企业网络工程实施方案.doc

某公司网络工程 实施方案 目目 录录 第一章第一章 总体设计总体设计 1 1 1 系统设计原则 1 1 2 网络拓扑架构 2 1 3 设计依据和规范 2 第二章第二章 到货前准备到货前准备 3 2 1 项目人员的组织结构及分工 3 2 2 工程时间安排 进度安排 3 第三章第三章 到货 实施前准备到货 实施前准备 4 3 1 现场检查与到货验收 4 3 2 IP 地址及 VLAN分配 4 3 2 1 总体 IP Vlan 划分 4 3 2 2 服务器集群 IP Vlan100 划分 5 3 3 3 Iptables 防火墙 Vlan200 划分 5 第四章第四章 实施实施 6 4 1 相关的设备选型 6 4 2 局域网的相关调试 7 4 2 1 核心 H3C S7500 交换机的 VRRP 调试 7 4 3 广域网的相关调试 11 4 3 1 IPTABLES 防火墙的配置 11 4 4 RED HAT LINUX 5 系统上相关服务器的搭建 12 1 40 4 4 1 WEB 服务器的安装配置 12 4 4 2 DNS 服务器的安装配置 12 4 4 3 Exchange 服务器 17 4 4 4 FTP 服务器的安装和配置 28 第五章第五章 测试测试 30 5 1 系统测试原理和方法 30 5 2 硬件设备测试和验收 30 5 3 系统集成测试 31 5 3 测试相关命令 31 第六章第六章 项目工程管理项目工程管理 34 6 1 工程的安全管理 34 6 2 工程资料 文档管理 34 6 3 项目的质量控制 35 第七章第七章 现场培训现场培训 35 第八章第八章 验收验收 36 8 1 系统初验 36 8 1 1 中验 试运行验收 36 8 1 2 半年后的优化 由 CCIE 主持系统终验 36 1 40 第一章第一章 总体设计总体设计 1 1 系统设计原则 1 公司使用 2 台核心交换机 做冗余备份 连接所有网络设备 并把所有服务器都连接到 该核心交换机 放置到一个单独的 VLAN 中 2 接入层交换机连接终端用户 并把管理层人员和普通的办公人员放入不同的 VLAN 中 3 公司的管理人员可以访问普通员工的 PC 但普通员工不可以访问管理人员的 PC 4 离该公司总部有 2 公里处 有一个分公司 主要是负责生产活动 和分公司连接采用 路由器 而分公司内部使用一个交换机连接所有用户 所有用户都在一个 VLAN 中 可采用光纤连接 5 所有的用户都使用 DHCP 获得 IP 地址 6 总公司采用 linux iptables 防火墙 路由器上网 公司已经申请了 100M 城域网宽带上网 分两条线路 一条 40M 一条 60M 要求 服务器占用 40M 供外网用户访问 其他 用户用 60M 出口访问 internet 7 公司采用微软的域管理方法 对所有用户的帐号和权限通过 AD 来管理 并要提供 99 的可靠 8 公司内部要有自己的邮件服务器 并可以和 Internet 的邮件服务器实现互发邮件 为出 差人员提供方便的邮件访问 9 该公司有电子商务网站 提供客户在线定购产品 故要发布该 WEB 服务器 并提供高 可靠性 10 该公司的防病毒采用统一集中的网络管理模式 11 严格限制上网时间 12 出差用户要能方便的访问公司内部资料 2 40 1 2 网络拓扑架构 1 3 设计依据和规范 1 主机和网络设备的选型符合下列国家和组织的技术标准和规范 2 GB 中华人民共和国国家标准 3 ISO 国际标准组织 4 ITU T 国际电信联盟 5 IEEE 国际电气与电子工程师协会 6 EIA 电气工业协会 7 IEC 国际电工协会 3 40 第二章第二章 到货前准备到货前准备 2 1 项目人员的组织结构及分工 项目经理 负责项目的总体协调工作 商务负责 负责以商务相关的工作 技术负责 负责项目的总体实施 工程技术人员 CCNP CCNA CCNP 为项目实施的技术把关 CCNA 负责项目的具体实施 和项目实施文档的制作 后勤负责 为所有项目实施人员提供后勤保障工作 2 2 工程时间安排 进度安排 预计 1 月初设备全部到货 总预计 4 到 5 周时间完成项目 具体实施如下 工程安排签订合同 11 1 11 25 11 3012 1 12 1512 1612 17 1 201 30 设备订购 设备到货验收 系统安装工程 现场培训 系统整体测试 系统验收测试 系统安装工程具体分解以下的子任务 4 40 中心和汇聚交换机的模拟环境联合调试 天 各边缘交换机的调试 天 广域网和 Quidway S6509 的调试 天 ACL 和 NAT 的设置 天 网管软件的安装与调试 天 第三章第三章 到货 实施前准备到货 实施前准备 3 1 现场检查与到货验收 检查设备的型号及数量是否与设备订货清单一致 检查到货的设备是否完好 验收的结果应该提供一份由参与验收的人员和系统集成商签名的硬件清单 并注明好相 关的日期 如果没有可见的设备损坏 那么在验货后 即开始设备的安装和调试 测试是否存一些 不可见的硬件损坏 设备到货 进行设备的验收 要求必须记录设备的序列号 表格如下 设备名称型号 序列号到货时间签收人员 3 2 IP 地址及 Vlan 分配 3 2 1 总体 IP Vlan 划分 5 40 VLAN 号子网名称IP 范围网关VLAN 名称管理 IP 10办公楼 1192 168 10 0 24192 168 10 254Office1192 168 10 252 20办公楼 2192 168 20 0 24192 168 20 254Office2192 168 20 252 30分公司192 168 30 0 24192 168 30 254Branch office192 