计算机网络专业课程设计方案报告ACL

华南农业大学信息学院课程设计课程设计题目：ACL筹划学时：2周所属课程名称：计算机网络课程设计开设时间：第二学期授课班级：13计算机科学与技术5班指引教师：周敏教师学生姓名：陈正阳学号：30320509信息学院评分原则封面格式（5％）正文格式（10％）题目理解精确度（30％）程序设计质量（30％）设计报告质量（25％）得分总分ACL摘要：访问控制列表（AccessControlList，ACL）是路由器和互换机接口指令列表，用来控制端口进出数据包。ACL合用于所有被路由合同，如IP、IPX、AppleTalk等。信息点间通信和内外网络通信都是公司网络中必不可少业务需求，为了保证内网安全性，需要通过安全方略来保障非授权顾客只能访问特定网络资源，从而达到对访问进行控制目。简而言之，ACL可以过滤网络中流量，是控制访问一种网络技术手段。配备ACL后，可以限制网络流量，容许特定设备访问，指定转发特定端口数据包等。如可以配备ACL，禁止局域网内设备访问外部公共网络，或者只能使用FTP服务。ACL既可以在路由器上配备，也可以在具备ACL功能业务软件上进行配备。ACL是物联网中保障系统安全性重要技术，在设备硬件层安全基本上，通过对在软件层面对设备间通信进行访问控制，使用可编程办法指定访问规则，防止非法设备破坏系统安全，非法获取系统数据。核心字：ACL安全方略，OSPF路由，默认路由，CHAP身份验证PPP1引言（简朴阐述选题应用背景，意义与目）访问控制列表（Access

Control

List，ACL）是路由器和互换机接口指令列表，用来控制端口进出数据包。ACL合用于所有被路由合同，如IP、IPX、AppleTalk等。这张表中包括了匹配关系、条件和查询语句，表只是一种框架构造，其目是为了对某种访问进行控制。

ACL可以限制网络流量、提高网络性能；ACL可以提供对通信流量控制手段；ACL是提供网络安全访问基本手段；ACL可以在路由器端口处决定哪种类型通信流量被转发或被阻塞。当前有两种重要ACL:原则ACL和扩展ACL。原则ACL使用1

~

99

以及1300~1999之间数字作为表号，扩展ACL使用

100

~199以及~2699之间数字作为表号。

原则ACL可以制止来自某一网络所有通信流量，或者容许来自某一特定网络所有通信流量，或者回绝某一合同簇（例如IP）所有通信流量。

扩展ACL比原则ACL提供了更广泛控制范畴。例如，网络管理员如果但愿做到“容许外来Web通信流量通过，回绝外来FTP和Telnet等通信流量”，那么，她可以使用扩展ACL来达到目，原则ACL不能控制这样精准。

本次实验重要通过理解上述ACL意义及功能，通过自己配备ACL来实现对任意网段数据阻塞和对任意网段ping服务进行阻塞，以达到学会ACL基本配备，理解ACL功能及实现为目。2总体设计（本某些阐述设计思路及方案选取）2.1学习目的•配备带有CHAP身份验证PPP•配备默认路由•配备OSPF路由•实行并检查多项ACL安全方略2.2所用开发工具重要用CiscoPacketTracer完毕开发工作2.3地址表设备接口IP地址子网掩码HQS0/0/052S0/0/52S0/1/052Fa0/0Fa0/B1S0/0/052Fa0/0Fa0/B2S0/0/052Fa0/0Fa/0/ISPS0/0/052Fa0/02952WebServer网卡30522.4实验所配拓扑图：3详细设计（如果是程序设计方面题目需要涉及程序设计流程，功能模块，实现功能测试等某些。如果是网络配备方面题目，需要涉及详细操作环节，实现功能，及有关测试。）总体拓扑图：3.1配备带有CHAP身份验证PPP环节1）.将HQ和B1之间链路配备为使用带有CHAP身份验证PPP封装。CHAP身份验证口令是

