计算机网络访问控制

1、生产实习报告 计算机网络访问控制实习背景 计算机网络的发展、体系结构计算机网络体系结构可以定义为是网络协议的层次划分与各层协议的集合，同一层中的协议根据该层所要实现的功能来确定。各对等层之间的协议功能由相应的底层提供服务完成。层次化的网络体系的优点在于每层实现相对独立的功能，层与层之间通过接口来提供服务，每一层都对上层屏蔽如何实现协议的具体细节，使网络体系结构作到与具体物理实现无关。层次结构允许连接到网络的主机和终端型号、性能可以不一，但只要遵守相同的协议即可以实现互操作。高层用户可以从具有相同功能的协议层开始进行互连，使网络成为开放式系统。这里“开放”指按照相同协议任意两系统之间可以进行通信

2、。因此层次结构便于系统的实现和便于系统的维护。国际标准化组织ISO(International Standards Organization)在80年代提出的开放系统互联参考模型OSI(Open System Interconnection)，这个模型将计算机网络通信协议分为七层2：（1）物理层(Physical Layer)物理层建立在物理通信介质的基础上，作为系统和通信介质的接口，用来实现数据链路实体间透明的比特 (bit) 流传输。只有该层为真实物理通信，其它各层为虚拟通信。物理层实际上是设备之间的物理接口，物理层传输协议主要用于控制传输媒体。（2）数据链路层(Data Link Lay

3、er)数据链路层为网络层相邻实体间提供传送数据的功能和过程；提供数据流链路控制；检测和校正物理链路的差错。物理层不考虑位流传输的结构，而数据链路层主要职责是控制相邻系统之间的物理链路，传送数据以帧为单位，规定字符编码、信息格式，约定接收和发送过程，在一帧数据开头和结尾附加特殊二进制编码作为帧界识别符，以及发送端处理接收端送回的确认帧，保证数据帧传输和接收的正确性，以及发送和接收速度的匹配，流量控制等。（3）网络层(Net Work Layer)广域网络一般都划分为通信子网和资源子网，物理层、数据链路层和网络层组成通信子网，网络层是通信子网的最高层，完成对通信子网的运行控制。网络层和传输层的界面

4、，既是层间的接口，又是通信子网和用户主机组成的资源子网的界限，网络层利用本层和数据链路层、物理层两层的功能向传输层提供服务。（4）传输层(Transport Layer)从传输层向上的会话层、表示层、应用层都属于端端的主机协议层。传输层是网络体系结构中最核心的一层，传输层将实际使用的通信子网与高层应用分开。从这层开始，各层通信全部是在源与目标主机上的各进程间进行的，通信双方可能经过多个中间节点。传输层为源主机和目标主机之间提供性能可靠、价格合理的数据传输。具体实现上是在网络层的基础上再增添一层软件，使之能屏蔽掉各类通信子网的差异，向用户提供一个通用接口，使用户进程通过该接口，方便地使用网络资源

5、并进行通信。（5）会话层(Session Layer)会话是指两个用户进程之间的一次完整通信。会话层提供不同系统间两个进程建立、维护和结束会话连接的功能；提供交叉会话的管理功能，有一路交叉、两路交叉和两路同时会话的3种数据流方向控制模式。会话层是用户连接到网络的接口。（6）表示层(Presentation Layer)表示层的目的是处理信息传送中数据表示的问题。由于不同厂家的计算机产品常使用不同的信息表示标准，例如在字符编码、数值表示、字符等方面存在着差异。如果不解决信息表示上的差异，通信的用户之间就不能互相识别。因此，表示层要完成信息表示格式转换，转换可以在发送前，也可以在接收后，也可以要求

6、双方都转换为某标准的数据表示格式。所以表示层的主要功能是完成被传输数据表示的解释工作，包括数据转换、数据加密和数据压缩等。表示层协议主要功能有：为用户提供执行会话层服务原语的手段；提供描述负载数据结构的方法；管理当前所需的数据结构集和完成数据的内部与外部格式之间的转换。例如，确定所使用的字符集、数据编码以及数据在屏幕和打印机上显示的方法等。表示层提供了标准应用接口所需要的表示形式。（7）应用层(Application Layer)应用层作为用户访问网络的接口层，给应用进程提供了访问OSI环境的手段。应用进程借助于应用实体 (AE)、实用协议和表示服务来交换信息，应用层的作用是在实现应用进程相互

