項(xiàng)目5 網(wǎng)絡(luò)安全配置與管理

《網(wǎng)絡(luò)互聯(lián)技術(shù)項(xiàng)目教程》高等職業(yè)技術(shù)教育計(jì)算機(jī)相關(guān)專業(yè)目錄項(xiàng)目五網(wǎng)絡(luò)安全配置與管理任務(wù)5.1交換機(jī)端口隔離配置交換機(jī)端口接入安全配置訪問(wèn)控制列表ACL配置任務(wù)二任務(wù)5.3

教學(xué)目標(biāo)：?理解交換機(jī)端口隔離基本概念以及應(yīng)用場(chǎng)景；?理解交換機(jī)端口安全基本概念以及安全端口地址綁定；?理解基本ACL、高級(jí)ACL及基于時(shí)間的ACL的特性；技能目標(biāo):?掌握交換機(jī)端口隔離的配置方法；?掌握交換機(jī)端口安全的配置方法；?掌握基本ACL、高級(jí)ACL及基于時(shí)間的ACL的配置方法。項(xiàng)目五網(wǎng)絡(luò)安全配置與管理素養(yǎng)目標(biāo):?強(qiáng)化學(xué)生對(duì)國(guó)家法律法規(guī)及網(wǎng)絡(luò)空間安全相關(guān)法規(guī)政策的理解，教育學(xué)生在進(jìn)行網(wǎng)絡(luò)安全配置與管理時(shí)，嚴(yán)格遵守法律規(guī)范，維護(hù)網(wǎng)絡(luò)空間秩序。?在實(shí)踐教學(xué)環(huán)節(jié)中，通過(guò)團(tuán)隊(duì)項(xiàng)目等形式鍛煉學(xué)生的合作與溝通技巧，培養(yǎng)其在網(wǎng)絡(luò)安全領(lǐng)域中的團(tuán)隊(duì)作戰(zhàn)和協(xié)同應(yīng)對(duì)網(wǎng)絡(luò)安全事件的能力。?樹(shù)立嚴(yán)謹(jǐn)細(xì)致的工作態(tài)度，倡導(dǎo)誠(chéng)實(shí)守信的職業(yè)道德，在網(wǎng)絡(luò)安全配置與管理中做到公正透明、尊重用戶權(quán)益，堅(jiān)決抵制任何危害網(wǎng)絡(luò)安全的行為。項(xiàng)目五網(wǎng)絡(luò)安全配置與管理任務(wù)5.1交換機(jī)端口隔離配置任務(wù)陳述知識(shí)準(zhǔn)備5.1.1端口隔離基本概念5.1.2端口隔離應(yīng)用場(chǎng)景任務(wù)實(shí)施5.1.3二層端口隔離配置5.1.4三層端口隔離配置任務(wù)5.1交換機(jī)端口隔離配置任務(wù)陳述小李是公司的網(wǎng)絡(luò)工程師，隨著公司規(guī)模的不斷擴(kuò)大，公司網(wǎng)絡(luò)的子網(wǎng)數(shù)量也在增加，公司網(wǎng)絡(luò)的安全性與可靠性越來(lái)越重要，公司領(lǐng)導(dǎo)安排小李把公司的網(wǎng)絡(luò)進(jìn)行優(yōu)化，要求考慮到公司不同部門(mén)需要相互隔離，同時(shí)也要滿足不同用戶的訪問(wèn)需求。小李根據(jù)公司的要求制定了一份合理的網(wǎng)絡(luò)實(shí)施方案，那么他將如何完成網(wǎng)絡(luò)設(shè)備的相應(yīng)配置呢？任務(wù)5.1交換機(jī)端口隔離配置知識(shí)準(zhǔn)備5.1.1端口隔離基本概念端口隔離分為二層隔離三層互通和二層三層都隔離兩種模式：如果用戶希望隔離同一VLAN內(nèi)的廣播報(bào)文，但是不同端口下的用戶還可以進(jìn)行三層通信，則可以將隔離模式設(shè)置為二層隔離三層互通。如果用戶希望同一VLAN不同端口下用戶徹底無(wú)法通信，則可以將隔離模式配置為二層三層均隔離。如果不是特殊情況要求，建議用戶不要將上行口和下行口加入到同一端口隔離組中，否則上行口和下行口之間不能相互通信。5.1.1端口隔離基本概念如圖5.1所示，同一端口隔離組內(nèi)的用戶不能進(jìn)行二層的通信，但是不同端口隔離組內(nèi)的用戶可以進(jìn)行正常通行；未劃分端口隔離的用戶也能與端口隔離組內(nèi)的用戶正常通信。5.1.2端口隔離應(yīng)用場(chǎng)景端口隔離是為了實(shí)現(xiàn)報(bào)文之間的二層隔離，可以將不同的端口加入不同的VLAN，但會(huì)浪費(fèi)有限的VLAN資源。采用端口隔離特性，可以實(shí)現(xiàn)同一VLAN內(nèi)端口之間的隔離，用戶只需要將端口加入到隔離組中，就可以實(shí)現(xiàn)隔離組內(nèi)端口之間二層數(shù)據(jù)的隔離，端口隔離功能為用戶提供了更安全、更靈活的組網(wǎng)方案，如圖5.2所示。