計算機網(wǎng)絡(luò)課程設(shè)計報告(ACL)

1、華南農(nóng)業(yè)大學(xué)信息學(xué)院課程設(shè)計課程設(shè)計題目：ACL計劃學(xué)時：2周所屬課程名稱：計算機網(wǎng)絡(luò)課程設(shè)計開設(shè)時間： 2015學(xué)年第二學(xué)期 授課班級： 13計算機科學(xué)與技術(shù)5班指導(dǎo)教師：周敏老師學(xué)生姓名：陳正陽學(xué) 號：201330320509 信息學(xué)院評分標(biāo)準(zhǔn)封面格式（5）正文格式（10）題目理解準(zhǔn)確度（30）程序設(shè)計質(zhì)量（30）設(shè)計報告質(zhì)量（25）得分總分 ACL摘要：訪問控制列表（Access Control List，ACL） 是路由器和交換機接口的指令列表，用來控制端口進(jìn)出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議，如IP、IPX、AppleTalk等。信息點間通信和內(nèi)外網(wǎng)絡(luò)的通信都是企業(yè)網(wǎng)絡(luò)中必不可

2、少的業(yè)務(wù)需求，為了保證內(nèi)網(wǎng)的安全性，需要通過安全策略來保障非授權(quán)用戶只能訪問特定的網(wǎng)絡(luò)資源，從而達(dá)到對訪問進(jìn)行控制的目的。簡而言之，ACL可以過濾網(wǎng)絡(luò)中的流量，是控制訪問的一種網(wǎng)絡(luò)技術(shù)手段。配置ACL后，可以限制網(wǎng)絡(luò)流量，允許特定設(shè)備訪問，指定轉(zhuǎn)發(fā)特定端口數(shù)據(jù)包等。如可以配置ACL，禁止局域網(wǎng)內(nèi)的設(shè)備訪問外部公共網(wǎng)絡(luò)，或者只能使用FTP服務(wù)。ACL既可以在路由器上配置，也可以在具有ACL功能的業(yè)務(wù)軟件上進(jìn)行配置。ACL是物聯(lián)網(wǎng)中保障系統(tǒng)安全性的重要技術(shù)，在設(shè)備硬件層安全基礎(chǔ)上，通過對在軟件層面對設(shè)備間通信進(jìn)行訪問控制，使用可編程方法指定訪問規(guī)則，防止非法設(shè)備破壞系統(tǒng)安全，非法獲取系統(tǒng)數(shù)據(jù)。關(guān)鍵

3、字：ACL安全策略，OSPF 路由，默認(rèn)路由，CHAP身份驗證的PPP1 引言（簡單闡述選題的應(yīng)用背景，意義與目的） 訪問控制列表（Access Control List，ACL）是路由器和交換機接口的指令列表，用來控制端口進(jìn)出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議，如IP、IPX、AppleTalk等。這張表中包含了匹配關(guān)系、條件和查詢語句，表只是一個框架結(jié)構(gòu)，其目的是為了對某種訪問進(jìn)行控制。   ACL可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能；ACL可以提供對通信流量的控制手段；ACL是提供網(wǎng)絡(luò)安全訪問的基本手段；ACL可以在路由器端口處決定哪種類型的通信流量

4、被轉(zhuǎn)發(fā)或被阻塞。 目前有兩種主要的ACL:標(biāo)準(zhǔn)ACL和擴展ACL。 標(biāo)準(zhǔn)的ACL使用1  99 以及13001999之間的數(shù)字作為表號，擴展的ACL使用 100 199以及20002699之間的數(shù)字作為表號。  標(biāo)準(zhǔn)ACL可以阻止來自某一網(wǎng)絡(luò)的所有通信流量，或者允許來自某一特定網(wǎng)絡(luò)的所有通信流量，或者拒絕某一協(xié)議簇（比如IP）的所有通信流量。  擴展ACL比標(biāo)準(zhǔn)ACL提供了更廣泛的控制范圍。例如，網(wǎng)絡(luò)管理員如果希望做到“允許外來的Web通信流量通過，拒絕外來的FTP和Telnet等通信流量”，那么，他可以使用擴展ACL來達(dá)到

