《路由交換技術(shù)》部署和實(shí)施企業(yè)網(wǎng)絡(luò)安全（任務(wù)2）

部署和實(shí)施企業(yè)網(wǎng)絡(luò)安全引例描述本項(xiàng)目忽略廣州分公司的網(wǎng)絡(luò)拓?fù)?，運(yùn)維部工程師需要完成的任務(wù)如下。（1）按照IP地址規(guī)劃配置各臺(tái)設(shè)備的IP地址。（2）在深圳總部園區(qū)網(wǎng)絡(luò)部署端口安全、DHCPSnooping和DAI技術(shù)，防止總部園區(qū)網(wǎng)絡(luò)設(shè)備和主機(jī)遭受MAC地址泛洪攻擊、DHCP攻擊和ARP欺騙攻擊，實(shí)現(xiàn)員工主機(jī)安全接入總部園區(qū)網(wǎng)絡(luò)。（3）在深圳總部部署ACL，實(shí)現(xiàn)數(shù)據(jù)訪問(wèn)控制和網(wǎng)絡(luò)設(shè)備安全管理。（4）在深圳總部與重慶辦事處邊界路由器之間部署IPSecVPN，實(shí)現(xiàn)辦事處員工通過(guò)Internet安全訪問(wèn)公司總部服務(wù)器區(qū)的數(shù)據(jù)。引例描述項(xiàng)目任務(wù)任務(wù)4-1部署和實(shí)施總部園區(qū)網(wǎng)絡(luò)主機(jī)安全接入任務(wù)4-2部署和實(shí)施ACL實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)控制任務(wù)4-3部署和實(shí)施IPSecVPN實(shí)現(xiàn)辦事處和總部數(shù)據(jù)安全傳輸任務(wù)4-2部署和實(shí)施ACL實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)控制任務(wù)陳述知識(shí)準(zhǔn)備任務(wù)實(shí)施任務(wù)陳述本任務(wù)主要要求讀者夯實(shí)和理解ACL基本配置命令等基礎(chǔ)知識(shí)，通過(guò)在企業(yè)總部園區(qū)網(wǎng)絡(luò)部署和實(shí)施ACL，掌握基本ACL配置和驗(yàn)證、高級(jí)ACL和驗(yàn)證和基于時(shí)間的ACL和驗(yàn)證等職業(yè)技能，為總部園區(qū)網(wǎng)絡(luò)流量控制提供保障。知識(shí)準(zhǔn)備2.1ACL原理2.2ACL匹配機(jī)制2.1ACL原理流量過(guò)濾某公司為保證財(cái)務(wù)數(shù)據(jù)安全，禁止研發(fā)部門訪問(wèn)財(cái)務(wù)服務(wù)器，但總裁辦公室不受限制。過(guò)濾IP流量工具？禁止通過(guò)的報(bào)文流量允許通過(guò)的報(bào)文流量InternetVLAN10VLAN20總裁辦公室192.168.3.0/24研發(fā)部門192.168.2.0/24財(cái)務(wù)部服務(wù)器192.168.4.4/242.1ACL原理ACL是由一系列permit或deny語(yǔ)句組成的、有序規(guī)則的列表。ACL是一個(gè)匹配工具，能夠?qū)?bào)文進(jìn)行匹配和區(qū)分。IPHeaderTCP/UDPHeaderData源IP地址目的IP地址協(xié)議類型源端口目的端口ACL應(yīng)用匹配IP流量在Traffic-filter中被調(diào)用在NAT（NetworkAddressTranslation）中被調(diào)用在路由策略中被調(diào)用在防火墻的策略部署中被調(diào)用在QoS中被調(diào)用其他……2.1ACL原理ACL由若干條permit或deny語(yǔ)句組成。每條語(yǔ)句就是該ACL的一條規(guī)則，每條語(yǔ)句中的permit或deny就是與這條規(guī)則相對(duì)應(yīng)的處理動(dòng)作。rule5permitsource1.1.1.00.0.0.255aclnumber2000rule10denysource2.2.2.00.0.0.255rule15permitsource3.3.3.00.0.0.255……rule4294967294deny訪問(wèn)控制列表的編號(hào)用戶自定義的規(guī)則系統(tǒng)在ACL末尾隱含的規(guī)則規(guī)則編號(hào)動(dòng)作匹配項(xiàng)(此處為源IP地址)每條規(guī)則都是什么意思？2.1ACL原理aclnumber2000rule 5 deny source10.1.1.10rule 10 deny source10.1.1.20rule 15 permit source10.1.1.00.0.0.255步長(zhǎng)=5規(guī)則編號(hào)如果希望增加1條規(guī)則，該如何處理？aclnumber2000rule 5 deny source10.1.1.10rule 10 deny source10.1.1.20rule 11 deny source10.1.1.30rule 15 permit source10.1.1.00.0.0.255rule11denysource10.1.1.30規(guī)則編號(hào)與步長(zhǎng)規(guī)則編號(hào)（RuleID）：一個(gè)ACL中的每一條規(guī)則都有一個(gè)相應(yīng)的編號(hào)。步長(zhǎng)（Step）:步長(zhǎng)是系統(tǒng)自動(dòng)為ACL規(guī)則分配編號(hào)時(shí)，每個(gè)相鄰規(guī)則編號(hào)之間的差值，缺省值為5。步長(zhǎng)的作用是為了方便后續(xù)在舊規(guī)則之間，插入新的規(guī)則。RuleID分配規(guī)則：系統(tǒng)為ACL中首條未手工指定編號(hào)的規(guī)則分配編號(hào)時(shí)，使用步長(zhǎng)值（例如步長(zhǎng)=5，首條規(guī)則編號(hào)為5）作為該規(guī)則的起始編號(hào)；為后續(xù)規(guī)則分配編號(hào)時(shí)，則使用大于當(dāng)前ACL內(nèi)最大規(guī)則編號(hào)且是步長(zhǎng)整數(shù)倍的最小整數(shù)作為規(guī)則編號(hào)。