服务器终端及一台pc，分别使用192.168.130.0/24和192.168.131.0/24。员工区域使用私有192.168.129.0/24地址段。

（2）经理区域采用静态路由协议进行交互，路由器routerl为经理区域边界路由器。机关管理区域采用ospf。员工区域采用ospf路由协议通过机关管理区域的三层交换机Ms0动态获取IP地址划分到子接口下，并将员工区域私有网段192 .168. 129.0/24划分为三个子网，分属于不同的VLAN中。

（3）三个管理区域之间，即路由器routerl，router2和三层交换机ms0有静态路由及dhcp进行信息交互通信。

3 设备配置

3.1 经理区域

3.1.1 设置经理区域私有IP地址，设置静态路由

Router（config）#ip router 192.168.129.0 255.255.255.0192.168.132.1

Router（config）#ip router 192.168.130.0 255.255.255.0192.168.132.2

Router（config）#ip router 192.168.130.0 255.255.255.0192.168.132.2

3.2机关管理员区域

3.2.1创建虚接口并添加IP地址池

Switch（config）#router ospf l

Switch（config-router）#net

192. 168 .130.0255.255.255.192 area 2

Switch（config—router）#net

192. 168 .132.0255.255.255.192 area O

3.2.3开启三层交换机的路由功能

Switch（config）#ip routing

3.2.4添加访问控制列表acl（让VLANIO pco pc3 pc6不能ping通服务器，但是可以访问网页）

Switch（config）#access-list 100 deny icmp 192.168.130.00.0.0.63 host 192.168.29.253

在server0的DNS下添加访问网页：www.lzp.comaddress： 192.168.130.1。并开启DNS SERVICE.

3.3 员工区域

3.3.1在switch0，switchl，switch2分别创建vlan并封装IP地址池

Switch（config-vlan）#int f 0/3

Switch（configif）#swi acc vlan 30

Switch（config-vlan）#int f 0/4

Switch（config_if）#swi m t

3.3.2创建子接口封装IP地址池

Router（config）#int f 0/0.1

Router（configsubif）# no shutdoWn

Router（config）#int f 0/0.3

Router（configsubif）#encapsulation dotlQ 30

3.3.3添加osof协议直连

Router（configrouter）# net

192.168 .132.0

255.255. 255.Oarea O

3.3.4添加dhcp获取动态IP地址

Router（config）#ip dhcp pool 10

Router（dhcp-config）#net 192.168.129.0 255.255.255.192

Router（dhcp-config）#dns 192.168.130.1

Router（config）#ip dhcp pool 20

Router（dhcp-config）# net

192. 168. 129. 64255.255.255.192

Router（dhcp-config）#dns 192.168.130.1

Router（config）#ip dhcp pool 30

Router（dhcp-config）# net

192 .168 .129.128255.255.255.192

Router（dhcp-config）#dns 192.168.130.1

j.j.）添加静态路由

Router（config）#ip route 192.168.129.0 255.255.255.0192.168.132.1

4 实验结果验证

在三个边界路由器配置完访问控制列表后，通过查看各个区域的路由表及赔偿是否可以相互ping通访问。

4.1 查看r1路由表。

r2路由表信息，pc0，pc3，pc6不能ping通服务器，但是可以访问服务器网页，router2内包含机关管理区域网络拓扑所有的网络信息，pc0不能ping通服务器ip。员工区域pcl可以正常ping通，正常的访问网页www.lzp.com。

5 总结

本文在单机环境下，使用思科网络模拟器Packet Tracer6。O提出了访问控制列表综合实验方案，设计了三个区域网络拓扑和IP地址方案，验证了访问控制列表功能效果。本文的实验方案既节约了网络硬件设备的投入和部署，又让我们学生随时随地学习网络技术全面提升了新工科背景下网络工程专业学生网络技术应用能力。

参考文献（ References）

[1]胡波，冯辉，韩伟力，徐雷.加快新工科建设，推进工程教育改革创新——“综合性高校工程教育发展战略研讨会”综述[J].复旦教育论坛，2017，15（02）：2027+2.

[2]王焰新.高校创新创业教育的反思与模式构建[J].中国大学教学，2015（04）： 4-7+24.