邓鸿

（甘肃电器科学研究院，甘肃 天水 741000）

1 三层网络交换机ACL技术的概念及特点

1.1 H3C三层网络交换机ACL研究背景

采用H3C三层网络交换机访问控制列表（ACL）技术,对网络核心层进行升级,采用两台H3C品牌型号为S7508E-X核心交换机组成高可靠虚双机级联，网络结构简单，网络连接科学合理，极大提高了网络的安全与稳定性。网络核心层交换机承担着信息化系统中重要的处理解析任务，甘肃电器科学研究院于2014年进行了全面的网络改造升级，通过此次升级改造，实现了内外网络的完全隔离，消除设备运行的风险，提升了网络整体运行性能，保证了企业资源管理（SAP）、产品数据管理（PDM）、制造执行系统（MES）等重要服务器的安全性，也一定程度上提高网络整体的稳定性，有效保证了生产经营的顺利进行。

1.2 H3C三层网络交换机ACL研究意义

网络安全防护、解决网络故障是一项复杂而艰巨的工作，针对单位内外网隔离以及复杂多变的网络情况，不同用户在工作中对网络的使用分配情况不同，不同服务器之间的访问需求又有区别；外网服务器与内网服务器之间需要相互访问，那么在外网服务器与内网服务器访问时，外网服务器在互联网上运行时存在着较大的风险的，容易受到病毒，如木马程序的攻击等会造成数据的泄露，服务器崩溃等情况。外网服务器如果受到外部的攻击，内网主要业务服务器则极有可能受到病毒的感染攻击，进而使整个网络都会面临病毒的攻击。网络运行风险极高，一旦发生意外，将造成严重的后果，一系列生产业务将停滞，影响面广[1-2]。熟悉掌握交换机等网络设备的使用以及配置过程在网络建设中有着重大意义。

1.3 主要研究内容

运行ACL策略手段有效地管理网络运行，并保证各VLAN之间的互相访问。侧重于研究ACL策略组的配置过程，配置完成后所到达的效果以及目的。它可以隔离内网与外网的相互通信，保证内网环境的数据安全，有效隔离外网病毒、木马等有害程序对内网的侵入，并保证内网当VLAN受到外部攻击的同时，确保其他VLAN的安全性，给系统管理员清除病毒攻击程序赢得时间[3]。本单位网络环境分为内外网，服务器数量较多，其中包括SAP服务器、PDM、文件服务器、域控制器、Web服务器、MES系统、BPM系统等。一旦病毒侵入内网中，将对单位的网络系统构成重大危害，所以有效地利用此项技术，对保证本单位网络环境的稳定运行至关重要。

1.4 主要研究方法

本单位的网络运行情况分为内网和外网2种工作模式，内网需要与外界网络完全隔离，避免重要数据的泄露与网络的安全，主要运行于产品研发、产品生产等部门，主要运行的服务器有SAP服务器、PDM服务器、域服务器、杀毒服务器、Web服务器等。外部网络需要连接互联网运行，主要运行于BPM服务器采购、销售部门等。而SAP与BPM服务器需要在内网与外网环境内同时运行，所有需要与内网与外网互相通信，那么合理地运用ACL访问控制策略，就能有效地解决两个网络之间并行的问题，并且保证服务器与网络之间的稳定运行，节省网络运行成本。通过对单位核心交换机中进行配置相关的ACL策略，让核心交换访问控制策略配合网络防火墙、上网行为管理等网络安全设备，有效预防网络安全事故的发生，控制病毒在局域网内的扩散，在实际的工作中有着深远的意义。

2 网络结构组成及特殊性分析

2.1 网络结构组成

本单位目前网络结构较为复杂，其中包括基地、园区2个部分的网络组成。基地的网络情况为原始老网络，网络结构较为单一，网络中主要运行的服务器包括ERP服务器、文件服务器、销售管理系统等。经过多年的运行，老网络环境出现了较多的问题，局域网运行速度缓慢，由于结构复杂多变，进行大规模的网络改造所需费用较大，失去了改造价值，所以本单位于天水市产业园区电工基地内厂区进行了新网络的建设。基地与园区网络通过电信提供的专线实现了两地网络的互通。主体网络现在位于园区，2014年进行了主体机房的搬迁工作。本单位网络的复杂性主要是分为内外网2个部分，由于单位设计部门有严格的保密要求，所以设计部门的网络是与外界网络完全隔离的，因此为内部网络的建设包括AD 域服务器搭建、Web网站服务器、PDM系统（数据图纸管理系统）、SAP系统、赛门铁克（Symantec)杀毒系统、MES 系统、WMS 系统、BPM系统等。这些系统在实际的应用中主要是针对内网用户的，那么单位内外网用户在收发邮件、办理各种业务时就必须与外界通信，就会造成对内网信息安全的影响，通过对H3C交换机进行ACL策略组网络配置后，就能实现内外网的安全隔离，有效地解决原始网络通过两台核心交换机、两台路由器才能实现的问题。

