路由与交换技术课程设计报告.docx
《路由与交换技术课程设计报告.docx》由会员分享,可在线阅读,更多相关《路由与交换技术课程设计报告.docx(27页珍藏版)》请在冰点文库上搜索。
路由与交换技术课程设计报告
信息工程学院
路由与交换技术课程设计报告
题目:
访问控制ACL在企业内的应用
专业:
信息管理与信息系统班级:
10级
姓名:
xxx学号:
xxxxxxxxxx
完成时间:
20123年7月3日
指导教师:
xxx
一、选题目的和意义
选题的目的:
ACL技术在路由器中被广泛采用,它是一种基于包过滤的流控制技术。
标准访问控制列表通过把源地址、目的地址及端口号作为数据包检查的基本元素,并可以规定符合条件的数据包是否允许通过。
ACL通常应用在企业的出口控制上,可以通过实施ACL,可以有效的部署企业网络出网策略。
随着局域网内部网络资源的增加,一些企业已经开始使用ACL来控制对局域网内部资源的访问能力,进而来保障这些资源的安全性。
ACL技术可以有效的在三层上控制网络用户对网络资源的访问,它可以具体到两台网络设备间的网络应用,也可以按照网段进行大范围的访问控制管理,为网络应用提供了一个有效的安全手段。
一方面,采用ACL技术,网络管理员需要明确每一台主机及工作站所在的IP子网并确认它们之间的访问关系,适用于网络终端数量有限的网络。
对于大型网络,为了完成某些访问控制甚至不得不浪费很多的IP地址资源。
同时,巨大的网络终端数量,同样会增加管理的复杂度和难度。
另一方面,维护ACL不仅耗时,而且在较大程度上增加路由器开销。
访问控制列表的策略性非常强,并且牵涉到网络的整体规划,它的使用对于策略制定及网络规划的人员的技术素质要求比较高。
因此,是否采用ACL技术及在多大的程度上利用它,是管理效益与网络安全之间的一个权衡。
访问控制列表(AccessControlList,ACL)是路由器和交换机接口的指令列表,用来控制端口进出的数据包。
ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。
这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。
ACL可以限制网络流量、提高网络性能;ACL可以提供对通信流量的控制手段;ACL是提供网络安全访问的基本手段;ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。
目前有两种主要的ACL:
标准ACL和扩展ACL。
标准的ACL使用1~99以及1300~1999之间的数字作为表号,扩展的ACL使用100~199以及2000~2699之间的数字作为表号。
标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。
扩展ACL比标准ACL提供了更广泛的控制范围。
例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确。
路由器工作在网络层,是信息出入的必经之路,能有效的防止外部用户对局域网的安全访问。
同时可以限制网络流量,也可以限制局域网内的用户或设备使
用网络资源。
因此,网络路由过滤对网络的安全具有举足轻重的作用。
目前大部分的路由器都是通过访问控制列表技术来允许或拒绝报文通过。
当路由器的访问控制列表的安全特性被充分利用时,路由器将变成一个有效的、稳
定的、安全的、坚固的防御体系,既能抵御外部的攻击,又能限制内部用户对外部的非法访问,在很大程度上提高了网络的安全性。
因此,可以说访问控制列表是网络防御外来攻击的第一道关卡。
本文以某企业真实拓扑图为例,讨论如何利用路由器的访问控制列表技术提高网络的安全性。
2访问控制列表(ACL)
访问控制列表是应用在路由器接口的指令列表,这些指令列表用来告诉路由器哪些数据包可以接收,哪些数据包需要拒绝。
至于数据包是被接收还是被拒绝,可以由类似于源地址、目的地址、端VI号、协议等特定指示条件来决定。
通过灵活地增加访问控制列表,ACL可以当作一种网络控制的有力工具,用来过滤流入和流出路由器接口的数据包。
选题的意义:
本次实验主要通过理解上述ACL的意义及功能,通过自己配置ACL来实现对任意网段的数据的阻塞和对任意网段的ping服务进行阻塞,以达到学会ACL基本配置,理解ACL的功能及实现为目的。
本文以某企业真实拓扑图为例,讨论如何利用路由器的访问控制列表技术提高网络的安全性。
