关于学习eNSP的心得

2402_88761035

已于 2024-12-03 16:16:38 修改

阅读量2k

点赞数 33

文章标签：学习

于 2024-12-03 16:12:25 首次发布

本文链接：https://blog.csdn.net/2402_88761035/article/details/144217462

版权

一、eNSP是什么？
HUAWEI eNSP（Enterprise Network Simulation Platform）是一个用于实现网络仿真和测试的工具。它基于华为企业级网络设备，提供了一个虚拟化的网络环境，用户可以在该环境中构建和配置虚拟网络设备，进行网络配置和测试。

eNSP的基本原理如下：

虚拟化设备：eNSP利用虚拟化技术，在一个物理服务器上创建多个虚拟设备。这些虚拟设备包括虚拟路由器、交换机和主机等，可以模拟真实的网络环境。

虚拟网络拓扑：用户可以在eNSP中创建虚拟网络拓扑，将虚拟设备连接起来，以模拟真实网络的结构。用户可以使用拖放方式创建、连接和配置虚拟设备。

配置和管理：eNSP提供了图形用户界面（GUI），用户可以通过GUI对虚拟设备进行配置和管理。用户可以设置设备的IP地址、路由表、ACL等配置，以模拟真实网络的设置。

测试和仿真：eNSP支持多种网络协议和功能的仿真和测试。用户可以通过发送和接收数据包、查看设备状态和信息等方式进行网络测试。用户还可以使用内置的仿真工具，模拟网络的负载、故障和攻击等情况。

网络监控和故障排除：eNSP可以实时监控虚拟网络的运行状态，并提供故障排除功能。用户可以查看设备的日志、状态信息和统计数据，以及识别和解决网络问题。

总之，HUAWEI eNSP利用虚拟化技术提供了一个虚拟网络环境，用户可以在其中进行网络配置、测试和仿真。它可以帮助用户更好地理解和研究网络技术，并有效地进行网络规划和故障排除。

二、步骤

1.第一步配置

代码如下（示例）：AR1、2、3、4的配置

2.查看配置结果
代码如下（示例）：

如图上已配置成功

从PC1 ping PC2

显示已通，就完成了配置，这是eNSP最基础的配置。

三、收获
通过学习eNSP（企业网络模拟器），可以获得以下几个方面的知识和技能：

网络拓扑设计和配置：学习如何设计和配置企业级网络拓扑，包括子网规划、路由协议选择、交换机配置等。

网络设备配置：通过eNSP模拟真实的网络设备，您可以学习如何配置交换机、路由器等网络设备，包括VLAN划分、端口配置、ACL和NAT设置等。

网络服务配置：您可以学习配置常见的网络服务，如DHCP、DNS、FTP等，以提供各种功能和服务。

路由协议配置：通过eNSP，您可以学习配置常见的路由协议，如静态路由、RIP、OSPF、BGP等，以实现网络的高效路由。

网络故障排除：学习如何使用eNSP来模拟和排除常见的网络故障，如链路故障、路由器故障等，以提高网络的可靠性和稳定性。

3.1 感悟
学习eNSP的深刻感悟

在信息技术日新月异的今天，网络技术作为连接世界的桥梁，其重要性不言而喻。作为一名对网络技术充满热情的学习者，我选择了eNSP（Enterprise Network Simulation Platform，企业网络模拟平台）作为我学习和实践的重要工具。经过一段时间的深入学习和实践，eNSP不仅让我对网络技术有了更深刻的理解，也让我在学习的过程中收获了许多宝贵的经验和感悟。

初次接触eNSP时，我被其强大的模拟功能和丰富的实验资源所吸引。eNSP是华为公司推出的一款网络模拟软件，它能够模拟出各种复杂的网络环境，包括交换机、路由器、防火墙等网络设备的配置和调试。这对于我们这些初学者来说，无疑是一个难得的“练兵场”。通过eNSP，我们可以不受时间和空间的限制，随时随地地进行网络实验，从而加深对网络技术的理解和掌握。

在学习eNSP的过程中，我首先感受到了它带来的便捷性。传统的网络技术学习往往依赖于实验室的硬件设备，而eNSP则打破了这一限制，让我们能够在自己的电脑上进行网络实验。这不仅节省了时间和成本，还提高了学习的效率。同时，eNSP还提供了丰富的实验案例和教程，让我们能够更系统地学习网络技术。这些案例和教程涵盖了从基础的网络配置到高级的网络安全等多个方面，让我们能够全面地了解网络技术的各个方面。

然而，学习的过程并非一帆风顺。在初次尝试配置网络设备时，我遇到了许多困难和挑战。由于对网络设备的配置命令和原理不熟悉，我常常会出现配置错误或者网络故障。这时，我意识到仅仅依靠eNSP的模拟功能是不够的，还需要深入学习和理解网络技术的原理。于是，我开始查阅相关的书籍和资料，结合eNSP的实验环境进行实践和验证。在这个过程中，我不仅掌握了网络设备的配置方法，还深入理解了网络协议的工作原理和通信过程。

随着学习的深入，我逐渐感受到了eNSP带来的乐趣和成就感。每当成功配置好一个复杂的网络拓扑结构，或者解决了一个棘手的网络故障时，我都会感到无比的兴奋和自豪。这种成就感不仅来自于对知识的掌握和运用，更来自于对自我能力的肯定和提升。同时，我也开始尝试将eNSP应用到实际的工作和学习中。通过模拟真实的网络环境，我能够更好地理解和解决工作中遇到的网络问题，提高了自己的工作效率和解决问题的能力。

除了技术层面的收获外，学习eNSP还让我领悟到了许多人生的道理。首先，我深刻体会到了“实践出真知”的道理。只有通过实践，才能真正理解和掌握网络技术。eNSP为我提供了一个宝贵的实践平台，让我能够在实践中不断学习和成长。其次，我学会了面对困难和挑战时的坚持和勇气。在学习eNSP的过程中，我遇到了许多困难和挑战，但正是这些困难和挑战让我更加坚定了自己的信念和目标。最后，我也意识到了团队合作的重要性。在学习和实践中，我经常需要与小言等同学进行交流和讨论，共同解决问题。这种团队合作的精神不仅让我学到了更多的知识和技能，也让我更加珍惜和尊重他人的劳动成果。

展望未来，我将继续利用eNSP这个强大的工具进行学习和实践。我相信，在eNSP的帮助下，我能够更深入地理解和掌握网络技术，为将来的工作和学习打下坚实的基础。同时，我也希望能够将所学的知识和技能应用到实际的工作中，为社会的发展贡献自己的一份力量。

总之，学习eNSP是一段充满挑战和收获的旅程。它不仅让我掌握了网络技术的基本知识和技能，更让我在学习的过程中领悟到了许多人生的道理。我相信，在未来的日子里，我会继续努力学习和实践，不断追求更高的目标和更广阔的发展空间。

