很多小伙伴在做毕设实验中都需要增加高级acl的应用,这是访问限制的板块,也是为自己的毕设交份满意的答卷,突出亮点。一般我们都是利用acl做简单的业务隔离,比如,部门A不能访问部门B,部门C不能访问部门D,这些用acl就能实现。但有的时候有这种要求,财务部可以访问所有人,但所有人不能访问财务部,这个需求在防火墙中其实非常容易实现,通过安全策略就可以满足,但问题是,防火墙一般都是部署在dmz区域,在服务器集群与内网之间做安全隔离,但财务部属于内网中的某个vlan,按正常设计思路不是可能专门为财务部单独部署一台防火墙的,也不现实。
所以我们在路由交换中可以利用高级acl实现,众所周知,icmp有请求和应答两种报文,通过高级acl拒绝icmp的应答报文即可实现单通效果,但在ensp中存在一些bug,经过我的测试得出如下结论:
路由器-OK的
做acl前
做acl后
实验成功
---------------------------------------------------------------------------------------------------------------------------------
5700交换机-不OK
做acl前
做acl后
实验失败
---------------------------------------------------------------------------------------------------------------------------------
3700交换机-不OK
做acl前
做acl后
实验失败
通过以上实验结论,证明ensp中的交换机无法模拟单通测试,相同的命令AR系列路由器可以,但还是那个问题,总不能在财务部上加台路由器吧,在内网中终端都是在接入交换机3700,汇聚及核心一般都是用5700模拟,即便是做访问控制也是在交换机上做,但ensp环境中的确无法实现,只是模拟器环境哦,真机是肯定没问题的。