層以太網(wǎng)交換機(jī)的4種安全技術(shù)課件

1、層以太網(wǎng)交換機(jī)的4種安全技術(shù)1二層以太網(wǎng)交換機(jī)的二層以太網(wǎng)交換機(jī)的4 4種安全技術(shù)種安全技術(shù)層以太網(wǎng)交換機(jī)的4種安全技術(shù)2地址綁定技術(shù)地址綁定技術(shù)端口隔離技術(shù)端口隔離技術(shù)接入認(rèn)證技術(shù)接入認(rèn)證技術(shù)報(bào)文過濾技術(shù)報(bào)文過濾技術(shù)層以太網(wǎng)交換機(jī)的4種安全技術(shù)3 以太網(wǎng)交換機(jī)作為企業(yè)內(nèi)部網(wǎng)絡(luò)通訊的關(guān)鍵設(shè)備，有必要在企以太網(wǎng)交換機(jī)作為企業(yè)內(nèi)部網(wǎng)絡(luò)通訊的關(guān)鍵設(shè)備，有必要在企業(yè)網(wǎng)內(nèi)部提供充分的安全保護(hù)功能業(yè)網(wǎng)內(nèi)部提供充分的安全保護(hù)功能。 用戶只要能接入以太網(wǎng)交換機(jī)，就可以訪問用戶只要能接入以太網(wǎng)交換機(jī)，就可以訪問internetinternet網(wǎng)上的設(shè)網(wǎng)上的設(shè)備或資源，使局域網(wǎng)上的安全性問題更顯突出。備或資源，使

2、局域網(wǎng)上的安全性問題更顯突出。 hxxxhxxx系列以太網(wǎng)交換機(jī)針對網(wǎng)絡(luò)安全問題提供了多種網(wǎng)絡(luò)安全系列以太網(wǎng)交換機(jī)針對網(wǎng)絡(luò)安全問題提供了多種網(wǎng)絡(luò)安全機(jī)制。機(jī)制。引子引子層以太網(wǎng)交換機(jī)的4種安全技術(shù)4學(xué)習(xí)完本課程，您應(yīng)該能夠：學(xué)習(xí)完本課程，您應(yīng)該能夠： 了解以太網(wǎng)安全技術(shù)的基本內(nèi)容了解以太網(wǎng)安全技術(shù)的基本內(nèi)容 掌握地址綁定及端口隔離的原理與配置掌握地址綁定及端口隔離的原理與配置 掌握掌握portalportal認(rèn)證的基本原理與認(rèn)證的基本原理與配置配置 掌握訪問控制列表進(jìn)行報(bào)文過濾的原理與配置掌握訪問控制列表進(jìn)行報(bào)文過濾的原理與配置層以太網(wǎng)交換機(jī)的4種安全技術(shù)5地址綁定技術(shù)的作用為了防止內(nèi)部人員進(jìn)

3、行非法ip盜用，可以將內(nèi)部網(wǎng)絡(luò)的ip地址與mac地址綁定，盜用者即使修改了ip地址，也因mac地址不匹配而盜用失敗;由于網(wǎng)卡mac地址的唯一確定性，可以根據(jù)mac地址查出使用該mac地址的網(wǎng)卡，進(jìn)而查出非法盜用者。層以太網(wǎng)交換機(jī)的4種安全技術(shù)6mac、ip與端口綁定進(jìn)行綁定操作后，只有指定mac地址和ip地址的計(jì)算機(jī)發(fā)出的報(bào)文才能通過制定端口轉(zhuǎn)發(fā)，提高了系統(tǒng)的安全性，增強(qiáng)了對網(wǎng)絡(luò)安全的監(jiān)控 。該計(jì)算機(jī)可以在沒有設(shè)置綁定的其他端口上使用。層以太網(wǎng)交換機(jī)的4種安全技術(shù)7mac、ip與端口綁定的基本配置n對同一個(gè)mac地址，系統(tǒng)只允許進(jìn)行一次綁定操作。操作操作命令命令說明說明進(jìn)入系統(tǒng)視圖 syste

4、m-viewsystem-view - 將合法用戶的mac地址和ip地址綁定到指定端口上 am user-bind mac-addram user-bind mac-addr mac-address ip-addrip-addr ip-address interfaceinterface interface-type interface-number 可選 進(jìn)入以太網(wǎng)端口視圖 interfaceinterface interface-type interface-number - 將合法用戶的mac地址和ip地址綁定到當(dāng)前端口上 am user-bind mac-addr am user-bi