7、通信的同时，完成一系列业务处理所需的服务功能。当然这些服务功能与所处理的业务有关。 计算机网络访问控制随着全球网络化和信息化的发展，计算机网络已经深入到社会生活的各个方面，许多敏感的信息和技术都是通过计算机进行传输、控制和管理，尤其是近年来网络上各种新业务的兴起，如网络银行、电子政务和电子商务的快速发展，网络的重要性及其对社会的影响也越来越大。随之而来的问题是网络环境同益复杂， 安全问题也变得日益突出，仅仅依靠传统的加密技术已不能满足网络安全的需要。国际标准化组织(ISO)在网络安全标准(IS074982)中定义了5个层次型安全服务：身份认证服务、访问控制服务、数据保密服务、数据完整性服务和不

8、可否认服务，而访问控制便是其中的一个重要组成部分。所谓访问控制，就是在鉴别用户的合法身份后，通过某种途径显式地准许或限制用户对数据信息的访问能力及范围，从而控制对关键资源的访问，防止非法用户的侵入或者合法用户的不慎操作造成破坏。访问控制技术的实现是基于访问控制中权限的实现也就是访问控制的策略3。访问控制策略定义了在系统运行期间的授权和非授权行为，即哪些行为是允许发生的，那些是不允许发生的。一般分为授权策略(Authorization Policies)和义务策略(Obligation Policies)。授权策略是指对于客体，哪些操作是允许的，而哪些操作是被禁止的；义务策略是指主体必须执行或不

9、必执行的操作，是主体的义务。访问控制的基本概念有4： （1）主体(Subjeet) 主体是指主动的实体，是访问的发起者，它造成了信息的流动和系统状态的改变，主体通常包括人、进程和设备。（2）客体(Object) 客体是指包含或接受信息的被动实体，客体在信息流动中的地位是被动的，是处于主体的作用之下，对客体的访问意味着对其中所包含信息的访问。客体通常包括文件、设备、信号量和网络节点等。（3）访问(Access) 访问(Access)是使信息在主体(Subject)和客体(Object)之间流动的一种交互方式。（4）权限(Access Permissions)访问权限控制决定了谁能够访问系统，能访

10、问系统的何种资源以及如何使用这些资源。适当的访问控制能够阻止未经允许的用户有意或无意地获取数据。访问控制的手段包括用户识别代码、口令、登录控制、资源授权(例如用户配置文件、资源配置文件和控制列表)、授权核查、日志和审计等等。访问控制是保证网络安全最重要的核心策略之一，它涉及的技术也比较广，它包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。访问控制是指对主体访问客体的权限或能力的限制，以及限制进入物理区域和限制使用计算机系统和计算机存储数据的过程。在访问控制中，主体必须控制对客体的访问活动，它是访问的发起者，通常为进程、程序或用户。客体则是指对其访问必须进行控制的资源，客体一般

11、包括各种资源，如文件、设备、信号量等。一、实习目的：1.1掌握路由器和交换机的基本原理1.2掌握目前网络中常用的路由协议1.3学会使用Packet tracer进行网络设置和规划的仿真1.4学会使用路由器和交换机二、实验具体要求： 2.1 vlan的划分 2.2 静态路由配置 2.3 RIP协议配置 2.4 OSPF配置 2.5 ACL访问控制列表2.6 基于MAC地址的访问控制的设置 2.7 NAT的访问控制的设置 2.8 GRE的访问控制的设置 2.9 TELNET 访问控制的设置 2.10 SSH用户的本地认证和授权配置2.11 基于IP SEC访问控制的设置三、实验设备3.1 h3c路

