陳建銳

(湛江師范學(xué)院實驗教學(xué)管理處，廣東 湛江 524048)

訪問控制列表配置仿真實驗設(shè)計

陳建銳

(湛江師范學(xué)院實驗教學(xué)管理處，廣東 湛江 524048)

訪問控制列表(access control list,ACL)是解決和提高網(wǎng)絡(luò)安全性的方法之一。探討了訪問控制列表的基本概念及工作原理，針對該實驗的教學(xué)要求與特點，運用Boson Netsim軟件提供的虛擬平臺進(jìn)行實驗教學(xué)設(shè)計，解決了當(dāng)前網(wǎng)絡(luò)實驗室建設(shè)中的重要問題，提高了網(wǎng)絡(luò)實驗的教學(xué)質(zhì)量。

Boson Netsim；訪問控制列表；實驗設(shè)計

訪問控制是當(dāng)前網(wǎng)絡(luò)安全保護(hù)與防范的其中一種主要策略，其主要任務(wù)是使得網(wǎng)絡(luò)資源不被非法使用和訪問。路由器通過利用訪問控制列表技術(shù)(aeeess control list，ACL)的安全特性來允許或拒絕報文通過，從而構(gòu)建一個穩(wěn)定有效、堅固安全的防御體系，既能抵御外部的攻擊又能限制內(nèi)部用戶對外部的非法訪問，大大提高了網(wǎng)絡(luò)的安全性。

訪問控制列表實驗是網(wǎng)絡(luò)實驗課程必需理解掌握的一個重點，其難點在于對其配置和使用，過程中容易出現(xiàn)錯誤。在傳統(tǒng)的實驗環(huán)境中進(jìn)行訪問控制列表配置實驗較為復(fù)雜，需要使用路由器、交換機(jī)、PC機(jī)、網(wǎng)線等多種硬件，而且對實驗環(huán)境的搭建過程要求繁瑣?，F(xiàn)實中硬件設(shè)備與經(jīng)費的不足常常制約了相關(guān)實驗的開展［1］。針對以上存在問題，筆者利用Boson Netsim仿真軟件構(gòu)建了一個適合訪問控制列表配置實驗開展的仿真實驗環(huán)境?湛江師范學(xué)院自然科學(xué)研究青年項目(QL1114)。。

1 訪問控制列表基本原理與類型

1.1訪問控制列表基本原理

訪問控制列表是對經(jīng)過路由器的數(shù)據(jù)流進(jìn)行判斷、分類、過濾并分析其合法性的技術(shù)。包含源地址、目的地址、端口號等信息的語句的集合，每條語句稱之為一個規(guī)則，由允許和拒絕語句組成的條件列表，將數(shù)據(jù)包信息與訪問控制列表規(guī)則進(jìn)行匹配比較，對到達(dá)的數(shù)據(jù)包執(zhí)行允許或拒絕處理。據(jù)此能起到阻止非法用戶對網(wǎng)絡(luò)資源的正常訪問，并可對特定的用戶的訪問權(quán)限進(jìn)行限制，從而實現(xiàn)在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞，以達(dá)到限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能的目的，實現(xiàn)對路由器和網(wǎng)絡(luò)的安全控制。

1.2訪問控制列表的基本類型

1)標(biāo)準(zhǔn)訪問控制列表 一個標(biāo)準(zhǔn)訪問控制列表匹配IP包中的源地址或源地址中的一部分，可對匹配的包采取拒絕或允許2個操作。編號范圍是從1到99的訪問控制列表是標(biāo)準(zhǔn)IP訪問控制列表。命令格式如下：

Access-list access-list-number {permit|deny} source［source-wildcard］

其中，access-list-number 訪問控制列表號，標(biāo)準(zhǔn)為1-99，擴(kuò)展為100-199；source表示源IP地址；source-wildcard表示通配符掩碼，該掩碼與子網(wǎng)掩碼剛好相反，如掩碼為：192.168.1.0 255.255.255.0 則通配符掩碼寫成：0.0.0.255。特別地，0.0.0.0 255.255.255.255 寫成any，把192.168.1.1 0.0.0.0寫成host 192.168.1.1(針對某一個主機(jī))。當(dāng)有多條訪問控制條件時，采用同一列表號進(jìn)行多次定義即可。

