访问控制列表在校园网中的应用

XXXXXX职业技术学院毕业设计报告
设计题目访问控制列表在校园网中的应用系别
专业
年级班别
学号
学生姓名
指导教师
提交日期：年月日
访问控制列表在校园网中的应用
摘要：随着计算机和互联网的高速发展，人们能够随时通过互联网了解到世界各地的信息。

而对于学校来说，校园网则肩负着教学资源共享、培养学生各方面能力的重任，因此对校园网进行有效管理就是目前各大院校师生的共同愿望。

校园网的安全是一个庞大的系统工程，需要全方位的防范，而ACL 技术的出现带给了人们对校园网进行有效管理的信心。

本文基于ACL为主，建立ACL列表控制和保障整个校园网的安全运行，使校园网运作在一个安全稳定的环境下。

关键字：ACL；访问控制列表；校园网；网络安全
目录
前言 (4)
1 ACL的概述 (4)
1.1 ACL的基本原理 (4)
1.2 ACL的主要功能 (6)
1.3 ACL的分类 (6)
1.4 ACL的执行过程 (6)
1.5 ACL的3P原则 (7)
1.6 ACL的放置 (8)
2 ACL的创建和配置 (7)
2.1 标准ACL的基本语法 (8)
2.2 扩展ACL的基本语法 (9)
2.3 命名式ACL的基本语法 (9)
2.4 删除ACL (10)
2.5 基于时间的ACL的基本用法 (10)
3 校园网ACL的配置实例 (12)
3.1 搭建配置环境 (12)
3.2 实现全网互通 (14)
3.3 用ACL控制病毒 (16)
3.4 限制数据流流向 (17)
3.5 应用服务的访问控制 (17)
3.6 上网时间的访问控制 (19)
3.7 保护服务武器 (20)
4 结束语 (22)
参考文献 (23)
5 致谢 (24)
前言
目前，在大部分大、中、小学的校园中，校园网资源的设备正在扮演非常重要的角色，一方面，校园网能够在很大程度上协助教师分担和改进大量计算机课程的授课，另一方面，校园网也是对学生进行多方面教育和培训的重要手段。

但是，近年来，随着很多学校进行扩招以及机房的加建，校园网的网络规模呈现着不断上升的状况，以及难以满足广大师生应用需求的现象也不断增多，加上网络互联也导致了部门之间数据保密性降低，影响了部门安全。

因此，校园网络监视需考虑部门之间的访问控制和网络设备的安全。

如管理人员可登陆网络设备或访问其他部门并可自由访问互联网；对学生或其他部门访问互联网的时间、内部相互访问的控制。

作为目前最为先进、有效的网络安全管理技术手段，ACL 技术在校园网管理中的应用无疑是一种非常行之有效的方法。

因为它不仅可以很好地杜绝网络安全隐患，还可以省去购买硬件防火墙的开支。

1 ACL的概述
访问控制列表ACL(Access Control List)是一种对经过路由器的数据流进行判断、分类和过滤的技术。

它是一系列包含源地址、目的地址、端口号等信息的语句的集合，每条语句称之为一个规则(rule)，它规定对到达数据包的处理动作。

通过匹配数据包中的信息与访问控制列表的规则可以过滤数据包，实现对交换路由设备和网络的安全控制。

1.1 ACL的基本原理
ACL是一组命令，用来控制进入或离开接口的流量，可以为流过网络的流量提供一个基本级别的安全保护。

它的工作原理是查看数据包的第三层或者第四层信息，通过读取数据包的这些信息，ACL按照事先设置好的一套规则来决定如何处理数据包，是将它们转发到目的地，还是丢弃该数据包。

