ensp模拟企业网实例搭建与配置

该文章拓扑加文档下载链接：ensp模拟企业网实例（精品拓扑）

摘要

本文规划的是一个公司的网络搭建，采用接入层、核心层、汇聚层三层网络。所有交换机运行MSTP和VRRP协议，做冗余备份，保护链路安全。运行ospf动态路由协议，方便路由维护。使用dhcp动态分配地址，便于ip地址管理。出口采用防火墙设备，保护网络安全。同时在防火墙上做SNAT，可以让公司内网访问外网。在防火墙上做DNAT，可以让外部网络访问公司服务器。

1. 需求分析

本次设计能够满足需求如下：

1.每个部门划分一个vlan，部门内部网络互通，不同部门网络也能互通。

2.每个部门划分一段ip地址，并用dhcp技术自动分配地址，方便管理。

3.运行ospf协议，方便路由的维护。

4.接入层和汇聚层交换机做MSTP和VRRP技术，设备冗余，能够保证一台设备坏了之后，瞬间切换到另外一台设备，不影响业务。

5.保证公司内网的安全，增加防火墙设备，隔离公司内网和互联网。

6.公司内部使用光纤连接，光网覆盖，速度快。

7.SNAT:应用于内网用户访问Internet时进行的地址转换将私网地址转为公网地址。

8.DNAT:使的外网用户能够访问内部服务器，用户访问202.1.1.10时，防火墙将流量能够送给内网的服务器。DNAT中可使用公网端口与私网地址一对一进行映射，当访问202.1.1.10:8080 或202.1.1.1.10:8081 时，防火墙将目的地址转换为 192.168.10.10 或192.168.10.40 并且访问的是web服务。当用户访问202.1.1.10:2021 时防火墙将目的地址转换为192.168.10.20 访问公司的FTP服务.

2. 网络规划

1 公司网络设计

网络的设计原则包括三方面：

（1）可靠性原则：一是业务稳定运行，二是故障恢复时间快。

（2）实用性和可扩展性：符合实际并且便于扩展。

（3）安全性：公司设备和链路都要有冗余备份，还要保护内容的安全。

一个网络的拓扑图能够最直观的呈现这个网络的设计思想，几种经典的网络拓扑结构各有特点。我们使用最标准的核心层、汇聚层、接入层三层架构。要求任何一台设备都不能宕机，所以所有交换机必须要有双机热备冗余备份。公司的网络拓扑如下图所示。

2 ip地址和vlan 划分

VLAN（Virtual Local Area Network）即虚拟局域网，是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。VLAN内的主机间可以直接通信，而VLAN间不能直接通信，从而将广播报文限制在一个VLAN内。任何一个网络基础都是IP地址，网络设计也都是从IP地址和VLAN划分开始的。划分VALN是隔离广播域最有效的方法。子网划分和vlan划分是网络最基本的组成部分。本次VLAN的划分根据需求出发每个部门划分单独的VLAN，使部门之间相互独立，更便于管理。本次设计的VLAN和IP地址划分如表2-1所示:

表2-1地址规划

3 设备选型

为设计合理的拓扑我们需要对设备进行合理的选择，我们使用模拟器现有的设备型号来搭建拓扑，具体设备选型如表2-2所示：

表2-2设备选型表

3. 网络设计

1 OSPF 规划与配置

路由协议OSPF全称为Open Shortest Path First，也就开放的最短路径优先协议，因为OSPF是由IETF开发的，它的使用不受任何厂商限制，所有人都可以使用，所以称为开放的，而最短路径优先（SPF）只是OSPF的核心思想，其使用的算法是Dijkstra算法，最短路径优先并没有太多特殊的含义，并没有任何一个路由协议是最长路径优先的，所有协议，都会选最短的。为了方便路由的维护，分别在核心价换机，汇聚交换机和防火墙上配置ospf协议，配置如下：

        防火墙上ospf配置：
        ospf 1 router-id 11.11.11.11
         default-route-advertise
         spf-schedule-interval millisecond 5000
         area 0.0.0.0
          network 192.168.10.0 0.0.0.255
          network 192.168.11.0 0.0.0.255
            network 11.11.11.11 0.0.0.0
        核心交换机配置：
        ospf 1 router-id 1.1.1.1
         area 0.0.0.0
          network 192.168.0.0 0.0.255.255
          network 1.1.1.1 0.0.0.0
        汇聚交换机1配置：
        ospf 1 router-id 2.2.2.2
         area 0.0.0.0
          network 192.168.0.0 0.0.255.255
          network 2.2.2.2 0.0.0.0
        汇聚交换机2配置：
        ospf 1 router-id 3.3.3.3
         area 0.0.0.0
          network 192.168.0.0 0.0.255.255
          network 3.3.3.3 0.0.0.0

