網絡課程設計--企業(yè)網中的訪問控制列表

1、<p><b>　　網絡原理及應用</b></p><p><b>　　課程設計</b></p><p>　　題目：企業(yè)網中的訪問控制列表</p><p>　　主 題： 靜態(tài)NAT實驗 </p><p>　　專 業(yè)： 10軟件技術（1）班 </p>

2、<p>　　院 系： 信息工程學院 </p><p>　　指導老師： </p><p>　　完成時間： 2012年６月６日 </p><p><b>　　摘要</b></p><p>　　訪問控制列表是路由器和交換機接口的指令列表，用來控制端口進

3、出的數(shù)據(jù)包。最初的網絡只是連接有限的LAN和PC，隨著路由器連接內部和外部的網絡，以及Internet網的普及，控制訪問成為新的挑戰(zhàn)。網絡管理員面臨兩難的局面：如何拒絕不期望的訪問而允許需要的訪問？訪問控制列表增加了在路由器接口上過濾數(shù)據(jù)包出入的靈活性，可以幫助管理員限制網絡流量，也可控制用戶和設備對網絡的使用。它根據(jù)網絡中每個數(shù)據(jù)包所包含的信息內容決定是否允許該數(shù)據(jù)包通過接口。NAT即網絡地址轉換，靜態(tài)NAT是其實現(xiàn)方式中的一種。靜態(tài)

4、轉換是指將內部網絡的私有IP地址轉換為公有IP地址，IP地址對是一對一的，是一成不變的，某個私有IP地址只轉換為某個公有IP地址。借助于靜態(tài)轉換，可以實現(xiàn)外部網絡對內部網絡中某些特定設備(如服務器)的訪問。</p><p>　　關鍵字：訪問控制列表、靜態(tài)NAT、轉換地址</p><p><b>　　目錄</b></p><p><b>

5、;　　摘 要</b></p><p><b>　　第一章 系統(tǒng)描述</b></p><p><b>　　1.1 緒論</b></p><p><b>　　1.2 系統(tǒng)簡介</b></p><p><b>　　1.3 需求分析</b>

6、</p><p>　　第二章 網絡規(guī)劃布局</p><p>　　2.1 校園網絡應用</p><p>　　2.2 網絡安全規(guī)劃</p><p>　　2.3　網絡安全技術</p><p>　　2.4　網絡設計原則</p><p>　　第三章 靜態(tài)NAT實驗</p><

7、;p><b>　　3.1 實驗目的</b></p><p>　　3.2 實驗原理.</p><p>　　3.3 實驗拓撲圖.</p><p><b>　　3.4 實驗步驟</b></p><p><b>　　3.4 實驗結果</b></p><

8、;p><b>　　參考文獻.</b></p><p><b>　　系統(tǒng)描述</b></p><p><b>　　緒論</b></p><p>　　Internet是當今信息社會的一個巨大的信息資源寶藏,是全球最大的計算機網絡。隨著Internet技術的不斷發(fā)展，網絡已經應用到工作、生活的各

9、個方面, 網絡上豐富的資源產生了巨大的吸引力，接入Internet、訪問Internet成為當今信息業(yè)最為迫切的需求，IP地址資源也就愈加顯得捉襟見肘，珍貴的網絡地址分配給專用網絡終于被視作是一種對寶貴網絡資源，網絡地址轉換技術在某種程度上解決了這一問題。采用NAT技術，可以使校園內部大量私有地址的計算機通過少數(shù)合法的IP地址上互聯(lián)網,從而擴展互聯(lián)網的能力，緩解IP地址不足的問題。通過在路由器上使用NAT技術,實現(xiàn)小型計算機網絡上的所有

10、計算機能同時上Internet，提高了計算機網絡的應用效率。</p><p><b>　　系統(tǒng)簡介</b></p><p>　　以小型局域網為例，有2棟教學樓、2棟學生公寓、1棟圖書館以及實驗樓，運用靜態(tài)NAT技術實現(xiàn)訪問權限及地址轉換。</p><p><b>　　需求分析</b></p><p>

