路由与交换技术课程设计报告

信息工程学院

路由与交换技术课程设计报告

题目： 访问控制ACL 在企业内的应用 专业：信息管理与信息系统 班级：10级 姓名： xxx 学号：xxxxxxxxxx 完成时间: 20123 年 7 月 3 日 指导教师： xxx

一、选题目的和意义 选题的目的： ACL技术在路由器中被广泛采用，它是一种基于包过滤的流控制技术。标准访问控制列表通过把源地址、目的地址及端口号作为数据包检查的基本元素,并可以规定符合条件的数据包是否允许通过。ACL通常应用在企业的出口控制上,可以通过实施ACL，可以有效的部署企业网络出网策略。随着局域网内部网络资源的增加，一些企业已经开始使用ACL来控制对局域网内部资源的访问能力,进而来保障这些资源的安全性。 ACL技术可以有效的在三层上控制网络用户对网络资源的访问,它可以具体到两台网络设备间的网络应用,也可以按照网段进行大范围的访问控制管理，为网络应用提供了一个有效的安全手段。 一方面，采用ACL技术，网络管理员需要明确每一台主机及工作站所在的IP子网并确认它们之间的访问关系，适用于网络终端数量有限的网络。对于大型网络,为了完成某些访问控制甚至不得不浪费很多的IP地址资源。同时，巨大的网络终端数量，同样会增加管理的复杂度和难度。另一方面，维护ACL不仅耗时，而且在较大程度上增加路由器开销。访问控制列表的策略性非常强，并且牵涉到网络的整体规划,它的使用对于策略制定及网络规划的人员的技术素质要求比较高。因此，是否采用ACL技术及在多大的程度上利用它，是管理效益与网络安全之间的一个权衡。 访问控制列表（Access Control List，ACL） 是路由器和交换机接口的指令列表，用 来控制端口进出的数据包。 ACL 适用于所有的被路由协议,如 IP、IPX、AppleTalk 等。这 张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问 进行控制。 ACL 可以限制网络流量、提高网络性能；ACL 可以提供对通信流量的控制手段；ACL 是 提供网络安全访问的基本手段;ACL 可以在路由器端口处决定哪种类型的通信流量被转发或 被阻塞。 目前有两种主要的 ACL:标准 ACL 和扩展 ACL。 标准的 ACL 使用 1 ~ 99 以及 1300～1999 之间的数字作为表号,扩展的 ACL 使用 100 ～ 199 以及 2000～2699 之间的数字作为表号。 标准 ACL 可以阻止来自某一网络的所有通信流量， 或者允许来自某一特定网络的所有通 信流量,或者拒绝某一协议簇(比如 IP）的所有通信流量。 扩展 ACL 比标准 ACL 提供了更广泛的控制范围。例如,网络管理员如果希望做到“允许 外来的 Web 通信流量通过，拒绝外来的 FTP 和 Telnet 等通信流量” ，那么，他可以使用扩展 ACL 来达到目的，标准 ACL 不能控制这么精确。 路由器工作在网络层，是信息出入的必经之路，能有效的防止外部用户对局域网的安全访问。同时可以限制网络流量，也可以限制局域网内的用户或设备使 用网络资源。因此,网络路由过滤对网络的安全具有举足轻重的作用。 目前大部分的路由器都是通过访问控制列表技术来允许或拒绝报文通过。当路由器的访问控制列表的安全特性被充分利用时，路由器将变成一个有效的、稳 定的、安全的、坚固的防御体系,既能抵御外部的攻击，又能限制内部用户对外部的非法访问，在很大程度上提高了网络的安全性.因此，可以说访问控制列表是网络防御外来攻击的第一道关卡. 本文以某企业真实拓扑图为例，讨论如何利用路由器的访问控制列表技术提高网络的安全性。 2访问控制列表（ACL) 访问控制列表是应用在路由器接口的指令列表，这些指令列表用来告诉路由器哪些数据包可以接收，哪些数据包需要拒绝。至于数据包是被接收还是被拒绝，可以由类似于源地址、目的地址、端VI号、协议等特定指示条件来决定.通过灵活地增加访问控制列表，ACL可以当作一种网络控制的有力工具，用来过滤流入和流出路由器接口的数据包。 选题的意义: 本次实验主要通过理解上述ACL的意义及功能， 通过自己配置ACL来实现对任意网段的数 据的阻塞和对任意网段的ping服务进行阻塞， 以达到学会ACL基本配置， 理解ACL的功能及实 现为目的。本文以某企业真实拓扑图为例,讨论如何利用路由器的访问控制列表技术提高网络的安全性。 访问控制列表的作用： 各种数据在其上快速通过， 今天的网络就好比一条复杂的高速公路 , 各种数据在其上快速通过， 为了正确的规划流量，保证网络的畅通,安全。 为了正确的规划流量，保证网络的畅通，安全。我们就要设一些禁行 标志、规定单行线等等， 标志、规定单行线等等,这就是网络上的 ACL 其实在网络上有很多种方法可以实现以上的作用， 其实在网络上有很多种方法可以实现以上的作用， 但是最简单易行的 还是访问控制列表。 还是访问控制列表。 访问控制列表:就是用来在使用路由技术的网络里，识别和 过滤那些由某些网络发出的或者被发送出去到某些网络的 符合我们所规定条件的数据流量， 符合我们所规定条件的数据流量，以决定这些数据流量是应 该转发还是应该丢弃的技术。 该转发还是应该丢弃的技术。 由于 以上的定义我们可以看出，在路由器上实现 ACL 就是一种实现防火墙的手段。 