5.3任務(wù)實(shí)施5.1.3二層端口隔離配置同項(xiàng)目組的員工都被劃分到VLAN10中，其中屬于企業(yè)內(nèi)部的員工允許相互通信，屬于企業(yè)外部的員工不允許相互通信，外部員工與內(nèi)部員工之間允許通信，交換機(jī)LSW1與交換機(jī)LSW2為二層交換機(jī)，交換機(jī)LSW3與交換機(jī)LSW4為三層交換機(jī)，交換機(jī)LSW3中的VLAN10的IP地址為：00/24，主機(jī)PC1至主機(jī)PC4為內(nèi)部員工，主機(jī)PC5至主機(jī)PC8為外部員工，主機(jī)PC5與主機(jī)PC6在隔離組Group1中，機(jī)PC7與主機(jī)PC8在隔離組Group2中，相關(guān)端口與IP地址對(duì)應(yīng)關(guān)系如圖5.3所示，進(jìn)行端口隔離配置。5.1.4三層端口隔離配置同項(xiàng)目組的內(nèi)部員工被劃分到VLAN20中，外部員工被劃分到VLAN10中，交換機(jī)LSW1為三層交換機(jī)，交換機(jī)LSW1中的VLAN10的IP地址為：00/24，VLAN20的IP地址為：00/24，主機(jī)PC3與主機(jī)PC4為內(nèi)部員工，主機(jī)PC1與主機(jī)PC2為外部員工，在隔離組Group1中，機(jī)PC5與主機(jī)PC6為外部員工，在隔離組Group2中，相關(guān)端口與IP地址對(duì)應(yīng)關(guān)系如圖5.13所示，進(jìn)行三層端口隔離配置。任務(wù)5.2交換機(jī)端口接入安全配置任務(wù)陳述知識(shí)準(zhǔn)備5.2.1交換機(jī)安全端口概述5.2.2安全端口地址綁定任務(wù)實(shí)施任務(wù)5.2交換機(jī)端口接入安全配置任務(wù)陳述小李是公司的網(wǎng)絡(luò)工程師，隨著公司規(guī)模的不斷擴(kuò)大，公司網(wǎng)絡(luò)的子網(wǎng)數(shù)量也在增加，公司網(wǎng)絡(luò)的安全性與可靠性越來(lái)越重要，公司領(lǐng)導(dǎo)安排小李把公司的網(wǎng)絡(luò)進(jìn)行優(yōu)化，對(duì)接入終端要進(jìn)行相應(yīng)的端口安全管理與配置，同時(shí)也要滿足不同用戶的訪問(wèn)需求。小李根據(jù)公司的要求制定了一份合理的網(wǎng)絡(luò)實(shí)施方案，那么他將如何完成網(wǎng)絡(luò)設(shè)備的相應(yīng)配置呢？任務(wù)5.2交換機(jī)端口接入安全配置知識(shí)準(zhǔn)備5.2.1交換機(jī)安全端口概述交換機(jī)的端口是連接網(wǎng)絡(luò)終端設(shè)備的重要關(guān)口，加強(qiáng)交換機(jī)的端口安全是提高整個(gè)網(wǎng)絡(luò)安全的關(guān)鍵，默認(rèn)情況下，交換機(jī)的所有端口都是完全開(kāi)放的，不提供任何安全檢查措施，允許所有的數(shù)據(jù)流通過(guò)，因此，交換機(jī)安全端口技術(shù)是網(wǎng)絡(luò)安全防范中常用的接入安全技術(shù)之一，為保護(hù)網(wǎng)絡(luò)內(nèi)的用戶安全，對(duì)交換機(jī)的端口增加安全訪問(wèn)功能，可以有效保護(hù)網(wǎng)絡(luò)安全，通常交換機(jī)的端口安全保護(hù)是工作在交換機(jī)二層端口上的安全特性。5.2.2安全端口地址綁定在網(wǎng)絡(luò)中的不安全因素非常多，大部分網(wǎng)絡(luò)攻擊都采用欺騙源IP地址或源MAC地址的方法，對(duì)網(wǎng)絡(luò)核心設(shè)備進(jìn)行連續(xù)數(shù)據(jù)包的攻擊，從而消耗網(wǎng)絡(luò)核心設(shè)備的資源，常見(jiàn)的的有MAC地址攻擊、ARP攻擊、DHCP攻擊等，這些針對(duì)交換機(jī)端口產(chǎn)生的攻擊行為，可以啟用交換機(jī)端口的安全功能來(lái)進(jìn)行防范，為了避免這些攻擊，可以采取如下措施。1.交換機(jī)安全端口地址綁定端口安全功能通過(guò)報(bào)文的源MAC地址或者源MAC+源IP或者僅源IP來(lái)限定報(bào)文是否可以進(jìn)入交換機(jī)的端口，您可以靜態(tài)設(shè)置特定的MAC地址，靜態(tài)IP+MAC綁定或者僅IP綁定，或者動(dòng)態(tài)學(xué)習(xí)限定個(gè)數(shù)的MAC地址來(lái)控制報(bào)文是否可以進(jìn)入端口，使能端口安全功能的端口稱為安全端口。