计算机网络专业课程设计方案报告ACL.doc

1、华南农业大学信息学院课程设计课程设计题目：ACL筹划学时：2周所属课程名称：计算机网络课程设计开设时间： 第二学期 授课班级： 13计算机科学与技术5班指引教师：周敏教师学生姓名：陈正阳学 号：30320509 信息学院评分原则封面格式（5）正文格式（10）题目理解精确度（30）程序设计质量（30）设计报告质量（25）得分总分 ACL摘要：访问控制列表（Access Control List，ACL） 是路由器和互换机接口指令列表，用来控制端口进出数据包。ACL合用于所有被路由合同，如IP、IPX、AppleTalk等。信息点间通信和内外网络通信都是公司网络中必不可少业务需求，为了保证内网安全

2、性，需要通过安全方略来保障非授权顾客只能访问特定网络资源，从而达到对访问进行控制目。简而言之，ACL可以过滤网络中流量，是控制访问一种网络技术手段。配备ACL后，可以限制网络流量，容许特定设备访问，指定转发特定端口数据包等。如可以配备ACL，禁止局域网内设备访问外部公共网络，或者只能使用FTP服务。ACL既可以在路由器上配备，也可以在具备ACL功能业务软件上进行配备。ACL是物联网中保障系统安全性重要技术，在设备硬件层安全基本上，通过对在软件层面对设备间通信进行访问控制，使用可编程办法指定访问规则，防止非法设备破坏系统安全，非法获取系统数据。核心字：ACL安全方略，OSPF 路由，默认路由，C

3、HAP身份验证PPP1 引言（简朴阐述选题应用背景，意义与目） 访问控制列表（AccessControlList，ACL）是路由器和互换机接口指令列表，用来控制端口进出数据包。ACL合用于所有被路由合同，如IP、IPX、AppleTalk等。这张表中包括了匹配关系、条件和查询语句，表只是一种框架构造，其目是为了对某种访问进行控制。 ACL可以限制网络流量、提高网络性能；ACL可以提供对通信流量控制手段；ACL是提供网络安全访问基本手段；ACL可以在路由器端口处决定哪种类型通信流量被转发或被阻塞。 当前有两种重要ACL:原则ACL和扩展ACL。 原则ACL使用199以及13001999之间数字作

4、为表号，扩展ACL使用100199以及2699之间数字作为表号。 原则ACL可以制止来自某一网络所有通信流量，或者容许来自某一特定网络所有通信流量，或者回绝某一合同簇（例如IP）所有通信流量。 扩展ACL比原则ACL提供了更广泛控制范畴。例如，网络管理员如果但愿做到“容许外来Web通信流量通过，回绝外来FTP和Telnet等通信流量”，那么，她可以使用扩展ACL来达到目，原则ACL不能控制这样精准。 本次实验重要通过理解上述ACL意义及功能，通过自己配备ACL来实现对任意网段数据阻塞和对任意网段ping服务进行阻塞，以达到学会ACL基本配备，理解ACL功能及实现为目。2 总体设计 （本某些阐述

5、设计思路及方案选取）2.1 学习目的 配备带有 CHAP 身份验证 PPP 配备默认路由 配备 OSPF 路由 实行并检查多项 ACL 安全方略 2.2 所用开发工具重要用Cisco Packet Tracer完毕开发工作2.3 地址表设备接口IP 地址子网掩码HQS0/0/010.1.1.1255.255.255.252S0/0/110.1.1.5255.255.255.252S0/1/0209.165.201.2255.255.255.252Fa0/010.1.50.1255.255.255.0Fa0/110.1.40.1255.255.255.0B1S0/0/010.1.1.2255.2