ACL 的应用放置在路由器的接口上， 预先把建好的 ACL 放置在路由器的接口上，对接口上进方向或 者出方向的数据包进行过滤， 但是访问控制列表只能过滤经过路 者出方向的数据包进行过滤,路由器的数据包，路由器的数据包，不能过滤其本身产生的数据包. 不能过滤其本身产生的数据包。 二、主要研究内容 本次实验设计在cisco packet tracer 这款虚拟配置电脑平台的软件上操作的。 要求用 1841 路由器 ，2950—24交换机,以及 6台PC机，连接3个网络192.168。10。0/24,192.168。1。0/30，192.168.11。0/24； 本文以某企业真实拓扑图为例，讨论如何利用路由器的访问控制列表技术提高网络的安全性。 本次实验LAN_B只允许LAN_A的访问，拒绝其他网段的数据。 ACL的配置可分为两个步骤: (1) 在全局配置模式下,使用下列命令创建ACL Router（config)＃access-list access—list-number ｛permit/deny ｝｛test-conditions｝ 其中access—list-number 为ACL的序列号。人们使用较频繁的序列号是标准的IP ACL（1—99）和扩展的IPACL(100—199). 注意，在路由器中，如果使用ACL的序列号进行配置，则列表不能插入或删除行(动态编辑）。如果列表要插入或删除一行，必须先去掉ACL，然后重新配置。 (2) 在接口模式下,使用access-group命令将第一步中创建的ACL应用到某一接口上. (3) Router（config-if)#ip access-group access—list—number｛in/out｝ 其中，in和out参数可以控制接口中不同方向的数据包，ACL在一个接口可以进行双向控制即配置两条命令，一条in，一条out，但是在一个接口的一个方向上，只能有一个ACL控制. 注意，把定义好的ACL应用在网络的什么地方，是能否实现原有的目的和有效地减少不必要的通信流量的关键。通常情况下标准的ACL要尽量靠近目的端;扩展的ACL要尽量靠近源端。当然这不是绝对的，具体放在哪个位置,要根据具体的情况分析。 ACL技术可以有效的在三层上控制网络用户对网络资源的访问，它可以具体到两台网络设备间的网络应用，也可以按照网段进行大范围的访问控制管理，为网络应用提供了一个有效的安全手段. 三、方案设计（小四号黑体，段前3磅，段后1磅,行间距20磅） 本次实验设计在cisco packet tracer 这款虚拟配置电脑平台的软件上操作的。 要求用 1841 路由器 ，2950-24交换机，以及 6台PC机，连接3个网络192。168.10。0/24,192。168.1。0/30,192.168.11.0/24； 本次实验LAN_B只允许LAN_A的访问，拒绝其他网段的数据。 1) 某企业真实拓扑图如下: 图1-1 2）IP地址规划： 网络 1 PC机或端口 PC_A PC_B PC_E 2 IP地址 192.168.10。1/24 192。168.10.2/24 192。168。10.3/24 255.255。255.252 子网掩码 255。255.255.0 S0/0/0（Router0） 192.168。1.1/30 S0/0/0(Router1） 192。168.1.2/30 3 PC_C PC_D PC_F 192。168.11。1/24 255。255。255.0 192。168.11。2/24 192。168。11。3/24 表1—1 3)关键技术及实现原理 ACL信息点间通信和内外网络的通信都是企业网络中必不可少的业务需 求，但是为了保证内网的安全性，需要通过安全策略来保障非授权用户只 能访问特定的网络资源，从而达到对访问进行控制的目的。简而言之，ACL （访问控制列表)可以过滤网络中的流量，控制访问的一种网络技术手段。 实际上，ACL 的本质就是用于描述一个 IP 数据包、以太网数据帧若干特征的集 合。然后根据这些集合去匹配网络中的流量（由大量数据包组成），同时根据策 略来“允许”或者“禁止”. 作用： ①ACL 可以限制网络流量、提高网络性能. ②ACL 提供对通信流量的控制手段。 ③ACL 是提供网络安全访问的基本手段. ④ ACL 可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。 ACL 的分类（基于 IP） ① 标准 ACL 标准型 ACL 只能匹配源 IP 地址，在应用中有三种匹配的方式: 1、any，指任意地址 2、〈net>〈mask〉,指定某个 IP 网段 3、src_range，指定 IP 的地址范围 配置命令： ip access-list standard //标准 ACL，name 为名字 ｛permit | deny｝ any {permit | deny｝ 2.减少带宽占用

EIGRP不作周期性的更新,它只在路由的路径和速度发生变化以后做部分更新.当路径信息改变以后，DUAL只发送那条路由信息改变了的更新，而不是发送整个路由表.和更新传输到一个区域内的所有路由器上的链路状态路由协议相比，DUAL只发送更新给需要该更新信息的路由器。在WAN低速链路上，EIGRP可能会占用大量带宽，默认只占用链路带宽50％，之后发布的IOS允许使用命令ip bandwidth—percent eigrp来修改这一默认值.

