邢慧芬，車 輝

(1.巢湖學院 信息工程學院，安徽 合肥 238024；2.湖州市織里鎮(zhèn)公共事業(yè)服務中心，浙江 湖州 313008)

0 引 言

隨著網(wǎng)絡的快速發(fā)展，網(wǎng)絡安全事件頻繁發(fā)生，網(wǎng)絡安全和服務質量問題變得越來越突出，國家對網(wǎng)絡安全高度重視，于2017年6月國家網(wǎng)絡安全法實施頒布[1].由于企業(yè)員工網(wǎng)絡安全意識不高，在日常辦公時未對計算機進行安全設置，導致安全風險急劇上升；同時外部網(wǎng)絡環(huán)境也存在巨大的風險，比如假裝冒用、網(wǎng)絡竊聽、通信干擾、病毒威脅以及一些其他攻擊手段，對企業(yè)安全造成了巨大的威脅[2].

近年來，國內(nèi)的網(wǎng)絡安全方面的專家對網(wǎng)絡安全的訪問和控制進行了相關的研究[3]，結合不同的應用場景，主要從防病毒入侵、防DOS攻擊、訪問權限控制以及流量控制等方面進行研究，具體分類如圖1所示.其中文獻[4]針對校園網(wǎng)絡設備不斷增多、安全管理難度加大的現(xiàn)象，通過在幾種應用場景下實施ACL(Access Control Lists,訪問控制列表)技術，有效地保障了校園網(wǎng)絡的安全.文獻[5]針對校園網(wǎng)面臨的諸如病毒入侵、DOS(Denial of Service，拒絕服務)攻擊等網(wǎng)絡安全問題，對ACL在校園網(wǎng)安全建設中的實際應用進行了闡述，實現(xiàn)訪問控制列表ACL在校園網(wǎng)中的安全防護作用.文獻[6]針對小微企業(yè)對自身資料的機密性、可控性需求,從網(wǎng)絡架構、VLAN(Virtual Local Area Network，虛擬局域網(wǎng))劃分、ACL配置、MAC(Media Access Control，物理地址)地址綁定等方面加以分析，通過對小微企業(yè)網(wǎng)絡安全架構的構建,提升企業(yè)的網(wǎng)絡安全.文獻[7]列舉了訪問控制列表在校園網(wǎng)中幾個具體應用實例，通過設計的訪問控制列表達到了預期的流量控制要求,有效地提高了校園網(wǎng)的安全性.文獻[8]利用Packet Tracer和GNS3軟件設計兩種不同類型的網(wǎng)絡拓撲，通過設備配置，以及進一步應用訪問控制列表,實現(xiàn)內(nèi)外網(wǎng)隔離的目的，對大中型結構的園區(qū)網(wǎng)隔離具有一定的參考意義.文獻[9]詳細介紹了幾種訪問控制列表的過濾數(shù)據(jù)包規(guī)則及其配置命令，針對實驗設備上進行訪問控制列表研究與分析可操作性差問題，在Cisco Packet Tracer模擬器中設計實驗案例進行仿真,給出詳細的實驗設計、實現(xiàn)過程和實驗分析，有利于加深對訪問控制列表過濾規(guī)則的理解和配置實現(xiàn)命令的掌握.