11、;　　此系統(tǒng)要求匯聚層的教學樓1、教學樓2,、公寓1、公寓2、圖書館、實驗室接入層的PC機能進行相互通信，但是PC機不能訪問核心層，相當于一個內網，在核心層接入一個外網，通過靜態(tài)NAT技術可以將內網里的私有地址轉換為公有地址，可以在外網路由器中看到地址的變化，還可以使內網里的PC機可以訪問外網里的服務器，但外網的服務器不能訪問內網里實驗室與圖書館。</p><p><b>　　網絡規(guī)劃布局</b&

12、gt;</p><p>　　2.1 校園網絡應用</p><p>　　當前隨著全國高等教育信息化的推進，校園網建設在全國高教系統(tǒng)迅速普及。計算機</p><p>　　網絡在現(xiàn)代高等教育中的應用越來越受到人們的重視。在應用系統(tǒng)建設方面，高校已取得了長足的進展。作為學校對外宣傳的窗口，學校網站建設成效明顯；辦公自動化系統(tǒng)、 財務系統(tǒng)和教務教學管理系統(tǒng)的應用已成型；高校畢

13、業(yè)生就業(yè)網快速發(fā)展；一卡通系統(tǒng)信息基礎設施的建立使得實現(xiàn)數(shù)字化、信息化和資源共享進一步緊密。由此可見校園網不僅做為重要的IT基礎設施肩負著學校信息化教學的重任，而且承載著網絡辦公、資源管理、信息發(fā)布等多項核心業(yè)務及應用系統(tǒng)。而上述的信息管理系統(tǒng)，絕大部分都是基于TCP/IP這個主流技術，IP通信網絡的好壞直接影響管理信息系統(tǒng)，從而影響日常校園信息化的正常運作。</p><p>　　目前福清學院規(guī)模并不是很大，作為

14、福建師范大學的一個校區(qū)，在規(guī)模上應該中小型校園網，網絡應用在目前的情況下還不是很多，不過隨著學校的發(fā)展，特別是近幾年的發(fā)展；其功能服務將會日堪完善。而現(xiàn)在學院提供的主要網絡服務有寬帶網絡接入、校園網站、圖書館系統(tǒng)、教學上的教務管理系統(tǒng)、學生學籍管理系統(tǒng)及其它的Internet服務(如DNS,FTP等)。</p><p>　　2.2 網絡安全規(guī)劃</p><p>　　校園網絡與企業(yè)或政府網絡

15、相比，由于自身的特點導致出現(xiàn)的安全問題非常復雜，具</p><p>　　體體現(xiàn)在以下幾個方面：</p><p>　　1. 校園網的規(guī)模大和速度快，高校校園網絡目前普遍使用千兆互連、百兆到桌面。用戶群體比較打，比較密集。正是由于高帶寬和大用戶量的特點，網絡安全問題一般蔓延快、影響大。</p><p>　　2. 用戶群體活躍，高校的學生和部分教師通常是最活躍的網絡用戶。

16、對網絡新技術充滿好奇，勇于嘗試?？赡軐W絡造成一定的影響和破壞。</p><p>　　3. 系統(tǒng)管理比較復雜，對校園網中的所有用戶端系統(tǒng)實施統(tǒng)一的安全策略非常困難。出現(xiàn)安全問題后也較難份清責任。</p><p>　　4. 網絡的開放性，校園網由于其目的性，以教學和科研為主的目的決定了校園網絡的環(huán)境應該是開放的，管理也是比較寬松的，至少在校園網的主干不能實施過多的限制，否則一些新的應用、新的

