基于Cisco的訪問控制列表技術的網絡實踐

李蔓菲，周 瑋

（四川工商學院電子信息工程學院，四川 成都 611745）

1 方案設計

1.1 設計背景

本次設計的題目就是要構建一個小型的校園局域通信網絡，選取成都市某實驗中學為例。學校設施分為致遠樓、靜思樓、崇德樓三棟教學樓，圖書館、學生食堂、教師食堂、行政樓以及教師公寓、學生公寓、三個小型實驗樓等主要建筑設施。因為構建的是一個小型的校園局域網，所以在拓撲規劃中只劃分出了三棟教學樓，行政樓以及教師公寓、學生公寓和三個實驗樓。設計的最終目的就是通過相關設備的協議及技術配置使該校園網絡能夠全網互通并且能夠安全訪問。

1.2 確定的方案

經過一系列的資料搜集和導師的指導，最終確定的設計方案是利用思科模擬器來完成小型校園局域網的拓撲結構搭建。拓撲結構共有1 個公共服務器、8臺路由器、8 臺三層交換機、10 臺二層交換機及15臺PC 機，劃分9 個部門及8 個子網，并在相關設備上運行OSPF、NAT、HSRP 協議，配置標準ACL 和擴展ACL 限制相關部門之間的訪問，同時在拓撲中通過其中一臺路由器能夠telnet 訪問登錄別的路由器，并做OSPF 認證，實現整個網絡互通和安全訪問，最后進以一步加強網絡安全。具體搭建的校園網絡拓撲圖如圖1 所示：

圖1 拓撲設計圖

2 詳細設計

2.1 IP 的規劃和VLAN 的劃分

此部分一共分為了三個模塊，即PC 機的IP 和網關規劃、三層交換機以及路由器的相關VLAN 和IP 規劃，每個模塊具體闡述如下部分。

整個拓撲中根據教師公寓、行政樓、學生公寓、教學樓（崇德樓、致遠樓、靜思樓）、實驗樓1、實驗樓2、實驗樓3 部門需要共設置15 臺PC 機，因為本設計搭建的是小型的校園局域網絡，C 類地址適用于校園網和辦公網絡等小型網絡，所以在本設計中使用C 類地址，采用192.168.0.0 網段來劃分它們的IP地址、子網掩碼及默認網關。根據不同的部門，一共劃分了8 個VLAN，分別對應的是教師公寓、行政樓、學生公寓崇德樓、致遠樓、靜思樓、實驗樓1、實驗樓2 及實驗樓3。

2.2 基本配置及協議配置

完成二層交換機、三層交換機以及路由器的相關配置以后完成相關協議及技術配置。

（1）協議配置

協議及技術配置分為OSPF 協議和動態NAT 及HSRP 配置三個部分。配置OSPF 協議以實現全網互通。使用公有地址池進行動態轉換時，分配這些地址使用的原則是先到先得，當私有IP 地址的主機請求訪問外網時，NAT 將從公有地址池中選擇未被占用的IP 地址對其進行一對一的轉化。當完成數據會話后，路由器會將公有IP 地址釋放并使其回到地址池，以提供其他內部私有IP 地址的轉換。配置HSRP 是為了實現路由備份的目的。

（2）動態NAT 配置

校園內網中有設備需要去訪問公網，則需要通過NAT 把私網的IP 地址轉換成公網的IP 地址，在配置時，使用公有地址池中的地址進行IP 地址轉換，以達到訪問公網的目的。在router0 上通過動態NAT 實現校園內網地址轉換為公網地址，訪問外網114.114.100.0/24，通過向ISP（Internet 服務提供商）申請得到地址池，內網主機訪問外網，內網的私有地址將被動態的、隨機的轉換成合法地址。

（3）HSRP 協議配置

HSRP 的可靠性較高，在網絡的一組路由器中，只有一臺活動的用來轉發數據包的路由器，如果該路由器出故障了，備份路由器將接管主動路由器的任務。當拓撲中兩臺路由器中的其中一臺壞掉時，HSRP 可保證順利切換成另一臺備份的路由器，這就解決了當主路由器出故障時路由器切換的問題。

2.3 ACL 技術實現

訪問控制列表(Access Control List,ACL)是路由器與交換機接口的指令列表，其工作在OSI 參考模型三層以上設備，用來控制端口進出的數據包。按照給定的規則，將數據包中的第三、四層中的包頭信息進行分析處理，并判斷是否轉發該數據包。ACL 可在路由器上配置，也可在具有ACL 功能的業務軟件上配置。

ACL 技術能保護網絡中的用戶，使其免遭病毒的干擾，它適用于中小型局域網，配置ACL 后，不僅可以限制網絡流量，還能允許特定的設備訪問網絡，例如，配置ACL 禁止局域網內的設備訪問外部公網。此外，它可以阻止非法用戶的訪問，保護資源節點，特定的用戶節點具備的訪問權限也能被ACL 限制。

