基于华为eNSP的中小企业办公园区网络规划与设计

创作时间:

作者:

@小白创作中心

基于华为eNSP的中小企业办公园区网络规划与设计

引用

CSDN

https://blog.csdn.net/qq_43085848/article/details/128506055

本文将介绍如何使用华为eNSP软件规划和设计一个中小企业办公园区网络。通过需求分析、网络结构设计、设备配置和项目测试等多个环节，详细展示了VLAN、OSPF、ACL、WLAN、NAT等多种网络技术的运用。

一、需求分析

（一）项目背景

企业拟建设一个信息化的企业园区网络信息系统，运用现代计算机网络技术实现一个高可靠性、高效率性、高安全性的网络结构，要求网络技术先进且成熟。同时，为了适应企业信息化的发展，该网络信息系统需要满足未来日益增长的业务要求。这将有助于提高企业园区的工作、管理效率和执行效率，并降低企业的日常管理成本和交易成本。

（二）网络业务需求

企业分为六个部门，分别是行政部、财务部、产品开发部、营销部、生产部和人事部。通过建设一个高速、高安全性、高可靠性、可扩展的网络结构，使整个办公园区的网络系统通过一张网连接在一起，实现企业内部信息的共享，以及在工作协助中更高效、迅速地传递至相关部门，同时也便于管理层管理。

（三）网络应用需求

在企业的内网出口设备采用相关的协议建立出口信道（采用NAT网络转换技术），将内部私有地址和外部公网地址进行转换，实现内网和外网的通信，即企业与Internet连接。企业网络内应含有DMZ区域，其中搭建有FTP服务器、HTTP服务器、DNS服务器供使用。另外，通过无线局域网技术，其无线高速IEEE标准，能够覆盖在一定范围内的客户上网访问支持；其灵活、移动的Internet访问能力，在Internet与电子邮件访问中为企业提供解决方案。

二、网络结构设计

根据企业的总体网络结构分析后，采用三层结构组网的方式来实现数据的传输，即接入层、汇聚层和核心层，除了这三层结构以外还有无线上网区域、DMZ区域和ISP区域，网络结构图如下：