访问控制列表的作用:
各种数据在其上快速通过,今天的网络就好比一条复杂的高速公路,各种数据在其上快速通过,为了正确的规划流量,保证网络的畅通,安全。
为了正确的规划流量,保证网络的畅通,安全。
我们就要设一些禁行标志、规定单行线等等,标志、规定单行线等等,这就是网络上的ACL其实在网络上有很多种方法可以实现以上的作用,其实在网络上有很多种方法可以实现以上的作用,但是最简单易行的还是访问控制列表。
还是访问控制列表。
访问控制列表:
就是用来在使用路由技术的网络里,识别和过滤那些由某些网络发出的或者被发送出去到某些网络的符合我们所规定条件的数据流量,符合我们所规定条件的数据流量,以决定这些数据流量是应该转发还是应该丢弃的技术。
该转发还是应该丢弃的技术。
由于以上的定义我们可以看出,在路由器上实现ACL就是一种实现防火墙的手段。
ACL的应用放置在路由器的接口上,预先把建好的ACL放置在路由器的接口上,对接口上进方向或者出方向的数据包进行过滤,但是访问控制列表只能过滤经过路者出方向的数据包进行过滤,路由器的数据包,路由器的数据包,不能过滤其本身产生的数据包。
不能过滤其本身产生的数据包。
二、主要研究内容
本次实验设计在ciscopackettracer这款虚拟配置电脑平台的软件上操作的。
要求用1841路由器,2950-24交换机,以及6台PC机,连接3个网络192.168.10.0/24,192.168.1.0/30,192.168.11.0/24;
本文以某企业真实拓扑图为例,讨论如何利用路由器的访问控制列表技术提高网络的安全性。
本次实验LAN_B只允许LAN_A的访问,拒绝其他网段的数据。
ACL的配置可分为两个步骤:
(1)在全局配置模式下,使用下列命令创建ACL
Router(config)#access-listaccess-list-number{permit/deny}{test-conditions}
其中access-list-number为ACL的序列号。
人们使用较频繁的序列号是标准的IPACL(1-99)和扩展的IPACL(100-199).
注意,在路由器中,如果使用ACL的序列号进行配置,则列表不能插入或删除行(动态编辑)。
如果列表要插入或删除一行,必须先去掉ACL,然后重新配置。
(2)在接口模式下,使用access-group命令将第一步中创建的ACL应用到某一接口上。
(3)Router(config-if)#ipaccess-groupaccess-list-number{in/out}
其中,in和out参数可以控制接口中不同方向的数据包,ACL在一个接口可以进行双向控制即配置两条命令,一条in,一条out,但是在一个接口的一个方向上,只能有一个ACL控制。
注意,把定义好的ACL应用在网络的什么地方,是能否实现原有的目的和有效地减少不必要的通信流量的关键。
通常情况下标准的ACL要尽量靠近目的端;扩展的ACL要尽量靠近源端。
当然这不是绝对的,具体放在哪个位置,要根据具体的情况分析。
ACL技术可以有效的在三层上控制网络用户对网络资源的访问,它可以具体到两台网络设备间的网络应用,也可以按照网段进行大范围的访问控制管理,为网络应用提供了一个有效的安全手段。
三、方案设计(小四号黑体,段前3磅,段后1磅,行间距20磅)
本次实验设计在ciscopackettracer这款虚拟配置电脑平台的软件上操作的。
要求用1841路由器,2950-24交换机,以及6台PC机,连接3个网络192.168.10.0/24,192.168.1.0/30,192.168.11.0/24;
本次实验LAN_B只允许LAN_A的访问,拒绝其他网段的数据。
1)某企业真实拓扑图
如下:
图1-1
2)IP地址规划:
网络
PC机或端口
IP地址
子网掩码
1
PC_A
192.168.10.1/24
255.255.255.0
PC_B
192.168.10.2/24
PC_E
192.168.10.3/24
2
S0/0/0(Router0)
192.168.1.1/30
255.255.255.252
S0/0/0(Router1)
192.168.1.2/30
3
PC_C
192.168.11.1/24
255.255.255.0
PC_D
192.168.11.2/24
PC_F
192.168.11.3/24
表1-1
3)关键技术及实现原理