12、由器和交换机各2台；3.2 PC机4台；Windows XP操作系统，装有超级终端仿真软件；3.3 Console控制台电缆1根；3.4 网线若干条。四、实验原理与过程 4.1 vlan的划分 I实验原理交换机的工作原理：在计算机网络系统中，交换机是针对共享工作模式的弱点而推出的。集线器是采用共享工作模式的代表，如果把集线器比作一个邮递员，那么这个邮递员是个不认识字的“傻瓜”。要他去送信，他不知道直接根据信件上的地址将信件送给收信人，只会拿着信分发给所有的人，然后让接收的人根据地址信息来判断是不是自己的。而交换机则是一个“聪明”的邮递员，交换机拥有一条高带宽的背部总线和内部交换矩阵。交换机的所

13、有的端口都挂接在这条背部总线上，当控制电路收到数据包以后，处理端口会查找内存中的地址对照表以确定目的MAC（网卡的硬件地址）的NIC（网卡）挂接在哪个端口上，通过内部交换矩阵迅速将数据包传送到目的端口。目的MAC若不存在，交换机才广播到所有的端口，接收端口回应后交换机会“学习”新的地址，并把它添加入内部地址表中。可见，交换机在收到某个网卡发过来的“信件”时，会根据上面的地址信息，以及自己掌握的“常住居民户口簿”快速将信件送到收信人的手中。万一收信人的地址不在“户口簿”上，交换机才会像集线器一样将信分发给所有的人，然后从中找到收信人。而找到收信人之后，交换机会立刻将这个人的信息登记到“户口簿”上

14、，这样以后再为该客户服务时，就可以迅速将信件送达了。路由器的工作原理：所谓路由就是指通过相互连接的网络把信息从源地点移动到目标地点的活动。那么路由器具体是如何进行“翻译”工作的呢？我们平时在学习、翻译英语时，肯定会准备一本英汉字典，通过它来实现英文与中文之间的互现转换。而对于路由器而言，它也有这种用于翻译的字典，路径表。路径表（Routing Table）保存着各种传输路径的相关数据，如子网的标志信息、网上路由器的个数和下一个路由器的名字等内容。路径表可以是由系统管理员固定设置好的，也可以由系统动态修改，可以由路由器自动调整，也可以由主机控制。 通过路由器可以让不同子网、网段进行互连，因此路由

15、器与集线器、交换机不同，它一般安装在网络的“骨干”部位，而不像集线器、交换机那样工作在基层。比如说一个较大规模的企业局域网，基于管理、安全、性能的考虑，一般都会将整个网络划分为多个VLAN，如此一来，当VLAN与VLAN之间进行通讯时，就必须使用路由器。 vlan原理 VLAN（Virtual Local Area Network）的中文名为虚拟局域网。虚拟局域网（VLAN）是一组逻辑上的设备和用户，这些设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来，相互之间的通信就好像它们在同一个网段中一样，由此得名虚拟局域网。VLAN是一种比较新的技术，工作在OSI参考模型的

16、第2层和第3层，一个VLAN就是一个广播域，VLAN之间的通信是通过第3层的路由器来完成的。与传统的局域网技术相比较，VLAN技术更加灵活，它具有以下优点： 网络设备的移动、添加和修改的管理开销减少；可以控制广播活动；可提高网络的安全性。在计算机网络中，一个二层网络可以被划分为多个不同的广播域，一个广播域对应了一个特定的用户组，默认情况下这些不同的广播域是相互隔离的。不同的广播域之间想要通信，需要通过一个或多个路由器。这样的一个广播域就称为VLAN。II实验过程 2台交换机，4台终端拓扑图配置命令system-view System View: return to User View with

17、 Ctrl+Z. switch0vlan 10 switch0-vlan10quitswitch0vlan 20 switch0-Vlan20quitswitch0interface GigabitEthernet 1/0/1 switch0- GigabitEthernet1/0/1port link-type trunk switch0- GigabitEthernet1/0/1port trunk permit vlan all Please wait. Done.switch0- GigabitEthernet1/0/1quitswitch0interface Gigabit Ethe

18、rnet 1/0/2 switch0- GigabitEthernet1/0/2port access vlan 10 switch0- GigabitEthernet1/0/2quitswitch0interface GigabitEthernet 1/0/3switch0- GigabitEthernet1/0/3port access vlan 20switch0- GigabitEthernet1/0/3quitswitch0quitsystem-view System View: return to User View with Ctrl+Z. switch1vlan 10 swit

