安全技術(三):aaa服務認證
AAA簡介:
AAA是Authentication,Authorization and Accounting(認證、授權和計費)的簡稱,它提供了一個對認證、授權和計費這三種安全功能進行配置的一緻性架構,實際上是對網絡安全的一種管理。
這裡的網絡安全主要是指通路控制,包括:
1、哪些使用者可以通路網絡伺服器。
2、具有通路權的使用者可以得到哪些服務。
3、如何對正在使用網絡資源的使用者進行計費。
針對以上問題,AAA必須提供認證功能、授權功能和計費功能。
認證功能:
AAA支援以下認證方式:
(1)不認證:對使用者非常信任,不對其進行合法檢查。一般情況下不采用這種方式。
(2)本地認證:将使用者資訊(包括本地使用者的使用者名、密碼和各種屬性)配置在裝置上。本地認證的優點是速度快,可以降低營運成本;缺點是存儲資訊量受裝置硬體條件限制。
(3)遠端認證:支援通過RADIUS協定或HWTACACS協定進行遠端認證,裝置(如Quidway系列交換機)作為用戶端,與RADIUS伺服器或TACACS伺服器通信。對于RADIUS協定,可以采用标準或擴充的RADIUS協定。
授權功能:
AAA支援以下授權方式:
(1)直接授權:對使用者非常信任,直接授權通過。
(2)本地授權:根據裝置上為本地使用者帳号配置的相關屬性進行授權。
(3)RADIUS認證成功後授權:RADIUS協定的認證和授權是綁定在一起的,不能單獨使用RADIUS進行授權。
(4)HWTACACS授權:由TACACS伺服器對使用者進行授權。
計費功能:
AAA支援以下計費方式:
(1)不計費:不對使用者計費。
(2)遠端計費:支援通過RADIUS伺服器或TACACS伺服器進行遠端計費。
AAA一般采用用戶端/伺服器結構:用戶端運作于被管理的資源側,伺服器上集中存放使用者資訊。是以,AAA架構具有良好的可擴充性,并且容易實作使用者資訊的集中管理。
RADIUS 協定:
AAA 可用多種協定來實作,但最常用的是RADIUS(Remote Authentication Dial In User Service)協定。RADIUS 是MA5200G 和RADIUS 伺服器之間的應用層通信協定,規定了MA5200G 與RADIUS 伺服器之間傳遞使用者資訊和計費資訊的過程和封包格式。
RADIUS 協定具備如下特點:
1.RADIUS 使用UDP 作為傳輸協定,具有良好的實時性。
2.RADIUS 支援重傳機制和備用伺服器機制,進而有較好的可靠性。
3.RADIUS 實作比較簡單,适用于大使用者量時伺服器端的多線程結構。
RADIUS服務包括三個組成部分:
1.協定:RFC 2865和RFC 2866基于UDP/IP層定義了RADIUS幀格式及其消息傳輸機制,并定義了1812作為認證端口,1813作為計費端口。
2.伺服器:RADIUS伺服器運作在中心計算機或工作站上,包含了相關的使用者認證和網絡服務通路資訊。
3.用戶端:位于撥号通路伺服器裝置側,可以遍布整個網絡。
RADIUS的基本消息互動流程:
RADIUS用戶端(交換機)和RADIUS伺服器之間通過共享密鑰來認證互動的消息,增強了安全性。RADIUS協定合并了認證和授權過程,即響應封包中攜帶了授權資訊。使用者、交換機、RADIUS伺服器之間的互動流程如圖1-2所示。
(1) 使用者輸入使用者名和密碼。
(2) RADIUS用戶端根據擷取的使用者名和密碼,向RADIUS伺服器發送認證請求包(Access-Request)。
(3) RADIUS伺服器将該使用者資訊與Users資料庫資訊進行對比分析,如果認證成功,則将使用者的權限資訊以認證響應包(Access-Accept)發送給RADIUS用戶端;如果認證失敗,則傳回Access-Reject響應包。
(4) RADIUS用戶端根據接收到的認證結果接入/拒絕使用者。如果可以接入使用者,則RADIUS用戶端向RADIUS伺服器發送計費開始請求包(Accounting-Request),Status-Type取值為start。
(5) RADIUS伺服器傳回計費開始響應包(Accounting-Response)。
(6) 使用者開始通路資源。
(7) RADIUS用戶端向RADIUS伺服器發送計費停止請求包(Accounting-Request),Status-Type取值為stop。
(8) RADIUS伺服器傳回計費結束響應包(Accounting-Response)。
(9) 使用者通路資源結束。
AAA基本配置指令:
啟動AAA:
[Quidway] aaa-enable
配置PPP使用者的預設驗證方法表:
[Quidway] aaa authentication-scheme login default local
配置不計費時仍然允許使用者通路:
[Quidway] aaa accounting-scheme optional
将預設方發表應用到封裝了PPP的接口:
[Quidway-Serial0]ppp authentication-mode pap scheme default
顯示線上使用者:
display aaa user
原語調試資訊,觀察AAA請求與結果:
debugging radius primitive
事件調試資訊,觀察AAA過程:
debugging radius event
RADIUS基本配置:
配置RADIUS伺服器:
radius server { hostname | ip-address } [authentication-port port-number ] [accouting-port port-number ]
radius shared-key string
配置重傳參數:
radius-server retransmit
radius-server timeout
配置實時計費:
radius-server realtime-acct-timeout
RADIUS配置舉例:
啟用AAA:
配置PPP使用者的預設驗證方發表:
[Quidway] aaa authentication-scheme login default radius local
配置RADIUS伺服器IP位址和端口,使用預設端口号:
[Quidway] radius server 129.7.66.68
[Quidway] radius server 129.7.66.66 accouting-port 0
[Quidway] radius server 129.7.66.67 authentication-port 0
配置RADIUS伺服器密鑰、重傳次數、逾時定時器:
[Quidway] radius shared-key this-is-my-secret
[Quidway] radius retry 2
[Quidway] radius timer response-timeout 5
應用執行個體:
組網需求(一):
通過配置交換機實作RADIUS伺服器對登入交換機的Telnet使用者進行認證。
1.一台RADIUS伺服器(擔當認證RADIUS伺服器的職責)與交換機相連,伺服器IP位址為10.110.91.164;
2. 設定交換機與認證RADIUS伺服器互動封包時的共享密鑰為“expert”。
RADIUS伺服器可使用CAMS伺服器。使用第三方RADIUS伺服器時,RADIUS方案中的server-type可以選擇standard類型或huawei類型。
1.在RADIUS伺服器上設定與交換機互動封包時的共享密鑰為“expert”;
2.設定驗證的端口号;
3.添加Telnet使用者名及登入密碼。
如果RADIUS方案中設定交換機不從使用者名中去除使用者域名而是一起傳給RADIUS伺服器,RADIUS伺服器上添加的Telnet使用者名應為“userid@isp-name”形式。
組網圖:
配置步驟:
# 配置Telnet使用者采用AAA認證方式。
<Quidway> system-view
[Quidway] user-interface vty 0 4
[Quidway-ui-vty0-4] authentication-mode scheme
# 配置domain。
[Quidway] domain cams
[Quidway-isp-cams] access-limit enable 10
[Quidway-isp-cams] quit
# 配置RADIUS方案。
[Quidway] radius scheme cams
[Quidway-radius-cams] accounting optional
[Quidway-radius-cams] primary authentication 10.110.91.164 1812
[Quidway-radius-cams] key authentication expert
[Quidway-radius-cams] server-type Huawei
[Quidway-radius-cams] user-name-format with-domain
[Quidway-radius-cams] quit
# 配置domain和RADIUS的關聯。
[Quidway-isp-cams] scheme radius-scheme cams
Telnet使用者登入時輸入使用者名userid @cams,以使用cams域進行認證。
組網需求(二):
如圖2-3所示,要求:
(1)使用 RADIUS 伺服器對isp1 域和isp2 域使用者進行認證和計費。
(2)RADIUS 伺服器129.7.66.66 作為主認證和計費伺服器。
(3)RADIUS 伺服器129.7.66.67 作為備認證和計費伺服器。
(4) 認證端口号為 1812,計費端口号為1813。
配置步驟:
# 進入AAA 視圖。
[Quidway] aaa