2.1ACL原理aclnumber2000rule 5 deny source10.1.1.10rule 10 deny source10.1.1.20rule 15 permit source10.1.1.00.0.0.255通配符匹配規(guī)則：“0”表示“匹配”；“1”表示“隨機(jī)分配”如何匹配192.168.1.1/24對(duì)應(yīng)網(wǎng)段的地址？192.168.1.10.0.0.2551100000010101000000000010000000100000000000000000000000011111111嚴(yán)格匹配隨機(jī)分配192.168.1.0/24網(wǎng)段通配符(Wildcard)通配符是一個(gè)32比特長(zhǎng)度的數(shù)值，用于指示IP地址中，哪些比特位需要嚴(yán)格匹配，哪些比特位無(wú)需匹配。通配符通常采用類似網(wǎng)絡(luò)掩碼的點(diǎn)分十進(jìn)制形式表示，但是含義卻與網(wǎng)絡(luò)掩碼完全不同。2.1ACL原理……匹配192.168.1.0/24這個(gè)子網(wǎng)中的奇數(shù)IP地址，例如192.168.1.1、192.168.1.3、192.168.1.5等。嚴(yán)格匹配隨機(jī)分配嚴(yán)格匹配192.168.11192.168.100000001192.168.13192.168.100000011192.168.15192.168.100000101對(duì)應(yīng)通配符0.0.0.11111110答案：192.168.1.1 0.0.0.254通配符中的1或者0可以不連續(xù)特殊的通配符精確匹配192.168.1.1這個(gè)IP地址192.168.1.10.0.0.0=192.168.1.10匹配所有IP地址0.0.0.0255.255.255=any2.1ACL原理基于ACL規(guī)則定義方式的分類分類編號(hào)范圍規(guī)則定義描述基本ACL2000~2999僅使用報(bào)文的源IP地址、分片信息和生效時(shí)間段信息來(lái)定義規(guī)則。高級(jí)ACL3000~3999可使用IPv4報(bào)文的源IP地址、目的IP地址、IP協(xié)議類型、ICMP類型、TCP源/目的端口號(hào)、UDP源/目的端口號(hào)、生效時(shí)間段等來(lái)定義規(guī)則。二層ACL4000~4999使用報(bào)文的以太網(wǎng)幀頭信息來(lái)定義規(guī)則，如根據(jù)源MAC地址、目的MAC地址、二層協(xié)議類型等。用戶自定義ACL5000~5999使用報(bào)文頭、偏移位置、字符串掩碼和用戶自定義字符串來(lái)定義規(guī)則。用戶ACL6000~6999既可使用IPv4報(bào)文的源IP地址或源UCL（UserControlList）組，也可使用目的IP地址或目的UCL組、IP協(xié)議類型、ICMP類型、TCP源端口/目的端口、UDP源端口/目的端口號(hào)等來(lái)定義規(guī)則?；贏CL標(biāo)識(shí)方法的分類分類規(guī)則定義描述數(shù)字型ACL傳統(tǒng)的ACL標(biāo)識(shí)方法。創(chuàng)建ACL時(shí)，指定一個(gè)唯一的數(shù)字標(biāo)識(shí)該ACL。命名型ACL通過(guò)名稱代替編號(hào)來(lái)標(biāo)識(shí)ACL。2.1ACL原理基本ACLIPHeaderTCP/UDPHeaderData源IP地址編號(hào)范圍：2000-2999aclnumber2000rule 5 deny source10.1.1.10rule 10 deny source10.1.1.20rule 15 permit source10.1.1.00.0.0.255IPHeaderTCP/UDPHeaderDataaclnumber3000rule5permitip source10.1.1.00.0.0.255destination10.1.3.00.0.0.255rule10permittcpsource10.1.2.00.0.0.255destination10.1.3.00.0.0.255destination-porteq21編號(hào)范圍：3000-3999源IP地址目的IP地址協(xié)議類型源端口目的端口高級(jí)ACL2.2ACL匹配機(jī)制引用的ACL是否存在？ACL是否存在rule？分析第一條rule命中rule是否剩余rule分析下一條ruleACL動(dòng)作是permit還是denyACL匹配結(jié)果為拒絕ACL匹配結(jié)果為允許ACL匹配結(jié)果為不匹配是是否是否否否是permitdeny匹配原則：一旦命中即停止匹配開始結(jié)束2.2ACL匹配機(jī)制配置順序（config模式）系統(tǒng)按照ACL規(guī)則編號(hào)從小到大的順序進(jìn)行報(bào)文匹配，規(guī)則編號(hào)越小越容易被匹配。192.168.1.1/24192.168.1.2/24192.168.1.3/24192.168.1.4/24192.168.1.5/24192.168.1.1/24192.168.1.2/24192.168.1.4/24192.168.1.5/24acl2000rule1permitsource192.168.1.10.0.0.0rule2permitsource192.168.1.20.0.0.0rule3denysource192.168.1.30.0.0.0rule4permit0.0.0.0255.255.255.255待匹配對(duì)象基本ACL被匹配為“允許”的IP“允許”是指允許流量通過(guò)嗎？rule1：允許源IP地址為192.168.1.1的報(bào)文rule2：允許源IP地址為192.168.1.2的報(bào)文rule3：拒絕源IP地址為192.168.1.3的報(bào)文rule4：允許其他所有IP地址的報(bào)文2.2ACL匹配機(jī)制在此接口上部署ACL對(duì)如圖所示的數(shù)量流量生效，需應(yīng)用在inbound