5、nd mac-addr mac-address ip-addr ip-addr ip-address 可選層以太網(wǎng)交換機(jī)的4種安全技術(shù)8mac、ip與端口綁定的配置顯示操作操作命令命令說明說明顯示端口綁定的配置信息 display am user-bind display am user-bind interface interface interface-type interface-number | mac-addr mac-addr mac-addr | ip- ip-addr addr ip-addr displaydisplay命令可以在任意視圖下執(zhí)行 層以太網(wǎng)交換機(jī)的4種安全技術(shù)9

6、地址綁定技術(shù)案例為了防止校園網(wǎng)內(nèi)有惡意用戶盜用pc1的ip地址，將pc1的mac地址和ip地址綁定到switch a 的ethernet1/0/1端口上。 switch aswitch bpc1pc2e1/0/1mac:0001-0002-0003ip address:層以太網(wǎng)交換機(jī)的4種安全技術(shù)10地址綁定技術(shù)地址綁定技術(shù)端口隔離技術(shù)端口隔離技術(shù)接入認(rèn)證技術(shù)接入認(rèn)證技術(shù)報(bào)文過濾技術(shù)報(bào)文過濾技術(shù)層以太網(wǎng)交換機(jī)的4種安全技術(shù)11端口隔離概述通過端口隔離特性，用戶可以將需要進(jìn)行控制的端口加入到一個(gè)隔離組中，實(shí)現(xiàn)隔離組中的端口之間二層、三層數(shù)據(jù)的隔離，增強(qiáng)了網(wǎng)絡(luò)的安全性。端口隔離特

7、性與以太網(wǎng)端口所屬的vlan無關(guān)。層以太網(wǎng)交換機(jī)的4種安全技術(shù)12端口隔離技術(shù)基本配置操作操作命令命令說明說明進(jìn)入系統(tǒng)視圖 system-viewsystem-view - 進(jìn)入以太網(wǎng)端口視圖 interfaceinterface interface-type interface-number - 將以太網(wǎng)端口加入到隔離組中 port isolateport isolate 必選缺省情況下，隔離組中沒有加入任何以太網(wǎng)端口 層以太網(wǎng)交換機(jī)的4種安全技術(shù)13端口隔離的配置顯示操作操作命令命令說明說明顯示已經(jīng)加入到隔離組中的以太網(wǎng)端口信息 display isolate port display i

8、solate port displaydisplay命令可以在任意視圖下執(zhí)行 層以太網(wǎng)交換機(jī)的4種安全技術(shù)14端口隔離技術(shù)案例小區(qū)用戶pc1、pc2、pc3分別與交換機(jī)的以太網(wǎng)端口e1/0/2、e1/0/3、e1/0/4相連 。 交換機(jī)通過e1/0/1端口與外部網(wǎng)絡(luò)相連 。小區(qū)用戶pc1、pc2和pc3之間不能互通 。internetpc1pc2pc3switche1/0/1e1/0/2e1/0/3e1/0/4層以太網(wǎng)交換機(jī)的4種安全技術(shù)15地址綁定技術(shù)地址綁定技術(shù)端口隔離技術(shù)端口隔離技術(shù)接入認(rèn)證技術(shù)接入認(rèn)證技術(shù)報(bào)文過濾技術(shù)報(bào)文過濾技術(shù)層以太網(wǎng)交換機(jī)的4種安全技術(shù)16網(wǎng)絡(luò)認(rèn)證技術(shù)常用的網(wǎng)絡(luò)認(rèn)證

9、技術(shù)包括：portal認(rèn)證802.1x認(rèn)證層以太網(wǎng)交換機(jī)的4種安全技術(shù)17portal認(rèn)證的基本原理portal認(rèn)證的基本原理：未認(rèn)證的portal用戶用戶只能訪問特定的站點(diǎn)服務(wù)器，其它任何訪問都被無條件地重定向到portal服務(wù)器；只有在認(rèn)證通過后，用戶才能訪問internet。 層以太網(wǎng)交換機(jī)的4種安全技術(shù)18portal認(rèn)證的優(yōu)點(diǎn)portal認(rèn)證的優(yōu)點(diǎn)包括：poratl認(rèn)證無需安裝客戶軟件，終端用戶使用方便。portal認(rèn)證對新業(yè)務(wù)支撐的能力強(qiáng)大。利用portal認(rèn)證的門戶功能，運(yùn)營商還可以將小區(qū)廣播、廣告、信息查詢、網(wǎng)上購物等業(yè)務(wù)放到portal上，用戶上網(wǎng)時(shí)就會(huì)強(qiáng)制地看到上述信息。