17、技術很難在校園網內部實施。開放的網絡環(huán)境必然會帶來安全上的問題。</p><p>　　2.3 網絡安全技術</p><p>　　2.3.1 加密技術</p><p>　　加密技術是網絡安全最有效的技術之一，它不但可以防止非授權用戶的搭線竊聽和入網，而且也是對付惡意軟件的有效方法。加密技術就是對信息進行重新編碼，從而達到隱藏信息內容，使非法用戶無法獲取信息真實內容的一

18、種技術手段，目前常用的有鏈路加密、節(jié)點加密、端到端加密。其密碼體制也有對稱和非對稱之分。對稱密鑰加密即收發(fā)雙方使用相同密鑰的密碼，采用的加密算法有DES，PCR，IDEA，3DES等，其中DES使用最普遍， DES主要采用替換和移位的方法加密。它用56位密鑰對64位二進制數(shù)據(jù)塊進行加密，運算速度快，密鑰生產容易，適合于在當前大多數(shù)計算機上用軟件方法實現(xiàn)。而非對稱加密則是收發(fā)雙方使用不同密鑰的密碼，公鑰密碼的優(yōu)點是可以適應網絡的開放性要求

19、，且密鑰管理問題也較為簡單，尤其可以方便的實現(xiàn)數(shù)字簽名和驗證。但其算法復雜。加密數(shù)據(jù)的速率較低。盡管如此，隨著現(xiàn)代電子技術和密碼技術的發(fā)展，公鑰密碼算法將是一種很有前途的網絡安全加密體制。RSA是其最有影響的代表。</p><p>　　2.3.2 訪問控制技術</p><p>　　訪問控制是在保障授權用戶能獲取所需資源的同時拒絕非授權用戶的安全機制。它是</p><p&

20、gt;　　網絡安全防范和保護的主要策略，訪問控制在用戶身份認證和授權之后，根據(jù)預先設定的規(guī)則對用戶訪問進行控制，只有規(guī)則允許時才能訪問，違反預定的安全規(guī)則的訪問行為將被拒絕。常用的訪問控制技術有訪問控制列表（Access Control List，ACL), ACL技術在是一種基于包過濾的流控制技術。它先建立一個訪問規(guī)則，對符合條件的數(shù)據(jù)包允許通過。不符合的，則拒絕通過。用ACL來控制對局域網內部資源的訪問能力，進而來保障這些資源的安全

21、性。</p><p>　　2.3.4 虛擬局域網技術</p><p>　　虛擬局域網(Virtual Local Area Network)，即VLAN，是在交換環(huán)境中為了克服網絡</p><p>　　物理分段的限制而建立的邏輯網絡段。VLAN技術在物理網絡的基礎上，能根據(jù)需要靈活的劃出許多邏輯網絡，從而擺脫了建筑物、樓層、地址空間等物理地域限制，能根據(jù)用戶實際需要

22、靈活地建立邏輯的專用網絡;它主要是在以太網幀的基礎上增加了VLAN頭，用VLAN ID是一個虛擬局域網，從而限制廣播范圍。VLAN讓網絡更安全、更暢通、更便于管理和讓帶寬更有保證。而各個邏輯網絡之間的通信則是通過路由器或者是具有路由功能的三層交換機來實現(xiàn)。</p><p>　　2.3.5病毒防護技術</p><p>　　防病毒技術是通過部署殺毒系統(tǒng)，對整體網絡進行統(tǒng)一、有效的規(guī)劃，使得網絡

23、能及時的發(fā)現(xiàn)病毒和清除病毒，目前防病毒技術主要應用在以下兩方面：</p><p>　　1.主機防病毒。主機防病毒的特點是通過主機防病毒代理引擎，實時監(jiān)測電腦的文件訪問和網絡交換，把文件與預存的病毒特征碼相比對，發(fā)現(xiàn)病毒就通過刪除病毒特征串實現(xiàn)解毒，或把文件隔離成非執(zhí)行文件的方式，保護電腦主機不受侵害。</p><p>　　2.網關防病毒。網關防病毒是重要的防病毒措施，它采用御毒于網門之外的