文獻[10]為了防止企業(yè)員工上班時間訪問休閑娛樂網(wǎng)站而影響工作效率，或者上班時間訪問不安全網(wǎng)站引起內(nèi)部網(wǎng)絡安全問題，利用ACL規(guī)則可以控制設備訪問、指定轉發(fā)特定端口數(shù)據(jù)包，有效控制訪問者權限，保證網(wǎng)絡安全.文獻[11]針對DRDoS(Distributed Reflection Denial of Service，分布反射式拒絕服務)攻擊，提出了一種基于URPF(Unicast Reverse Path Forwarding，單播反向路由查找技術)和精確ACL的DRDoS協(xié)同處置方法，實現(xiàn)全流程精確處置DRDoS攻擊.在安徽聯(lián)通骨干網(wǎng)大規(guī)模應用后，中心監(jiān)測數(shù)據(jù)證實骨干路由器已無反射攻擊流量出現(xiàn)，有效地阻止了DRDoS攻擊.文獻[12]針對浙江管理信息網(wǎng)雖然不接互聯(lián)網(wǎng),但有外聯(lián)單位，存在以外聯(lián)單位為跳板，利用系統(tǒng)內(nèi)部用戶之間的相互信任關系，攻入網(wǎng)絡內(nèi)部風險，借助于ACL技術,有效地控制了特定用戶對網(wǎng)絡交換機的訪問以及對常見病毒端口的過濾，從而最大限度地保障了網(wǎng)絡安全.文獻[13]研究并設計了一種針對網(wǎng)絡用戶入侵行為的智能化檢測模塊，共分為檢測階段、管控階段和顯示階段3個階段.第一檢測階段，使用長短期記憶人工神經(jīng)網(wǎng)絡(Long Short-Term Memory，LSTM)的算法解決入侵數(shù)據(jù)的檢測問題，相對于卷積神經(jīng)網(wǎng)絡(Convolutional Neural Network，CNN)在ACC值和F1值上得到了明顯的提升；第二管控階段，若第一階段后產(chǎn)生檢測結果表明網(wǎng)絡連接攜帶了潛在的入侵行為，應用華為訪問控制列表(ACL)技術，觸發(fā)Python腳本程序對設備下達最新配置命令進行管控，同時向設備管理人員發(fā)送電子郵件報警；第三顯示階段，將已經(jīng)成功攔截的網(wǎng)絡連接信息以列表的形式顯示在平臺上.文獻[14] 應用PBR(Policy Based Routing,策略路由)、ACL、浮動路由等技術對京平、京秦高速公路省界收費站網(wǎng)絡拓撲結構進行改造，使收費系統(tǒng)數(shù)據(jù)、ETC(Electronic Toll Collection，電子不停車收費系統(tǒng))門架系統(tǒng)數(shù)據(jù)按照指定路由在網(wǎng)絡中傳輸，在有限的資源下，實現(xiàn)了路段內(nèi)各個收費站網(wǎng)絡安全接入的基本技術要求.文獻[15]虛擬了一個中型企業(yè)網(wǎng)絡的模型，根據(jù)搭建的網(wǎng)絡拓撲，基于華為eNSP模擬器建立ACL相關規(guī)則過慮網(wǎng)絡流量，實現(xiàn)了該模型的網(wǎng)絡設計與安全服務，當網(wǎng)絡中的設備進行通信時，能使網(wǎng)絡數(shù)據(jù)傳輸?shù)陌踩玫娇煽勘Ｕ?