5、目的，標(biāo)準(zhǔn)ACL不能控制這么精確。  本次實驗主要通過理解上述ACL的意義及功能，通過自己配置ACL來實現(xiàn)對任意網(wǎng)段的數(shù)據(jù)的阻塞和對任意網(wǎng)段的ping服務(wù)進(jìn)行阻塞，以達(dá)到學(xué)會ACL基本配置，理解ACL的功能及實現(xiàn)為目的。2 總體設(shè)計 （本部分闡述設(shè)計思路及方案選擇）2.1 學(xué)習(xí)目標(biāo) 配置帶有 CHAP 身份驗證的 PPP 配置默認(rèn)路由 配置 OSPF 路由 實施并檢驗多項 ACL 安全策略 2.2 所用開發(fā)工具主要用Cisco Packet Tracer完成開發(fā)工作2.3 地址表設(shè)備接口IP 地址子網(wǎng)掩碼HQS0/0/052S0/0/110.

6、1.1.552S0/1/052Fa0/0Fa0/B1S0/0/052Fa0/0Fa0/B2S0/0/052Fa0/0Fa/0/ISPS0/0/0209.165.201.

7、152Fa0/02952Web Server網(wǎng)卡30522.4實驗所配拓?fù)鋱D：3 詳細(xì)設(shè)計（如果是程序設(shè)計方面的題目需要涉及程序設(shè)計流程，功能模塊，實現(xiàn)功能測試等部分。如果是網(wǎng)絡(luò)配置方面的題目，需要涉及具體操作步驟，實現(xiàn)功能，及相關(guān)測試。）總體拓?fù)鋱D：3.1配置帶有 CHAP 身份驗證的 PPP步驟 1）. 將 HQ 和 B1 之間的鏈路配置為使用帶有 CHAP 身份驗證的 PPP 封裝。CHAP 身份驗證的口令是 cisco123。B1:username

8、 HQ password cisco123interface Serial0/0/0 encapsulation ppp ppp authentication chapHQ:username B1 password 0 cisco123interface Serial0/0/0 encapsulation ppp ppp authentication chap步驟 2）. 將 HQ 和 B2 之間的鏈路配置為使用帶有 CHAP 身份驗證的 PPP 封裝。CHAP 身份驗證的口令是 cisco123。B2:username HQ password 0 cisco123interface

9、 Serial0/0/0 encapsulation ppp ppp authentication chapHQ:username B2 password 0 cisco123interface Serial0/0/1 encapsulation ppp ppp authentication chap步驟 3）. 檢查路由器之間是否已恢復(fù)連通性。HQ 應(yīng)能 ping 通 B1 和 B2。接口恢復(fù)可能需要幾分鐘。在 Realtime（實時）模式和 Simulation（模擬）模式之間來回切換可加快此過程。要讓 Packet Tracer 加快此過程，另一種可行的方法是對接口使用shutdown&

10、#160;和 no shutdown 命令。Ping通圖：注：由于 Packet Tracer 程序缺陷，接口可能會在練習(xí)期間的任何時候隨機關(guān)閉。請等待幾秒鐘，通常接口會自行重新打開。步驟 4）. 檢查結(jié)果。完成比例應(yīng)為 29%。如果并非如此，請單擊 Check Results（檢查結(jié)果）查看尚未完成哪些必要部分。3.2配置默認(rèn)路由步驟 1. 配置從 HQ 到 ISP 的默認(rèn)路由。在 HQ 上使用送出接口參數(shù)配置默認(rèn)路由，將所有默認(rèn)流量發(fā)送到 ISP。HQ操作：HQ(config)#ip route Serial0/1/0步驟 2.