10、層以太網(wǎng)交換機(jī)的4種安全技術(shù)19portal的系統(tǒng)組成認(rèn)證客戶機(jī)nas接入設(shè)備portal服務(wù)器認(rèn)證/計(jì)費(fèi)服務(wù)器認(rèn)證認(rèn)證/ /計(jì)費(fèi)服務(wù)器計(jì)費(fèi)服務(wù)器portalportal服務(wù)器服務(wù)器nasnas接入設(shè)備接入設(shè)備認(rèn)證客戶機(jī)認(rèn)證客戶機(jī)c c認(rèn)證客戶機(jī)認(rèn)證客戶機(jī)b b認(rèn)證客戶機(jī)認(rèn)證客戶機(jī)a a層以太網(wǎng)交換機(jī)的4種安全技術(shù)20portal認(rèn)證的過程nas首次接收到登錄用戶的http報(bào)文時(shí)，判斷該登錄用戶是否為portal用戶。對于portal用戶訪問其他站點(diǎn)的http報(bào)文，交換機(jī)通過tcp仿冒將其重定向到portal服務(wù)器；用戶在portal服務(wù)器提供的web頁面輸入用戶名和密碼，輸入的用戶名和密碼會(huì)

11、通過portal服務(wù)器轉(zhuǎn)發(fā)到nas；nas將用戶名和密碼發(fā)到認(rèn)證服務(wù)器進(jìn)行認(rèn)證，認(rèn)證通過后，nas允許用戶訪問internet，之后不再對該用戶的http報(bào)文進(jìn)行重定向。層以太網(wǎng)交換機(jī)的4種安全技術(shù)21portal的運(yùn)行方式portal有三種運(yùn)行方式直接認(rèn)證方式二次地址分配方式三層portal認(rèn)證方式注意：出于安全性考慮，直接認(rèn)證方式和二次地址分配方式都要求檢查用戶的mac地址，因此只能在用戶接入的第一個(gè)三層接口上啟用portal，即在用戶和接入設(shè)備之間不能跨越啟用三層協(xié)議的網(wǎng)絡(luò)設(shè)備。三層portal認(rèn)證方式不檢查用戶的mac地址，安全性有所降低。在安全性要求較高的場合，不建議使用三層port

12、al認(rèn)證方式。 層以太網(wǎng)交換機(jī)的4種安全技術(shù)22portal免認(rèn)證用戶和免費(fèi)ip 免認(rèn)證用戶不不需要進(jìn)行portal認(rèn)證即可訪問internet的用戶。免費(fèi)ip用戶可以不受限制訪問的ip地址。免費(fèi)ip可以設(shè)置為dns服務(wù)器的ip地址，或者isp提供的免費(fèi)訪問網(wǎng)站的ip地址層以太網(wǎng)交換機(jī)的4種安全技術(shù)23portal的基本配置（一） 操作操作命令命令說明說明進(jìn)入系統(tǒng)視圖 system-viewsystem-view - 配置portal服務(wù)器 portal serverportal server server-name ip ip ip-addressip-address | key| key

13、key-string | | portport port | url| url url-string * * 必選 ；缺省情況下，無portal服務(wù)器；當(dāng)配置一個(gè)portal服務(wù)器時(shí)，key-string缺省為not configured；port缺省為50100；url-string缺省為ip-address的字符串方式 配置portal的運(yùn)行方式 portal method portal method direct | layer3 | direct | layer3 | redhcp redhcp 可選 ；缺省情況下，portal運(yùn)行方式為直接認(rèn)證方式（direct） 配置認(rèn)證網(wǎng)段 po