只有源MAC地址為端口安全地址表中配置或者配置綁定的IP+MAC地址，或者配置的僅IP綁定地址，或者學(xué)習(xí)到的MAC地址的報(bào)文才可以進(jìn)入交換機(jī)通信，其他報(bào)文將被丟棄，如圖5.19所示。5.2.2安全端口地址綁定2.安全端口連接個(gè)數(shù)交換機(jī)的端口安全功能還表現(xiàn)在可以限制一個(gè)端口上連接安全地址的連接個(gè)數(shù)，如果一個(gè)端口被配置為安全端口，并且配置有最大連接數(shù)量，則當(dāng)連接的安全地址的數(shù)目達(dá)到允許的最大個(gè)數(shù)時(shí)，或者該端口收到一個(gè)源地址不屬于該端口的安全地址時(shí)，交換機(jī)就將產(chǎn)生一個(gè)安全違例通知，交換機(jī)將會(huì)按照事先定義的違例處理方式進(jìn)行操作。安全端口設(shè)置最大連接數(shù)是為了防止過(guò)多的用戶接入網(wǎng)絡(luò)，如果將交換機(jī)上某個(gè)端口只配置一個(gè)安全地址，則連接到這個(gè)端口的計(jì)算機(jī)將獨(dú)享該端口的全部帶寬。5.2.2安全端口地址綁定3.安全端口違例處理方式當(dāng)產(chǎn)生安全違例時(shí)，可以選擇多種方式來(lái)處理違例，針對(duì)不同的網(wǎng)絡(luò)安全需要，采用不同的安全違例處理模式，相關(guān)的含義，如表5.1所示。配置端口安全存在以下限制。（1）一個(gè)安全端口必須是Access端口及連接終端設(shè)備端口，而非是Trunk端口。（2）一個(gè)安全端口不能是一個(gè)聚合端口（eth-trunk）。任務(wù)實(shí)施配置交換機(jī)安全端口，在網(wǎng)絡(luò)中MAC地址是設(shè)備中不變的物理地址，控制MAC地址接入就控制了交換機(jī)的端口接入，所以端口安全也是對(duì)MAC的的安全。在交換機(jī)中CAM（ContentAddressableMemory，內(nèi)容可尋址內(nèi)存表）表，又叫MAC地址表，其中記錄了與交換機(jī)相連的設(shè)備的MAC地址、端口號(hào)、所屬vlan等對(duì)應(yīng)關(guān)系。交換機(jī)LSW1連接主機(jī)PC1和主機(jī)PC2，交換機(jī)LSW2連接主機(jī)PC3和主機(jī)PC4，其端口連接狀態(tài)，如圖5.20所示，其主機(jī)的IP地址、MAC地址，如圖5.21所示。任務(wù)5.3訪問(wèn)控制列表ACL配置任務(wù)陳述知識(shí)準(zhǔn)備5.3.1訪問(wèn)控制列表ACL概述5.3.2基本訪問(wèn)控制列表ACL5.3.3高級(jí)訪問(wèn)控制列表ACL任務(wù)實(shí)施5.3.4配置基本訪問(wèn)控制列表ACL5.3.5配置高級(jí)訪問(wèn)控制列表ACL任務(wù)5.3訪問(wèn)控制列表ACL配置任務(wù)陳述小李是公司的網(wǎng)絡(luò)工程師，隨著公司規(guī)模的不斷擴(kuò)大，公司網(wǎng)絡(luò)的安全性與可靠性越來(lái)越重要，公司領(lǐng)導(dǎo)安排小李把公司的網(wǎng)絡(luò)進(jìn)行優(yōu)化，針對(duì)不同部門(mén)的業(yè)務(wù)流量，制定相應(yīng)訪問(wèn)策略，同時(shí)也要滿足不同用戶的訪問(wèn)需求。小李根據(jù)公司的要求制定了一份合理的網(wǎng)絡(luò)實(shí)施方案，那么他將如何完成網(wǎng)絡(luò)設(shè)備的相應(yīng)配置呢？任務(wù)5.3訪問(wèn)控制列表ACL配置知識(shí)準(zhǔn)備5.3.1訪問(wèn)控制列表ACL概述訪問(wèn)控制列表ACL（AccessControlList）是由一條或多條規(guī)則組成的集合，所謂規(guī)則，是指描述報(bào)文匹配條件的判斷語(yǔ)句，這些條件可以是報(bào)文的源地址、目的地址、端口號(hào)等，ACL本質(zhì)上是一種報(bào)文過(guò)濾器，規(guī)則是過(guò)濾器的濾芯。設(shè)備基于這些規(guī)則進(jìn)行報(bào)文匹配，可以過(guò)濾出特定的報(bào)文，并根據(jù)應(yīng)用ACL的業(yè)務(wù)模塊的處理策略來(lái)允許或阻止該報(bào)文通過(guò)。