# 配置認證方案auth1,認證模式為RADIUS 認證。
[Quidway–aaa] authentication-scheme auth1
[Quidway-aaa-authen-auth1] authentication-mode radius
[Quidway-aaa-authen-auth1] quit
# 配置認證方案auth2,認證模式為不認證。
[Quidway–aaa] authentication-scheme auth2
[Quidway-aaa-authen-auth1] authentication-mode none
# 配置計費方案acct1,計費模式為RADIUS 計費。
[Quidway–aaa] accounting-scheme acct1
[Quidway–aaa-accounting-acct1] accounting-mode radius
[Quidway–aaa-accounting-acct1] quit
[Quidway–aaa] quit
# 配置RADIUS 伺服器組。
[Quidway] radius-server group huawei
# 配置RADIUS 伺服器的選擇算法。
[Quidway-radius-huawei] radius-server algorithm master-backup
# 配置RADIUS 主認證、計費伺服器和端口。
[Quidway-radius-huawei] radius-server authentication 129.7.66.66 1812
[Quidway-radius-huawei] radius-server accounting 129.7.66.66 1813
# 配置RADIUS 備認證、計費伺服器和端口。
[Quidway-radius-huawei] radius-server authentication 129.7.66.67 1812
[Quidway-radius-huawei] radius-server accounting 129.7.66.67 1813
# 配置RADIUS 伺服器組的其他參數。
[Quidway-radius-huawei] radius-server type standard
[Quidway-radius-huawei] radius-server retransmit 2
[Quidway-radius-huawei] radius-server shared-key hello
[Quidway-radius-huawei] quit
# 配置isp1 域。
[Quidway–aaa] domain isp1
[Quidway-aaa-domain-isp1] authentication-scheme auth1
[Quidway-aaa-domain-isp1] accounting-scheme acct1
[Quidway-aaa-domain-isp1] radius-server group huawei
[Quidway-aaa-domain-isp1] quit
[Quidway-aaa] quit
# 配置isp2 域。
[Quidway–aaa] domain isp2
[Quidway-aaa-domain-isp2] authentication-scheme auth2
[Quidway-aaa-domain-isp2] accounting-scheme acct1
[Quidway-aaa-domain-isp2] radius-server group huawei
[Quidway-aaa-domain-isp2] quit
[Quidway-aaa] quit
安全技術(四):dot1x網絡接入控制協定
802.1x 簡介:
IEEE802 LAN/WAN 委員會為解決無線區域網路網絡安全問題,提出了802.1x 協定。後來,802.1x協定作為區域網路端口的一個普通接入控制機制在以太網中被廣泛應用,主要解決以太網内認證和安全方面的問題。
802.1x 協定是一種基于端口的網絡接入控制協定(port based network access control protocol)。“基于端口的網絡接入控制”是指在區域網路接入裝置的端口這一級對所接入的使用者裝置進行認證和控制。連接配接在端口上的使用者裝置如果能通過認證,就可以通路區域網路中的資源;如果不能通過認證,則無法通路區域網路中的資源。
802.1x 的體系結構:
802.1x系統為典型的Client/Server結構,如圖1-1所示,包括三個實體:用戶端(Client)、裝置端(Device)和認證伺服器(Server)。
(1)用戶端是位于區域網路段一端的一個實體,由該鍊路另一端的裝置端對其進行認證。用戶端一般為一個使用者終端裝置,使用者可以通過啟動用戶端軟體發起802.1x 認證。用戶端必須支援EAPOL(Extensible Authentication Protocol over LAN,區域網路上的可擴充認證協定)。