3。支持多种网络层协议

EIGRP通过使用“协议相关模块”（即

protocol-dependentmodule4.无缝连接数据链路层协议和拓扑结构

EIGRP不要求对OSI参考模型的层2协议做特别的配置。不像OSPF，OSPF对不同的层2协议要做不同配置，比如以太网和帧中继，EIGRP能够有效的工作在LAN和WAN中，而且EIGRP保证网络及不会产生环路（loop-free);而且配置起来很简单；支持VLSM；它使用组播和单播，不使用广播,这样做节约了带宽；它使用和IGRP一样的度的算法,但是是32位长的；它可以做非等价的路径的负载平衡。

四、主要设备命令配置 1).配置使得各PC机之间可以相互通信 routerA配置文档： Router〉enable Router＃configure terminal Enter configuration commands， one per line. End with CNTL/Z。 Router(config)＃hostname RouterA RouterA(config）＃int s0/0/0 RouterA(config—if)＃ip address 192.168.1。1 255.255。255.252 RouterA（config-if）#clock rate 64000 RouterA（config-if)#no shutdown RouterA（config—if)＃exit RouterA（config）＃int f0/0 RouterA(config—if)＃ip address 192。168.10.254 255。255.255。0 RouterA（config—if)#no shutdown RouterA＃config t Enter configuration commands, one per line. End with CNTL/Z。 RouterA(config)#router eigrp 1 RouterA(config—router)#network 192。168.1。0 RouterA（config—router）＃network 192。168.10。0 RouterA(config—router)＃no auto RouterA(config—router）#no auto-summary RouterA（config-router）＃exit routerB的配置文档： Router>enable Router#configure terminal Enter configuration commands， one per line. End with CNTL/Z。 Router（config）#hostname RouterB RouterB(config）#int s0/0/0 RouterB（config-if）＃ip address 192.168。1.2 255.255。255。252 RouterB(config-if)#no shutdown ％LINK—5-CHANGED: Interface Serial0/0/0， changed state to up RouterB（config—if)# ％LINEPROTO—5—UPDOWN: Line protocol on Interface Serial0/0/0, changed state to up RouterB（config—if）＃exit RouterB（config)＃int f0/0 RouterB（config-if)#ip address 192。168.11.254 255.255。255.0 RouterB(config-if）#no shutdown RouterB#config t Enter configuration commands， one per line。 End with CNTL/Z。 RouterB（config-router)#network 192.168。1。0 RouterB（config—router）# ％DUAL—5-NBRCHANGE: IP—EIGRP 1： Neighbor 192。168。1.1 (Serial0/0/0) is up: new adjacency RouterB(config-router）＃network 192。168.11。0 RouterB(config—router）＃no auto RouterB(config-router）＃no auto-summary RouterB（config-router）# ％DUAL-5—NBRCHANGE: IP—EIGRP 1: Neighbor 192.168。1。1 （Serial0/0/0） is up: new adjacency RouterB（config—router)#exit RouterB（config)#exit 先查看RouterA和RouterB上的路由表： 图1—2 图1—3 PC_A访问PC_F以及192。168.1.2 图1-4 192。