訪問(wèn)控制列表ACL是一種基于包過(guò)濾的訪問(wèn)控制技術(shù)，它可以根據(jù)設(shè)定的條件對(duì)接口上的數(shù)據(jù)包進(jìn)行過(guò)濾，允許其通過(guò)或丟棄。訪問(wèn)控制列表被廣泛地應(yīng)用于路由器和三層交換機(jī)，借助于訪問(wèn)控制列表，可以有效地控制用戶對(duì)網(wǎng)絡(luò)的訪問(wèn)，用來(lái)告訴路由器哪些數(shù)據(jù)可以接收，哪些數(shù)據(jù)是需要被拒絕并丟棄，從而最大程度地保障網(wǎng)絡(luò)安全。ACL的定義是基于協(xié)議的，它適用于所有的路由協(xié)議，如IP、IPX等。它在路由器上讀取數(shù)據(jù)包頭中的信息，如源地址、目的地址、使用的協(xié)議、源端口、目的端口等，并根據(jù)預(yù)先定義好的規(guī)則對(duì)包進(jìn)行過(guò)濾，從而達(dá)到對(duì)網(wǎng)絡(luò)訪問(wèn)的精確、靈活控制。5.3.1訪問(wèn)控制列表ACL概述訪問(wèn)控制列表由一系列包過(guò)濾規(guī)則組成，每條規(guī)則明確地定義對(duì)指定類型的數(shù)據(jù)進(jìn)行的操作（允許、拒絕等），訪問(wèn)控制列表可關(guān)聯(lián)作用于三層接口、VLAN，并且具有方向性。當(dāng)設(shè)備收到一個(gè)需要進(jìn)行訪問(wèn)控制列表處理的數(shù)據(jù)分組時(shí)，會(huì)按照訪問(wèn)控制列表的列表項(xiàng)自頂向下進(jìn)行順序處理。一旦找到匹配項(xiàng)，列表中的后續(xù)語(yǔ)句就不再處理，如果列表中沒(méi)有匹配項(xiàng)，則此分組將會(huì)被丟棄。ACL可以應(yīng)用于諸多業(yè)務(wù)模塊，其中最基本的ACL應(yīng)用，就是在簡(jiǎn)化流策略/流策略中應(yīng)用ACL，使設(shè)備能夠基于全局、VLAN或接口下發(fā)ACL，實(shí)現(xiàn)對(duì)轉(zhuǎn)發(fā)報(bào)文的過(guò)濾。此外，ACL還可以應(yīng)用在Telnet、FTP、路由等模塊。1.匹配過(guò)程路由器接口的訪問(wèn)控制取決于應(yīng)用在其上的ACL。數(shù)據(jù)在進(jìn)（出）網(wǎng)絡(luò)前，路由器會(huì)根據(jù)ACL對(duì)其進(jìn)行匹配，匹配成功將對(duì)數(shù)據(jù)進(jìn)行過(guò)濾或轉(zhuǎn)發(fā)，匹配失敗則丟棄數(shù)據(jù)。ACL實(shí)質(zhì)上是一系列帶有自上而下邏輯順序的判斷語(yǔ)句。當(dāng)數(shù)據(jù)到達(dá)路由器接口時(shí)，ACL首先將數(shù)據(jù)與第1條語(yǔ)句進(jìn)行比較，如果條件符合將直接進(jìn)入控制策略，后面的語(yǔ)句將被忽略不再檢查；如果與第一條語(yǔ)句條件不符合，則將數(shù)據(jù)交給第2條語(yǔ)句進(jìn)行比較，符合條件將直接進(jìn)入控制策略，不符合條件則繼續(xù)交給下一條語(yǔ)句。以此類推,如果數(shù)據(jù)到達(dá)最后一條語(yǔ)句仍然不匹配，即所有判斷語(yǔ)句條件都不符合，則拒絕并丟棄該數(shù)據(jù),如圖5.25所示。5.3.1訪問(wèn)控制列表ACL概述1.匹配過(guò)程5.3.1訪問(wèn)控制列表ACL概述2.ACL作用訪問(wèn)控制列表的主要作用如下：（1）允許、拒絕特定的數(shù)據(jù)流通過(guò)網(wǎng)絡(luò)設(shè)備，如防止攻擊、訪問(wèn)控制、節(jié)省帶寬等；（2）對(duì)特定的數(shù)據(jù)流、報(bào)文、路由條目等進(jìn)行匹配和標(biāo)識(shí)，以用于其他目的路由過(guò)濾，如QoS、Route-map等。3.ACL分類（1）按照ACL規(guī)則功能的不同，ACL被劃分為基本訪問(wèn)控制列表ACL、高級(jí)訪問(wèn)控制列表ACL、二層ACL、用戶自定義ACL和用戶ACL這五種類型。每種類型ACL對(duì)應(yīng)的編號(hào)范圍是不同的。ACL2000屬于基本訪問(wèn)控制列表ACL，ACL3998屬于高級(jí)訪問(wèn)控制列表ACL。