2)擴(kuò)展訪問控制列表 擴(kuò)展訪問控制列表比標(biāo)準(zhǔn)IP訪問控制列表具有更多的匹配項，包括協(xié)議類型、源地址、目的地址、源端口、目的端口等。編號范圍是從100到199的訪問控制列表是擴(kuò)展IP訪問控制列表。命令格式如下：

其中，protocol用來標(biāo)識協(xié)議類型；source ［source-wildcard］表示源IP地址及通配符掩碼；destination ［destination-wildcard］為目標(biāo)IP地址及通配符掩碼；operator port為通訊的端口號，如eq80(http)、eq23(telnet)、eq25(smtp)、eq110(pop3)、eq20(ftp數(shù)據(jù)端口)、eq21(ftp控制端口)等。

2 Boson Netsim軟件

Boson NetSim是一套由BosonNetwork Designer (實驗拓?fù)鋱D設(shè)計軟件)和Boson NetSim(實驗環(huán)境模擬器)2個部分組成的用于模擬Cisco路由器、交換機(jī)等的軟件產(chǎn)品［4］。Boson Network Design 能根據(jù)實驗的需要設(shè)計描繪出相應(yīng)的拓?fù)鋱D，能提供附帶的樣圖予用戶直接選定使用，用戶也可以根據(jù)自己的思想設(shè)計所需的拓?fù)鋱D。拓?fù)湓O(shè)計軟件的主界面主要分為菜單欄、設(shè)備列表、設(shè)備信息和繪圖區(qū),菜單欄主要提供文件、設(shè)備的一些連接操作；設(shè)備列表則提供模擬的環(huán)境給用戶進(jìn)行使用,設(shè)備信息的主界面的設(shè)備區(qū)則列出了設(shè)備的參數(shù),包括數(shù)目和型號；繪圖區(qū)放置了各種設(shè)備的平臺。

Boson NetSim 是模擬各種路由器、交換機(jī)搭建起來的實驗環(huán)境。用戶可以在此放入各種型號的路由器或交換機(jī)，觀察實驗結(jié)果,對運行的協(xié)議進(jìn)行診斷等。Boson NetSim 主要分為菜單欄、工具欄和路由器(交換機(jī))配置界面。菜單欄的前3個按鈕主要是用來切換待配置的設(shè)備(路由器、交換機(jī)和工作站PC)。配置界面可以觀察用戶輸入交換機(jī)、路由器配置命令,也觀察交換機(jī)、路由器配置命令輸出。

該軟件提供了一個能夠輸入配置命令、驗證理論和實例的環(huán)境。利用其仿真界面，學(xué)生根據(jù)實際情況可以自行定義各種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和設(shè)備連接方式以搭建所需的網(wǎng)絡(luò)實驗環(huán)境。

3 訪問控制列表配置實驗

3.1實驗?zāi)康呐c要求

①從實驗角度來幫助理解路由器中重要的安全控制技術(shù)訪問控制列表的工作原理；②對路由器IP訪問控制列表ACL進(jìn)行配置與監(jiān)測，掌握標(biāo)準(zhǔn)訪問控制列表和擴(kuò)展訪問控制列表的配置和使用方法；③掌握實驗工具Boson Netsim模擬器的使用方法。

3.2實驗拓?fù)浣Y(jié)構(gòu)

表1 PC機(jī)的IP地址和網(wǎng)關(guān)

圖1 訪問控制列表實驗網(wǎng)絡(luò)拓?fù)鋱D

該實驗設(shè)計在網(wǎng)絡(luò)中模擬出PC機(jī)4臺，操作系統(tǒng)為Windows2000 Professional；每臺主機(jī)配置一個IP地址，模擬出Cisco路由器2臺，分別為R1、R2；把PC機(jī)和路由器連接起來,配置路由器。啟動Boson Network Designer，根據(jù)實驗要求利用Boson Network Designer繪制實驗拓?fù)浣Y(jié)構(gòu)圖［6］，如圖1所示。運行Boson NetSim，用File菜單中的Load NetMap命令把拓?fù)鋱Dmap.top裝入Boson進(jìn)行配置。單擊工具欄中的NetMap可以看到裝入的拓?fù)鋱D。為了達(dá)到實驗?zāi)康?，先進(jìn)行IP地址規(guī)劃，PC機(jī)的IP地址按表1進(jìn)行配置。

