计算机网络课程设计报告(ACL).doc

《计算机网络课程设计报告(ACL).doc》由会员分享，可在线阅读，更多相关《计算机网络课程设计报告(ACL).doc（24页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、优质文本华南农业大学信息学院课程设计课程设计题目：ACL方案学时：2周所属课程名称：计算机网络课程设计开设时间： 2015学年第二学期 授课班级： 13计算机科学与技术5班指导教师：周敏老师学生姓名：陈正阳学 号：201330320509 信息学院评分标准封面格式5正文格式10题目理解准确度30程序设计质量30设计报告质量25得分总分 ACL摘要：访问控制列表Access Control List，ACL 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求，为

2、了保证内网的平安性，需要通过平安策略来保障非授权用户只能访问特定的网络资源，从而到达对访问进行控制的目的。简而言之，ACL可以过滤网络中的流量，是控制访问的一种网络技术手段。配置ACL后，可以限制网络流量，允许特定设备访问，指定转发特定端口数据包等。如可以配置ACL，禁止局域网内的设备访问外部公共网络，或者只能使用FTP效劳。ACL既可以在路由器上配置，也可以在具有ACL功能的业务软件上进行配置。ACL是物联网中保障系统平安性的重要技术，在设备硬件层平安根底上，通过对在软件层面对设备间通信进行访问控制，使用可编程方法指定访问规那么，防止非法设备破坏系统平安，非法获取系统数据。关键字：ACL平安

3、策略，OSPF 路由，默认路由，CHAP身份验证的PPP1 引言简单阐述选题的应用背景，意义与目的 访问控制列表AccessControlList，ACL是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。 ACL可以限制网络流量、提高网络性能；ACL可以提供对通信流量的控制手段；ACL是提供网络平安访问的根本手段；ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。 目前有两种主要的ACL:标准ACL和扩展ACL。 标

4、准的ACL使用199以及13001999之间的数字作为表号，扩展的ACL使用100199以及20002699之间的数字作为表号。 标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇比方IP的所有通信流量。 扩展ACL比标准ACL提供了更广泛的控制范围。例如，网络管理员如果希望做到“允许外来的Web通信流量通过，拒绝外来的等通信流量，那么，他可以使用扩展ACL来到达目的，标准ACL不能控制这么精确。 本次实验主要通过理解上述ACL的意义及功能，通过自己配置ACL来实现对任意网段的数据的阻塞和对任意网段的ping效劳进行阻塞，以到达学会ACL根

5、本配置，理解ACL的功能及实现为目的。2 总体设计 本局部阐述设计思路及方案选择2.1 学习目标 配置带有 CHAP 身份验证的 PPP 配置默认路由 配置 OSPF 路由 实施并检验多项 ACL 平安策略 2.2 所用开发工具主要用Cisco Packet Tracer完成开发工作2.3 地址表HQS0/0/010.1.1.1255.255.255.252S0/0/110.1.1.5255.255.255.252S0/1/0209.165.201.2255.255.255.252Fa0/010.1.50.1255.255.255.0Fa0/110.1.40.1255.255.255.0B1S

6、0/0/010.1.1.2255.255.255.252Fa0/010.1.10.1255.255.255.0Fa0/110.1.20.1255.255.255.0B2S0/0/010.1.1.6255.255.255.252Fa0/010.1.80.1255.255.255.0Fa/0/110.1.70.1255.255.255.0ISPS0/0/0209.165.201.1255.255.255.252Fa0/0209.165.202.129255.255.255.252Web Server网卡209.165.202.130255.255.255.2522.4实验所配拓扑图：3 详细设计如

7、果是程序设计方面的题目需要涉及程序设计流程，功能模块，实现功能测试等局部。如果是网络配置方面的题目，需要涉及具体操作步骤，实现功能，及相关测试。总体拓扑图：3.1配置带有 CHAP 身份验证的 PPP步骤 1. 将 HQ 和 B1 之间的链路配置为使用带有 CHAP 身份验证的 PPP 封装。CHAP 身份验证的口令是cisco123。B1:username HQ password cisco123interface Serial0/0/0 encapsulation ppp ppp authentication chapHQ:username B1 password 0 cisco123in

8、terface Serial0/0/0 encapsulation ppp ppp authentication chap步骤 2. 将 HQ 和 B2 之间的链路配置为使用带有 CHAP 身份验证的 PPP 封装。CHAP 身份验证的口令是cisco123。B2:username HQ password 0 cisco123interface Serial0/0/0 encapsulation ppp ppp authentication chapHQ:username B2 password 0 cisco123interface Serial0/0/1 encapsulation ppp

9、 ppp authentication chap步骤 3. 检查路由器之间是否已恢复连通性。HQ 应能 ping 通 B1 和 B2。接口恢复可能需要几分钟。在 Realtime实时模式和 Simulation模拟模式之间来回切换可加快此过程。要让 Packet Tracer 加快此过程，另一种可行的方法是对接口使用shutdown和no shutdown命令。Ping通图：注：由于 Packet Tracer 程序缺陷，接口可能会在练习期间的任何时候随机关闭。请等待几秒钟，通常接口会自行重新翻开。步骤 4. 检查结果。完成比例应为 29%。如果并非如此，请单击Check Results检查结

