部署和實施企業(yè)網(wǎng)絡(luò)安全引例描述本項目忽略廣州分公司的網(wǎng)絡(luò)拓撲，運維部工程師需要完成的任務(wù)如下。（1）按照IP地址規(guī)劃配置各臺設(shè)備的IP地址。（2）在深圳總部園區(qū)網(wǎng)絡(luò)部署端口安全、DHCPSnooping和DAI技術(shù)，防止總部園區(qū)網(wǎng)絡(luò)設(shè)備和主機遭受MAC地址泛洪攻擊、DHCP攻擊和ARP欺騙攻擊，實現(xiàn)員工主機安全接入總部園區(qū)網(wǎng)絡(luò)。（3）在深圳總部部署ACL，實現(xiàn)數(shù)據(jù)訪問控制和網(wǎng)絡(luò)設(shè)備安全管理。（4）在深圳總部與重慶辦事處邊界路由器之間部署IPSecVPN，實現(xiàn)辦事處員工通過Internet安全訪問公司總部服務(wù)器區(qū)的數(shù)據(jù)。引例描述項目任務(wù)任務(wù)4-1部署和實施總部園區(qū)網(wǎng)絡(luò)主機安全接入任務(wù)4-2部署和實施ACL實現(xiàn)網(wǎng)絡(luò)訪問控制任務(wù)4-3部署和實施IPSecVPN實現(xiàn)辦事處和總部數(shù)據(jù)安全傳輸任務(wù)4-2部署和實施ACL實現(xiàn)網(wǎng)絡(luò)訪問控制任務(wù)陳述知識準(zhǔn)備任務(wù)實施任務(wù)陳述本任務(wù)主要要求讀者夯實和理解ACL基本配置命令等基礎(chǔ)知識，通過在企業(yè)總部園區(qū)網(wǎng)絡(luò)部署和實施ACL，掌握基本ACL配置和驗證、高級ACL和驗證和基于時間的ACL和驗證等職業(yè)技能，為總部園區(qū)網(wǎng)絡(luò)流量控制提供保障。知識準(zhǔn)備2.1ACL原理2.2ACL匹配機制2.1ACL原理流量過濾某公司為保證財務(wù)數(shù)據(jù)安全，禁止研發(fā)部門訪問財務(wù)服務(wù)器，但總裁辦公室不受限制。過濾IP流量工具？禁止通過的報文流量允許通過的報文流量InternetVLAN10VLAN20總裁辦公室192.168.3.0/24研發(fā)部門192.168.2.0/24財務(wù)部服務(wù)器192.168.4.4/242.1ACL原理ACL是由一系列permit或deny語句組成的、有序規(guī)則的列表。ACL是一個匹配工具，能夠?qū)笪倪M行匹配和區(qū)分。IPHeaderTCP/UDPHeaderData源IP地址目的IP地址協(xié)議類型源端口目的端口ACL應(yīng)用匹配IP流量在Traffic-filter中被調(diào)用在NAT（NetworkAddressTranslation）中被調(diào)用在路由策略中被調(diào)用在防火墻的策略部署中被調(diào)用在QoS中被調(diào)用其他……2.1ACL原理ACL由若干條permit或deny語句組成。每條語句就是該ACL的一條規(guī)則，每條語句中的permit或deny就是與這條規(guī)則相對應(yīng)的處理動作。rule5permitsource1.1.1.00.0.0.255aclnumber2000rule10denysource2.2.2.00.0.0.255rule15permitsource3.3.3.00.0.0.255……rule4294967294deny訪問控制列表的編號用戶自定義的規(guī)則系統(tǒng)在ACL末尾隱含的規(guī)則規(guī)則編號動作匹配項(此處為源IP地址)每條規(guī)則都是什么意思？2.1ACL原理aclnumber2000rule 5 deny source10.1.1.10rule 10 deny source10.1.1.20rule 15 permit source10.1.1.00.0.0.255步長=5規(guī)則編號如果希望增加1條規(guī)則，該如何處理？aclnumber2000rule 5 deny source10.1.1.10rule 10 deny source10.1.1.20rule 11 deny source10.1.1.30rule 15 permit source10.1.1.00.0.0.255rule11denysource10.1.1.30規(guī)則編號與步長規(guī)則編號（RuleID）：一個ACL中的每一條規(guī)則都有一個相應(yīng)的編號。步長（Step）:步長是系統(tǒng)自動為ACL規(guī)則分配編號時，每個相鄰規(guī)則編號之間的差值，缺省值為5。步長的作用是為了方便后續(xù)在舊規(guī)則之間，插入新的規(guī)則。RuleID分配規(guī)則：系統(tǒng)為ACL中首條未手工指定編號的規(guī)則分配編號時，使用步長值（例如步長=5，首條規(guī)則編號為5）作為該規(guī)則的起始編號；為后續(xù)規(guī)則分配編號時，則使用大于當(dāng)前ACL內(nèi)最大規(guī)則編號且是步長整數(shù)倍的最小整數(shù)作為規(guī)則編號。2.1ACL原理aclnumber2000rule 5 deny source10.1.1.10rule 10 deny source10.1.1.20rule 15 permit source10.1.1.00.0.0.255通配符匹配規(guī)則：“0”表示“匹配”；“1”表示“隨機分配”如何匹配192.168.1.1/24對應(yīng)網(wǎng)段的地址？