ACL信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求,但是为了保证内网的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的。
简而言之,ACL(访问控制列表)可以过滤网络中的流量,控制访问的一种网络技术手段。
实际上,ACL的本质就是用于描述一个IP数据包、以太网数据帧若干特征的集合。
然后根据这些集合去匹配网络中的流量(由大量数据包组成),同时根据策略来“允许”或者“禁止”。
作用:
①ACL可以限制网络流量、提高网络性能。
②ACL提供对通信流量的控制手段。
③ACL是提供网络安全访问的基本手段。
④ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。
ACL的分类(基于IP)
①标准ACL标准型ACL只能匹配源IP地址,在应用中有三种匹配的方式:
1、any,指任意地址
2、,指定某个IP网段
3、src_range,指定IP的地址范围配置命令:
ipaccess-liststandard//标准ACL,name为名字{permit|deny}any{permit|deny}{permit|deny}src_range
②扩展型ACL扩展型ACL可匹配多个条目,常用的项目有源、目的IP,源、目的端口号,以及ip协议号(种类)等,可以用来满足绝大多数的应用。
在一个条件中,这些项目的前后顺序如下:
协议号,源ip地址,源端口号,目的ip地址,目的端口号。
配置命令:
ipaccess-listextended{permit|deny}{ip|icmp|tcp|udp}{any|network|src_range}[src_port]{any|network|src_range}[dst_port]
2)Eigrp
EIGRP:
EnhancedInteriorGatewayRoutingProtocol即增强内部网关路由线路协议。
也翻译为加强型内部网关路由协议。
EIGRP是Cisco公司的私有协议。
Cisco公司是该协议的发明者和唯一具备该协议解释和修改权的厂商。
EIGRP结合了链路状态和距离矢量型路由选择协议的Cisco专用协议,采用弥散修正算法(DUAL)来实现快速收敛,可以不发送定期的路由更新信息以减少带宽的占用,支持Appletalk、IP、Novell和NetWare等多种网络层协议。
是Cisco的私有路由协议,它综合了距离矢量和链路状态2者的优点,它的特点包括:
1.快速收敛
链路状态包(Link-StatePacket,LSP)的转发是不依靠路由计算的,所以大型网络可以较为快速的进行收敛.它只宣告链路和链路状态,而不宣告路由,所以即使链路发生了变化,不会引起该链路的路由被宣告.但是链路状态路由协议使用的是Dijkstra算法,该算法比较复杂,并且和其他路由协议单独计算路由相比较占CPU和内存资源,EIGRP采用弥散更新算法(diffusingcomputations),通过多个路由器并行的进行路由计算,这样就可以在无环路产生的情况下快速的收敛.
2.减少带宽占用
EIGRP不作周期性的更新,它只在路由的路径和速度发生变化以后做部分更新.当路径信息改变以后,DUAL只发送那条路由信息改变了的更新,而不是发送整个路由表.和更新传输到一个区域内的所有路由器上的链路状态路由协议相比,DUAL只发送更新给需要该更新信息的路由器。
在WAN低速链路上,EIGRP可能会占用大量带宽,默认只占用链路带宽50%,之后发布的IOS允许使用命令ipbandwidth-percenteigrp来修改这一默认值.
3.支持多种网络层协议
EIGRP通过使用“协议相关模块”(即protocol-dependentmodule),可以支持IPX,ApplleTalk,IP,IPv6和NovellNetware等协议.
4.无缝连接数据链路层协议和拓扑结构
EIGRP不要求对OSI参考模型的层2协议做特别的配置.不像OSPF,OSPF对不同的层2协议要做不同配置,比如以太网和帧中继,EIGRP能够有效的工作在LAN和WAN中,而且EIGRP保证网络及不会产生环路(loop-free);而且配置起来很简单;支持VLSM;它使用组播和单播,不使用广播,这样做节约了带宽;它使用和IGRP一样的度的算法,但是是32位长的;它可以做非等价的路径的负载平衡.
