項目五 網(wǎng)絡(luò)安全配置與管理

《網(wǎng)絡(luò)互聯(lián)技術(shù)項目教程》高等職業(yè)技術(shù)教育計算機相關(guān)專業(yè)目錄項目五網(wǎng)絡(luò)安全配置與管理任務(wù)一交換機端口隔離配置交換機端口接入安全配置訪問控制列表ACL配置任務(wù)二任務(wù)三教學目標、知識點：1．掌握交換機端口隔離配置方法。2．了解交換機端口安全功能。3．掌握交換機端口安全的配置方法。4．了解基本訪問控制列表ACL、高級訪問控制列表ACL及基于時間ACL的特性。5．掌握基本訪問控制列表ACL、高級訪問控制列表ACL及基于時間ACL的配置方法。項目五網(wǎng)絡(luò)安全配置與管理任務(wù)一交換機端口隔離配置5.1任務(wù)陳述5.2知識點5.2.1端口隔離基本概念5.2.2端口隔離應用場景5.3任務(wù)實施5.3.1二層端口隔離配置5.3.2三層端口隔離配置任務(wù)一交換機端口隔離配置5.1任務(wù)陳述小李是公司的網(wǎng)絡(luò)工程師，隨著公司規(guī)模的不斷擴大，公司網(wǎng)絡(luò)的子網(wǎng)數(shù)量也在增加，公司網(wǎng)絡(luò)的安全性與可靠性越來越重要，公司領(lǐng)導安排小李把公司的網(wǎng)絡(luò)進行優(yōu)化，要求考慮到公司不同部門需要相互隔離，同時也要滿足不同用戶的訪問需求。小李根據(jù)公司的要求制定了一份合理的網(wǎng)絡(luò)實施方案，那么他將如何完成網(wǎng)絡(luò)設(shè)備的相應配置呢？5.2知識點5.2.1端口隔離基本概念端口隔離分為二層隔離三層互通和二層三層都隔離兩種模式：如果用戶希望隔離同一VLAN內(nèi)的廣播報文，但是不同端口下的用戶還可以進行三層通信，則可以將隔離模式設(shè)置為二層隔離三層互通。如果用戶希望同一VLAN不同端口下用戶徹底無法通信，則可以將隔離模式配置為二層三層均隔離。如果不是特殊情況要求，建議用戶不要將上行口和下行口加入到同一端口隔離組中，否則上行口和下行口之間不能相互通信。5.2.1端口隔離基本概念如圖5.1所示，同一端口隔離組內(nèi)的用戶不能進行二層的通信，但是不同端口隔離組內(nèi)的用戶可以進行正常通行；未劃分端口隔離的用戶也能與端口隔離組內(nèi)的用戶正常通信。5.2.2端口隔離應用場景端口隔離是為了實現(xiàn)報文之間的二層隔離，可以將不同的端口加入不同的VLAN，但會浪費有限的VLAN資源。采用端口隔離特性，可以實現(xiàn)同一VLAN內(nèi)端口之間的隔離，用戶只需要將端口加入到隔離組中，就可以實現(xiàn)隔離組內(nèi)端口之間二層數(shù)據(jù)的隔離，端口隔離功能為用戶提供了更安全、更靈活的組網(wǎng)方案，如圖5.2所示。5.3任務(wù)實施5.3.1二層端口隔離配置同項目組的員工都被劃分到VLAN10中，其中屬于企業(yè)內(nèi)部的員工允許相互通信，屬于企業(yè)外部的員工不允許相互通信，外部員工與內(nèi)部員工之間允許通信，交換機LSW1與交換機LSW2為二層交換機，交換機LSW3與交換機LSW4為三層交換機，交換機LSW3中的VLAN10的IP地址為：00/24，主機PC1至主機PC4為內(nèi)部員工，主機PC5至主機PC8為外部員工，主機PC5與主機PC6在隔離組Group1中，機PC7與主機PC8在隔離組Group2中，相關(guān)端口與IP地址對應關(guān)系如圖5.3所示，進行端口隔離配置。5.3.2三層端口隔離配置同項目組的內(nèi)部員工被劃分到VLAN20中，外部員工被劃分到VLAN10中，交換機LSW1為三層交換機，交換機LSW1中的VLAN10的IP地址為：00/24，VLAN20的IP地址為：00/24，主機PC3與主機PC4為內(nèi)部員工，主機PC1與主機PC2為外部員工，在隔離組Group1中，機PC5與主機PC6為外部員工，在隔離組Group2中，相關(guān)端口與IP地址對應關(guān)系如圖5.13所示，進行三層端口隔離配置。