ACL數據包過濾實驗在仿真器中的設計與實現

胡國強， 蔚繼承

(1. 西北農林科技大學 網絡與教育技術中心， 陜西 楊凌 712100；2. 西北農林科技大學 信息工程學院， 陜西 楊凌 712100)

ACL數據包過濾實驗在仿真器中的設計與實現

胡國強1， 蔚繼承2

(1. 西北農林科技大學 網絡與教育技術中心， 陜西 楊凌 712100；2. 西北農林科技大學 信息工程學院， 陜西 楊凌 712100)

訪問控制列表(ACL)數據包過濾技術是實現網絡安全的核心技術之一，其相關實驗在計算機網絡課程教學中不可或缺。為了使學生更好地掌握ACL數據包過濾技術，設計了一套由淺入深、結合實際需要的計算機網絡實驗課程的ACL數據包過濾實驗。詳細闡述了如何運用Cisco Packet Tracer對ACL數據包過濾技術實驗進行仿真實現。教學實踐結果表明，此實驗項目在計算機網絡課程教學中取得了良好效果。

ACL； 計算機網絡； 仿真器； 實驗

計算機網絡是一門專業(yè)性很強的課程，涉及很多復雜、抽象的網絡理論知識，計算機網絡實驗需要有網絡實驗設備和特定的實驗環(huán)境[1]。但是，由于計算機網絡技術日新月異，網絡實驗室硬件設備不足，不利于教師結合實際應用進行課程實驗設計。如何在課程教學中開設結合實際應用的計算機網絡實驗，乃是當前實驗教學研究中需要思考和解決的重要問題[2]?；诖耍O計了一套由淺入深、結合實際需要的訪問控制列表(access control list，ACL)數據包過濾技術實驗方案，并使用Cisco Packet Tracer對此實驗方案進行仿真實現。該仿真實驗旨在提高學生在計算機網絡實驗方面的技能，提升學生分析問題和解決問題的能力[3]，取得更好的教學效果。

1 涉及的技術

1.1 ACL知識基礎

ACL是一個有序的語句集，它通過匹配報文中的信息與訪問表參數，實現允許報文通過或拒絕報文通過某個端口[4]。ACL最直接的功能是數據包過濾，其可以在路由器和三層交換機上進行網絡安全屬性配置，以實現對進入路由器和三層交換機的數據包進行過濾[5]。ACL語句有2個組件：一個是條件組件，一個是操作組件。條件用于匹配數據包內容，當條件找到匹配時，則會進行操作，允許或拒絕通過此數據包。

(1) 標準的ACL。標準的ACL只能過濾IP數據包頭中的IP地址，意味著標準ACL只檢查數據包的源地址，具體的示意如圖1所示。

圖1 標準的ACL示意圖

(2) 擴展的ACL。擴展的IP訪問表允許用戶根據源和目的地址、協(xié)議、源和目的端口以及在特定報文字段中允許進行特殊位比較的各種選項來過濾報文[6]，也就是說擴展ACL既檢查數據包的源地址，也檢查數據包的目的地址，同時還可以檢查數據包的特定協(xié)議類型、端口號等。擴展的ACL具體示意圖如圖2所示。標準的ACL和擴展的ACL皆通過編號或名稱為ACL語句分組。

圖2 擴展的ACL示意圖

1.2 網絡仿真軟件

網絡仿真軟件只需安裝在普通的PC上即可進行實驗，具有無場所依賴性、經費投入少、實驗管理簡單和實驗效率高等優(yōu)點。目前學術界和教育界廣泛使用的網絡模擬軟件有3種，分別是由UC Berkeley開發(fā)的面向對象的網絡仿真器 NS2(network simulator，version 2)、由Cisco 公司發(fā)布的一個輔助學習的仿真工具Cisco Packet Tracer、由華為技術有限公司開發(fā)的圖形化網絡仿真工具平臺eNSP(Enterprise Network Simulation Platform)[7-9]。考慮到Cisco Packet Tracer可虛擬的網絡硬件數量多、功能強大、操作方便、直觀且易于掌握，本文選用Cisco Packet Tracer作為網絡仿真軟件。

2 ACL包過濾實驗設計與實現

2.1 實驗目的和實驗內容

設計ACL數據包過濾實驗的目的是讓學生靈活地掌握ACL包過濾技術的相關知識點， 掌握ACL包過濾技術工作原理，熟悉ACL配置，深入掌握ACL包過濾技術。

該實驗以某企業(yè)為例，采用Cisco Packet Tracer，按照企業(yè)的網絡拓撲配置標準的ACL和擴展的ACL。所設計的2個實驗的難度由淺入深，學生先進行標準的ACL實驗，然后進行擴展的ACL實驗。這樣的分層設計有助于學生更好地掌握ACL包過濾技術[10]。