圖1 基于ACL的網(wǎng)絡安全訪問控制方法分類圖

從以上研究成果來看，眾多學者對基于ACL的網(wǎng)絡安全機制進行了廣泛的研究，但沒有充分考慮企業(yè)網(wǎng)內(nèi)部訪問安全和區(qū)域劃分及設備遠程控制，基于這些問題，本文在ACL的基礎上，基于Telnet協(xié)議、OSPF(Open Shortest Path First開放式最短路徑優(yōu)先)協(xié)議和MSTP(Multiple Spanning Tree Protocol，多生成樹協(xié)議)搭建網(wǎng)絡，并在華為eNSP模擬器進行仿真實驗，實現(xiàn)了中小企業(yè)的網(wǎng)絡安全訪問制.

1 相關技術

本文針對中小型企業(yè)面臨的網(wǎng)絡數(shù)據(jù)安全問題，利用OSPF協(xié)議進行企業(yè)網(wǎng)內(nèi)部區(qū)域的劃分，將Telnet技術和ACL技術相結合，通過IP地址的判斷，進行企業(yè)內(nèi)部路由器的權限的管理；利用MSTP和VRRP(Virtual Router Redundancy Protocol，虛擬路由冗余協(xié)議)技術增加冗余和帶寬，增強網(wǎng)絡的可靠性，從而實現(xiàn)對網(wǎng)絡交換機的訪問權限以及對常見病毒入侵和攻擊的過濾，保護整個企業(yè)網(wǎng)絡安全.

1.1 ACL基本原理

1.1.1 ACL組成

ACL(Access Control Lists,訪問控制列表)由一組規(guī)則組成，通過將數(shù)據(jù)包與ACL規(guī)則匹配，設備可以排除某些數(shù)據(jù)包[4].一條ACL的結構組成由圖1所示.

圖1 ACL的組成

1.1.2 ACL的匹配順序

ACL可以包含多個“deny | permit”語句.每個語句用來描述一個規(guī)則.這些規(guī)則可能重復或不一致.其中，允許和拒絕規(guī)則是不一致.如果規(guī)則之間存在重復或不一致，則報文匹配結果與ACL匹配順序密切相關[5].

設備支持兩種ACL匹配順序：config順序(配置模式)和auto順序(自動模式)，默認的ACL匹配順序為config模式[6].

(1)配置順序

配置順序，即系統(tǒng)根據(jù)ACL規(guī)則編號從小到大進行匹配.規(guī)則編號越小，匹配越容易.

如果在配置規(guī)則時指定了規(guī)則編號，則規(guī)則編號越小，規(guī)則插入越早，匹配規(guī)則就越快.

如果在配置規(guī)則時未指定規(guī)則編號，則系統(tǒng)會自動為該規(guī)則分配一個編號.該數(shù)字是大于當前ACL最大規(guī)則編號的最小整數(shù)，并且是步長的整數(shù)倍，因此該規(guī)則最后匹配.

(2)自動順序

自動排序是指系統(tǒng)使用“深度優(yōu)先”的原則，對從高精度到低精度的規(guī)則進行排序，并以高精度順序匹配數(shù)據(jù)包.規(guī)則中定義的匹配項越嚴格，則規(guī)則越準確.換句話說，優(yōu)先級越高，系統(tǒng)將匹配得越快.

1.1.3 ACL的匹配機制

ACL的匹配機制具體如下[7]：

首先，系統(tǒng)檢查是否在設備上設置了ACL.

(1)當ACL不存在，那么返回ACL匹配結果會顯示為：不匹配.

(2)如果存在ACL，請檢查設備是否配置了ACL規(guī)則.

①如果該規(guī)則不存在，則返回ACL匹配的結果，所示為：不匹配.

②如果該規(guī)則存在，系統(tǒng)將在ACL中搜索編號最小的規(guī)則.

③授權規(guī)則匹配，則搜索停止，返回ACL匹配結果，所示為：匹配(允許)；

④拒絕規(guī)則匹配，則搜索停止，返回ACL匹配結果，所示為：匹配(拒絕)；

⑤當未匹配上規(guī)則，將會繼續(xù)向下查找規(guī)則，以此循環(huán).如果直到查到最后一條規(guī)則，報文仍未匹配上，將會返回ACL匹配結果顯示為：不匹配.

⑥從整個ACL匹配過程中，我們可以看到，數(shù)據(jù)包與ACL規(guī)則匹配后，會產(chǎn)生兩個匹配結果，即“匹配”和“不匹配”.

(3)匹配(命中規(guī)則)：該ACL存在，并且在ACL中找到滿足匹配條件的規(guī)則.不管匹配動作是“允許”還是“拒絕”，它都被稱為“匹配”，并且匹配許可規(guī)則不被簡單地認為是“匹配”.