2 VRRP规划与配置

虚拟路由器冗余协议（VRRP）是一种选择协议，它可以把一个虚拟路由器的责任动态分配到局域网上的 VRRP 路由器中的一台。控制虚拟路由器 IP 地址的VRRP路由器称为主路由器，它负责转发数据包到这些虚拟 IP 地址。一旦主路由器不可用，这种选择过程就提供了动态的故障转移机制，这就允许虚拟路由器的 IP 地址可以作为终端主机的默认第一跳路由器。使用 VRRP 的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。 VRRP 包封装在 IP包中发送，是一种LAN接入设备备份协议。一个局域网络内的所有主机都设置缺省网关，这样主机发出的目的地址不在本网段的报文将被通过缺省网关发往三层交换机，从而实现了主机和外部网络的通信。为了防止设备出现单点故障，在汇聚交换机上为公司内网的网关做vrrp配置，实现设备冗余。

        汇聚交换机1vrrp配置：
        interface Vlanif100
         ip address 192.168.100.1 255.255.255.0
         vrrp vrid 100 virtual-ip 192.168.100.254
         vrrp vrid 100 priority 120
         dhcp select relay
         dhcp relay server-ip 192.168.12.1
         dhcp relay server-ip 192.168.13.1
        interface Vlanif101
         ip address 192.168.101.1 255.255.255.0
         vrrp vrid 101 virtual-ip 192.168.101.254
         vrrp vrid 101 priority 120
         dhcp select relay
         dhcp relay server-ip 192.168.12.1
         dhcp relay server-ip 192.168.13.1
        interface Vlanif102
         ip address 192.168.102.1 255.255.255.0
         vrrp vrid 102 virtual-ip 192.168.102.254
         vrrp vrid 102 priority 120
         dhcp select relay
         dhcp relay server-ip 192.168.12.1
         dhcp relay server-ip 192.168.13.1
        interface Vlanif103
         ip address 192.168.103.1 255.255.255.0
         vrrp vrid 103 virtual-ip 192.168.103.254
         dhcp select relay
         dhcp relay server-ip 192.168.12.1
         dhcp relay server-ip 192.168.13.1
        interface Vlanif104
         ip address 192.168.104.1 255.255.255.0
         vrrp vrid 104 virtual-ip 192.168.104.254
         dhcp select relay
         dhcp relay server-ip 192.168.12.1
         dhcp relay server-ip 192.168.13.1

        汇聚交换机2 vrrp配置：
        interface Vlanif100
         ip address 192.168.100.2 255.255.255.0
         vrrp vrid 100 virtual-ip 192.168.100.254
         dhcp select relay
         dhcp relay server-ip 192.168.12.1
         dhcp relay server-ip 192.168.13.1
        interface Vlanif101
         ip address 192.168.101.2 255.255.255.0
         vrrp vrid 101 virtual-ip 192.168.101.254
         dhcp select relay
         dhcp relay server-ip 192.168.12.1
         dhcp relay server-ip 192.168.13.1
        interface Vlanif102
         ip address 192.168.102.2 255.255.255.0
         vrrp vrid 102 virtual-ip 192.168.102.254
         dhcp select relay
         dhcp relay server-ip 192.168.12.1
         dhcp relay server-ip 192.168.13.1
        interface Vlanif103
         ip address 192.168.103.2 255.255.255.0
         vrrp vrid 103 virtual-ip 192.168.103.254
         vrrp vrid 103 priority 120
         dhcp select relay
         dhcp relay server-ip 192.168.12.1
         dhcp relay server-ip 192.168.13.1
        interface Vlanif104
         ip address 192.168.104.2 255.255.255.0
         vrrp vrid 104 virtual-ip 192.168.104.254
         vrrp vrid 104 priority 120
         dhcp select relay
         dhcp relay server-ip 192.168.12.1
         dhcp relay server-ip 192.168.13.1

3 MSTP规划与配置

生成树协议的作用：为了提供冗余链路，解决网络环路问题。通过生成树算法（SPA）生成一个没有环路的网络，出现故障时能自动切换到备份链路。

MSTP不仅涉及多个MSTI（生成树实例），而且还可划分多个MST域（MST Region，也称为MST区域）。总的来说，一个MSTP网络可以包含一个或多个MST域，而每个MST域中又可包含一个或多个MSTI。组成每个MSTI的是其中运行STP/RSTP/MSTP的交换设备，是这些交换设备经MSTP协议计算后形成的树状网络。为了消除环路带来的广播风暴和mac地址漂移问题，在交换机上运行mstp协议。配置如下:

所有交换机都配置      
  stp mode mstp
   stp region-configuration
   region-name huawei
   instance 1 vlan 100 to 102
   instance 2 vlan 103 to 104
   active region-configuration

汇聚交换机1

        stp instance 1 root priority 
        stp instance 2 root secondary 

汇聚交换机2

        stp instance 2 root priority 
        stp instance 1 root secondary

4 DHCP配置

DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）是一个局域网的网络协议，使用UDP协议工作， 主要有两个用途：给内部网络或网络服务供应商自动分配IP地址，给用户或者内部网络管理员作为对所有计算机作中央管理的手段，在RFC 2131中有详细的描述。DHCP有3个端口，其中UDP67和UDP68为正常的DHCP服务端口，分别作为DHCP Server和DHCP Client的服务端口。

DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）通常被应用在大型的局域网络环境中，主要作用是集中的管理、分配IP地址，使网络环境中的主机动态的获得IP地址、Gateway地址、DNS服务器地址等信息，并能够提升地址的使用率。

DHCP协议采用客户端/服务器模型，主机地址的动态分配任务由网络主机驱动。当DHCP服务器接收到来自网络主机申请地址的信息时，才会向网络主机发送相关的地址配置等信息，以实现网络主机地址信息的动态配置。为了方便对ip地址的管理，不会出现ip地址冲突的情况出现，我们使用dhcp方式自动分配地址。Dhcp配置如下：

        ip pool vlan100
         gateway-list 192.168.100.254
         network 192.168.100.0 mask 255.255.255.0
         dns-list 192.168.10.30
        ip pool vlan101
         gateway-list 192.168.101.254
         network 192.168.101.0 mask 255.255.255.0
         dns-list 192.168.10.30
        ip pool vlan102
         gateway-list 192.168.102.254
         network 192.168.102.0 mask 255.255.255.0
         dns-list 192.168.10.30
        ip pool vlan103
         gateway-list 192.168.103.254
         network 192.168.103.0 mask 255.255.255.0
         dns-list 192.168.10.30
        ip pool vlan104
         gateway-list 192.168.104.254
         network 192.168.104.0 mask 255.255.255.0
         dns-list 192.168.10.30
        interface Vlanif12
         ip address 192.168.12.1 255.255.255.0
         dhcp select global
         dhcp select relay
        interface Vlanif13
         ip address 192.168.13.1 255.255.255.0
         dhcp select global

5 防火墙安全配置

防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。

防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供更好、更安全的计算机网络使用体验。

为了保护内网安全，我们的出口设备使用防火墙，配置一些安全策略保护内网安全。配置如下：

        policy interzone trust untrust outbound     
            policy 1
            action permit 
        policy interzone untrust dmz outbound 
            policy 1
            description 192.168.10.0
            action permit 
        policy interzone trust dmz outbound 
            policy 1
            action permit 
        policy interzone dmz untrust inbound
            policy 2    
            action permit 

6 SNAT和DNAT的实现

我们在防火墙做SNAT，可以实现内网用户访问Internet时进行的地址转换将私网地址转为公网地址。做DNAT可以实现外网用户能够访问内部服务器，用户访问202.1.1.10时，防火墙将流量能够送给内网的服务器。DNAT中可使用公网端口与私网地址一对一进行映射，当访问202.1.1.10:8080 或202.1.1.1.10:8081 时，防火墙将目的地址转换为 192.168.10.10 或192.168.10.11 并且访问的是web服务。当用户访问202.1.1.10:2021 时防火墙将目的地址转换为192.168.10.20 访问公司的FTP服务。配置如下：

        nat address-group 202 202.1.1.3 202.1.1.6
        nat-policy interzone trust untrust outbound 
            policy 1
            action source-nat 
            policy source 192.168.0.0 mask 255.255.0.0
        nat server protocol tcp global 202.1.1.10 8080 inside 192.168.10.10 www 
        nat server protocol tcp global 202.1.1.10 8081 inside 192.168.10.40 www    
        nat server protocol tcp global 202.1.1.10 2021 inside 192.168.10.20 ftp

7 设备密码及远程登录配置

      user-interface con 0
       authentication-mode password
       set authentication password cipher huawei
      user-interface vty 0 4
       user privilege level 3
       set authentication password cipher huawei

4. 验证测试

1 DHCP自动获取地址测试

我以市场部、勤务部为例，验证DHCP地址获取情况：

2 网络连通信测试

以市场部与研发部的通信验证内部网络通信情况

以管理网络与外部网络PC1的通信验证内部网络上网情况

3 服务器访问测试

内网计算机访问WEB服务器测试

内网计算机DNS服务器测试

内网计算机FTP服务器测试

4 VRRP冗余与负载均衡测试

市场部主机访问外网主机，并通过跟踪路径查看数据走向，关闭路径上汇聚层的上行接口，再次访问外网主机并跟踪路径查看冗余切换是否正常。

通过两不同部门的主机访问外网跟踪数据走向，实现负载功能验证。

5 OSPF动态路由测试

在防火墙上查看动态路由OSPF学习情况，验证动态路由OSPF是否正常。

6 NAT地址转换测试

通过部门主机访问互联网，并在防火墙上查看SNAT转换记录。

通过外网主机访问内部网站，验证SNAT转换记录。

7 远程登录测试

防火墙密码均为Huawei@123，其他设备密码均为huawei

在内网网络互联层配置了设备密码和telnet，我们通过远程管理设备使用telnet命令验证telnet配置。文章来源地址https://www.toymoban.com/news/detail-790449.html