24、原則，在網關位置對可能導致病毒進入的途徑，進行截留查殺，對于管理規(guī)范的網絡是必要的安全措施。</p><p><b>　　2.4網絡設計原則</b></p><p>　　網絡信息安全系統(tǒng)應遵循如下設計原則[5]：</p><p>　　1.滿足因特網的分級管理需求：根據(jù)Internet網絡規(guī)模大、用戶眾多的特點，對Internet&Int

25、ranet信息安全實施分級管理的解決方案。 </p><p>　　2.需求、風險、代價平衡的原則：對任一網絡，絕對安全難以達到，也不一定是必要的。對一個網絡進行實際的研究并對網絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。</p><p>　　3.綜合性、整體性原則：應用系統(tǒng)工程的觀點、方法，分析網絡的安全及具體措施。一個較好的安全措施往

26、往是多種方法適當綜合的應用結果。只有從系統(tǒng)綜合整體的角度去看待、分析，才能取得有效、可行的措施。</p><p>　　4.可用性原則：安全措施需要人為去完成，如果措施過于復雜，要求過高，本身就降低了安全性，如密鑰管理就有類似的問題。其次，措施的采用不能影響系統(tǒng)的正常運行，如不采用或少采用極大地降低運行速度的密碼算法。</p><p><b>　　靜態(tài)NAT</b>&l

27、t;/p><p><b>　　2.1 實驗目的</b></p><p>　　1、熟悉內部本地址與內部合法地址之間建立靜態(tài)地址轉換的配置</p><p>　　2、掌握NAT的工作原理以及其應用特點</p><p>　　3、理解靜態(tài)NAT的工作過程和配置方法</p><p><b>　　2.2

28、實驗原理</b></p><p>　　隨著接入Internet的計算機數(shù)量的不斷猛增，IP地址資源也就顯得愈加緊張。在實際應用中，一般用戶幾乎申請不到整段的C類和B類IP地址。當我們的企業(yè)向ISP申請IP地址時，所分配的地址也不過只有幾個或十幾個IP地址。顯然，這樣少的IP地址根本無法滿足網絡用戶的需求。為了緩解供給和需求不可調和的矛盾，使用NAT技術便成為了企業(yè)和ISP的必然選擇。企業(yè)使用NAT時，

29、一般認為應當使用RFC1918規(guī)定的三段私有地址部署企業(yè)內部網絡。當企業(yè)內部設備試圖以私有地址為源，向外部網絡（Internet）發(fā)送數(shù)據(jù)包的時候，NAT可以對IP包頭進行修改，先前的源IP地址-私有地址被轉換成合法的公有IP地址（前提是，該共有IP地址應當是企業(yè)已經從ISP申請到的合法公網IP），這樣，對于一個局域網來說，無需對內部網絡的私有地址分配做大的修改，就可以滿足內網設備和外網通信的需求。由于設備的源IP地址被NAT替換成了公

30、網IP地址，設備對于外網用戶來說就顯得“不透明”，達到了保證設備安全性的目的。在這種情況下，內部私有地址和外部公有地址是一一對應的。甚至，我們只需使用少量公網IP地址（甚至是1個）即可實現(xiàn)私有地</p><p>　　在靜態(tài)NAT 中，內部網絡中的每個主機都被永久映射成外部網絡中的某個合法的地址。靜態(tài)地址轉換將內部本地地址與內部合法地址進行一對一的轉換，且需要指定和哪個合法地址進行轉換。如果內部網絡有E-mail

31、服務器或FTP 服務器等可以為外部用戶提供的服務，這些服務器的IP 地址必須采用靜態(tài)地址轉換，以便外部用戶可以使用這些服務。</p><p><b>　　2.3 實驗拓撲圖</b></p><p>　　圖2.3.1 實驗拓撲圖</p><p><b>　　2.4 實驗步驟</b></p><p>　