14、rtal auth-networkportal auth-network network-address net-mask vlan vlan-id 當(dāng)配置portal運(yùn)行方式為三層認(rèn)證方式（layer3）時(shí)，必須配置此命令。其他方式略過此步驟 層以太網(wǎng)交換機(jī)的4種安全技術(shù)24portal的基本配置（二） 操作操作命令命令說明說明配置與用戶pc進(jìn)行arp握手的時(shí)間間隔和允許握手失敗的最大次數(shù) portal arp-portal arp-handshake handshake interval interval interval | retry- | retry-times times retr

15、y-times * * 可選 ；此任務(wù)僅對直接認(rèn)證方式和二次地址分配方式有效 進(jìn)入vlan接口視圖 interface vlan-interface vlan-interfaceinterface vlan-id 以下vlan接口視圖的顯示與輸入的vlan-id對應(yīng) 在vlan接口上使能portal認(rèn)證 portal portal server-name 必選 層以太網(wǎng)交換機(jī)的4種安全技術(shù)25portal的配置信息的顯示與清除 操作操作命令命令說明說明顯示與認(rèn)證、連接、管理相關(guān)的狀態(tài)機(jī)統(tǒng)計(jì)信息 display portal acm | server display portal acm | s

16、erver | tcp-cheat statistics | tcp-cheat statistics - 顯示portal認(rèn)證網(wǎng)段相關(guān)信息 display portal auth-networkdisplay portal auth-network auth-vlan-id | free-ip | | free-ip | free-user | server free-user | server server-name | vlan | vlan vlan-id - 顯示portal用戶信息 display portal user display portal user ip ipaddre

17、ss | interface| interface interface-type interface-number | vlan | vlan vlan-id vlan-id - 清除portal的相關(guān)統(tǒng)計(jì)信息 reset portal acm | server | reset portal acm | server | tcp-cheat statistics tcp-cheat statistics -層以太網(wǎng)交換機(jī)的4種安全技術(shù)26portal免認(rèn)證用戶和免費(fèi)ip配置 操作操作命令命令說明說明進(jìn)入系統(tǒng)視圖 system-view system-view - 配置免費(fèi)ip portal f

18、ree-ipportal free-ip ip-address mask | mask-length 最多可以配置免費(fèi)ip數(shù)由nas設(shè)備決定，portal服務(wù)器自動(dòng)占用一個(gè)免費(fèi)ip 配置免認(rèn)證用戶 系統(tǒng)視圖下 portal free-user mac portal free-user mac mac-address ip ip ip-address vlan vlan vlan-id interface interface interface-type interface-number 最多可以配置免認(rèn)證用戶個(gè)數(shù)由nas決定；在端口下配置該命令使用當(dāng)前端口，不用指定interface 端口視圖

19、下 portal free-user mac portal free-user mac mac-address ip ip ip-address vlan vlan vlan-id 顯示portal免認(rèn)證用戶和免費(fèi)ip的配置信息 display portal free-ip | display portal free-ip | free-user free-user - 層以太網(wǎng)交換機(jī)的4種安全技術(shù)27刪除portal用戶的配置 操作操作命令命令說明說明進(jìn)入系統(tǒng)視圖 system-view system-view - 刪除指定ip地址的portal用戶 portal delete-portal

20、 delete-user user ip-address - 層以太網(wǎng)交換機(jī)的4種安全技術(shù)28portal認(rèn)證典型配置 vlan34內(nèi)的客戶機(jī)需通過portal服務(wù)器認(rèn)證后方可訪問其他網(wǎng)絡(luò)資源。internetinternetportal serverportal serverip:3ip:3web serverweb serverip:ip:vlan1 e0/2vlan1 e0/2vlan1 e0/3vlan1 e0/3vlan10 e0/10vlan10 e0/10/24

21、/24vlan1 e0/1e/0/4vlan1 e0/1e/0/4/24/24vlan34 vlan34 e0/34e/38e0/34e/38/24/24層以太網(wǎng)交換機(jī)的4種安全技術(shù)29地址綁定技術(shù)地址綁定技術(shù)端口隔離技術(shù)端口隔離技術(shù)接入認(rèn)證技術(shù)接入認(rèn)證技術(shù)報(bào)文過濾技術(shù)報(bào)文過濾技術(shù)層以太網(wǎng)交換機(jī)的4種安全技術(shù)30報(bào)文過濾技術(shù)概述報(bào)文過濾根據(jù)報(bào)文的源ip地址、目的ip地址、協(xié)議類型、源端口、目的端口及報(bào)文傳遞方向等報(bào)頭信息來判斷是否允許報(bào)文通過。 實(shí)現(xiàn)報(bào)文過濾的核心技術(shù)就是acl（access control list，

