【導(dǎo)讀】隨著信息技術(shù)的快速發(fā)展，中小型企業(yè)的業(yè)務(wù)進一步的電子化，與Inter的聯(lián)系也更加緊密。他們也需要信息基礎(chǔ)平臺去支撐業(yè)務(wù)高速發(fā)展。這樣沒有信息技術(shù)背景的企業(yè)也將會對網(wǎng)絡(luò)建設(shè)有主動訴。任何決策的科學(xué)性和可靠性都是以信息為基礎(chǔ)的，信息和決策是同一管理過程中的兩個方面，因此行。業(yè)信息化也就成了人們所討論并實踐著的重要課題。眾多行業(yè)巨頭紛紛采取各種應(yīng)用方案且取得了巨大的。成功，使信息化建設(shè)更具吸引力。相對于大型應(yīng)用群體而言，中小型企業(yè)的信息化建設(shè)工程通常有規(guī)模較。中小企業(yè)實現(xiàn)信息化建設(shè)的要求。為此，成本低廉、操作簡易、便于維護、能滿足業(yè)務(wù)運作需要的網(wǎng)絡(luò)辦。公環(huán)境是這一領(lǐng)域的真正需求。針對絕大多數(shù)中小型企業(yè)集中辦公這一現(xiàn)實特點，我們設(shè)計出了中小型企。業(yè)信息化常用解決方案，能夠較好地發(fā)揮企業(yè)網(wǎng)的使用效果和水平，具有很強的代表性。設(shè)合理的網(wǎng)絡(luò)設(shè)計方案，并測試其結(jié)果最終驗證網(wǎng)絡(luò)的規(guī)劃與設(shè)計符合企業(yè)的需求。

　　

【正文】 Switch(configif)exit Switch(config)int f0/6 Switch(configif)switchport access vlan 4 Switch(configif)exit Switch(config)ip routing Switch(config)int f0/1 Switch(configif)switchport mode trunk //配置 f0/1 為中繼端口 %LINEPROTO5UPDOWN: Line protocol on Interface FastEther0/1, changed state to down %LINEPROTO5UPDOWN: Line protocol on Interface FastEther0/1, changed state to up Switch(configif)exit Switch(config) 測試與驗證 測試 Laptop0 是否獲得 ip 地址，選擇 Laptop0 進入 Desktop 點 IP 配置 中的 動態(tài)獲取 IP 參數(shù) 。 接入交換機下的 PC 間 的連通性測試， 以 結(jié)果如下圖。 測試經(jīng)理部與財務(wù)部的 互通性，結(jié)果如下圖。 各 部門與財務(wù)部的 通性 測試 ， 以銷售部訪問財務(wù)部為例， 結(jié)果如下圖。 測試兩個網(wǎng)絡(luò)間的互通性， 以 銷售部訪問員工宿舍樓一區(qū) 為例 ，結(jié)果如圖。 5． ACL 策略下的實現(xiàn)方案 標準 ACL 例如，建立一個標準 ACL 命名為 test，允許 通過，禁止 網(wǎng)段 通過，其他 主 機禁 止。 R1(config}ip accesslist standard test R1(configstdnacl}permit host R1(configstdnacl}deny 建立標準 ACL 命名為 test ,禁止 主機 通過，允許其他所有 主 機。 R1(config}ip accesslist standard test R1(configstdnacl}deny host R1(configstdnacl}permit any 擴展 ACL 建立擴展 ACL 命名為 testl，允許 訪問所有 主 機 80 端 口 ,其他所有主機禁 止 。 R2（ config） ip accesslist extended testl R2 (configextnacl}permit tcp host any eq 建立擴展 ACL 命名為 testl,禁 止所有主 機訪問 . 主 機 tel (23)端 口 ,但允許訪問其他端口 。 R2 (config}ip accesslist extended testl R2（ configextnacl}deny tcp any host eq 23 R2 （ configextnacl） permit tcp any any R2(config}int g1/0/1 R2 (configif)ip accessgroup test in //接口應(yīng)用 為 入方向 反向訪問控制列表 我們使 用訪問控制列表除 了合理管理網(wǎng)絡(luò)訪問以外還有一個更 重要的方面，那就是防范病毒，我們可以將平時常見病毒傳播使用的端口進行過濾，將使用這些端口的數(shù)據(jù) 包丟棄 。