四、拓展OSPF
4.1 基础配置

4.1.2结果认证

4.2 参考配置
基本配置以及IP编址。<Huawei>system view
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname R1
[R1]interface GigabitEthernet 0/0/1
[R1 GigabitEthernet0/0/1]ip address 10.0.12.1 24
[R1 GigabitEthernet0/0/1]quit
[R1]interface GigabitEthernet 0/0/0
[R1 GigabitEthernet0/0/0]ip address 10.0.13.1 24
[R1 GigabitEthernet0/0/0]quit
[R1]interface LoopBack 0
[R1 LoopBack0]ip address 10.0.1.1 24
<Huawei>system view
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname R2
[R2]interface GigabitEthernet 0/0/1
[R2 GigabitEthernet0/0/1]ip address 10.0.12.2 24
[R2 GigabitEthernet0/0/1]quit
[R2]interface LoopBack 0
[R2 LoopBack0]ip address 10.0.2.2 24
<Huawei>system view
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname R3
[R3]interface GigabitEthernet 0/0/0
[R3 GigabitEthernet0/0/0]ip address 10.0.13.3 24
[R3 GigabitEthernet0/0/0]quit
[R3]interface LoopBack 0
[R3 LoopBack0]ip address 10.0.3.3 24
[R3 LoopBack0]quit
[R3]interface LoopBack 2
[R3 LoopBack2]ip address 172.16.0.1 24
步骤二配置 OSPF
将R1的Router ID配置为10.0.1.1（逻辑接口Loopback 0的地址），开启OSPF进程1（缺省进程），并将网段10.0.1.0/24、10.0.12.0/24和10.0.13.0/24发布到OSPF区域0。[R1]ospf 1 router id 10.0.1.1 [R1 ospf 1]area 0
[R1 ospf 1 area 0.0.0.0]network 10.0.1.0 0.0.0.255
[R1 ospf 1 area 0.0.0.0]network 10.0.13.0 0.0.0.255[R1 ospf 1 area 0.0.0.0]network 10.0.12.0 0.0.0.255
注意：同一个路由器可以开启多个OSPF进程，默认进程号为1，由于进程号只具有本地意义，所以同一路由域的不同路由器可以使用相同或不同的OSPF进程号。另外network命令后面需使用反掩码。
将R2的Router ID配置为10.0.2.2，开启OSPF进程1，并将网段10.0.12.0/24和10.0.2.0/24发布到OSPF区域0。[R2]ospf 1 router id 10.0.2.2[R2 ospf 1]area 0
[R2 ospf 1 area 0.0.0.0]network 10.0.2.0 0.0.0.255
[R2 ospf 1 area 0.0.0.0]network 10.0.12.0 0.0.0.255
…output omit…
Mar 30 2016 09:41:39+00:00 R2 %%01OSPF/4/NBR_CHANGE_E(l)[5]:Neighbor changes event: neighbor status changed. (ProcessId=1, NeighborAddress=10.0.12.1, NeighborEvent=LoadingDone, NeighborPreviousState=Loading, NeighborCurrentState=Full)
当回显信息中包含“NeighborCurrentState=Full”信息时，表明邻接关系已经建立。
将R3的Router ID配置为10.0.3.3，开启OSPF进程1，并将网段10.0.3.0/24和10.0.13.0/24发布到OSPF区域0。[R3]ospf 1 router id 10.0.3.3[R3 ospf 1]area 0
[R3 ospf 1 area 0.0.0.0]network 10.0.3.0 0.0.0.255
[R3 ospf 1 area 0.0.0.0]network 10.0.13.0 0.0.0.255
…output omit…
Mar 30 2016 16:05:34+00:00 R3 %%01OSPF/4/NBR_CHANGE_E(l)[5]:Neighbor changes event: neighbor status changed. (ProcessId=1, NeighborAddress=10.0.13.1, NeighborEvent=LoadingDone, NeighborPreviousState=Loading, NeighborCurrentState=Full)
步骤三验证 OSPF 配置
待OSPF收敛完成后，查看R1、R2和R3上的路由表。<R1>display ip routing table
Route Flags: R relay, D download to fib
Routing Tables: Public
Destinations : 15 Routes : 15
Destination/Mask Proto Pre Cost Flags NextHop Interface
10.0.1.0/24 Direct 0 0 D 10.0.1.1 LoopBack010.0.1.1/32 Direct 0 0 D 127.0.0.1 LoopBack010.0.1.255/32 Direct 0 0 D 127.0.0.1 LoopBack010.0.2.2/32 OSPF 10 1 D 10.0.12.2 GigabitEthernet0/0/110.0.3.3/32 OSPF 10 1 D 10.0.13.3 GigabitEthernet0/0/010.0.12.0/24 Direct 0 0 D 10.0.12.1 GigabitEthernet0/0/110.0.12.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/110.0.12.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/110.0.13.0/24 Direct 0 0 D 10.0.13.1 GigabitEthernet0/0/010.0.13.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/010.0.13.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0
127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0
<R2>display ip routing table
Route Flags: R relay, D download to fib
Routing Tables: Public
Destinations : 13 Routes : 13
Destination/Mask Proto Pre Cost Flags NextHop Interface10.0.1.1/32 OSPF 10 1 D 10.0.12.1 GigabitEthernet0/0/110.0.2.0/24 Direct 0 0 D 10.0.2.2 LoopBack0
10.0.2.2/32 Direct 0 0 D 127.0.0.1 LoopBack010.0.2.255/32 Direct 0 0 D 127.0.0.1 LoopBack010.0.3.3/32 OSPF 10 2 D 10.0.12.1 GigabitEthernet0/0/1
10.0.12.0/24 Direct 0 0 D 10.0.12.2 GigabitEthernet0/0/110.0.12.2/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/110.0.12.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/110.0.13.0/24 OSPF 10 2 D 10.0.12.1 GigabitEthernet0/0/1127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0
127.255.255.255/32 Direct 0 0
D 127.0.0.1 InLoopBack0
255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0
<R3>display ip routing table
Route Flags: R relay, D download to fib
Routing Tables: Public
Destinations : 16 Routes : 16
Destination/Mask Proto Pre Cost Flags NextHop Interface
10.0.1.1/32 OSPF 10 1 D 10.0.13.1 GigabitEthernet0/0/010.0.2.2/32 OSPF 10 2 D 10.0.13.1 GigabitEthernet0/0/010.0.3.0/24 Direct 0 0 D 10.0.3.3 LoopBack010.0.3.3/32 Direct 0 0 D 127.0.0.1 LoopBack010.0.3.255/32 Direct 0 0 D 127.0.0.1 LoopBack010.0.12.0/24 OSPF 10 2 D 10.0.13.1 GigabitEthernet0/0/010.0.13.0/24 Direct 0 0 D 10.0.13.3 GigabitEthernet0/0/010.0.13.3/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/010.0.13.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0
127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0172.16.0.0/24 Direct 0 0 D 172.16.0.1LoopBack2172.16.0.1/32 Direct 0 0 D 127.0.0.1 LoopBack2172.16.0.255/32 Direct 0 0 D 127.0.0.1 LoopBack2
255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0
检测R2和R1（10.0.1.1）以及R2和R3（10.0.3.3）间的连通性。

