【導(dǎo)讀】隨著信息技術(shù)的快速發(fā)展，中小型企業(yè)的業(yè)務(wù)進(jìn)一步的電子化，與Inter的聯(lián)系也更加緊密。他們也需要信息基礎(chǔ)平臺(tái)去支撐業(yè)務(wù)高速發(fā)展。這樣沒有信息技術(shù)背景的企業(yè)也將會(huì)對(duì)網(wǎng)絡(luò)建設(shè)有主動(dòng)訴。任何決策的科學(xué)性和可靠性都是以信息為基礎(chǔ)的，信息和決策是同一管理過程中的兩個(gè)方面，因此行。業(yè)信息化也就成了人們所討論并實(shí)踐著的重要課題。眾多行業(yè)巨頭紛紛采取各種應(yīng)用方案且取得了巨大的。成功，使信息化建設(shè)更具吸引力。相對(duì)于大型應(yīng)用群體而言，中小型企業(yè)的信息化建設(shè)工程通常有規(guī)模較。中小企業(yè)實(shí)現(xiàn)信息化建設(shè)的要求。為此，成本低廉、操作簡易、便于維護(hù)、能滿足業(yè)務(wù)運(yùn)作需要的網(wǎng)絡(luò)辦。公環(huán)境是這一領(lǐng)域的真正需求。針對(duì)絕大多數(shù)中小型企業(yè)集中辦公這一現(xiàn)實(shí)特點(diǎn)，我們?cè)O(shè)計(jì)出了中小型企。業(yè)信息化常用解決方案，能夠較好地發(fā)揮企業(yè)網(wǎng)的使用效果和水平，具有很強(qiáng)的代表性。設(shè)合理的網(wǎng)絡(luò)設(shè)計(jì)方案，并測(cè)試其結(jié)果最終驗(yàn)證網(wǎng)絡(luò)的規(guī)劃與設(shè)計(jì)符合企業(yè)的需求。

　　

【正文】 Switch(configif)exit Switch(config)int f0/6 Switch(configif)switchport access vlan 4 Switch(configif)exit Switch(config)ip routing Switch(config)int f0/1 Switch(configif)switchport mode trunk //配置 f0/1 為中繼端口 %LINEPROTO5UPDOWN: Line protocol on Interface FastEther0/1, changed state to down %LINEPROTO5UPDOWN: Line protocol on Interface FastEther0/1, changed state to up Switch(configif)exit Switch(config) 測(cè)試與驗(yàn)證 測(cè)試 Laptop0 是否獲得 ip 地址，選擇 Laptop0 進(jìn)入 Desktop 點(diǎn) IP 配置 中的 動(dòng)態(tài)獲取 IP 參數(shù) 。 接入交換機(jī)下的 PC 間 的連通性測(cè)試， 以 結(jié)果如下圖。 測(cè)試經(jīng)理部與財(cái)務(wù)部的 互通性，結(jié)果如下圖。 各 部門與財(cái)務(wù)部的 通性 測(cè)試 ， 以銷售部訪問財(cái)務(wù)部為例， 結(jié)果如下圖。 測(cè)試兩個(gè)網(wǎng)絡(luò)間的互通性， 以 銷售部訪問員工宿舍樓一區(qū) 為例 ，結(jié)果如圖。 5． ACL 策略下的實(shí)現(xiàn)方案 標(biāo)準(zhǔn) ACL 例如，建立一個(gè)標(biāo)準(zhǔn) ACL 命名為 test，允許 通過，禁止 網(wǎng)段 通過，其他 主 機(jī)禁 止。 R1(config}ip accesslist standard test R1(configstdnacl}permit host R1(configstdnacl}deny 建立標(biāo)準(zhǔn) ACL 命名為 test ,禁止 主機(jī) 通過，允許其他所有 主 機(jī)。 R1(config}ip accesslist standard test R1(configstdnacl}deny host R1(configstdnacl}permit any 擴(kuò)展 ACL 建立擴(kuò)展 ACL 命名為 testl，允許 訪問所有 主 機(jī) 80 端 口 ,其他所有主機(jī)禁 止 。 R2（ config） ip accesslist extended testl R2 (configextnacl}permit tcp host any eq 建立擴(kuò)展 ACL 命名為 testl,禁 止所有主 機(jī)訪問 . 主 機(jī) tel (23)端 口 ,但允許訪問其他端口 。 R2 (config}ip accesslist extended testl R2（ configextnacl}deny tcp any host eq 23 R2 （ configextnacl） permit tcp any any R2(config}int g1/0/1 R2 (configif)ip accessgroup test in //接口應(yīng)用 為 入方向 反向訪問控制列表 我們使 用訪問控制列表除 了合理管理網(wǎng)絡(luò)訪問以外還有一個(gè)更 重要的方面，那就是防范病毒，我們可以將平時(shí)常見病毒傳播使用的端口進(jìn)行過濾，將使用這些端口的數(shù)據(jù) 包丟棄 。