基于Packet Tracer的訪問控制列表實驗教學設計

唐燈平

（南京鐵道職業技術學院蘇州校區，江蘇蘇州 215006）

隨著大規模開放式網絡的開發，網絡面臨的威脅也就越來越多。網絡安全問題成為網絡管理員最為頭疼的問題。一方面，為了業務的發展，網絡管理員必須允許對網絡資源開放訪問權限，另一方面，又必須確保數據和資源的盡可能安全。[1]網絡安全采用的技術很多，訪問控制列表（ACL）是實現基本的網絡安全的手段之一。ACL是在交換機和路由器上經常采用的一種防火墻技術，它可以對經過網絡設備的數據包根據一定的規則進行過濾，以達到實現網絡安全的目的。

訪問控制列表技術是高職計算機網絡技術專業學生必須重點掌握的實驗內容。而傳統的實現該實訓的方式是在真實的設備上實現，存在以下一些弊端：1)資金投入相對較大，某些院校難以實現。2)需要路由器、交換機、PC機、網線等多種硬件設備，網絡環境組建較繁瑣，容易出現問題。3)擴展訪問控制列表效果的驗證需要配置網絡操作系統相應的網絡服務，實現較為困難。4)很難實現每位同學獨立完成整個實訓過程，人均時間及實訓效果均得不到保證。利用Packet Tracer模擬軟件實現訪問控制列表實訓時可以輕松地避免上述問題，達到很好的教學效果。[2]

1 ACL基本原理與類型

1.1 ACL技術的基本原理

訪問控制列表是一種路由器配置腳本，它根據從數據包包頭中發現的信息（源地址、目的地址、源端口、目的端口和協議等）來控制路由器應該允許還是拒絕數據包通過，從而達到訪問控制的目的。

ACL是一系列permit或deny語句組成的順序列表，應用于地址或上層協議。ACL能夠控制進出網絡的流量。可以只簡單地允許或拒絕網絡主機或地址。還可以將ACL配置為根據使用的TCP端口來控制網絡流量。

ACL的工作方法具有以下一些特征：1)自上而下的處理方式。2)規則的最后有一條默認的禁止所有的語句。3)先定義規則再應用規則。4)標準訪問控制列表盡量應用于靠近目的主機的路由器接口。擴展訪問控制列表盡量應用于靠近源主機的路由器接口。[3]

1.2 ACl技術的基本類型

Cisco ACL有兩種類型，標準 ACL和擴展ACL，其中標準ACL又分為標準號碼式ACL和標準命名式ACL。擴展ACL又分為擴展號碼式ACL和擴展命名式ACL。

1）標準ACL。標準號碼式訪問控制列表，其編號取值范圍為0～99之間的整數值。標準命名式ACL，使用一個字母數字組合的字符串（名字）代替號碼式所使用的數字來表示ACL表號。標準ACL用來阻止來自某一網絡的所有通信流量時，或允許來自某一特定網絡的所有通信流量時，或想要拒絕某一協議族的所有通信流量時使用。

2）擴展ACL。擴展號碼式ACL，其編號取值范圍為100～199之間的整數值。擴展命名式ACL，使用一個字母數字組合的字符串（名字）代替號碼式所使用的數字來表示ACL表號。擴展ACL即檢查數據包的源地址，也檢查數據包的目的地址。此外，還可以檢查數據包的特定協議類型、端口號等。

2 Packet Tracer軟件應用

Packet Tracer是Cisco公司為思科網絡技術學院開發的一款模擬軟件，Packet Tracer模擬器的使用者可以在軟件的圖形用戶界面上直接使用拖曳物件建立網絡拓撲，可根據實際需要對網絡設備進行相應的配置，并可提供數據包在網絡中的詳細處理過程，觀察網絡實時運行情況。該軟件以其方便性和真實性被廣泛所接受。目前它的最高版本為Packet Tracer 5.3.1，可以用來模擬CCNA全部實驗以及部分CCNP實驗。[4-5]

Packet Tracer能夠根據需要靈活地組建網絡拓撲結構。提供了豐富的網絡設備如：路由器、交換機、集線器、無線設備、終端設備、仿真廣域網、Custom Made Devices（自定義設備）。提供了各種設備之間的連線（Connections）線型。

Packet Tracer模擬器中的設備還可以根據實際需要添加刪除接口模塊。更加形象地模擬了模塊化網絡設備。在調試網絡時還可以根據需要跟蹤數據包的流動過程。

3 ACL配置實驗

3.1 實驗目的

1）理解ACL的作用

2）掌握幾種ACL的配置和使用方法

3）掌握模擬器工具Packet Tracer的使用方法

3.2 實驗拓撲結構

圖1 網絡拓撲結構圖

高職院校要培養面向生產、建設、服務和管理第一線需要的高技能人才[6]，這就要求在設計實訓項目時盡量使用真實的工程項目，使學生在真實的工程項目中得到鍛煉。在設計該實訓項目時，遵循“夠用為度”的原則，設計了三個不同的部門，分別為校長室、財務部和人事部，這三個部門屬于三個不同的網絡，如圖1所示[7]。

組建這樣的網絡，需要兩臺Cisco 2811路由器，一臺Cisco 2950普通二層交換機，一臺服務器和三臺電腦。連接方式為：財務部的服務器和路由器R2的f0/0相連，兩個路由器之間利用串口s0/0/