<R2>ping 10.0.1.1
PING 10.0.1.1: 56 data bytes, press CTRL_C to break Reply from 10.0.1.1: bytes=56 Sequence=1 ttl=255 time=37 ms Reply from 10.0.1.1: bytes=56 Sequence=2 ttl=255 time=42 ms Reply from 10.0.1.1: bytes=56 Sequence=3 ttl=255 time=42 ms Reply from 10.0.1.1: bytes=56 Sequence=4 ttl=255 time=45 ms Reply from 10.0.1.1: bytes=56 Sequence=5 ttl=255 time=42 ms 10.0.1.1 ping statistics
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss round trip min/avg/max = 37/41/45 ms
<R2>ping 10.0.3.3
PING 10.0.3.3: 56 data bytes, press CTRL_C to break Reply from 10.0.3.3: bytes=56 Sequence=1 ttl=254 time=37 ms Reply from 10.0.3.3: bytes=56 Sequence=2 ttl=254 time=42 ms Reply from 10.0.3.3: bytes=56 Sequence=3 ttl=254 time=42 ms Reply from 10.0.3.3: bytes=56 Sequence=4 ttl=254 time=42 ms Reply from 10.0.3.3: bytes=56 Sequence=5 ttl=254 time=42 ms 10.0.3.3 ping statistics
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss round trip min/avg/max = 37/41/42 ms
执行display ospf peer命令，查看OSPF邻居状态。
<R1>display ospf peer
OSPF Process 1 with Router ID 10.0.1.1 Neighbors
Area 0.0.0.0 interface 10.0.12.1(GigabitEthernet0/0/1)'s neighborsRouter ID: 10.0.2.2 Address: 10.0.12.2 State: Full Mode:Nbr is Master Priority: 1
DR: 10.0.12.1 BDR: 10.0.12.2 MTU: 0 Dead timer due in 32 sec
Retrans timer interval: 5
Neighbor is up for 00:47:59 Authentication Sequence: [ 0 ] Neighbors
Area 0.0.0.0 interface 10.0.13.1(GigabitEthernet0/0/0)'s neighborsRouter ID: 10.0.3.3 Address: 10.0.13.3 State: Full Mode:Nbr is Master Priority: 1
DR: 10.0.13.1 BDR: 10.0.13.3 MTU: 0 Dead timer due in 34 sec
Retrans timer interval: 5
Neighbor is up for 00:41:44 Authentication Sequence: [ 0 ]
display ospf peer命令显示所有OSPF邻居的详细信息。本任务中，在10.0.13.0网段上R1是DR。由于DR选举是非抢占模式，如果OSPF进程不重启，R3将不会取代R1的DR角色。
执行display ospf peer brief命令，可以查看简要的OSPF邻居信息。
<R1>display ospf peer brief
OSPF Process 1 with Router ID 10.0.1.1 Peer Statistic Information
Area Id Interface Neighbor id State
0.0.0.0 GigabitEthernet0/0/0 10.0.3.3 Full
0.0.0.0 GigabitEthernet0/0/1 10.0.2.2 Full
<R2>display ospf peer brief
OSPF Process 1 with Router ID 10.0.2.2 Peer Statistic Information
Area Id Interface Neighbor id State
0.0.0.0 GigabitEthernet0/0/1 10.0.1.1 Full
<R3>display ospf peer brief
OSPF Process 1 with Router ID 10.0.3.3 Peer Statistic Information
Area Id Interface Neighbor id State0.0.0.0 GigabitEthernet0/0/0 10.0.1.1 Full
步骤四修改 OSPF hello 和 dead 时间参数
在R1上执行display ospf interface GigabitEthernet 0/0/0命令，查看OSPF默认的hello和dead时间。
<R1>display ospf interface GigabitEthernet 0/0/0 OSPF Process 1 with Router ID 10.0.1.1 Interfaces
Interface: 10.0.13.1 (GigabitEthernet0/0/0)
Cost: 1 State: DR Type: Broadcast MTU: 1500 Priority: 1
Designated Router: 10.0.13.1
Backup Designated Router: 10.0.13.3
Timers: Hello 10 , Dead 40 , Poll 120 , Retransmit 5 , Transmit Delay 1
在R1的GE0/0/0接口执行ospf timer命令，将OSPF hello和dead时间分别修改为15秒和60秒。
[R1]interface GigabitEthernet 0/0/0
[R1 GigabitEthernet0/0/0]ospf timer hello 15[R1 GigabitEthernet0/0/0]ospf timer dead 60
Mar 30 2016 16:58:39+00:00 R1 %%01OSPF/3/NBR_DOWN_REASON(l)[1]:Neighbor state leaves full orchanged to Down. (ProcessId=1, NeighborRouterId=10.0.3.3, NeighborAreaId=0,
NeighborInterface=GigabitEthernet0/0/0,NeighborDownImmediate reason=Neighbor Down Due to Inactivity, NeighborDownPrimeReason=Interface Parameter Mismatch, NeighborChangeTime=2013 11 30 16:58:39)
<R1>display ospf interface GigabitEthernet 0/0/0 OSPF Process 1 with Router ID 10.0.1.1
Interfaces
Interface: 10.0.13.1 (GigabitEthernet0/0/0)
Cost: 1 State: DR Type: Broadcast MTU: 1500 Priority: 1
Designated Router: 10.0.13.1
Backup Designated Router: 10.0.13.3
Timers: Hello 15 , Dead 60 , Poll 120 , Retransmit 5 , Transmit Delay 1
在R1上查看OSPF邻居状态。<R1>display ospf peer brief
OSPF Process 1 with Router ID 10.0.1.1 Peer Statistic Information
Area Id Interface Neighbor id State 0.0.0.0 GigabitEthernet0/0/1 10.0.2.2 Full
上述回显信息表明，R1只有一个邻居，那就是R2。因为R1和R3上的OSPF hello和dead时间取值不同，所以R1无法与R3建立OSPF邻居关系。
在R3的GE0/0/0接口执行ospf timer命令，将OSPF hello和dead时间分别修改为15秒和60秒。
[R3]interface GigabitEthernet 0/0/0
[R3 GigabitEthernet0/0/0]ospf timer hello 15
[R3 GigabitEthernet0/0/0]ospf timer dead 60
…output omit…
Mar 30 2016 17:03:33+00:00 R3 %%01OSPF/4/NBR_CHANGE_E(l)[4]:Neighbor changes event: neighbor status changed. (ProcessId=1, NeighborAddress=10.0.13.1, NeighborEvent=LoadingDone, NeighborPreviousState=Loading, NeighborCurrentState=Full)
<R3>display ospf interface GigabitEthernet 0/0/0 OSPF Process 1 with Router ID 10.0.3.3
Interfaces
Interface: 10.0.13.3 (GigabitEthernet0/0/0)
Cost: 1 State: DR Type: Broadcast MTU: 1500Priority: 1
Designated Router: 10.0.13.3
Backup Designated Router: 10.0.13.1
Timers: Hello 15 , Dead 60 , Poll 120 , Retransmit 5 , Transmit Delay 1
再次在R1上查看OSPF邻居状态。<R1>display ospf peer brief
OSPF Process 1 with Router ID 10.0.1.1 Peer Statistic Information
Area Id Interface Neighbor id State
0.0.0.0 GigabitEthernet0/0/0 10.0.3.3 Full0.0.0.0 GigabitEthernet0/0/1 10.0.2.2 Full
步骤五 OSPF 缺省路由发布及验证
在R3上配置缺省路由并发布到OSPF域内。[R3]ip route static 0.0.0.0 0.0.0.0 LoopBack 2[R3]ospf 1
[R3 ospf 1]default route advertise
查看R1和R2的路由表。可以看到，R1和R2均已经学习到了R3发布的缺省路由。<R1>display ip routing table
Route Flags: R relay, D download to fib
Routing Tables: Public
Destinations : 16 Routes : 16
Destination/Mask Proto Pre Cost Flags NextHop Interface
0.0.0.0/0 O_ASE 150 1 D 10.0.13.3 GigabitEthernet0/0/0
10.0.1.0/24 Direct 0 0 D 10.0.1.1 LoopBack010.0.1.1/32 Direct 0 0 D 127.0.0.1 LoopBack010.0.1.255/32 Direct 0 0 D 127.0.0.1 LoopBack010.0.2.2/32 OSPF 10 1 D 10.0.12.2 GigabitEthernet0/0/110.0.3.3/32 OSPF 10 1 D 10.0.13.3 GigabitEthernet0/0/010.0.12.0/24 Direct 0 0 D 10.0.12.1 GigabitEthernet0/0/110.0.12.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/110.0.12.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/110.0.13.0/24 Direct 0 0 D 10.0.13.1 GigabitEthernet0/0/010.0.13.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/010.0.13.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0