任務(wù)二交換機端口接入安全配置5.1任務(wù)陳述5.2知識點5.2.1交換機安全端口概述5.2.2安全端口地址綁定5.3任務(wù)實施任務(wù)二交換機端口接入安全配置5.1任務(wù)陳述小李是公司的網(wǎng)絡(luò)工程師，隨著公司規(guī)模的不斷擴大，公司網(wǎng)絡(luò)的子網(wǎng)數(shù)量也在增加，公司網(wǎng)絡(luò)的安全性與可靠性越來越重要，公司領(lǐng)導安排小李把公司的網(wǎng)絡(luò)進行優(yōu)化，對接入終端要進行相應的端口安全管理與配置，同時也要滿足不同用戶的訪問需求。小李根據(jù)公司的要求制定了一份合理的網(wǎng)絡(luò)實施方案，那么他將如何完成網(wǎng)絡(luò)設(shè)備的相應配置呢？5.2知識點5.2.1交換機安全端口概述交換機的端口是連接網(wǎng)絡(luò)終端設(shè)備的重要關(guān)口，加強交換機的端口安全是提高整個網(wǎng)絡(luò)安全的關(guān)鍵，默認情況下，交換機的所有端口都是完全開放的，不提供任何安全檢查措施，允許所有的數(shù)據(jù)流通過，因此，交換機安全端口技術(shù)是網(wǎng)絡(luò)安全防范中常用的接入安全技術(shù)之一，為保護網(wǎng)絡(luò)內(nèi)的用戶安全，對交換機的端口增加安全訪問功能，可以有效保護網(wǎng)絡(luò)安全，通常交換機的端口安全保護是工作在交換機二層端口上的安全特性。5.2.2安全端口地址綁定在網(wǎng)絡(luò)中的不安全因素非常多，大部分網(wǎng)絡(luò)攻擊都采用欺騙源IP地址或源MAC地址的方法，對網(wǎng)絡(luò)核心設(shè)備進行連續(xù)數(shù)據(jù)包的攻擊，從而消耗網(wǎng)絡(luò)核心設(shè)備的資源，常見的的有MAC地址攻擊、ARP攻擊、DHCP攻擊等，這些針對交換機端口產(chǎn)生的攻擊行為，可以啟用交換機端口的安全功能來進行防范，為了避免這些攻擊，可以采取如下措施。1.交換機安全端口地址綁定端口安全功能通過報文的源MAC地址或者源MAC+源IP或者僅源IP來限定報文是否可以進入交換機的端口，您可以靜態(tài)設(shè)置特定的MAC地址，靜態(tài)IP+MAC綁定或者僅IP綁定，或者動態(tài)學習限定個數(shù)的MAC地址來控制報文是否可以進入端口，使能端口安全功能的端口稱為安全端口。只有源MAC地址為端口安全地址表中配置或者配置綁定的IP+MAC地址，或者配置的僅IP綁定地址，或者學習到的MAC地址的報文才可以進入交換機通信，其他報文將被丟棄，如圖5.19所示。5.2.2安全端口地址綁定2.安全端口連接個數(shù)交換機的端口安全功能還表現(xiàn)在可以限制一個端口上連接安全地址的連接個數(shù)，如果一個端口被配置為安全端口，并且配置有最大連接數(shù)量，則當連接的安全地址的數(shù)目達到允許的最大個數(shù)時，或者該端口收到一個源地址不屬于該端口的安全地址時，交換機就將產(chǎn)生一個安全違例通知，交換機將會按照事先定義的違例處理方式進行操作。安全端口設(shè)置最大連接數(shù)是為了防止過多的用戶接入網(wǎng)絡(luò)，如果將交換機上某個端口只配置一個安全地址，則連接到這個端口的計算機將獨享該端口的全部帶寬。3.安全端口違例處理方式當產(chǎn)生安全違例時，可以選擇多種方式來處理違例，針對不同的網(wǎng)絡(luò)安全需要，采用不同的安全違例處理模式，相關(guān)的含義，如表5.1所示。配置端口安全存在以下限制。（1）一個安全端口必須是Access端口及連接終端設(shè)備端口，而非是Trunk端口。（2）一個安全端口不能是一個聚合端口（eth-trunk）。