基于Packet Tracer模擬軟件配置路由器ACL

李晉超

（山西機電職業技術學院 信息與管理工程系，山西 長治 046011）

基于Packet Tracer模擬軟件配置路由器ACL

李晉超

（山西機電職業技術學院 信息與管理工程系，山西 長治 046011）

文章簡要地介紹了訪問控制列表（Access Control Lists）的概念和技術以及Packet Tracer模擬軟件的技術特性，較為詳細地介紹了如何利用Packet Tracer模擬軟件實現路由器標準IPACL和擴展IPACL配置，并驗證配置結果。

Packet Tracer；路由器；標準IPACL；擴展IP ACL

1 引言

隨著計算機網絡技術的迅速發展，網絡安全越來越受到人們的重視。交換機、路由器已經成為構建網絡的主要設備。通過路由器建立訪問控制列表，定義一些規則對網絡設備接口上的數據報文進行控制，允許通過或丟棄，從而提高網絡可管理性和安全性，是實現基本的網絡安全手段之一。本文基于Packet Tracer模擬軟件設計了由路由器、PC機等組成的網絡拓撲圖，在路由器上進行了標準IP訪問控制列表配置和擴展IP訪問控制列表配置，并在實際的網絡設備上進行了實驗驗證。

2 Packet Tracer簡介

Packet Tracer（簡稱PT）是由思科公司推出的一款Cisco路由器、交換機模擬軟件。PT模擬軟件比Boson功能強大，比Dynamips操作簡單，用戶可以利用提供的網絡模擬環境進行設計、配置、排除網絡故障，是學習組網、配置、協議分析不可或缺的好幫手。PT模擬軟件支持大量的設備仿真模型:路由器、交換機、無線網絡設備、服務器、各種連接電纜、終端等，還能仿真各種模塊，這在實際實驗設備中是無法配置齊全的[1]；并可提供數據包在網絡中行進的詳細處理過程，觀察網絡實時運行情況。目前最新的版本是PT5.3，它支持VPN，AAA認證等高級配置。

3 訪問控制列表（Access Control Lists）基本原理

訪問控制列表稱為ACL（Access Control Lists），俗稱防火墻，在路由器上根據第三層或第四層包頭中的信息、如源地址、目的地址、源端口以及上層協議等對數據包進行過濾。通過ACL可以實現以下功能：檢查和過濾數據包、限制網絡流量、提高網絡性能、限制或減少路由更新的內容、提供網絡訪問的基本安全級別、控制用戶網絡行為、控制網絡病毒的傳播[2]。ACL種類很多，一般分為標準ACL、擴展ACL、命名 ACL、基于時間的 ACL、動態 ACL、自反ACL、基于上下文的訪問控制（CBAC）等，根據不同的環境應使用不同種類的訪問控制列表。

本文借助PT模擬軟件進行標準IP ACL和擴展IPACL配置實驗，其工作原理如下。

（1）標準IP訪問控制列表。標準IP訪問控制列表ACL編號范圍為1～99，其作用為根據數據包的源地址對數據進行過濾，采取拒絕（deny）或允許（permit）兩種操作。標準IP訪問控制列表的基本格式為：access-list[list number][permit|deny][host/any][sourceaddress][wildcard-mask][log]。

（2）擴展IP訪問控制列表。擴展IP訪問控制列表ACL編號范圍為100～199，可以處理更多的匹配項，包括協議類型、源地址、目的地址、源端口、目的端口等，根據這些匹配項對數據包進行過濾，采取拒絕或允許兩種操作。擴展的IP訪問控制列表的一般語法格式如下：access-list[list number][permit|deny][protocol][源主機范圍][源端口][目的主機范圍][目的端口][其他選項]。

3.1 配置標準IP訪問控制列表

（1）參照標準IP訪問控制列表配置拓撲圖（圖1）和參數配置表（表1）配置各路由器的端口及PC機。

圖1 標準IP訪問控制列表配置拓撲圖

（2）分別對Router0和Router1進行靜態路由配置并且查看其路由表。

（3）驗證PC0與PC2、PC1與PC3是否能夠通信。

在 PC0 上運行 ping 192.168.4.2（success）

在 PC1 上運行 ping 192.168.5.2（success）

（4）在路由器Router0上配置標準IP ACL，實現PC0與PC2能夠正常通信，但PC1與PC3不能通信的實驗效果。

表1 參數配置表

（5）經過測試，結果顯示配置標準IP ACL實驗成功。

在PC0上運行ping 192.168.4.2（success）

在PC1上運行ping 192.168.5.2（Reply from 192.168.2.1:Destination host unreachable）3.2 配置擴展IP訪問控制列表

（1）參照擴展IP訪問控制列表配置拓撲圖（圖2）和參數配置表（表2）配置各路由器的端口及PC機。

圖2 擴展IP訪問控制列表配置拓撲圖

表2 參數配置表

（2）在各路由器上配置靜態路由協議，使PC0與PC1能相互通信，因為只有在互通的前提下才涉及到訪問控制列表。

（3）在PC0上驗證能否與PC1通信，能否通過PC0的Web瀏覽器訪問PC1。

在 PC0 上運行 ping 192.168.4.2（success）

在PC0上運行Web瀏覽器：http：//192.168.4.2（success）

（4）在Router1上配置擴展IP ACL，實現PC0能夠通過瀏覽器訪問PC1，但PC0不能與PC1通信的實驗效果。

（5）經過測試，結果顯示配置擴展IP ACL實驗成功。

在 PC0上運行 ping 192.168.4.2（Reply from 192.168.2.2:Destination host unreachable）

在PC0上運行Web瀏覽器：http：//192.168.4.2（success）

4 結束語

通過PT模擬軟件實現了標準IP ACL和擴展IP ACL配置實驗，對配置前后的結果進行了測試，并在實際的網絡設備上進行了驗證，證明基于PT模擬軟件配置路由器ACL是可行的。利用PT模擬軟件進行網絡實驗，不僅加深了對相關知識的理解，也提高了工程實踐能力，具有廣泛推廣價值。

［1］竇琨，趙海麗，馬國泰.用Packet Tracer模擬軟件提高《網絡互聯技術》實驗教學效果［J］.電腦知識與技術，2009，（36）：10476-10477.

［2］吳剛.Cisco路由器 ACL 剖析［J］.計算機安全，2010，（9）：91-94.

［3］王東，秦品樂，林焰.計算機網絡工程實踐教程［M］.大連：大連理工大學出版社，2010.

［4］崔北亮.CCNA 認證指南（640-802）［M］.北京：電子工業出版社，2009.

TP393

A

1673-2014（2011）02-0064-04

2011—01—10

李晉超（1983— ），男，山西長治人，助教，碩士，主要從事計算機理論與教學研究。