李晉超

（山西機(jī)電職業(yè)技術(shù)學(xué)院 信息與管理工程系，山西 長(zhǎng)治 046011）

基于Packet Tracer模擬軟件配置路由器ACL

李晉超

（山西機(jī)電職業(yè)技術(shù)學(xué)院 信息與管理工程系，山西 長(zhǎng)治 046011）

文章簡(jiǎn)要地介紹了訪問(wèn)控制列表（Access Control Lists）的概念和技術(shù)以及Packet Tracer模擬軟件的技術(shù)特性，較為詳細(xì)地介紹了如何利用Packet Tracer模擬軟件實(shí)現(xiàn)路由器標(biāo)準(zhǔn)IPACL和擴(kuò)展IPACL配置，并驗(yàn)證配置結(jié)果。

Packet Tracer；路由器；標(biāo)準(zhǔn)IPACL；擴(kuò)展IP ACL

1 引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，網(wǎng)絡(luò)安全越來(lái)越受到人們的重視。交換機(jī)、路由器已經(jīng)成為構(gòu)建網(wǎng)絡(luò)的主要設(shè)備。通過(guò)路由器建立訪問(wèn)控制列表，定義一些規(guī)則對(duì)網(wǎng)絡(luò)設(shè)備接口上的數(shù)據(jù)報(bào)文進(jìn)行控制，允許通過(guò)或丟棄，從而提高網(wǎng)絡(luò)可管理性和安全性，是實(shí)現(xiàn)基本的網(wǎng)絡(luò)安全手段之一。本文基于Packet Tracer模擬軟件設(shè)計(jì)了由路由器、PC機(jī)等組成的網(wǎng)絡(luò)拓?fù)鋱D，在路由器上進(jìn)行了標(biāo)準(zhǔn)IP訪問(wèn)控制列表配置和擴(kuò)展IP訪問(wèn)控制列表配置，并在實(shí)際的網(wǎng)絡(luò)設(shè)備上進(jìn)行了實(shí)驗(yàn)驗(yàn)證。

2 Packet Tracer簡(jiǎn)介

Packet Tracer（簡(jiǎn)稱PT）是由思科公司推出的一款Cisco路由器、交換機(jī)模擬軟件。PT模擬軟件比Boson功能強(qiáng)大，比Dynamips操作簡(jiǎn)單，用戶可以利用提供的網(wǎng)絡(luò)模擬環(huán)境進(jìn)行設(shè)計(jì)、配置、排除網(wǎng)絡(luò)故障，是學(xué)習(xí)組網(wǎng)、配置、協(xié)議分析不可或缺的好幫手。PT模擬軟件支持大量的設(shè)備仿真模型:路由器、交換機(jī)、無(wú)線網(wǎng)絡(luò)設(shè)備、服務(wù)器、各種連接電纜、終端等，還能仿真各種模塊，這在實(shí)際實(shí)驗(yàn)設(shè)備中是無(wú)法配置齊全的[1]；并可提供數(shù)據(jù)包在網(wǎng)絡(luò)中行進(jìn)的詳細(xì)處理過(guò)程，觀察網(wǎng)絡(luò)實(shí)時(shí)運(yùn)行情況。目前最新的版本是PT5.3，它支持VPN，AAA認(rèn)證等高級(jí)配置。

3 訪問(wèn)控制列表（Access Control Lists）基本原理

訪問(wèn)控制列表稱為ACL（Access Control Lists），俗稱防火墻，在路由器上根據(jù)第三層或第四層包頭中的信息、如源地址、目的地址、源端口以及上層協(xié)議等對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾。通過(guò)ACL可以實(shí)現(xiàn)以下功能：檢查和過(guò)濾數(shù)據(jù)包、限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能、限制或減少路由更新的內(nèi)容、提供網(wǎng)絡(luò)訪問(wèn)的基本安全級(jí)別、控制用戶網(wǎng)絡(luò)行為、控制網(wǎng)絡(luò)病毒的傳播[2]。ACL種類很多，一般分為標(biāo)準(zhǔn)ACL、擴(kuò)展ACL、命名 ACL、基于時(shí)間的 ACL、動(dòng)態(tài) ACL、自反ACL、基于上下文的訪問(wèn)控制（CBAC）等，根據(jù)不同的環(huán)境應(yīng)使用不同種類的訪問(wèn)控制列表。

本文借助PT模擬軟件進(jìn)行標(biāo)準(zhǔn)IP ACL和擴(kuò)展IPACL配置實(shí)驗(yàn)，其工作原理如下。

（1）標(biāo)準(zhǔn)IP訪問(wèn)控制列表。標(biāo)準(zhǔn)IP訪問(wèn)控制列表ACL編號(hào)范圍為1～99，其作用為根據(jù)數(shù)據(jù)包的源地址對(duì)數(shù)據(jù)進(jìn)行過(guò)濾，采取拒絕（deny）或允許（permit）兩種操作。標(biāo)準(zhǔn)IP訪問(wèn)控制列表的基本格式為：access-list[list number][permit|deny][host/any][sourceaddress][wildcard-mask][log]。