168。1。0的网络访问LAN_B 图1-5 3) 本次实验LAN_B只允许LAN_A的访问，拒绝其他网段的数据. Router（config—if)#access—list 1 permit 192。168。10。0 0。0。0.255 分析我们应该将此访问列表放置在哪个网络的位置能最好的实现此功能 设想一：将定义的ACL放置在RouterA的f0/0接口时， RouterA>en RouterA#config t Enter configuration commands， one per line. End with CNTL/Z. RouterA（config）＃access-list 1 permit 192。168。10。1 0.0。0。255 RouterA(config）＃exit RouterA# %SYS—5-CONFIG_I: Configured from console by console RouterA#config t Enter configuration commands， one per line。 End with CNTL/Z。 RouterA(config）#int f0/0 RouterA（config—if)#ip access-group 1 in RouterA（config-if）#exit RouterA（config)＃exit %SYS—5-CONFIG_I： Configured from console by console RouterA#show acc RouterA#show access—lists Standard IP access list 1 permit 192.168.10.0 0.0。0。255 设想二：将定义的ACL放置在RouterA的s0/0/0接口时； RouterA(config）#int s0/0/0 RouterA(config—if)#ip access-group 1 out RouterA（config—if)＃exit RouterA(config)＃exit RouterA＃show access-lists Standard IP access list 1 permit 192.168.10。0 0.0.0.255 设想三:将定义的ACL放置在RouterB的s0/0/0接口时； RouterB＃config t Enter configuration commands， one per line。 End with CNTL/Z. RouterB（config）#acc RouterB(config）#access-list 1 permit 192.168.10.0 RouterB(config）#int s0/0/0 RouterB(config—if)#ip acc RouterB（config-if）＃ip access-group 1 in RouterB(config-if）＃exit RouterB(config)#exit %SYS—5—CONFIG_I: Configured from console by console RouterB#show %DUAL-5—NBRCHANGE: IP—EIGRP 1: Neighbor 192。168。1。1 (Serial0/0/0） is down: holding time expired acc RouterB#show access—lists Standard IP access list 1 permit host 192.168.10。0 ％SYS—5-CONFIG_I: Configured from console by console RouterB#show ip route Codes： C - connected, S — static, I - IGRP， R - RIP， M — mobile, B - BGP D — EIGRP, EX - EIGRP external, O — OSPF， IA — OSPF inter area N1 — OSPF NSSA external type 1, N2 — OSPF NSSA external type 2 E1 — OSPF external type 1, E2 - OSPF external type 2， E — EGP i — IS—IS, L1 — IS—IS level—1， L2 — IS-IS level-2, ia — IS-IS inter area ＊ — candidate default， U - per-user static route, o — ODR P — periodic downloaded static route Gateway of last resort is not set 192。168.1.0/30 is subnetted， 1 subnets C 192。168.1。0 is directly connected, Serial0/0/0 D 192。168。10.0/24 [90/2172416］ via 192。168。1。1, 00：03:12, Serial0/0/0 C 192。