5.3任務(wù)實施配置交換機安全端口，在網(wǎng)絡(luò)中MAC地址是設(shè)備中不變的物理地址，控制MAC地址接入就控制了交換機的端口接入，所以端口安全也是對MAC的的安全。在交換機中CAM（ContentAddressableMemory，內(nèi)容可尋址內(nèi)存表）表，又叫MAC地址表，其中記錄了與交換機相連的設(shè)備的MAC地址、端口號、所屬vlan等對應關(guān)系。交換機LSW1連接主機PC1和主機PC2，交換機LSW2連接主機PC3和主機PC4，其端口連接狀態(tài)，如圖5.20所示，其主機的IP地址、MAC地址，如圖5.21所示。任務(wù)三訪問控制列表ACL配置5.1任務(wù)陳述5.2知識點5.2.1訪問控制列表ACL概述5.2.2基本訪問控制列表ACL5.2.3高級訪問控制列表ACL5.3任務(wù)實施5.3.1配置基本訪問控制列表ACL5.3.2配置高級訪問控制列表ACL任務(wù)三訪問控制列表ACL配置5.1任務(wù)陳述小李是公司的網(wǎng)絡(luò)工程師，隨著公司規(guī)模的不斷擴大，公司網(wǎng)絡(luò)的安全性與可靠性越來越重要，公司領(lǐng)導安排小李把公司的網(wǎng)絡(luò)進行優(yōu)化，針對不同部門的業(yè)務(wù)流量，制定相應訪問策略，同時也要滿足不同用戶的訪問需求。小李根據(jù)公司的要求制定了一份合理的網(wǎng)絡(luò)實施方案，那么他將如何完成網(wǎng)絡(luò)設(shè)備的相應配置呢？5.2知識點5.2.1訪問控制列表ACL概述訪問控制列表ACL（AccessControlList）是由一條或多條規(guī)則組成的集合，所謂規(guī)則，是指描述報文匹配條件的判斷語句，這些條件可以是報文的源地址、目的地址、端口號等，ACL本質(zhì)上是一種報文過濾器，規(guī)則是過濾器的濾芯。設(shè)備基于這些規(guī)則進行報文匹配，可以過濾出特定的報文，并根據(jù)應用ACL的業(yè)務(wù)模塊的處理策略來允許或阻止該報文通過。訪問控制列表ACL是一種基于包過濾的訪問控制技術(shù)，它可以根據(jù)設(shè)定的條件對接口上的數(shù)據(jù)包進行過濾，允許其通過或丟棄。訪問控制列表被廣泛地應用于路由器和三層交換機，借助于訪問控制列表，可以有效地控制用戶對網(wǎng)絡(luò)的訪問，用來告訴路由器哪些數(shù)據(jù)可以接收，哪些數(shù)據(jù)是需要被拒絕并丟棄，從而最大程度地保障網(wǎng)絡(luò)安全。ACL的定義是基于協(xié)議的，它適用于所有的路由協(xié)議，如IP、IPX等。它在路由器上讀取數(shù)據(jù)包頭中的信息，如源地址、目的地址、使用的協(xié)議、源端口、目的端口等，并根據(jù)預先定義好的規(guī)則對包進行過濾，從而達到對網(wǎng)絡(luò)訪問的精確、靈活控制。5.2.1訪問控制列表ACL概述訪問控制列表由一系列包過濾規(guī)則組成，每條規(guī)則明確地定義對指定類型的數(shù)據(jù)進行的操作（允許、拒絕等），訪問控制列表可關(guān)聯(lián)作用于三層接口、VLAN，并且具有方向性。當設(shè)備收到一個需要進行訪問控制列表處理的數(shù)據(jù)分組時，會按照訪問控制列表的列表項自頂向下進行順序處理。一旦找到匹配項，列表中的后續(xù)語句就不再處理，如果列表中沒有匹配項，則此分組將會被丟棄。ACL可以應用于諸多業(yè)務(wù)模塊，其中最基本的ACL應用，就是在簡化流策略/流策略中應用ACL，使設(shè)備能夠基于全局、VLAN或接口下發(fā)ACL，實現(xiàn)對轉(zhuǎn)發(fā)報文的過濾。此外，ACL還可以應用在Telnet、FTP、路由等模塊。1.匹配過程路由器接口的訪問控制取決于應用在其上的ACL。數(shù)據(jù)在進（出）網(wǎng)絡(luò)前，路由器會根據(jù)ACL對其進行匹配，匹配成功將對數(shù)據(jù)進行過濾或轉(zhuǎn)發(fā)，匹配失敗則丟棄數(shù)據(jù)。