168 30 252 40普通员工192 168 40 0 24192 168 40 254Laborial staff192 168 40 252 50管理层人员192 168 50 0 24192 168 50 254Manager192 168 50 252 3 2 2 服务器集群 IP Vlan100 划分 服务器名称WEB 服务器FTP 服务器DNS 服务器ExchangeDHCP 服务器 IP 地址192 168 1 100192 168 1 100192 168 1 100192 168 2 100192 168 2 200 网关192 168 1 254192 168 1 254192 168 1 254192 168 2 254192 168 2 254 3 3 3 Iptables 防火墙 Vlan200 划分 NameIP 地址网关所属机构 内网192 168 1 200192 168 1 200某公司 外网 40M218 85 157 100218 85 157 254ISP 外网 60M218 85 158 100218 85 158 254ISP 6 40 第四章第四章 实施实施 4 1 相关的设备选型 H3C S7500 系列以太网交换机 H3C S7500 系列交换机作为 H3C 公司自适应安全网络的核心产品之一 可广泛的适用于 IP 城域网 大型企业园区网 中小型企业办公网络的核心层和汇聚层 同时其也可以作为以太无 源光网络 EPON 的光线路终端 OLT 设备 为用户提供多种业务接入 交换 路由一体化 的安全融合网络解决方案 H3C S7500 系列交换机支持高达 768G 交换容量的高速引擎 包括以下 4 款产品 S7502 2 个业务插槽 主控板与业务板合一 S7503 3 个业务插槽 1 个主控插槽 S7506 6 个业务插槽 1 个主控插槽 S7506R 6 个业务插槽 2 个主控插槽 H3C S5600 系列以太网交换机 H3C S5600 系列全千兆智能弹性交换机是 H3C 公司为设计和构建高弹性和高智能网络需求 而推出的新一代以太网交换机产品 系统采用 H3C 公司创新的 IRF Intelligent Resilient Framework 智能弹性架构 技术 支持高达 96G 的堆叠带宽和高密度千兆端口 支持万兆上行 7 40 特别适合作为需要高带宽 高性能和高扩展性的中小企业网核心 大型企业网络和园区网的汇 聚层以及数据中心的服务器接入设备 产品系列齐全 每款都支持 1 端口 2 端口万兆接口或 8 端口 SFP 千兆光口 最大的堆叠带宽 达到 96G 支持创新的 IRF Intelligent Resilient Framework 智能弹性架构技术 能够实现用 户网络的高度弹性智能扩展 可通过双绞线向远端下挂 PD 设备 如 IP Phone WLAN AP Security Bluetooth AP 等 提供电源 实现 PoE 功能 支持 EAD 端点准入防御 功能 配合后台系统可以将终端防病毒 补丁修复等终端安全 措施与网络接入控制 访问权限控制等网络安全措施整合为一个联动的安全体系 更加多样化的管理和丰富的特性 4 2 局域网的相关调试 4 2 1 核心 H3C S7500 交换机的 VRRP 调试 SW1 sys SW1 vlan 10 SW1 vlan10 vlan 20 SW1 vlan20 valn 50 SW1 vlan50 vlan 60 SW1 vlan60 int vlan 50 SW1 Vlan interface50 ip add 192 168 50 1 24 8 40 SW1 Vlan interface50 int vlan 60 SW1 Vlan interface60 ip add 192 168 60 1 24 SW1 Vlan interface60 quit SW1 ip route static 0 0 0 0 0 0 0 0 192 168 50 252 SW1 ip route static 0 0 0 0 0 0 0 0 192 168 60 253 SW1 int e0 4 3 SW1 Ethernet0 4 3 port link type access SW1 Ethernet0 4 3 port access vlan 50 SW1 Ethernet0 4 3 int e0 4 2 SW1 Ethernet0 4 2 port link type access SW1 Ethernet0 4 2 port access vlan 60 SW1 Ethernet0 4 2 quit SW1 SW2 sys SW2 vlan 10 SW2 vlan10 vlan 20 SW2 vlan20 vlan 50 SW2 vlan50 vlan 60 SW2 vlan60 int e0 4 3 SW2 Ethernet0 4 3 port link type trunk SW2 Ethernet0 4 3 port trunk permit vlan all 9 40 SW2 Ethernet0 4 3 int vlan 10 SW2 Vlan interface10 ip add 192 168 10 252 24 SW2 Vlan interface10 int vlan 20 SW2 Vlan interface20 ip add 192 168 20 252 24 SW2 Vlan interface20 int vlan 50 SW2 Vlan interface50 ip add 192 168 50 252 24 SW2 Vlan interface50 