高 強(qiáng)，權(quán)循忠，葛先雷

(淮南師范學(xué)院電子工程學(xué)院，安徽淮南 232038)

ACL是物聯(lián)網(wǎng)中保障系統(tǒng)安全的重要技術(shù)，ACL既可以在三層交換機(jī)和路由器上配置，也可以在具有ACL功能的業(yè)務(wù)軟件上進(jìn)行配置[1]。通過(guò)使用可編程方法指定訪問(wèn)規(guī)則，對(duì)設(shè)備間通信進(jìn)行訪問(wèn)控制，可以允許特定設(shè)備訪問(wèn)、指定轉(zhuǎn)發(fā)特定端口數(shù)據(jù)包，防止破壞系統(tǒng)安全，獲取系統(tǒng)數(shù)據(jù)。

1 設(shè)計(jì)原理

三層ACL主要基于源IP地址、目的IP地址、源端口號(hào)、目的端口號(hào)、協(xié)議類型、優(yōu)先級(jí)、分片、生存時(shí)間、限速模板和時(shí)間段模板等信息對(duì)數(shù)據(jù)包進(jìn)行分類定義[2-6]。通過(guò)接入控制列表，在三層交換機(jī)、路由器上進(jìn)行網(wǎng)絡(luò)安全屬性配置，實(shí)現(xiàn)對(duì)進(jìn)入和流出三層交換機(jī)、路由器數(shù)據(jù)流的控制，訪問(wèn)控制列表ACL的規(guī)則和動(dòng)作來(lái)決定數(shù)據(jù)包的通過(guò)或拒絕，從而實(shí)現(xiàn)控制數(shù)據(jù)的傳輸、提高網(wǎng)絡(luò)性能、保障業(yè)務(wù)安全[7]。

2 項(xiàng)目設(shè)計(jì)

場(chǎng)景：公司企業(yè)網(wǎng)通過(guò)三層交換機(jī)實(shí)現(xiàn)各部門之間的互連。總裁辦公室計(jì)算機(jī)使用VLAN 10，研發(fā)部門使用VLAN 20，市場(chǎng)部門使用VLAN 30，外部休閑娛樂(lè)服務(wù)器使用VLAN 40，配置ACL規(guī)則，禁止研發(fā)部門和市場(chǎng)部門在上班時(shí)間(8∶30—17∶30)訪問(wèn)外部休閑娛樂(lè)服務(wù)器(IP地址為10.164.9.9)，而總裁辦公室不受限制。下面以烽火S5800三層交換機(jī)為例進(jìn)行敘述。

2.1 設(shè)計(jì)網(wǎng)絡(luò)拓?fù)鋱D

網(wǎng)絡(luò)拓?fù)鋱D如圖1所示。

2.2 開(kāi)啟交換機(jī)并登錄

以PC1、PC2、PC3和PC4分別代表總裁辦公室、研發(fā)、市場(chǎng)和外部休閑娛樂(lè)服務(wù)器，按照拓?fù)鋱D連接設(shè)備并配置各PC，如表1所示。

圖1 網(wǎng)絡(luò)拓?fù)鋱D

部門(PC)IP地址子網(wǎng)掩碼默認(rèn)網(wǎng)關(guān)總裁辦公室(PC1)10.164.1.33255.255.255.010.164.1.1研發(fā)部門(PC2)10.164.2.33255.255.255.010.164.2.1市場(chǎng)部門(PC3)10.164.3.33255.255.255.010.164.3.1外部休閑娛樂(lè)服務(wù)器(PC4)10.164.9.9255.255.255.010.164.9.1

