計算機網(wǎng)絡(luò)專業(yè)課程設(shè)計方案報告ACL

華南農(nóng)業(yè)大學信息學院課程設(shè)計課程設(shè)計題目：ACL籌劃學時：2周所屬課程名稱：計算機網(wǎng)絡(luò)課程設(shè)計開設(shè)時間：第二學期授課班級：13計算機科學與技術(shù)5班指引教師：周敏教師學生姓名：陳正陽學號：30320509信息學院評分原則封面格式（5％）正文格式（10％）題目理解精確度（30％）程序設(shè)計質(zhì)量（30％）設(shè)計報告質(zhì)量（25％）得分總分ACL摘要：訪問控制列表（AccessControlList，ACL）是路由器和互換機接口指令列表，用來控制端口進出數(shù)據(jù)包。ACL合用于所有被路由合同，如IP、IPX、AppleTalk等。信息點間通信和內(nèi)外網(wǎng)絡(luò)通信都是公司網(wǎng)絡(luò)中必不可少業(yè)務(wù)需求，為了保證內(nèi)網(wǎng)安全性，需要通過安全方略來保障非授權(quán)顧客只能訪問特定網(wǎng)絡(luò)資源，從而達到對訪問進行控制目。簡而言之，ACL可以過濾網(wǎng)絡(luò)中流量，是控制訪問一種網(wǎng)絡(luò)技術(shù)手段。配備ACL后，可以限制網(wǎng)絡(luò)流量，容許特定設(shè)備訪問，指定轉(zhuǎn)發(fā)特定端口數(shù)據(jù)包等。如可以配備ACL，禁止局域網(wǎng)內(nèi)設(shè)備訪問外部公共網(wǎng)絡(luò)，或者只能使用FTP服務(wù)。ACL既可以在路由器上配備，也可以在具備ACL功能業(yè)務(wù)軟件上進行配備。ACL是物聯(lián)網(wǎng)中保障系統(tǒng)安全性重要技術(shù)，在設(shè)備硬件層安全基本上，通過對在軟件層面對設(shè)備間通信進行訪問控制，使用可編程辦法指定訪問規(guī)則，防止非法設(shè)備破壞系統(tǒng)安全，非法獲取系統(tǒng)數(shù)據(jù)。核心字：ACL安全方略，OSPF路由，默認路由，CHAP身份驗證PPP1引言（簡樸闡述選題應(yīng)用背景，意義與目）訪問控制列表（Access

Control

List，ACL）是路由器和互換機接口指令列表，用來控制端口進出數(shù)據(jù)包。ACL合用于所有被路由合同，如IP、IPX、AppleTalk等。這張表中包括了匹配關(guān)系、條件和查詢語句，表只是一種框架構(gòu)造，其目是為了對某種訪問進行控制。

ACL可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能；ACL可以提供對通信流量控制手段；ACL是提供網(wǎng)絡(luò)安全訪問基本手段；ACL可以在路由器端口處決定哪種類型通信流量被轉(zhuǎn)發(fā)或被阻塞。當前有兩種重要ACL:原則ACL和擴展ACL。原則ACL使用1

~

99

以及1300~1999之間數(shù)字作為表號，擴展ACL使用

100

~199以及~2699之間數(shù)字作為表號。

原則ACL可以制止來自某一網(wǎng)絡(luò)所有通信流量，或者容許來自某一特定網(wǎng)絡(luò)所有通信流量，或者回絕某一合同簇（例如IP）所有通信流量。

擴展ACL比原則ACL提供了更廣泛控制范疇。例如，網(wǎng)絡(luò)管理員如果但愿做到“容許外來Web通信流量通過，回絕外來FTP和Telnet等通信流量”，那么，她可以使用擴展ACL來達到目，原則ACL不能控制這樣精準。

本次實驗重要通過理解上述ACL意義及功能，通過自己配備ACL來實現(xiàn)對任意網(wǎng)段數(shù)據(jù)阻塞和對任意網(wǎng)段ping服務(wù)進行阻塞，以達到學會ACL基本配備，理解ACL功能及實現(xiàn)為目。2總體設(shè)計（本某些闡述設(shè)計思路及方案選?。?.1學習目的?配備帶有CHAP身份驗證PPP?配備默認路由?配備OSPF路由?實行并檢查多項ACL安全方略2.2所用開發(fā)工具重要用CiscoPacketTracer完畢開發(fā)工作2.3地址表設(shè)備接口IP地址子網(wǎng)掩碼HQS0/0/052S0/0/52S0/1/052Fa0/0Fa0/B1S0/0/052Fa0/0Fa0/B2S0/0/052Fa0/0Fa/0/ISPS0/0/052Fa0/02952WebServer網(wǎng)卡30522.4實驗所配拓撲圖：3詳細設(shè)計（如果是程序設(shè)計方面題目需要涉及程序設(shè)計流程，功能模塊，實現(xiàn)功能測試等某些。如果是網(wǎng)絡(luò)配備方面題目，需要涉及詳細操作環(huán)節(jié)，實現(xiàn)功能，及有關(guān)測試。）總體拓撲圖：3.1配備帶有CHAP身份驗證PPP環(huán)節(jié)1）.將HQ和B1之間鏈路配備為使用帶有CHAP身份驗證PPP封裝。CHAP身份驗證口令是