11、 測試與 Web Server 的連通性。從 HQ 的 Serial0/1/0 接口發(fā)出 ping。HQ 應(yīng)該能成功 ping 通 Web Server (30)。注：這部分沒有PING通。3.3配置 OSPF 路由步驟 1. 在 HQ 上配置 OSPF。使用進(jìn)程 ID 1 配置 OSPF。通告除 網(wǎng)絡(luò)外的所有子網(wǎng)。向 OSPF 相鄰設(shè)備傳播默認(rèn)路由。在接入 ISP 和接入 HQ LAN 的接口上禁用 OSPF 更新。HQ:router ospf 1 passive-interface FastEthernet0/0 passive-int

12、erface FastEthernet0/1 passive-interface Serial0/1/0 network 55 area 0 network 55 area 0 network area 0 network area 0 default-information originate步驟 2. 在 B1 和 B2 上配置 OSPF。使用進(jìn)程 ID 1 配置 OSPF。在每臺路由器上配置適當(dāng)?shù)淖泳W(wǎng)。在接入 LAN 的接口上禁用 OSPF 更新。B1:

13、router ospf 1 passive-interface FastEthernet0/0 passive-interface FastEthernet0/1 network area 0 network 55 area 0 network 55 area 0B2:router ospf 1 passive-interface FastEthernet0/0 passive-interface FastEthernet0/1 network area 0

14、network 55 area 0 network 55 area 0步驟 3. 測試整個網(wǎng)絡(luò)的連通性。現(xiàn)在，網(wǎng)絡(luò)應(yīng)該實現(xiàn)了完全的端到端連通性。所有設(shè)備均應(yīng)能夠成功 ping 通所有其它設(shè)備，包括地址為 30 的 Web Server。PC1ping通PC2和PC4圖：PC1ping通PC6和PC7圖：步驟 4. 檢查結(jié)果。完成比例應(yīng)為 76%。如果并非如此，請單擊 Check Results（檢查結(jié)果）查看尚未完成哪些必要部分。3.4實施多項 ACL 安全策略步驟 1. 實施第一項安全策略

15、。阻止 網(wǎng)絡(luò)訪問 網(wǎng)絡(luò)。允許對 的所有其它訪問。在 HQ 上使用 ACL 編號 10 配置 ACL。使用標(biāo)準(zhǔn) ACL 還是擴展 ACL？答：擴展將 ACL 應(yīng)用到哪個接口？答：Fa0/0將 ACL 應(yīng)用于哪個方向？答：入站方向HQ: access-list 10 deny 55 access-list 10 permit anyinterface FastEthernet0/1 ip access-group 10 out步驟 2. 檢查第一項安全策略是否已實現(xiàn)。從 PC5 ping PC1 應(yīng)該失敗

16、。Pc5pingPC1失敗圖：步驟 3. 檢查結(jié)果。完成比例應(yīng)為 80%。如果并非如此，請單擊 Check Results（檢查結(jié)果）查看尚未完成哪些必要部分。步驟 4. 實施第二項安全策略。拒絕主機 訪問主機 。允許所有其它主機訪問 。在 B1 上使用 ACL 編號 115 配置 ACL。使用標(biāo)準(zhǔn) ACL 還是擴展 ACL？答：擴展將 ACL 應(yīng)用到哪個接口？答案：B2將 ACL 應(yīng)用于哪個方向？答：Fa0/1B1:access-list 115 deny ip host host ac

17、cess-list 115 permit ip any anyinterface FastEthernet0/0 ip access-group 115 in步驟 5. 檢查第二項安全策略是否已實現(xiàn)。從 PC5 ping PC3 應(yīng)該失敗。PC5 ping PC3失敗圖：步驟 6. 檢查結(jié)果。完成比例應(yīng)為 85%。如果并非如此，請單擊 Check Results（檢查結(jié)果）查看尚未完成哪些必要部分。步驟 7. 實施第三項安全策略。拒絕從 到 3 的主機通過 Web 訪問地址為 6 的內(nèi)部網(wǎng)服務(wù)器。允許所有其它訪問。在適當(dāng)?shù)穆酚善?/p>