创建了ACL后，可以将其绑定到路由器的入口或出口，图1显示了一个将ACL应用到接口上的流入流量的例子。

在该例中，当接口收到数据包时, IOS首先确定ACL是否被应用到了该接口。

如果没有，IOS正常地路由该数据包，如果有，IOS处理ACL。

从第一条语句开始，将条件和数据包内容作比较，如果没有匹配，
IOS处理列表中的下一条语句，如果有匹配，则执行操作：允许（permit）或拒绝（deny）。

如果IOS查遍了整个ACL也没有找匹配，则丢弃数据包。

对于输出ACL，过程是相似的，流程图如图2所示。

当IOS接收到数据包时，首先将数据包路由到输出接口。

然后IOS检查在接口上是否有ACL输出，如果没有，IOS将数据包排在队列中，发送出接口。

否则，数据包通过与ACL条目进行比较被处理。

1.2 ACL的主要功能
①限制网络数据流以提高网络性能
②提供流量控制
③提供基本的网络访问安全
④在路由器接口上决定转发或阻止哪些类型的数据流
⑤控制客户端可访问网络的哪些区域
⑥允许或拒绝主机访问网络服务
1.3 ACL的分类
目前主要有三种ACL[1] ：标准ACL、扩展ACL和基于时间的ACL。

标准的ACL[2]使用1-99或1300～1999之间的数字作为表号，扩展的ACL使用100-199或2000～2699之间的数字作为表号。

这两种ACL的区别[3]是：标准ACL只检查数据包的源地址；扩展ACL既检查数据包的源地址，也检查数据包的目的地址，同时还可以检查数据包的特定协议类型、端口号以及其他参数。

网络管理员可以使用标准ACL阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议(比如IP)的所有通信陆良。

扩展ACL比标准ACL提供了更广泛的控制范围。

例如，网络管理员如果希望做到允许外来的Web通信流量通过，拒绝外来的Telnet等通信流量，那么，他可以使用
扩展
ACL来大道目的，标志ACL不能控制得这么精确。

基于时间的访问控制列表则是在继承了扩展访问控制列表的基础上，引入了时间机制，可以在定制的时间段内生效。

1.4 ACL的执行过程
ACL通过接入控制列表可以在路由器、三层交换机上进行网络安全性配置，实现对进入路由器、三层交换机的输入数据流进行过滤。

过滤输入数据流可以是基于网络地址、TCP/UDP的应用等,可以选择对符合过滤规则的数据流是转发还是丢弃, 从而达到访问控制的目的。

一个端口上允许有多条ACL则按照列表中的条件语句顺序执行判断，自上而下，如果一个数据包的包头跟表中某个条件判断语句相匹配，则执行，后面的语句忽略。

如果与第一条判断条件语句不匹配，则执行ACL的下一条判断条件语句，依次类推，直到找到相匹配的语句出口，数据立即发送到目的接口。

如果所有的ACL判断语句都检查完，没有匹配的语句出口，则丢弃当前数据包。

自上而下处理过程[4]的另外一个重要方面是：如果路由器把分组和列表中的每一条语句都进行了比较，并且都没有找到和分组内容匹配的条目，路由器将丢弃分组。

这称为隐含拒绝。

在每个ACL的尾部都有一个不可见的语句，用来丢弃和ACL中前面所有语句都不匹配的流量。

通过这样的处理，就不再需要只包含deny语句的列表，因为隐含拒绝丢弃所有流量。

因此，每个ACL应该至少包含一条permit语句；否则，由于deny语句和隐藏的隐含拒绝语句，仅含deny语句的ACL将丢弃所有分组。

1.5 ACL的3P原则
在路由器中配置ACL时，一种通用规则是3P原则[5]，即可针对每种协议(per protocol)、每个方向(per direction)、每个接口(per interface)配置一个ACL。

每种协议一个ACL：要控制数据流穿越接口，必须为接口上启用的每种协议(如IP或IPX)定义一个ACL。

每个方向一个ACL：一个ACL只能控制接口上一个方向的数据流。

要控制入站数据流和出站数据流，必须创建两个ACL。

每个接口一个ACL：一个ACL只能控制一个接口(如FastEthernet0/0)上的数据流。

1.6 ACL的放置
ACL要么应用于出站数据流要么应用于出站数据流。

出站[6]：已经经过路由器处理，正离开路由器接口的流量(也称出口流量)。

源是流量起源的场所(在路由一侧)，目的是流量要去的地方(远离这台路由器)。

入站：已到达路由器接口的流量(也称为入口流量)将被路由器处理，穿过这台路由器到达目的地。

源是已到达的场所(在路由器之前)，目的地是流量要去的地方(在路由器的另一侧)。

标准ACL应尽可能靠近接收站设备放置。

扩展ACL应尽可能靠近发送站设备放置。

2 ACL的创建和配置
2.1标准ACL的基本语法
Router(config)#access-list cess-list-number permit|deny source_address wildcard_mask
列如：创建一个ACL允许192.168.1.0网段的所有主机。

Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
应用到接口：
Router(config)#interface serial-number
Router(config)#ip access-proup acess-list-number {in/out}
例如：Router(config)#interface serial 0
Router(config)#ip access-group 1 in
其中：
acess-list-number 标识条目所属的列表，它是一个1-99或1300-1999的符号；
permit/deny 指明该条目是允许还是阻塞指定的地址；source-address 标识源IP地址。

wildcard mask 标识地址域中哪些位需要进行匹配，默认掩码是0.0.0.0（匹配所有），设定为反向子网掩码（如：255.255.255.0反向子网掩码为
0.0.0.255）；
serial-number 端口号。

in/out选择将访问控制列表作为输入过滤器还是输出过滤。

2.2扩展ACL的基本语法
Router(config)#access-list acess-list-number permit|deny IP_protocol source_address source_wildcard_mask [operator port] destination_address destination_wildcard_mask [operator port]
例如：拒绝网络192.168.1.0/24访问FTP服务器192.168.2.100/24，而允许其他主机访问。

Router(config)#access-list 102 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.100 eq 21
Router(config)#access-list 102 permit ip any any
Router(config)#interface serial 0/应用到接口/
Router(config)#ip access-group 102 in
其中：
扩展ACL的access-list-number 使用在100-199或2000-2699之间的一个号标识列表。

protocol 可以是IP、TCP、UDP、ICMP、GRE或IGRP。

operator port 可以是lt（小于），gt（大于），eq（等于），neq（不等于）一个端口号。

2.3 命名式ACL的基本语法
命名ACL是以列表名称代替列表编号来定义ACL，同样包括标准和扩展两种列表。

命名ACL还可以被用来从某一特定的ACL中删除个别的控制条目，这样可以使网络管理员方便修改ACL。

创建命名访问控制列表的语法如下：
Router(config)#ip access-list {standard|extended} access-list-name
其中：
standard:创建标准的命名访问控制列表。

extended:创建扩展的命名访问控制列表。

access-list-name:命名控制列表的名字，可以是任意字母和数字的组合。

标准命名ACL语法如下：
Router(config-std-nacl)#[Sequence-Number] {permit|deny} source [souce-wildcard]
扩展命名ACL语法如下：
Router(config-ext-nacl)#[Sequence-Number] {permit|deny} protocol {source souce-wildcard destination destination-wildcard} [operator operan]
无论是配置标准命名ACL语句还是配置扩展命名ACL语句，都有一个可选参数Sequence-Number。

Sequence-Number参数表明了配置的ACL语句在命令ACL 中所处的位置，默认情况下，第一条为10，第二条为20，以此类推。

Sequence-Number可以很方便地将新添加的ACL语句插于到原有的ACL列表的指定位置，如果不选择Sequence-Number，，默认添加到ACL列表末尾并且序列号加10。

2.4 删除ACL
(1)删除标准和扩展ACL
语法：Router(config)#no access-list access-list-number
标准和扩展的ACL只能删除整个ACL条目，不能删除个别条目。

(2)删除命名式ACL
语法：Router(config)#no ip access-list {standard|extended} access-list-name
对于命名ACL来说，可以删除单条ACL语句，而不必删除整个ACL。

并且ACL 语句可以有选择的插入到列表中的某个位置，使得ACL配置更加方便灵活。

如果要删除某一ACL语句，可以使用“no Sequence-Number”或“no ACL”语句两种方式。

2.5基于时间的ACL的基本用法
在继承了扩展访问控制列表的基础上，引入了时间机制，可以在定制的时间段是扩展访问控制列表生效。

基本语法为：
Router(config-if)#time-range time-range-name absolute [starttime date][end time date] periodic days-of-the week hh:mm to[days-of-the week ] hh:mm
例如：
在一个网络中，路由器的以太网接口E0连接着192.168.1.0 网络，还有一个串口S0连入Internet。

了让192.168.1.0网络内的在工作时间内不能进行Web 浏览，从2008年5月1日1时到2008年5月31日晚24时这一个月中，只有在周六早7时到周日晚10时才可以通过校园网的网络访问Internet。