32、?。?）根據(jù)需求分析，我們將此系統(tǒng)分為內網和外網，在內網中我們分為三層：接入層、匯聚層、核心層，因為網絡具有可擴展性，所以在接入層接上若干PC機和6臺兩層交換機，在匯聚層接入6臺三層交換機，在核心層接入1臺三層交換機和一臺路由器，在外網中接入一臺路由器和一臺服務器，以此來實現(xiàn)地址轉換和彼此通信的功能。</p><p>　?。?）在規(guī)劃好拓撲圖過后，來進行配置</p><p>　?。?）在接

33、入層對PC機配置IP地址（如下是各PC機的地址）</p><p>　　表2.4.1 PC地址</p><p>　　（4）在核心層上的三層交換機上進行操作（以教學樓1為例）</p><p>　　1 、進入端口0/3 </p><p>　　Switch>enable</p><p>　　Switch#conf te

34、rminal </p><p>　　Enter configuration commands, one per line. End with CNTL/Z.</p><p>　　Switch(config)#interface fastEthernet 0/3</p><p>　　2、關閉交換機的交換功能</p><p>　　Switch(

35、config-if)#no switchport </p><p>　　%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/3, changed state to down</p><p>　　%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/3

36、, changed state to upSwitch(config-if)#</p><p><b>　　3、配置IP地址</b></p><p>　　Switch(config-if)#ip address 192.168.1.1 255.255.255.0</p><p><b>　　4、開始端口</b></p

37、><p>　　Switch(config-if)#no shutdown</p><p><b>　　5、做動態(tài)路由</b></p><p>　　Switch(config-router)#exit</p><p>　　Switch(config)#router rip</p><p>　　Swit

38、ch(config-router)#network 192.168.1.0</p><p>　　Switch(config-router)#network 192.168.10.0</p><p>　　Switch(config-router)#</p><p>　　%LINK-5-CHANGED: Interface FastEthernet0/5, change

39、d state to up</p><p>　　%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to up</p><p>　?。?）在路由器R1上進行配置</p><p><b>　　1、進入端口0/0</b></p>

40、<p>　　Router>enable </p><p>　　Router#configure terminal </p><p>　　Enter configuration commands, one per line. End with CNTL/Z.</p><p>　　Router(config)#interface fastEtherne

41、t 0/0</p><p>　　2、配置端口0/0的IP地址</p><p>　　Switch(config-if)#ip address 192.168.10.2 255.255.255.0</p><p>　　Switch(config-if)#no shutdown</p><p>　　%LINK-5-CHANGED: Interfac

42、e FastEthernet0/0, changed state to up</p><p>　　%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up</p><p>　　3、進入時鐘端口1/0</p><p>　　Router(config)#int

43、erface serial 1/0</p><p>　　Router(config-if)#no shutdown </p><p>　　%LINK-5-CHANGED: Interface Serial1/0, changed state to down</p><p>　　4、始終端口配置始終主頻</p><p>　　Router(con

44、fig-if)#clock rate 64000</p><p>　　Router(config-if)#no shutdown</p><p>　　LINK-5-CHANGED: Interface serial 0/0, changed state to up</p><p>　　%LINEPROTO-5-UPDOWN: Line protocol on Int

45、erface FastEthernet0/0, changed state to up</p><p><b>　　5、聲明直連網段</b></p><p>　　Router (config-router)#exit</p><p>　　Router (config)#router rip</p><p>　　Route

46、r (config-router)#network 192.168.1.0</p><p>　　Router (config-router)#network 192.168.10.0</p><p>　　Router (config-router)#</p><p>　　%LINK-5-CHANGED: Interface FastEthernet0/5, chan

47、ged state to up</p><p>　　%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to up</p><p>　?。?）在路由器R1上進行配置</p><p>　　1、進入時鐘端口1/0并開啟</p><p>　　R

48、outer>enable </p><p>　　Router#configure terminal </p><p>　　Enter configuration commands, one per line. End with CNTL/Z.</p><p>　　Router(config)#interface serial 1/0</p>&

