NP10园区网安全技术1

NP_10园区网安全技术2024/3/13NP10园区网安全技术[1]教学目标了解常见的网络安全隐患及常用防范技术；熟悉交换机端口安全功能及配置掌握基于IP的标准、扩展ACL技术进行网络安全访问控制。NP10园区网安全技术[1]本章内容网络安全隐患交换机端口安全IP访问控制列表NP10园区网安全技术[1]课程议题网络安全隐患NP10园区网安全技术[1]常见的网络攻击网络攻击手段多种多样，以下是最常见的几种NP10园区网安全技术[1]攻击不可避免网络攻击原理日趋复杂，但攻击却变得越来越简单易操作NP10园区网安全技术[1]额外的不安全因素

DMZE-Mail

FileTransferHTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继外部个体外部/组织内部个体内部/组织NP10园区网安全技术[1]现有网络安全体制现有网络安全防御体制IDS/IPS68%杀毒软件99%防火墙98%ACL71%NP10园区网安全技术[1]现有网络安全体制VPN虚拟专用网防火墙包过滤防病毒入侵检测NP10园区网安全技术[1]园区网的常见安全隐患网络安全的隐患是指计算机或其他通信设备利用网络进行交互时可能会受到的窃听、攻击或破坏，它是指具有侵犯系统安全或危害系统资源的潜在的环境、条件或事件。园区网络安全隐患包括：意外事故、人为行为（如使用不当、安全意识差等）、黑客行为、内部泄密、外部泄密、信息丢失、电子监听（信息流量分析、信息窃取等）和信息战等。非人为或自然力造成的硬件故障、电源故障、软件错误、火灾、水灾、风暴和工业事故等。人为但属于操作人员无意的失误造成的数据丢失或损坏。来自园区网外部和内部人员的恶意攻击和破坏。NP10园区网安全技术[1]园区网安全解决方案的整体思路将关键设备放在物理上安全的空间里制定一个完善的安全机制制定一个严格的安全策略可以通过交换机端口安全、配置访问控制列表ACL、在防火墙实现包过滤等技术来实现一套可行的园区网安全解决方案。宣传教育NP10园区网安全技术[1]课程议题园区网常见攻击NP10园区网安全技术[1]网络攻击对各网络层次的影响NP10园区网安全技术[1]二层交换机工作原理MAC

地址表0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444ABCDF0/1F0/3F0/2F0/4F0/1:0260.8c01.1111F0/2:

0260.8c01.2222F0/3:0260.8c01.3333F0/4:0260.8c01.4444未知单播帧，广播帧：执行广播操作FloodingNP10园区网安全技术[1]二层攻击和防范网络攻击对二层交换机产生的严重影响有：MAC攻击；DHCP攻击；ARP攻击；IP/MAC欺骗攻击；STP攻击NP10园区网安全技术[1]三层攻击和防范网络攻击对三层交换机产生的严重影响有：MAC攻击；DHCP攻击；ARP攻击；IP/MAC欺骗攻击；DoS/DDoS攻击；IP扫描攻击；NP10园区网安全技术[1]MAC攻击MAC地址：链路层唯一标识00.d0.f8.00.07.3cFF.FF.FF.FF.FF.FF前3个字节：IEEE分配给网络设备厂商后3个字节：

网络设备厂商自行分配，不重复，生产时写入设备广播MAC地址接入交换机MAC地址表：空间有限MAC PORTA 1B 2C 3NP10园区网安全技术[1]MAC攻击PCA