(2)裝置端是位于區域網路段一端的另一個實體,對所連接配接的用戶端進行認證。裝置端通常為支援802.1x 協定的網絡裝置,它為用戶端提供接入區域網路的端口,該端口可以是實體端口,也可以是邏輯端口。
(3)認證伺服器是為裝置端提供認證服務的實體。認證伺服器用于實作對使用者進行認證、授權和計費,通常為RADIUS(Remote Authentication Dial-In User Service,遠端認證撥号使用者服務)伺服器。
802.1x 認證系統使用EAP(Extensible Authentication Protocol,可擴充認證協定),來實作用戶端、裝置端和認證伺服器之間認證資訊的交換。
(1)在用戶端與裝置端之間,EAP 協定封包使用EAPOL 封裝格式,直接承載于LAN 環境中。
(2)在裝置端與 RADIUS 伺服器之間,可以使用兩種方式來交換資訊。一種是EAP 協定封包使用EAPOR(EAP over RADIUS)封裝格式承載于RADIUS 協定中;另一種是EAP 協定封包由裝置端進行終結,采用包含PAP(Password Authentication Protocol,密碼驗證協定)或CHAP(Challenge Handshake Authentication Protocal,質詢握手驗證協定)屬性的封包與RADIUS伺服器進行認證互動。
802.1x 的基本概念:
受控/非受控端口:
裝置端為用戶端提供接入區域網路的端口,這個端口被劃分為兩個邏輯端口:受控端口和非受控端口。任何到達該端口的幀,在受控端口與非受控端口上均可見。
(1) 非受控端口始終處于雙向連通狀态,主要用來傳遞EAPOL 協定幀,保證用戶端始終能夠發出或接收認證封包。
(2)受控端口在授權狀态下處于雙向連通狀态,用于傳遞業務封包;在非授權狀态下禁止從用戶端接收任何封包。
授權/非授權狀态:
裝置端利用認證伺服器對需要接入區域網路的用戶端執行認證,并根據認證結果(Accept 或Reject)對受控端口的授權/非授權狀态進行相應地控制。使用者可以通過在端口下配置的接入控制的模式來控制端口的授權狀态。端口支援以下三種接入控制模式:
(1)強制授權模式(authorized-force):表示端口始終處于授權狀态,允許使用者不經認證授權即可通路網絡資源。
(2)強制非授權模式(unauthorized-force):表示端口始終處于非授權狀态,不允許使用者進行認證。裝置端不對通過該端口接入的用戶端提供認證服務。
(3)自動識别模式(auto):表示端口初始狀态為非授權狀态,僅允許EAPOL 封包收發,不允許使用者通路網絡資源;如果認證通過,則端口切換到授權狀态,允許使用者通路網絡資源。這也是最常見的情況.
受控方向:
在非授權狀态下,受控端口可以被設定成單向受控和雙向受控。
(1)實行雙向受控時,禁止幀的發送和接收;
(2)實行單向受控時,禁止從用戶端接收幀,但允許向用戶端發送幀。
802.1x 的認證過程:
(1) 當使用者有通路網絡需求時打開802.1x 用戶端程式,輸入已經申請、登記過的使用者名和密碼,發起連接配接請求(EAPOL-Start 封包)。此時,用戶端程式将送出請求認證的封包給裝置端,開始啟動一次認證過程。
(2) 裝置端收到請求認證的資料幀後,将發出一個請求幀(EAP-Request/Identity封包)要求使用者的用戶端程式發送輸入的使用者名。
(3) 用戶端程式響應裝置端發出的請求, 将使用者名資訊通過資料幀(EAP-Response/Identity 封包)發送給裝置端。裝置端将用戶端發送的資料幀經過封包處理後(RADIUS Access-Request 封包)送給認證伺服器進行處理。
(4) RADIUS 伺服器收到裝置端轉發的使用者名資訊後,将該資訊與資料庫中的使用者名表對比,找到該使用者名對應的密碼資訊,用随機生成的一個加密字對它進行加密處理,同時也将此加密字通過RADIUS Access-Challenge 封包發送給裝置端,由裝置端轉發給用戶端程式。
(5) 用戶端程式收到由裝置端傳來的加密字(EAP-Request/MD5 Challenge 封包)後,用該加密字對密碼部分進行加密處理(此種加密算法通常是不可逆的,生成EAP-Response/MD5 Challenge 封包),并通過裝置端傳給認證伺服器。
(6) RADIUS 伺服器将收到的已加密的密碼資訊(RADIUS Access-Request 封包)和本地經過加密運算後的密碼資訊進行對比,如果相同,則認為該使用者為合法使用者,回報認證通過的消息(RADIUS Access-Accept 封包和EAP-Success封包)。