我们通过基于时间的扩展访问控制列表来实现这一功能：
Router#config t
Router(config)#time-range http //时间范围名称为http
Router(config-if)#absolute start 1:00 1 may 2008 end 24:00 31 may 2008 periodic Saturday 7:00 to Sunday 22:00
Router(config-if)#ip access-list 101 permit tcp any any eq 80 http Router(config)#interface Ethernet 0
Router(config-if)#ip access-group 101 in
我们是在一个扩展访问列表的基础上，再加上时间控制就达到了目的。

其中：
time-range用来定义时间范围的命令。

time-range-name时间范围名称，用来标识时间范围，以便于在后面的访问列表中引用。

absolute 该命令用来指定绝对时间范围。

它后面紧跟着start和end两个关键字。

在这两个关键字后面的时间要以24小时制hh:mm表示，日期要按照日/月/年来表示。

如果省略start 及其后面的时间，则表示与之相联系的permit 或deny语句立即生效，并一直作用到end处的时间为止。

如果省略end及其后面的时间，则表示与之相联系的permit或deny语句在start处表示的时间开始生效，并且一直进行下去。

periodic主要是以星期为参数来定义时间范围的一个命令。

它的参数主要有Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、Sunday中的一个或者几个的组合，也可以是
daily(每天)、weekday(周一至周五)，或者weekend(周末)。

参数如表1：
表1
3 校园网ACL的配置实例
3.1 搭建配置环境
图3 校园网拓扑图
设备信息：
CISCO 2921/K9设备参数
端口结构模块化VPN支持支持
广域网接口3个Qos支持支持防火墙内置防火墙传输速率10/100/1000Mbps
网络协议IPv4，IPv6，静态
路由，IGMPv3，PIM
SM，DVMRP，IPSec
产品内存
DRAM内存：512MB，
最大2GB
表2
CISCO WS-C3560X-24T-S设备参数
产品类型千兆以太网交换机包转发率65.5Mpps
表3
CISCO WS-C2960-24TT-L设备参数
表5
校园网VLAN和IP地址规划图
表6
3.2 实现全网互通
第一步：核心交换机的配置
Switch#conf t //进入全局配置模式
Switch(config)#vtp domain jiwang //启用vtp中继协议，设vtp域名为jiwang Switch(config)#vtp mode server //将vtp设置为服务器模式
Switch(config)#int range fa0/2-3 //进入以太网2-3端口
Switch(config-if)#switchport trunk encapsulation dot1q//封装
Switch(config-if)#switchport mode trunk//设置为Trunk模式
Switch(config)#no shutdown
Switch#vlan database //进入vlan创建模式
Switch(vlan)#vlan 10 //创建vlan 10
Switch(vlan)#vlan 20
Switch(vlan)#vlan 30
Switch(vlan)#vlan 40
Switch(vlan)#vlan 50
Switch(vlan)#vlan 60
Switch(vlan)#vlan 100
Switch(vlan)#exit
Switch#show vlan //查看vlan
第二步：汇聚层的配置
Switch(config)#vtp domain jiwang
Switch(config)#vtp mode client //将vtp设置为客户端模式
Switch(config)#int fa0/1 //进入端口
Switch(config-if)#switchport trunk encapsulation dot1q //封装
Switch(config-if)#switchport mode trunk //设置Trunk模式
Switch(config)#int range fa0/2-3 //进入范围端口
Switch(config-if)#switchport mode access //设置端口2-3为access模式Switch(config)#int range fa0/3-6 //进入范围端口
Switch(config-if)#switchport trunk encapsulation dot1q //封装
Switch(config-if)#switchport mode trunk //设置Trunk模式
Switch(config-if)#end
Switch#show vlan //查看是否学习到
第三步：接入层的配置
Switch(config)#vtp domain jiwang
Switch(config)#vtp mode client //将vtp设置为客户端模式
Switch(config)#int fa0/1 //进入端口
Switch(config-if)#switchport mode trunk//设置Trunk端口模式
Switch(config-if)#no shutdown //打开端口
Switch(config)#int range fa0/2 //进入端口
Switch(config-if)#switchport mode access //设置Access端口模式Switch(config-if)#end
Switch#show vlan //查看是否学习到
Switch(config)#int fa0/2
Switch(config-if)#switchport access vlan 10 //给端口划分vlan
其他接入层参照此配置。