MACAPCB

MACBPCC

MACCMAC攻击：

每秒发送成千上

万个随机源MAC

报文交换机MAC地址表

很快被不存在的地址

占满，没有空间学习

合法的MACB和C流量：C－>B流量：C－>B流量：C－>B单播流量在交换机内部以广播方式在所有端口转发，非法者也能够接收这些报文NP10园区网安全技术[1]MAC攻击交换机内部的MAC地址表空间是有限的，MAC攻击会很快占满交换机内部的MAC地址表；使得单播包在交换机内部变得像广播包一样向同一VLAN的所有端口转发；每个连接在交换机端口的客户端都会收到该数据包，交换机变成了一个HUB，用户的信息传输也没有了安全保障。NP10园区网安全技术[1]DHCP攻击DHCP协议PCClientDHCPServer有DHCP服务器吗？DHCPDiscover（广播）DHCPOffer（单播）我是DHCP服务器DHCPRequest（广播）DHCPACK（单播）我需要你说的IP地址你可以使用这个IPDHCP协议相关标准请查阅RFC2131NP10园区网安全技术[1]DHCP攻击DHCP的弱点DHCP无验证机制DHCP攻击攻击者伪装DHCP服务器为网络分配地址攻击者可以发动一个DHCPDoS攻击NP10园区网安全技术[1]DHCP攻击恶意用户通过更换MAC地址方式向DHCPServer发送大量的DHCP请求，以消耗DHCPServer的可分配IP地址资源为目的；使得合法用户的IP地址请求无法实现。PCClientDHCPServerDHCP攻击之一：恶意DHCP请求攻击者不断变化MAC地址IPPool被耗尽NP10园区网安全技术[1]DHCP攻击非法DHCPServer，为合法用户的IP请求分配不正确的IP地址、网关、DNS等错误信息；不仅导致合法用户的正常通信受到影响；还可能导致合法用户的信息被发往非法DHCPServer，严重影响用户的信息安全。DHCP攻击之二：伪装DHCPServerClient发出的DHCP请求报文非法的DHCP响应报文Client访问某个PC的报文PCClientDHCPServer攻击者伪装成DHCPServerNP10园区网安全技术[1]ARP攻击ARP的作用将IP地址映射到MAC地址NP10园区网安全技术[1]ARP攻击ARP的弱点ARP无验证机制，请求者不能判断收到的ARP应答是否合法ARP攻击之一：ARP欺骗UnicastARPReply：

MAC=0000-0000-000FNP10园区网安全技术[1]ARP攻击ARP中间人攻击攻击者不但伪造网关，而且进行数据重定向ARP攻击之二：ARP中间人UnicastARPReply：

MAC=0003-0003-0003UnicastARPReply：

MAC=0003-0003-0003NP10园区网安全技术[1]ARP攻击ARP流量攻击利用攻击软件，发送大量ARP请求和响应，报文中的IP地址和MAC均为伪造，随机填入。ARP攻击之三：ARP流量攻击NP10园区网安全技术[1]IP/MAC欺骗攻击MAC欺骗/IP欺骗盗用合法用户的MAC地址和IP地址，侵入网络，使得正常用户无法上网

00-02-00-02-00-02Router/GatewayAttacker

00-02-00-02-00-02地址冲突MAC地址表不稳定NP10园区网安全技术[1]IP/MAC欺骗攻击SYNFlood不断修改IP地址，发送TCPSYN连接，攻击服务器AttackerServerTCPSYNSYN/ACK下一个SYN下一个SYN下一个SYN下一个SYN客户端无确认包，服务器处于半连接状态，很快TCP缓存资源被耗尽NP10园区网安全技术[1]STP攻击STP攻击发送虚假BPDU，扰乱网络拓扑和链路架构，充当网络根节点，获取信息防范使用交换机具备的BPDUGuard功能，可以禁止网络中直接接用户的端口或接入交换机的下连端口收到BPDU，从而防止用户发送非法BPDU；对于接入交换机，如果没有冗余链路，尽量不要开启生成树协议。NP10园区网安全技术[1]DoS/DDoS攻击DoS/DDoS（拒绝服务攻击/分布式拒绝服务攻击）指故意攻击网络协议的缺陷或者直接通过野蛮手段耗尽攻击目标的资源，目的是让目标计算机或网络无法提供正常的服务，甚至系统崩溃。SYNFlood：当前最流行的DoS与DDoS攻击方式，利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽。SYN-Telnet：向被攻击者发送大量的TCP＝23的数据包（持续线速）ICMPFlood：传统的DDoS攻击方式，利用大量64KB的ICMPecho报文阻塞对方网络。NP10园区网安全技术[1]DoS/DDoS攻击被DDoS攻击时的现象被攻击主机有大量等待的TCP连接网络中充斥大量无用的数据包，源地址伪造制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常客户端请求严重时会导致服务挂起，甚至系统宕机网络严重瘫痪NP10园区网安全技术[1]课程议题交换机端口安全NP10园区网安全技术[1]交换机端口安全概述交换机的端口安全交换机二层端口上的安全特性只允许特定MAC地址的设备接入到网络中，从而防止用户将非法或未授权的设备接入网络限制端口接入的设备数量，防止用户将过多的设备接入到网络中配置端口安全存在以下限制：安全端口必须是Access端口，而非Trunk端口安全端口不能是聚合端口（AggregatePort）安全端口不能是镜像（SPAN）的目的端口。NP10园区网安全技术[1]交换机端口安全概述利用交换机的端口安全功能实现防止局域网大部分的内部攻击对用户、网络设备造成的破坏，如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。交换机端口安全的基本功能限制交换机端口的最大连接数端口的安全地址绑定NP10园区网安全技术[1]交换机端口安全概述如果用户操作超出端口安全允许的操作范围，这种现象称之为违例。当违例产生时，有下面3种违例的处理模式：Protect：安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的包；Restrict：交换机不但丢弃接收到的帧（MAC地址不在安全地址表中），而且将发送一个SNMPTrap报文，给网络管理系统；Shutdown：交换机将丢弃接收到的帧（MAC地址不在安全地址表中），发送一个SNMPTrap报文，而且将端口关闭。NP10园区网安全技术[1]端口安全的配置打开接口的端口安全功能设置接口上安全地址的最大个数配置处理违例的方式Switch(conifg-if)#switchportport-securitySwitch(conifg-if)#switchportport-securitymaximum