這樣就可以有效的防范病毒的攻擊。 不過即使再科 學(xué)的訪問控制 列表規(guī)則也可能會因為未知病毒的傳播而無效，畢竟未知病毒使用的端口是我們無法估計的，而且隨著防范病毒數(shù)量 的增多 會造成訪問控制列表規(guī)則過多，在一定程度上影響了網(wǎng)絡(luò) 訪問 速度。這時我們可以使用反 問 控制列表來解決以上的問題。 反 向訪問控 制列表 的用途 反 向 訪問控制列表屬 于 ACL 的 一種高級應(yīng)用。他 可 以有效的防范病毒。通過配置反 向 ACL 可以保證 AB 兩個網(wǎng)段的計算機互相 PING, A 可以 PING 通 B 而 B 不能 PING 通 A。說得通俗 些的話就是傳輸數(shù)據(jù)可以分為兩個過程，首先是源主機向目的主 機發(fā)送連接請 求和數(shù)據(jù)，然后是目 的主機在雙方建立好連 接后發(fā)送數(shù)據(jù)給源主 機。反向 ACL 控制的就是上面提到的連接請求。 反 向 訪 問 控 制列表 的 格式 反向訪問控制列表格式非常簡單，只要在配置好的擴 展訪問列表最后加 上 established即 可 。 采用如圖 53 所 示 的 網(wǎng) 絡(luò) 結(jié) 構(gòu) 。 路 由 器 連 接 了 兩 個 網(wǎng) 段 ， 分 別 為,。 在 ，我們通過反向 ACL 設(shè)置保護這 些 服務(wù)器免受來自 這個網(wǎng)段的病毒攻擊。 配置實例：禁止 病毒從 。 Router(config)accesslist 101 permit tcp established //定義 ACL101,容許所有來自 網(wǎng)段的計 算機訪問 網(wǎng)段中的計算機，前提是 TCP 連接已經(jīng)建 立了的。當 TCP 連接沒有建立的話是不容許 訪問 的。 Router(config)int f0/1 //進入 f0/1 端口 Router(configif)ip accessgroup 101 out //將 ACL101 宣告出去 設(shè)置完畢后病毒就不會輕易的從 傳播到 的 服務(wù)器區(qū)了。 因 為病毒要想傳播都是主動進行 TCP 連接的，由于路由器上采用反向 ACL 禁 止了 網(wǎng)段的TCP主 動連接，因此病毒無法順利傳播。 用 PC0 去 ping PC1 結(jié)果如下圖： 基于時間的訪問控制列表 上自我們介紹了標準 ACL 與擴展 ACL，實際上我們數(shù)量掌握了這兩種訪問控制列表就可以應(yīng)付大部分過濾網(wǎng)絡(luò)數(shù)據(jù) 包的要求 了。不過實際工作中總會有人提出這樣或那樣的苛刻要求，這時我們還需 要掌握一些關(guān)丁 ACL 的高級技巧?；?于時間的訪問控制列表就屬于高級技巧之一。 基于時間的訪問控制列表用途 : 可能公可會遇到這樣的情況，要求上班時問不能上 ，下班可以上或者平時不能訪問某網(wǎng)站只有到了周末可以。對于這種情況僅僅通過發(fā)布通知規(guī)定是不能徹底杜絕員工非法使用的問題的，這時基于時間的訪問控制列表應(yīng)運而生。 基于時間的訪問控制列表的格式 : 基于時問的訪問控制列表由兩部分組成，第一部分是定義時間段，第二部分是用擴展訪問控制列表定義規(guī)則。這里我們主要講解下定義時間段，具體格式如下 : timerange 時問段名稱 absolute start[小時 :分鐘 ][日 月 年 ][end][小時 :分鐘 ][日 月 年 ] 例如： timerange softer absolute start 0:00 1 may 2021 end 12:00 1 june 2021 //定義了一個時問段，名稱為 softer, 并且設(shè)置了這個時間段的起始時間為 2021 年 5月 1 日零點，結(jié)束時間為 2021 年 6 月 1 日中午 12 點。 通過這個時間段和擴展 ACL 的規(guī)則結(jié)合就可以 指定出針對自己公司時間段開放的基于時間的訪問控制列表了。當然 也可以定義工作日和周末，具體要使用 periodic 命令。 采用 如圖 54 所 示 的 網(wǎng) 絡(luò) 結(jié) 構(gòu) 。 路 由 器 連 接 了 二 個 網(wǎng) 段 ， 分 別 為,。 在 ， IP 地址為。 配置任務(wù) :只容許 網(wǎng)段的 用 戶在周末訪問 上的 FTP 資源，工作 時間不能下 載該 FTP 資源。 Router(config)timerange sofer //定義時間段名稱為 softer Router(config)periodic weekend 00:00 to 23:59 //定義具體時間范圍 ，為每周周末(六 , 日 )的 0 點到 23 點 59 分。