ACL数据包过滤实验在仿真器中的设计与实现

ACL数据包过滤实验在仿真器中的设计与实现
胡国强;蔚继承
【摘要】访问控制列表(ACL)数据包过滤技术是实现网络安全的核心技术之一,其相关实验在计算机网络课程教学中不可或缺.为了使学生更好地掌握ACL数据包过滤技术,设计了一套由浅入深、结合实际需要的计算机网络实验课程的ACL数据包过滤实验.详细阐述了如何运用Cisco Packet T racer对ACL数据包过滤技术实验进行仿真实现.教学实践结果表明,此实验项目在计算机网络课程教学中取得了良好效果.%ACL (access control list) packet filtering technology is one of the core technologies for network security ,and its related experiments are indispensable in the teaching of the Computer Network course .In order to enable the students to better master this technology ,the ACL packet filtering technology experiment for the Computer Network experimental course which is from the shallow to the deep and combines the actual needs is designed , and how to use Cisco Packet T racer to simulate the ACL packet filtering technology experiment is elaborated in detail .The results of teaching practice show that this experimental project has achieved good results in the teaching of the Computer Network course .【期刊名称】《实验技术与管理》
【年(卷),期】2017(034)011
【总页数】4页(P141-144)
【关键词】ACL;计算机网络;仿真器;实验
【作者】胡国强;蔚继承
【作者单位】西北农林科技大学网络与教育技术中心 ,陕西杨凌 712100;西北农林科技大学信息工程学院 ,陕西杨凌 712100
【正文语种】中文
【中图分类】TP393;G642.0
计算机网络是一门专业性很强的课程，涉及很多复杂、抽象的网络理论知识，计算机网络实验需要有网络实验设备和特定的实验环境[1]。

但是，由于计算机网络技
术日新月异，网络实验室硬件设备不足，不利于教师结合实际应用进行课程实验设计。

如何在课程教学中开设结合实际应用的计算机网络实验，乃是当前实验教学研究中需要思考和解决的重要问题[2]。

基于此，设计了一套由浅入深、结合实际需
要的访问控制列表(access control list，ACL)数据包过滤技术实验方案，并使用Cisco Packet Tracer对此实验方案进行仿真实现。

该仿真实验旨在提高学生在计
算机网络实验方面的技能，提升学生分析问题和解决问题的能力[3]，取得更好的
教学效果。

1.1 ACL知识基础
ACL是一个有序的语句集，它通过匹配报文中的信息与访问表参数，实现允许报
文通过或拒绝报文通过某个端口[4]。

ACL最直接的功能是数据包过滤，其可以在
路由器和三层交换机上进行网络安全属性配置，以实现对进入路由器和三层交换机的数据包进行过滤[5]。

ACL语句有2个组件：一个是条件组件，一个是操作组件。

条件用于匹配数据包内容，当条件找到匹配时，则会进行操作，允许或拒绝通过此数据包。

(1) 标准的ACL。

标准的ACL只能过滤IP数据包头中的IP地址，意味着标准
ACL只检查数据包的源地址，具体的示意如图1所示。

(2) 扩展的ACL。

扩展的IP访问表允许用户根据源和目的地址、协议、源和目的
端口以及在特定报文字段中允许进行特殊位比较的各种选项来过滤报文[6]，也就
是说扩展ACL既检查数据包的源地址，也检查数据包的目的地址，同时还可以检
查数据包的特定协议类型、端口号等。

扩展的ACL具体示意图如图2所示。

标准
的ACL和扩展的ACL皆通过编号或名称为ACL语句分组。

1.2 网络仿真软件
网络仿真软件只需安装在普通的PC上即可进行实验，具有无场所依赖性、经费投入少、实验管理简单和实验效率高等优点。

目前学术界和教育界广泛使用的网络模拟软件有3种，分别是由UC Berkeley开发的面向对象的网络仿真器
NS2(network simulator，version 2)、由Cisco 公司发布的一个辅助学习的仿真工具Cisco Packet Tracer、由华为技术有限公司开发的图形化网络仿真工具平台eNSP(Enterprise Network Simulation Platform)[7-9]。

考虑到Cisco Packet Tracer可虚拟的网络硬件数量多、功能强大、操作方便、直观且易于掌握，本文
选用Cisco Packet Tracer作为网络仿真软件。