对应的设备如下图，可简单画出ensp的拓扑图：

分区如下：

三、网络设备基本配置

以下是部分配置，经供参考。

（一）核心交换机配置

<Huawei>undo ter monitor
<Huawei>sys
<Huawei>undo info-center enable
[Huawei]sysname Core-LSW1
//创建vlan
[Core-LSW1]vlan batch 5 7 10 20 30 40 50 60 100 101
[Core-LSW1]int Vlanif 5
[Core-LSW1-Vlanif5]ip address 192.168.5.2 24
[Core-LSW1-Vlanif5]int Vlanif 7
[Core-LSW1-Vlanif7]ip address 192.168.7.2 24
[Core-LSW1-Vlanif7]quit
[Core-LSW1]int Vlanif 10
[Core-LSW1-Vlanif10]ip address 192.168.10.254 24
[Core-LSW1-Vlanif10]vrrp vrid 10 virtual-ip 192.168.10.252
[Core-LSW1-Vlanif10]vrrp vrid 10 priority 120
[Core-LSW1-Vlanif10]vrrp vrid 10 track interface g0/0/1
[Core-LSW1-Vlanif10]vrrp vrid 10 track interface g0/0/2
[Core-LSW1-Vlanif10]quit
[Core-LSW1]int Vlanif 20
[Core-LSW1-Vlanif20]ip address 192.168.20.254 24
[Core-LSW1-Vlanif20]vrrp vrid 20 virtual-ip 192.168.20.252
[Core-LSW1-Vlanif20]vrrp vrid 20 priority 120
[Core-LSW1-Vlanif20]vrrp vrid 20 track interface g0/0/1
[Core-LSW1-Vlanif20]vrrp vrid 20 track interface g0/0/2
[Core-LSW1-Vlanif20]quit
[Core-LSW1]int Vlanif 30
[Core-LSW1-Vlanif30]ip address 192.168.30.254 24
[Core-LSW1-Vlanif30]vrrp vrid 30 virtual-ip 192.168.30.252
[Core-LSW1-Vlanif30]vrrp vrid 30 priority 120
[Core-LSW1-Vlanif30]vrrp vrid 30 track interface g0/0/1
[Core-LSW1-Vlanif30]vrrp vrid 30 track interface g0/0/2
[Core-LSW1-Vlanif30]quit
[Core-LSW1]int Vlanif 40
[Core-LSW1-Vlanif40]ip address 192.168.40.254 24
[Core-LSW1-Vlanif40]vrrp vrid 40 virtual-ip 192.168.40.252
[Core-LSW1-Vlanif40]vrrp vrid 40 track interface g0/0/1
[Core-LSW1-Vlanif40]vrrp vrid 40 track interface g0/0/2
[Core-LSW1-Vlanif40]quit
...
[Core-LSW1]int Vlanif 100
[Core-LSW1-Vlanif100]ip address 192.168.100.254 24
[Core-LSW1]int g0/0/1
[Core-LSW1-GigabitEthernet0/0/1]port link-type access
[Core-LSW1-GigabitEthernet0/0/1]port default vlan 5
[Core-LSW1-GigabitEthernet0/0/1]int g0/0/2
[Core-LSW1-GigabitEthernet0/0/2]port link-type access
[Core-LSW1-GigabitEthernet0/0/2]port default vlan 7
[Core-LSW1-GigabitEthernet0/0/2]quit
//链路聚合Eth-Trunk：
[Core-LSW1]int Eth-Trunk 1
[Core-LSW1-Eth-Trunk1]port link-type trunk
[Core-LSW1-Eth-Trunk1]port trunk allow-pass vlan all
[Core-LSW1-Eth-Trunk1]trunkport GigabitEthernet 0/0/3
[Core-LSW1-Eth-Trunk1]trunkport GigabitEthernet 0/0/4
[Core-LSW1-Eth-Trunk1]display this
[Core-LSW1]interface GigabitEthernet 0/0/5
[Core-LSW1-GigabitEthernet0/0/5]port link-type trunk
[Core-LSW1-GigabitEthernet0/0/5]port trunk allow-pass vlan all
[Core-LSW1-GigabitEthernet0/0/5]q
[Core-LSW1]interface GigabitEthernet 0/0/6
[Core-LSW1-GigabitEthernet0/0/6]port link-type trunk
[Core-LSW1-GigabitEthernet0/0/6]port trunk allow-pass vlan all
[Core-LSW1-GigabitEthernet0/0/6]q
[Core-LSW1]interface GigabitEthernet 0/0/7
[Core-LSW1-GigabitEthernet0/0/7]port link-type trunk
[Core-LSW1-GigabitEthernet0/0/7]port trunk allow-pass vlan all
[Core-LSW1-GigabitEthernet0/0/7]q
...
[Core-LSW1]interface GigabitEthernet 0/0/13
[Core-LSW1-GigabitEthernet0/0/13]port link-type trunk
[Core-LSW1-GigabitEthernet0/0/13]port trunk pvid vlan 101
[Core-LSW1-GigabitEthernet0/0/13]port trunk allow-pass vlan all
[Core-LSW1-GigabitEthernet0/0/13]quit
...