6、55.255.252Fa0/010.1.10.1255.255.255.0Fa0/110.1.20.1255.255.255.0B2S0/0/010.1.1.6255.255.255.252Fa0/010.1.80.1255.255.255.0Fa/0/110.1.70.1255.255.255.0ISPS0/0/0209.165.201.1255.255.255.252Fa0/0209.165.202.129255.255.255.252Web Server网卡209.165.202.130255.255.255.2522.4实验所配拓扑图：3 详细设计（如果是程序设计方面题目需要涉及程序设

7、计流程，功能模块，实现功能测试等某些。如果是网络配备方面题目，需要涉及详细操作环节，实现功能，及有关测试。）总体拓扑图：3.1配备带有 CHAP 身份验证 PPP环节 1）. 将 HQ 和 B1 之间链路配备为使用带有 CHAP 身份验证 PPP 封装。CHAP 身份验证口令是cisco123。B1:username HQ password cisco123interface Serial0/0/0 encapsulation ppp ppp authentication chapHQ:username B1 password 0 cisco123interface Serial0/0/0 e

8、ncapsulation ppp ppp authentication chap环节 2）. 将 HQ 和 B2 之间链路配备为使用带有 CHAP 身份验证 PPP 封装。CHAP 身份验证口令是cisco123。B2:username HQ password 0 cisco123interface Serial0/0/0 encapsulation ppp ppp authentication chapHQ:username B2 password 0 cisco123interface Serial0/0/1 encapsulation ppp ppp authentication cha

9、p环节 3）. 检查路由器之间与否已恢复连通性。HQ 应能 ping 通 B1 和 B2。接口恢复也许需要几分钟。在 Realtime（实时）模式和 Simulation（模仿）模式之间来回切换可加快此过程。要让 Packet Tracer 加快此过程，另一种可行办法是对接口使用shutdown和no shutdown命令。Ping通图：注：由于 Packet Tracer 程序缺陷，接口也许会在练习期间任何时候随机关闭。请等待几秒钟，普通接口会自行重新打开。环节 4）. 检查成果。完毕比例应为 29%。如果并非如此，请单击Check Results（检查成果）查看尚未完毕哪些必要某些。3.2

10、配备默认路由环节 1. 配备从 HQ 到 ISP 默认路由。在 HQ 上使用送出接口参数配备默认路由，将所有默认流量发送到 ISP。HQ操作：HQ(config)#ip route 0.0.0.0 0.0.0.0 Serial0/1/0环节 2. 测试与 Web Server 连通性。从 HQ Serial0/1/0 接口发出 ping。HQ 应当能成功 ping 通 Web Server (209.165.202.130)。注：这某些没有PING通。3.3配备 OSPF 路由环节 1. 在 HQ 上配备 OSPF。使用进程 ID 1 配备 OSPF。告示除 209.165.201.0 网络外

11、所有子网。向 OSPF 相邻设备传播默认路由。在接入 ISP 和接入 HQ LAN 接口上禁用 OSPF 更新。HQ:router ospf 1 passive-interface FastEthernet0/0 passive-interface FastEthernet0/1 passive-interface Serial0/1/0 network 10.1.50.0 0.0.0.255 area 0 network 10.1.40.0 0.0.0.255 area 0 network 10.1.1.0 0.0.0.3 area 0 network 10.1.1.4 0.0.0.3 ar

12、ea 0 default-information originate环节 2. 在 B1 和 B2 上配备 OSPF。使用进程 ID 1 配备 OSPF。在每台路由器上配备恰当子网。在接入 LAN 接口上禁用 OSPF 更新。B1:router ospf 1 passive-interface FastEthernet0/0 passive-interface FastEthernet0/1 network 10.1.1.0 0.0.0.3 area 0 network 10.1.10.0 0.0.0.255 area 0 network 10.1.20.0 0.0.0.255 area 0B