實驗步驟包括：

(1) 在Cisco Packet Tracer上畫出實驗拓撲；

(2) 按照實驗拓撲，調試通整個網絡；

(3) 按照實驗具體要求，配置標準的ACL并測試；

(4) 按照實驗具體要求，配置擴展的ACL并測試。

2.2 實驗拓撲

某企業(yè)的網絡有4個路由器，各路由器下的用戶訪問網絡有不同的需求。實驗設備包括4臺路由器、3臺PC機和若干雙絞線[11]，組成的實驗拓撲結構如圖3所示，實驗IP地址規(guī)劃如表1所示。

圖3 實驗拓撲圖

表1 實驗IP地址規(guī)劃

IP地址規(guī)劃好后，在模擬器上配置接口IP地址，然后設置OSPF路由協(xié)議，連通整個網絡。在R3上查看到的路由如圖4所示。圖4上的數據表明整個網絡的各網段可以相互Ping通。

圖4 R3上查看到的路由

2.3 標準的ACL實驗

實驗要求：禁止R4下的用戶和10.2.2.0/24訪問R1及其內部網絡。

(1) 實施方案1：在R1上建立ACL10，將其部署到R1接口Fa0/1處，方向選擇in。

Router1# //特權模式

Router1#config //進入全局模式

Router1(config)#access-list 10 deny host 192.168.31.1

Router1(config)#access-list 10 deny 10.2.2.0 0.0.0.255

Router1(config)#access-list 10 permit any

//全局模式下建立ACL10，寫入規(guī)則

Router1(config)#int fa 0/1

Router1(config-if)#ip access-group 10 in

//接口模式下，將ACL10應用到fa 0/1，方向為in

(2) 實施方案2：將ACL10部署到R1接口Fa0/0，方向選擇out，效果同實驗方案1。

(3) 實施方案3：在R4上建立ACL10，將其部署到R4接口Fa0/0處，方向選擇out，實驗效果同實驗方案1。

Router4# //特權模式

Router4#config //進入全局模式

Router4(config)#access-list 10 deny host 192.168.31.1

Router4(config)#access-list 10 deny 10.2.2.0 0.0.0.255

Router4(config)#access-list 10 permit any

//全局模式下建立ACL10，寫入規(guī)則

Router4(config)#int fa 0/0

Router4(config-if)#ip access-group 10 out

//接口模式下，將ACL10應用到fa 0/0，方向為out

(4) 實施方案4：將ACL10部署到R4接口Fa0/1，方向選擇in，效果同實驗方案1。

最后，在R1上用Ping命令測試R1與R4的連通性，發(fā)現R4下的用戶無法訪問R1及其內部網絡。

2.4 擴展的ACL實驗

實驗要求：禁止R2路由器PingR1路由器，禁止192.168.3.0/24網段Ping或者Telnet R1路由器及10.1.1.0/24網段。

(1) 實施方案1：在R3上建立擴展ACL100，將其部署到R3接口Gig0/0處，方向選擇out。

Router3# //特權模式

Router3#config //進入全局模式

Router3(config)#access-list 100 deny icmp host 192.168.21.1 host 192.168.11.1

Router3(config)#access-list 100 deny icmp 192.168.3.00.0.0.255 10.1.1.0 0.0.0.255

Router3(config)#access-list 100 deny tcp 192.168.3.0 0.0.0.255 10.1.1.0 0.0.0.255 eq telnet

Router3(config)#access-list 100 permit ip any any

//全局模式下建立ACL100，寫入規(guī)則

Router3(config)#int Gig0/0

Router3(config-if)#ip access-group 100out

//接口模式下，將 ACL100應用到Gig0/0，方向為out

(2) 實施方案2：分別在R4和R2上建立兩個擴展ACL，將其應用到R4的Fa0/0和R2的Fa0/1處，方向選擇out。

R4配置：

Router4# //特權模式

Router4#config //進入全局模式

Router4(config)#access-list 110 deny icmp 192.168.3.00.0.0.255 10.1.1.0 0.0.0.255

Router4(config)#access-list 110 deny tcp 192.168.3.00.0.0.255 10.1.1.0 0.0.0.255 eq telnet

Router4(config)#access-list 110 permit ip any any

//全局模式下建立ACL110，寫入規(guī)則

Router4(config)#int Fa0/0

Router4(config-if)#ip access-group 110out

//接口模式下，將 ACL110應用到Fa0/0，方向為out

R2配置：

Router2# //特權模式

Router2#config //進入全局模式

Router2(config)#access-list 120 deny icmp host 192.168.21.1 host 192.168.11.1

Router2(config)#access-list 120 permit ip any any

//全局模式下建立ACL120，寫入規(guī)則

Router2(config)#int Fa0/1

Router2(config-if)#ip access-group 120out

//接口模式下，將ACL120應用到Fa0/1，方向為out

測試發(fā)現，在R2無法Ping R1，在PC3上無法Ping或者Telnet R1及10.1.1.0/24網段，達到了實驗要求。

2.5 實驗總結與思考

(1) ACL應遵循最小特權原則。由2個實驗可知，在進行ACL規(guī)則設計時要注意它們之間的執(zhí)行順序，應遵循最小特權原則，地址范圍越小則優(yōu)先級越高。