第四步：在核心交换机设置vlan管理IP
Switch(config)#int vlan 10 //进入vlan 10
Switch(config-if)#ip add 192.168.10.1 255.255.255.0 //给vlan配置IP Switch(config-if)#no shut
Switch(config-if)#exit
各vlan参照此配置。

第五步：在核心交换机和路由器启用ospf协议
Switch(config)#route ospf 1//启用ospf协议
Switch(config-router)#network 192.168.10.0 0.0.0.255 area 0
Switch(config-router)#network 192.168.20.0 0.0.0.255 area 0
Switch(config-router)#network 192.168.30.0 0.0.0.255 area 0
Switch(config-router)#network 192.168.40.0 0.0.0.255 area 0
Switch(config-router)#network 192.168.50.0 0.0.0.255 area 0
Switch(config-router)#network 192.168.60.0 0.0.0.255 area 0
Switch(config-router)#network 192.168.100.0 0.0.0.255 area 0
3.3 用访问控制列表过滤病毒
现在校园网中用户量大，网络使用频繁，导致网络遭到病毒侵犯的可能性加大，特别是蠕虫病毒由于其主动传播的特性，往往传播时间较长、形成危害较大，并且现在的蠕虫病毒多融入了黑客、木马等功能，还会阻止安全软件的运行，使得病毒的功能性更加强大。

它们生存在网络的节点之中，依靠系统的漏洞在网络上大量繁殖，造成网络阻塞之类的破坏。

为了提高网络的安全性和稳定性，可以在路由器上借助ACL建立相应的访问控制规则，关闭相应的端口，以阻止病毒入侵。

我们已经知道病毒程序和网络攻击程序常利用的端口有 69、135，138、139、445、539、593、4444 等
配置如下：
Router(config)#ip access-list extended bingdu
Router(config-ext-nacl)# deny tcp any any eq 135 //过滤TCP135端口Router(config-ext-nacl)# deny udp any any eq 445 //过滤UDP445端口
其余端口控制ACL命令与上面类似。

3.4 限制数据流流向
职工宿舍网段(192.168.20.0)的主机上存放教师个人相关资料和数据，对学生来说往往是保密的，因此不能让学生宿舍网段(192.168.10.0)访问，但是教师宿舍网段可以访问学生宿舍的计算机，以便对学生课外学习、课外作业等情况进行监控和指导。

为了达到此目的，可以在汇聚层1上进行如下配置：
Switch(config)#access-list 100 deny tcp 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 established //禁止学生宿舍访问职工宿舍
Switch(config)#access-list 100 permit tcp any any
Switch(config)#int vlan 10 //应用在所在vlan
Switch(config-if)#ip access-group 100 in
测试：
图4
3.5 应用服务的访问控制
高校校园网络是一个开放的环境，教职工、学生是比较活跃的网络用户，用户数量大，对互联网络充满好奇，敢于探索。

在空闲时间会尝试使用学到的各种网络攻击技术，在校园网络当中实践，满足自己的好奇心，这就可能会对校园网
络安全造成一定的影响和破坏。

利用
IP扩展访问控制列表实现应用服务的访问控制。

例如：在汇聚层1上连着学校提供的服务器群，另外还连着学生宿舍楼、教工宿舍楼，学校规定学生只能对服务器FTP进行访问,不能对WWW服务器进行访问，教工则没有限制。

主要配置如下：
Switch(config)#ip access-list extended denywww//命名ACL为denywww Switch(config-ext-nacl)#deny tcp 192.168.10.0 0.0.0.255 192.168.100.0 0.0.0.255 eq www //拒绝学生宿舍访问服务器www
Switch(config-ext-nacl)#interface vlan 10 //应用所在vlan
Switch(config-if)#ip access-group denywww in
测试：
图5
图6
3.6上网时间的访问控制
信息化高速发展时代，大部分学生都有自己的电脑，对学习也处于比较放松的状态，自觉性和自我约束能力比较差，只要学生交纳费用就可以随时使用网络，这既为学生提供了方便，也带来了问题。