這樣就可以有效的防范病毒的攻擊。 不過即使再科 學(xué)的訪問控制 列表規(guī)則也可能會(huì)因?yàn)槲粗《镜膫鞑ザ鵁o效，畢竟未知病毒使用的端口是我們無法估計(jì)的，而且隨著防范病毒數(shù)量 的增多 會(huì)造成訪問控制列表規(guī)則過多，在一定程度上影響了網(wǎng)絡(luò) 訪問 速度。這時(shí)我們可以使用反 問 控制列表來解決以上的問題。 反 向訪問控 制列表 的用途 反 向 訪問控制列表屬 于 ACL 的 一種高級(jí)應(yīng)用。他 可 以有效的防范病毒。通過配置反 向 ACL 可以保證 AB 兩個(gè)網(wǎng)段的計(jì)算機(jī)互相 PING, A 可以 PING 通 B 而 B 不能 PING 通 A。說得通俗 些的話就是傳輸數(shù)據(jù)可以分為兩個(gè)過程，首先是源主機(jī)向目的主 機(jī)發(fā)送連接請(qǐng) 求和數(shù)據(jù)，然后是目 的主機(jī)在雙方建立好連 接后發(fā)送數(shù)據(jù)給源主 機(jī)。反向 ACL 控制的就是上面提到的連接請(qǐng)求。 反 向 訪 問 控 制列表 的 格式 反向訪問控制列表格式非常簡單，只要在配置好的擴(kuò) 展訪問列表最后加 上 established即 可 。 采用如圖 53 所 示 的 網(wǎng) 絡(luò) 結(jié) 構(gòu) 。 路 由 器 連 接 了 兩 個(gè) 網(wǎng) 段 ， 分 別 為,。 在 ，我們通過反向 ACL 設(shè)置保護(hù)這 些 服務(wù)器免受來自 這個(gè)網(wǎng)段的病毒攻擊。 配置實(shí)例：禁止 病毒從 。 Router(config)accesslist 101 permit tcp established //定義 ACL101,容許所有來自 網(wǎng)段的計(jì) 算機(jī)訪問 網(wǎng)段中的計(jì)算機(jī)，前提是 TCP 連接已經(jīng)建 立了的。當(dāng) TCP 連接沒有建立的話是不容許 訪問 的。 Router(config)int f0/1 //進(jìn)入 f0/1 端口 Router(configif)ip accessgroup 101 out //將 ACL101 宣告出去 設(shè)置完畢后病毒就不會(huì)輕易的從 傳播到 的 服務(wù)器區(qū)了。 因 為病毒要想傳播都是主動(dòng)進(jìn)行 TCP 連接的，由于路由器上采用反向 ACL 禁 止了 網(wǎng)段的TCP主 動(dòng)連接，因此病毒無法順利傳播。 用 PC0 去 ping PC1 結(jié)果如下圖： 基于時(shí)間的訪問控制列表 上自我們介紹了標(biāo)準(zhǔn) ACL 與擴(kuò)展 ACL，實(shí)際上我們數(shù)量掌握了這兩種訪問控制列表就可以應(yīng)付大部分過濾網(wǎng)絡(luò)數(shù)據(jù) 包的要求 了。不過實(shí)際工作中總會(huì)有人提出這樣或那樣的苛刻要求，這時(shí)我們還需 要掌握一些關(guān)丁 ACL 的高級(jí)技巧?；?于時(shí)間的訪問控制列表就屬于高級(jí)技巧之一。 基于時(shí)間的訪問控制列表用途 : 可能公可會(huì)遇到這樣的情況，要求上班時(shí)問不能上 ，下班可以上或者平時(shí)不能訪問某網(wǎng)站只有到了周末可以。對(duì)于這種情況僅僅通過發(fā)布通知規(guī)定是不能徹底杜絕員工非法使用的問題的，這時(shí)基于時(shí)間的訪問控制列表應(yīng)運(yùn)而生。 基于時(shí)間的訪問控制列表的格式 : 基于時(shí)問的訪問控制列表由兩部分組成，第一部分是定義時(shí)間段，第二部分是用擴(kuò)展訪問控制列表定義規(guī)則。這里我們主要講解下定義時(shí)間段，具體格式如下 : timerange 時(shí)問段名稱 absolute start[小時(shí) :分鐘 ][日 月 年 ][end][小時(shí) :分鐘 ][日 月 年 ] 例如： timerange softer absolute start 0:00 1 may 2021 end 12:00 1 june 2021 //定義了一個(gè)時(shí)問段，名稱為 softer, 并且設(shè)置了這個(gè)時(shí)間段的起始時(shí)間為 2021 年 5月 1 日零點(diǎn)，結(jié)束時(shí)間為 2021 年 6 月 1 日中午 12 點(diǎn)。 通過這個(gè)時(shí)間段和擴(kuò)展 ACL 的規(guī)則結(jié)合就可以 指定出針對(duì)自己公司時(shí)間段開放的基于時(shí)間的訪問控制列表了。當(dāng)然 也可以定義工作日和周末，具體要使用 periodic 命令。 采用 如圖 54 所 示 的 網(wǎng) 絡(luò) 結(jié) 構(gòu) 。 路 由 器 連 接 了 二 個(gè) 網(wǎng) 段 ， 分 別 為,。 在 ， IP 地址為。 配置任務(wù) :只容許 網(wǎng)段的 用 戶在周末訪問 上的 FTP 資源，工作 時(shí)間不能下 載該 FTP 資源。 