ACL實質(zhì)上是一系列帶有自上而下邏輯順序的判斷語句。當數(shù)據(jù)到達路由器接口時，ACL首先將數(shù)據(jù)與第1條語句進行比較，如果條件符合將直接進入控制策略，后面的語句將被忽略不再檢查；如果與第一條語句條件不符合，則將數(shù)據(jù)交給第2條語句進行比較，符合條件將直接進入控制策略，不符合條件則繼續(xù)交給下一條語句。以此類推,如果數(shù)據(jù)到達最后一條語句仍然不匹配，即所有判斷語句條件都不符合，則拒絕并丟棄該數(shù)據(jù),如圖5.25所示。5.2.1訪問控制列表ACL概述1.匹配過程5.2.1訪問控制列表ACL概述2.ACL作用訪問控制列表的主要作用如下：（1）允許、拒絕特定的數(shù)據(jù)流通過網(wǎng)絡(luò)設(shè)備，如防止攻擊、訪問控制、節(jié)省帶寬等；（2）對特定的數(shù)據(jù)流、報文、路由條目等進行匹配和標識，以用于其他目的路由過濾，如QoS、Route-map等。3.ACL分類（1）按照ACL規(guī)則功能的不同，ACL被劃分為基本訪問控制列表ACL、高級訪問控制列表ACL、二層ACL、用戶自定義ACL和用戶ACL這五種類型。每種類型ACL對應的編號范圍是不同的。ACL2000屬于基本訪問控制列表ACL，ACL3998屬于高級訪問控制列表ACL。高級訪問控制列表ACL可以定義比基本訪問控制列表ACL更準確、更豐富、更靈活的規(guī)則，所以高級訪問控制列表ACL的功能更加強大，如表5.2所示。5.2.1訪問控制列表ACL概述3.ACL分類5.2.1訪問控制列表ACL概述3.ACL分類（2）基于ACL標識方法的劃分，可以劃分為以下兩類。1）數(shù)字型ACL：傳統(tǒng)的ACL標識方法。創(chuàng)建ACL時，指定一個唯一的數(shù)字標識該ACL。2）命名型ACL：通過名稱代替編號來標識ACL。用戶在創(chuàng)建ACL時可以為其指定編號，不同的編號對應不同類型的ACL，同時，為了便于記憶和識別，用戶還可以創(chuàng)建命名型ACL，即在創(chuàng)建ACL時為其設(shè)置名稱。命名型ACL，也可以是“名稱數(shù)字”的形式，即在定義命名型ACL時，同時指定ACL編號。如果不指定編號，系統(tǒng)則會自動為其分配一個數(shù)字型ACL的編號。5.2.1訪問控制列表ACL概述4.應用規(guī)則我們稱作ACL規(guī)則為rule。其中的“deny|permit”，稱作ACL動作，表示拒絕/允許。每條規(guī)則都擁有自己的規(guī)則編號，如5、10、200。這些編號，可以自行配置，也可以由系統(tǒng)自動分配，那么系統(tǒng)是怎樣自動分配規(guī)則編號的？ACL規(guī)則的編號范圍是0～4294967294，所有規(guī)則均按照規(guī)則編號從小到大進行排序。所以，我們可以看到rule5排在首位，而規(guī)則編號最大的rule4294967294排在末位。系統(tǒng)按照規(guī)則編號從小到大的順序，將規(guī)則依次與報文匹配，一旦匹配上一條規(guī)則即停止匹配。除了包含ACL動作和規(guī)則編號，我們可以看到ACL規(guī)則中還定義了源地址、生效時間段這樣的字段。這些字段，稱作匹配選項，它是ACL規(guī)則的重要組成部分。其實，ACL提供了極其豐富的匹配選項。你可以選擇二層以太網(wǎng)幀頭信息（如源MAC、目的MAC、以太幀協(xié)議類型）作為匹配選項，也可以選擇三層報文信息（如源地址、目的地址、協(xié)議類型）作為匹配選項，還可以選擇四層報文信息（如TCP/UDP端口號）等。（1）“3P”原則。在路由器上應用ACL時，可以為每種協(xié)議（PerProtocol）、每個方向（PerDirection）和每個接口（PerInterface）配置一個ACL，一般稱為“3P原則”。1）一個ACL只能基于一種協(xié)議，因此每種協(xié)議都需要配置單獨的ACL。