(4)缺少規(guī)則(未命中)：表示沒有ACL，ACL中沒有規(guī)則，或者遍歷了ACL中的所有規(guī)則，沒有找到滿足匹配條件的規(guī)則，以上三種情況稱為“不匹配”.

1.2 多生成樹協(xié)議

MSTP(Multiple Spanning Tree Protocol，多生成樹協(xié)議)是一種將STP和VLAN相結合而使用的新的協(xié)議，它允許在一個環(huán)境中運行多個生成樹的協(xié)議.MSTP協(xié)議區(qū)別與STP協(xié)議是可以將多個相同VLAN映射到同一實例.他解決了不同VLAN必須運用在同一棵生成樹的問題，同時還具有端口遷移快的優(yōu)點[3].

在MSTP協(xié)議中，通常把二層網(wǎng)絡規(guī)劃成若干個域，而每個域中，又將其中的VLAN劃分成若干組，每組VLAN具有相同的任務.MSTP技術可以增加冗余和帶寬，減少資源占有率，實現(xiàn)負載均衡.

1.3 Telnet技術

Telnet協(xié)議是TCP/IP協(xié)議中的應用層協(xié)議[3].Telnet的操作模式如下：服務器/客戶端.提供從一個Telnet客戶端遠程登錄到另一臺Telnet服務器的方法.需要在Telnet服務器和Telnet客戶端之間建立TCP連接到Telnet服務器的默認端口號是23.

VRP(華為網(wǎng)絡操作系統(tǒng))同時支持Telnet服務器功能和Telnet客戶端功能.VRP系統(tǒng)允許用戶首先登錄到特定設備，然后將該設備用作Telnet客戶端，以通過Telnet遠程登錄到網(wǎng)絡上的其他設備，從而進行網(wǎng)絡維護，如圖2所示.

圖2 Telnet二級連接

2 網(wǎng)絡三層架構

搭建企業(yè)網(wǎng)絡，保障網(wǎng)絡安全一般通過網(wǎng)絡三層架構進行配置.相對應的三層架構中所需的網(wǎng)絡設備配置是整個網(wǎng)絡中的核心.

2.1 網(wǎng)絡接入層設計

網(wǎng)絡中接入層一般是網(wǎng)絡中直接面向終端連接或者用戶訪問的部分.接入層實現(xiàn)了與終端連接，使其可以進行帶寬分配和業(yè)務通訊.標準ACL一般部署在目的設備近的地方，放在接入層.

接入層交換機是接入層中最常見的設備.接入層交換機一般是最簡單的二層網(wǎng)絡結構.可以直接面向用戶，使用尤其廣泛.在企業(yè)中一般作為部門內(nèi)部通信連接為主，即插即用又十分易于使用和維護.使用接入層交換機可以有效地處理內(nèi)部數(shù)據(jù)交換的需求.

2.2 網(wǎng)絡匯聚層設計

企業(yè)中匯聚層起到承上啟下的作用.可以為接入層的數(shù)據(jù)提供傳輸、分發(fā)、匯聚的作用.匯聚層通過劃分vlan來與網(wǎng)絡進行隔離，起到保護核心層免受網(wǎng)段問題的蔓延和影響.擴展ACL一般部署在源設備近的地方，放在匯聚層.

匯聚層交換機可以完成各種協(xié)議轉換，用來確保不同的協(xié)議區(qū)域在核心層運行.一般匯聚層交換機屬于三層交換機作用，可以完成網(wǎng)關和三層路由器的轉發(fā)功能.相對于接入層交換機，匯聚層具有更高的性能.

2.3 網(wǎng)絡核心層設計

在網(wǎng)絡中，數(shù)據(jù)轉發(fā)和路由表維護都是在核心層上完成的.核心層屬于網(wǎng)絡主干部分，保障整個網(wǎng)絡的性能.可以實現(xiàn)骨干網(wǎng)絡間的數(shù)據(jù)傳輸.