19、ch1-vlan10quitswitch1vlan 20 switch1-Vlan20quitswitch1interface GigabitEthernet 1/0/1 switch1- GigabitEthernet1/0/1port link-type trunk switch1- GigabitEthernet1/0/1port trunk permit vlan all Please wait. Done.switch1- GigabitEthernet1/0/1quitswitch1interface Gigabit Ethernet 1/0/2 switch1- GigabitE

20、thernet1/0/2port access vlan 10 switch1- GigabitEthernet1/0/2quitswitch1interface GigabitEthernet 1/0/3switch1- GigabitEthernet1/0/3port access vlan 20switch1- GigabitEthernet1/0/3quitswitch1quit 实验结果PC0 ping PC2相同vlanPC0 ping PC3不同vlan由实验结果可以看出：相同vlan下终端可以ping通，不同vlan下无法ping通。4.2静态路由配置 I实验原理静态路由是指由

21、用户或网络管理员手工配置的路由信息。当网络的拓扑结构或链路的状态发生变化时，网络管理员需要手工去修改路由表中相关的静态路由信息。静态路由信息在缺省情况下是私有的，不会传递给其他的路由器。当然，网管员也可以通过对路由器进行设置使之成为共享的。静态路由一般适用于比较简单的网络环境，在这样的环境中，网络管理员易于清楚地了解网络的拓扑结构，便于设置正确的路由信息。使用静态路由的另一个好处是网络安全保密性高。动态路由因为需要路由器之间频繁地交换各自的路由表，而对路由表的分析可以揭示网络的拓扑结构和网络地址等信息。因此，网络出于安全方面的考虑也可以采用静态路由。不占用网络带宽，因为静态路由不会产生更新流量

22、。II实验过程拓扑图配置命令system-view System View: return to User View with Ctrl+Z. router0interface e0/1 router0-Ethernet0/1ip add 192.168.100.1 255.255.255.0router0-Ethernet0/1quitrouter0interface e0/0 router0-Ethernet0/0ip add 192.168.46.1 255.255.255.0router0-Ethernet0/1quitsystem-view System View: return t

23、o User View with Ctrl+Z. router1interface e0/1 router1-Ethernet0/1ip add 192.168.100.2 255.255.255.0router1-Ethernet0/1quitrouter1interface e0/0 router1-Ethernet0/0ip add 192.168.47.1 255.255.255.0router1-Ethernet0/1quitrouter1ip route-static 192.168.46.0 255.255.255.0 192.168.100.1router1quitrouter

24、0ip route-static 192.168.47.0 255.255.255.0 192.168.100.2router0quit实验结果在PC0上用ping命令，ping PC14.3 RIP配置 I实验原理 RIP协议是一种内部网关协议（IGP），是一种动态路由选择协议，用于自治系统（AS）内的路由信息的传递。RIP协议基于距离矢量算法（DistanceVectorAlgorithms），使用“跳数”(即metric)来衡量到达目标地址的路由距离。这种协议的路由器只关心自己周围的世界，只与自己相邻的路由器交换信息，范围限制在15跳(15度)之内，再远，它就不关心了。RIP应用于OSI

25、网络七层模型的应用层。各厂家定义的管理距离（AD，即优先级）如下：华为定义的优先级是100，华三定义优先级是100，思科定义的是120。RIP协议采用距离向量算法，在实际使用中已经较少适用。在默认情况下，RIP使用一种非常简单的度量制度：距离就是通往目的站点所需经过的链路数，取值为115，数值16表示无穷大。RIP进程使用UDP的520端口来发送和接收RIP分组。RIP分组每隔30s以广播的形式发送一次，为了防止出现“广播风暴”，其后续的的分组将做随机延时后发送。在RIP中，如果一个路由在180s内未被刷，则相应的距离就被设定成无穷大，并从路由表中删除该表项。RIP分组分为两种：请求分组和响应

26、分组。 II实验过程拓扑图配置命令system-view System View: return to User View with Ctrl+Z. router0interface e0/1 router0-Ethernet0/1ip add 192.168.100.1 255.255.255.0router0-Ethernet0/1quitrouter0interface e0/0 router0-Ethernet0/0ip add 192.168.46.1 255.255.255.0router0-Ethernet0/1quitrouter0riprouter0-rip-1network

27、 192.168.100.0router0-rip-1network 192.168.46.0router0-rip-1quitrouter0quitsystem-view System View: return to User View with Ctrl+Z. router1interface e0/1 router1-Ethernet0/1ip add 192.168.100.2 255.255.255.0router1-Ethernet0/1quitrouter1interface e0/0 router1-Ethernet0/0ip add 192.168.47.1 255.255.