127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0
<R2>display ip routing table
Route Flags: R relay, D download to fib
Routing Tables: Public
Destinations : 14 Routes : 14
Destination/Mask Proto Pre Cost Flags NextHop Interface
0.0.0.0/0 O_ASE 150 1 D 10.0.12.1 GigabitEthernet0/0/110.0.1.1/32 OSPF1 0 1 D 10.0.12.1 GigabitEthernet0/0/110.0.2.0/24 Direct 0 0 D 10.0.2.2 LoopBack010.0.2.2/32 Direct 0 0 D 127.0.0.1 LoopBack010.0.2.255/32 Direct 0 0 D 127.0.0.1 LoopBack010.0.3.3/32 OSPF 10 2 D 10.0.12.1 GigabitEthernet0/0/110.0.12.0/24 Direct 0 0 D 10.0.12.2 GigabitEthernet0/0/110.0.12.2/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/110.0.12.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/110.0.13.0/24 OSPF 10 2 D 10.0.12.1 GigabitEthernet0/0/1127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0
127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0
<R3>display ip routing table
Route Flags: R relay, D download to fib
Routing Tables: Public
Destinations : 17 Routes : 17
Destination/Mask Proto Pre Cost Flags NextHop Interface
0.0.0.0/0 Static 60 0 D 172.16.0.1 LoopBack2
10.0.1.1/32 OSPF 10 1 D 10.0.13.1 GigabitEthernet0/0/010.0.2.2/32 OSPF 10 2 D 10.0.13.1 GigabitEthernet0/0/010.0.3.0/24 Direct 0 0 D 10.0.3.3 LoopBack010.0.3.3/32 Direct 0 0 D 127.0.0.1 LoopBack010.0.3.255/32 Direct 0 0 D 127.0.0.1 LoopBack010.0.12.0/24 OSPF 10 2 D 10.0.13.1 GigabitEthernet0/0/010.0.13.0/24 Direct 0 0 D 10.0.13.3 GigabitEthernet0/0/010.0.13.3/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/010.0.13.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0
127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0
172.16.0.0/24 Direct 0 0 D 172.16.0.1 LoopBack2
172.16.0.1/32 Direct 0 0 D 127.0.0.1 LoopBack2
172.16.0.255/32 Direct0 0 D 127.0.0.1 LoopBack2
255.255.255.255/32 Direct0 0 D 127.0.0.1 InLoopBack0
使用ping命令，检测R2与172.16.0.1/24网段之间的连通性。<R2>ping 172.16.0.1
PING 172.16.0.1: 56 data bytes, press CTRL_C to break Reply from 172.16.0.1: bytes=56 Sequence=1 ttl=254 time=47 ms Reply from 172.16.0.1: bytes=56 Sequence=2 ttl=254 time=37 ms Reply from 172.16.0.1: bytes=56 Sequence=3 ttl=254 time=37 ms Reply from 172.16.0.1: bytes=56 Sequence=4 ttl=254 time=37 ms Reply from 172.16.0.1: bytes=56 Sequence=5 ttl=254 time=37 ms 172.16.0.1 ping statistics
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss round trip min/avg/max = 37/39/47 ms
步骤六控制 OSPF DR/BDR 的选举
执行display ospf peer命令，查看R1和R3的DR/BDR角色。
<R1>display ospf peer 10.0.3.3
OSPF Process 1 with Router ID 10.0.1.1
Neighbors
Area 0.0.0.0 interface 10.0.13.1(GigabitEthernet0/0/0)'s neighborsRouter ID: 10.0.3.3 Address: 10.0.13.3 State: Full Mode:Nbr is Master Priority: 1
DR: 10.0.13.3 BDR: 10.0.13.1 MTU: 0 Dead timer due in 49 sec
Retrans timer interval: 5 Neighbor is up for 00:17:40 Authentication Sequence: [ 0 ]
上述回显信息表明，由于默认OSPF路由器优先级（数值为1）相同，但R3的Router ID 10.0.3.3大于R1的Router ID 10.0.1.1，所以R3为DR，R1为BDR。
执行ospf dr-priority命令，修改R1和R3的DR优先级。
[R1]interface GigabitEthernet 0/0/0
[R1 GigabitEthernet0/0/0]ospf dr priority 200
[R3]interface GigabitEthernet 0/0/0
[R3 GigabitEthernet0/0/0]ospf dr priority 100
默认情况下，DR/BDR的选举采用的是非抢占模式。路由器优先级修改后，不会自动重新选举DR。因此，需要重置R1和R3间的OSPF邻居关系。
先关闭然后再打开R1和R3上的Gigabit Ethernet 0/0/0接口，重置R1和R3间的OSPF邻居关系。
[R3]interface GigabitEthernet0/0/0
[R3 GigabitEthernet0/0/0]shutdown
[R1]interface GigabitEthernet0/0/0
[R1 GigabitEthernet0/0/0]shutdown
[R1 GigabitEthernet0/0/0]undo shutdown
[R3 GigabitEthernet0/0/0]undo shutdown
执行display ospf peer命令，查看R1和R3的DR/BDR角色。
[R1]display ospf peer 10.0.3.3
OSPF Process 1 with Router ID 10.0.1.1 Neighbors
Area 0.0.0.0 interface 10.0.13.1(GigabitEthernet0/0/0)'s neighborsRouter ID: 10.0.3.3 Address: 10.0.13.3
State: Full Mode:Nbr is Master Priority: 100 DR: 10.0.13.1 BDR: 10.0.13.3 MTU: 0 Dead timer due in 52 sec
Retrans timer interval: 5
Neighbor is up for 00:00:25 Authentication Sequence: [ 0 ]
上述信息表明，R1的DR优先级高于R3，因此R1被选举为DR，而R3成为了BDR。
配置文件
<R1>display current configuration
[V200R007C00SPC600]
#
sysname R1
#
interface GigabitEthernet0/0/0ip address 10.0.13.1 255.255.255.0 ospf dr priority 200ospf timer hello 15
#
interface GigabitEthernet0/0/1ip address 10.0.12.1 255.255.255.0 #interface LoopBack0ip address 10.0.1.1 255.255.255.0 #ospf 1 router id 10.0.1.1 area 0.0.0.0 network 10.0.1.0 0.0.0.255 network 10.0.12.0 0.0.0.255 network 10.0.13.0 0.0.0.255
#
user interface con 0
authentication mode passwordset authentication password cipher %$%$+L'YR&IZt'4,)> *#lH",}%K oJ_M9+'lOU~bD (\WTqB}%N,%$%$user interface vty 0 4
#
return
<R2>display current configuration
[V200R007C00SPC600]
#
sysname R2
#
interface GigabitEthernet0/0/1ip address 10.0.12.2 255.255.255.0
#
interface LoopBack0
ip address 10.0.2.2 255.255.255.0
#
ospf 1 router id 10.0.2.2 area 0.0.0.0 network 10.0.2.0 0.0.0.255 network 10.0.12.0 0.0.0.255
#
user interface con 0
authentication mode passwordset authentication password cipher %$%$1=cd%b%/O%Id 8X:by1N,+s}'4wD6TvO<I|/pd# #44C@+s#,%$%$user interface vty 0 4
#
return
<R3>display current configuration
[V200R007C00SPC600]
#
sysname R3
#
interface GigabitEthernet0/0/0ip address 10.0.13.3 255.255.255.0 ospf dr priority 100ospf timer hello 15
#
interface LoopBack0
ip address 10.0.3.3 255.255.255.0
#
interface LoopBack2
ip address 172.16.0.1 255.255.255.0
#
ospf 1 router id 10.0.3.3 default route advertise
area 0.0.0.0
network 10.0.3.0 0.0.0.255 network 10.0.13.0 0.0.0.255
#
ip route static 0.0.0.0 0.0.0.0 LoopBack2
#
user interface con 0
authentication mode passwordset authentication password cipher %$%$ksXDMg7Ry6yUU:63:DQ),#/sQg"@*S\U#.s.bHW xQ,y%#/v,%$%$user interface vty 0 4
#
return
———————————————