與網(wǎng)絡接入層和匯聚層相比，它具有更強的性能，更高的吞吐量，更高的帶寬.核心層的部署也是網(wǎng)絡架構的重點，著重考慮冗余性設計.

3 網(wǎng)絡拓撲搭建

針對當前企業(yè)面臨的安全問題，結合網(wǎng)絡三層架構，將ACL規(guī)則、MSTP、Telnet協(xié)議和OSPF協(xié)議相結合，搭建網(wǎng)絡拓撲結構，網(wǎng)絡拓撲結構如圖3所示，具體要求為：

圖3 企業(yè)中ACL功能的實現(xiàn)

研發(fā)部.與辦公室進行對接.組網(wǎng)搭建時需要構建與辦公室通信協(xié)議.研發(fā)部與辦公室搭建area2區(qū)域，完成數(shù)據(jù)通信，同時保護財務部與服務器信息安全，研發(fā)部無法與財務部通信并只能通過http服務器訪問內(nèi)部服務器.

財務部.與辦公室進行對接，組網(wǎng)搭建需要保證與辦公室的互通，構建area3保障數(shù)據(jù)的通信.為了保護內(nèi)部服務器信息安全，只能通過http服務器訪問，并不支持訪問外網(wǎng).

辦公室.作為企業(yè)核心部門，可以登錄管理企業(yè)路由器，保障內(nèi)網(wǎng)和外網(wǎng)數(shù)據(jù)的流通，可以管理財務部和研發(fā)部.并可以訪問企業(yè)內(nèi)部服務器，保障數(shù)據(jù)安全.

企業(yè)內(nèi)部路由器搭建area區(qū)域，通過OSPF協(xié)議來劃分，有效地實現(xiàn)鏈路狀態(tài).

3.1 OSPF區(qū)域劃分設計

將企業(yè)網(wǎng)絡劃分成4塊區(qū)域，每個區(qū)域內(nèi)通過OSPF協(xié)議完成數(shù)據(jù)互通的工作.通過劃分區(qū)域很容易規(guī)劃內(nèi)部網(wǎng)絡結構和確定網(wǎng)絡架構中的各個分層.

area0區(qū)域：將連接辦公室、研發(fā)部的路由器和連接財務部、內(nèi)部服務器的路由器建立area0區(qū)域.這是企業(yè)網(wǎng)絡組網(wǎng)中的核心部分.area0區(qū)域的路由器需要完成各項協(xié)議的轉換和數(shù)據(jù)傳輸?shù)墓ぷ?，構建基本ACL可以對源地址進行包過濾.

area1區(qū)域：將連接外部網(wǎng)絡的路由器和外網(wǎng)建立為area1區(qū)域.這是企業(yè)內(nèi)部與外部通信需要經(jīng)過的路由器，在area1區(qū)域構建高級ACL可以對源地址和目的地址進行安全防護.

area2和area3區(qū)域：是將企業(yè)內(nèi)部門間進行區(qū)域劃分，有利于部門內(nèi)部和部門間的數(shù)據(jù)通信.不僅可以在區(qū)域內(nèi)部完成數(shù)據(jù)交互，也能跨區(qū)域完成數(shù)據(jù)交互.

3.2 Telnet遠程登錄設計

辦公室作為企業(yè)內(nèi)部的核心部門，需要對企業(yè)網(wǎng)絡安全進行日常維護工作和問題發(fā)生及時響應.在辦公室設置Telnent技術可以對企業(yè)內(nèi)路由器進行管理和維護.使整個網(wǎng)絡規(guī)劃設計完整運行.同時將Telnet技術和ACL技術相結合，有權限的IP地址可以通過Telnet遠程登陸，保證企業(yè)內(nèi)網(wǎng)安全.

使用Telnet技術完成對企業(yè)內(nèi)部R1、R2、R3的遠程登錄操作.從而完成日常維護的工作.通過設置密碼的方式，保障遠程登錄的安全，防止權限不夠的部門惡意進入路由器，破壞企業(yè)內(nèi)部數(shù)據(jù)傳輸安全.

