华为ensp-高级ACL单通实验-存在BUG

       很多小伙伴在做毕设实验中都需要增加高级acl的应用,这是访问限制的板块,也是为自己的毕设交份满意的答卷,突出亮点。一般我们都是利用acl做简单的业务隔离,比如,部门A不能访问部门B,部门C不能访问部门D,这些用acl就能实现。但有的时候有这种要求,财务部可以访问所有人,但所有人不能访问财务部,这个需求在防火墙中其实非常容易实现,通过安全策略就可以满足,但问题是,防火墙一般都是部署在dmz区域,在服务器集群与内网之间做安全隔离,但财务部属于内网中的某个vlan,按正常设计思路不是可能专门为财务部单独部署一台防火墙的,也不现实。

       所以我们在路由交换中可以利用高级acl实现,众所周知,icmp有请求和应答两种报文,通过高级acl拒绝icmp的应答报文即可实现单通效果,但在ensp中存在一些bug,经过我的测试得出如下结论:

路由器-OK的

华为ensp-高级ACL单通实验-存在BUG_第1张图片

做acl前

华为ensp-高级ACL单通实验-存在BUG_第2张图片

华为ensp-高级ACL单通实验-存在BUG_第3张图片

做acl后

华为ensp-高级ACL单通实验-存在BUG_第4张图片

华为ensp-高级ACL单通实验-存在BUG_第5张图片

实验成功

---------------------------------------------------------------------------------------------------------------------------------

5700交换机-不OK

华为ensp-高级ACL单通实验-存在BUG_第6张图片

做acl前

华为ensp-高级ACL单通实验-存在BUG_第7张图片

华为ensp-高级ACL单通实验-存在BUG_第8张图片

做acl后

华为ensp-高级ACL单通实验-存在BUG_第9张图片

华为ensp-高级ACL单通实验-存在BUG_第10张图片

实验失败

---------------------------------------------------------------------------------------------------------------------------------

3700交换机-不OK

华为ensp-高级ACL单通实验-存在BUG_第11张图片

做acl前

华为ensp-高级ACL单通实验-存在BUG_第12张图片

华为ensp-高级ACL单通实验-存在BUG_第13张图片

做acl后

华为ensp-高级ACL单通实验-存在BUG_第14张图片

华为ensp-高级ACL单通实验-存在BUG_第15张图片

实验失败

       通过以上实验结论,证明ensp中的交换机无法模拟单通测试,相同的命令AR系列路由器可以,但还是那个问题,总不能在财务部上加台路由器吧,在内网中终端都是在接入交换机3700,汇聚及核心一般都是用5700模拟,即便是做访问控制也是在交换机上做,但ensp环境中的确无法实现,只是模拟器环境哦,真机是肯定没问题的。

你可能感兴趣的:(网络,服务器,运维,华为,网络协议)