cisco123。B1:usernameHQpasswordcisco123interfaceSerial0/0/0

encapsulationppp

pppauthenticationchapHQ:usernameB1password0cisco123interfaceSerial0/0/0

encapsulationppp

pppauthenticationchap环节2）.将HQ和B2之间链路配备为使用带有CHAP身份验证PPP封装。CHAP身份验证口令是

cisco123。B2:usernameHQpassword0cisco123interfaceSerial0/0/0

encapsulationppp

pppauthenticationchapHQ:usernameB2password0cisco123interfaceSerial0/0/1

encapsulationppp

pppauthenticationchap环节3）.检查路由器之间与否已恢复连通性。HQ应能ping通B1和B2。接口恢复也许需要几分钟。在Realtime（实时）模式和Simulation（模仿）模式之间来回切换可加快此过程。要让PacketTracer加快此过程，另一种可行办法是对接口使用shutdown

和

noshutdown

命令。Ping通图：注：由于PacketTracer程序缺陷，接口也许会在练习期间任何时候随机关闭。请等待几秒钟，普通接口会自行重新打开。环节4）.检查成果。完毕比例应为29%。如果并非如此，请单击

CheckResults（检查成果）查看尚未完毕哪些必要某些。3.2配备默认路由环节1.配备从HQ到ISP默认路由。在HQ上使用送出接口参数配备默认路由，将所有默认流量发送到ISP。HQ操作：HQ(config)#iprouteSerial0/1/0环节2.测试与WebServer连通性。从HQSerial0/1/0接口发出ping。HQ应当能成功ping通WebServer(30)。注：这某些没有PING通。3.3配备OSPF路由环节1.在HQ上配备OSPF。使用进程ID1配备OSPF。告示除网络外所有子网。向OSPF相邻设备传播默认路由。在接入ISP和接入HQLAN接口上禁用OSPF更新。HQ:routerospf1

passive-interfaceFastEthernet0/0

passive-interfaceFastEthernet0/1

passive-interfaceSerial0/1/0

network55area0

network55area0

networkarea0

networkarea0

default-informationoriginate环节2.在B1和B2上配备OSPF。使用进程ID1配备OSPF。在每台路由器上配备恰当子网。在接入LAN接口上禁用OSPF更新。B1:routerospf1

passive-interfaceFastEthernet0/0

passive-interfaceFastEthernet0/1

networkarea0

network55area0

network55area0B2:routerospf1

passive-interfaceFastEthernet0/0

passive-interfaceFastEthernet0/1

networkarea0

network55area0

network55area0环节3.测试整个网络连通性。当前，网络应当实现了完全端到端连通性。所有设备均应可以成功ping通所有其他设备，涉及地址为30WebServer。PC1ping通PC2和PC4图：PC1ping通PC6和PC7图：环节4.检查成果。完毕比例应为76%。如果并非如此，请单击

CheckResults（检查成果）查看尚未完毕哪些必要某些。3.4实行多项ACL安全方略环节1.实行第一项安全方略。制止网络访问网络。容许对所有其他访问。在HQ上使用ACL编号10配备ACL。使用原则ACL还是扩展ACL？答：扩展将ACL应用到哪个接口？答：Fa0/0将ACL应用于哪个方向？答：入站方向HQ:

access-list10deny55

access-list10permitanyinterfaceFastEthernet0/1

ipaccess-group10out环节2.检查第一项安全方略与否已实现。从PC5pingPC1应当失败。Pc5pingPC1失败图：环节3.检查成果。完毕比例应为80%。如果并非如此，请单击