2）經(jīng)過路由器接口的數(shù)據(jù)有進（In）和出（Out）兩個方向，因此在接口上配置訪問控制列表也有進（In）和出（Out）兩個方向。每個接口可以配置進方向的ACL，也可以配置出方向的ACL，或者兩者都配置，但是一個ACL只能控制一個方向。3）一個ACL只能控制一個接口上的數(shù)據(jù)流量，無法同時控制多個接口上的數(shù)據(jù)流量。5.2.1訪問控制列表ACL概述4.應用規(guī)則（2）語句順序決定了對數(shù)據(jù)的控制順序。ACL的語句是一種自上而下的邏輯排列關(guān)系。數(shù)據(jù)匹配過程中是依次對語句進行比較，一旦匹配成功則按照當前語句控制策略處理，不再與之后的語句進行比較。因此，正確的語句順序才能得到所需的控制效果。（3）至少有一條允許（Permit）語句。所有ACL的最后一條語句都是隱式拒絕語句，表示當所有語句都無法匹配時，將拒絕數(shù)據(jù)通過并自動丟棄數(shù)據(jù)，以防數(shù)據(jù)意外進入網(wǎng)絡(luò)。因此，在寫“拒絕（deny）”的ACL時，一定至少要有一條允許（Permit）語句，否則配置ACL的接口將拒絕任何數(shù)據(jù)通過，影響正常的網(wǎng)絡(luò)通信。（4）最有限制性的語句應該放在ACL的靠前位置。最有限制性的語句放在ACL的靠前位置，可以首先過濾掉很多不符合條件的數(shù)據(jù)，節(jié)省后面語句的比較時間，從而提高路由器的工作效率。5.2.1訪問控制列表ACL概述5.ACL匹配順序一條ACL可以由多條“deny|permit”語句組成，每一條語句描述一條規(guī)則，這些規(guī)則可能存在重復或矛盾的地方。例如，在一條ACL中先后配置以下兩條規(guī)則：ruledenyipdestination55//表示拒絕目的IP地址為/24網(wǎng)段地址的報文通過rulepermitipdestination55//表示允許目的IP地址為/24網(wǎng)段地址的報文通過其中，permit規(guī)則與deny規(guī)則是相互矛盾的。對于目的IP=的報文，如果系統(tǒng)先將deny規(guī)則與其匹配，則該報文會被拒絕通過。相反，如果系統(tǒng)先將permit規(guī)則與其匹配，則該報文會得到允許通過。因此，對于規(guī)則之間存在重復或矛盾的情形，報文的匹配結(jié)果與ACL的匹配順序是息息相關(guān)的。設(shè)備支持兩種ACL匹配順序：配置順序（config模式）和自動排序（auto模式）。缺省的ACL匹配順序是config模式。（1）配置順序。即系統(tǒng)按照ACL規(guī)則編號從小到大的順序進行報文匹配，規(guī)則編號越小越容易被匹配。如果配置規(guī)則時指定了規(guī)則編號，則規(guī)則編號越小，規(guī)則插入位置越靠前，該規(guī)則越先被匹配。如果配置規(guī)則時未指定規(guī)則編號，則由系統(tǒng)自動為其分配一個編號，該編號是一個大于當前ACL內(nèi)最大規(guī)則編號且是步長整數(shù)倍的最小整數(shù)，因此該規(guī)則會被最后匹配。5.2.1訪問控制列表ACL概述5.ACL匹配順序（2）自動排序。是指系統(tǒng)使用“深度優(yōu)先”的原則，將規(guī)則按照精確度從高到低進行排序，并按照精確度從高到低的順序進行報文匹配。規(guī)則中定義的匹配項限制越嚴格，規(guī)則的精確度就越高，即優(yōu)先級越高，系統(tǒng)越先匹配。6.步長步長，是指系統(tǒng)自動為ACL規(guī)則分配編號時，每個相鄰規(guī)則編號之間的差值。也就是說，系統(tǒng)是根據(jù)步長值自動為ACL規(guī)則分配編號的。ACL2000，步長就是5。系統(tǒng)按照5、10、15…這樣的規(guī)律為ACL規(guī)則分配編號。