(入站）方向數(shù)據(jù)報(bào)文在此接口上部署ACL對(duì)如圖所示的數(shù)量流量生效，需應(yīng)用在outbound(出站)方向2.2ACL匹配機(jī)制InboundOutbound接口上是否應(yīng)用入方向ACL？路由ACL是否允許該流量通行？NoYesYes數(shù)據(jù)報(bào)文No是否有匹配的路由條目出接口是否應(yīng)用出方向ACLNoYes路由到出接口ACL是否允許該流量通行？YesYesNoNo數(shù)據(jù)報(bào)文數(shù)據(jù)報(bào)文數(shù)據(jù)報(bào)文2.2ACL匹配機(jī)制[Huawei]acl[number]acl-number[match-orderconfig]創(chuàng)建基本ACL使用編號(hào)（2000～2999）創(chuàng)建一個(gè)數(shù)字型的基本ACL，并進(jìn)入基本ACL視圖。[Huawei]aclnameacl-name{basic|

acl-number

}[match-orderconfig]使用名稱創(chuàng)建一個(gè)命名型的基本ACL，并進(jìn)入基本ACL視圖。[Huawei-acl-basic-2000]rule[rule-id]{deny|permit}[source{source-addresssource-wildcard|any}|time-range

time-name]配置基本ACL的規(guī)則在基本ACL視圖下，通過(guò)此命令來(lái)配置基本ACL的規(guī)則。2.2ACL匹配機(jī)制[Huawei]acl[number]acl-number[match-orderconfig]創(chuàng)建高級(jí)ACL使用編號(hào)（3000～3999）創(chuàng)建一個(gè)數(shù)字型的高級(jí)ACL，并進(jìn)入高級(jí)ACL視圖。[Huawei]aclnameacl-name{advance|

acl-number

}[match-orderconfig]使用名稱創(chuàng)建一個(gè)命名型的高級(jí)ACL，進(jìn)入高級(jí)ACL視圖。2.2ACL匹配機(jī)制配置基本ACL的規(guī)則

根據(jù)IP承載的協(xié)議類型不同，在設(shè)備上配置不同的高級(jí)ACL規(guī)則。對(duì)于不同的協(xié)議類型，有不同的參數(shù)組合。在高級(jí)ACL視圖下，通過(guò)此命令來(lái)配置高級(jí)ACL的規(guī)則。當(dāng)參數(shù)protocol為IP時(shí)，高級(jí)ACL的命令格式為rule[rule-id]{deny|permit}ip[destination{destination-addressdestination-wildcard|any}|source{source-addresssource-wildcard|any}|time-rangetime-name|[dscp

dscp|[tos

tos|precedence

precedence]]]在高級(jí)ACL視圖下，通過(guò)此命令來(lái)配置高級(jí)ACL的規(guī)則。當(dāng)參數(shù)protocol為TCP時(shí)，高級(jí)ACL的命令格式為rule[rule-id]{deny|permit}{protocol-number|tcp}[destination{destination-addressdestination-wildcard|any}|destinat