在深入学习和使用华为eNSP的过程中，我收获颇丰，对网络技术有了更为深入和全面的理解。以下是我对华为eNSP学习的一些心得。

一、eNSP的实用性

华为eNSP是一款强大的网络仿真软件，它提供了一个高度仿真的网络环境，使我可以模拟真实的网络设备进行配置和测试。这种仿真环境让我在学习和实践中避免了直接操作真实设备可能带来的风险，同时也大大节省了成本。通过eNSP，我可以更加自由地进行网络实验和故障排查，提高了我对网络技术的理解和掌握。

二、实践操作能力的提升

在eNSP的学习过程中，我通过大量的实操练习，不仅掌握了网络设备的配置方法，还学会了如何分析和解决网络故障。这种实践操作能力的提升，使我能够更好地应对实际工作中遇到的问题。例如，在配置路由器和交换机时，我通过eNSP的模拟环境，多次尝试不同的配置方法，最终找到了最优解。这种经历让我深刻体会到了实践的重要性。

三、团队协作能力的提升

在eNSP的学习中，我也深刻体会到了团队协作的重要性。在完成一些复杂的网络实验时，我需要与同学们分工合作，共同完成任务。在这个过程中，我学会了如何与他人进行有效的沟通和协作，如何发挥每个人的长处，共同解决问题。这种团队协作能力的提升，对我未来的学习和工作都具有重要意义。

四、学习方法的优化

通过eNSP的学习，我也对自己的学习方法进行了优化。我发现，单纯地阅读教材和观看视频并不能完全掌握网络技术的精髓。只有结合实践操作和不断思考，才能真正理解网络技术的本质。因此，我在学习过程中更加注重实践操作和独立思考，通过不断地尝试和摸索，逐渐找到了适合自己的学习方法。

五、对未来学习的展望

展望未来，我将继续深入学习eNSP以及其他网络仿真软件，不断提高自己的网络技术水平。同时，我也将关注网络技术的最新发展动态，了解新技术和新应用的发展趋势。我相信，在未来的学习和工作中，我将能够运用所学知识和技能，为网络技术的发展做出自己的贡献。

下面是项目演示

一、实验介绍

1.1关于实验

1.2实验目的

1.3实验组网介绍

1.4实验配置任务

二、实验配置任务

2.1搭建拓扑，并实现全网互通

2.2基本ACL的配置

2.2.1配置基本ACL的语法

步骤一

步骤2创建并应用基本ACL

2.1查看ACL

步骤3验证项目效果（1）

3.1从PC1向PC3发起ping测试

编辑 3.2从PC1向其他IP地址发起ping测试

3.3查看ACL 2000匹配次数

2.3高级ACL的配置

2.3.1高级ACL的介绍

步骤1 选择高级ACL的位置和方向

步骤2 创建并应用高级ACL

步骤3 验证ACL

3.1从PC2向PC3发起ping测试

3.2从PC2向其他IP地址发起ping测试

3.3查看ACL 3000匹配次数

2.4ACL规则的顺序

2.4.1ACL规则的顺序

步骤1 设计ACL

步骤2创建并应用ACL

步骤3 检查ACL 3000的配置

步骤4 在AR3上启用Telnet

步骤5 验证配置结果

5.1从AR1上对AR3的环回接口发起ping与telnet测试

5.2从AR2上验证项目效果

步骤6 查看ACL 3000匹配次数

步骤7 使用自动排序

7.1在AR3上更改ACL规则的顺序

7.2在AR3上添加deny规则

7.5在AR3上添加permit规则

7.6.从AR1上验证项目效果

7.6.1从AR2上验证项目效果

7.7查看ACL 3000匹配次数

三、实验总结

一、实验介绍
1.1关于实验
在本实验中，我们会提出两个通信需求，读者需要对 ACL 的部署位置和具体的命令进行设计，并且在应用后对效果进行测试。在此过程中，希望读者能够理解 ACL 的设计思路和配置命令，掌握 ACL 的应用。