如果將步長調(diào)整為了2，那么規(guī)則編號會自動從步長值開始重新排列，變成2、4、6…。ACL的缺省步長值是5。通過displayaclacl-number命令，可以查看ACL規(guī)則、步長等配置信息。通過step命令，可以修改ACL步長值。實際上，設(shè)置步長的目的，是為了方便大家在ACL規(guī)則之間插入新的規(guī)則。試想一下，如果這條ACL規(guī)則之間間隔不是5，而是1（rule1、rule2、rule3…），這時再想插入新的規(guī)則，該怎么辦呢？只能先刪除已有的規(guī)則，然后再配置新規(guī)則，最后將之前刪除的規(guī)則重新配置回來。如果這樣做，那付出的代價可真是太大了。所以，通過設(shè)置ACL步長，為規(guī)則之間留下一定的空間，后續(xù)再想插入新的規(guī)則，就非常輕松了。5.2.2基本訪問控制列表ACL基本訪問控制列表ACL的重要特征是：一是通過2000~2999的編號來區(qū)別不同的ACL；二是通過檢查IP數(shù)據(jù)包中的源地址信息，對匹配成功的數(shù)據(jù)包采取允許或拒絕的操作?；驹L問控制列表ACL通過檢查收到的IP數(shù)據(jù)包中的源IP地址信息，來控制網(wǎng)絡(luò)中數(shù)據(jù)包的流向，在實施ACL過程中，如果要允許或拒絕來自某一特定的網(wǎng)絡(luò)數(shù)據(jù)包，可以使用基本訪問控制列表ACL來實現(xiàn)，基本訪問控制列表ACL只能過慮IP數(shù)據(jù)包頭中的源IP地址，如圖5.26所示。5.2.2基本訪問控制列表ACL1.ACL的常用配置原則配置ACL規(guī)則時，可以遵循以下原則：（1）如果配置的ACL規(guī)則存在包含關(guān)系，應注意嚴格條件的規(guī)則編號需要排序靠前，寬松條件的規(guī)則編號需要排序靠后，避免報文因命中寬松條件的規(guī)則而停止往下繼續(xù)匹配，從而使其無法命中嚴格條件的規(guī)則。（2）根據(jù)各業(yè)務(wù)模塊ACL默認動作的不同，ACL的配置原則也不同。例如，在默認動作為permit的業(yè)務(wù)模塊中，如果只希望deny部分IP地址的報文，只需配置具體IP地址的deny規(guī)則，結(jié)尾無需添加任意IP地址的permit規(guī)則；而默認動作為deny的業(yè)務(wù)模塊恰與其相反，詳細的ACL常用配置原則，如表5.4所示。

表5.4ACL的常用配置原則ACL默認動作permit所有報文deny所有報文permit少部分報文，deny大部分報文deny少部分報文，permit大部分報文permit無需應用ACL配置ruledeny需先配置rulepermitxxx，再配置ruledenyxxxx或ruledeny說明：以上原則適用于報文過濾的情形。當ACL應用于流策略中進行流量監(jiān)管或者流量統(tǒng)計時，如果僅希望對指定的報文進行限速或統(tǒng)計，則只需配置rulepermitxxx。只需配置ruledenyxxx，無需再配置rulepermitxxxx或rulepermit說明：如果配置rulepermit并在流策略中應用ACL，且該流策略的流行為behavior配置為deny，則設(shè)備會拒絕所有報文通過，導致全部業(yè)務(wù)中斷。deny路由和組播模塊：需配置rulepermit其他模塊：無需應用ACL路由和組播模塊：無需應用ACL其他模塊：需配置ruledeny只需配置rulepermitxxx，無需再配置ruledenyxxxx或ruledeny需先配置ruledenyxxx，再配置rulepermitxxxx或rulepermit5.2.2基本訪問控制列表ACL3.應用規(guī)則在網(wǎng)絡(luò)設(shè)備上配置好ACL規(guī)則后，還需要把配置好的規(guī)則應用在相應的接口上，只有當這個接口激活后，規(guī)則才能起作用。配置ACL需要三個步驟，如下所示。（1）定義好ACL規(guī)則。