（二）接入层交换机配置

<Huawei>undo ter monitor
<Huawei>sys
<Huawei>undo info-center enable
[Huawei]sysname LSW1
//创建vlan
[LSW1]vlan batch 10 20 30 40 50 60 100 101
[LSW1]stp enable
[LSW1]stp region-configuration
[LSW1-mst-region]region-name huawei
[LSW1-mst-region]revision-level 5
[LSW1-mst-region]instance 1 vlan 10 20 30 100
[LSW1-mst-region]instance 2 vlan 40 50 60
[LSW1-mst-region]active region-configuration
[LSW1-mst-region]quit
[LSW1]int e0/0/1
[LSW1-Ethernet0/0/1]port link-type trunk
[LSW1-Ethernet0/0/1]port trunk allow-pass vlan all
[LSW1-Ethernet0/0/1]int e0/0/2
[LSW1-Ethernet0/0/2]port link-type trunk
[LSW1-Ethernet0/0/2]port trunk allow-pass vlan all
[LSW1-Ethernet0/0/2]int e0/0/3
[LSW1-Ethernet0/0/3]port link-type access
[LSW1-Ethernet0/0/3]port default vlan 10
[LSW1-Ethernet0/0/3]int e0/0/4
[LSW1-Ethernet0/0/4]port link-type access
[LSW1-Ethernet0/0/4]port default vlan 10

（三）防火墙配置

<USG6000V1>undo ter monitor
<USG6000V1>sys
[USG6000V1]undo info-center enable
[USG6000V1]sysname FW1
//为防火墙的四个接口配IP地址
[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip address 192.168.2.1 24
[FW1-GigabitEthernet1/0/0]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip address 192.168.3.1 24
[FW1-GigabitEthernet1/0/1]int g1/0/3
[FW1-GigabitEthernet1/0/3]ip address 192.168.200.1 24
[FW1-GigabitEthernet1/0/3]int g1/0/2
[FW1-GigabitEthernet1/0/2]ip address 200.10.10.1 30
[FW1-GigabitEthernet1/0/2]quit
//划分trust区域，内网
[FW1]firewall zone trust
[FW1-zone-trust]add interface g1/0/0
[FW1-zone-trust]add interface g1/0/1
[FW1-zone-trust]quit
//划分untrust区域，外网
[FW1]firewall zone untrust
[FW1-zone-untrust]add interface g1/0/2
[FW1-zone-untrust]quit
//划分dmz区域
[FW1]firewall zone dmz
[FW1-zone-dmz]add interface g1/0/3
[FW1-zone-dmz]quit
//配置安全放行策略
[FW1]security-policy
[FW1-policy-security]rule name tr-untr
[FW1-policy-security-rule-tr-untr]source-zone trust
[FW1-policy-security-rule-tr-untr]source-address 192.168.0.0 0.0.255.255
[FW1-policy-security-rule-tr-untr]destination-zone untrust
[FW1-policy-security-rule-tr-untr]action permit
[FW1-policy-security-rule-tr-untr]quit
[FW1-policy-security]quit
...
//进入四个接口，允许所有的协议通过
[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]service-manage all permit
[FW1-GigabitEthernet1/0/0]int g1/0/1
[FW1-GigabitEthernet1/0/1]service-manage all permit
[FW1-GigabitEthernet1/0/1]int g1/0/2
...

（四）无线局域网配置

<AC6605>undo ter monitor
<AC6605>sys
[AC6605]undo info-center enable
[AC6605]sysname AC1
[AC1]vlan batch 100 101
[AC1]int Vlanif 100
[AC1-Vlanif100]ip address 192.168.100.1 24
[AC1-Vlanif100]quit
[AC1]dhcp enable
[AC1]int Vlanif 100
[AC1-Vlanif100]dhcp select global
[AC1-Vlanif100]quit
[AC1]int Vlanif 101
[AC1-Vlanif200]ip address 192.168.101.1 24
[AC1-Vlanif200]dhcp select interface
[AC1-Vlanif200]quit
[AC1]ip pool vlan100
[AC1-ip-pool-vlan100]gateway-list 192.168.100.254
[AC1-ip-pool-vlan100]network 192.168.100.0
[AC1-ip-pool-vlan100]dns-list 192.168.200.4
[AC1-ip-pool-vlan100]excluded-ip-address 192.168.100.1
[AC1-ip-pool-vlan100]quit
...

由于配置命令过多，这里不完全展示其中每个设备的配置情况。