使用Ensp搭建中小型企业网络项目

项目总结

项目拓扑如下图：

项目要求1:要求企业网络内部所有设备能够互相通信IP地址规划设计，网络设备配置IP地址；为设备配置路由协议（ospf），让其有能够到达网络的路径；

项目要求2:不同部门之间的用户数据互相隔离，但能够实现通信；创建VLAN并将不同部门的主机划入不同的VLAN中（隔离）并不影响通信；

项目要求3:经理办公室可以访问其他部门，其他部门不能访问经理室；创建ACL高级配置规则：拒绝其他部门的数据流量访问经理办公室；在连接经理办公室的设备接口上应用该高级ACL单向访问控制

项目要求4:提升网关设备的备份冗余性；在各网关上创建vrrp备份组；设置虚拟主网关的IP地址；为主机分配网关地址为虚拟主网关的IP地址；当一台网关设备发生故障，主机会自动切换到备份网关，继续与外网的通信。

项目要求5:要求企业内部主机访问外网时转换成指定的公网地址；使用地址转换技术NAT；

设置将企业网络内部的私网地址转换成合法的公网地址；企业内部主机访问公网设备时，源IP地址为指定的公网地址

项目设备选型：

1. PC端：八台；

2. 路由器：四台；

3. 交换机：四台；

4. 线缆：直通线若干，交叉线若干。

项目实验手册

• 对接入层进行IP地址规划和配置,为实现vlan之间的隔离通信分别在四个交换机上创建vlan：vlan batch 10 20 30 40(其他交换机相同配置)

二.配置交换机的接口类型，交换机与PC端使用access类型，进入相对应的接口：port link-type access   port default vlan 10

交换机与路由之间使用trunk类型，进入相对应的接口：port link-type trunk  port trunk pvid vlan 10  port trunk allow-pass vlan all(其余交换机相同)

三.对汇聚层进行相关的配置，该项目的汇聚层原本是采用三层交换机来实现要求，但由于版本兼容，高级ACL在此处无法实现要求，所以换成AR2220，在开启该路由时需要添加多个网卡。

四.在AR1上g0/0/0上配置物理IP地址： ip address 192.168.1.252 24

并在该接口上实现vrrp备份：vrrp vrid 1 virtual-ip 192.168.1.254（虚拟主网关）vrrp vrid 1 priority 120（优先级越大抢占功能越强，默认为100），在vlan30 40不用配置优先级（默认为100），在此实现主备的前提下在该路由上实现负载均衡vlan10 20为Master，vlan30 40为Backup.

在AR2上1/0/0上配置物理IP地址： ip add 192.168.4.253 24(该物理IP地址与AR1上的物理IP不能相同)，备份：vrrp vrid 4 virtual-ip 192.168.4.254（虚拟主网关）vrrp vrid 4 priority 120（优先级越大抢占功能越强，默认为100）.

在配置vrrp遇到的问题：在配置好vrrp后使用dis vrrp 查询时，发现全部都显示的是Master，后查询资料得知可能是二层线路环路，STP主要是防止出现线路环路。也有备份的功能，但常用做二层备份。
VRRP主要是设备直接的备份，它可以根据配置中监控某个端口的状态来决定是否改变自己的优先级，从而改变工作状态（Master或Backup），通常用于设备中网关的备份（多用于备份三层接口）
STP是解决交换网络中循环问题.vrrp是解决网关冗余的问题.

五．通过上面的配置接入层的配置已经完成，现在对汇聚层进行配置AR1上配置ospf：

<Huawei>system-view   //进入系统视图

[Huawei]ospf 1   //使用ospf

[Huawei-ospf-1]area 0  //进入区域（本人在此只使用了一个区域，如果后期公司需要扩充可以使用多个区域，一般0区域为骨干区域）需要注意的是如果划分多个区域时，必须配置一个骨干区域，也可以使用虚链路。

[Huawei-ospf-1-area-0.0.0.0]network 192.168.1.0   0.0.0.255   

[Huawei-ospf-1-area-0.0.0.0]network 192.168.2.0   0.0.0.255

[Huawei-ospf-1-area-0.0.0.0]network 192.168.3.0   0.0.0.255

[Huawei-ospf-1-area-0.0.0.0]network 192.168.4.0   0.0.0.255

[Huawei-ospf-1-area-0.0.0.0]network 192.168.5.0   0.0.0.255

在AR2上配置基本一样，最有一条网段不一样

[Huawei-ospf-1-area-0.0.0.0]network 192.168.6.0   0.0.0.255

• 通过上面的配置汇聚层已经配置完毕，后对核心层AR3进行配置

进入接口配置ip地址：<Huawei>system-view   //进入系统视图

    [Huawei]interface GigabitEthernet  0/0/0

[Huawei-GigabitEthernet0/0/0]ip address 192.168.5.2 24

其他三个接口也一样。

而后开始配置ospf:<Huawei>system-view   //进入系统视图

[Huawei]ospf 1   //使用ospf

[Huawei-ospf-1]area 0   

[Huawei-ospf-1-area-0.0.0.0]network 192.168.6.0   0.0.0.255

[Huawei-ospf-1-area-0.0.0.0]network 192.168.5.0   0.0.0.255

[Huawei-ospf-1-area-0.0.0.0]network 200.1.1.0     0.0.0.255

使用地址转换技术NAT，企业内部主机访问外网时转换成指定的公网地址

先在AR3上配置acl访问控制 , 让指定的内网网段 , 可以访问外网

rule 5 permit source 192.168.1.0 0.0.0.255

rule 10 permit source 192.168.2.0 0.0.0.255

rule 15 permit source 192.168.3.0 0.0.0.255

rule 20 permit source 192.168.4.0 0.0.0.255

配置nat地址池

nat address-group 1 200.1.1.3  200.1.1.253

进入AR3的 2/0/0进入边界路由器连接外网的端口并将nat地址池 和acl 应用在外网出去的端口:nat  outbound  2000 address-group 1

  

在AR4上配置接口IP地址

检验方法：用内网随意PCping外网PC并打开抓包工具对2/0/0接口进行抓包看是否全是200.1.1.0网段的IP地址

• 在AR1上配置高级acl控制策略，实现单向访问控制；

acl number 3001  

rule 5 deny icmp source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 icmp-type echo

rule 10 deny icmp source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 icmp-type echo

rule 15 deny icmp source 192.168.4.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 icmp-type echo

rule 20 permit ip all

进入AR1g0/0/0接口,应用高级acltraffic-filter outbound  acl  3001

在AR2上也进行相应的配置

检验方法：用vlan10的PC可以ping通vlan20的PC，而其他网段的ping不通vlan10网段的

以上就是实现该项目的步骤