3.3 二層交換機設計

研發(fā)部和財務部在企業(yè)中需要經(jīng)常進行數(shù)據(jù)交換，必須保證區(qū)域線路通暢.為了保障數(shù)據(jù)傳輸?shù)姆€(wěn)定性和連續(xù)性，在研發(fā)部和財務部的area3區(qū)域添加二層交換機.并且采用MSTP+VRRP架構增加冗余和帶寬.從而減少資源占有率，實現(xiàn)負載均衡.多線路模式也解決了單線路模式下，一旦線路故障，數(shù)據(jù)無法傳輸?shù)膯栴}.

4 仿真實現(xiàn)過程

首先根據(jù)需求進行設備類型選型，然后根據(jù)拓撲結構和要求利用華為eNSP模擬器模擬真實的實驗網(wǎng)絡環(huán)境，最后對網(wǎng)絡通信權限和網(wǎng)絡攻擊進行驗證，看構建的網(wǎng)絡能否防御攻擊，具體仿真實現(xiàn)步驟如下.

4.1 網(wǎng)絡設備的選型

在設備選型上需考慮到使用華為相關的網(wǎng)絡設備，通過對本次網(wǎng)絡設計的分析，構建組網(wǎng)需要用到的設備需要滿足接入層、匯聚層、核心層的要求.

接入層：接入層作為直接連接終端，服務用戶的部分.使用接入層交換機可以有效地進行工作.華為S3700系列企業(yè)交換機針對企業(yè)用戶可以接入多種應用場景，支持靜態(tài)路由、vlan集中管理等優(yōu)點，配備下行24個(擴容到48)個百兆端口，上行4個千兆端口.在接入層可以起到多主機設備接入的優(yōu)勢.

匯聚層：匯聚層需要實現(xiàn)多種協(xié)議，并在接入層和核心層之間做到承上啟下的工作.在匯聚層交換機的選取上采用華為S5700系列企業(yè)交換機.相比于接入層交換機，匯聚層交換機應該具有萬兆上行接口，高密度千兆端口滿足企業(yè)網(wǎng)絡匯聚層的工作.用來完成更多協(xié)議的轉換.并且在數(shù)據(jù)傳輸中具有處理帶寬更高的能力.

核心層.核心層作為整個網(wǎng)絡規(guī)劃的重點，在設備的選型上尤為重要.在核心層使用華為AR2200系列企業(yè)路由器.而路由器的性能更強、吞吐量更高、實現(xiàn)高可靠性，可以完成核心層的工作需求.

網(wǎng)絡設備選型及數(shù)量如表1所示.

表1 設備選型及數(shù)量

本節(jié)通過對企業(yè)內(nèi)部網(wǎng)絡安全進行需求分析，完成企業(yè)內(nèi)部網(wǎng)絡拓撲三層架構的設計，之后對組網(wǎng)每一個環(huán)節(jié)進行詳細的設計和說明，最終完成網(wǎng)絡規(guī)劃設計和相關網(wǎng)絡設備的選型.

4.2 組網(wǎng)配置

結合網(wǎng)絡規(guī)劃的前期分析和網(wǎng)絡拓撲圖的搭建，相應地將ACL規(guī)則和OSPF協(xié)議相結合，按照對應要求完成網(wǎng)絡安全訪問控制策略的實現(xiàn).整體組網(wǎng)搭建要求和網(wǎng)絡配置構建工作為：

(1)企業(yè)內(nèi)部網(wǎng)絡運行內(nèi)部網(wǎng)關協(xié)議(OSPF)；

(2)R1、R2、R3只允許被辦公室訪問并管理；

(3)辦公室和研發(fā)部可以訪問外網(wǎng)，財務部不能訪問外網(wǎng)；

(4)財務部和研發(fā)部只能訪問服務器的http服務；

(5)area0 采用區(qū)域認證；

(6)area3采用MSTP+VRRP架構增加冗余和帶寬.