當然可以使用 periodic weekdays 定義工作日或跟星期幾定義具體的周幾。 Router(config)accesslist 101 deny tcp any eq ftp timerange softer //設(shè)置 ACL,禁 止 在時 間段 softer 范 圍 內(nèi)訪問 的 FTR 服 務(wù)。 Router(config)accesslist 101 permit ip any any //設(shè)置 ACL,容許其他時間段和其他條件下的正常訪問。 Router(config)int f0/1 //進入 f0/1 端 口。 Router(configif)ip accessgroup 101 out //宣告 ACL 101 基 于 時間的 ACL 比較適合于 時 間 段的管理，通過上 面 的設(shè)置 的 用戶就只能在周末訪問服務(wù)器提供的 FTP 資源了，平時無法訪問。 在小凡上模擬， 與 預(yù)期結(jié)果一致。 封堵常見病毒端口 大多數(shù)病毒都是通過 TCP 的 13 13 13 13 13 44 13 13 3 13 13 44 4444 端口， UDP 的 6 4444 端口來發(fā)動攻擊的。所以，利用擴展 ACL 規(guī)則配置核心 交換機可以禁用某些病毒傳播端口，并將該 IP 訪問列表應(yīng)用至相應(yīng) VLAN 或端口。配置擴展 ACL: sw（ config） accesslist 110 deny udp any any eq 135 sw（ config） accesslist 110 deny udp any any eq 445 sw（ config） accesslist 110 deny tcp any any eq 135 sw（ config） accesslist 110 deny tcp any any eq 139 sw（ config） accesslist 110 deny tcp any any eq 445 sw（ config） accesslist 110 deny tcp any any eq 593 sw（ config） accesslist 110 deny tcp any any eq 1025 sw（ config） accesslist 110 deny tcp any any eq 1029 sw（ config） accesslist 110 deny udp any any eq 1434 sw（ config） accesslist 110 deny tcp any any eq 4444 sw（ config） accesslist 110 deny udp any any eq 4672 sw（ config） accesslist 110 deny tcp any any eq 5000 sw（ config） accesslist 110 deny tcp any any eq 5900 sw（ config） accesslist 110 deny tcp any any eq 6667 sw（ config） accesslist 110 permit any any 將該擴展 ACL 應(yīng)用到各 VLAN，以 vlan2 為例，配置命令如下 : sw（ config） interface vlan 2 sw（ configif） iip accessgroup 110 in sw（ configif） ip accessgroup 110 out sw（ configif） exit 封堵 P2P 端口 可以在出口路由器上利用 ACL 控制列表限制 P2P 端口。 Router (config) access 一 list 111 Router (config) access 一 list 111 deny tcp any any range 6881 6890 permit ip any any 將該規(guī)則應(yīng)用到端口 Router(config)interface fastEther 0/0 Router(configif)ip accessgroup 111 in 另，如果需要保證網(wǎng)絡(luò)的絕對安全性，則可以利用 ACL 只開放常用端口，其他所有端口全部禁用。 由十以下幾條 ACL 規(guī)則限制了大部分的通 信端口，故沒有在實際實驗中應(yīng)用，因為會導(dǎo)致整個網(wǎng)絡(luò)的通信收到影響。該規(guī)則只適用十對網(wǎng)絡(luò)通信要求非常嚴格的網(wǎng)絡(luò)環(huán)境下。 Router (config) acc