18、上使用 ACL 編號 101 配置 ACL。使用標(biāo)準(zhǔn) ACL 還是擴展 ACL？答：擴展在哪臺路由器上配置該 ACL？答：HQ將 ACL 應(yīng)用到哪個接口？答：S0/1/0將 ACL 應(yīng)用于哪個方向？答：入站方向HQ:access-list 101 deny tcp 3 host 6 eq www access-list 101 permit ip any anyinterface FastEthernet0/0 ip access-group 101 in步驟 8. 檢查第三項安全策略是否已實現(xiàn)。要測試此策略，請單擊 PC3，然后單擊

19、0;Desktop（桌面）選項卡，再單擊 Web Browser（Web 瀏覽器）。URL 應(yīng)鍵入內(nèi)部網(wǎng)服務(wù)器的 IP 地址 6，然后按 Enter。幾秒后應(yīng)收到 Request Timeout（請求超時）消息。PC2 和該網(wǎng)絡(luò)中的所有其它 PC 都應(yīng)該能夠訪問內(nèi)部網(wǎng)服務(wù)器。PC3訪問內(nèi)部網(wǎng)服務(wù)器失敗圖：PC1連接內(nèi)部網(wǎng)成功圖：PC5連接內(nèi)部網(wǎng)成功圖：PC6連接內(nèi)部網(wǎng)成功圖：PC2連接內(nèi)部網(wǎng)成功圖：PC4連接內(nèi)部網(wǎng)成功圖：步驟 9. 檢查結(jié)果。完成比例應(yīng)為 90%。如果并非如此，請單擊 Check Results（檢查結(jié)果）查看尚未完成哪些必要部

20、分。步驟 10. 實施第四項安全策略。使用名稱 NO_FTP 配置命名 ACL，阻止 /24 網(wǎng)絡(luò)訪問文件服務(wù)器 () 上的 FTP 服務(wù)（端口 21）。所有其它訪問都應(yīng)允許。注意：名稱區(qū)分大小寫。使用標(biāo)準(zhǔn) ACL 還是擴展 ACL？答：擴展在哪臺路由器上配置該 ACL？答：B2將 ACL 應(yīng)用到哪個接口？答：Fa0/1將 ACL 應(yīng)用于哪個方向？答：入站方向B2:ip access-list extended NO_FTP deny tcp 55 host eq ftp permit

21、 ip any anyinterface FastEthernet0/1 ip access-group NO_FTP in步驟 11. 檢查結(jié)果。Packet Tracer 不支持測試 FTP 訪問，因此您無法檢驗此策略。不過，完成比例應(yīng)為 95%。如果并非如此，請單擊 Check Results（檢查結(jié)果）查看尚未完成哪些必要部分。步驟 12. 實施第五項安全策略。由于 ISP 代表與 Internet 之間的連通性，因此請按照下列順序配置名為 FIREWALL 的命名 ACL：· 僅允許來自 ISP 和來自 ISP 之外任何源地址的入站 ping

22、應(yīng)答。· 僅允許來自 ISP 和來自 ISP 之外任何源地址的已建立 TCP 會話。· 明確阻止來自 ISP 和來自 ISP 之外任何源地址的所有其它入站訪問使用標(biāo)準(zhǔn) ACL 還是擴展 ACL？答：擴展在哪臺路由器上配置該 ACL？答：HQ將 ACL 應(yīng)用到哪個接口？答:S0/1/0將 ACL 應(yīng)用于哪個方向？答：入站方向HQ:ip access-list extended FIREWALL permit icmp any any echo-reply permit tcp any any established deny ip any anyinterface Seria

23、l0/1/0 description Link to ISP ip access-group FIREWALL in步驟 13. 檢查第五項安全策略是否已實現(xiàn)。此策略的測試結(jié)果應(yīng)該是任何 PC 都能 ping 通 ISP 或 Web Server。但 ISP 和 Web Server 應(yīng)該都無法 ping 通 HQ 或 FIREWALL ACL 后的任何其它設(shè)備。PC1ping通ISP圖：ISPping不通PC1,PC2和PC3圖：ISPping不通PC4,PC5和File server圖：ISPping不通PC6,PC7圖：Web Server ping不通PC1和PC2圖：步驟 14. 檢查結(jié)果。完成比例應(yīng)為 100%。如果并