高級(jí)訪問(wèn)控制列表ACL可以定義比基本訪問(wèn)控制列表ACL更準(zhǔn)確、更豐富、更靈活的規(guī)則，所以高級(jí)訪問(wèn)控制列表ACL的功能更加強(qiáng)大，如表5.2所示。5.3.1訪問(wèn)控制列表ACL概述3.ACL分類5.3.1訪問(wèn)控制列表ACL概述3.ACL分類（2）基于ACL標(biāo)識(shí)方法的劃分，可以劃分為以下兩類。①數(shù)字型ACL：傳統(tǒng)的ACL標(biāo)識(shí)方法。創(chuàng)建ACL時(shí)，指定一個(gè)唯一的數(shù)字標(biāo)識(shí)該ACL。②命名型ACL：通過(guò)名稱代替編號(hào)來(lái)標(biāo)識(shí)ACL。用戶在創(chuàng)建ACL時(shí)可以為其指定編號(hào)，不同的編號(hào)對(duì)應(yīng)不同類型的ACL，同時(shí)，為了便于記憶和識(shí)別，用戶還可以創(chuàng)建命名型ACL，即在創(chuàng)建ACL時(shí)為其設(shè)置名稱。命名型ACL，也可以是“名稱數(shù)字”的形式，即在定義命名型ACL時(shí)，同時(shí)指定ACL編號(hào)。如果不指定編號(hào)，系統(tǒng)則會(huì)自動(dòng)為其分配一個(gè)數(shù)字型ACL的編號(hào)。5.3.1訪問(wèn)控制列表ACL概述4.應(yīng)用規(guī)則我們稱作ACL規(guī)則為rule。其中的“deny|permit”，稱作ACL動(dòng)作，表示拒絕/允許。每條規(guī)則都擁有自己的規(guī)則編號(hào)，如5、10、200。這些編號(hào)，可以自行配置，也可以由系統(tǒng)自動(dòng)分配，那么系統(tǒng)是怎樣自動(dòng)分配規(guī)則編號(hào)的？ACL規(guī)則的編號(hào)范圍是0～4294967294，所有規(guī)則均按照規(guī)則編號(hào)從小到大進(jìn)行排序。所以，我們可以看到rule5排在首位，而規(guī)則編號(hào)最大的rule4294967294排在末位。系統(tǒng)按照規(guī)則編號(hào)從小到大的順序，將規(guī)則依次與報(bào)文匹配，一旦匹配上一條規(guī)則即停止匹配。除了包含ACL動(dòng)作和規(guī)則編號(hào)，我們可以看到ACL規(guī)則中還定義了源地址、生效時(shí)間段這樣的字段。這些字段，稱作匹配選項(xiàng)，它是ACL規(guī)則的重要組成部分。其實(shí)，ACL提供了極其豐富的匹配選項(xiàng)。你可以選擇二層以太網(wǎng)幀頭信息（如源MAC、目的MAC、以太幀協(xié)議類型）作為匹配選項(xiàng)，也可以選擇三層報(bào)文信息（如源地址、目的地址、協(xié)議類型）作為匹配選項(xiàng)，還可以選擇四層報(bào)文信息（如TCP/UDP端口號(hào)）等。5.3.1訪問(wèn)控制列表ACL概述（1）“3P”原則。在路由器上應(yīng)用ACL時(shí)，可以為每種協(xié)議（PerProtocol）、每個(gè)方向（PerDirection）和每個(gè)接口（PerInterface）配置一個(gè)ACL，一般稱為“3P原則”。①一個(gè)ACL只能基于一種協(xié)議，因此每種協(xié)議都需要配置單獨(dú)的ACL。②經(jīng)過(guò)路由器接口的數(shù)據(jù)有進(jìn)（In）和出（Out）兩個(gè)方向，因此在接口上配置訪問(wèn)控制列表也有進(jìn)（In）和出（Out）兩個(gè)方向。每個(gè)接口可以配置進(jìn)方向的ACL，也可以配置出方向的ACL，或者兩者都配置，但是一個(gè)ACL只能控制一個(gè)方向。③一個(gè)ACL只能控制一個(gè)接口上的數(shù)據(jù)流量，無(wú)法同時(shí)控制多個(gè)接口上的數(shù)據(jù)流量。5.3.1訪問(wèn)控制列表ACL概述4.應(yīng)用規(guī)則（2）語(yǔ)句順序決定了對(duì)數(shù)據(jù)的控制順序。ACL的語(yǔ)句是一種自上而下的邏輯排列關(guān)系。數(shù)據(jù)匹配過(guò)程中是依次對(duì)語(yǔ)句進(jìn)行比較，一旦匹配成功則按照當(dāng)前語(yǔ)句控制策略處理，不再與之后的語(yǔ)句進(jìn)行比較。因此，正確的語(yǔ)句順序才能得到所需的控制效果。（3）至少有一條允許（Permit）語(yǔ)句。