基于ensp的园区网络搭建综合实验

🕒 1. 技术介绍

运用到的技术有：
1、虚拟局域网（VLAN）
2、开放式最短路径优先（OSPF）
3、访问控制列表（ACL）
4、网络地址转换协议（NAT）
5、链路聚合（E-trunk）
6、生成树协议（STP）
7、多业务传送平台协议(MSTP)
8、虚拟路由冗余协议（VRRP）

🕒 2. 需求分析

🕘 2.1 项目背景和需求

你被雇佣为某公司网络工程师，该公司为小型企业，总人数约200人。公司目前设有研发部（100人）、市场部（50人）、行政部（30人）和财务部（20人）。目前该公司仅有一个公司总部，公司让你设计总部的园区网络，现该公司的网络需求如下：
1）公司内部各部门需实现正常通信，能够进行资源共享和信息共享，同时避免出现广播风暴，提高办公效率。
3）实现IP地址的自动化管理和分配。
3）公司提供网页服务，公司各部门能够通过访问提供的URL访问该网页。
4）公司能够进行文件的统一管理，各部门能够集中进行文件的上传和下载。
5）公司可以使用NAT技术与互联网接入

🕘 2.2 项目需求分析

• 为在公司内部各部门实现正常通信，需在公司内部进行路由配置。
• 避免出现广播风暴，提高办公效率，需为不同部门分配不同VLAN。同时考虑跨VLAN交流。
• 为实现IP地址的高效管理和分配，需搭建DHCP服务器进行IP地址分配。
• 为提供网页服务，并能进行URL访问，需在公司内部搭建HTTP服务器和DNS服务器，进行网页管理和域名解析工作。
• 为进行文件的统一管理，需在公司内部搭建FTP服务器，提供文件的上传下载服务。
• 在企业的内网出口设备采用相关的协议建立出口信道（采用NAT网络转换技术），将内部私有地址和外部公网地址进行转换，实现内网和外网的通信，即企业与Internet连接。

🕒 3. 网络结构设计

根据企业的总体网络结构分析后，采用三层结构组网的方式来实现数据的传输，即接入层、汇聚层和核心层，除了这三层结构以外还有DHCP区域、DMZ区域和ISP区域，网络结构图如下：

🕒 4. 网络拓扑规划

🕒 5. 网络设备基本配置

🕘 5.1 规划VLAN

以接入层交换机1为例：

<Huawei>undo ter monitor		# 关闭终端显示信息中心发送信息
<Huawei>sys
<Huawei>undo info-center enable		# 关闭信息中心
[Huawei]sysname LSW1

# 创建vlan
[LSW1]vlan batch 10 20 30 40	# 对应4个部门

[LSW1]int e0/0/1
[LSW1-Ethernet0/0/1]port link-type trunk
[LSW1-Ethernet0/0/1]port trunk allow-pass vlan all
[LSW1-Ethernet0/0/1]int e0/0/2
[LSW1-Ethernet0/0/2]port link-type trunk
[LSW1-Ethernet0/0/2]port trunk allow-pass vlan all

# 当有多个端口需要创建且均为相同配置，可以如下批量创建
[LSW1]port-group group-member Ethernet0/0/1 to Ethernet0/0/2
[LSW1-port-group]port link-type trunk
[LSW1-port-group]port trunk allow-pass vlan all

[LSW1]int e0/0/3
[LSW1-Ethernet0/0/3]port link-type access
[LSW1-Ethernet0/0/3]port default vlan 10
[LSW1-Ethernet0/0/3]int e0/0/4
[LSW1-Ethernet0/0/4]port link-type access
[LSW1-Ethernet0/0/4]port default vlan 10
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26

接入端口（Access Port）：一般用于终端设备与交换机之间互连，交换机与路由器连接的接口也需要使用接入端口。
干道端口（Trunk Port）：一般用于交换机之间的互连。

后面其他交换机同理，只需改变端口VLAN即可。

对于汇聚层交换机，这里介绍一下链路聚合技术：

链路聚合技术就是将个物理接口捆绑成一个逻辑接口，从而在不升级硬件情况下实现增加链路带宽带目的。Eth-Trunk链路两端相连的物理接口的数量、速率、双工方式、流控方式必须—致。

[Core-LSW1]int Eth-Trunk 1
[Core-LSW1-Eth-Trunk1]port link-type trunk
[Core-LSW1-Eth-Trunk1]port trunk allow-pass vlan all
[Core-LSW1-Eth-Trunk1]trunkport GigabitEthernet 0/0/3
[Core-LSW1-Eth-Trunk1]trunkport GigabitEthernet 0/0/4
[Core-LSW1]dis eth-trunk 1
Eth-Trunk1's state information is:
WorkingMode: NORMAL         Hash arithmetic: According to SIP-XOR-DIP         
Least Active-linknumber: 1  Max Bandwidth-affected-linknumber: 8              
Operate status: up          Number Of Up Port In Trunk: 2                     
--------------------------------------------------------------------------------
PortName                      Status      Weight 
GigabitEthernet0/0/3          Up          1      
GigabitEthernet0/0/4          Up          1  
1
2
3
4
5
6
7
8
9
10
11
12
13
14