先對部門內(nèi)部的IP地址和網(wǎng)關配置，之后對企業(yè)內(nèi)部網(wǎng)絡設備按照需求進行配置，完成組網(wǎng)和功能實現(xiàn)工作.下面給出主要配置過程.

4.2.1 部門和內(nèi)部服務器的IP地址和網(wǎng)關的配置

先針對企業(yè)內(nèi)部各部門的IP地址，子網(wǎng)掩碼和網(wǎng)關進行配置.保障部門內(nèi)部的IP地址劃分正確和內(nèi)部網(wǎng)絡連接正常.

辦公室配置IP地址分別為：192.168.10.0/24，網(wǎng)關為：192.168.10.1；

服務器配置IP地址分別為：192.168.20.0/24，網(wǎng)關為：192.168.20.254；

研發(fā)部配置IP地址分別為：192.168.30.0/24，網(wǎng)關為：192.168.30.254；

財務器配置IP地址分別為：192.168.40.0/24，網(wǎng)關為：192.168.40.254.

4.2.2 配置各區(qū)域OSPF協(xié)議

[R1]ospf 1\創(chuàng)建OSPF

[R1-ospf-1]area 0.0.0.0\創(chuàng)建area區(qū)域

[R1-ospf-1-area-0.0.0.0]authentication-mode md5 1 cipher\配置OSPF區(qū)域認證

[R1-ospf-1-area-0.0.0.0]area 0.0.0.1\創(chuàng)建另一個area區(qū)域

[R1-ospf-1-area-0.0.0.0]ospf enable 1 area 0.0.0.0 \配置OSPF協(xié)議

[R1-ospf-1-area-0.0.0.0]traffic-filter outbound acl 1000

……

4.2.3 配置ACL實現(xiàn)組網(wǎng)需求

[R2]ospf\創(chuàng)建OSPF

[R2-ospf-1]area 0.0.0.1\創(chuàng)建area區(qū)域

[R2-ospf-1-area-0.0.0.1]user-interface con 0\配置Console口登錄認證功能

[R2-ui-console0] authentication-mode password\在vty下用passrod設置密碼

[R2-ui-console0]acl 2000 inbound\acl 2000 作用在接口進入方向

[R2-ui-console0] authentication-modeaaa\創(chuàng)建本地用戶并啟用AAA驗證

[R2-ui-console0]user-interfacevty 16 20\代表允許5個用戶登錄

[R2-ui-console0]acl 2001 inbound

……

4.2.4 配置多生成樹協(xié)議

[SW1]stp region-configuration\進入MST域視圖

[SW1-mst-region] region-name chxy\名稱設置為chxy

[SW1-mst-region] revision-level 15\級別設置為15

[SW1-mst-region] instance 1 vlan 10\ instance1包括vlan10

[SW1-mst-region] instance 2 vlan 20\ instance2包括vlan20

[SW1-mst-region] active region-configuration\激活以上配置

[SW1-mst-region] local-user chxy privilege level 15

[SW1-mst-region] local-user chxy service-type telnet \配置Telnet協(xié)議

……

4.3 網(wǎng)絡通信驗證

(1)配置完成后，財務部和研發(fā)部可以通過HttpClient訪問內(nèi)部服務器，通過訪問http://192.168.40.1的地址訪問服務器文件，驗證結果如圖4所示.

圖4 財務部通過http訪問內(nèi)部服務器

(2)研發(fā)部，辦公室用于企業(yè)內(nèi)部與外部通訊正常，可以ping通外部網(wǎng)絡，正常訪問外網(wǎng).外網(wǎng)訪問財務部被ACL包過濾出去，保護數(shù)據(jù)安全.同時財務部防止網(wǎng)絡攻擊，數(shù)據(jù)傳輸做到只出不進.