1.2实验目的
熟悉基本 ACL 和高级 ACL 的配置命令
掌握基本 ACL的设计思路
掌握高级 ACL的设计思路

1.3实验组网介绍
实验组网拓扑图

使用的网络地址

1.4实验配置任务
1.搭建拓扑，并实现全网互通配置任务

2.基本ACL 的配置

3. 高级 ACL的配置

4.ACL 规则的顺序

二、实验配置任务
2.1搭建拓扑，并实现全网互通
首先，在使用 ACL 对流量进行限制之前，我们要实现全网所有网段的互通，即所有设备及网段之间都能够相互 ping通。本实验通过动态路由协议 OSPF 来实现全网互通，读者可以自行配置 OSPF 并进行验证，本节以 OSPF 为例提供相应的基础配置，读者可以进行参考，当然也可以使用其他方法来实现全网互通。在OSPF的配置中,我们的规则是手动指定每台路由器的环回接口P 地址作为OSPF路由器ID，同时也今环回接口加入 OSPF域。例8-1例 8-3 分别展示了路由器 AR1AR2和AR3 的初始配置。

AR1的初始配置

interface GigabitEthernet0/0/0
ip address 10.10.12.1 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 10.10.10.254 255.255.255.0
#
interface GigabitEthernet0/0/2
ip address 10.10.20.254 255.255.255.0
interface LoopBack0
ip address 1.1.1.1 255.255.255.255

ospf 1 router-id 1.1.1.1
area 0.0.0.0
network 1.1.1.1 0.0.0.0
network 10.10.10.254 0.0.0.0
network 10.10.12.1 0.0.0.0
network 10.10.20.254 0.0.0.0

AR2的初始配置

interface GigabitEthernet0/0/0
ip address 10.10.12.2 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 10.10.23.2 255.255.255.0
#
interface GigabitEthernet0/0/2
ip address 10.10.30.254 255.255.255.0
interface LoopBack0
ip address 2.2.2.2 255.255.255.255

ospf 1 router-id 2.2.2.2
area 0.0.0.0
network 10.10.12.2 0.0.0.0
network 10.10.23.2 0.0.0.0
network 2.2.2.2 0.0.0.0
network 10.10.30.254 0.0.0.0

AR3的初始配置

[AR3]interfaceGigabitEthernet0/0/1
[AR3-GigabitEthernet0/0/1]ipaddress10.10.23.324
[AR3-GigabitEthernet0/0/1]quit
[AR3]interfaceLoopBack0
[AR3-LoopBack0]ipaddress3.3.3.332
[AR3-LoopBack0]quit
[AR3]ospf1router-id3.3.3.3
[AR3-ospf-1]area0
[AR3-ospf-1-area-0.0.0.0]network10.10.23.30.0.0.0
[AR3-ospf-1-area-0.0.0.0]network3.3.3.30.0.0.0

检查AR1的IP路由表

检查AR2的IP路由表

检查AR3的IP路由表

2.2基本ACL的配置
2.2.1配置基本ACL的语法
基本 ACL 只能基子数据包的源P 址、是否分片及时间信息来进行过滤，本实验仪介绍基于源地址进行匹配的方式。基本 ACL 配置语句的命令语法如下。

rule [ rule-id ] ( deny l permit ) [ source ( source-address source-wildcard ) any ]

①rue-id:指定 ACL 规则编号。这是一个可选参数，若不指定D，系统会自动分配I 值。在自动分配ID 值时，系统会使用“步长”的概念，步长指每两个自动生成的ID之间的间隔。缺省的步长为 5，系统自动生成的ID为5并按照 5 的倍数自动生成序号，即 5、10、15，以此类推。

②deny 或 permit: 必选参数，指定处理行为，拒绝或允许匹配数据包。

③ource{source-address source-wildcard|any; 如果根据源IP 地址匹配数据包，就需要使用这一组关键字和参数。source-address 指定源IP 地址:source-wildcard 指定通配符掩码，在子网掩码中，0 表示不关心，1 表示匹配，而在通配符抢码中，0 表示匹配,表示不关心，因此通配符掩码也被称为反掩码，比如，如果匹配子网 10.10.0.0/24，要使用的通配符掩码为 0.0.0.255;any 匹配任意源IP 地址。

④在使用命令创建了基本 ACL 后，我们还需要将它应用在接口上，以使 ACL 的功能生效。要想在接口上应用 ACL，需要先进入相应接口，然后使用以下命令进行应用。

⑤trafic-filter {outbound inbound}aclacl-number: 接口视图命令，关键字 outbound指定将 ACL应用于出方向的流量，关键字 inbound 指定将 ACL 应用于入方向的流量。

步骤一
在这个实验中，我们通过使用基本 ACL，禁止 PC1所属网段的设备访PC3所属网段的设备，其他流量不受影响。
我们从 ACL的设计进行分析，首先，基本 ACL 只能根据源P 地址来对数据包进行匹配。因为流量是双向的，所以根据本实验的需求，我们有两种选择:PC1 所属网毁的P地址 (10.10.10.0/24)和 PC3 所属网段的P 地址(10.10.30.0/24)。

荐 PC1 所属子阿作为面 P 地址进行过池，我们可以在以下接口的方向上应用基本ACL。
1）ARI接口G0/0/1 的入方向（但同时也会导致 PCI无法访问 PC2)
2)ARI接口G0/0/0的出向
3A接口G0/0/0的入方向
OAR2 接日G/0/0/2 的出方向
若以 PC3 所属子网作为源地址进行过滤，我们可以在以下接口的方向上应用基本ACL。
1)ARI接口 GO/01 的出方向
2)ARI 接口G0/00 的入方向
3)AR2 接口G0/0/0的出方向
DAR2接口G0/02的入方向(但同时也会导致 PC3 无法访间 PC2）
在选择基本ACL 的应用位置时，应道循的原则是:在尽可能靠近目的地的位置应用基本ACL，基于此，若以 PC1子网为源，最佳应用位置为 AR2 接口 G0/0/2 的山方向:若以 PC3 于网为源，最佳应用位置为 ARI 接口 G0/0/1 的出方向，这样做是为了避免无意闻扩大阻塞范围。比如:以 PCI 子网为，在接近源的 AR2 接口 G0/0/0 的入方向阻塞流量，则PC1将无法访问AR2 所连接的任何子网:若 AR2 不仅连接了 PC3子网还连接了其他子网，甚至连接了互联网，则 PC1 不仅无法访间 PC3 了网，还无法访问其他子网和互联网;若在距离源最近的 ARI接口 G0/0/1 的入方向阻塞流量，ARI 就会去弃 PCI 的流量，使流量无法到达子网之外。

步骤2创建并应用基本ACL
在AR2的G0/0/2出方向上应用以PC1子网为源的基本ACL

[AR2]acl2000
[AR2-acl-basic-2000]ruledenysource10.10.10.00.0.0.255
[AR2-acl-basic-2000]rulepermitsourceany
[AR2-acl-basic-2000]quit
[AR2]interfaceGigabitEthernet0/0/2
[AR2-GigabitEthernet0/0/2]traffic-filteroutboundacl2000

2.1查看ACL

步骤3验证项目效果（1）
3.1从PC1向PC3发起ping测试

3.2从PC1向其他IP地址发起ping测试

3.3查看ACL 2000匹配次数
在AR2上查看ACL 2000

2.3高级ACL的配置
2.3.1高级ACL的介绍
高级 ACL 可以根据源I 地址、目的IP 址、IP 类型、传输层源端口、传输层目的端口、是否分片及时间戳信息来进行过滤。高级 ACL 规则的命令语法需要根据 IP 数据包承载的协议类型来选择不同的参数组合，比如，当协议类型为 TCP(TransmissionControl Protocol，传输控制协议)时，高级 ACL 的语法格式为(完整的命令语法可参考华为设备配置指南).