用File菜單中的Load Sigle Device Config(merge)命令把R1.rtr、R2.rtr、PC1.rtr、PC2.rtr、PC3.rtr、PC4.rtr裝入對應(yīng)的設(shè)備。各設(shè)備的接口、IP地址、路由等都已經(jīng)配置好了，各網(wǎng)絡(luò)之間都已經(jīng)可以通信了。

3.3實驗設(shè)計與實現(xiàn)

1)標(biāo)準(zhǔn)訪問控制列表的配置實驗 ①實驗配置內(nèi)容。在路由器R1上配置標(biāo)準(zhǔn)訪問控制列表(ACL)做到以下控制要求：(a)對網(wǎng)絡(luò)192.168.1.0/24：拒絕來自網(wǎng)絡(luò)10.1.1.0/24和10.1.2.0/24的訪問；(b)對網(wǎng)絡(luò)172.16.1.0/24：拒絕來自網(wǎng)絡(luò)192.168.1.0/24中的IP地址為192.168.1.1-192.168.1.15的主機(jī)訪問。配置完成后，用ping命令驗證各PC機(jī)的通信情況。②配置路由器R1。進(jìn)入全局配置模式：

R1>enable

R1#configure terminal

創(chuàng)建表號為1的訪問控制列表：

R1(config)#access-list 1 deny 10.1.1.0 0.0.0.255

R1(config)#access-list 1 deny 10.1.2.0 0.0.0.255

R1(config)#access-list 1 permit any

創(chuàng)建表號為2的訪問控制列表：

R1(config)#access-list 2 deny 192.168.1.0 0.0.0.15

R1(config)#access-list 2 permit any

把ACL1用于R1的E0口：

R1(config)#interface e0

R1(config-if)#ip access-group 1 out

R1(config-if)#exit

把ACL2用于R1的E1口：

R1(config)#interface e1

R1(config-if)#ip access-group 2 out

R1(config-if)#end

配置完成后，PC1與PC2、PC3、PC4均不通。PC2與PC1不通，但和PC3、PC4可通。如果把PC1的IP地址改為192.168.1.16，則PC1與PC2可通。

2)擴(kuò)展訪問控制列表的配置 ①配置內(nèi)容。在路由器R1上配置擴(kuò)展訪問控制列表(ACL)做到以下控制要求：(a)只允許網(wǎng)段192.168.1.0/24訪問主機(jī)10.1.1.1的WWW服務(wù)，拒絕其他網(wǎng)絡(luò)服務(wù)；(b)只允許網(wǎng)段172.16.1.0/24訪問主機(jī)10.1.1.1的TFTP服務(wù)，拒絕其他網(wǎng)絡(luò)服務(wù)；(c)使主機(jī)PC1(192.168.1.1)不能訪問主機(jī)PC4(10.1.2.1)的FTP功能，但其他可以訪問。Boson軟件不支持用表號的方式建立擴(kuò)展訪問控制列表，只能用命名的擴(kuò)展訪問控制列表進(jìn)行定義。any關(guān)鍵字可以正常使用。如果在實驗之前路由器上已經(jīng)設(shè)置了標(biāo)準(zhǔn)訪問列表,可用no ip access-group 1命令刪除。②配置路由器R1。進(jìn)入全局配置模式：