192.168.1.10.0.0.2551100000010101000000000010000000100000000000000000000000011111111嚴(yán)格匹配隨機分配192.168.1.0/24網(wǎng)段通配符(Wildcard)通配符是一個32比特長度的數(shù)值，用于指示IP地址中，哪些比特位需要嚴(yán)格匹配，哪些比特位無需匹配。通配符通常采用類似網(wǎng)絡(luò)掩碼的點分十進制形式表示，但是含義卻與網(wǎng)絡(luò)掩碼完全不同。2.1ACL原理……匹配192.168.1.0/24這個子網(wǎng)中的奇數(shù)IP地址，例如192.168.1.1、192.168.1.3、192.168.1.5等。嚴(yán)格匹配隨機分配嚴(yán)格匹配192.168.11192.168.100000001192.168.13192.168.100000011192.168.15192.168.100000101對應(yīng)通配符0.0.0.11111110答案：192.168.1.1 0.0.0.254通配符中的1或者0可以不連續(xù)特殊的通配符精確匹配192.168.1.1這個IP地址192.168.1.10.0.0.0=192.168.1.10匹配所有IP地址0.0.0.0255.255.255=any2.1ACL原理基于ACL規(guī)則定義方式的分類分類編號范圍規(guī)則定義描述基本ACL2000~2999僅使用報文的源IP地址、分片信息和生效時間段信息來定義規(guī)則。高級ACL3000~3999可使用IPv4報文的源IP地址、目的IP地址、IP協(xié)議類型、ICMP類型、TCP源/目的端口號、UDP源/目的端口號、生效時間段等來定義規(guī)則。二層ACL4000~4999使用報文的以太網(wǎng)幀頭信息來定義規(guī)則，如根據(jù)源MAC地址、目的MAC地址、二層協(xié)議類型等。用戶自定義ACL5000~5999使用報文頭、偏移位置、字符串掩碼和用戶自定義字符串來定義規(guī)則。用戶ACL6000~6999既可使用IPv4報文的源IP地址或源UCL（UserControlList）組，也可使用目的IP地址或目的UCL組、IP協(xié)議類型、ICMP類型、TCP源端口/目的端口、UDP源端口/目的端口號等來定義規(guī)則?；贏CL標(biāo)識方法的分類分類規(guī)則定義描述數(shù)字型ACL傳統(tǒng)的ACL標(biāo)識方法。創(chuàng)建ACL時，指定一個唯一的數(shù)字標(biāo)識該ACL。命名型ACL通過名稱代替編號來標(biāo)識ACL。2.1ACL原理基本ACLIPHeaderTCP/UDPHeaderData源IP地址編號范圍：2000-2999aclnumber2000rule 5 deny source10.1.1.10rule 10 deny source10.1.1.20rule 15 permit source10.1.1.00.0.0.255IPHeaderTCP/UDPHeaderDataaclnumber3000rule5permitip source10.1.1.00.0.0.255destination10.1.3.00.0.0.255rule10permittcpsource10.1.2.00.0.0.255destination10.1.3.00.0.0.255destination-porteq21編號范圍：3000-3999源IP地址目的IP地址協(xié)議類型源端口目的端口高級ACL2.2ACL匹配機制引用的ACL是否存在？ACL是否存在rule？分析第一條rule命中rule是否剩余rule分析下一條ruleACL動作是permit還是denyACL匹配結(jié)果為拒絕ACL匹配結(jié)果為允許ACL匹配結(jié)果為不匹配是是否是否否否是permitdeny匹配原則：一旦命中即停止匹配開始結(jié)束2.2ACL匹配機制配置順序（config模式）系統(tǒng)按照ACL規(guī)則編號從小到大的順序進行報文匹配，規(guī)則編號越小越容易被匹配。192.168.1.1/24192.168.1.2/24192.168.1.3/24192.168.1.4/24192.168.1.5/24192.168.1.1/24192.168.1.2/24192.168.1.4/24192.168.1.5/24acl2000rule1permitsource192.168.1.10.0.0.0rule2permitsource192.168.1.20.0.0.0rule3denysource192.168.1.30.0.0.0rule4permit0.0.0.0255.255.255.255待匹配對象基本ACL被匹配為“允許”的IP“允許”是指允許流量通過嗎？rule1：允許源IP地址為192.168.1.1的報文rule2：允許源IP地址為192.168.1.2的報文rule3：拒絕源IP地址為192.168.1.3的報文rule4：允許其他所有IP地址的報文2.2ACL匹配機制在此接口上部署ACL對如圖所示的數(shù)量流量生效，需應(yīng)用在inbound

