. 资料 信息工程学院 路由与交换技术课程设计报告

题目： 访问控制ACL 在企业内的应用 专业：信息管理与信息系统 班级：10级 姓名： xxx 学号：xxxxxxxxxx 完成时间： 20123 年 7 月 3 日 . 资料 指导教师： xxx .

资料 一、选题目的和意义 选题的目的： ACL技术在路由器中被广泛采用，它是一种基于包过滤的流控制技术。标准访问控制列表通过把源地址、目的地址及端口号作为数据包检查的基本元素，并可以规定符合条件的数据包是否允许通过。ACL通常应用在企业的出口控制上，可以通过实施ACL，可以有效的部署企业网络出网策略。随着局域网内部网络资源的增加，一些企业已经开始使用ACL来控制对局域网内部资源的访问能力，进而来保障这些资源的安全性。 ACL技术可以有效的在三层上控制网络用户对网络资源的访问，它可以具体到两台网络设备间的网络应用，也可以按照网段进行大范围的访问控制管理，为网络应用提供了一个有效的安全手段。 一方面，采用ACL技术，网络管理员需要明确每一台主机及工作站所在的IP子网并确认它们之间的访问关系，适用于网络终端数量有限的网络。对于大型网络，为了完成某些访问控制甚至不得不浪费很多的IP地址资源。同时，巨大的网络终端数量，同样会增加管理的复杂度和难度。另一方面，维护ACL不仅耗时，而且在较大程度上增加路由器开销。访问控制列表的策略性非常强，并且牵涉到网络的整体规划，它的使用对于策略制定及网络规划的人员的技术素质要求比较高。因此，是否采用ACL技术及在多大的程度上利用它，是管理效益与网络安全之间的一个权衡。 访问控制列表（Access Control List，ACL） 是路由器和交换机接口的指令列表，用 来控制端口进出的数据包。 ACL 适用于所有的被路由协议，如 IP、IPX、AppleTalk 等。这 张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问 进行控制。 ACL 可以限制网络流量、提高网络性能；ACL 可以提供对通信流量的控制手段；ACL 是 提供网络安全访问的基本手段；ACL 可以在路由器端口处决定哪种类型的通信流量被转发或 被阻塞。 目前有两种主要的 ACL:标准 ACL 和扩展 ACL。 标准的 ACL 使用 1 ~ 99 以及 1300~1999 之间的数字作为表号，扩展的 ACL 使用 100 ~ 199 以及 2000~2699 之间的数字作为表号。 标准 ACL 可以阻止来自某一网络的所有通信流量， 或者允许来自某 . 资料 一特定网络的所有通 信流量，或者拒绝某一协议簇（比如 IP）的所有通信流量。 扩展 ACL 比标准 ACL 提供了更广泛的控制范围。例如，网络管理员如果希望做到“允许 外来的 Web 通信流量通过，拒绝外来的 FTP 和 Telnet 等通信流量” ，那么，他可以使用扩展 ACL 来达到目的，标准 ACL 不能控制这么精确。 路由器工作在网络层，是信息出入的必经之路，能有效的防止外部用户对局域网的安全访问。同时可以限制网络流量，也可以限制局域网内的用户或设备使 用网络资源。因此，网络路由过滤对网络的安全具有举足轻重的作用。 目前大部分的路由器都是通过访问控制列表技术来允许或拒绝报文通过。当路由器的访问控制列表的安全特性被充分利用时，路由器将变成一个有效的、稳 定的、安全的、坚固的防御体系，既能抵御外部的攻击，又能限制内部用户对外部的非法访问，在很大程度上提高了网络的安全性。因此，可以说访问控制列表是网络防御外来攻击的第一道关卡。 本文以某企业真实拓扑图为例，讨论如何利用路由器的访问控制列表技术提高网络的安全性。 2访问控制列表(ACL) 访问控制列表是应用在路由器接口的指令列表，这些指令列表用来告诉路由器哪些数据包可以接收，哪些数据包需要拒绝。至于数据包是被接收还是被拒绝，可以由类似于源地址、目的地址、端VI号、协议等特定指示条件来决定。通过灵活地增加访问控制列表，ACL可以当作一种网络控制的有力工具，用来过滤流入和流出路由器接口的数据包。 选题的意义： 本次实验主要通过理解上述ACL的意义及功能， 通过自己配置ACL来实现对任意网段的数 据的阻塞和对任意网段的ping服务进行阻塞， 以达到学会ACL基本配置， 理解ACL的功能及实 现为目的。本文以某企业真实拓扑图为例，讨论如何利用路由器的访问控制列表技术提高网络的安全性。 访问控制列表的作用： 各种数据在其上快速通过， 今天的网络就好比一条复杂的高速公路 ， 各种数据在其上快速通过， 为了正确的规划流量，保证网络的畅通，安全。 为了正确的规划流量，保证网络的畅通，安全。我们就要设一些禁行 标志、规定单行线等等， 标志、规定单行线等等，这就是网络上的 ACL 其实在网络 . 资料 上有很多种方法可以实现以上的作用， 其实在网络上有很多种方法可以实现以上的作用， 但是最简单易行的 还是访问控制列表。 还是访问控制列表。 访问控制列表：就是用来在使用路由技术的网络里，识别和 过滤那些由某些网络发出的或者被发送出去到某些网络的 符合我们所规定条件的数据流量， 符合我们所规定条件的数据流量，以决定这些数据流量是应 该转发还是应该丢弃的技术。 该转发还是应该丢弃的技术。 由于 以上的定义我们可以看出，在路由器上实现 ACL 就是一种实现防火墙的手段。 ACL 的应用放置在路由器的接口上， 预先把建好的 ACL 放置在路由器的接口上，对接口上进方向或 者出方向的数据包进行过滤， 但是访问控制列表只能过滤经过路 者出方向的数据包进行过滤，路由器的数据包，路由器的数据包，不能过滤其本身产生的数据包。 不能过滤其本身产生的数据包。 .