（2）指定ACL所應用的接口。（3）定義ACL作用于接口上的方向。將ACL規(guī)則應用到某一接口上的語法指令如下：5.2.3高級訪問控制列表ACL高級訪問控制列表ACL的重要特征是：一是通過3000~3999的編號來區(qū)別不同的ACL；二是不僅檢查IP數(shù)據(jù)包中的源地址信息，還檢查數(shù)據(jù)包中的目的IP地址信息、源端口、目的端口、網(wǎng)絡(luò)連接和IP優(yōu)先級等數(shù)據(jù)包特征信息，對匹配成功的數(shù)據(jù)包采取允許或拒絕的操作。高級訪問控制列表ACL通過檢查收到的IP數(shù)據(jù)包特征信息，來控制網(wǎng)絡(luò)中數(shù)據(jù)包的流向，對匹配成功的數(shù)據(jù)包采取允許或拒絕操作，如圖5.27所示。高級訪問控制列表ACL根據(jù)源IP地址、目的IP地址、IP協(xié)議類型、TCP源/目的端口、UDP源/目的端口號、分片信息和生效時間段等信息來定義規(guī)則，對IPv4報文進行過濾。高級訪問控制列表ACL比基本訪問控制列表ACL提供了更準確、豐富、靈活的規(guī)則定義方法。例如，當希望同時根據(jù)源IP地址和目的IP地址對報文進行過濾時，則需要配置高級訪問控制列表ACL。5.2.3高級訪問控制列表ACL1.高級訪問控制列表ACL的常用匹配項設(shè)備支持的ACL匹配項種類非常豐富，其中最常用的匹配項包括以下幾種。（1）源/目的IP地址及其通配符掩碼。源IP地址及其通配符掩碼格式：source{source-addresssource-wildcard|any}目的IP地址及其通配符掩碼格式：destination{destination-addressdestination-wildcard|any}基本訪問控制列表ACL支持根據(jù)源IP地址過濾報文，高級訪問控制列表ACL不僅支持源IP地址，還支持根據(jù)目的IP地址過濾報文。將源/目的IP地址定義為規(guī)則匹配項時，需要在源/目的IP地址字段后面同時指定通配符掩碼，用來與源/目的IP地址字段共同確定一個地址范圍。IP地址通配符掩碼與IP地址的反向子網(wǎng)掩碼類似，也是一個32比特位的數(shù)字字符串，用于指示IP地址中的哪些位將被檢查。各比特位中，“0”表示“檢查相應的位”，“1”表示“不檢查相應的位”，概括為一句話就是“檢查0，忽略1”。但與IP地址子網(wǎng)掩碼不同的是，子網(wǎng)掩碼中的“0”和“1”要求必須連續(xù)，而通配符掩碼中的“0”和“1”可以不連續(xù)。通配符掩碼可以為0，相當于，表示源/目的地址為主機地址；也可以為55，表示任意IP地址，相當于指定any參數(shù)。5.2.3高級訪問控制列表ACL（2）TCP/UDP端口號。源端口號格式：source-port{eqport|gtport|ltport|rangeport-startport-end}目的端口號格式：destination-port{eqport|gtport|ltport|rangeport-startport-end}在高級訪問控制列表ACL中，當協(xié)議類型指定為TCP或UDP時，設(shè)備支持基于TCP/UDP的源/目的端口號過濾報文。其中，TCP/UDP端口號的比較符含義如下：eqport：指定等于源/目的端口。gtport：指定大于源/目的端口。ltport：指定小于源/目的端口。rangeport-startport-end：指定源/目的端口的范圍。port-start是端口范圍的起始，port-end是端口范圍的結(jié)束。TCP/UDP端口號可以使用數(shù)字表示，也可以用字符串（助記符）表示。例如，ruledenytcpdestination-porteq80，可以用ruledenytcpdestination-porteqwww替代。常見UDP端口號及對應的協(xié)議，如表5.5所示，常見TCP端口號及對應的協(xié)議，如表5.6所示。5