(7) 裝置收到認證通過消息後将端口改為授權狀态,允許使用者通過端口通路網絡。在此期間,裝置端會通過向用戶端定期發送握手封包的方法,對使用者的線上情況進行監測。預設情況下,兩次握手請求封包都得不到用戶端應答,裝置端就會讓使用者下線,防止使用者因為異常原因下線而裝置無法感覺。
(8) 用戶端也可以發送EAPOL-Logoff 封包給裝置端,主動要求下線。裝置端把端口狀态從授權狀态改變成未授權狀态,并向用戶端發送EAP-Failure 封包。
802.1x 的定時器:
802.1x 認證過程中會啟動多個定時器以控制接入使用者、裝置以及RADIUS 伺服器之間進行合理、有序的互動。802.1x 的定時器主要有以下幾種:
(1)使用者名請求逾時定時器(tx-period):該定時器定義了兩個時間間隔。其一,當裝置端向用戶端發送EAP-Request/Identity 請求封包後,裝置端啟動該定時器,若在tx-period 設定的時間間隔内,裝置端沒有收到用戶端的響應,則裝置端将重發認證請求封包;其二,為了相容不主動發送EAPOL-Start 連接配接請求封包的用戶端,裝置會定期多點傳播EAP-Request/Identity 請求封包來檢測用戶端。tx-period 定義了該多點傳播封包的發送時間間隔。
(2)客 戶 端 認 證 超 時 定 時 器 (supp-timeout) : 當裝置端向用戶端發送了EAP-Request/MD5 Challenge 請求封包後,裝置端啟動此定時器,若在該定時器設定的時長内,裝置端沒有收到用戶端的響應,裝置端将重發該封包。
(3)認證伺服器逾時定時器(server-timeout):當裝置端向認證伺服器發送了RADIUS Access-Request 請求封包後,裝置端啟動server-timeout 定時器,若在該定時器設定的時長内,裝置端沒有收到認證伺服器的響應,裝置端将重發認證請求封包。
(4) 握手定時器(handshake-period):此定時器是在使用者認證成功後啟動的,裝置端以此間隔為周期發送握手請求封包,以定期檢測使用者的線上情況。如果配置發送次數為N,則當裝置端連續N 次沒有收到用戶端的響應封包,就認為使用者已經下線。
(5)靜默定時器(quiet-period):對使用者認證失敗以後,裝置端需要靜默一段時間(該時間由靜默定時器設定),在靜默期間,裝置端不處理該使用者的認證請求。
802.1x 在裝置中的實作:
裝置在 802.1x 的EAP 中繼方式和EAP 終結方式的實作中,不僅支援協定所規定的端口接入認證方式,還對其進行了擴充、優化:
(1)支援一個實體端口下挂接多個使用者的應用場合;
(2)接入控制方式(即對使用者的認證方式)可以采用基于 MAC 和基于端口兩種方式。當采用基于MAC 方式時,該端口下的所有接入使用者均需要單獨認證,當某個使用者下線時,也隻有該使用者無法使用網絡。當采用基于端口方式時,隻要該端口下的第一個使用者認證成功後,其它接入使用者無須認證就可使用網絡資源,但是當第一個使用者下線後,其它使用者也會被拒絕使用網絡。
配置802.1x:
配置全局802.1x:
說明:
1.隻有同時開啟全局和端口的 802.1x 特性後,802.1x 的配置才能在端口上生效。
2.開啟端口的 802.1x特性與配置端口控制(設定端口接入控制的模式、端口接入控制方式、端口同時接入使用者數量的最大值)也可在接口視圖下進行。全局配置與端口配置并無優先級之分,僅是作用範圍不一緻,後配置的參數會覆寫已有的參數。
3.必須同時開啟全局和指定端口的代理使用者檢測與控制,此特性的配置才能在該端口上生效。另外,該功能的實作需要H3C 802.1x 用戶端程式的配合。
4.一般情況下,使用者無需使用dot1x timer 指令改變部分定時器值,除非在一些特殊或惡劣的網絡環境下,可以使用該指令調節互動程序。例如,使用者網絡狀況比較差的情況下,可以适當地将用戶端認證逾時定時器值調大一些;網絡處在風險位置,容易受攻擊的情況下,可以适當地将靜默定時器值調大一些,反之,可以将其調小一些來提高對使用者認證請求的響應速度。另外,可以通過調節認證伺服器逾時定時器的值來适應認證伺服器性能的不同情況。
配置端口的802.1x:
配置Guest VLAN:
注意:
如果使用者端裝置發出的是攜帶 Tag 的資料流,且接入端口上使能了802.1x 認證和Guest VLAN,為保證各種功能的正常使用,請為Voice VLAN、端口的預設VLAN
和802.1x 的Guest VLAN 配置設定不同的VLAN ID。
802.1x典型配置舉例:
組網需求:
1.要求在各端口上對使用者接入進行認證,以控制其通路Internet;接入控制模式要求是基于MAC位址的接入控制。
2.所有接入使用者都屬于一個預設的域:aabbcc.net,該域最多可容納30個使用者;認證時,先進行RADIUS認證,如果RADIUS伺服器沒有響應再轉而進行本地認證;計費時,如果RADIUS計費失敗則切斷使用者連接配接使其下線;此外,接入時在使用者名後不添加域名,正常連接配接時如果使用者有超過20分鐘流量持續小于2000Bytes的情況則切斷其連接配接。