2.1 实验目的和实验内容
设计ACL数据包过滤实验的目的是让学生灵活地掌握ACL包过滤技术的相关知识点，掌握ACL包过滤技术工作原理，熟悉ACL配置，深入掌握ACL包过滤技术。

该实验以某企业为例，采用Cisco Packet Tracer，按照企业的网络拓扑配置标准
的ACL和扩展的ACL。

所设计的2个实验的难度由浅入深，学生先进行标准的ACL实验，然后进行扩展的ACL实验。

这样的分层设计有助于学生更好地掌握ACL包过滤技术[10]。

实验步骤包括：
(1) 在Cisco Packet Tracer上画出实验拓扑；
(2) 按照实验拓扑，调试通整个网络；
(3) 按照实验具体要求，配置标准的ACL并测试；
(4) 按照实验具体要求，配置扩展的ACL并测试。

2.2 实验拓扑
某企业的网络有4个路由器，各路由器下的用户访问网络有不同的需求。

实验设备包括4台路由器、3台PC机和若干双绞线[11]，组成的实验拓扑结构如图3所示，实验IP地址规划如表1所示。

IP地址规划好后，在模拟器上配置接口IP地址，然后设置OSPF路由协议，连通整个网络。

在R3上查看到的路由如图4所示。

图4上的数据表明整个网络的各网段可以相互Ping通。

2.3 标准的ACL实验
实验要求：禁止R4下的用户和10.2.2.0/24访问R1及其内部网络。

(1) 实施方案1：在R1上建立ACL10，将其部署到R1接口Fa0/1处，方向选择in。

Router1# //特权模式
Router1#config //进入全局模式
Router1(config)#access-list 10 deny host 192.168.31.1
Router1(config)#access-list 10 deny 10.2.2.0 0.0.0.255
Router1(config)#access-list 10 permit any
//全局模式下建立ACL10，写入规则
Router1(config)#int fa 0/1
Router1(config-if)#ip access-group 10 in
//接口模式下，将ACL10应用到fa 0/1，方向为in
(2) 实施方案2：将ACL10部署到R1接口Fa0/0，方向选择out，效果同实验方
案1。

(3) 实施方案3：在R4上建立ACL10，将其部署到R4接口Fa0/0处，方向选择out，实验效果同实验方案1。

Router4# //特权模式
Router4#config //进入全局模式
Router4(config)#access-list 10 deny host 192.168.31.1
Router4(config)#access-list 10 deny 10.2.2.0 0.0.0.255
Router4(config)#access-list 10 permit any
//全局模式下建立ACL10，写入规则
Router4(config)#int fa 0/0
Router4(config-if)#ip access-group 10 out
//接口模式下，将ACL10应用到fa 0/0，方向为out
(4) 实施方案4：将ACL10部署到R4接口Fa0/1，方向选择in，效果同实验方案1。

最后，在R1上用Ping命令测试R1与R4的连通性，发现R4下的用户无法访问R1及其内部网络。

2.4 扩展的ACL实验
实验要求：禁止R2路由器PingR1路由器，禁止192.168.3.0/24网段Ping或者Telnet R1路由器及10.1.1.0/24网段。

(1) 实施方案1：在R3上建立扩展ACL100，将其部署到R3接口Gig0/0处，方向选择out。

Router3# //特权模式
Router3#config //进入全局模式
Router3(config)#access-list 100 deny icmp host 192.168.21.1 host
192.168.11.1
Router3(config)#access-list 100 deny icmp 192.168.3.00.0.0.255 10.1.1.0 0.0.0.255
Router3(config)#access-list 100 deny tcp 192.168.3.0 0.0.0.255 10.1.1.0 0.0.0.255 eq telnet
Router3(config)#access-list 100 permit ip any any
//全局模式下建立ACL100，写入规则
Router3(config)#int Gig0/0
Router3(config-if)#ip access-group 100out
//接口模式下，将 ACL100应用到Gig0/0，方向为out
(2) 实施方案2：分别在R4和R2上建立两个扩展ACL，将其应用到R4的Fa0/0和R2的Fa0/1处，方向选择out。