10、果查看尚未完成哪些必要局部。3.2配置默认路由步骤 1. 配置从 HQ 到 ISP 的默认路由。在 HQ 上使用送出接口参数配置默认路由，将所有默认流量发送到 ISP。HQ操作：HQ(config)#ip route 0.0.0.0 0.0.0.0 Serial0/1/0步骤 2. 测试与 Web Server 的连通性。从 HQ 的 Serial0/1/0 接口发出 ping。HQ 应该能成功 ping 通 Web Server (209.165.202.130)。注：这局部没有PING通。3.3配置 OSPF 路由步骤 1. 在 HQ 上配置 OSPF。使用进程 ID 1 配置 OSPF。

11、通告除 209.165.201.0 网络外的所有子网。向 OSPF 相邻设备传播默认路由。在接入 ISP 和接入 HQ LAN 的接口上禁用 OSPF 更新。HQ:router ospf 1 passive-interface FastEthernet0/0 passive-interface FastEthernet0/1 passive-interface Serial0/1/0 network 10.1.50.0 0.0.0.255 area 0 network 10.1.40.0 0.0.0.255 area 0 network 10.1.1.0 0.0.0.3 area 0 netw

12、ork 10.1.1.4 0.0.0.3 area 0 default-information originate步骤 2. 在 B1 和 B2 上配置 OSPF。使用进程 ID 1 配置 OSPF。在每台路由器上配置适当的子网。在接入 LAN 的接口上禁用 OSPF 更新。B1:router ospf 1 passive-interface FastEthernet0/0 passive-interface FastEthernet0/1 network 10.1.1.0 0.0.0.3 area 0 network 10.1.10.0 0.0.0.255 area 0 network 10

13、.1.20.0 0.0.0.255 area 0B2:router ospf 1 passive-interface FastEthernet0/0 passive-interface FastEthernet0/1 network 10.1.1.4 0.0.0.3 area 0 network 10.1.70.0 0.0.0.255 area 0 network 10.1.80.0 0.0.0.255 area 0步骤 3. 测试整个网络的连通性。现在，网络应该实现了完全的端到端连通性。所有设备均应能够成功 ping 通所有其它设备，包括地址为 209.165.202.130 的 Web S

14、erver。PC1ping通PC2和PC4图：PC1ping通PC6和PC7图：步骤 4. 检查结果。完成比例应为 76%。如果并非如此，请单击Check Results检查结果查看尚未完成哪些必要局部。3.4实施多项 ACL 平安策略步骤 1. 实施第一项平安策略。阻止 10.1.10.0 网络访问 10.1.40.0 网络。允许对 10.1.40.0 的所有其它访问。在 HQ 上使用 ACL 编号 10 配置 ACL。使用标准 ACL 还是扩展 ACL？答：扩展将 ACL 应用到哪个接口？答：Fa0/0将 ACL 应用于哪个方向？答：入站方向HQ: access-list 10 deny

15、10.1.10.0 0.0.0.255 access-list 10 permit anyinterface FastEthernet0/1 ip access-group 10 out步骤 2. 检查第一项平安策略是否已实现。从 PC5 ping PC1 应该失败。Pc5pingPC1失败图：步骤 3. 检查结果。完成比例应为 80%。如果并非如此，请单击Check Results检查结果查看尚未完成哪些必要局部。步骤 4. 实施第二项平安策略。拒绝主机 10.1.10.5 访问主机 10.1.50.7。允许所有其它主机访问 10.1.50.7。在 B1 上使用 ACL 编号 115 配置

16、ACL。使用标准 ACL 还是扩展 ACL？答：扩展将 ACL 应用到哪个接口？答案：B2将 ACL 应用于哪个方向？答：Fa0/1B1:access-list 115 deny ip host 10.1.10.5 host 10.1.50.7 access-list 115 permit ip any anyinterface FastEthernet0/0 ip access-group 115 in步骤 5. 检查第二项平安策略是否已实现。从 PC5 ping PC3 应该失败。PC5 ping PC3失败图：步骤 6. 检查结果。完成比例应为 85%。如果并非如此，请单击Check R

17、esults检查结果查看尚未完成哪些必要局部。步骤 7. 实施第三项平安策略。拒绝从 10.1.50.1 到 10.1.50.63 的主机通过 Web 访问地址为 10.1.80.16 的内部网效劳器。允许所有其它访问。在适当的路由器上使用 ACL 编号 101 配置 ACL。使用标准 ACL 还是扩展 ACL？答：扩展在哪台路由器上配置该 ACL？答：HQ将 ACL 应用到哪个接口？答：S0/1/0将 ACL 应用于哪个方向？答：入站方向HQ:access-list 101 deny tcp 10.1.50.0 0.0.0.63 host 10.1.80.16 eq www access-l