numberSwitch(conifg-if)#switchportport-securityviolation{protect|restrict|

shutdown}NP10园区网安全技术[1]配置安全端口上的安全地址配置安全端口上的安全地址当端口由于违规操作而进入“err-disabled”状态后，必须在全局模式下使用如上命令手工将其恢复为UP状态使用err-disabled命令后所有的违例端口都会被恢复设置端口从“err-disabled”状态自动恢复所等待的时间Switch(conifg-if)#switchportport-security

mac-address

mac-address[ip-address

ip-address]Switch(conifg)#errdisablerecoverySwitch(conifg)#errdisablerecoveryintervaltimeNP10园区网安全技术[1]配置端口安全配置安全地址的老化时间，时间过后地址更新关闭一个接口的安全地址老化功能（老化时间为0）使老化时间仅应用于动态学习到的安全地址Switch(conifg-if)#switchportport-securityaging{static|time

time}Switch(conifg-if)#noswitchportport-securityagingtimeSwitch(conifg-if)#noswitchportport-securityagingstaticNP10园区网安全技术[1]查看端口安全信息显示所有接口的安全设置状态、违例处理等信息来查看安全地址信息，显示安全地址及老化时间显示所有安全端口的统计信息，包括最大安全地址数，当前安全地址数以及违例处理方式等Switch#showport-securityinterface[interface-id]Switch#showport-securityaddress Switch#showport-security NP10园区网安全技术[1]案例（一）下面的例子是配置接口gigabitethernet1/3上的端口安全功能，设置最大地址个数为8，设置违例方式为protectSwitch#configureterminalSwitch(config)#interfacegigabitethernet1/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymaximum8Switch(config-if)#switchportport-securityviolationprotectSwitch(config-if)#endNP10园区网安全技术[1]案例（二）下面的例子是配置接口fastethernet0/3上的端口安全功能，配置端口绑定地址，主机MAC为00d0.f800.073c，IP为02Switch#configureterminalSwitch(config)#interfacefastethernet0/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymac-address00d0.f800.073cip-address02Switch(config-if)#endNP10园区网安全技术[1]查看配置信息Switch#showport-securityaddress

VlanMacAddressIPAddressTypePortRemainingAge(mins)----------------------------------------------------------------------------------------1 00d0.f800.073c02ConfiguredGi1/381 00d0.f800.3cc9ConfiguredGi1/17

