eNSP 1.3 实战:构建5个VLAN与安全互联的中小企业网络
在数字化办公环境中,一个稳定、安全且高效的网络架构是企业运营的基础。本文将带您通过华为eNSP模拟器,从零开始搭建一个包含5个VLAN、OSPF动态路由、端口安全、ACL访问控制、NAT地址转换以及安全互联的中小企业网络解决方案。不同于传统的实验报告形式,我们将以"开箱即用"的项目包思路,提供可直接复用的配置脚本和详细的实现逻辑解析。
1. 实验环境与拓扑设计
1.1 设备选型与基础规划
我们模拟一个总部在北京、分部在深圳的中型企业网络场景,使用以下设备构建:
核心设备:
- 2台华为S5700三层交换机(作为汇聚层)
- 4台华为S3700二层交换机(作为接入层)
- 2台AR2200路由器(用于总部与分部互联)
IP地址规划:
| VLAN | 部门 | 网段 | 网关 | |-------|------------|----------------|-------------| | 10 | 技术部 | 192.168.10.0/24| 192.168.10.254| | 20 | 市场部 | 192.168.20.0/24| 192.168.20.254| | 30 | 人事部 | 192.168.30.0/24| 192.168.30.254| | 40 | 财务部 | 192.168.40.0/24| 192.168.40.254| | 50 | 服务器区 | 192.168.50.0/24| 192.168.50.254|
1.2 拓扑连接要点
网络拓扑采用典型的三层架构设计:
- 接入层:各办公室PC通过二层交换机接入
- 汇聚层:三层交换机提供VLAN间路由和网关服务
- 核心层:路由器处理广域网连接和NAT转换
提示:在eNSP中搭建拓扑时,建议先放置设备再连线,注意区分Trunk和Access链路。保存拓扑文件时可使用
.topo格式便于后续复用。
2. 基础网络配置
2.1 VLAN与端口配置
在三层交换机上创建VLAN并配置接口:
# LSW2(汇聚层交换机)配置示例 sysname LSW2 vlan batch 10 20 30 40 50 # interface Vlanif10 ip address 192.168.10.254 255.255.255.0 # interface Vlanif20 ip address 192.168.20.254 255.255.255.0 # interface GigabitEthernet0/0/1 port link-type trunk port trunk allow-pass vlan 10 20接入层交换机的关键配置:
# LSW4(接入层交换机)配置示例 interface Ethernet0/0/1 port link-type access port default vlan 10 stp edged-port enable port-security enable2.2 OSPF动态路由配置
在全网设备上启用OSPF实现路由互通:
# 核心路由器配置示例 ospf 1 router-id 1.1.1.1 area 0.0.0.0 network 192.168.0.0 0.0.255.255 network 11.11.11.0 0.0.0.255注意:OSPF区域划分应根据实际网络规模设计,中小型企业通常使用单区域(Area 0)即可满足需求。
3. 安全策略实施
3.1 端口安全技术应用
根据部门安全需求差异配置端口安全:
财务部:静态绑定MAC地址
interface Ethernet0/0/3 port-security enable port-security mac-address sticky port-security max-mac-num 1市场部/人事部:动态学习MAC地址
interface Ethernet0/0/2 port-security enable port-security max-mac-num 5
3.2 ACL访问控制列表
实现部门间访问限制:
# 禁止市场部访问财务部 acl number 2000 rule 5 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.40.0 0.0.0.255 rule 10 permit ip # interface Vlanif20 traffic-filter outbound acl 20003.3 NAT与服务器发布
配置Easy-IP方式的NAT和服务器映射:
acl number 3000 rule 5 permit ip source 192.168.10.0 0.0.0.255 rule 10 permit ip source 192.168.20.0 0.0.0.255 rule 15 permit ip source 192.168.30.0 0.0.0.255 # interface GigabitEthernet0/0/0 nat outbound 3000 nat server protocol tcp global 11.11.11.11 www inside 192.168.50.100 www4. 高可用性设计
4.1 RSTP防环机制
在技术部和人事部交换机间启用RSTP:
stp mode rstp stp root primary interface Ethernet0/0/24 stp edged-port disable stp bpdu-protection enable4.2 安全互联配置
总部与分部间建立安全互联通道:
# 第一阶段配置(IKE协商) ike proposal 10 encryption-algorithm aes-cbc-256 authentication-algorithm sha2-256 # ike peer BRANCH pre-shared-key cipher Huawei@123 remote-address 22.22.22.22 # 第二阶段配置(IPSec参数) ipsec proposal TO_BRANCH esp authentication-algorithm sha256 esp encryption-algorithm aes 256 # acl number 3500 rule 5 permit ip source 192.168.0.0 0.0.255.255 destination 172.16.0.0 0.0.255.255 # ipsec policy POLICY1 10 isakmp security acl 3500 ike-peer BRANCH proposal TO_BRANCH5. 完整配置脚本与验证
5.1 一键部署脚本
提供分段式配置脚本,支持按模块单独执行:
# VLAN基础配置模块 #!/bin/bash echo "Configuring VLANs..." # 此处插入VLAN配置命令 # 安全策略模块 echo "Applying Security Policies..." # 此处插入ACL和端口安全配置 # 路由配置模块 echo "Setting Up Routing..." # 此处插入OSPF配置5.2 关键验证命令
部署后使用以下命令验证各功能:
VLAN连通性测试:
ping -a 192.168.10.1 192.168.20.1安全策略验证:
display port-security display acl 2000安全互联状态检查:
display ike sa display ipsec sa
在实际项目中,我们曾遇到市场部无法访问互联网的问题,最终发现是ACL规则顺序错误导致。建议配置ACL时遵循"先精确后宽泛"的原则,并添加详细的注释说明每条规则的作用。