49、lt;p>　　Router(config-if)#NO SHutdown </p><p>　　Router(config-if)#</p><p>　　%LINK-5-CHANGED: Interface Serial1/0, changed state to up</p><p>　　Router(config-if)#</p><p&

50、gt;　　%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0, changed state to up</p><p>　　2、給時鐘端口1/0配置IP地址</p><p>　　Router(config-if)#ip address 202.96.1.2 255.255.255.0</p><p>　

51、　Router(config-if)#exit</p><p><b>　　3、聲明直聯(lián)網段</b></p><p>　　Router(config)#router rip</p><p>　　Router(config-router)#network 192.168.10.0</p><p>　　Router(conf

52、ig-router)#network 202.96.1.0</p><p>　　Router(config-router)#</p><p><b>　　2.5 實驗結果</b></p><p>　　1、教學樓1與教學樓2 PING后的結果如下圖所示：</p><p>　　圖2.5.1 教學樓1與教學樓2 PING

53、后的結果</p><p>　　2、教學樓1與公寓1 PING后的結果如下圖所示：</p><p>　　圖2.5.2 教學樓1與公寓1 PING后的結果</p><p>　　3、在未用靜態(tài)NAT時教學樓1與外網PING后結果如下圖所示：</p><p>　　圖2.5.3 在未用靜態(tài)NAT時教學樓1與外網PING后結果</p>&

54、lt;p>　　4、應用靜態(tài)NAT后教學樓1與外網PING后的結果如下圖所示:</p><p>　　Router>enable </p><p>　　Router#debug ip nat</p><p>　　IP NAT debugging is on</p><p><b>　　Router#</b><

55、;/p><p>　　NAT: s=192.168.1.2->202.96.1.3, d=202.96.1.2 [21]</p><p>　　NAT*: s=202.96.1.2, d=202.96.1.3->192.168.1.2 [40]</p><p>　　NAT: s=192.168.1.2->202.96.1.3, d=202.96.1.2 [

56、22]</p><p>　　NAT*: s=202.96.1.2, d=202.96.1.3->192.168.1.2 [43]</p><p>　　NAT: s=192.168.1.2->202.96.1.3, d=202.96.1.2 [23]</p><p>　　NAT*: s=202.96.1.2, d=202.96.1.3->192.16

57、8.1.2 [44]</p><p>　　NAT: s=192.168.1.2->202.96.1.3, d=202.96.1.2 [24]</p><p>　　NAT*: s=202.96.1.2, d=202.96.1.3->192.168.1.2 [45]</p><p><b>　　Router#</b></p>

58、<p><b>　　Router#</b></p><p>　　NAT: expiring 202.96.1.3 (192.168.1.2) icmp 21 (21)</p><p>　　NAT: expiring 202.96.1.3 (192.168.1.2) icmp 22 (22)</p><p>　　NAT: expir

59、ing 202.96.1.3 (192.168.1.2) icmp 23 (23)</p><p>　　NAT: expiring 202.96.1.3 (192.168.1.2) icmp 24 (24)</p><p>　　圖2.5.4 應用靜態(tài)NAT后教學樓1與外網PING后的結果</p><p>　　[1] 《計算機網絡基礎》 韓希義 高等教育出版社，20

60、04 [2 ]《計算機網絡》 徐敬東等 清華大學出版社，2002 [3] 《計算機網絡工程與實訓》 沈輝等 清華大學出版社，2002 [4] 《計算機網絡技術實用教程》 褚建立等 電子工業(yè)出版社，2003 [5]《計算機網絡原理與技術》 劉化君 電子工業(yè)出版社，2005[6] 《計算機網絡》 謝希仁 電子工業(yè)出版社，1999[7] 《計算機網絡技術》 陸姚遠 高等教育出版社，2000[8] 《網絡工程》 劉習華等 重慶大