所有ACL的最后一條語(yǔ)句都是隱式拒絕語(yǔ)句，表示當(dāng)所有語(yǔ)句都無(wú)法匹配時(shí)，將拒絕數(shù)據(jù)通過(guò)并自動(dòng)丟棄數(shù)據(jù)，以防數(shù)據(jù)意外進(jìn)入網(wǎng)絡(luò)。因此，在寫(xiě)“拒絕（deny）”的ACL時(shí)，一定至少要有一條允許（Permit）語(yǔ)句，否則配置ACL的接口將拒絕任何數(shù)據(jù)通過(guò)，影響正常的網(wǎng)絡(luò)通信。（4）最有限制性的語(yǔ)句應(yīng)該放在ACL的靠前位置。最有限制性的語(yǔ)句放在ACL的靠前位置，可以首先過(guò)濾掉很多不符合條件的數(shù)據(jù)，節(jié)省后面語(yǔ)句的比較時(shí)間，從而提高路由器的工作效率。5.3.1訪問(wèn)控制列表ACL概述5.ACL匹配順序一條ACL可以由多條“deny|permit”語(yǔ)句組成，每一條語(yǔ)句描述一條規(guī)則，這些規(guī)則可能存在重復(fù)或矛盾的地方。例如，在一條ACL中先后配置以下兩條規(guī)則：ruledenyipdestination55//表示拒絕目的IP地址為/24網(wǎng)段地址的報(bào)文通過(guò)rulepermitipdestination55//表示允許目的IP地址為/24網(wǎng)段地址的報(bào)文通過(guò)其中，permit規(guī)則與deny規(guī)則是相互矛盾的。對(duì)于目的IP=的報(bào)文，如果系統(tǒng)先將deny規(guī)則與其匹配，則該報(bào)文會(huì)被拒絕通過(guò)。相反，如果系統(tǒng)先將permit規(guī)則與其匹配，則該報(bào)文會(huì)得到允許通過(guò)。因此，對(duì)于規(guī)則之間存在重復(fù)或矛盾的情形，報(bào)文的匹配結(jié)果與ACL的匹配順序是息息相關(guān)的。設(shè)備支持兩種ACL匹配順序：配置順序（config模式）和自動(dòng)排序（auto模式）。缺省的ACL匹配順序是config模式。（1）配置順序。即系統(tǒng)按照ACL規(guī)則編號(hào)從小到大的順序進(jìn)行報(bào)文匹配，規(guī)則編號(hào)越小越容易被匹配。如果配置規(guī)則時(shí)指定了規(guī)則編號(hào)，則規(guī)則編號(hào)越小，規(guī)則插入位置越靠前，該規(guī)則越先被匹配。如果配置規(guī)則時(shí)未指定規(guī)則編號(hào)，則由系統(tǒng)自動(dòng)為其分配一個(gè)編號(hào)，該編號(hào)是一個(gè)大于當(dāng)前ACL內(nèi)最大規(guī)則編號(hào)且是步長(zhǎng)整數(shù)倍的最小整數(shù)，因此該規(guī)則會(huì)被最后匹配。5.3.1訪問(wèn)控制列表ACL概述5.ACL匹配順序（2）自動(dòng)排序。是指系統(tǒng)使用“深度優(yōu)先”的原則，將規(guī)則按照精確度從高到低進(jìn)行排序，并按照精確度從高到低的順序進(jìn)行報(bào)文匹配。規(guī)則中定義的匹配項(xiàng)限制越嚴(yán)格，規(guī)則的精確度就越高，即優(yōu)先級(jí)越高，系統(tǒng)越先匹配。6.步長(zhǎng)步長(zhǎng)，是指系統(tǒng)自動(dòng)為ACL規(guī)則分配編號(hào)時(shí)，每個(gè)相鄰規(guī)則編號(hào)之間的差值。也就是說(shuō)，系統(tǒng)是根據(jù)步長(zhǎng)值自動(dòng)為ACL規(guī)則分配編號(hào)的。ACL2000，步長(zhǎng)就是5。系統(tǒng)按照5、10、15…這樣的規(guī)律為ACL規(guī)則分配編號(hào)。如果將步長(zhǎng)調(diào)整為了2，那么規(guī)則編號(hào)會(huì)自動(dòng)從步長(zhǎng)值開(kāi)始重新排列，變成2、4、6…。ACL的缺省步長(zhǎng)值是5。通過(guò)displayaclacl-number命令，可以查看ACL規(guī)則、步長(zhǎng)等配置信息。通過(guò)step命令，可以修改ACL步長(zhǎng)值。實(shí)際上，設(shè)置步長(zhǎng)的目的，是為了方便大家在ACL規(guī)則之間插入新的規(guī)則。試想一下，如果這條ACL規(guī)則之間間隔不是5，而是1（rule1、rule2、rule3…），這時(shí)再想插入新的規(guī)則，該怎么辦呢？