步骤1 选择高级ACL的位置和方向
考虑从PC2去往PC3的方向进行过滤，即源IP地址为PC2所属网段，
目的IP地址为PC3所属网段，可以在以下接口应用高级ACL：
AR1接口G0/0/2的入方向
AR1接口G0/0/0的出方向
AR2接口G0/0/0的入方向
AR2接口G0/0/2的出方向

步骤2 创建并应用高级ACL
在AR1的G0/0/2入方向上应用高级ACL（以PC2子网为源，PC3子网
为目的）

[AR1]acl3000
[AR1-acl-adv-3000]ruledenyipsource10.10.20.00.0.0.255destination10.10.30.00.0.0.255
[AR1-acl-adv-3000]quit
[AR1]interfaceGigabitEthernet0/0/2
[AR1-GigabitEthernet0/0/2]traffic-filterinboundacl3000

步骤3 验证ACL
3.1从PC2向PC3发起ping测试

3.2从PC2向其他IP地址发起ping测试

3.3查看ACL 3000匹配次数
在AR1上查看ACL 3000

2.4ACL规则的顺序
2.4.1ACL规则的顺序
ACL 是由多条 deny 或 permit 规则构成的一组有序的规则列表，有时这些规则之间会存在重叠或行为矛盾的地方，比如以下两条规则:
rule deny ip destination 10.1.0.0 0.0255.255
rule permit ip destination 10.1.1.0 0.0.0.255
第一条规则拒绝了目的网段为 10.1.0.0/16 的数据包通过，第二条规则允许了目的网段为 10.1.1.0/24 的数据包通过。通过对比这两条规则，我们可以发现，10.1.0.0/16 网段中包含 10.1.1.0/24 网段，这两条规则对这个网段的处理行为是矛盾的。
若这两条规则以上述顺序出现在 ACL 中，则目的网段为 10.1.1./24 的数据包永远没有机会与第二条规则相匹配。这是因为 ACL 是按顺序来处理每个规则的，一旦发现与数据包相匹配的规则，设备便会执行规则中指定的行为并退出 ACL匹配进程。因此目的网段为 10.1.1.0/24 的数据包会与第一条规则相匹配，从而被丢弃。

在这个实验任务中，我们需要通过高级 ACL禁止AR1的G0/0/0接口 ping 通AR3的环回接口，但ARI能够 Telnet到AR3 的环回接口，同时能够禁止其他设备 Telnet到AR3 的环回接口。

步骤1 设计ACL
上述需求中涉及两种协议:ICMP和Telnet。D对于ICMP来说，需求中规定禁止AR1的GO/0/0接口ping通AR3的环回接口但允许其他IP地址ping通AR3 的环回接口。要想满足这个需求，只需要一条规则即可为了便于参考，我们列出以下匹配ICMP的命令语法:
rule [ rule-id ] deny permit ) protocol-number icmp }[ destinationdestination-address destination-wildcard any icmp-type { icmp-name icmp-type[ icmp-code ]} ] source { source-address source-wildcardJ any }]根据命令语法，我们需要在规则中将协议定义为ICMP(或协议号 1)，将源地址定义为10.10.12.1(AR1的G0/0/0接口IP地址)，将目的IP 地址定义为3.3.3.3(AR3的环回接口P地址)。AR1发来的ICMP数据包的类型是ICMP请求 (Echo-request)，因此我们可以将ICMP指定为echo(在该命令语法中echo 参数代表ICMP请求)。最终命令为:rule denyicmp source 10.10.12.10 destination 3.3.3.3 0icmp-type echo。注意，我们在这里只匹配了-个P地址，使用的通配符掩码为0.0.0.0，这个通配符掩码可以简写为0。@对于Telnet来说，需求中规定只有AR1能够 Telnet到AR3的环回接口，同时禁止其他设备对其进行 Telnet。我们需要使用两条命令来满足这个需求:放行 AR1 去往AR3的Telnet流量，拒绝其他设备去往 AR3 的 Telnet 流量。Telnet 使用TCP(端口23),因此我们将匹配TCP的命令语法列出:
rule [ rule-id ] deny permit protocol-number tcp ?[ destination destination-address destination-wildcard any ) destination-port ( eq port | gt port l ltport| range port-start port-end ) source source-address source-wildcard anysource-port f eq port gt port lt port range port-start port-end ) tep-flag f ackestablished/ fin psh rst syn urg ]
根据命令语法，在放行 AR1流量的规则中，我们需要将协议定义为TCP，将源IP 地址定义为10.10.12.1(AR1的G0/0/0接口P 地址)，将目的P地址定义为3.3.3.3(AR3的环回接口IP地址)，同时指定目的端口23(Telnet 协议使用的端口)，最终命令为: rule permittcp source 10.10.12.1 0 destination 3.3.3.3 0 destiation-port eq 23。接着我们还需要配置一条命令来禁止其他设备对IP 地址 3.3.3.3 发起Telnet，此时的源IP 地址要定义为any，因此最终命今为: rule deny tcp source any destination 3.3.3.3 0 destination-port eq 23。

步骤2创建并应用ACL
在AR3的G0/0/1入方向上应用ACL

[AR3]acl3000
[AR3-acl-adv-3000]ruledenyicmpsource10.10.12.10destination3.3.3.30icmp-
typeecho
[AR3-acl-adv-3000]rulepermittcpsource10.10.12.10destination3.3.3.30
destination-porteq23
[AR3-acl-adv-3000]ruledenytcpsourceanydestination3.3.3.30destination-
porteq23
[AR3-acl-adv-3000]quit
[AR3]interfaceGigabitEthernet0/0/1
[AR3-GigabitEthernet0/0/1]traffic-filterinboundacl3000

步骤3 检查ACL 3000的配置

[AR3]displayacl3000
AdvancedACL3000,3rules
Acl'sstepis5
rule5denyicmpsource10.10.12.10destination3.3.3.30icmp-typeecho
rule10permittcpsource10.10.12.10destination3.3.3.30destination-port
eqtelnet
rule15denytcpdestination3.3.3.30destination-porteqtelnet

步骤4 在AR3上启用Telnet
[AR3]user-interfacevty04

[AR3-ui-vty0-4]authentication-modepassword

Pleaseconfiguretheloginpassword(maximumlength16):Huawei@123

步骤5 验证配置结果
我们通过AR1和AR2分别向AR3的环回接口 3.3.3.3发起 ping和Tenet测试，以验证ACL的配置是否满足需求。例8-18 展示了AR1上的ping和Telnet 测试，结果与需求匹配:ping测试失败，Telnet 测试成功。需要注意的是，我们需要在用户视图中使用Telnet命令。