CheckResults（检查成果）查看尚未完毕哪些必要某些。环节4.实行第二项安全方略。回绝主机访问主机。容许所有其他主机访问。在B1上使用ACL编号115配备ACL。使用原则ACL还是扩展ACL？答：扩展将ACL应用到哪个接口？答案：B2将ACL应用于哪个方向？答：Fa0/1B1:access-list115denyiphosthost

access-list115permitipanyanyinterfaceFastEthernet0/0

ipaccess-group115in环节5.检查第二项安全方略与否已实现。从PC5pingPC3应当失败。PC5pingPC3失败图：环节6.检查成果。完毕比例应为85%。如果并非如此，请单击

CheckResults（检查成果）查看尚未完毕哪些必要某些。环节7.实行第三项安全方略。回绝从到3主机通过Web访问地址为6内部网服务器。容许所有其他访问。在恰当路由器上使用ACL编号101配备ACL。使用原则ACL还是扩展ACL？答：扩展在哪台路由器上配备该ACL？答：HQ将ACL应用到哪个接口？答：S0/1/0将ACL应用于哪个方向？答：入站方向HQ:access-list101denytcp3host6eqwww

access-list101permitipanyanyinterfaceFastEthernet0/0

ipaccess-group101in环节8.检查第三项安全方略与否已实现。要测试此方略，请单击PC3，然后单击

Desktop（桌面）选项卡，再单击

WebBrowser（Web浏览器）。URL应键入内部网服务器IP地址6，然后按

Enter。几秒后应收到RequestTimeout（祈求超时）消息。PC2和该网络中所有其他PC都应当可以访问内部网服务器。PC3访问内部网服务器失败图：PC1连接内部网成功图：PC5连接内部网成功图：PC6连接内部网成功图：PC2连接内部网成功图：PC4连接内部网成功图：环节9.检查成果。完毕比例应为90%。如果并非如此，请单击

CheckResults（检查成果）查看尚未完毕哪些必要某些。环节10.实行第四项安全方略。使用名称

NO_FTP

配备命名ACL，制止/24网络访问文献服务器()上FTP服务（端口21）。所有其他访问都应容许。注意：名称区别大小写。使用原则ACL还是扩展ACL？答：扩展在哪台路由器上配备该ACL？答：B2将ACL应用到哪个接口？答：Fa0/1将ACL应用于哪个方向？答：入站方向B2:ipaccess-listextendedNO_FTP

denytcp55hosteqftp

permitipanyanyinterfaceFastEthernet0/1

ipaccess-groupNO_FTPin环节11.检查成果。PacketTracer不支持测试FTP访问，因而您无法检查此方略。但是，完毕比例应为95%。如果并非如此，请单击

CheckResults（检查成果）查看尚未完毕哪些必要某些。环节12.实行第五项安全方略。由于ISP代表与Internet之间连通性，因而请按照下列顺序配备名为

FIREWALL

命名ACL：·仅容许来自ISP和来自ISP之外任何源地址入站ping应答。·仅容许来自ISP和来自ISP之外任何源地址已建立TCP会话。·明确制止来自ISP和来自ISP之外任何源地址所有其他入站访问使用原则ACL还是扩展ACL？答：扩展在哪台路由器上配备该ACL？答：HQ将ACL应用到哪个接口？答:S0/1/0将ACL应用于哪个方向？答：入站方向HQ:ipaccess-listextendedFIREWALL

permiticmpanyanyecho-reply

permittcpanyanyestablished

denyipanyanyinterfaceSerial0/1/0

descriptionLinktoISP

ipaccess-groupFIREWALLin环节13.检查第五项安全方略与否已实现。此方略测试成果应当是任何PC都能ping通ISP或WebServer。但ISP和WebServer应当都无法ping通HQ或

FIREWALL

ACL后任何其他设备。PC1ping通ISP图：ISPping不通PC1,PC2和PC3图：ISPping不通PC4,PC5和Fileserver图：ISPping不通PC6,PC7图：WebServerping不通PC1和PC2图：环节14.检查成果。完毕比例应为100%。如果并非如此，请单击

CheckResults（检查成果）查看尚未完毕哪些必要某些。4总