28、255.0router1-Ethernet0/1quit router1interface e0/1 router1riprouter1-rip-1network 192.168.100.0router1-rip-1network 192.168.47.0router1-rip-1quitrouter1quit实验结果在PC0上用ping命令，ping PC14.4 OSPF配置 I实验原理 OSPF(Open Shortest Path First开放式最短路径优先）是一个内部网关协议(Interior Gateway Protocol，简称IGP），用于在单一自治系统（autonomous

29、 system,AS）内决策路由。是对链路状态路由协议的一种实现，隶属内部网关协议（IGP），故运作于自治系统内部。著名的迪克斯加算法(Dijkstra)被用来计算最短路径树。OSPF分为OSPFv2和OSPFv3两个版本,其中OSPFv2用在IPv4网络，OSPFv3用在IPv6网络。OSPFv2是由RFC 2328定义的，OSPFv3是由RFC 5340定义的。与RIP相比，OSPF是链路状态协议，而RIP是距离矢量协议。OSPF路由协议是一种典型的链路状态（Link-state）的路由协议，一般用于同一个路由域内。在这里，路由域是指一个自治系统（Autonomous System），即A

30、S，它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。在这个AS中，所有的OSPF路由器都维护一个相同的描述这个AS结构的数据库，该数据库中存放的是路由域中相应链路的状态信息，OSPF路由器正是通过这个数据库计算出其OSPF路由表的。作为一种链路状态的路由协议，OSPF将链路状态组播数据LSA（Link State Advertisement）传送给在某一区域内的所有路由器，这一点与距离矢量路由协议不同。运行距离矢量路由协议的路由器是将部分或全部的路由表传递给与其相邻的路由器。 II实验过程拓扑图配置命令system-view System View: return to User

31、 View with Ctrl+Z. router0interface e0/1 router0-Ethernet0/1ip add 192.168.100.1 255.255.255.0router0-Ethernet0/1quitrouter0interface e0/0 router0-Ethernet0/0ip add 192.168.46.1 255.255.255.0router0-Ethernet0/1quitrouter0ospfrouter0-ospf-1area 0router0-ospf-1-area-0.0.0.0network 192.168.46.0 0.0.0.2

32、55router0-ospf-1-area-0.0.0.0quitrouter0-ospf-1area 1router0-ospf-1-area-0.0.0.1network 192.168.100.0 0.0.0.255router0-ospf-1-area-0.0.0.0quitrouter0-ospf-1quitrouter0quitsystem-view System View: return to User View with Ctrl+Z. router1interface e0/1 router1-Ethernet0/1ip add 192.168.100.2 255.255.2

33、55.0router1-Ethernet0/1quitrouter1interface e0/0 router1-Ethernet0/0ip add 192.168.47.1 255.255.255.0router1-Ethernet0/1quit router1interface e0/1 router1ospfrouter1-ospf-1area 0router1-ospf-1-area-0.0.0.0network 192.168.47.0 0.0.0.255router1-ospf-1-area-0.0.0.0quitrouter1-ospf-1area 1router1-ospf-1

34、-area-0.0.0.1network 192.168.100.0 0.0.0.255router1-ospf-1-area-0.0.0.0quitrouter1-ospf-1quitrouter1quit实验结果显示router0的ospf邻居III两个交换机，两个路由器实现互联互通拓扑图配置命令system-view System View: return to User View with Ctrl+Z. switch0vlan 10 switch0-vlan10quitswitch0vlan 20 switch0-Vlan20quitswitch0interface GigabitE