2.3 執(zhí)行以下命令，創(chuàng)建各VLAN，并將相應(yīng)接口加入VLAN

S5800#config //進(jìn)入全局配置視圖

S5800(config)#vlan 10,20,30,40 //創(chuàng)建valn 10、vlan 20、vlan 30和vlan 40

S5800(config)#interface gigaethernet 1/0/1 //進(jìn)入1端口

S5800(config-ge1/0/1)#port link-type access //更改接口類型為access

S5800(config-ge1/0/1)#port default valn 10 //設(shè)置接口默認(rèn)vlan為vlan 10

S5800(config-ge1/0/1)#quit //退出

S5800(config)#interface gigaethernet 1/0/2 //進(jìn)入2端口

S5800(config-ge1/0/2)#port link-type access //更改接口類型為access

S5800(config-ge1/0/2)#port default vlan 20 //設(shè)置接口默認(rèn)vlan為vlan 10

S5800(config-ge1/0/2)#quit //退出

S5800(config)#interface gigaethernet 1/0/3 //進(jìn)入3端口

S5800(config-ge1/0/3)#port link-type access //更改接口類型為access

S5800(config-ge1/0/3)#port default vlan 30 //設(shè)置接口默認(rèn)vlan為vlan 10

S5800(config-ge1/0/3)#quit //退出

S5800(config)#interface gigaethernet 1/0/12 //進(jìn)入12端口

S5800(config-ge1/0/12)#port link-type access //更改接口類型為access

S5800(config-ge1/0/12)#port default vlan 40 //設(shè)置接口默認(rèn)vlan為vlan 40

S5800(config-ge1/0/12)#quit //退出

2.4 執(zhí)行以下命令指定各vlanif的IP地址

S5800(config)#interface vlan 10 //進(jìn)入vlan10

S5800(config-vlan-10)#ip address 10.164.1.1/24 //配置vlanif接口IP地址為10.164.1.1，掩碼為/24

S5800(config-vlan-10)#quit //退出

S5800(config)#interface vlan 20 //進(jìn)入vlan20

S5800(config-vlan-20)#ip address 10.164.2.1/24 //配置vlanif接口IP地址為10.164.2.1，掩碼為/24

S5800(config-vlan-20)#quit //退出

S5800(config)#interface vlan 30 //進(jìn)入vlan30

S5800(config-vlan-30)#ip address 10.164.3.1/24 //配置vlanif接口IP地址為10.164.3.1，掩碼為/24

S5800(config-vlan-30)#quit //退出

S5800(config)#interface vlan 40 //進(jìn)入vlan30

S5800(config-vlan-40)#ip address 10.164.9.1/24 //配置vlanif接口IP地址為10.164.3.1，掩碼為/24

S5800(config-vlan-40)#quit //退出

2.5 測(cè)試PC1、PC2和PC3能否訪問(wèn)PC4即外部休閑娛樂(lè)服務(wù)器

測(cè)試結(jié)果如圖2、圖3和圖4所示。

圖2 創(chuàng)建ACL列表前，PC1訪問(wèn)PC4結(jié)果

由圖2、圖3和圖4可以看出，在未創(chuàng)建ACL規(guī)則前，各個(gè)部門均能訪問(wèn)外部休閑娛樂(lè)服務(wù)器PC4。

2.6 執(zhí)行以下命令創(chuàng)建時(shí)間模板

S5800(config)#time-range list 1 //創(chuàng)建時(shí)間模板1

S5800(config-timerange1)#time-range 1 everyweekday 8∶30∶00 to 17∶30∶00 //模板時(shí)間設(shè)置為工作日的8∶30到17∶30

S5800(config-timerange1)#quit //退出

2.7 執(zhí)行以下命令創(chuàng)建ACL規(guī)則并將時(shí)間模板與之綁定

S5800(config)#filter-list 1001 //創(chuàng)建三層ACL規(guī)則1001

S5800(configure-filter-ipv4-1001)#filter 1 ip 10.164.1.0/24 10.164.9.9/32 //將該ACL規(guī)則應(yīng)用于源IP地址段為10.164.1.0/24和目的IP地址為10.164.9.9/32

S5800(configure-filter-ipv4-1001)#filter 1 action permit //ACL動(dòng)作為允許

S5800(configure-filter-ipv4-1001)#quit //退出

S5800(config)#filter-list 1002 //創(chuàng)建三層ACL規(guī)則1002

S5800(configure-filter-ipv4-1002)#filter 1 ip 10.164.2.0/24 10.164.9.9/32 //將該ACL規(guī)則應(yīng)用于源IP地址段為10.164.2.0/24和目的IP地址為10.164.9.9/32

S5800(configure-filter-ipv4-1002)#filter 1 action deny //ACL動(dòng)作為阻止

S5800(configure-filter-ipv4-1002)#filter 1 time-range 1 //在該ACL中應(yīng)用時(shí)間模板1

S5800(configure-filter-ipv4-1002)#quit //退出

S5800(config)#filter-list 1003 //創(chuàng)建三層ACL規(guī)則1002

S5800(configure-filter-ipv4-1003)#filter 1 ip 10.164.3.0/24 10.164.9.9/32 //將該ACL規(guī)則應(yīng)用于源IP地址段為10.164.3.0/24和目的IP地址為10.164.9.9/32

S5800(configure-filter-ipv4-1003)#filter 1 action deny //ACL動(dòng)作為阻止

S5800(configure-filter-ipv4-1003)#filter 1 time-range 1 //在該ACL中應(yīng)用時(shí)間模板1