(2) ACL數據包過濾方向選擇。由標準ACL實驗可知，4種方案都能達到預期效果。但需要注意的是在選擇ACL過濾方向時應從路由器角度出發(fā)。未選擇策略路由前，應用在接口進入方向的ACL 起作用；選擇策略路由后，應用在接口離開方向的ACL起作用[12]。

(3) ACL部署位置選擇應注意標準的ACL部署位置選擇和擴展的ACL部署位置選擇的區(qū)別。

3 結語

ACL數據包過濾技術在計算機網絡實驗教學中占有重要的地位，其涉及網絡規(guī)劃、網絡協(xié)議和路由配置等知識，是比較難以掌握的技術。本文采用Cisco Packet Tracer仿真軟件實現了ACL數據包過濾實驗，通過仿真實驗，提高了學生的學習興趣，加深了學生對ACL數據包過濾技術的理解[13]。教學實踐證明，全新的教學模式在網絡實驗課程教學中取得了良好的效果，大大地提高了學習效果和學習效率[14]。

References)

[1] 霍迎秋,田杰,韓宏，等.計算機網絡實驗教學模式探析[J].黑龍江教育(高教研究與評估版),2015(10):24-26.

[2] 趙廣元,王文慶,蔡秀梅，等.創(chuàng)客教育視野下“計算機網絡”課程實驗設計[J].現代教育技術,2015,25(9):116-121.

[3] 張寧.計算機網絡課程實驗教學的研究和實現[D].烏魯木齊:新疆師范大學,2014.

[4] 林麗建.基于MPLS VPN的貴陽地理信息系統(tǒng)業(yè)務隔離技術研究及應用[D].貴陽:貴州大學,2009.

[5] 賈應煒.校企合作管理平臺中的BP神經網絡研究[J].電子制作,2014(12):156-157.

[6] 從正海.交換機、路由器的攻擊手段與防護措施[C]//2008年電力行業(yè)信息化年會論文集.2008:299-301.

[7] 胡麗麗.Ad Hoc網絡路由協(xié)議應用研究與實現[D].合肥:合肥工業(yè)大學,2013.

[8] 郭峰江.網絡電話服務質量保證機制的研究[D].武漢:華中科技大學,2011.

[9] 劉倩.基于業(yè)務區(qū)分的SD-SMAC協(xié)議[D].昆明:昆明理工大學,2013.

[10] 楊姝.VLAN技術實驗的設計與仿真實現研究[J].實驗技術與管理,2014,31(3):114-117.

[11] 胡聲丹,孫敏鳳,何向武，等.基于GNS3與SecureCRT的交換路由實驗教學[J].中國科教創(chuàng)新導刊,2012(1):205-206.

[12] 高寧,李晉玲,艾瓊，等.淺談信息時代學校網絡教學的優(yōu)缺點[J].電腦知識與技術,2012,8(29):6956-6957.

[13] 李春花.3D MAX在機械教學中的應用[J].河南科技,2012(18):42.

[14] 嚴峻,黃瑞.基于ACL的包過濾防火墻實驗教學設計與實現[J].中國教育信息化(基礎教育),2014(7):73-76.

Design and realization of ACL packet filtering experiment in simulator

Hu Guoqiang1, Wei Jicheng2

(1. Network and Education Technology Center, Northwest Agriculture and Forestry University, Yangling 712100,China; 2. College of Information Engineering, Northwest Agriculture and Forestry University, Yangling 712100, China)

ACL (access control list) packet filtering technology is one of the core technologies for network security, and its related experiments are indispensable in the teaching of the Computer Network course. In order to enable the students to better master this technology, the ACL packet filtering technology experiment for the Computer Network experimental course which is from the shallow to the deep and combines the actual needs is designed, and how to use Cisco Packet Tracer to simulate the ACL packet filtering technology experiment is elaborated in detail. The results of teaching practice show that this experimental project has achieved good results in the teaching of the Computer Network course.

ACL; computer network; simulator; experiment

10.16791/j.cnki.sjg.2017.11.034

TP393；G642.0

A

1002-4956(2017)11-0141-04

2017-05-31

陜西高等教育教學改革研究項目(13BY13)；西北農林科技大學教改項目(JY1702023，JY1703154)

胡國強(1981—)，男，陜西周至，碩士，工程師，主要研究方向為智能網絡與機器學習

蔚繼承(1976—)，男，山西呂梁，碩士，講師，主要研究方向為計算機網絡技術及應用.