3. 由兩台RADIUS伺服器組成的伺服器組與交換機相連,其IP位址分别為10.11.1.1和10.11.1.2,前者作為主認證/備份計費伺服器,後者作為備份認證/主計費伺服器;設定系統與認證RADIUS伺服器互動封包時的加密密碼為“name”、與計費RADIUS伺服器互動封包時的加密密碼“money”,設定系統在向RADIUS伺服器發送封包後5秒種内如果沒有得到響應就向其重新發送封包,重複發送封包的次數總共為5次,設定系統每15分鐘就向RADIUS伺服器發送一次實時計費封包,訓示系統從使用者名中去除使用者域名後再将之傳給RADIUS伺服器。
4.本地802.1x接入使用者的使用者名為localuser,密碼為localpass,使用明文輸入,閑置切斷功能處于打開狀态。
組網圖:
配置步驟:
# 開啟全局802.1x特性。
[Quidway] dot1x
# 開啟指定端口Ethernet 1/0/1的802.1x特性。
[Quidway] dot1x interface Ethernet 1/0/1
# 設定接入控制方式(該指令可以不配置,因為端口的接入控制在預設情況下就是基于MAC位址的)。
[Quidway] dot1x port-method macbased interface Ethernet 1/0/1
# 建立RADIUS方案radius1并進入其視圖。
[Quidway] radius scheme radius1
# 設定主認證/計費RADIUS伺服器的IP位址。
[Quidway-radius-radius1] primary authentication 10.11.1.1
[Quidway-radius-radius1] primary accounting 10.11.1.2
# 設定備份認證/計費RADIUS伺服器的IP位址。
[Quidway-radius-radius1] secondary authentication 10.11.1.2
[Quidway-radius-radius1] secondary accounting 10.11.1.1
# 設定系統與認證RADIUS伺服器互動封包時的加密密碼。
[Quidway -radius-radius1] key authentication name
# 設定系統與計費RADIUS伺服器互動封包時的加密密碼。
[Quidway-radius-radius1] key accounting money
# 設定系統向RADIUS伺服器重發封包的時間間隔與次數。
[Quidway-radius-radius1] timer 5
[Quidway-radius-radius1] retry 5
# 設定系統向RADIUS伺服器發送實時計費封包的時間間隔。
[Quidway-radius-radius1] timer realtime-accounting 15
# 訓示系統從使用者名中去除使用者域名後再将之傳給RADIUS伺服器。
[Quidway-radius-radius1] user-name-format without-domain
[Quidway-radius-radius1] quit
# 建立域aabbcc.net并進入其視圖。
[Quidway] domain default enable aabbcc.net
# 指定radius1為該域使用者的RADIUS方案,若RADIUS伺服器無效,則使用本地認證方案。
[Quidway-isp-aabbcc.net] scheme radius-scheme radius1 local
# 設定該域最多可容納30個使用者。
[Quidway-isp-aabbcc.net] access-limit enable 30
# 啟動閑置切斷功能并設定相關參數。
[Quidway-isp-aabbcc.net] idle-cut enable 20 2000
[Quidway-isp-aabbcc.net] quit
# 配置域aabbcc.net為預設使用者域。
# 添加本地接入使用者。
[Quidway] local-user localuser
[Quidway-luser-localuser] service-type lan-access
[Quidway-luser-localuser] password simple localpass
Guest VLAN 的典型配置舉例:
如 圖1-11所示,一台主機通過802.1x認證接入網絡,認證伺服器為RADIUS伺服器。Supplicant接入Device的端口Ethernet1/1 在VLAN1 内;認證伺服器在VLAN2 内;
Update Server是用于用戶端軟體下載下傳和更新的伺服器,在VLAN10 内;Device連接配接Internet網絡的端口Ethernet1/2 在VLAN5 内。