郭 雅 李泗蘭

（1.華南師范大學增城學院 廣東 廣州 511363；2.惠州市科技職業(yè)技術學校 廣東 惠州 516001）

0 引言

隨著計算機和網絡技術的高速發(fā)展，網絡規(guī)模日益龐大，網絡中的安全問題也日趨嚴重。安全采用的技術很多，訪問控制列表（ACL）是實現(xiàn)基本的網絡安全的手段之一。初期僅在路由器上支持，近些年來已經擴展到三層交換機，部分最新的二層交換機如2960之類也開始提供ACL的支持。只不過支持的特性不是那么完善而已。

訪問控制列表技術是高校計算機網絡專業(yè)學生必須掌握的實驗內容，但由于高校投入資金少，購置交換機、路由器等網絡設備還不能滿足學生的需求，學生實際操作機會少。這就使得學生在學習理論知識時感覺抽象難懂。利用Packet Tracer模擬軟件實現(xiàn)三層交換訪問控制列表實驗，能達到很好的教學效果。

1 ACL基本原理與類型

1.1 ACL技術的基本原理

訪問控制列表是使用包過濾技術，在路由器上讀取第三層及第四層包頭中的信息如源地址、目的地址、源端口、目的端口等，根據預先定義好的規(guī)則對包進行過濾，從而達到訪問控制的目的。

ACL中規(guī)定了兩種操作，所有的應用都是圍繞這兩種操作來完成的：允許、拒絕。ACL主要用于對入站數(shù)據、出站數(shù)據、被路由器中繼的數(shù)據進行控制。

1.2 ACL 技術的類型

訪問控制列表大體劃分為兩類：標準訪問控制列表和擴展訪問控制列表，他們的命令都具有基本格式：Access-list-number{permit/deny}match-condition。

1）標準ACL。其編號一般為1～99之間的整數(shù)值。標準的訪問控制列表只根據分組內的源地址進行過濾，占用路由器資源較少，應用比較廣泛，但是控制級別較低。

2）擴展ACL。其編號一般為101～199之間的整數(shù)值。擴展訪問控制列表不僅可以檢查數(shù)據包的源地址，還可以檢查數(shù)據包的目的地址、協(xié)議類型和TCP/UDP協(xié)議族的端口號，具有更大的靈活性和可擴充性。但是擴展ACL會消耗大量的路由器CPU資源，一般來說中低檔路由器還是使用標準訪問控制列表比較有效。

2 利用PT模擬三層交換訪問控制列表實驗

2.1 實驗目的

1）理解訪問控制列表的作用；

2）掌握訪問控制列表的配置和使用方法。

2.2 實驗拓撲圖設計

圖1 網絡拓撲結構圖

2.3 實驗設計與實現(xiàn)

根據圖1網絡拓撲圖結構，需規(guī)劃好vlan和IP地址，詳細參考表1。對于如何劃分vlan、接口如何劃分到相應接口、PC機及服務器IP地址的設置等，在這里就不詳細闡述。配置完需要測試，保證PC1、PC2、Server1、Server2都能互通才能做訪問控制列表實驗。

表1 IP地址表

2.3.1 標準訪問控制列表實驗

實驗要求：PC1只能訪問Server1主機、Server2網絡。PC2不能訪問Server1主機，可以訪問Server2網絡。

配置步驟如下：

2.3.2 實驗效果驗證

在PC1上測試ping服務器1和服務器2，結果是能ping通，其他不能ping通。PC2不能ping通服務器1，能ping通服務器2，配置符合實驗要求。

2.3.3 擴展訪問控制列表實驗

實驗要求：PC1只能訪問Server1主機、Server2網絡。PC2不能訪問Server1主機，可以訪問Server2網絡。

配置步驟如下：

2.3.4 實驗效果驗證

在PC1上測試ping服務器1和服務器2，結果是能ping通，其他不能ping通。PC2不能ping通服務器1，能ping通服務器2，配置符合實驗要求。

3 結語

從上實驗可以看出，訪問控制列表用不同的配置方式可以達到相同的效果，具體設置可以根據相應的需求設置。訪問控制列表還有其他功能，例如禁止端口、協(xié)議等，在這里就不再詳細闡述。通過Packet Tracer仿真技術模擬實驗，學生不但可以獨立完成整個實驗過程，還避免了真實設備帶來的種種弊端，讓學生把所學理論知識應用到實踐中，提高了學習興趣和效率。

［1］郭雅.計算機網絡實驗指導書[M].北京：電子工業(yè)出版社，2012.

［2］唐燈平.基于Packet Tracer的訪問控制列表實驗教學設計[J].長沙通信職業(yè)技術學院學報,2011,10(1):52-57.

［3］郭雅，李泗蘭.基于Packet Tracer仿真技術的校園網構建技術研究[J].電腦知識與技術,2012,8(12):2746-2749.