计算机网络设计(ACL)例析.doc

华南农业大学信息学院课程设计 课程设计题目：ACL 计划学时：2周 所属课程名称：计算机网络课程设计 开设时间： 2015学年第二学期 授课班级： 13计算机科学与技术5班 指导教师：周敏老师 学生姓名：陈正阳 学 号：201330320509 信息学院 评分 标准 封面格式 （5％） 正文格式 （10％） 题目理解准确度 （30％） 程序设计质量 （30％） 设计报告质量 （25％） 得分 总分 ACL 摘要：访问控制列表（Access Control List，ACL） 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。 信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求，为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。简而言之，ACL可以过滤网络中的流量，是控制访问的一种网络技术手段。 配置ACL后，可以限制网络流量，允许特定设备访问，指定转发特定端口数据包等。如可以配置ACL，禁止局域网内的设备访问外部公共网络，或者只能使用FTP服务。ACL既可以在路由器上配置，也可以在具有ACL功能的业务软件上进行配置。 ACL是物联网中保障系统安全性的重要技术，在设备硬件层安全基础上，通过对在软件层面对设备间通信进行访问控制，使用可编程方法指定访问规则，防止非法设备破坏系统安全，非法获取系统数据。 关键字：ACL安全策略，OSPF 路由，默认路由，CHAP身份验证的PPP 1 引言 （简单阐述选题的应用背景，意义与目的） 访问控制列表（Access?Control?List，ACL）是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。 ?? ACL可以限制网络流量、提高网络性能；ACL可以提供对通信流量的控制手段；ACL是提供网络安全访问的基本手段；ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。 目前有两种主要的ACL:标准ACL和扩展ACL。 标准的ACL使用1?~?99?以及1300~1999之间的数字作为表号，扩展的ACL使用?100?~199以及2000~2699之间的数字作为表号。? 标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。 ? 扩展ACL比标准ACL提供了更广泛的控制范围。例如，网络管理员如果希望做到“允许外来的Web通信流量通过，拒绝外来的FTP和Telnet等通信流量”，那么，他可以使用扩展ACL来达到目的，标准ACL不能控制这么精确。 ? 本次实验主要通过理解上述ACL的意义及功能，通过自己配置ACL来实现对任意网段的数据的阻塞和对任意网段的ping服务进行阻塞，以达到学会ACL基本配置，理解ACL的功能及实 现为目的。 2 总体设计 （本部分阐述设计思路及方案选择） 2.1 学习目标 ? 配置带有 CHAP 身份验证的 PPP ? 配置默认路由 ? 配置 OSPF 路由 ? 实施并检验多项 ACL 安全策略 2.2 所用开发工具 主要用Cisco Packet Tracer完成开发工作 2.3 地址表 设备 接口 IP 地址 子网掩码 HQ S0/0/0 52 S0/0/1 52 S0/1/0 52 Fa0/0 Fa0/1 B1 S0/0/0 52 Fa0/0 Fa0/1 B2 S0/0/0 52 Fa0/0 Fa/0/1 ISP S0/0/0 52 Fa0/0 29 52 Web Server 网卡 30 52 3 详细设计 （如果是程序设计方面的题目需要涉及程序设计流程，功能模块，实现功能测试等部分。如果是网络配置方面的题目，需要涉及具体操作步骤，实现功能，及相关测试。） 总体拓扑图： 3.1配置带有 CHAP 身份验证的 PPP 步骤 1）. 将 HQ 和 B1 之间的链路配置为使用带有 CHAP 身份验证的 PPP 封装。 CHAP 身份验证的口令是?cisco123。 B1: username HQ password cisco123 interface Serial0/0/0