🕘 5.2 MSTP部署

MSTP（Multiple Spanning tree Algorithm and protocol）是多生成树技术，允许在一个交换环境中运行多个生成树，每个生成树称为一个实例（instance）。实例之间的生成树彼此独立，如一个实例下的阻塞接口在另一个实例上可能是一个转发端口。MSTP允许多个VLAN运行一个生成树实例，大部分情况下，运行多个生成树实例的好处就在于链路的负载分担，但是当只有一条冗余链路时，运行两个生成树实例完全可以实现负载均衡，同时又能节约系统开销。

以汇聚层交换机1为例：

[Core-LSW1]stp enable
[Core-LSW1]stp mode mstp
[Core-LSW1]stp region-configuration
[Core-LSW1-mst-region]region-name mstp
[Core-LSW1-mst-region]instance 1 vlan 10 20		# 配置MSTP实例并关联相应的VLAN
[Core-LSW1-mst-region]instance 2 vlan 30 40
[Core-LSW1-mst-region]active region-configuration		# 启用配置
[Core-LSW1-mst-region]quit
[Core-LSW1]stp instance 1 root primary 		# 配置汇聚层LSW1为实例1的主根桥
[Core-LSW1]stp instance 2 root secondary 	# 配置汇聚层LSW1为实例2的备用根桥
# 优先级写法2
[Core-LSW1]stp instance 1 priority 4096
[Core-LSW1]stp instance 2 priority 8192
1
2
3
4
5
6
7
8
9
10
11
12
13

🕘 5.3 配置VLANIF与VRRP

VLANIF 和 VLAN 的区别和联系
VLAN端口：它是一个物理端口。通常，我们配置access VLAN 10以使物理接口属于VLAN 10。 VLANIF：接口VLAN是逻辑端口。通常，此接口地址用作VLAN下用户的网关

VRRP介绍
虚拟路由冗余协议VRRP（Virtual Router Redundancy Protocol）是一种用于提高网络可靠性的容错协议。通过VRRP，可以在主机的下一跳设备出现故障时，及时将业务切换到备份设备，从而保障网络通信的连续性和可靠性。

以汇聚层交换机1为例：

[Core-LSW1]int Vlanif 10
[Core-LSW1-Vlanif10]ip address 192.168.10.1 24		# LSW1为10.1，LSW2为10.2，下同
[Core-LSW1-Vlanif10]vrrp vrid 10 virtual-ip 192.168.10.254
[Core-LSW1-Vlanif10]vrrp vrid 10 priority 120		# 设置优先级（默认为100），让VLAN10和20的请求优先到LSW1处理

[Core-LSW1]int Vlanif 20
[Core-LSW1-Vlanif20]ip address 192.168.20.1 24
[Core-LSW1-Vlanif20]vrrp vrid 20 virtual-ip 192.168.20.254
[Core-LSW1-Vlanif20]vrrp vrid 20 priority 120

[Core-LSW1]int Vlanif 30
[Core-LSW1-Vlanif30]ip address 192.168.30.1 24
[Core-LSW1-Vlanif30]vrrp vrid 30 virtual-ip 192.168.30.254

[Core-LSW1]int Vlanif 40
[Core-LSW1-Vlanif40]ip address 192.168.40.1 24
[Core-LSW1-Vlanif40]vrrp vrid 40 virtual-ip 192.168.40.254
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

小技巧：当不清楚该填什么时，可用?查看

[Core-LSW1-Vlanif10]vrrp vrid 10 priority ?
  INTEGER<1-254>  The level of priority(default is 100)
1
2

🕘 5.4 DHCP配置

汇聚层交换机配置：

[Core-LSW1]dhcp enable

[Core-LSW1]int Vlanif 10
[Core-LSW1-Vlanif10]dhcp select global # 配置DHCP为全局模式
[Core-LSW1-Vlanif10]int Vlanif 20
[Core-LSW1-Vlanif20]dhcp select global 
[Core-LSW1-Vlanif20]int Vlanif 30
[Core-LSW1-Vlanif30]dhcp select global 
[Core-LSW1-Vlanif30]int Vlanif 40
[Core-LSW1-Vlanif40]dhcp select global 