R1>enable

R1#configure terminal

創(chuàng)建名字為list101的訪問控制列表：

R1(config)#ip access-list extended list101

R1(config-ext-nacl)#deny 192.168.1.0 0.0.0.255 host 10.1.1.1

R1(config-ext-nacl)#permit tcp 192.168.1.0 0.0.0.255 host 10.1.1.1 eq 80

R1(config-ext-nacl)#deny 172.16.1.0 0.0.0.255 host 10.1.1.1

R1(config-ext-nacl)# permit udp 172.16.1.0 0.0.0.255 host 10.1.1.1 eq 69

R1(config-ext-nacl)#deny ip host 192.168.1.1 host 10.1.2.1 eq 20

R1(config-ext-nacl)#deny ip host 192.168.1.1 host 10.1.2.1 eq 21

R1(config-ext-nacl)#permit ip any any

R1(config-ext-nacl)#exit

把list101用于R1的S0口：

R1(config)#interface s0

R1(config-if)#ip access-group list101 in

R1(config-if)#end

配置完成后，可用相關(guān)命令查看實驗結(jié)果：可分別在PC1可以與PC3進(jìn)行WWW連接，但不能執(zhí)行其它類型的數(shù)據(jù)連接。PC2可以與PC3進(jìn)行TFTP連接，但不能執(zhí)行其它類型的數(shù)據(jù)連接。PC1不可以與PC3進(jìn)行FTP連接，但能執(zhí)行其它類型的數(shù)據(jù)連接。

3.4試驗效果

通過以上試驗可表明，在使用Boson Netsim軟件搭建的仿真實驗環(huán)境中能正常開展訪問控制列表配置實驗。構(gòu)建該獨立的實驗環(huán)境能提供獨立動手與思考的條件，能針對性的設(shè)計實驗重點，在實驗的過程中能有序的完成相關(guān)的技術(shù)配置，輸入相關(guān)命令可方便直觀的對比查看不同類型訪問控制列表的工作情況，有助于清晰理解訪問控制技術(shù)的原理與特點，實驗教學(xué)效果明顯。

4 結(jié) 語

Boson NetSim軟件給計算機(jī)網(wǎng)絡(luò)實驗教學(xué)提供了一種有效的工具。筆者探討了Boson NetSim 的特點與訪問控制列表工作原理，提出的一種新的實驗教學(xué)方案既符合計算機(jī)網(wǎng)絡(luò)課程的要求，也切合實際的實驗環(huán)境，在現(xiàn)有資源上開展更多的網(wǎng)絡(luò)實驗課程，節(jié)約資源，利于開展，管理方便，并能取得良好的實驗教學(xué)效果，對推動實驗室建設(shè)與實驗課程的開展有明顯的幫助。

［1］陳勇兵.路由器訪問控制列表應(yīng)用與實踐［J］.實驗技術(shù)與管理，2010，27(3)：92-93.

［2］李領(lǐng)治,陸建德.基于NetSim 的計算機(jī)網(wǎng)絡(luò)實驗教學(xué)方案［J］.實驗技術(shù)與管理.2009，26(2)：150-153.

［3］王芳，韓國棟，李鑫．路由器訪問控制列表及其實現(xiàn)技術(shù)研究［J］ .計算機(jī)工程與設(shè)計，2007,28(23): 5638-5639.

［4］陳建銳.基于Boson Netsim的網(wǎng)絡(luò)地址轉(zhuǎn)換實驗教學(xué)設(shè)計［J］.實驗室研究與探索，2010，26(8)：56-62.

［5］Saadat Malik.網(wǎng)絡(luò)安全原理與實踐［M］ .王寶生等譯.北京：人民郵電出版社，2008：467-472.

［6］Steve McQuerry.CCNA學(xué)習(xí)指南：CISCO網(wǎng)絡(luò)設(shè)備互連(ICND2)［M］.李祥瑞 譯.北京：人民郵電出版社，2008.

［7］謝慧,聶峰.基于Boson Netsim的計算機(jī)網(wǎng)絡(luò)仿真實驗教學(xué)研究［J］.實驗技術(shù)與管理，2007，24(5)：89-91.

10.3969/j.issn.1673-1409(N).2012.07.041

TP391.9

A

1673-1409(2012)07-N120-04

2012-02-24

陳建銳(1981-)，男，2004年大學(xué)畢業(yè)，碩士，實驗師，現(xiàn)主要從事計算機(jī)與網(wǎng)絡(luò)應(yīng)用、實驗教學(xué)與管理方面的研究工作。

［編輯］ 洪云飛