Switch#showport-security

SecurePortMaxSecureAddr(count)CurrentAddr(count)SecurityAction----------------------------------------------------------------------------------------Gi1/1 128 1 RestrictGi1/2 128 0 RestrictGi1/3 8 1 ProtectNP10园区网安全技术[1]课程议题IP访问控制列表NP10园区网安全技术[1]访问控制列表概述访问控制列表（AccessControlList）是一个有序的语句集，它通过对比报文中字段值与访问控制列表参数，来允许或拒绝报文通过某个接口。访问控制列表作用：安全控制流量过滤数据流量标识ACL语句组成：条件：用来匹配数据包中字段值操作：条件匹配时，可以采取允许和拒绝两个操作ACL报文NP10园区网安全技术[1]为什么要使用访问列表内网安全运行访问外网的安全控制NP10园区网安全技术[1]访问列表访问控制列表的作用：内网布署安全策略，保证内网安全权限的资源访问内网访问外网时，进行安全的数据过滤防止常见病毒、木马、攻击对用户的破坏NP10园区网安全技术[1]访问列表规则的应用路由器应用访问列表对流经接口的数据包进行控制入站应用（in） 经某接口进入设备内部的数据包进行安全规则过滤出站应用（out） 设备从某接口向外发送数据时进行安全规则过滤一个接口在一个方向只能应用一组访问控制列表F1/0F1/1INOUTNP10园区网安全技术[1]访问列表的入站应用NY是否允许

?Y是否应用

访问列表

?N查找路由表进行选路转发以ICMP信息通知源发送方NP10园区网安全技术[1]访问列表的出站应用NY选择出口

S0

路由是否存在

?NY是否允许

?Y是否应用

访问列表

?NS0S0以ICMP信息通知源发送方查看访问列表

的陈述NP10园区网安全技术[1]ACL工作原理及规则基本规则ACL规则按名称或编号进行分组列表中每条ACL语句有一组条件和一个操作，如果需要多个条件或多个操作，则必须使用多个ACL语句来完成如果当前语句的条件没有匹配，则处理列表中的下一条语句如果条件匹配，则执行语句后面的操作，且不再与其他ACL语句进行匹配如果列表中的所有语句都不匹配，那么丢弃该数据包NP10园区网安全技术[1]ACL工作原理及规则特点由于ACL语句默认是拒绝不匹配的数据包，所以在列表中至少要有一个允许的操作。否则，所有数据包都会被拒绝掉注意语句的顺序。条件严的语句应该放在列表的顶部，条件宽的语句应该放在列表的底部。从而，避免条件严的语句永远也得不到执行规则匹配原则从头到尾，至顶向下的匹配方式匹配成功马上停止立刻使用该规则的“允许/拒绝……”NP10园区网安全技术[1]ACL工作原理及规则注意事项一个ACL列表中至少要有一条允许或拒绝的语句只能在设备的每个接口、每个协议、每个方向上应用一个ACLACL只能应用在接口上先处理入站ACL，再进行数据路由先进行数据路由，再处理出站接口上的出站ACLACL会影响通过接口的流量和速度，但不会过滤路由器本身产生的流量NP10园区网安全技术[1]ACL工作原理及规则放置位置只过滤数据包源地址的ACL应该放置在离目的地尽量近的地方过滤数据包的源地址和目的地址以及其他信息的ACL，则应该尽量放在离源地址近的地方IntranetIntranetNP10园区网安全技术[1]ACL的种类ACL种类：标准ACL：只能过滤IP数据包头中的源IP地址扩展ACL：可以过滤源IP地址、目的IP地址、协议（TCP/IP）、协议信息（端口号、标志代码）等MACACL：可以过滤源MAC、目标MAC等专家ACL：可以过滤源IP、源MAC、源端口、目标IP、目标MAC、目标端口、时间等时间ACL：可以根据时间段进行扩展ACL过滤NP10园区网安全技术[1]IP标准ACLIP标准ACL只能过滤IP数据包头中的源IP地址标准ACL通常配置在路由器上实现以下功能：

