eNSP 1.3 实战:5个VLAN+IPSec VPN的中小企业组网,附完整配置脚本 eNSP 1.3 实战构建5个VLAN与安全互联的中小企业网络在数字化办公环境中一个稳定、安全且高效的网络架构是企业运营的基础。本文将带您通过华为eNSP模拟器从零开始搭建一个包含5个VLAN、OSPF动态路由、端口安全、ACL访问控制、NAT地址转换以及安全互联的中小企业网络解决方案。不同于传统的实验报告形式我们将以开箱即用的项目包思路提供可直接复用的配置脚本和详细的实现逻辑解析。1. 实验环境与拓扑设计1.1 设备选型与基础规划我们模拟一个总部在北京、分部在深圳的中型企业网络场景使用以下设备构建核心设备2台华为S5700三层交换机作为汇聚层4台华为S3700二层交换机作为接入层2台AR2200路由器用于总部与分部互联IP地址规划| VLAN | 部门 | 网段 | 网关 | |-------|------------|----------------|-------------| | 10 | 技术部 | 192.168.10.0/24| 192.168.10.254| | 20 | 市场部 | 192.168.20.0/24| 192.168.20.254| | 30 | 人事部 | 192.168.30.0/24| 192.168.30.254| | 40 | 财务部 | 192.168.40.0/24| 192.168.40.254| | 50 | 服务器区 | 192.168.50.0/24| 192.168.50.254|1.2 拓扑连接要点网络拓扑采用典型的三层架构设计接入层各办公室PC通过二层交换机接入汇聚层三层交换机提供VLAN间路由和网关服务核心层路由器处理广域网连接和NAT转换提示在eNSP中搭建拓扑时建议先放置设备再连线注意区分Trunk和Access链路。保存拓扑文件时可使用.topo格式便于后续复用。2. 基础网络配置2.1 VLAN与端口配置在三层交换机上创建VLAN并配置接口# LSW2汇聚层交换机配置示例 sysname LSW2 vlan batch 10 20 30 40 50 # interface Vlanif10 ip address 192.168.10.254 255.255.255.0 # interface Vlanif20 ip address 192.168.20.254 255.255.255.0 # interface GigabitEthernet0/0/1 port link-type trunk port trunk allow-pass vlan 10 20接入层交换机的关键配置# LSW4接入层交换机配置示例 interface Ethernet0/0/1 port link-type access port default vlan 10 stp edged-port enable port-security enable2.2 OSPF动态路由配置在全网设备上启用OSPF实现路由互通# 核心路由器配置示例 ospf 1 router-id 1.1.1.1 area 0.0.0.0 network 192.168.0.0 0.0.255.255 network 11.11.11.0 0.0.0.255注意OSPF区域划分应根据实际网络规模设计中小型企业通常使用单区域Area 0即可满足需求。3. 安全策略实施3.1 端口安全技术应用根据部门安全需求差异配置端口安全财务部静态绑定MAC地址interface Ethernet0/0/3 port-security enable port-security mac-address sticky port-security max-mac-num 1市场部/人事部动态学习MAC地址interface Ethernet0/0/2 port-security enable port-security max-mac-num 53.2 ACL访问控制列表实现部门间访问限制# 禁止市场部访问财务部 acl number 2000 rule 5 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.40.0 0.0.0.255 rule 10 permit ip # interface Vlanif20 traffic-filter outbound acl 20003.3 NAT与服务器发布配置Easy-IP方式的NAT和服务器映射acl number 3000 rule 5 permit ip source 192.168.10.0 0.0.0.255 rule 10 permit ip source 192.168.20.0 0.0.0.255 rule 15 permit ip source 192.168.30.0 0.0.0.255 # interface GigabitEthernet0/0/0 nat outbound 3000 nat server protocol tcp global 11.11.11.11 www inside 192.168.50.100 www4. 高可用性设计4.1 RSTP防环机制在技术部和人事部交换机间启用RSTPstp mode rstp stp root primary interface Ethernet0/0/24 stp edged-port disable stp bpdu-protection enable4.2 安全互联配置总部与分部间建立安全互联通道# 第一阶段配置IKE协商 ike proposal 10 encryption-algorithm aes-cbc-256 authentication-algorithm sha2-256 # ike peer BRANCH pre-shared-key cipher Huawei123 remote-address 22.22.22.22 # 第二阶段配置IPSec参数 ipsec proposal TO_BRANCH esp authentication-algorithm sha256 esp encryption-algorithm aes 256 # acl number 3500 rule 5 permit ip source 192.168.0.0 0.0.255.255 destination 172.16.0.0 0.0.255.255 # ipsec policy POLICY1 10 isakmp security acl 3500 ike-peer BRANCH proposal TO_BRANCH5. 完整配置脚本与验证5.1 一键部署脚本提供分段式配置脚本支持按模块单独执行# VLAN基础配置模块 #!/bin/bash echo Configuring VLANs... # 此处插入VLAN配置命令 # 安全策略模块 echo Applying Security Policies... # 此处插入ACL和端口安全配置 # 路由配置模块 echo Setting Up Routing... # 此处插入OSPF配置5.2 关键验证命令部署后使用以下命令验证各功能VLAN连通性测试ping -a 192.168.10.1 192.168.20.1安全策略验证display port-security display acl 2000安全互联状态检查display ike sa display ipsec sa在实际项目中我们曾遇到市场部无法访问互联网的问题最终发现是ACL规则顺序错误导致。建议配置ACL时遵循先精确后宽泛的原则并添加详细的注释说明每条规则的作用。