案例

最近在出差，参与了一家企业的内部实训课程，不敢吃独食，经过重新整编，和大家分享，一共有两个案例，今天讲解第一个案例--“企业网组网和互联网接入”。

实验环境：eNSP（华为模拟器），目前国内华为设备用的比较多，eNSP也是一款相当实用的模拟器软件，不同于Cisco Packet Tracer这种纯模拟器，eNSP可以接入物理网络。

企业网组网和互联网接入

图1 网络拓扑图

图1中，企业网分为三个局域网：172.16.3.0/24、172.16.6.0/24、172.16.9.0/24。企业网通过FW1防火墙接入互联网络，内部用OSPF协议构建，拓扑图分析完毕，开始进入配置。

整个配置过程分为三步：

1. 二层vlan配置
2. 三层IP配置和动态路由配置
3. 接入网部分配置

vlan信息规划：172.16.3.0/24属于vlan3、172.16.6.0/24属于vlan6、172.16.9.0/24属于vlan9。

二层VLAN配置

图2 查询S1 vlan信息：display vlan

图3 查询S2 vlan信息：display vlan

图4 查询S3 vlan信息：display vlan

图5 查询S4 vlan信息：display vlan

图2、图3、图4、图5是vlan的划分其中和pc1、pc2、pc3相连的口是access口，S1-S3和S2-S3是Trunk口，分别在S1和S2上创建vlan3和vlan9，S3上也创建vlan3和vlan9，作为两个它们的网关。S3的vlan1000和S4的vlan1001是做上联接口连接路由器用的，因为华为和思科命令不同，思科可以直接通过no switchport指令把三层交换机的交换口变为路由口，华为只能把交换口放入到vlan中，再把vlan当做一个三层接口，再配置ip地址。所用到的指令如下，以S1进行举例：

• vlan batch 3 9 创建vlan3和vlan9
• interface g0/0/2 进入接口
• port link-type access 设置Access口
• port default vlan 3 设置当前接口属于vlan3
• interface g0/0/1 进入接口
• port link-type trunk 设置Trunk口
• port trunk allow-pass vlan 3 9 设置Trunk上允许通过的vlan（很关键，和思科不同，华为的Trunk链路默认关闭所有vlan）

三层vlan配置和动态路由配置

图6 查询R1 IP信息：display ip interface brief

图7 查询R2 IP信息：display ip interface brief

图7 查询S3 IP信息：display ip interface brief

图8 查询S4 IP信息：display ip interface brief

图9 查询FW1 IP信息：display ip interface brief

图6、图7、图8、图9，设置所有三层设备的IP地址，包括R1、R2、FW1、S3和S4.。以S3为例，操作指令如下：

• interface vlanif 3 进入接口
• ip address 172.16.3.1 24 设置IP地址（24为网络后缀，省去了写255.255.255.0的麻烦）
• vlanif 0 和vlanif 1002的配置同上（略）

IP地址设置完毕后，在所有三层设备上加载ospf路由协议，拟定于所有设备都属于area0，以R1为例配置指令如下：

• ospf 1 进入ospf 1号进程
• area 0 进入骨干区域
• network 192.168.2.0 0.0.0.255 宣告直连网段
• network 192.168.3.0 0.0.0.255 宣告直连网段
• display ip routing-table 查询路由表

图10 配置cloud1环境

图10重点解释下，cloud云中添加两个接口GE1和FW1相连，GE2桥接在VMNET8上，VMNET8是vmware软件安装时创建的虚拟网卡，具有NAT功能，连接上后，表示接入到物理网络中，具体原理不再赘述，大家自行查阅相关知识，这个说来话长了。

接入网部分配置

图11 配置防火墙NAT规则

图11中，配置防火墙NAT规则，将源地址172.16.*.*转换为G0/0/1口地址，该接口连接cloud1，属于外网接口。

图12 配置防火墙出站规则

图12中，配置防火墙出站规则允许172.16.*.*主机通过。

补充防火墙区域的相关指令

防火墙分为trust（信任）和untrust（非信任）两个区域，一般情况，内网属于信任区域，外网属于非信任区域，根据网络拓扑图，G0/0/1连接cloud，属于外网，它是非信任区域，G0/0/2口属于内网，它是信任区域，相关指令如下：

• firewall zone trust 进入信任区域
• add interface G0/0/2 将接口加入当前区域
• firewall zone untrust 进入非信任区域
• add interface G0/0/1 将接口加入当前区域

补充防火墙路由信息配置相关指令

防火墙在网络拓扑中很特殊，它连接局域网和广域网，所以要配置默认路由，并下发默认路由，默认路由用于访问互联网，下发默认路由是帮助内网设备找到上联接口，访问互联网，最终使终端用户能够上网。相关指令如下：

• ip route-static 0.0.0.0 0 192.168.110.2 设置默认路由
• default-route-advertise always 下发默认路由（注意该指令在ospf子配置模式下）

图13 配置DHCP地址池

图13，是DHCP服务配置，在S3上做，考虑到实际网络中存在大量接入用户，需要DHCP服务进行IP地址管理。上图中创建两个地址池vlan3和vlan9（该名字任意取），分别为172.16.3.0/24和172.16.9.0/24分配IP信息。相关指令如下：

• ip pool xxx 创建地址池xxx
• gateway-list a.b.c.d 定义网关a.b.c.d
• network 网络地址 mask 子网掩码
• dns-list 8.8.8.8 定义dns客户端
• lease day 1 定义租期1天

测试验收

图14 PC1 ip地址获得情况

图15 PC1可以上网了（访问到百度）

总结

总体上，华为的指令集更加有针对性，比思科的命令更加简单易懂，可能大多数人都是从思科命令接触路由交换的，有一种先入为主的思想，但两者的核心技术都是一样的，该案例出自企业真实组网案例，全部采用华为设备，希望大家喜欢。

閱讀更多 年糕IT講堂 的文章

關鍵字: 软件 VMware 网络拓扑