quit SW2 int vlan 10 SW2 Vlan interface10 vrrp vrid 10 virtual ip 192 168 10 254 SW2 Vlan interface10 vrrp vrid 10 priority 120 SW2 Vlan interface10 vrrp vrid 10 preempt mode SW2 Vlan interface10 vrrp vrid 10 track interface Vlan interface 50 reduced 50 SW2 Vlan interface10 int vlan 20 SW2 Vlan interface20 vrrp vrid 20 virtual ip 192 168 20 254 SW2 Vlan interface20 vrrp vrid 20 preempt mode SW2 Vlan interface20 int e0 4 2 SW2 Ethernet0 4 2 port link type access SW2 Ethernet0 4 2 port access vlan 50 SW2 Ethernet0 4 2 quit SW2 ip route static 0 0 0 0 0 0 0 0 192 168 50 1 SW3 sys 10 40 SW3 int e0 4 4 SW3 vlan 10 SW3 vlan10 vlan 20 SW3 vlan20 vlan 50 SW3 vlan50 vlan 60 SW3 vlan60 int e0 4 3 SW3 Ethernet0 4 3 port link type trunk SW3 Ethernet0 4 3 port trunk permit vlan all SW3 Ethernet0 4 3 int vlan 10 SW3 Vlan interface10 ip add 192 168 10 253 24 SW3 Vlan interface10 int vlan 20 SW3 Vlan interface20 ip add 192 168 20 253 24 SW3 Vlan interface20 int vlan 60 SW3 Vlan interface60 ip add 192 168 60 253 24 SW3 Vlan interface60 int vlan 10 SW3 Vlan interface10 vrrp vrid 10 virtual ip 192 168 10 254 SW3 Vlan interface10 vrrp vrid 10 preempt mode SW3 Vlan interface10 int vlan 20 SW3 Vlan interface20 vrrp vrid 20 virtual ip 192 168 20 254 SW3 Vlan interface20 vrrp vrid 20 priority 120 SW3 Vlan interface20 vrrp vrid 20 preempt mode SW3 Vlan interface20 vrrp vrid 20 track interface Vlan interface 60 reduced 50 11 40 SW3 Vlan interface20 int e0 4 2 SW3 Ethernet0 4 2 port link type access SW3 Ethernet0 4 2 port access vlan 60 SW3 Ethernet0 4 2 quit SW3 ip route static 0 0 0 0 0 0 0 0 192 168 60 1 4 3 广域网的相关调试 4 3 1 IPTABLES 防火墙的配置 root localhost echo 1 proc sys net ipv4 ip forward root localhost iptables t nat POSTROUTING s 192 168 1 0 24 o eth1 j SNAT to 218 85 157 100 root localhost iptables t nat A PREROUTING p tcp dport 80 d 218 85 157 100 j DNAT to destination 192 168 1 100 root localhost iptables p INPUT DROP root localhost iptables p OUTPUT ACCEPT root localhost iptables p FORWARD DROP root localhost iptables A INPUT p tcp dport 22 j ACCEPT root localhost iptables A OUTPUT p tcp sport 22 j ACCEPT root localhost iptables A OUTPUT p tcp sport 80 j ACCEPT root localhost iptables A INPUT p tcp dport 80 j ACCEPT root localhost iptables A INPUT p tcp dport 110 j ACCEPT root localhost iptables A INPUT p tcp dport 25 j ACCEPT root tp iptables A INPUT p tcp dport 21 j ACCEPT 12 40 root localhost iptables A INPUT