13、2:router ospf 1 passive-interface FastEthernet0/0 passive-interface FastEthernet0/1 network 10.1.1.4 0.0.0.3 area 0 network 10.1.70.0 0.0.0.255 area 0 network 10.1.80.0 0.0.0.255 area 0环节 3. 测试整个网络连通性。当前，网络应当实现了完全端到端连通性。所有设备均应可以成功 ping 通所有其他设备，涉及地址为 209.165.202.130 Web Server。PC1ping通PC2和PC4图：PC1pin

14、g通PC6和PC7图：环节 4. 检查成果。完毕比例应为 76%。如果并非如此，请单击Check Results（检查成果）查看尚未完毕哪些必要某些。3.4实行多项 ACL 安全方略环节 1. 实行第一项安全方略。制止 10.1.10.0 网络访问 10.1.40.0 网络。容许对 10.1.40.0 所有其他访问。在 HQ 上使用 ACL 编号 10 配备 ACL。使用原则 ACL 还是扩展 ACL？答：扩展将 ACL 应用到哪个接口？答：Fa0/0将 ACL 应用于哪个方向？答：入站方向HQ: access-list 10 deny 10.1.10.0 0.0.0.255 access-l

15、ist 10 permit anyinterface FastEthernet0/1 ip access-group 10 out环节 2. 检查第一项安全方略与否已实现。从 PC5 ping PC1 应当失败。Pc5pingPC1失败图：环节 3. 检查成果。完毕比例应为 80%。如果并非如此，请单击Check Results（检查成果）查看尚未完毕哪些必要某些。环节 4. 实行第二项安全方略。回绝主机 10.1.10.5 访问主机 10.1.50.7。容许所有其他主机访问 10.1.50.7。在 B1 上使用 ACL 编号 115 配备 ACL。使用原则 ACL 还是扩展 ACL？答：扩展

16、将 ACL 应用到哪个接口？答案：B2将 ACL 应用于哪个方向？答：Fa0/1B1:access-list 115 deny ip host 10.1.10.5 host 10.1.50.7 access-list 115 permit ip any anyinterface FastEthernet0/0 ip access-group 115 in环节 5. 检查第二项安全方略与否已实现。从 PC5 ping PC3 应当失败。PC5 ping PC3失败图：环节 6. 检查成果。完毕比例应为 85%。如果并非如此，请单击Check Results（检查成果）查看尚未完毕哪些必要某些。环

17、节 7. 实行第三项安全方略。回绝从 10.1.50.1 到 10.1.50.63 主机通过 Web 访问地址为 10.1.80.16 内部网服务器。容许所有其他访问。在恰当路由器上使用 ACL 编号 101 配备 ACL。使用原则 ACL 还是扩展 ACL？答：扩展在哪台路由器上配备该 ACL？答：HQ将 ACL 应用到哪个接口？答：S0/1/0将 ACL 应用于哪个方向？答：入站方向HQ:access-list 101 deny tcp 10.1.50.0 0.0.0.63 host 10.1.80.16 eq www access-list 101 permit ip any anyin

18、terface FastEthernet0/0 ip access-group 101 in环节 8. 检查第三项安全方略与否已实现。要测试此方略，请单击 PC3，然后单击Desktop（桌面）选项卡，再单击Web Browser（Web 浏览器）。URL 应键入内部网服务器 IP 地址 10.1.80.16，然后按Enter。几秒后应收到 Request Timeout（祈求超时）消息。PC2 和该网络中所有其他 PC 都应当可以访问内部网服务器。PC3访问内部网服务器失败图：PC1连接内部网成功图：PC5连接内部网成功图：PC6连接内部网成功图：PC2连接内部网成功图：PC4连接内部网成功

19、图：环节 9. 检查成果。完毕比例应为 90%。如果并非如此，请单击Check Results（检查成果）查看尚未完毕哪些必要某些。环节 10. 实行第四项安全方略。使用名称NO_FTP配备命名 ACL，制止 10.1.70.0/24 网络访问文献服务器 (10.1.10.2) 上 FTP 服务（端口 21）。所有其他访问都应容许。注意：名称区别大小写。使用原则 ACL 还是扩展 ACL？答：扩展在哪台路由器上配备该 ACL？答：B2将 ACL 应用到哪个接口？答：Fa0/1将 ACL 应用于哪个方向？答：入站方向B2:ip access-list extended NO_FTP deny t