(3)辦公室可以和研發(fā)部、財務部、內(nèi)部服務器通信，并且可以通過telnet協(xié)議遠程直接登錄企業(yè)路由進行管理控制，驗證如圖5所示.

圖5 辦公室遠程登錄R2路由器

(4)area3區(qū)域配置MSTP協(xié)議之后，可以保證研發(fā)部和財務部訪問外網(wǎng)時可以自動切換線路，保證通訊正常.解決單線路冗余，堵塞，中斷等問題的發(fā)生.

4.4 ACL的配置問題及解決方案

4.4.1 查看ACL的生效順序

在任意視圖下執(zhí)行命令display acl …或者在ACL視圖下執(zhí)行命令display this，可以查看ACL規(guī)則的生效順序：

ACL在config模式下：編號越小規(guī)則越優(yōu)先；

ACL在auto模式下：編號越小規(guī)則越優(yōu)先；

ACL6在config模式下：編號越小規(guī)則越優(yōu)先；

ACL6在auto模式下：排名最高的規(guī)則先生效，規(guī)則以數(shù)字的升序排列.

4.4.2 流策略中應用的ACL不支持哪些報文進行過濾

流策略中應用的ACL不支持過濾發(fā)送給CPU進行處理的協(xié)議報文.

VRRP使用的協(xié)議數(shù)據(jù)包是目的IP地址為224.0.0.18的組播數(shù)據(jù)包.數(shù)據(jù)包到達設備后，將被發(fā)送到CPU進行處理.因此，未啟用流策略ACL.對于此數(shù)據(jù)包，成員路由器仍可以協(xié)商主備關系；

DHCP客戶端與服務器交換DHCP消息以獲得有效的動態(tài)IP地址.流策略ACL未被啟用，因為消息在到達設備時即被發(fā)送到CPU進行處理.消息和設備無法阻止一個接口下的用戶將通過DHCP自動獲得IP地址；

用戶主機對設備執(zhí)行ping操作時，ICMP數(shù)據(jù)包到達設備后會被發(fā)送到CPU進行處理，因此未為該數(shù)據(jù)包啟用流策略ACL，并且用戶主機將設備發(fā)送到設備且不能阻止執(zhí)行ping操作.

通過將ACL應用于本地攻擊防護黑名單，可以過濾發(fā)送到CPU進行處理的協(xié)議數(shù)據(jù)包.

(1)在系統(tǒng)視圖下，執(zhí)行命令，可以進入攻擊防范策略視圖；

(2)執(zhí)行命令可以創(chuàng)建黑名單；

(3)執(zhí)行命令應用防攻擊策略.

本節(jié)通過規(guī)劃網(wǎng)絡拓撲圖，在華為eNSP上進行網(wǎng)絡實驗，通過vlan間通訊、單臂路由、ACL策略配置，使R1路由器無法ftp遠程服務器.ACL設計和實現(xiàn)順利進行，為以后網(wǎng)絡的完善和規(guī)劃鞏固基礎.

5 小 結

本文通過對中小型企業(yè)面臨的網(wǎng)絡數(shù)據(jù)安全問題，首先利用OSPF協(xié)議對企業(yè)園區(qū)進行區(qū)域劃分，在網(wǎng)絡中心辦公室可以利用Telnet協(xié)議遠程管理和控制路由器的配置工作，在其他辦公區(qū)域利用MSTP和VRRP技術增加冗余和帶寬，增強網(wǎng)絡的健壯性，最后在網(wǎng)絡的核心層配置ACL，實現(xiàn)企業(yè)網(wǎng)絡的安全訪問控制.在后期的設計上，可以結合機器學習和深度學習，設計針對網(wǎng)絡用戶入侵行為的智能化檢測方案，以支持企業(yè)數(shù)字化和智能化的發(fā)展.