eNSP_ACL原理及应用

忡黑梨2026-04-28 14:25

摘要:本文通过eNSP模拟器,完整复现了一个包含研发部、办公室及财务服务器的典型企业网络环境。实验目标包括实现部门间基础通信、通过默认路由与NAT访问互联网,并最终配置高级ACL以实现对财务服务器的访问控制。本文将详述配置过程、结果验证,并分享在应用ACL策略时遇到的问题与思考。

一、实验拓扑

网络拓扑

核心设备:一台路由器(Router),作为全网网关

  • 内网划分

    • 研发部 :通过交换机LSW1接入,网段为 192.168.1.0/24。终端PC地址为 192.168.1.10,网关为 192.168.1.1

    • 办公室 :通过交换机LSW2接入,网段为 192.168.2.0/24。终端PC地址为 192.168.2.10,网关为 192.168.2.1

    • 财务部服务器 :直连路由器,地址为 192.168.3.100/24,网关为 192.168.3.1

  • 外网连接 :路由器通过公网地址 100.1.1.2/30连接至互联网(由另一台路由器模拟)。

设计目标

  1. 实现三个内网网段之间的互访。

  2. 通过高级ACL实现安全策略:仅允许办公室网段访问财务服务器,禁止研发部访

二、配置步骤

步骤 1:基础配置

首先将路由器的接口配置对应网关地址

<Huawei>

<Huawei>sy

Enter system view, return user view with Ctrl+Z.

Huawei

Apr 27 2026 19:15:24-08:00 Huawei %%01PHY/1/PHY(l)0: GigabitEthernet0/0/1:

change status to down

Apr 27 2026 19:15:25-08:00 Huawei %%01PHY/1/PHY(l)1: GigabitEthernet0/0/1:

change status to up

Huaweiundo in

Huaweiundo info-center e

Huaweiundo info-center enable

Info: Information center is disabled.

Huaweisysna

Huaweisysname Router
Routerint e0/0/1

Router-Ethernet0/0/1ip add

Router-Ethernet0/0/1ip address 192.168.1.1 24

Router-Ethernet0/0/1q

Routerint e0/0/0

Router-Ethernet0/0/0ip add

Router-Ethernet0/0/0ip address 192.168.2.1 24

Router-Ethernet0/0/0q

Routerint g0/0/0

Router-GigabitEthernet0/0/0ip add

Router-GigabitEthernet0/0/0ip address 192.168.3.1 24

Router-GigabitEthernet0/0/0q

Routerint g0/0/1

Router-GigabitEthernet0/0/1ip add

Router-GigabitEthernet0/0/1ip address 100.1.1.2 30

Router-GigabitEthernet0/0/1q

步骤 2:验证网络互通性

研发部与各个部门的互通性

办公室与各个部门

步骤 3:配置ACL

Routeracl 3000

Router-acl-adv-3000rule 10 d

Router-acl-adv-3000rule 10 deny ip s

Router-acl-adv-3000rule 10 deny ip source 192.168.1.0 0.0.0.255 d

Router-acl-adv-3000rule 10 deny ip source 192.168.1.0 0.0.0.255 destination 19

2.168.3.100 0.0.0.0

Router-acl-adv-3000rule 20 d

Router-acl-adv-3000rule 20 deny ip sour

Router-acl-adv-3000rule 20 deny ip source 192.168.2.0 0.0.0.255 d

Router-acl-adv-3000rule 20 deny ip source 192.168.2.0 0.0.0.255 destination 19

2.168.3.100 0.0.0.0

Router-acl-adv-3000rule

Router-acl-adv-3000rule 30

Router-acl-adv-3000rule 30 d

Router-acl-adv-3000rule 30 deny ip s

Router-acl-adv-3000rule 30 deny ip source a

Router-acl-adv-3000rule 30 deny ip source any d

Router-acl-adv-3000rule 30 deny ip source any destination 192.168.3.100 0.0.0.

0

Router-acl-adv-3000rule 30 deny ip source any destination 192.168.3.100 0.0.0.

0

Router-acl-adv-3000

步骤 4:在接口应用(在出口上)

完蛋了,这个路由器啥命令都不允许(因为我用的是Router不是AR)我AR打不开搞不懂啥情况我得搞好这个

后面的就直接这里编辑了

Routerinterface GigabitEthernet 0/0/0

Router-GigabitEthernet0/0/0 traffic-filter outbound acl 3000

步骤5:验证acl

发现各个部门都ping不通!结束吧!

相关推荐
逸模5 小时前
告别熬夜手工整理台账,逸模智能归集实现项目数据自动化存档
大数据·运维·人工智能·笔记·其他·信息可视化·自动化
sbjdhjd5 小时前
Redis 主从复制、哨兵高可用与 Cluster 集群部署实验手册
运维·前端·redis·云原生·开源·bootstrap·html
liulilittle6 小时前
关于拥塞控制的几点思考
网络·c++·tcp/ip·计算机网络·信息与通信·tcp·通信
AOwhisky6 小时前
MySQL 学习笔记(第四期):SQL 语言之多表查询
linux·运维·网络·数据库·笔记·学习·mysql
Phantom Void6 小时前
服务器处理客户端请求的设计方法
linux·运维·网络
王码码20356 小时前
办了500M宽带看视频还是卡?我用NAS搭了个测速服务器,宽带有没有缩水一测便知
网络·接口·nas
司悠6 小时前
【解决在vscode里开服务器登录codeX后发消息会一直reconnecting】
服务器·ide·vscode
倔强的石头1066 小时前
Fooocus开源神器+cpolarAI让绘画告别服务器依赖
运维·服务器·cpolar
Ajie'Blog6 小时前
Copilot Agent Tasks API 开放:AI 编程开始进入后台任务时代
服务器·前端·javascript·人工智能·copilot·ai编程
wei_shuo6 小时前
服务器挂了等用户投诉才发现?我用Beszel搭了轻量监控系统,宕机第一时间通知我
运维·服务器
热门推荐
01GitHub 镜像站点02【AI】2026 年具身智能模型和世界模型总结03Codex 下载安装指南:Windows 和 macOS 官方版下载042026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf05Agnes AI 全模态 API 免费实测报告:文生图 + 文生视频完整测试06【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法07CC-Switch & Claude 基于 Linux 服务器安装使用指南08Codex 桌面端更新后 Chrome 插件和 Computer Use 不可用,怎么排查和修复09CC-Switch 下载、安装与使用配置指南【2026.5.29】102026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?