20、cp 10.1.70.0 0.0.0.255 host 10.1.10.2 eq ftp permit ip any anyinterface FastEthernet0/1 ip access-group NO_FTP in环节 11. 检查成果。Packet Tracer 不支持测试 FTP 访问，因而您无法检查此方略。但是，完毕比例应为 95%。如果并非如此，请单击Check Results（检查成果）查看尚未完毕哪些必要某些。环节 12. 实行第五项安全方略。由于 ISP 代表与 Internet 之间连通性，因而请按照下列顺序配备名为FIREWALL命名 ACL： 仅容许来自 ISP

21、 和来自 ISP 之外任何源地址入站 ping 应答。 仅容许来自 ISP 和来自 ISP 之外任何源地址已建立 TCP 会话。 明确制止来自 ISP 和来自 ISP 之外任何源地址所有其他入站访问使用原则 ACL 还是扩展 ACL？答：扩展在哪台路由器上配备该 ACL？答：HQ将 ACL 应用到哪个接口？答:S0/1/0将 ACL 应用于哪个方向？答：入站方向HQ:ip access-list extended FIREWALL permit icmp any any echo-reply permit tcp any any established deny ip any anyinter

22、face Serial0/1/0 description Link to ISP ip access-group FIREWALL in环节 13. 检查第五项安全方略与否已实现。此方略测试成果应当是任何 PC 都能 ping 通 ISP 或 Web Server。但 ISP 和 Web Server 应当都无法 ping 通 HQ 或FIREWALLACL 后任何其他设备。PC1ping通ISP图：ISPping不通PC1,PC2和PC3图：ISPping不通PC4,PC5和File server图：ISPping不通PC6,PC7图：Web Server ping不通PC1和PC2图：环节

23、 14. 检查成果。完毕比例应为 100%。如果并非如此，请单击Check Results（检查成果）查看尚未完毕哪些必要某些。4 总结4.1 工作小结 在本次综合性实验中，最先开始我选是第九道题也就是软件防火墙设计与实现这道题目。由于在选题欠缺考虑，直接导致我在开始实验时艰难。一方面防火墙普通是要用C+来做，而本人在上学期专业选修并没有选C+，因而在开始阶段做时候是异常艰难。在网上查找资料都是以C+为版本做，这给我在理解上导致了很大困难。因而，在通过痛苦抉择之后跟教师提了更换题目。然后我这次就选了第十五题来做。在做第十五题过程中，由于更换题目时间过晚，导致做十五题时候过于仓促。也遇到了不少问

24、题，但是所幸通过询问同窗尚有自己在网上查找资料，问题也差不多迎润而解。ACL这道题目说难也不太难，就是其中拓扑图中连接设备过于繁多，这样在浮现问题状况就很难查找问题症结所在。因此这规定我在设立IP地址和连线过程中一定要专注再专注，不可有一丝一毫马虎。唯一遗憾就是在webserver与HQping上没有成功。但是我会在答辩前努力ping通。通过本次实验，让我明白两个道理：一选题重要性。好选题能让你在开始做时候便于入手，不适合你选题很有也许就会挥霍你时间。例如我最开始选题做了快一种月却还是没做出来。二是做实验过程中不可马虎，要专注在专注，这样对你实验后期维护将大有益处。4.2 存在问题问题一：在任务一时候HQ始终ping不通B1,B2问题二：在任务二时候HQ始终ping不通Web server（这个始终没ping成）4.3 改进办法 问题一解决办法：在HQ和B1，B2Config中相应接口FA和s0设立Port status上勾上on，在s0设立Clock Rate上要赋予12800值。