华为ensp-高级ACL单通实验-存在BUG

       很多小伙伴在做毕设实验中都需要增加高级acl的应用，这是访问限制的板块，也是为自己的毕设交份满意的答卷，突出亮点。一般我们都是利用acl做简单的业务隔离，比如，部门A不能访问部门B，部门C不能访问部门D，这些用acl就能实现。但有的时候有这种要求，财务部可以访问所有人，但所有人不能访问财务部，这个需求在防火墙中其实非常容易实现，通过安全策略就可以满足，但问题是，防火墙一般都是部署在dmz区域，在服务器集群与内网之间做安全隔离，但财务部属于内网中的某个vlan，按正常设计思路不是可能专门为财务部单独部署一台防火墙的，也不现实。

       所以我们在路由交换中可以利用高级acl实现，众所周知，icmp有请求和应答两种报文，通过高级acl拒绝icmp的应答报文即可实现单通效果，但在ensp中存在一些bug，经过我的测试得出如下结论：

路由器-OK的

做acl前

做acl后

实验成功

---------------------------------------------------------------------------------------------------------------------------------

5700交换机-不OK

做acl前

做acl后

实验失败

---------------------------------------------------------------------------------------------------------------------------------

3700交换机-不OK

做acl前

做acl后

实验失败

       通过以上实验结论，证明ensp中的交换机无法模拟单通测试，相同的命令AR系列路由器可以，但还是那个问题，总不能在财务部上加台路由器吧，在内网中终端都是在接入交换机3700，汇聚及核心一般都是用5700模拟，即便是做访问控制也是在交换机上做，但ensp环境中的确无法实现，只是模拟器环境哦，真机是肯定没问题的。