（2）擴(kuò)展IP訪問(wèn)控制列表。擴(kuò)展IP訪問(wèn)控制列表ACL編號(hào)范圍為100～199，可以處理更多的匹配項(xiàng)，包括協(xié)議類型、源地址、目的地址、源端口、目的端口等，根據(jù)這些匹配項(xiàng)對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾，采取拒絕或允許兩種操作。擴(kuò)展的IP訪問(wèn)控制列表的一般語(yǔ)法格式如下：access-list[list number][permit|deny][protocol][源主機(jī)范圍][源端口][目的主機(jī)范圍][目的端口][其他選項(xiàng)]。

3.1 配置標(biāo)準(zhǔn)IP訪問(wèn)控制列表

（1）參照標(biāo)準(zhǔn)IP訪問(wèn)控制列表配置拓?fù)鋱D（圖1）和參數(shù)配置表（表1）配置各路由器的端口及PC機(jī)。

圖1 標(biāo)準(zhǔn)IP訪問(wèn)控制列表配置拓?fù)鋱D

（2）分別對(duì)Router0和Router1進(jìn)行靜態(tài)路由配置并且查看其路由表。

（3）驗(yàn)證PC0與PC2、PC1與PC3是否能夠通信。

在 PC0 上運(yùn)行 ping 192.168.4.2（success）

在 PC1 上運(yùn)行 ping 192.168.5.2（success）

（4）在路由器Router0上配置標(biāo)準(zhǔn)IP ACL，實(shí)現(xiàn)PC0與PC2能夠正常通信，但PC1與PC3不能通信的實(shí)驗(yàn)效果。

表1 參數(shù)配置表

（5）經(jīng)過(guò)測(cè)試，結(jié)果顯示配置標(biāo)準(zhǔn)IP ACL實(shí)驗(yàn)成功。

在PC0上運(yùn)行ping 192.168.4.2（success）

在PC1上運(yùn)行ping 192.168.5.2（Reply from 192.168.2.1:Destination host unreachable）3.2 配置擴(kuò)展IP訪問(wèn)控制列表

（1）參照擴(kuò)展IP訪問(wèn)控制列表配置拓?fù)鋱D（圖2）和參數(shù)配置表（表2）配置各路由器的端口及PC機(jī)。

圖2 擴(kuò)展IP訪問(wèn)控制列表配置拓?fù)鋱D

表2 參數(shù)配置表

（2）在各路由器上配置靜態(tài)路由協(xié)議，使PC0與PC1能相互通信，因?yàn)橹挥性诨ネǖ那疤嵯虏派婕暗皆L問(wèn)控制列表。

（3）在PC0上驗(yàn)證能否與PC1通信，能否通過(guò)PC0的Web瀏覽器訪問(wèn)PC1。

在 PC0 上運(yùn)行 ping 192.168.4.2（success）

在PC0上運(yùn)行Web瀏覽器：http：//192.168.4.2（success）

（4）在Router1上配置擴(kuò)展IP ACL，實(shí)現(xiàn)PC0能夠通過(guò)瀏覽器訪問(wèn)PC1，但PC0不能與PC1通信的實(shí)驗(yàn)效果。

（5）經(jīng)過(guò)測(cè)試，結(jié)果顯示配置擴(kuò)展IP ACL實(shí)驗(yàn)成功。

在 PC0上運(yùn)行 ping 192.168.4.2（Reply from 192.168.2.2:Destination host unreachable）

在PC0上運(yùn)行Web瀏覽器：http：//192.168.4.2（success）

4 結(jié)束語(yǔ)

通過(guò)PT模擬軟件實(shí)現(xiàn)了標(biāo)準(zhǔn)IP ACL和擴(kuò)展IP ACL配置實(shí)驗(yàn)，對(duì)配置前后的結(jié)果進(jìn)行了測(cè)試，并在實(shí)際的網(wǎng)絡(luò)設(shè)備上進(jìn)行了驗(yàn)證，證明基于PT模擬軟件配置路由器ACL是可行的。利用PT模擬軟件進(jìn)行網(wǎng)絡(luò)實(shí)驗(yàn)，不僅加深了對(duì)相關(guān)知識(shí)的理解，也提高了工程實(shí)踐能力，具有廣泛推廣價(jià)值。

［1］竇琨，趙海麗，馬國(guó)泰.用Packet Tracer模擬軟件提高《網(wǎng)絡(luò)互聯(lián)技術(shù)》實(shí)驗(yàn)教學(xué)效果［J］.電腦知識(shí)與技術(shù)，2009，（36）：10476-10477.

［2］吳剛.Cisco路由器 ACL 剖析［J］.計(jì)算機(jī)安全，2010，（9）：91-94.

［3］王東，秦品樂(lè)，林焰.計(jì)算機(jī)網(wǎng)絡(luò)工程實(shí)踐教程［M］.大連：大連理工大學(xué)出版社，2010.

［4］崔北亮.CCNA 認(rèn)證指南（640-802）［M］.北京：電子工業(yè)出版社，2009.

TP393

A

1673-2014（2011）02-0064-04

2011—01—10

李晉超（1983— ），男，山西長(zhǎng)治人，助教，碩士，主要從事計(jì)算機(jī)理論與教學(xué)研究。