R4配置：
Router4# //特权模式
Router4#config //进入全局模式
Router4(config)#access-list 110 deny icmp 192.168.3.00.0.0.255 10.1.1.0 0.0.0.255
Router4(config)#access-list 110 deny tcp 192.168.3.00.0.0.255 10.1.1.0 0.0.0.255 eq telnet
Router4(config)#access-list 110 permit ip any any
//全局模式下建立ACL110，写入规则
Router4(config)#int Fa0/0
Router4(config-if)#ip access-group 110out
//接口模式下，将 ACL110应用到Fa0/0，方向为out
R2配置：
Router2# //特权模式
Router2#config //进入全局模式
Router2(config)#access-list 120 deny icmp host 192.168.21.1 host
192.168.11.1
Router2(config)#access-list 120 permit ip any any
//全局模式下建立ACL120，写入规则
Router2(config)#int Fa0/1
Router2(config-if)#ip access-group 120out
//接口模式下，将ACL120应用到Fa0/1，方向为out
测试发现，在R2无法Ping R1，在PC3上无法Ping或者Telnet R1及
10.1.1.0/24网段，达到了实验要求。

2.5 实验总结与思考
(1) ACL应遵循最小特权原则。

由2个实验可知，在进行ACL规则设计时要注意
它们之间的执行顺序，应遵循最小特权原则，地址范围越小则优先级越高。

(2) ACL数据包过滤方向选择。

由标准ACL实验可知，4种方案都能达到预期效果。

但需要注意的是在选择ACL过滤方向时应从路由器角度出发。

未选择策略路由前，应用在接口进入方向的ACL 起作用；选择策略路由后，应用在接口离开方向的ACL起作用[12]。

(3) ACL部署位置选择应注意标准的ACL部署位置选择和扩展的ACL部署位置选
择的区别。

ACL数据包过滤技术在计算机网络实验教学中占有重要的地位，其涉及网络规划、网络协议和路由配置等知识，是比较难以掌握的技术。

本文采用Cisco Packet Tracer仿真软件实现了ACL数据包过滤实验，通过仿真实验，提高了学生的学习
兴趣，加深了学生对ACL数据包过滤技术的理解[13]。

教学实践证明，全新的教学模式在网络实验课程教学中取得了良好的效果，大大地提高了学习效果和学习效率[14]。

【相关文献】
[1] 霍迎秋,田杰,韩宏，等.计算机网络实验教学模式探析[J].黑龙江教育(高教研究与评估
版),2015(10):24-26.
[2] 赵广元,王文庆,蔡秀梅，等.创客教育视野下“计算机网络”课程实验设计[J].现代教育技
术,2015,25(9):116-121.
[3] 张宁.计算机网络课程实验教学的研究和实现[D].乌鲁木齐:新疆师范大学,2014.
[4] 林丽建.基于MPLS VPN的贵阳地理信息系统业务隔离技术研究及应用[D].贵阳:贵州大学,2009.
[5] 贾应炜.校企合作管理平台中的BP神经网络研究[J].电子制作,2014(12):156-157.
[6] 从正海.交换机、路由器的攻击手段与防护措施[C]//2008年电力行业信息化年会论文
集.2008:299-301.
[7] 胡丽丽.Ad Hoc网络路由协议应用研究与实现[D].合肥:合肥工业大学,2013.
[8] 郭峰江.网络电话服务质量保证机制的研究[D].武汉:华中科技大学,2011.
[9] 刘倩.基于业务区分的SD-SMAC协议[D].昆明:昆明理工大学,2013.
[10] 杨姝.VLAN技术实验的设计与仿真实现研究[J].实验技术与管理,2014,31(3):114-117.
[11] 胡声丹,孙敏凤,何向武，等.基于GNS3与SecureCRT的交换路由实验教学[J].中国科教创新导刊,2012(1):205-206.
[12] 高宁,李晋玲,艾琼，等.浅谈信息时代学校网络教学的优缺点[J].电脑知识与技
术,2012,8(29):6956-6957.
[13] 李春花.3D MAX在机械教学中的应用[J].河南科技,2012(18):42.
[14] 严峻,黄瑞.基于ACL的包过滤防火墙实验教学设计与实现[J].中国教育信息化(基础教
育),2014(7):73-76.。