(入站）方向數(shù)據(jù)報文在此接口上部署ACL對如圖所示的數(shù)量流量生效，需應(yīng)用在outbound(出站)方向2.2ACL匹配機制InboundOutbound接口上是否應(yīng)用入方向ACL？路由ACL是否允許該流量通行？NoYesYes數(shù)據(jù)報文No是否有匹配的路由條目出接口是否應(yīng)用出方向ACLNoYes路由到出接口ACL是否允許該流量通行？YesYesNoNo數(shù)據(jù)報文數(shù)據(jù)報文數(shù)據(jù)報文2.2ACL匹配機制[Huawei]acl[number]acl-number[match-orderconfig]創(chuàng)建基本ACL使用編號（2000～2999）創(chuàng)建一個數(shù)字型的基本ACL，并進入基本ACL視圖。[Huawei]aclnameacl-name{basic|

acl-number

}[match-orderconfig]使用名稱創(chuàng)建一個命名型的基本ACL，并進入基本ACL視圖。[Huawei-acl-basic-2000]rule[rule-id]{deny|permit}[source{source-addresssource-wildcard|any}|time-range

time-name]配置基本ACL的規(guī)則在基本ACL視圖下，通過此命令來配置基本ACL的規(guī)則。2.2ACL匹配機制[Huawei]acl[number]acl-number[match-orderconfig]創(chuàng)建高級ACL使用編號（3000～3999）創(chuàng)建一個數(shù)字型的高級ACL，并進入高級ACL視圖。[Huawei]aclnameacl-name{advance|

acl-number

}[match-orderconfig]使用名稱創(chuàng)建一個命名型的高級ACL，進入高級ACL視圖。2.2ACL匹配機制配置基本ACL的規(guī)則

根據(jù)IP承載的協(xié)議類型不同，在設(shè)備上配置不同的高級ACL規(guī)則。對于不同的協(xié)議類型，有不同的參數(shù)組合。在高級ACL視圖下，通過此命令來配置高級ACL的規(guī)則。當(dāng)參數(shù)protocol為IP時，高級ACL的命令格式為rule[rule-id]{deny|permit}ip[destination{destination-addressdestination-wildcard|any}|source{source-addresssource-wildcard|any}|time-rangetime-name|[dscp

dscp|[tos

tos|precedence

precedence]]]在高級ACL視圖下，通過此命令來配置高級ACL的規(guī)則。當(dāng)參數(shù)protocol為TCP時，高級ACL的命令格式為rule[rule-id]{deny|permit}{protocol-number|tcp}[destination{destination-addressdestination-wildcard|any}|destinat