eNSP_ACL原理及应用

摘要：本文通过eNSP模拟器，完整复现了一个包含研发部、办公室及财务服务器的典型企业网络环境。实验目标包括实现部门间基础通信、通过默认路由与NAT访问互联网，并最终配置高级ACL以实现对财务服务器的访问控制。本文将详述配置过程、结果验证，并分享在应用ACL策略时遇到的问题与思考。

一、实验拓扑

网络拓扑：

核心设备：一台路由器（Router），作为全网网关

内网划分：
- 研发部 ：通过交换机LSW1接入，网段为 192.168.1.0/24。终端PC地址为 192.168.1.10，网关为 192.168.1.1。
- 办公室 ：通过交换机LSW2接入，网段为 192.168.2.0/24。终端PC地址为 192.168.2.10，网关为 192.168.2.1。
- 财务部服务器 ：直连路由器，地址为 192.168.3.100/24，网关为 192.168.3.1。
外网连接 ：路由器通过公网地址 100.1.1.2/30连接至互联网（由另一台路由器模拟）。

设计目标：

实现三个内网网段之间的互访。
通过高级ACL实现安全策略：仅允许办公室网段访问财务服务器，禁止研发部访

二、配置步骤

步骤 1：基础配置

首先将路由器的接口配置对应网关地址

<Huawei>

<Huawei>sy

Enter system view, return user view with Ctrl+Z.
$Huawei$
Apr 27 2026 19:15:24-08:00 Huawei %%01PHY/1/PHY(l) $0$ : GigabitEthernet0/0/1:

change status to down

Apr 27 2026 19:15:25-08:00 Huawei %%01PHY/1/PHY(l) $1$ : GigabitEthernet0/0/1:

change status to up

$Huawei$ undo in

$Huawei$ undo info-center e

$Huawei$ undo info-center enable

Info: Information center is disabled.

$Huawei$ sysna

$Huawei$ sysname Router
$Router$ int e0/0/1

$Router-Ethernet0/0/1$ ip add

$Router-Ethernet0/0/1$ ip address 192.168.1.1 24

$Router-Ethernet0/0/1$ q

$Router$ int e0/0/0

$Router-Ethernet0/0/0$ ip add

$Router-Ethernet0/0/0$ ip address 192.168.2.1 24

$Router-Ethernet0/0/0$ q

$Router$ int g0/0/0

$Router-GigabitEthernet0/0/0$ ip add

$Router-GigabitEthernet0/0/0$ ip address 192.168.3.1 24

$Router-GigabitEthernet0/0/0$ q

$Router$ int g0/0/1

$Router-GigabitEthernet0/0/1$ ip add

$Router-GigabitEthernet0/0/1$ ip address 100.1.1.2 30

$Router-GigabitEthernet0/0/1$ q

步骤 2：验证网络互通性

研发部与各个部门的互通性

办公室与各个部门

步骤 3：配置ACL

$Router$ acl 3000

$Router-acl-adv-3000$ rule 10 d

$Router-acl-adv-3000$ rule 10 deny ip s

$Router-acl-adv-3000$ rule 10 deny ip source 192.168.1.0 0.0.0.255 d

$Router-acl-adv-3000$ rule 10 deny ip source 192.168.1.0 0.0.0.255 destination 19

2.168.3.100 0.0.0.0

$Router-acl-adv-3000$ rule 20 d

$Router-acl-adv-3000$ rule 20 deny ip sour

$Router-acl-adv-3000$ rule 20 deny ip source 192.168.2.0 0.0.0.255 d

$Router-acl-adv-3000$ rule 20 deny ip source 192.168.2.0 0.0.0.255 destination 19

2.168.3.100 0.0.0.0

$Router-acl-adv-3000$ rule

$Router-acl-adv-3000$ rule 30

$Router-acl-adv-3000$ rule 30 d

$Router-acl-adv-3000$ rule 30 deny ip s

$Router-acl-adv-3000$ rule 30 deny ip source a

$Router-acl-adv-3000$ rule 30 deny ip source any d

$Router-acl-adv-3000$ rule 30 deny ip source any destination 192.168.3.100 0.0.0.

0

$Router-acl-adv-3000$ rule 30 deny ip source any destination 192.168.3.100 0.0.0.

0
$Router-acl-adv-3000$

步骤 4：在接口应用（在出口上）

完蛋了，这个路由器啥命令都不允许（因为我用的是Router不是AR)我AR打不开搞不懂啥情况我得搞好这个

后面的就直接这里编辑了

$Router$ interface GigabitEthernet 0/0/0

$Router-GigabitEthernet0/0/0$ traffic-filter outbound acl 3000

步骤5：验证acl

发现各个部门都ping不通！结束吧！