168。11。0/24 is directly connected, FastEthernet0/0 此时显示： ％DUAL-5—NBRCHANGE: IP—EIGRP 1: Neighbor 192.168.1。1 (Serial0/0/0） is down: holding time expired 再次查看路由表 RouterB＃show ip route Codes: C — connected， S - static， I — IGRP, R - RIP, M - mobile， B - BGP D — EIGRP, EX - EIGRP external, O — OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1， N2 — OSPF NSSA external type 2 E1 — OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS， L1 - IS-IS level—1, L2 - IS—IS level-2， ia - IS—IS inter area * - candidate default， U — per-user static route， o — ODR P - periodic downloaded static route Gateway of last resort is not set 192.168。1。0/30 is subnetted， 1 subnets C 192。168。1。0 is directly connected, Serial0/0/0 C 192。168.11.0/24 is directly connected, FastEthernet0/0 在RouterA上此时显示： DUAL-5—NBRCHANGE: IP—EIGRP 1： Neighbor 192。168.1。2 （Serial0/0/0) is down： retry limit exceeded ％DUAL-5-NBRCHANGE: IP-EIGRP 1： Neighbor 192。168.1.2 （Serial0/0/0) is up: new adjacency %DUAL-5-NBRCHANGE: IP—EIGRP 1: Neighbor 192.168。1。2 (Serial0/0/0) is down: retry limit exceeded %DUAL-5-NBRCHANGE： IP-EIGRP 1: Neighbor 192。168。1.2 （Serial0/0/0） is up: new adjacency ％DUAL—5-NBRCHANGE: IP—EIGRP 1： Neighbor 192.168。1。2 (Serial0/0/0） is down: retry limit exceeded %DUAL-5-NBRCHANGE： IP—EIGRP 1: Neighbor 192。168.1.2 (Serial0/0/0） is up： new adjacency 显示路由表： RouterA〉en RouterA#show ip route Codes: C — connected， S - static, I - IGRP, R - RIP, M — mobile, B — BGP D — EIGRP， EX - EIGRP external, O — OSPF， IA — OSPF inter area N1 — OSPF NSSA external type 1， N2 - OSPF NSSA external type 2 E1 — OSPF external type 1， E2 — OSPF external type 2， E - EGP i — IS—IS, L1 - IS—IS level—1， L2 — IS—IS level—2, ia - IS—IS inter area * — candidate default， U - per—user static route, o — ODR P - periodic downloaded static route Gateway of last resort is not set 192.168。1.0/30 is subnetted, 1 subnets C 192.168。1.0 is directly connected， Serial0/0/0 C 192.168.10.0/24 is directly connected, FastEthernet0/0 RouterA＃ ％DUAL—5-NBRCHANGE: IP-EIGRP 1: Neighbor 192.168.1.2 （Serial0/0/0） is down： retry limit exceeded 设想四：将定义的ACL放置在RouterB的f0/0接口时； RouterB＃config t Enter configuration commands， one per line。 End with CNTL/Z. RouterB(config）#acc RouterB(config)#access—list 1 permit 192。