四、主要设备命令配置
1).配置使得各PC机之间可以相互通信
routerA配置文档:
Router>enable
Router#configureterminal
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router(config)#hostnameRouterA
RouterA(config)#ints0/0/0
RouterA(config-if)#ipaddress192.168.1.1255.255.255.252
RouterA(config-if)#clockrate64000
RouterA(config-if)#noshutdown
RouterA(config-if)#exit
RouterA(config)#intf0/0
RouterA(config-if)#ipaddress192.168.10.254255.255.255.0
RouterA(config-if)#noshutdown
RouterA#configt
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
RouterA(config)#routereigrp1
RouterA(config-router)#network192.168.1.0
RouterA(config-router)#network192.168.10.0
RouterA(config-router)#noauto
RouterA(config-router)#noauto-summary
RouterA(config-router)#exit
routerB的配置文档:
Router>enable
Router#configureterminal
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router(config)#hostnameRouterB
RouterB(config)#ints0/0/0
RouterB(config-if)#ipaddress192.168.1.2255.255.255.252
RouterB(config-if)#noshutdown
%LINK-5-CHANGED:
InterfaceSerial0/0/0,changedstatetoup
RouterB(config-if)#
%LINEPROTO-5-UPDOWN:
LineprotocolonInterfaceSerial0/0/0,changedstatetoup
RouterB(config-if)#exit
RouterB(config)#intf0/0
RouterB(config-if)#ipaddress192.168.11.254255.255.255.0
RouterB(config-if)#noshutdown
RouterB#configt
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
RouterB(config-router)#network192.168.1.0
RouterB(config-router)#
%DUAL-5-NBRCHANGE:
IP-EIGRP1:
Neighbor192.168.1.1(Serial0/0/0)isup:
newadjacency
RouterB(config-router)#network192.168.11.0
RouterB(config-router)#noauto
RouterB(config-router)#noauto-summary
RouterB(config-router)#
%DUAL-5-NBRCHANGE:
IP-EIGRP1:
Neighbor192.168.1.1(Serial0/0/0)isup:
newadjacency
RouterB(config-router)#exit
RouterB(config)#exit
先查看RouterA和RouterB上的路由表:
图1-2
图1-3
PC_A访问PC_F以及192.168.1.2
图1-4
192.168.1.0的网络访问LAN_B
图1-5
3)本次实验LAN_B只允许LAN_A的访问,拒绝其他网段的数据。
Router(config-if)#access-list1permit192.168.10.00.0.0.255
分析我们应该将此访问列表放置在哪个网络的位置能最好的实现此功能
设想一:
将定义的ACL放置在RouterA的f0/0接口时,
RouterA>en
RouterA#configt
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
RouterA(config)#access-list1permit192.168.10.10.0.0.255
RouterA(config)#exit
RouterA#
%SYS-5-CONFIG_I:
Configuredfromconsolebyconsole
RouterA#configt
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
RouterA(config)#intf0/0
RouterA(config-if)#ipaccess-group1in
RouterA(config-if)#exit
RouterA(config)#exit
%SYS-5-CONFIG_I:
Configuredfromconsolebyconsole
RouterA#showacc
RouterA#showaccess-lists
StandardIPaccesslist1
permit192.168.10.00.0.0.255
设想二:
将定义的ACL放置在RouterA的s0/0/0接口时;
RouterA(config)#ints0/0/0
RouterA(config-if)#ipaccess-group1out
RouterA(config-if)#exit
RouterA(config)#exit
RouterA#showaccess-lists
StandardIPaccesslist1
permit192.168.10.00.0.0.255
设想三:
将定义的ACL放置在RouterB的s0/0/0接口时;
RouterB#configt
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
RouterB(config)#acc
RouterB(config)#access-list1permit192.168.10.0
RouterB(config)#ints0/0/0
RouterB(config-if)#ipacc
RouterB(config-if)#ipaccess-group1in
RouterB(config-if)#exit
RouterB(config)#exit
%SYS-5-CONFIG_I:
Configuredfromconsolebyconsole
RouterB#show
%DUAL-5-NBRCHANGE:
IP-EIGRP1:
Neighbor192.168.1.1(Serial0/0/0)isdown:
holdingtimeexpired
acc
RouterB#showaccess-lists
StandardIPaccesslist1
permithost192.168.10.0
%SYS-5-CONFIG_I:
Configuredfromconsolebyconsole
RouterB#showiproute
Codes:
C-connected,S-static,I-IGRP,R-RIP,M-mobile,B-BGP
D-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterarea
N1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2
E1-OSPFexternaltype1,E2-OSPFexternaltype2,E-EGP
i-IS-IS,L1-IS-ISlevel-1,L2-IS-ISlevel-2,ia-IS-ISinterarea
*-candidatedefault,U-per-userstaticroute,o-ODR
P-periodi
升级会员 