p tcp dport 20 j ACCEPT root localhost iptables A INPUT p tcp dport 53 j ACCEPT root localhost etc init d iptables save root localhost etc init d iptables restart 4 4 RedRed HatHat LinuxLinux 5 5 系统上相关服务器的搭建 4 4 1 WEB 服务器的安装配置 WEB 服务器的 ip 地址 192 168 1 100 域名 root localhost cd home wg2010 root localhost wg2010 tar zxvf httpd 2 0 59 tar gz C tmp root localhost wg2010 cd tmp root localhost tmp cd httpd 2 0 59 root localhosthttpd 2 0 59 configure prefix usr loacl apache sysconfdir usr loacl apache conf root localhosthttpd 2 0 59 make root localhosthttpd 2 0 59 make inatall 4 4 2 DNS 服务器的安装配置 DNS 服务器 ip 地址 192 168 1 100 root localhost mount dev cdrom mnt cdrom root localhost cd mnt cdrom m root localhost cdrom cd Server 13 40 root localhost Server ls grep bind root localhost Server rpm ivh bind 9 3 3 10 el5 i386 rpm root localhost Server rpm ivh bind utils 9 3 3 10 el5 i386 rpm root localhost Server ls grep cach root localhost Server rpm ivh caching nameserver 9 3 3 10 el5 i386 rpm root localhost Server cd home wg0803 dns root localhost wg0803 ls m root localhost dns cp zone var named root localhost dns cp zone var named root localhost dns cp named ca var named cp 是否覆盖 var named named ca n root localhost dns cp named conf etc root localhost dns cd var named root localhost etc vi named conf generated by named bootconf pl options directory var named If there is a firewall between you and nameservers you want to talk to you might need to uncomment the query source directive below Previous versions of BIND always asked questions using port 53 but BIND 8 1 uses an unprivileged 14 40 port by default query source address port 53 a caching only nameserver config controls inet 127 0 0 1 allow localhost keys rndckey zone IN type hint file named ca zone localhost IN type master file localhost zone allow update none zone 0 0 127 in addr arpa IN type master file named local 15 40 allow update none zone IN type master file zone zone IN type master file zone zone 1 168 192 in addr arpa IN type master file 1 168 192 in addr arpa include etc rndc key m root localhost named vi zone TTL86400 ORIGIN 1D IN SOA 42 serial d adams 3H refresh 16 40 15M retry 1W expiry 1D minimum 1D IN NS IN MX 10 www 1D IN A 192 168 1 1100 mail 1D IN A 192 168 1 1100 ftp IN CNAME www root localhost named vi zone TTL86400 ORIGIN 1D IN SOA 42 serial d adams 3H refresh 15M retry 1W expiry 1D minimum 1D IN NS IN MX 10 www 1D IN A 192 168 1 1100 