22、訪問控制列表）。層以太網(wǎng)交換機(jī)的4種安全技術(shù)31acl分類n acl分為下面幾種基本acl高級acl二層acl用戶自定義acl層以太網(wǎng)交換機(jī)的4種安全技術(shù)32acl的作用 可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能提供對通信流量的控制手段是提供網(wǎng)絡(luò)安全訪問的基本手段可以在端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被丟棄層以太網(wǎng)交換機(jī)的4種安全技術(shù)33acl的配置 訪問控制列表的配置包括：配置時(shí)間段（可選）定義訪問控制列表應(yīng)用訪問控制列表 以上三個(gè)步驟最好依次進(jìn)行，先配置時(shí)間段，然后定義訪問控制列表（在其中會(huì)引用定義好的時(shí)間段），最后應(yīng)用訪問控制列表，使其生效。 層以太網(wǎng)交換機(jī)的4種安全技術(shù)34acl中時(shí)間段的配

23、置 操作操作命令命令說明說明進(jìn)入系統(tǒng)視圖 system-view system-view - 創(chuàng)建一個(gè)時(shí)間段 time-rangetime-range time-name start-time toto end-time days-of-the-week from from start-time start-date to to end-time end-date | from | from start-time start-date to to end-time end-date | to| to end-time end-date 必選 顯示時(shí)間段 display time-rangedi

24、splay time-range all |all | time-name 可選 ；display命令可以在任意視圖下執(zhí)行 對時(shí)間段的配置有如下內(nèi)容：配置周期時(shí)間段和絕對時(shí)間段。層以太網(wǎng)交換機(jī)的4種安全技術(shù)35acl中時(shí)間段的配置舉例n 配置周期時(shí)間段，取值為周一到周五每天8:00到18:00 system-view hxxx time-range test 8:00 to 18:00 working-dayn 配置絕對時(shí)間段，取值為2000年1月28日15:00起至2004年1月28日15:00結(jié)束 system-view hxxx time-range test from 15:00 1/

25、28/2000 to 15:00 1/28/2004層以太網(wǎng)交換機(jī)的4種安全技術(shù)36定義基本acl規(guī)則的配置操作操作命令命令說明說明進(jìn)入系統(tǒng)視圖 system-view system-view - 創(chuàng)建或進(jìn)入基本acl視圖 acl numberacl number acl-number match-ordermatch-order configconfig | autoauto 缺省情況下匹配順序?yàn)閏onfig config 定義acl規(guī)則 rule rule rule-id permit | permit | deny fragment | sourcedeny fragment | sou

26、rce sour-addr sour-wildcard | | any | time-range any | time-range time-name * * 可選 ；定義acl的描述信息 description description text 可選 顯示acl信息 display acl all | display acl all | acl-number 可選 ；display命令可以在任意視圖下執(zhí)行 n 基本acl的編號號取值范圍為20002999。層以太網(wǎng)交換機(jī)的4種安全技術(shù)37基本acl的配置舉例 配置一個(gè)acl 2000，禁止源地址為的報(bào)文通過 system-vie

27、w system-viewhxxx acl number 2000hxxx acl number 2000hxxx-acl-basic-2000 rule deny source hxxx-acl-basic-2000 rule deny source 0 0hxxx-acl-basic-2000 display acl 2000hxxx-acl-basic-2000 display acl 2000basic acl 2000, 1 rulebasic acl 2000, 1 ruleacls step is 1acls step is 1rule 0 den

28、y source 0rule 0 deny source 0 層以太網(wǎng)交換機(jī)的4種安全技術(shù)38定義高級acl規(guī)則的配置操作操作命令命令說明說明進(jìn)入系統(tǒng)視圖 system-view system-view - 創(chuàng)建或進(jìn)入高級acl視圖 acl number acl number acl-number acl-number match-order config | match-order config | auto auto 缺省情況下匹配順序?yàn)閏onfig config 定義acl規(guī)則 rule rule rule-id permit | permit | den