2.2 单位采用的H3C交换机型号

核心层：H3C S7508E-X

汇聚层：H3C S5500-EI、H3C S5500、防火墙F100-M-G、网络7层防火墙AF-1820

接入层：H3C S5120-EI、H3C S5120-LI、深信服AF-1820、深信服VPN-2050-L、无线AP WA2610i-GN。

网络结构拓扑示意图（如图1所示）。

图1 单位网络结构拓扑图

设备接口连接表见表1。

表1 网络设备接口连接表

2.3 VLAN组成

核心交换机S7508E-X,Telnet 登录地址：10.212.200.98,所有VLAN是由核心交换进行划分，用于隔离各个部门之间的访问控制，实现网络的安全性，如果局域网内其中一台客户端被病毒感染，那么这台电脑所携带的网络病毒只可能传播到这台客户端所在的VLAN 区域，其他VLAN的计算机不会受到任何的影响（设备间连接如表1所示），这样就确保了服务器的安全，也确定了病毒发生的区域，可以及时彻底杀除病毒。VLAN划分情况主要如下：

外网VLAN 为vlan113--vlan114,外网实现网络之间可以共享文件、打印机等。

注：其中10.212.0.0代表了内网用户的所有VLAN,10.100.0.0代表的外网用户所在的VLAN,其中内外网用户是完全隔离的。

2.4 核心交换机实现的功能以及ACL策略组安全防护策略在实际中的应用

采用1H3C核心交换机S7508E-X，实现了单位内外网的完全隔离，使网络速度从原来的百兆网络升级到千兆网络，客户端访问服务器速度更快更稳定。通过对VLAN的合理应用，有效地控制了网络病毒的发生和传播，保障了网络的安全稳定运行。ACL策略组访问数据控制列表（Access Control Lists）是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL策略组适用于所有的被路由协议，如IP、IPX、AppleTalk等[4]。信息点间通信和内外网络的通信都是单位网络中必不可少的业务需求，为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。简而言之，ACL策略组可以过滤网络中的流量，是控制访问的一种网络技术手段[5]。由于单位网络情况的特殊化；内网服务器与外网服务器支架需要同步传输数据，但是SAP服务也需要稳定的网络安全环境，如何使两者之间能够既能保证安全方面的问题，又能保证2个系统之间的正常通信，这就是目前我们急需要解决的问题。所以在进行了多方面的调研后采用了使用ACL管理策略解决这一问题。配置ACL策略组后，可以限制网络流量，允许特定设备访问，指定转发特定端口数据包等。如可以配置ACL策略组,禁止局域网内的设备访问外部公共网络，或者只能使用FTP服务。ACL策略组既可以在路由器上配置，也可以在具有ACL策略组功能的业务软件上进行配置。ACL策略组是物联网中保障系统安全性的重要技术，在设备硬件层安全基础上，在软件层面对设备间的通信进行访问控制，使用可编程方法指定访问规则，防止非法设备破坏系统安全，非法获取系统数据。

3 ACL策略编写命令

策略ACL3001编写如下，主要功能是实现各个网段之间的隔离，控制计算机病毒的传播。

Rule 1 deny ip source 10.212.203.0 0.0.0.255 destination 10.212.204.0 0.0.0.255

策略ACL3002编写如下，主要功能是实现内外网的隔离，保证公司设计部门数据的安全性，防止病毒攻击。

策略ACL3003编写如下，主要功能应用在BPM系统中，保证BPM系统与SAP系统的正常通信，同时与外网用户通信，让外网用户可以正常访问到BPM系统。

以上是部分ACL策略组的内容，其中ACL3001 VLAN之间不能互相通信的功能。ACL3002实现了内外网的完全隔离，ACL3003则实现了BPM系统在实际应用中的特殊性要求，其中BPM系统（外网运行的销售系统服务器）既要与内网内的SAP系统（内网ERP管理服务器）、PDM（数据图纸管理系统）实现通信，与SAP系统实展数据同步，又存在特殊性，就是需要与外网用户通信以及在内网中进行使用。那么ACL策略就很好地实现了这一需求，使得业务数据仓库（BDW）系统与SAP实现了数数同止，又与全国各地的销售分部实现了通信。

4 启示与建议

通过以上的介绍，可以看出H3C交换机ALC策略组的实施应用在单位网络建设中发挥着不可或缺的作用。熟练掌握各项交换功能的配置及其应用，可以实现复杂的网络需求，有效利用网络资源，减少受到网络攻击风险，防止木马病毒入侵。当局域网受到外部病毒等恶意程序攻击时，为网络管理员解决问题争取时间，并且随着以后网络规模的扩大，熟练掌握配置方法是有效利用网络资源，提高客户端访问服务器的速度，加强网络环境安全，ACL策略组网络技术在网络安全方面发挥了一定的作用，也满足于提升企业信息发展方面的需求，在推进单位信息化建设及网络信息安全有着重要的意义。

通过对ACL策略组的应用，使单位的网络运行得到了很好保障。在今后的工作中，需要对单位网络中存在的突出问题进一步分析，对ACL策略组的应用进一步完善，对多设备的运行情况做好备份。目前，单位的ACL策略组使用过程中还存在一定的问题，由于策略组设置较多，网络在访问中需经过交换机对数据流反复进行处理，这样对网络运行速度就造成了一定的影响。下一步，将在这些方面进行深入研究，尽可能地减少网络负载，优化网络结构。