限制通过VTY线路对路由器的访问（telnet、SSH）限制通过HTTP或HTTPS对路由器的访问过滤路由更新源地址TCP/UDP数据IP

eg.HDLCNP10园区网安全技术[1]IP标准ACL通过两种方式创建标准ACL：编号或名称使用编号创建创建ACL (config)#access-listlistnumber{permit|deny}address[wildcard–mask]在接口上应用 (config-if)#ipaccess-group{id|name}{in|out}In：当数据流入路由器接口时Out：当数据流出路由器接口时NP10园区网安全技术[1]IP标准ACL通过两种方式创建标准ACL：编号或名称使用命名创建定义ACL名称 (config)#ipaccess-liststandardname定义规则 (config-std-nacl)#deny|permit[sourcewildcard|any]在接口上应用 (config-if)#ipaccess-group{id|name}{in|out}NP10园区网安全技术[1]IP扩展ACL扩展的IP访问表用于扩展报文过滤的能力。扩展访问列表允许过滤内容：源和目的地址、协议、源和目的端口以及在特定报文字段中允许进行特殊位比较的各种选项。目的地址源地址协议端口号TCP/UDP数据IP

eg.HDLCNP10园区网安全技术[1]IP扩展ACL通过两种方式创建扩展ACL：编号或名称使用编号创建创建ACL (config)#access-listlistnumber{permit|deny}protocol{sourcesource-wildcard–mask|hostsource|any}{destinationdestination-wildcard–mask|hostdestination

|any}[operatoroperand]在接口上应用 (config-if)#ipaccess-group{id|name}{in|out}NP10园区网安全技术[1]IP扩展ACL通过两种方式创建扩展ACL：编号或名称使用命名创建定义ACL名称 (config)#ipaccess-listextendedname定义规则 (config-ext-nacl)#{permit|deny

}protocol{sourcesource-wildcard|hostsource|any}{

destinationdestination-wildcard

|hostdestination

|any}

[operatorport]在接口上应用 (config-if)#ipaccess-group{id|name}{in|out}NP10园区网安全技术[1]反掩码（通配符）0表示检查相应的地址比特1表示不检查相应的地址比特00111111128643216842100000000000011111111110011111111donotcheckaddress

(ignorebitsinoctet)ignorelast6addressbitscheckalladdressbits(matchall)ignorelast4addressbitschecklast2addressbitsExamplesNP10园区网安全技术[1]ACL编号ACL类型编号范围IP标准ACL1-99,1300-1999IP扩展ACL100-199,2000-2699MAC扩展ACL700-799专家扩展ACL2700-2899IPX标准ACL800-899IPX扩展ACL900-999IPXSAP1000-1099NP10园区网安全技术[1]课程议题IP访问控制列表

配置示例NP10园区网安全技术[1]IP标准ACL配置示例3E0S0E1Non-access-list1permit

55(implicitdenyall-notvisibleinthelist)(access-list1deny55)interfaceethernet0ipaccess-group1outinterfaceethernet1ipaccess-group1outPermitmynetworkonlyNP10园区网安全技术[1]IP标准ACL配置示例3E0S0E1Non-access-list1deny3access-list1permit55(implicitdenyall)(access-list1deny55)interfaceethernet0ipaccess-group1outDenyaspecifichostaccess-list1denyhost3access-list1permitanyNP10园区网安全技术[1]IP标准ACL配置示例3E0S0E1Non-access-list1deny55access-list1permitany(implicitdenyall)

(access-list1deny55)interfaceethernet0ipaccess-group1outDenyaspecificsubnetNP10园区网安全技术[1]ACL控制vty访问示例使用标准访问列表语句用access-class命令应用访问列表01234Virtualports(vty0through4)Physicalport(F1/0)(Telnet)Router#F1/0access-list12permit55!linevty04access-class12inNP10园区网安全技术[1]IP扩展ACL配置示例3E0S0E1Non-access-list101denytcp5555eq21access-list101denytcp5555eq20access-list101permitipanyany(implicitdenyall)(access-list101denyip5555)interfaceethernet0ipaccess-group101out拒绝子网的数据使用路由器e0口ftp到子网NP10园区网安全技术[1]IP扩展ACL配置示例3E0S0E1Non-access-list101denytcp55anyeq23access-list101permitipanyany(implicitdenyall)interfaceethernet0ipaccess-group101out拒绝子网内的主机使用路由器的E0端口建立Telnet会话NP10园区网安全技术[1]访问列表的验证显示全部的访问列表 Router#showaccess-lists显示指定的访问列表 Router#showaccess-lists<1-199>显示接口的访问列表应用 Router#showipinterface Router#showipaccess-group（RGNOS12.0+）NP10园区网安全技术[1]查看访问列表wg_ro_a#showipinte0Ethernet0isup,lineprotocolisupInternetaddressis1/24Broadcastaddressis55AddressdeterminedbysetupcommandMTUis1500bytesHelperaddressisnotsetDirectedbroadcastforwardingisdisabledOutgoingaccesslistisnotsetInboundaccesslistis1ProxyARPisenabledSecuritylevelisdefaultSplithorizonisenabled

