摘要:本文通过eNSP模拟器,完整复现了一个包含研发部、办公室及财务服务器的典型企业网络环境。实验目标包括实现部门间基础通信、通过默认路由与NAT访问互联网,并最终配置高级ACL以实现对财务服务器的访问控制。本文将详述配置过程、结果验证,并分享在应用ACL策略时遇到的问题与思考。
一、实验拓扑
网络拓扑:
核心设备:一台路由器(Router),作为全网网关
-
内网划分:
-
研发部 :通过交换机LSW1接入,网段为
192.168.1.0/24。终端PC地址为192.168.1.10,网关为192.168.1.1。 -
办公室 :通过交换机LSW2接入,网段为
192.168.2.0/24。终端PC地址为192.168.2.10,网关为192.168.2.1。 -
财务部服务器 :直连路由器,地址为
192.168.3.100/24,网关为192.168.3.1。
-
-
外网连接 :路由器通过公网地址
100.1.1.2/30连接至互联网(由另一台路由器模拟)。
设计目标:
-
实现三个内网网段之间的互访。
-
通过高级ACL实现安全策略:仅允许办公室网段访问财务服务器,禁止研发部访
二、配置步骤
步骤 1:基础配置
首先将路由器的接口配置对应网关地址
<Huawei>
<Huawei>sy
Enter system view, return user view with Ctrl+Z.
Huawei
Apr 27 2026 19:15:24-08:00 Huawei %%01PHY/1/PHY(l)[0]: GigabitEthernet0/0/1:
change status to down
Apr 27 2026 19:15:25-08:00 Huawei %%01PHY/1/PHY(l)[1]: GigabitEthernet0/0/1:
change status to up
Huawei\]undo in \[Huawei\]undo info-center e \[Huawei\]undo info-center enable Info: Information center is disabled. \[Huawei\]sysna \[Huawei\]sysname Router \[Router\]int e0/0/1 \[Router-Ethernet0/0/1\]ip add \[Router-Ethernet0/0/1\]ip address 192.168.1.1 24 \[Router-Ethernet0/0/1\]q \[Router\]int e0/0/0 \[Router-Ethernet0/0/0\]ip add \[Router-Ethernet0/0/0\]ip address 192.168.2.1 24 \[Router-Ethernet0/0/0\]q \[Router\]int g0/0/0 \[Router-GigabitEthernet0/0/0\]ip add \[Router-GigabitEthernet0/0/0\]ip address 192.168.3.1 24 \[Router-GigabitEthernet0/0/0\]q \[Router\]int g0/0/1 \[Router-GigabitEthernet0/0/1\]ip add \[Router-GigabitEthernet0/0/1\]ip address 100.1.1.2 30 \[Router-GigabitEthernet0/0/1\]q
步骤 2:验证网络互通性
研发部与各个部门的互通性
办公室与各个部门
步骤 3:配置ACL
Router\]acl 3000 \[Router-acl-adv-3000\]rule 10 d \[Router-acl-adv-3000\]rule 10 deny ip s \[Router-acl-adv-3000\]rule 10 deny ip source 192.168.1.0 0.0.0.255 d \[Router-acl-adv-3000\]rule 10 deny ip source 192.168.1.0 0.0.0.255 destination 19 2.168.3.100 0.0.0.0 \[Router-acl-adv-3000\]rule 20 d \[Router-acl-adv-3000\]rule 20 deny ip sour \[Router-acl-adv-3000\]rule 20 deny ip source 192.168.2.0 0.0.0.255 d \[Router-acl-adv-3000\]rule 20 deny ip source 192.168.2.0 0.0.0.255 destination 19 2.168.3.100 0.0.0.0 \[Router-acl-adv-3000\]rule \[Router-acl-adv-3000\]rule 30 \[Router-acl-adv-3000\]rule 30 d \[Router-acl-adv-3000\]rule 30 deny ip s \[Router-acl-adv-3000\]rule 30 deny ip source a \[Router-acl-adv-3000\]rule 30 deny ip source any d \[Router-acl-adv-3000\]rule 30 deny ip source any destination 192.168.3.100 0.0.0. 0 \[Router-acl-adv-3000\]rule 30 deny ip source any destination 192.168.3.100 0.0.0. 0 \[Router-acl-adv-3000
步骤 4:在接口应用(在出口上)
完蛋了,这个路由器啥命令都不允许(因为我用的是Router不是AR)我AR打不开搞不懂啥情况我得搞好这个
后面的就直接这里编辑了
Router\]interface GigabitEthernet 0/0/0 \[Router-GigabitEthernet0/0/0\] traffic-filter outbound acl 3000
发现各个部门都ping不通!结束吧!