只能先刪除已有的規(guī)則，然后再配置新規(guī)則，最后將之前刪除的規(guī)則重新配置回來(lái)。如果這樣做，那付出的代價(jià)可真是太大了。所以，通過(guò)設(shè)置ACL步長(zhǎng)，為規(guī)則之間留下一定的空間，后續(xù)再想插入新的規(guī)則，就非常輕松了。5.3.2基本訪問(wèn)控制列表ACL基本訪問(wèn)控制列表ACL的重要特征是：一是通過(guò)2000~2999的編號(hào)來(lái)區(qū)別不同的ACL；二是通過(guò)檢查IP數(shù)據(jù)包中的源地址信息，對(duì)匹配成功的數(shù)據(jù)包采取允許或拒絕的操作?；驹L問(wèn)控制列表ACL通過(guò)檢查收到的IP數(shù)據(jù)包中的源IP地址信息，來(lái)控制網(wǎng)絡(luò)中數(shù)據(jù)包的流向，在實(shí)施ACL過(guò)程中，如果要允許或拒絕來(lái)自某一特定的網(wǎng)絡(luò)數(shù)據(jù)包，可以使用基本訪問(wèn)控制列表ACL來(lái)實(shí)現(xiàn)，基本訪問(wèn)控制列表ACL只能過(guò)慮IP數(shù)據(jù)包頭中的源IP地址，如圖5.26所示。5.3.2基本訪問(wèn)控制列表ACL1.ACL的常用配置原則配置ACL規(guī)則時(shí)，可以遵循以下原則：（1）如果配置的ACL規(guī)則存在包含關(guān)系，應(yīng)注意嚴(yán)格條件的規(guī)則編號(hào)需要排序靠前，寬松條件的規(guī)則編號(hào)需要排序靠后，避免報(bào)文因命中寬松條件的規(guī)則而停止往下繼續(xù)匹配，從而使其無(wú)法命中嚴(yán)格條件的規(guī)則。（2）根據(jù)各業(yè)務(wù)模塊ACL默認(rèn)動(dòng)作的不同，ACL的配置原則也不同。例如，在默認(rèn)動(dòng)作為permit的業(yè)務(wù)模塊中，如果只希望deny部分IP地址的報(bào)文，只需配置具體IP地址的deny規(guī)則，結(jié)尾無(wú)需添加任意IP地址的permit規(guī)則；而默認(rèn)動(dòng)作為deny的業(yè)務(wù)模塊恰與其相反，詳細(xì)的ACL常用配置原則，如表5.4所示。

表5.4ACL的常用配置原則ACL默認(rèn)動(dòng)作permit所有報(bào)文deny所有報(bào)文permit少部分報(bào)文，deny大部分報(bào)文deny少部分報(bào)文，permit大部分報(bào)文permit無(wú)需應(yīng)用ACL配置ruledeny需先配置rulepermitxxx，再配置ruledenyxxxx或ruledeny說(shuō)明：以上原則適用于報(bào)文過(guò)濾的情形。當(dāng)ACL應(yīng)用于流策略中進(jìn)行流量監(jiān)管或者流量統(tǒng)計(jì)時(shí)，如果僅希望對(duì)指定的報(bào)文進(jìn)行限速或統(tǒng)計(jì)，則只需配置rulepermitxxx。只需配置ruledenyxxx，無(wú)需再配置rulepermitxxxx或rulepermit說(shuō)明：如果配置rulepermit并在流策略中應(yīng)用ACL，且該流策略的流行為behavior配置為deny，則設(shè)備會(huì)拒絕所有報(bào)文通過(guò)，導(dǎo)致全部業(yè)務(wù)中斷。deny路由和組播模塊：需配置rulepermit其他模塊：無(wú)需應(yīng)用ACL路由和組播模塊：無(wú)需應(yīng)用ACL其他模塊：需配置ruledeny只需配置rulepermitxxx，無(wú)需再配置ruledenyxxxx或ruledeny需先配置ruledenyxxx，再配置rulepermitxxxx或rulepermit5.3.2基本訪問(wèn)控制列表ACL3.應(yīng)用規(guī)則在網(wǎng)絡(luò)設(shè)備上配置好ACL規(guī)則后，還需要把配置好的規(guī)則應(yīng)用在相應(yīng)的接口上，只有當(dāng)這個(gè)接口激活后，規(guī)則才能起作用。配置ACL需要三個(gè)步驟，如下所示。（1）定義好ACL規(guī)則。（2）指定ACL所應(yīng)用的接口。（3）定義ACL作用于接口上的方向。