mail 1D IN A 192 168 1 1100 17 40 ftp IN CNAME www root localhost service named start 4 4 3 Exchange 服务器 安装过程 1 下图为 Exchange Service 2003 的安装开始界面 选择 Exchange 部署工具 2 在下图中 选择 部署第一台 Exchange 2003 服务器 3 选择 安装全新的 Exchange 2003 18 40 4 下图为安装 Exchange 2003 的八大步骤 需要逐一的满足才能安装成功 5 服务器的操作系统为 Windows service 2003 因此步骤 1 完成 下图为相关组件和服务的启用 控制面板 添加 删除 Windows 组件 依次启用相关的组件 应用 确定 19 40 在安装组件的过程中 会出现如下的提示 要求插入安装光盘 根据提示选择相关文件即可开始安装组件 直到完成 6 安装 dcdiag 和 netdiag 工具 打开系统安装光盘中的内容 打开 SUPPORT Tools 双击 SUPTOOLS MSI 进行安装 20 40 跳出如下安装界面后一直 Next 直到安装完成 7 ForestPrep 安装 点击 立即运行 ForestPrep 会出现如下的安全提示框 点击 继续 21 40 下图为 Forest Prep 安装的开始界面 下一步 22 40 下一步 开始安装 ForestPrep 这个过程比较漫长 耐心等待安装完成 8 DomainPrep 的安装 23 40 下图为 DomainPrep 安装的开始界面 下一步 当出现如下提示框时 点击 确定 开始安装 直到安装完成 24 40 8 Exchange 程序安装 下一步 25 40 选择 新建 Exchange 组织 下一步 输入组织名 kingtcn 下一步 26 40 输入简单管理组织名 kingtcn 下一步 下一步 开始安装 二 Exchange 的设置 1 打开 AD 用户和计算机 2 在 e Users 中新建用户 test1 和 test2 3 新建用户完成之后 打开 IE 浏览器 在地址栏中输入 http 10 10 10 1 exchange 出现如下图所示的登入 框 输入刚刚创建的用户名和密码 27 40 4 下图为 Exchange 2003 的 OWA 界面 5 新建一封电子邮件 发送到 test2 28 40 6 用另一个新建的用户登录 7 在下图中 我们已经可以看到 test2 中 有一封从 test1 中发送过来的邮件 这样 我们的 Exchange 2003 就安装成功了 4 4 4 FTP 服务器的安装和配置 ifconfig eth0 192 168 1 100 netmask 255 255 255 0 root localhost service sshd start 启动 sshd 确定 root localhost mount dev cdrom mnt cdrom mount block device dev cdrom is write protected mounting read only root localhost cd mnt cdrom m root localhost cdrom cd Server root localhost Server rpm ivh vsftpd 2 0 5 10 el5 i386 rpm warning vsftpd 2 0 5 10 el5 i386 rpm Header V3 DSA signature NOKEY key ID 37017186 Preparing 100 29 40 100 package vsftpd 2 0 5 10 el5 is already installed root localhost Server service vsftpd start 为 vsftpd 启动 vsftpd 确定 root localhost Server useradd king root localhost Server passwd king Changing password for user king New UNIX password BAD PASSWORD it is too simplistic systematic Retype new UNIX password passwd all authentication tokens updated successfully root localhost Server ftp 192 168 1 100 Connected to 192 168 1 100 220 vsFTPd 2 0 5 530 Please login with USER and PASS 530 Please login with USER and PASS KERBEROS V4 rejected as an authentication type Name 192 168 1 100 root king 331 Please specify the password Password 230 Login successful Remote system type is UNIX 30 40 Using binary mode to transfer files ftp 第五章第五章 测试测试 5 1 系统测试原理和方法 从实施阶段可分成 单个系统或相对独立部件的测试 例如单个路由器的自检等等 子系统的测试 例如中心网络的测试等等 整个网络系统的测试 测试的目标是为了保证用户能够科学而公正地验收供应商提供的设备和软件 