訪問控制列表技術綜合實驗設計與實現

李政蓬 張孝臨

摘要：本文基于最新的Packet Tracer6.0模擬器，提出了一套完整的路徑訪問控制列表的實驗設計方案，描述了業務需求、網絡拓撲結構、設備配置和功能測試，實驗結果良好，為學習其他網絡技術提供了很好的參考方案。

關鍵字：訪問控制列表 綜合實驗 模擬器

1 緒論

ACL是保障保護客戶pc以及網絡安全的重要技術，在設備硬件層安全基礎上，通過對在軟件層面對硬件設備通信進行訪問控制，使用可編程方法指定訪問規則，防止非法設備破壞系統安全，非法獲取系統數據。ACL不僅僅只可以保護限制流量，還可以通過制定數據包的優先級來提高網絡性能在模擬器內可采用虛擬的網絡設備來組建常見的網絡拓撲，在網絡拓撲內可按照使用需求加入多種網絡設備。

2 實驗設計

實驗通過模擬器使用Packet Tracer 6.0模擬器來組建整個網絡拓撲圖。在拓撲結構內依據功能需求來完成組網設備的配置和最終結果的驗證。

2.1 實驗拓撲

按照實驗要求使用Packet Tracer6.0模擬器組建公司網拓撲。

公司網絡拓撲結構分為是三個部分：經理，管理員，員工。經理pc端與管理員及員工屬于靜態路由相連接。員工區域pc端通過管理員區域三層交換機通過ospf路由協議動態獲取IP地址。

（1）經理區域一臺pc，使用私有ip地址段192.168.133.0/24。機關管理員區域有一臺服務器終端及一臺pc，分別使用192.168.130.0/24和192.168.131.0/24。員工區域使用私有192.168.129.0/24地址段。

（2）經理區域采用靜態路由協議進行交互，路由器routerl為經理區域邊界路由器。機關管理區域采用ospf。員工區域采用ospf路由協議通過機關管理區域的三層交換機Ms0動態獲取IP地址劃分到子接口下，并將員工區域私有網段192 .168. 129.0/24劃分為三個子網，分屬于不同的VLAN中。

（3）三個管理區域之間，即路由器routerl，router2和三層交換機ms0有靜態路由及dhcp進行信息交互通信。

3 設備配置

3.1 經理區域

3.1.1 設置經理區域私有IP地址，設置靜態路由

Router（config）#ip router 192.168.129.0 255.255.255.0192.168.132.1

Router（config）#ip router 192.168.130.0 255.255.255.0192.168.132.2

Router（config）#ip router 192.168.130.0 255.255.255.0192.168.132.2

3.2機關管理員區域

3.2.1創建虛接口并添加IP地址池

Switch（config）#router ospf l

Switch（config-router）#net

192. 168 .130.0255.255.255.192 area 2

Switch（config—router）#net

192. 168 .132.0255.255.255.192 area O

3.2.3開啟三層交換機的路由功能

Switch（config）#ip routing

3.2.4添加訪問控制列表acl（讓VLANIO pco pc3 pc6不能ping通服務器，但是可以訪問網頁）

Switch（config）#access-list 100 deny icmp 192.168.130.00.0.0.63 host 192.168.29.253

在server0的DNS下添加訪問網頁：www.lzp.comaddress： 192.168.130.1。并開啟DNS SERVICE.

3.3 員工區域

3.3.1在switch0，switchl，switch2分別創建vlan并封裝IP地址池

Switch（config-vlan）#int f 0/3

Switch（configif）#swi acc vlan 30

Switch（config-vlan）#int f 0/4

Switch（config_if）#swi m t

3.3.2創建子接口封裝IP地址池

Router（config）#int f 0/0.1

Router（configsubif）# no shutdoWn

Router（config）#int f 0/0.3

Router（configsubif）#encapsulation dotlQ 30

3.3.3添加osof協議直連

Router（configrouter）# net

192.168 .132.0

255.255. 255.Oarea O

3.3.4添加dhcp獲取動態IP地址

Router（config）#ip dhcp pool 10

Router（dhcp-config）#net 192.168.129.0 255.255.255.192

Router（dhcp-config）#dns 192.168.130.1

Router（config）#ip dhcp pool 20

Router（dhcp-config）# net

192. 168. 129. 64255.255.255.192

Router（dhcp-config）#dns 192.168.130.1

Router（config）#ip dhcp pool 30

Router（dhcp-config）# net

192 .168 .129.128255.255.255.192

Router（dhcp-config）#dns 192.168.130.1

j.j.）添加靜態路由

Router（config）#ip route 192.168.129.0 255.255.255.0192.168.132.1

4 實驗結果驗證

在三個邊界路由器配置完訪問控制列表后，通過查看各個區域的路由表及賠償是否可以相互ping通訪問。

4.1 查看r1路由表。

r2路由表信息，pc0，pc3，pc6不能ping通服務器，但是可以訪問服務器網頁，router2內包含機關管理區域網絡拓撲所有的網絡信息，pc0不能ping通服務器ip。員工區域pcl可以正常ping通，正常的訪問網頁www.lzp.com。

5 總結

本文在單機環境下，使用思科網絡模擬器Packet Tracer6。O提出了訪問控制列表綜合實驗方案，設計了三個區域網絡拓撲和IP地址方案，驗證了訪問控制列表功能效果。本文的實驗方案既節約了網絡硬件設備的投入和部署，又讓我們學生隨時隨地學習網絡技術全面提升了新工科背景下網絡工程專業學生網絡技術應用能力。

參考文獻（ References）

[1]胡波，馮輝，韓偉力，徐雷.加快新工科建設，推進工程教育改革創新——“綜合性高校工程教育發展戰略研討會”綜述[J].復旦教育論壇，2017，15（02）：2027+2.

[2]王焰新.高校創新創業教育的反思與模式構建[J].中國大學教學，2015（04）： 4-7+24.