將ACL規(guī)則應(yīng)用到某一接口上的語(yǔ)法指令如下：5.3.3高級(jí)訪問(wèn)控制列表ACL高級(jí)訪問(wèn)控制列表ACL的重要特征是：一是通過(guò)3000~3999的編號(hào)來(lái)區(qū)別不同的ACL；二是不僅檢查IP數(shù)據(jù)包中的源地址信息，還檢查數(shù)據(jù)包中的目的IP地址信息、源端口、目的端口、網(wǎng)絡(luò)連接和IP優(yōu)先級(jí)等數(shù)據(jù)包特征信息，對(duì)匹配成功的數(shù)據(jù)包采取允許或拒絕的操作。高級(jí)訪問(wèn)控制列表ACL通過(guò)檢查收到的IP數(shù)據(jù)包特征信息，來(lái)控制網(wǎng)絡(luò)中數(shù)據(jù)包的流向，對(duì)匹配成功的數(shù)據(jù)包采取允許或拒絕操作，如圖5.27所示。高級(jí)訪問(wèn)控制列表ACL根據(jù)源IP地址、目的IP地址、IP協(xié)議類型、TCP源/目的端口、UDP源/目的端口號(hào)、分片信息和生效時(shí)間段等信息來(lái)定義規(guī)則，對(duì)IPv4報(bào)文進(jìn)行過(guò)濾。高級(jí)訪問(wèn)控制列表ACL比基本訪問(wèn)控制列表ACL提供了更準(zhǔn)確、豐富、靈活的規(guī)則定義方法。例如，當(dāng)希望同時(shí)根據(jù)源IP地址和目的IP地址對(duì)報(bào)文進(jìn)行過(guò)濾時(shí)，則需要配置高級(jí)訪問(wèn)控制列表ACL。5.3.3高級(jí)訪問(wèn)控制列表ACL1.高級(jí)訪問(wèn)控制列表ACL的常用匹配項(xiàng)設(shè)備支持的ACL匹配項(xiàng)種類非常豐富，其中最常用的匹配項(xiàng)包括以下幾種。（1）源/目的IP地址及其通配符掩碼。源IP地址及其通配符掩碼格式：source{source-addresssource-wildcard|any}目的IP地址及其通配符掩碼格式：destination{destination-addressdestination-wildcard|any}基本訪問(wèn)控制列表ACL支持根據(jù)源IP地址過(guò)濾報(bào)文，高級(jí)訪問(wèn)控制列表ACL不僅支持源IP地址，還支持根據(jù)目的IP地址過(guò)濾報(bào)文。將源/目的IP地址定義為規(guī)則匹配項(xiàng)時(shí)，需要在源/目的IP地址字段后面同時(shí)指定通配符掩碼，用來(lái)與源/目的IP地址字段共同確定一個(gè)地址范圍。IP地址通配符掩碼與IP地址的反向子網(wǎng)掩碼類似，也是一個(gè)32比特位的數(shù)字字符串，用于指示IP地址中的哪些位將被檢查。各比特位中，“0”表示“檢查相應(yīng)的位”，“1”表示“不檢查相應(yīng)的位”，概括為一句話就是“檢查0，忽略1”。但與IP地址子網(wǎng)掩碼不同的是，子網(wǎng)掩碼中的“0”和“1”要求必須連續(xù)，而通配符掩碼中的“0”和“1”可以不連續(xù)。通配符掩碼可以為0，相當(dāng)于，表示源/目的地址為主機(jī)地址；也可以為55，表示任意IP地址，相當(dāng)于指定any參數(shù)。5.3.3高級(jí)訪問(wèn)控制列表ACL（2）TCP/UDP端口號(hào)。源端口號(hào)格式：source-port{eqport|gtport|ltport|rangeport-startport-end}目的端口號(hào)格式：destination-port{eqport|gtport|ltport|rangeport-startport-end}在高級(jí)訪問(wèn)控制列表ACL中，當(dāng)協(xié)議類型指定為T(mén)CP或UDP時(shí)，設(shè)備支持基于TCP/UDP的源/目的端口號(hào)過(guò)濾報(bào)文。其中，TCP/UDP端口號(hào)的比較符含義如下：eqport：指定等于源/目的端口。gtport：指定大于源/目的端口。ltport：指定小于源/目的端口。rangeport-startport-end：指定源/目的端口的范圍。port-start是端口范圍的起始，port-end是端口范圍的結(jié)束。TCP/UDP端口號(hào)可以使用數(shù)字表示，也可以用字符串（助記符）表示。例如，ruledenytcpdestination-porteq80，可以用ruledenytcpdestination-porteqwww替代。常見(jiàn)UDP端口號(hào)及對(duì)應(yīng)的協(xié)議，如