cisco123。B1:usernameHQpasswordcisco123interfaceSerial0/0/0

encapsulationppp

pppauthenticationchapHQ:usernameB1password0cisco123interfaceSerial0/0/0

encapsulationppp

pppauthenticationchap環(huán)節(jié)2）.將HQ和B2之間鏈路配備為使用帶有CHAP身份驗證PPP封裝。CHAP身份驗證口令是

cisco123。B2:usernameHQpassword0cisco123interfaceSerial0/0/0

encapsulationppp

pppauthenticationchapHQ:usernameB2password0cisco123interfaceSerial0/0/1

encapsulationppp

pppauthenticationchap環(huán)節(jié)3）.檢查路由器之間與否已恢復(fù)連通性。HQ應(yīng)能ping通B1和B2。接口恢復(fù)也許需要幾分鐘。在Realtime（實時）模式和Simulation（模仿）模式之間來回切換可加快此過程。要讓PacketTracer加快此過程，另一種可行辦法是對接口使用shutdown

和

noshutdown

命令。Ping通圖：注：由于PacketTracer程序缺陷，接口也許會在練習期間任何時候隨機關(guān)閉。請等待幾秒鐘，普通接口會自行重新打開。環(huán)節(jié)4）.檢查成果。完畢比例應(yīng)為29%。如果并非如此，請單擊

CheckResults（檢查成果）查看尚未完畢哪些必要某些。3.2配備默認路由環(huán)節(jié)1.配備從HQ到ISP默認路由。在HQ上使用送出接口參數(shù)配備默認路由，將所有默認流量發(fā)送到ISP。HQ操作：HQ(config)#iprouteSerial0/1/0環(huán)節(jié)2.測試與WebServer連通性。從HQSerial0/1/0接口發(fā)出ping。HQ應(yīng)當能成功ping通WebServer(30)。注：這某些沒有PING通。3.3配備OSPF路由環(huán)節(jié)1.在HQ上配備OSPF。使用進程ID1配備OSPF。告示除網(wǎng)絡(luò)外所有子網(wǎng)。向OSPF相鄰設(shè)備傳播默認路由。在接入ISP和接入HQLAN接口上禁用OSPF更新。HQ:routerospf1

passive-interfaceFastEthernet0/0

passive-interfaceFastEthernet0/1

passive-interfaceSerial0/1/0

network55area0

network55area0

networkarea0

networkarea0

default-informationoriginate環(huán)節(jié)2.在B1和B2上配備OSPF。使用進程ID1配備OSPF。在每臺路由器上配備恰當子網(wǎng)。在接入LAN接口上禁用OSPF更新。B1:routerospf1

passive-interfaceFastEthernet0/0

passive-interfaceFastEthernet0/1

networkarea0

network55area0

network55area0B2:routerospf1

passive-interfaceFastEthernet0/0

passive-interfaceFastEthernet0/1

networkarea0

network55area0

network55area0環(huán)節(jié)3.測試整個網(wǎng)絡(luò)連通性。當前，網(wǎng)絡(luò)應(yīng)當實現(xiàn)了完全端到端連通性。所有設(shè)備均應(yīng)可以成功ping通所有其他設(shè)備，涉及地址為30WebServer。PC1ping通PC2和PC4圖：PC1ping通PC6和PC7圖：環(huán)節(jié)4.檢查成果。完畢比例應(yīng)為76%。如果并非如此，請單擊

CheckResults（檢查成果）查看尚未完畢哪些必要某些。3.4實行多項ACL安全方略環(huán)節(jié)1.實行第一項安全方略。制止網(wǎng)絡(luò)訪問網(wǎng)絡(luò)。容許對所有其他訪問。在HQ上使用ACL編號10配備ACL。使用原則ACL還是擴展ACL？答：擴展將ACL應(yīng)用到哪個接口？答：Fa0/0將ACL應(yīng)用于哪個方向？答：入站方向HQ:

access-list10deny55

access-list10permitanyinterfaceFastEthernet0/1

ipaccess-group10out環(huán)節(jié)2.檢查第一項安全方略與否已實現(xiàn)。從PC5pingPC1應(yīng)當失敗。Pc5pingPC1失敗圖：環(huán)節(jié)3.檢查成果。完畢比例應(yīng)為80%。如果并非如此，請單擊