S5800(configure-filter-ipv4-1003)#quit //退出

2.8 執(zhí)行以下命令將創(chuàng)建的ACL規(guī)則應(yīng)用到指定端口

S5800(config)#interface gigaethernet 1/0/1 //進(jìn)入1端口

S5800(config-ge1/0/1)#filter-list in 1001 //將創(chuàng)建的1001 ACL規(guī)則應(yīng)用于1端口

S5800(config-ge1/0/1)#quit //退出

S5800(config)#interface gigaethernet 1/0/2 //進(jìn)入2端口

S5800(config-ge1/0/2)#filter-list in 1002 //將創(chuàng)建的1002 ACL規(guī)則應(yīng)用于2端口

S5800(config-ge1/0/2)#quit //退出

S5800(config)#interface gigaethernet 1/0/3 //進(jìn)入3端口

S5800(config-ge1/0/3)#filter-list in 1003 //將創(chuàng)建的1003 ACL規(guī)則應(yīng)用于3端口

S5800(config-ge1/0/3)#quit //退出

3 測(cè)試結(jié)果

測(cè)試使用Ping命令來(lái)檢測(cè)網(wǎng)絡(luò)的連通性。

3.1 首先查看當(dāng)前系統(tǒng)時(shí)間，方法如下：

S5800(config)#show clock //查看系統(tǒng)時(shí)間信息

System Running Time: 2 hours，23 minutes，44 seconds

顯示此時(shí)為13∶47∶11，即上班時(shí)間，此時(shí)測(cè)試PC1、PC2和PC3能否訪問(wèn)PC4，測(cè)試結(jié)果如圖5、圖6和圖7所示。

設(shè)置ACL訪問(wèn)規(guī)則后，在規(guī)定的上班時(shí)間8∶30—17∶30內(nèi)，研發(fā)部門和市場(chǎng)部門無(wú)法訪問(wèn)外部休閑娛樂(lè)服務(wù)器，而總裁辦公室可正常訪問(wèn)外部休閑娛樂(lè)服務(wù)器，達(dá)到了預(yù)期的目的。

3.2 使用clock set命令更改系統(tǒng)時(shí)間

S5800#clock set 18∶28∶33 12 7 2017 //更改系統(tǒng)時(shí)間信息

S5800#show clock //查看系統(tǒng)時(shí)間信息

System Running Time: 2 hours，39 minutes，57 seconds

此時(shí)系統(tǒng)時(shí)間已修改為非工作時(shí)間，測(cè)試PC1、PC2和PC3能否訪問(wèn)PC4，測(cè)試結(jié)果如圖8、圖9和圖10所示。

圖5 創(chuàng)建ACL列表后，PC1訪問(wèn)PC4結(jié)果

圖6 創(chuàng)建ACL列表后，PC2訪問(wèn)PC4結(jié)果

圖7 創(chuàng)建ACL列表后，PC3訪問(wèn)PC4結(jié)果

圖8 更改系統(tǒng)時(shí)間后，PC1訪問(wèn)PC4結(jié)果

圖9 更改系統(tǒng)時(shí)間后，PC2訪問(wèn)PC4結(jié)果

圖10 更改系統(tǒng)時(shí)間后，PC3訪問(wèn)PC4結(jié)果

由圖8、圖9和圖10可以看出，更改系統(tǒng)時(shí)間為非工作時(shí)間后，研發(fā)部、市場(chǎng)部和總裁辦公室均能正常訪問(wèn)外部休閑娛樂(lè)服務(wù)器，結(jié)果符合預(yù)期，此時(shí)因測(cè)試需要更改系統(tǒng)時(shí)間，正常使用時(shí)不允許無(wú)故更改系統(tǒng)時(shí)間。

4 結(jié)語(yǔ)

ACL規(guī)則可以控制特定設(shè)備訪問(wèn)、指定轉(zhuǎn)發(fā)特定端口數(shù)據(jù)包，防止破壞系統(tǒng)安全，獲取系統(tǒng)數(shù)據(jù)。在企業(yè)通信中，可以配置ACL防止企業(yè)員工上班時(shí)間訪問(wèn)休閑娛樂(lè)網(wǎng)站而影響工作效率，以及上班時(shí)間訪問(wèn)不安全網(wǎng)站引起內(nèi)部網(wǎng)絡(luò)安全問(wèn)題，從而達(dá)到訪問(wèn)控制的目的。測(cè)試結(jié)果表明，配置ACL規(guī)則可以有效控制訪問(wèn)者權(quán)限，保證網(wǎng)絡(luò)安全。