（1）ACL 的工作原理

當一個數據包傳輸到路由器的接口時，第一步就是檢查它的訪問控制列表，若執行控制列表中有拒絕和允許的操作，路由器將會丟棄被拒絕的數據包，然后，被允許的數據包進入到路由選擇狀態，根據路由表，對進入路由選擇狀態的數據包執行路由選擇，如果路由表中沒有到達目標網絡的路由，相應的數據包就會被路由器丟棄，反之，則數據包被送到相應的網絡接口。當ACL 處理數據包時，如果包中的內容與控制列表中某條ACL 語句的內容是匹配的，就跳過列表中剩余的語句，以這條匹配的語句內容作為依據，從而決定該數據包是被允許還是被拒絕，反之，ACL 列表中的下一條語句就會依次對分組進行測試，該匹配過程會一直持續到列表末尾的時候。ACL 應用在接口上，接下來以ACL 應用在入接口上為例進行說明，工作流程如圖2 所示：

圖2 應用于入接口的ACL

ACL 規則在配置時需要遵循的三個基本原則為：第一個是最小特權原則，它僅向受控對象提供完成任務所需的最小特權。第二個最接近控制原理的方法，即使用規則檢查自身時，如果找到匹配項，則會在ACL 列表中從上到下逐一檢測，找到匹配項后，會立即將其交付，檢測到的ACL 語句將不會再繼續。第三是基本處置原則。默認規則“全部拒絕”將自動添加到每個訪問控制列表的末尾。換句話說，該數據包將被拒絕并被丟棄，因為在執行所有ACL 語句后找不到匹配的數據包。

（2）ACL 的分類

ACL 有兩類，分別為標準ACL 和擴展ACL。標準ACL 編號范圍為1-99，匹配的是IP 包中的源地址，可以拒絕或允許匹配的包。擴展ACL 的編號范圍為100-199，它有更多的匹配項，如協議類型、源或目的地址、源端口及目的端口等。

a.標準ACL

標準ACL 可以拒絕或允許來自某一特定網絡的通信流量。 其格式為：access-list accesslist-number{permit|deny}{source[sourcewildcard]|any}。標準ACL 對整個TCP/IP 協議生效，使用源IP 地址過濾數據包，從而允許或拒絕基于子網或主機的IP 地址的所有通信流量通過路由器的接口。

b.擴展ACL

擴展ACL 在數據包的過濾方面靈活性更強，其編號范圍為100-199 或2000-2699，擴展ACL 能提供多種匹配項（源地址及目的地址、源端口及目的端口、協議類型等），并對它們進行過濾，擴展ACL 可以更精確的過濾流量[10]。擴展ACL 的通用格式：accesslistaccess-listnumber{permit|deny}{protocolprotocol-keyword}{source[source-wildcard]|any}{destination-wildcard|any}[protocol-specific options][log]。

綜上，ACL 是一種語句集合，表示允許或拒絕的規則，這些語句通過檢查數據包地址、端口號等來控制網絡通信過程中的數據流，總之，它能保護網絡的安全，提高網絡通信質量。

（3）ACL 的作用

ACL的作用有很多，首先，它能限制網絡中的流量。其次，它能在路由器的端口處決定哪一類或哪幾類的數據流量能夠被轉發或被阻塞，同時可以提供手段去控制通信流量。再次，ACL 是提供對網絡的安全訪問的主要方法。最后，ACL 能提高網絡性能。

（4）ACL 的應用場景

a.登錄控制:就是控制登錄權限，允許合法用戶登錄并拒絕非法用戶訪問，有效防止未經授權的用戶的非法訪問，以保證網絡的安全性。

配置ACL 后，telnet 不成功，但仍可使用ping 命令驗證router0 到router2 的互通性，由于只拒絕了telnet協議而放行了icmp協議，所以是能夠ping通的。

b.相關部門訪問權限配置:ACL 可以通過定義規則允許或拒絕流量的通過。本設計中利用標準ACL 用來限制學生公寓不能訪問教師公寓和行政樓，從而保護了行政樓和教師公寓的信息。標準ACL 在三層交換機2 上配置。

選用擴展ACL 通過限制行政樓的電腦訪問教學樓的網絡,擴展ACL 用來限制行政樓不能訪問教學樓，保證該樓電腦無法訪問教學樓的網，但能訪問內網其他的電腦，實現了行政樓電腦對互聯網的防護。擴展ACL 在三層交換機1 上配置。

ACL 配置完后，行政樓不能訪問教學樓、學生公寓不能訪問教師公寓和行政樓的目的即可實現，相關驗證在測試與驗證部分。

3 測試及驗證

該設計完成了全網互通以及相關協議的配置，接下來，完成測試及驗證。該部分分成三個測試模塊，分別為全網互通測試、內外網互通、ACL效果配置驗證。配置好ACL 后，限制訪問的部門之間是不能夠互通的，通過以上驗證，ACL 技術起到了作用，即設計目的已經實現。