资料 二、主要研究内容 本次实验设计在cisco packet tracer 这款虚拟配置电脑平台的软件上操作的。 要求用 1841 路由器 ，2950-24交换机，以及 6台PC机，连接3个网络192.168.10.0/24，192.168.1.0/30，192.168.11.0/24; 本文以某企业真实拓扑图为例，讨论如何利用路由器的访问控制列表技术提高网络的安全性。 本次实验LAN_B只允许LAN_A的访问，拒绝其他网段的数据。 ACL的配置可分为两个步骤： (1) 在全局配置模式下，使用下列命令创建ACL Router(config)#access-list access-list-number {permit/deny }{test-conditions} 其中access-list-number 为ACL的序列号。人们使用较频繁的序列号是标准的IP ACL(1-99)和扩展的IPACL(100-199). 注意，在路由器中，如果使用ACL的序列号进行配置，则列表不能插入或删除行（动态编辑）。如果列表要插入或删除一行，必须先去掉ACL，然后重新配置。 (2) 在接口模式下，使用access-group命令将第一步中创建的ACL应用到某一接口上。 (3) Router(config-if)#ip access-group access-list-number{in/out} 其中，in和out参数可以控制接口中不同方向的数据包，ACL在一个接口可以进行双向控制即配置两条命令，一条in，一条out，但是在一个接口的一个方向上，只能有一个ACL控制。 注意，把定义好的ACL应用在网络的什么地方，是能否实现原有的目的和有效地减少不必要的通信流量的关键。通常情况下标准的ACL要尽量靠近目的端；扩展的ACL要尽量靠近源端。当然这不是绝对的，具体放在哪个位置，要根据具体的情况分析。 ACL技术可以有效的在三层上控制网络用户对网络资源的访问，它可以具体到两台网络设备间的网络应用，也可以按照网段进行大范围的访问控制管理，为网络应用提供了一个有效的安全手段。 . 资料 三、方案设计（小四号黑体，段前3磅，段后1磅，行间距20磅） 本次实验设计在cisco packet tracer 这款虚拟配置电脑平台的软件上操作的。 要求用 1841 路由器 ，2950-24交换机，以及 6台PC机，连接3个网络192.168.10.0/24，192.168.1.0/30，192.168.11.0/24; 本次实验LAN_B只允许LAN_A的访问，拒绝其他网段的数据。

1) 某企业真实拓扑图如下：

图1-1 .

资料 2)IP地址规划： 网络 PC机或端口 IP地址 子网掩码

1 PC_A 192.168.10.1/24 255.255.255.0 PC_B 192.168.10.2/24 PC_E 192.168.10.3/24 2 S0/0/0(Router0) 192.168.1.1/30 255.255.255.252 S0/0/0(Router1) 192.168.1.2/30

3 PC_C 192.168.11.1/24 255.255.255.0 PC_D 192.168.11.2/24 PC_F 192.168.11.3/24 表1-1 3)关键技术及实现原理 ACL信息点间通信和内外网络的通信都是企业网络中必不可少的业务需 求，但是为了保证内网的安全性，需要通过安全策略来保障非授权用户只 能访问特定的网络资源，从而达到对访问进行控制的目的。简而言之，ACL （访问控制列表）可以过滤网络中的流量，控制访问的一种网络技术手段。 实际上，ACL 的本质就是用于描述一个 IP 数据包、以太网数据帧若干特征的集 合。然