29、y deny rule-string 必選 定義acl規(guī)則的注釋字符串 rulerule rule-id commentcomment text 可選定義acl的描述信息 description description text 可選 顯示acl信息 display acl all | display acl all | acl-number 可選 ；display命令可以在任意視圖下執(zhí)行 高級acl的編號號取值范圍為30003999。層以太網(wǎng)交換機(jī)的4種安全技術(shù)39高級acl的配置舉例n 配置acl 3000，允許從網(wǎng)段的主機(jī)向網(wǎng)段的主機(jī)發(fā)送的端口號

30、為80的tcp報(bào)文通過 system-view system-viewhxxx acl number 3000hxxx acl number 3000hxxx-acl-adv-3000 rule permit tcp source hxxx-acl-adv-3000 rule permit tcp source 55 destination 55 55 destination 55 destination-port eq 80destina

31、tion-port eq 80hxxx-acl-adv-3000 display acl 3000hxxx-acl-adv-3000 display acl 3000advanced acl 3000, 1 ruleadvanced acl 3000, 1 ruleacls step is 1acls step is 1 rule 0 permit tcp source 55 rule 0 permit tcp source 55 destination 55 destinati

32、on-port eq destination 55 destination-port eq wwwwww層以太網(wǎng)交換機(jī)的4種安全技術(shù)40定義二層acl規(guī)則的配置操作操作命令命令說明說明進(jìn)入系統(tǒng)視圖 system-view system-view - 創(chuàng)建或進(jìn)入二層acl視圖 acl number acl number acl-number 必選 定義acl規(guī)則 rule rule rule-id permit | permit | deny deny rule-string 必選 定義acl規(guī)則的注釋字符串 rulerule rule-id commen

33、tcomment text 可選定義acl的描述信息 description description text 可選 顯示acl信息 display acl all | display acl all | acl-number 可選 ；display命令可以在任意視圖下執(zhí)行 n 二層acl的編號取值范圍為40004999。層以太網(wǎng)交換機(jī)的4種安全技術(shù)41二層acl的配置舉例n 配置acl 4000，禁止從mac地址000d-88f5-97ed發(fā)送到mac地址011-4301-991e且802.1p優(yōu)先級為3的報(bào)文通過 system-view system-viewhxxx acl number

34、 4000hxxx acl number 4000hxxx-acl-ethernetframe-4000 rule deny cos 3 source hxxx-acl-ethernetframe-4000 rule deny cos 3 source 000d-88f5-97ed ffff-ffff-ffff dest 0011-4301-991e 000d-88f5-97ed ffff-ffff-ffff dest 0011-4301-991e ffff-ffff-ffffffff-ffff-ffffhxxx-acl-ethernetframe-4000 display acl 4000h

35、xxx-acl-ethernetframe-4000 display acl 4000ethernet frame acl 4000, 1 ruleethernet frame acl 4000, 1 ruleacls step is 1acls step is 1 rule 0 deny cos excellent-effort source 000d-88f5-97ed rule 0 deny cos excellent-effort source 000d-88f5-97ed ffff-ffff-ffff dest 0011-4301-991e ffff-ffff-ffffffff-ff

36、ff-ffff dest 0011-4301-991e ffff-ffff-ffff 層以太網(wǎng)交換機(jī)的4種安全技術(shù)42用戶自定義acl規(guī)則的配置操作操作命令命令說明說明進(jìn)入系統(tǒng)視圖 system-view system-view - 創(chuàng)建或進(jìn)入用戶自定義acl視圖 acl number acl number acl-number 必選 定義acl規(guī)則 rule rule rule-id permit permit | deny deny rule-string rule-mask offset & time-rangetime-range name 必選 定義acl規(guī)則的注釋字符串 r

37、ulerule rule-id commentcomment text 可選定義acl的描述信息 description description text 可選 顯示acl信息 display acl all | display acl all | acl-number 可選 ；display命令可以在任意視圖下執(zhí)行 用戶自定義acl的編號取值范圍為50005999。層以太網(wǎng)交換機(jī)的4種安全技術(shù)43用戶自定義acl的配置舉例 配置acl 5001，禁止所有的tcp報(bào)文通過（假設(shè)沒有端口啟動(dòng)vlan vpn功能） system-view system-viewhxxx time-range t1 18:00 to 23:00 sathxxx time-range t1 18:00 to 23:00 sathxxx acl number 50