相連。校長室的電腦和路由器R1的f0/1相連。人事部的兩臺電腦通過交換機和路由器的f0/0相連。兩臺路由器之間利用串口相連時需要在兩臺路由器上均要添加廣域網模塊。具體操作為：1）單擊需要添加模塊的路由器R1，彈出圖2所示的窗口。關閉機器的電源。2） 在窗口的Physical區選擇WIC-2T模塊，將它拖放到空的模塊槽中，然后釋放鼠標。3）重新打開電源。使用同樣的方法，將路由器R2添加WIC-2T模塊。[8-10]0

圖2 開關電源以及添加刪除模塊窗口

3.3 實驗環境配置

1）設置終端機器的IP地址

通過終端機器的圖形界面可以方便地設置PC機和服務器的IP地址。用鼠標依次單擊需要配置IP地址的四臺終端設備，在彈出的窗口中選擇desktop菜單，在desktop菜單中單擊IP configuratio n，在彈出的窗口中設置IP地址，如圖3所示。

圖3 終端機器IP地址設置界面

2）在路由器上使用動態路由協議RIP使整個網絡互連互通[11-13]。

路由器R1的基本配置如下：

3.4 實驗設計與實現

通過以上的實驗環境可以進一步完成訪問控制列表實驗。

3.4.1 標準訪問控制列表實驗

實驗要求：要求校長室可以訪問財務部，但人事部不可以訪問財務部。

根據標準訪問控制列表盡量應用于靠近目的主機的路由器接口的原則，在路由器R2上進行ACL設置。

3.4.2 實驗效果驗證

3.4.3 擴展訪問控制列表實驗

實驗要求：要求校長室可以訪問財務部服務器的Web服務，但人事部不可以訪問財務部服務器的Web服務。

根據擴展訪問控制列表盡量應用于靠近源的主機的路由器接口的原則，在路由器R1上進行ACL設置。

其次應用規則：

3.4.4 實驗效果驗證

由于Packet Tracer模擬器的終端服務器，自動開啟的www服務功能，為該實驗的結構的驗證提供了方便。具體查看：1） 單擊Server，在彈出的窗口中選擇“config”選項。2）點擊HTTP，在右邊的狀態欄中可以看到狀態為“ON”說明已經自動開啟了web服務功能。在瀏覽器里直接輸入地址172.16.3.2即可訪問該服務器上的網站。

首先從校長室電腦訪問財務服務器的web服務：具體操作如下：

1）單擊校長室的電腦，在彈出的窗口中選擇“desktop”。2）單擊瀏覽器“Web Browser”。3）在彈出的瀏覽器窗口中輸入服務器的IP地址“172.16.3.2”，回車。即可訪問服務器上的Web網站。結果表明校長室的電腦可以訪問財務部的電腦的網站，符合定義的訪問控制列表的規則。

同樣的方法用人事電腦訪問財務web電腦的web服務結果如下：

結果表明人事部的電腦不能訪問財務部的電腦的網站，同樣符合定義的訪問控制列表的規則。

4 結束語

高職院校是培養面向生產一線的高技能人才，因此培養學生的動手能力是高職院校教學的重點，但由于資金以及實際真實的工程項目環境難以搭建的情況下，可以考慮使用仿真技術。仿真技術不但能夠使每個學生獨立完成整個工程項目的實施過程還避免了真實設備帶來的種種弊端，在有針對性的教學中起到很好的教學效果。

[1]梁廣民，王隆杰.思科網絡實驗室CCNA實驗指南 [M].北京：電子工業出版社，2009.

[2]唐燈平.職業技術學院計算機網絡實驗室建設的研究［J］.中國現代教育裝備，2008，（10）：132-134.

[3]唐燈平.利用ACL構建校園網安全體系的研究［J］.有線電視技術，2009，（12）：34-35.

[4]薛琴.基于Packet Tracer的計算機網絡仿真實驗教學［J］.實驗室研究與探索，2010，（2）：57-59.

[5]丁美榮.基于綜合設計性實驗項目的計算機網絡實踐教學［J］.實驗室研究與探索，2009，（3）：118-120.

[6]教育部.教育部關于全面提高高等職業教育教學質量的若干意見[EB/OL].http://www.moe.edu.cn/edoas/website18/23/in fo27723.htm，2006-11-16.

[7]王春枝，李紅，歐陽勇.計算機網絡課程實驗教學研究［J］.實驗室研究與探索，2007，（12）：350-352.

[8]唐燈平.職業技術學院校園網建設的研究［J］.網絡安全知識與應用，2009，（4）：71-73.

[9]唐燈平.關于《網絡設備配置與管理》精品課程的建設［J］.職業教育研究，2010，（3）：147-148.

[10]唐燈平.利用三層交換機實現vlan間通信［J］.電腦知識與技術，2009，(18)：4898-4899.

[11]唐燈平.職業技術學院計算機網絡實驗室建設的研究［J］.中國現代教育裝備，2008，（10）：132-134.

[12]唐燈平，吳鳳梅.利用路由器子接口解決的網絡問題［J］.電腦學習，2009，（4）：66-67.

[13]唐燈平.Windows Server 2003中OSPF路由實現的研究［J］.電腦開發與應用，2010，（7）：75-77.