[Core-LSW1]ip pool vlan10
[Core-LSW1-ip-pool-vlan10]gateway-list 192.168.10.254	# 网关地址
[Core-LSW1-ip-pool-vlan10]network 192.168.10.0 mask 24	# 加入地址池的网段
[Core-LSW1-ip-pool-vlan10]excluded-ip-address 192.168.10.1 192.168.10.2		# 排除已占用的接口（汇聚层交换机上的vlanif接口）
[Core-LSW1-ip-pool-vlan10]q
[Core-LSW1]ip pool vlan20
[Core-LSW1-ip-pool-vlan20]gateway-list 192.168.20.254
[Core-LSW1-ip-pool-vlan20]network 192.168.20.0 mask 24
[Core-LSW1-ip-pool-vlan20]excluded-ip-address 192.168.20.1 192.168.20.2
[Core-LSW1-ip-pool-vlan20]q
[Core-LSW1]ip pool vlan30
[Core-LSW1-ip-pool-vlan30]gateway-list 192.168.30.254
[Core-LSW1-ip-pool-vlan30]network 192.168.30.0 mask 24
[Core-LSW1-ip-pool-vlan30]excluded-ip-address 192.168.30.1 192.168.30.2
[Core-LSW1-ip-pool-vlan30]q
[Core-LSW1]ip pool vlan40
[Core-LSW1-ip-pool-vlan40]gateway-list 192.168.40.254
[Core-LSW1-ip-pool-vlan40]network 192.168.40.0 mask 24
[Core-LSW1-ip-pool-vlan40]excluded-ip-address 192.168.40.1 192.168.40.2
[Core-LSW1-ip-pool-vlan40]q
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

🕘 5.5 规划OSPF区域

汇聚层交换机配置：

[Core-LSW1]ospf
[Core-LSW1-ospf-1]area 1
[Core-LSW1-ospf-1-area-0.0.0.1]network 192.168.10.0 0.0.0.255
[Core-LSW1-ospf-1-area-0.0.0.1]area 2
[Core-LSW1-ospf-1-area-0.0.0.2]network 192.168.20.0 0.0.0.255
[Core-LSW1-ospf-1-area-0.0.0.2]area 3
[Core-LSW1-ospf-1-area-0.0.0.3]network 192.168.30.0 0.0.0.255
[Core-LSW1-ospf-1-area-0.0.0.3]area 4
[Core-LSW1-ospf-1-area-0.0.0.4]network 192.168.40.0 0.0.0.255
[Core-LSW1-ospf-1-area-0.0.0.4]area 0
[Core-LSW1-ospf-1-area-0.0.0.0]network 192.168.5.2 0.0.0.0		# 0代表严格匹配
[Core-LSW1-ospf-1-area-0.0.0.0]network 192.168.7.2 0.0.0.0
1
2
3
4
5
6
7
8
9
10
11
12

核心层路由器配置：

[Core-R1]ospf
[Core-R1-ospf-1]
[Core-R1-ospf-1]area 0
[Core-R1-ospf-1-area-0.0.0.0]network 192.168.4.1 0.0.0.0
[Core-R1-ospf-1-area-0.0.0.0]network 192.168.5.1 0.0.0.0
[Core-R1-ospf-1-area-0.0.0.0]network 192.168.6.1 0.0.0.0
[Core-R1-ospf-1-area-0.0.0.0]network 192.168.100.1 0.0.0.0
[Core-R1-ospf-1-area-0.0.0.0]network 192.168.2.2 0.0.0.0
1
2
3
4
5
6
7
8

🕘 5.6 出口区ACL与NAT配置

ACL是一种基于包过滤的访问策略，根据匹配规则引入到接口，根据数据流方向对数据施行有效控制

[Core-R3]acl 2000		# 设定基本ACL规则匹配网段
[Core-R3-acl-basic-2000]rule permit source 192.168.10.0 0.0.0.255		# 筛选出内网的网段
[Core-R3-acl-basic-2000]rule permit source 192.168.20.0 0.0.0.255
[Core-R3-acl-basic-2000]rule permit source 192.168.30.0 0.0.0.255
[Core-R3-acl-basic-2000]rule permit source 192.168.40.0 0.0.0.255

[Core-R3]int g0/0/1
[Core-R3-GigabitEthernet0/0/1]nat outbound 2000		# 配置NAPT
[Core-R3-GigabitEthernet0/0/1]int g2/0/0
[Core-R3-GigabitEthernet2/0/0]nat outbound 2000

[Core-R3]ospf
[Core-R3-ospf-1]default-route-advertise always		# 出口配置一条默认路由
1
2
3
4
5
6
7
8
9
10
11
12
13

🕒 6. 项目测试

内网主机通过DHCP获取IP后访问外网：

内网主机访问FTP服务器：

内网主机通过域名访问HTTP服务器：

内网主机互相通信：

🕒 7. 常用排障命令

1、查看STP实例信息
dis stp instance [实例号] brief

ROOT是根端口，DESI是转发端口，ALTE是阻塞端口。

2、查看VRRP信息
dis vrrp

tip：不想继续看按q即可

3、查看接口与IP相关的简要信息
dis ip int b

4、查看历史配置命令
dis this

5、查看IPv4路由表的信息
dis ip rou

6、撤销命令
undo + ...

---

❗ 转载请注明出处
作者：HinsCoder
博客链接：🔎 作者博客主页