系统集成商提供的 整套系统 也是为了保证供应商和系统集成商能够准确无误地提供合同所要求的设备和系统 所以 测试的目的对用户而言是为了验收 测试应该由供应商和系统集成商 用户及用户聘请的技术顾问共同参与 5 2 硬件设备测试和验收 部件级测试 部件级测试指对设备中各个部件的功能 可靠性 耐用性和可维性的测试 升档能力的衡量等 该类 测试一般已在原厂的生产过程中完成 用户只需在使用过程中加以观测即可 设备级测试 设备级测试主要包括对设备的处理能力 可靠性 可扩充性 开放性等方面进行测试 设 备级测试需用有关的测试工具 仪器或软件来进行 也可在实际应用中对其某些性能加以测试 系统级测试 31 40 系统级测试主要包括网络的连通性测试 系统的可靠性测试 系统的响应时间 系统的抗 干扰测试 系统的安全保密性测试等 这一类测试可借助于某些网络测试工具或网络管理和测 试软件来完成 5 3 系统集成测试 功能性测试 测试系统应提供的每一个功能和安全性限制 检查系统是否已正常实现所有功能 连通性测试 测试网络上任意站点间是否能够相互传输数据 测试各个终端能否登录中心服务器 并访 问数据库 对数据库进行正常的操作 稳定性测试 在不间断运行的一段时间内 系统有无异常现象发生 如有异常 是由系统自动处理还是 系统管理员人工干预处理 不间断的测试时间以一周 7 天 为限 重载测试 在系统处于重载工作状况时 通过计算机系统的监控软件 以及网络系统的管理软件监测 计算机系统和网络系统的性能指标 5 3 测试相关命令 5 3 1 通用测试 诊断命令 ping x x x x 标准 ping 用于测试设备间的物理连通性 扩展 ping 用于测试设备间的物理连通性 扩展 ping 命令还支持灵活定义 ping 参数 如 ping 数据包的大小 发送包的个数 等待响应数据包的超时时间等 traceroute x x x x 用于跟踪 显示路由信息 display current configuration 用于显示路由器 交换机运行配置文件的内容 32 40 display sessions 用于显示从当前设备发出的所有呼出 Telnet 会话 disconnect 用于断开与远程目标主机的 Telnet 会话 clear line 用于断开远程主机的呼入 Telnet 连接 shutdown 用于临时将某个接口关闭 un shut 用于手动启动 激活 处于管理性关闭的接口 display arp 用于显示 ARP 缓存 ARP 表 的内容 display interface 用于显示各接口的状态及参数信息 dir flash 用于显示闪存中的文件清单 dir nvram 用于显示非易失性内存中的文件清单 show debugging 用于显示正在进行的诊断过程清单 undebug all 用于停止所有诊断过程 5 3 2 CDP 测试 诊断命令 show cdp 用于显示 CDP 全局参数信息 show cdp neighbors 用于显示 CDP 邻居设备的摘要信息 show cdp neighbors detail l 用于显示 CDP 邻居设备的详细信息 包括 邻居设备名称 邻居设备接口 IP 地址 邻居设备软件版本信息 设备性能 设备平台 本地设备接口 邻居设 备接口 CDP 缓存条目保持时间 CDP 广播版本 接口双工方式等 show cdp entry 用于显示指定邻居设备的相关信息 show cdp interface 用于显示本地设备各个接口的状态 接口封装格式 CDP 包的周期 发送时间以及 CDP 保持时间等 show cdp traffic 用于显示和 CDP 相关的流量统计信息 包括接收和发送的 CDP 包数量 包括头部错误 校验错误 封装错误等在内的错误数量等 5 3 3 路由和路由协议测试 诊断命令 33 40 display ip routing table 用于显示当前路由表内容 5 3 4 VLAN VTP 测试 诊断命令 Dis vlan all 用于查看 VLAN 创建情况 该命令可以显示系统所有的 VLAN 信息 包括 VLAN 编号 VLAN 名称 VLAN 状态 VLAN 成员等信息 show vtp status 用于检查 VTP 配置情况 5 3 5 生成树测试 诊断命令 show spanning tree 用于显示生成树协议中交换机及其端口的情况 show spanning tree blockedports 用于显示处于阻塞状态的端口 show spanning tree detail 用于显示生成树详细信息 show spanning tree interface 用于显示生成树中某端口相关状态 show spanning tree vlan 当有多个 VLAN 时 Catalyst 交换机会为每个 VLAN 运行一个生 成树实例 此命令用于显示指定 VLAN 的生成树内容 show spanning tree summary 用于显示生成树总结 包括本交换机是哪些 VLAN 的根网 桥 端口快速特性是否启用 处于生成树各个端口状态的端口数量等信息 5 3 6 NAT 测试 诊断命令 show ip nat translation 用于显示并观察当前正在进行的 NAT 情况 show ip nat translation verbose 用于显示并观察当前正在进行的 NAT 更为详细的情况 show ip nat statistics 用于显示 NAT 运行情况统计 debug ip nat 用于打开对 NAT 的诊断 5 3 7 ACL 测试 诊断命令 display access lists 用于显示所有已定义的访问控制列表内容及命中情况 display i