CheckResults（檢查成果）查看尚未完畢哪些必要某些。環(huán)節(jié)4.實行第二項安全方略。回絕主機訪問主機。容許所有其他主機訪問。在B1上使用ACL編號115配備ACL。使用原則ACL還是擴展ACL？答：擴展將ACL應(yīng)用到哪個接口？答案：B2將ACL應(yīng)用于哪個方向？答：Fa0/1B1:access-list115denyiphosthost

access-list115permitipanyanyinterfaceFastEthernet0/0

ipaccess-group115in環(huán)節(jié)5.檢查第二項安全方略與否已實現(xiàn)。從PC5pingPC3應(yīng)當失敗。PC5pingPC3失敗圖：環(huán)節(jié)6.檢查成果。完畢比例應(yīng)為85%。如果并非如此，請單擊

CheckResults（檢查成果）查看尚未完畢哪些必要某些。環(huán)節(jié)7.實行第三項安全方略?；亟^從到3主機通過Web訪問地址為6內(nèi)部網(wǎng)服務(wù)器。容許所有其他訪問。在恰當路由器上使用ACL編號101配備ACL。使用原則ACL還是擴展ACL？答：擴展在哪臺路由器上配備該ACL？答：HQ將ACL應(yīng)用到哪個接口？答：S0/1/0將ACL應(yīng)用于哪個方向？答：入站方向HQ:access-list101denytcp3host6eqwww

access-list101permitipanyanyinterfaceFastEthernet0/0

ipaccess-group101in環(huán)節(jié)8.檢查第三項安全方略與否已實現(xiàn)。要測試此方略，請單擊PC3，然后單擊

Desktop（桌面）選項卡，再單擊

WebBrowser（Web瀏覽器）。URL應(yīng)鍵入內(nèi)部網(wǎng)服務(wù)器IP地址6，然后按

Enter。幾秒后應(yīng)收到RequestTimeout（祈求超時）消息。PC2和該網(wǎng)絡(luò)中所有其他PC都應(yīng)當可以訪問內(nèi)部網(wǎng)服務(wù)器。PC3訪問內(nèi)部網(wǎng)服務(wù)器失敗圖：PC1連接內(nèi)部網(wǎng)成功圖：PC5連接內(nèi)部網(wǎng)成功圖：PC6連接內(nèi)部網(wǎng)成功圖：PC2連接內(nèi)部網(wǎng)成功圖：PC4連接內(nèi)部網(wǎng)成功圖：環(huán)節(jié)9.檢查成果。完畢比例應(yīng)為90%。如果并非如此，請單擊

CheckResults（檢查成果）查看尚未完畢哪些必要某些。環(huán)節(jié)10.實行第四項安全方略。使用名稱

NO_FTP

配備命名ACL，制止/24網(wǎng)絡(luò)訪問文獻服務(wù)器()上FTP服務(wù)（端口21）。所有其他訪問都應(yīng)容許。注意：名稱區(qū)別大小寫。使用原則ACL還是擴展ACL？答：擴展在哪臺路由器上配備該ACL？答：B2將ACL應(yīng)用到哪個接口？答：Fa0/1將ACL應(yīng)用于哪個方向？答：入站方向B2:ipaccess-listextendedNO_FTP

denytcp55hosteqftp

permitipanyanyinterfaceFastEthernet0/1

ipaccess-groupNO_FTPin環(huán)節(jié)11.檢查成果。PacketTracer不支持測試FTP訪問，因而您無法檢查此方略。但是，完畢比例應(yīng)為95%。如果并非如此，請單擊

CheckResults（檢查成果）查看尚未完畢哪些必要某些。環(huán)節(jié)12.實行第五項安全方略。由于ISP代表與Internet之間連通性，因而請按照下列順序配備名為

FIREWALL

命名ACL：·僅容許來自ISP和來自ISP之外任何源地址入站ping應(yīng)答?！H容許來自ISP和來自ISP之外任何源地址已建立TCP會話?！っ鞔_制止來自ISP和來自ISP之外任何源地址所有其他入站訪問使用原則ACL還是擴展ACL？答：擴展在哪臺路由器上配備該ACL？答：HQ將ACL應(yīng)用到哪個接口？答:S0/1/0將ACL應(yīng)用于哪個方向？答：入站方向HQ:ipaccess-listextendedFIREWALL

permiticmpanyanyecho-reply

permittcpanyanyestablished

denyipanyanyinterfaceSerial0/1/0

descriptionLinktoISP

ipaccess-groupFIREWALLin環(huán)節(jié)13.檢查第五項安全方略與否已實現(xiàn)。此方略測試成果應(yīng)當是任何PC都能ping通ISP或WebServer。但ISP和WebServer應(yīng)當都無法ping通HQ或

FIREWALL

ACL后任何其他設(shè)備。PC1ping通ISP圖：ISPping不通PC1,PC2和PC3圖：ISPping不通PC4,PC5和Fileserver圖：ISPping不通PC6,PC7圖：WebServerping不通PC1和PC2圖：環(huán)節(jié)14.檢查成果。完畢比例應(yīng)為100%。如果并非如此，請單擊

CheckResults（檢查成果）查看尚未完畢哪些必要某些。4總