部分学生因为上网看电影、玩游戏等娱乐通宵，导致第二天上课没精神，甚至缺课，部分学生还沉迷当中，严重影响了其正常的学习、生活规律。

并且，在实验室上课，部分学生也漫游Internet影响正常的教学秩序"无法完成教学任务。

为了减少这些问题的发生，学校可以利用ACL技术，加入有效的时间范围来更合理地有效控制网络，对学生宿舍网络、实验室网络限定上网的时间。

例如：限定2013年3月1 日到 2013年 6月 30日每逢周一至周五早上00:00到早上8:00，学生宿舍网络、实验室网络都不能上网。

主要配置如下：
Router(config)#time-range limit //时间范围名称为limit
Router(config-time-range)#absolute start 00:00 1 March 2013 end 8:00
june
2013//设置不能上网时间段
Router(config-time-range)#periodic weekday 00:00 to 8:00//周末开放Router(config)#access-list 130 deny ip 192.168.10.0 0.0.0.255 any limit//限制学生宿舍
Router(config)#access-list 130 deny ip 192.168.60.0 0.0.0.255 any limit //限制实验室
Router(config)#access-list 130 permit ip any any
Router(config)#interface fastethernet0/1 //应用在端口
Router(config)#ip access-group 130 in
3.7 保护服务器
服务器是校园网的重要设备，必须确保其数据的安全性。

校园内部网络能访问外部网络,外部网络能访问校园内部网的Web服务器，但不能访问FTP服务器。

在路由器上，主要配置如下：
Router(config)#access-list 123 deny tcp 193.168.10.0 0.0.0.255 192.168.100.0 0.0.0.255 eq ftp //拒绝Internet访问校园网服务器FTP Router(config)#access-list 123 permit tcp 193.168.10.0 0.0.0.255 192.168.100.0 0.0.0.255 eq www //允许Internet访问校园网服务器FTP Router(config)#int fa0/0 //应用在接口
Router(config-if)#ip access-group 123 in
测试：
图7
使用ACL进行网络访问权限控制，是目前主流交换路由设备的必备功能，可以有效地提升网络安全等级。

尽管我们有许多其他的保证网络安全的措施，尽管访问控制列表不能够完全保证网络的安全，但是由于访问控制列表的配置简单易行，能够起到一定的防范作用，减轻网络防火墙的负担，而且不需要增加额外的硬件投资，所以它越来越引起网络管理人员和网络工程师的重视。

当然，毕竟交换路由设备的主要功能是数据的交换和路由，过多的使用ACL将可能消耗系统大量资源，进而影响交换路由设备的数据交换和路由性能。

这样，就等于是牺牲网络运行效率来提高网络安全性。

因此，如果是需要进行较大规模的访问权限控制及数据安全过滤，最好选择专门的硬件防火墙。

综上所述，我个人认为，校园网络管理员必须充分了解校园网的实际应用状况，网络设备的功能和处理能力以及网络安全相关的最新信息，结合实际情况，在校园网络中合理、适当地使用ACL 访问控制列表进行网络层访问权限控制，网络性能将得到大幅提升，从而让ACL 这一先进技术的优势得以充分发挥。

[1]高亚娴. 使用访问控制列表构建安全网络[J].中国信息界，2010(7)：111-114
[2]贺斌，徐小华. 利用访问控制列表构建安全网络[J]. 科技信息，2010(16)：627
[3]周游. 校园网络安全解决方案之访问控制列表[J]. 电脑知识与技术，2009，5(17)：4413-4414
[4]CCNA学习指南. 640-802 / (美) 戴尔 (Deal，R.) 著；张波等译.——北京：人民邮电出版社，2009.4
[5]思科网络技术学院教程，CCNA Exploration，接入WAN / (美) 瓦尚 (Vachon，
B.)，(美)格拉齐亚尼 (Grazi-ani，R.)著；思科系统公司译.——北京：人民邮电出版社，2009.3
[6]网络安全技术与解决方案 / (美) 海吉 (Bhai ji，Y.) 著；罗进文等译. ——北京：人民邮电出版社，2009.3
致谢
本论文的完成意味着我三年的大学生活就要结束，在此，感谢各位老师和同学对我指导与无私帮助，谢谢。

（注：可编辑下载，若有不当之处，请指正，谢谢!）。