……<textommitted>NP10园区网安全技术[1]查看访问列表的语句wg_ro_a#showaccess-listsStandardIPaccesslist1permitpermitpermitpermitExtendedIPaccesslist101permittcphostanyeqtelnetpermittcphostanyeqftppermittcphostanyeqftp-datawg_ro_a#showaccess-lists{access-list-number}wg_ro_a#show{protocol}access-list{access-list-number}NP10园区网安全技术[1]IP访问列表配置注意事项一个端口在一个方向上只能应用一组ACL锐捷全系列交换机可针对物理接口和SVI接口应用ACL针对物理接口，只能配置入站应用(In)针对SVI（虚拟VLAN）接口，可以配置入站（In）和出站（Out）应用访问列表的缺省规则是：拒绝所有NP10园区网安全技术[1]标准IPACL配置示例要求网段的主机不可以访问服务器，其它主机访问服务器不受限制。NP10园区网安全技术[1]扩展IPACL配置示例为公司的文件服务器，要求网段中的主机能够访问中的FTP服务和WEB服务，而对服务器的其它服务禁止访问。NP10园区网安全技术[1]名称IPACL配置示例NP10园区网安全技术[1]IP扩展访问列表配置实例利用ACL隔离冲击波病毒access-list115denyudpanyanyeq69access-list115denytcpanyanyeq135access-list115denyudpanyanyeq135access-list115denyudpanyanyeq137access-list115denyudpanyanyeq138access-list115denytcpanyanyeq139access-list115denyudpanyanyeq139access-list115denytcpanyanyeq445access-list115denytcpanyanyeq593access-list115denytcpanyanyeq4444access-list115permitipanyany

interface<type><number>ipaccess-group115inipaccess-group115outNP10园区网安全技术[1]ACL的修改和维护传统编号ACL的修改问题新规则添加到ACL的末尾删除所有ACL规则重新编写导出配置文件进行修改将ACL规则复制到编辑工具进行修改ACL配置模式使用ipaccess-list命令进入ACL配置模式可以删除特定的ACL规则在任意位置插入新的ACL规则NP10园区网安全技术[1]添加和删除ACL规则添加ACL规则sequence-number{permit|deny}……

Router(config-ext-nacl)#sequence-number：规则在ACL中的序号，即排序的位置默认根据序号从小到大进行排序删除ACL规则nosequence-numberRouter(config-ext-nacl)#NP10园区网安全技术[1]添加ACL规则配置示例NP10园区网安全技术[1]删除ACL规则配置示例NP10园区网安全技术[1]ACL规则的重编号ipaccess-listresequence{name|access-list-number}starting-sequence-numberincrement-number

Router(config)#starting-sequence-number：ACL规则的起始序号值，默认为10increment-number：ACL规则的递增序号值，默认为10macaccess-listresequence{name|access-list-number}starting-sequence-numberincrement-number

expertaccess-listresequence{name|access-list-number}starting-sequence-numberincrement-number

NP10园区网安全技术[1]ACL规则重编号配置示例NP10园区网安全技术[1]查看ACL信息查看ACL配置信息showrunning-configRouter#showaccess-lists[name|access-list-number]NP10园区网安全技术[1]查看ACL信息示例NP10园区网安全技术[1]课程议题基于时间的IPACLNP10园区网安全技术[1]基于时间的ACL基于时间的ACL对于不同的时间段实施不同的访问控制规则在原有ACL的基础上应用时间段任何类型的ACL都可以应用时间段时间段绝对时间段（absolute）周期时间段（periodic）混合时间段NP10园区网安全技术[1]配置时间段配置时间段time-rangetime-r