18、ist 101 permit ip any anyinterface FastEthernet0/0 ip access-group 101 in步骤 8. 检查第三项平安策略是否已实现。要测试此策略，请单击 PC3，然后单击Desktop桌面选项卡，再单击Web BrowserWeb 浏览器。URL 应键入内部网效劳器的 IP 地址 10.1.80.16，然后按Enter。几秒后应收到 Request Timeout请求超时消息。PC2 和该网络中的所有其它 PC 都应该能够访问内部网效劳器。PC3访问内部网效劳器失败图：PC1连接内部网成功图：PC5连接内部网成功图：PC6连接内部网成功图

19、：PC2连接内部网成功图：PC4连接内部网成功图：步骤 9. 检查结果。完成比例应为 90%。如果并非如此，请单击Check Results检查结果查看尚未完成哪些必要局部。步骤 10. 实施第四项平安策略。使用名称NO_FTP配置命名 ACL，阻止 10.1.70.0/24 网络访问文件效劳器 (10.1.10.2) 上的 FTP 效劳端口 21。所有其它访问都应允许。注意：名称区分大小写。使用标准 ACL 还是扩展 ACL？答：扩展在哪台路由器上配置该 ACL？答：B2将 ACL 应用到哪个接口？答：Fa0/1将 ACL 应用于哪个方向？答：入站方向B2:ip access-list ex

20、tended NO_FTP deny tcp 10.1.70.0 0.0.0.255 host 10.1.10.2 eq ftp permit ip any anyinterface FastEthernet0/1 ip access-group NO_步骤 11. 检查结果。Packet Tracer 不支持测试 FTP 访问，因此您无法检验此策略。不过，完成比例应为 95%。如果并非如此，请单击Check Results检查结果查看尚未完成哪些必要局部。步骤 12. 实施第五项平安策略。由于 ISP 代表与 Internet 之间的连通性，因此请按照以下顺序配置名为FIREWALL的命名

21、ACL： 仅允许来自 ISP 和来自 ISP 之外任何源地址的入站 ping 应答。 仅允许来自 ISP 和来自 ISP 之外任何源地址的已建立 TCP 会话。 明确阻止来自 ISP 和来自 ISP 之外任何源地址的所有其它入站访问使用标准 ACL 还是扩展 ACL？答：扩展在哪台路由器上配置该 ACL？答：HQ将 ACL 应用到哪个接口？答:S0/1/0将 ACL 应用于哪个方向？答：入站方向HQ:ip access-list extended FIREWALL permit icmp any any echo-reply permit tcp any any established den

22、y ip any anyinterface Serial0/1/0 description Link to ISP ip access-group FIREWALL in步骤 13. 检查第五项平安策略是否已实现。此策略的测试结果应该是任何 PC 都能 ping 通 ISP 或 Web Server。但 ISP 和 Web Server 应该都无法 ping 通 HQ 或FIREWALLACL 后的任何其它设备。PC1ping通ISP图：ISPping不通PC1,PC2和PC3图：ISPping不通PC4,PC5和图：ISPping不通PC6,PC7图：Web Server ping不通PC1

23、和PC2图：步骤 14. 检查结果。完成比例应为 100%。如果并非如此，请单击Check Results检查结果查看尚未完成哪些必要局部。4 总结4.1 工作小结 在本次综合性实验中，最先开始我选的是第九道题也就是软件防火墙的设计与实现这道题目。由于在选题的欠缺考虑，直接导致我在开始实验时的艰难。首先防火墙一般是要用C+来做的，而本人在上学期的专业选修并没有选C+，因此在开始的阶段做的时候是异常艰难的。在网上查找的资料都是以C+为版本做的，这给我在理解上造成了很大的困难。因此，在经过痛苦的抉择之后跟老师提了更换题目。然后我这次就选了第十五题来做。在做第十五题的过程中，由于更换题目的时间过晚，

24、导致做十五题的时候过于仓促。也遇到了不少问题，不过所幸经过询问同学还有自己在网上查找资料，问题也差不多迎润而解。ACL这道题目说难也不太难，就是其中的拓扑图中连接的设备过于繁多，这样在出现问题的情况就很难查找问题的症结所在。所以这要求我在设置IP地址和连线过程中一定要专注再专注，不可有一丝一毫的马虎。唯一的遗憾就是在webserver与HQ的ping上没有成功。不过我会在辩论前努力ping通的。通过本次实验，让我明白的两个道理：一选题的重要性。好的选题能让你在开始做的时候便于入手，不适合你的选题很有可能就会浪费你的时间。比方我最开始的选题做了快一个月却还是没做出来。二是做实验过程中不可马虎，要专注在专注，这样对你实验后期的维护将大有益处。4.2 存在的问题问题一：在任务一的时候HQ一直ping不通B1,B2问题二：在任务二的时候HQ一直ping不通Web server这个一直没ping成4.3 改良的方法 问题一解决方法：在HQ和B1，B2的Config中相应的接口FA和s0设置的Port status上勾上on，在s0设置的Clock Rate上要赋予12800的值。