35、thernet 1/0/1 switch0- GigabitEthernet1/0/1port link-type trunk switch0- GigabitEthernet1/0/1port trunk permit vlan all Please wait. Done.switch0- GigabitEthernet1/0/1quitswitch0interface Gigabit Ethernet 1/0/2 switch0- GigabitEthernet1/0/2port access vlan 10 switch0- GigabitEthernet1/0/2quitswitch0

36、interface GigabitEthernet 1/0/3switch0- GigabitEthernet1/0/3port access vlan 20switch0- GigabitEthernet1/0/3quitswitch0quitsystem-view System View: return to User View with Ctrl+Z. switch1vlan 10 switch1-vlan10quitswitch1vlan 20 switch1-Vlan20quitswitch1interface GigabitEthernet 1/0/1 switch1- Gigab

37、itEthernet1/0/1port link-type trunk switch1- GigabitEthernet1/0/1port trunk permit vlan all Please wait. Done.switch1- GigabitEthernet1/0/1quitswitch1interface Gigabit Ethernet 1/0/2 switch1- GigabitEthernet1/0/2port access vlan 10 switch1- GigabitEthernet1/0/2quitswitch1interface GigabitEthernet 1/

38、0/3switch1- GigabitEthernet1/0/3port access vlan 20switch1- GigabitEthernet1/0/3quitswitch1quitsystem-view System View: return to User View with Ctrl+Z. router0interface e0/0 router0-Ethernet0/1ip add 192.168.100.1 255.255.255.0router0-Ethernet0/1quitrouter0interface e0/0.1router0-e0/0.1vlan-type do

39、t1q vid 10 router0-e0/0.1ip address 192.168.46.1 255.255.255.0router0-e0/0.1quitrouter0interface e0/0.2router0-e0/0.2vlan-type dot1q vid 20 router0-e0/0.2ip address 192.168.47.1 255.255.255.0router0-e0/0.2quitrouter0riprouter0-rip-1network 192.168.100.0router0-rip-1network 192.168.46.0router0-rip-1n

40、etwork 192.168.47.0router0-rip-1quitrouter0quitsystem-view System View: return to User View with Ctrl+Z. router1interface e0/0 router1-Ethernet0/1ip add 192.168.100.2 255.255.255.0router1-Ethernet0/1quitrouter1interface e0/0.1router1-e0/0.1vlan-type dot1q vid 10 router1-e0/0.1ip address 192.168.48.1

41、 255.255.255.0router1-e0/0.1quitrouter1interface e0/0.2router1-e0/0.2vlan-type dot1q vid 20 router1-e0/0.2ip address 192.168.49.1 255.255.255.0router1-e0/0.2quitrouter1riprouter1-rip-1network 192.168.100.0router1-rip-1network 192.168.48.0router1-rip-1network 192.168.49.0router1-rip-1quitrouter1quit实

42、验结果在PC0上使用ping命令，分别ping PC2,PC1,PC3PC0 ping PC1PC0 ping PC2PC0 ping PC3 由实验结果可以看出，第三层不具有划分vlan功能，各个终端虽然属于不同vlan，但仍然可以相互访问。4.5 ACL访问控制列表I实验原理访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。访问控制列表（Access Control List，ACL) 是路由器接口的指令列表，用来控制端口进

43、出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等11。ACL技术在路由器中被广泛采用，它是一种基于包过滤的流控制技术。标准访问控制列表通过把源地址、目的地址及端口号作为数据包检查的基本元素，并可以规定符合条件的数据包是否允许通过。ACL通常应用在企业的出口控制上，可以通过实施ACL，可以有效的部署企业网络出网策略。随着局域网内部网络资源的增加，一些企业已经开始使用ACL来控制对局域网内部资源的访问能力，进而来保障这些资源的安全性。ACL技术可以有效的在三层上控制网络用户对网络资源的访问，它可以具体到两台网络设备间的网络应用，也可以按照网段进行大范围的访问控制管理，