168.10。0 0。0.0。255 RouterB(config)＃exit %SYS—5—CONFIG_I: Configured from console by console RouterB#config t Enter configuration commands, one per line。 End with CNTL/Z。 RouterB(config)#int f0/0 RouterB（config—if)#ip acc RouterB（config-if)#ip access—group 1 out RouterB（config—if）＃exit RouterB（config)#exit 五、测试结果与分析（通过运行截图分析) 图1—6标准ACL放置位置之设想一 此时测试: 图1—7 图1—8 分析： 当将定义的ACL放置在RouterA的f0/0接口时； 192。168.10。0网络可以访问192.168.11.0；而且192.168。1.0网络也可以访问192.168。11.0，所以这种设想不能满足用户要求,因为用户的目的实际是只允许192。168。10。0网络进入192。168.11。0,而上图的配置不能过滤其他网段的数据进入LAN_B。 图1—9标准ACL放置位置之设想二 此时测试: 图1-10 图1—11 分析： 当将定义的ACL放置在RouterA的s0/0/0接口时; 192.168.10。0网络可以访问192。168.11。0；而且192.168。1。0网络也可以访问192。168。11.0，所以这种设想不能满足用户要求，因为用户的目的实际是只允许192.168.10。0网络进入192。168。11。0,而上图的配置不能过滤其他网段的数据进入LAN_B。 图1—12标准ACL放置位置之设想三 此时测试： 图1—13 图1-14 分析：当将定义的ACL放置在RouterB的s0/0/0接口时； 如上图所示,当把过滤要求access-list 1 permit 192.168。10.0 0。0.0.255应用在RouterB的s0/0/0接口(ip access—group 1 in)时，Neighbor 192。168。1.1 （Serial0/0/0） is down: holding time expired，也就是说限制了邻居192.168。1.1（Serial 0 / 0 / 0)，从而使得网络192。168。10。0网络在与192.168.11.0网络通信时路由信息被限制从而没有到达的路径，“Destination host unreachable”，所以不能达到实验要求。 图1-15标准ACL放置位置之设想四 此时测试 图1-16 图1-17 分析:当将定义的ACL放置在RouterB的f0/0接口时; 如上图所示，根据列表的定义，只有来自192.168。10。0网段的数据可以从此接口送出，从而进入LAN_B，其他网段将被过滤掉。因此,如上图所示标准ACL放置在设想四的位置时,不管RouterB是否还有其他的接口，只有192。168。10。0网段的数据可以进入LAN_B。 六、设计总结 本次实验的要求进行访问限制，只允许网段LAN_A访问LAN_B, 通过本次实验的配置，当把ACL放置在设想之位置四时都可以达到题目要求的目的。 但在设计的过程中当我把ACL放置在设想三的位置时出现了“Destination host unreachable.”通过查阅网络以及寻求同学的帮助，最终成功完成了此次实验. 功能扩展： 1）可以再次进行访问限制，只允许LAN_A网段上的PC_A访问LAN_B上PC_F的www和 telnet服务此时会用到扩展的ACL 扩展的 ACL 使用 100 ～ 199 以及 2000~2699 之间的数字作为表号. 标准 ACL 可以阻止来自某一网络的所有通信流量， 或者允许来自某一特定网络的所有通 信流量，或者拒绝某一协议簇（比如 IP）的所有通信流量。 扩展 ACL 比标准 ACL 提供了更广泛的控制范围.例如，网络管理员如果希望做到“允许 外来的 Web 通信流量通过,拒绝外来的 FTP 和 Telnet 等通信流量” ，那么,他可以使用扩展 ACL 来达到目的，标准 ACL 不能控制这么精确. 2）在加入核心交换机与LAN_C，并启用dhcp自动获取IP地址 图1—18 七、参考文献（不少于5篇） [1] 组建可扩展的cisco互连网络（BSCI）:第三版/Diane Teare Catherine Paquet（著）,陈宇 袁国忠（译）[M]北京： 人民邮电出版社，2007.10 [2] Todd Lammle(著）程代伟（译）。CCNA SWITCH(640-802) 学习指南 ［M]电子工业出版社 18 [3］ 高峡等．网络设备互联学习指南［M]．北京：科学出版社,2009，4． [4］梁广民等．思科网络实验室路由、交换实验指南[M]．北京电子出版社,2007． ［5]唐子蛟等。基于ACL的网络安全管理的应用研宄［M]．四川理工学院学报（自然科学版)，2009.2． ［6]杨威.网络工程设计与系统集成。[M]北京:人民邮电出版社，2004. 指导教师意见: 签名： 年 月 日 成绩评定：