Router(config)timerange sofer //定義時(shí)間段名稱為 softer Router(config)periodic weekend 00:00 to 23:59 //定義具體時(shí)間范圍 ，為每周周末(六 , 日 )的 0 點(diǎn)到 23 點(diǎn) 59 分。當(dāng)然可以使用 periodic weekdays 定義工作日或跟星期幾定義具體的周幾。 Router(config)accesslist 101 deny tcp any eq ftp timerange softer //設(shè)置 ACL,禁 止 在時(shí) 間段 softer 范 圍 內(nèi)訪問 的 FTR 服 務(wù)。 Router(config)accesslist 101 permit ip any any //設(shè)置 ACL,容許其他時(shí)間段和其他條件下的正常訪問。 Router(config)int f0/1 //進(jìn)入 f0/1 端 口。 Router(configif)ip accessgroup 101 out //宣告 ACL 101 基 于 時(shí)間的 ACL 比較適合于 時(shí) 間 段的管理，通過上 面 的設(shè)置 的 用戶就只能在周末訪問服務(wù)器提供的 FTP 資源了，平時(shí)無法訪問。 在小凡上模擬， 與 預(yù)期結(jié)果一致。 封堵常見病毒端口 大多數(shù)病毒都是通過 TCP 的 13 13 13 13 13 44 13 13 3 13 13 44 4444 端口， UDP 的 6 4444 端口來發(fā)動(dòng)攻擊的。所以，利用擴(kuò)展 ACL 規(guī)則配置核心 交換機(jī)可以禁用某些病毒傳播端口，并將該 IP 訪問列表應(yīng)用至相應(yīng) VLAN 或端口。配置擴(kuò)展 ACL: sw（ config） accesslist 110 deny udp any any eq 135 sw（ config） accesslist 110 deny udp any any eq 445 sw（ config） accesslist 110 deny tcp any any eq 135 sw（ config） accesslist 110 deny tcp any any eq 139 sw（ config） accesslist 110 deny tcp any any eq 445 sw（ config） accesslist 110 deny tcp any any eq 593 sw（ config） accesslist 110 deny tcp any any eq 1025 sw（ config） accesslist 110 deny tcp any any eq 1029 sw（ config） accesslist 110 deny udp any any eq 1434 sw（ config） accesslist 110 deny tcp any any eq 4444 sw（ config） accesslist 110 deny udp any any eq 4672 sw（ config） accesslist 110 deny tcp any any eq 5000 sw（ config） accesslist 110 deny tcp any any eq 5900 sw（ config） accesslist 110 deny tcp any any eq 6667 sw（ config） accesslist 110 permit any any 將該擴(kuò)展 ACL 應(yīng)用到各 VLAN，以 vlan2 為例，配置命令如下 : sw（ config） interface vlan 2 sw（ configif） iip accessgroup 110 in sw（ configif） ip accessgroup 110 out sw（ configif） exit 封堵 P2P 端口 可以在出口路由器上利用 ACL 控制列表限制 P2P 端口。 Router (config) access 一 list 111 Router (config) access 一 list 111 deny tcp any any range 6881 6890 permit ip any any 將該規(guī)則應(yīng)用到端口 Router(config)interface fastEther 0/0 Router(configif)ip accessgroup 111 in 另，如果需要保證網(wǎng)絡(luò)的絕對(duì)安全性，則可以利用 ACL 只開放常用端口，其他所有端口全部禁用。 由十以下幾條 ACL 規(guī)則限制了大部分的通 信端口，故沒有在實(shí)際實(shí)驗(yàn)中應(yīng)用，因?yàn)闀?huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)的通信收到影響。該規(guī)則只適用十對(duì)網(wǎng)絡(luò)通信要求非常嚴(yán)格的網(wǎng)絡(luò)環(huán)境下。 Router (config) acc