44、为网络应用提供了一个有效的安全手段。一方面，采用ACL技术，网络管理员需要明确每一台主机及工作站所在的IP子网并确认它们之间的访问关系，适用于网络终端数量有限的网络。对于大型网络，为了完成某些访问控制甚至不得不浪费很多的IP地址资源。同时，巨大的网络终端数量，同样会增加管理的复杂度和难度。另一方面，维护ACL不仅耗时，而且在较大程度上增加路由器开销。访问控制列表的策略性非常强，并且牵涉到网络的整体规划，它的使用对于策略制定及网络规划的人员的技术素质要求比较高。因此，是否采用ACL技术及在多大的程度上利用它，是管理效益与网络安全之间的一个权衡。ACL的定义也是基于每一种协议的。如果路由器接口配置

45、成为支持三种协议（IP、AppleTalk以及IPX）的情况，那么，用户必须定义三种ACL来分别控制这三种协议的数据包。ACL提供安全功能示意图ACL规则是一种访问控制技术。初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机如2950之类也开始提供ACL的支持。只不过支持的特性不是那么完善而已。在其它厂商的路由器或多层交换机上也提供类似的技术，不过名称和配置方式都可能有细微的差别10。ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。网络中的节点有资源节点和用户节

46、点两大类，其中资源节点提供服务或数据，用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。 在实施ACL的过程中，应当遵循如下三个基本原则：1.最小特权原则：只给受控对象完成任务所必须的最小的权限。2.最靠近受控对象原则：所有的网络层访问权限控制。 3.默认丢弃原则：在路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY，也就是丢弃所有不符合条件的数据包。这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。网络中的节点有资源节点和用户节点两大类，其中资源节点提供

47、服务或数据，用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限11。ACL的功能：（1）对于一个数据包来说，在访问表对其进行处理时，访问表中的语句按照由上而下的顺序依次对数据包进行处理，直到出现匹配的情况，决定是否让访问表通过。这样，访问表中语句的顺序是非常重要的。（2）创建访问表是针对某个接口的，访问表中的语句将对通过接口的数据包产生作用。它可以允许或阻止满足一定条件的数据包通过接口。在访问表中，接口也可以是具体的线路和设备。（3）在访问表的运用方面，有一个重要的问题，就是接口的方向问题。

48、访问表既可以用于入口（inbound），也可以用于出口（outbound）。II实验过程拓扑图配置命令system-view System View: return to User View with Ctrl+Z. switch0vlan 10 switch0-vlan10quitswitch0vlan 20 switch0-Vlan20quitswitch0interface GigabitEthernet 1/0/1 switch0- GigabitEthernet1/0/1port link-type trunk switch0- GigabitEthernet1/0/1port tr

49、unk permit vlan all Please wait. Done.switch0- GigabitEthernet1/0/1quitswitch0interface Gigabit Ethernet 1/0/2 switch0- GigabitEthernet1/0/2port access vlan 10 switch0- GigabitEthernet1/0/2quitswitch0interface GigabitEthernet 1/0/3switch0- GigabitEthernet1/0/3port access vlan 20switch0- GigabitEther

50、net1/0/3quitswitch0quitsystem-view System View: return to User View with Ctrl+Z. switch1vlan 10 switch1-vlan10quitswitch1vlan 20 switch1-Vlan20quitswitch1interface GigabitEthernet 1/0/1 switch1- GigabitEthernet1/0/1port link-type trunk switch1- GigabitEthernet1/0/1port trunk permit vlan all Please w

51、ait. Done.switch1- GigabitEthernet1/0/1quitswitch1interface Gigabit Ethernet 1/0/2 switch1- GigabitEthernet1/0/2port access vlan 10 switch1- GigabitEthernet1/0/2quitswitch1interface GigabitEthernet 1/0/3switch1- GigabitEthernet1/0/3port access vlan 20switch1- GigabitEthernet1/0/3quitswitch1quitsyste

52、m-view System View: return to User View with Ctrl+Z. router0interface e0/0 router0-Ethernet0/1ip add 192.168.100.1 255.255.255.0router0-Ethernet0/1quitrouter0interface e0/0.1router0-e0/0.1vlan-type dot1q vid 10 router0-e0/0.1ip address 192.168.46.1 255.255.255.0router0-e0/0.1quitrouter0interface e0/0.2router0-e0/0.2vlan-ty