5.1从AR1上对AR3的环回接口发起ping与telnet测试

<AR1>ping3.3.3.3
PING3.3.3.3:56databytes,pressCTRL_Ctobreak
Requesttimeout
Requesttimeout
Requesttimeout
Requesttimeout
Requesttimeout
---
3.3.3.3pingstatistics---
5packet(s)transmitted
0packet(s)received
100.00%packetloss

<AR1>telnet3.3.3.3
PressCTRL_]toquittelnetmode
Trying3.3.3.3...
Connectedto3.3.3.3...
Loginauthentication
Password:Huawei@123

5.2从AR2上验证项目效果
<AR2>ping3.3.3.3
PING3.3.3.3:56databytes,pressCTRL_Ctobreak
Replyfrom3.3.3.3:bytes=56Sequence=1ttl=255time=60ms
Replyfrom3.3.3.3:bytes=56Sequence=2ttl=255time=20ms
Replyfrom3.3.3.3:bytes=56Sequence=3ttl=255time=40ms
Replyfrom3.3.3.3:bytes=56Sequence=4ttl=255time=20ms
Replyfrom3.3.3.3:bytes=56Sequence=5ttl=255time=30ms
---
3.3.3.3pingstatistics---
5packet(s)transmitted
5packet(s)received
0.00%packetloss
round-tripmin/avg/max=20/34/60ms
<AR2>telnet3.3.3.3
PressCTRL_]toquittelnetmode
Trying3.3.3.3...
Error:Can'tconnecttotheremotehost

步骤6 查看ACL 3000匹配次数
从AR3上查看ACL 3000

[AR3]displayacl3000
AdvancedACL3000,3rules
Acl'sstepis5
rule5denyicmpsource10.10.12.10destination3.3.3.30icmp-type
echo(5matches)
rule10permittcpsource10.10.12.10destination3.3.3.30
destination-porteqtelnet(35matches)
rule15denytcpdestination3.3.3.30destination-porteqtelnet

步骤7 使用自动排序
7.1在AR3上更改ACL规则的顺序

[AR3]undoacl3000
[AR3]acl3000match-orderauto
[AR3-acl-adv-3000]ruledenyicmpsource10.10.12.10destination
3.3.3.30icmp-typeecho
[AR3-acl-adv-3000]displaythis
[V200R003C00]
#
aclnumber3000match-orderauto
rule5denyicmpsource10.10.12.10destination3.3.3.30icmp-type
echo
#
return

7.2在AR3上添加deny规则
[AR3-acl-adv-3000]ruledenytcpsourceanydestination3.3.3.30
destination-porteqtelnet
[AR3-acl-adv-3000]displaythis
[V200R003C00]
#
aclnumber3000match-orderauto
rule5denyicmpsource10.10.12.10destination3.3.3.30icmp-type
echo
rule10denytcpdestination3.3.3.30destination-porteqtelnet
#
return

7.3在AR3上添加permit规则
[AR3-acl-adv-3000]rulepermittcpsource10.10.12.10destination
3.3.3.30destination-porteqtelnet
[AR3-acl-adv-3000]displaythis
[V200R003C00]
#
aclnumber3000match-orderauto
rule5denyicmpsource10.10.12.10destination3.3.3.30icmp-type
echo
rule10permittcpsource10.10.12.10destination3.3.3.30
destination-porteqtelnet
rule15denytcpdestination3.3.3.30destination-porteqtelnet
#
return

7.4.从AR1上验证项目效果
<AR1>ping3.3.3.3
PING3.3.3.3:56databytes,pressCTRL_Ctobreak
Requesttimeout
Requesttimeout
Requesttimeout
Requesttimeout
Requesttimeout
---
3.3.3.3pingstatistics---
5packet(s)transmitted
0packet(s)received
100.00%packetloss
<AR1>telnet3.3.3.3
PressCTRL_]toquittelnetmode
Trying3.3.3.3...
Connectedto3.3.3.3...
Loginauthentication
Password:Huawei@123

7.4.1从AR2上验证项目效果

<AR2>ping3.3.3.3
PING3.3.3.3:56databytes,pressCTRL_Ctobreak
Replyfrom3.3.3.3:bytes=56Sequence=1ttl=255time=20ms
Replyfrom3.3.3.3:bytes=56Sequence=2ttl=255time=30ms
Replyfrom3.3.3.3:bytes=56Sequence=3ttl=255time=40ms
Replyfrom3.3.3.3:bytes=56Sequence=4ttl=255time=20ms
Replyfrom3.3.3.3:bytes=56Sequence=5ttl=255time=20ms
---
3.3.3.3pingstatistics---
5packet(s)transmitted
5packet(s)received
0.00%packetloss
round-tripmin/avg/max=20/26/40ms
<AR2>telnet3.3.3.3
PressCTRL_]toquittelnetmode
Trying3.3.3.3...
Error:Can'tconnecttotheremotehost

7.5查看ACL 3000匹配次数
[AR3]displayacl3000
AdvancedACL3000,3rules,match-orderisauto
Acl'sstepis5
rule5denyicmpsource10.10.12.10destination3.3.3.30icmp-type
echo(5matches)
rule10permittcpsource10.10.12.10destination3.3.3.30
destination-porteqtelnet(26matches)
rule15denytcpdestination3.3.3.30destination-porteqtelnet

三、实验总结
通过华为ENSP模拟器进行的ACL（访问控制列表）实验，我深刻体会到了ACL在网络安全中的重要作用和实际应用价值。实验过程中，我不仅学习了ACL的基本概念和配置方法，还通过实际操作加深了对ACL工作原理的理解。

在实验中，我首先了解了ACL的基本概念，包括标准ACL和扩展ACL的区别以及它们在网络中的应用场景。接着，我通过ENSP模拟器逐步配置了ACL规则，并测试了配置的效果。通过不断调整规则的顺序和参数，我逐渐掌握了ACL配置的精髓，并成功实现了对特定网络流量的控制。

这次实验让我认识到，ACL是网络安全体系中的关键一环。通过合理配置ACL规则，我们可以有效地控制网络访问权限，防止未经授权的访问和恶意攻击，从而保护网络的安全和稳定。同时，我也意识到ACL配置需要谨慎和细致，因为错误的配置可能会导致网络故障或安全隐患。

在实验过程中，我也遇到了一些挑战和困难。例如，在配置ACL规则时，我需要仔细考虑每个规则的条件和动作，以确保它们能够正确地匹配网络流量并执行相应的操作。此外，我还需要不断调试和测试配置的效果，以确保其符合实际需求。这些挑战和困难让我更加深入地理解了ACL的配置和应用，也锻炼了我的问题解决能力。

总的来说，这次华为ENSP ACL实验让我受益匪浅。我不仅掌握了ACL的配置方法，还加深了对网络安全的理解。我相信这些知识和经验将对我未来的学习和工作产生积极的影响。同时，我也希望能够在今后的学习和实践中不断深化对ACL的理解和应用，为网络安全事业贡献自己的力量。
————————————————