华为eNSP实战:从零构建企业级VLAN网络

张开发
2026/4/8 4:13:14 15 分钟阅读

最新文章

推荐文章

相关文章

分享文章

华为eNSP实战:从零构建企业级VLAN网络
1. 企业级VLAN网络规划实战刚接触企业网络部署时我最头疼的就是不同部门电脑乱成一锅粥的场景。市场部的打印机被研发部误连财务部的共享文件夹谁都能访问...直到学会了用VLAN划分广播域这些问题才迎刃而解。华为eNSP模拟器简直是网络初学者的福音不用真机就能模拟出完整的企业网络环境。这次我们要搭建的典型办公网络包含市场部VLAN 1020台PC需要访问互联网和内部文件服务器研发部VLAN 2030台PC需要隔离外部访问但能互通财务部VLAN 305台PC需要最高级别隔离服务器区VLAN 100文件服务器、邮件服务器等实际项目中我常遇到新手把VLAN ID设成1这是默认VLAN存在安全隐患建议从10开始编号更规范2. 基础环境搭建2.1 eNSP模拟器准备首先去华为官网下载最新版eNSP安装时记得勾选VirtualBox和Wireshark插件。遇到过不少学员因为漏装依赖导致设备启动失败的情况。装好后建议先拖个路由器和PC测试连通性确认模拟器工作正常。推荐几个实用技巧按CtrlAlt拖拽可以批量选择设备右键设备选择启动比工具栏按钮更稳定Wireshark抓包时过滤vlan.tag显示VLAN标签流量2.2 设备选型与连接根据我们的场景需要3台S5700交换机作为接入层连接各部门PC1台S6700交换机作为核心层做VLAN间路由1台AR2200路由器连接外网若干Cloud设备模拟互联网和服务器连线时特别注意接入交换机之间用千兆以太网口连接核心交换机上联路由器用万兆光口服务器连接用链路聚合组(LACP)# 查看接口光模块信息 display transceiver interface GigabitEthernet 0/0/13. VLAN核心配置详解3.1 静态VLAN划分给市场部配置VLAN 10的完整过程system-view sysname SW1_Market vlan batch 10 # 创建VLAN interface Ethernet0/0/1 port link-type access # 设置接口模式 port default vlan 10 # 划入VLAN description Market_PC01 # 建议添加描述研发部需要更复杂的隔离策略vlan batch 20 interface range Ethernet0/0/2 to 0/0/10 port link-type access port default vlan 20 port-isolate enable # 启用端口隔离3.2 Trunk链路配置交换机间互联端口必须配置为Trunkinterface GigabitEthernet0/0/24 port link-type trunk port trunk allow-pass vlan 10 20 30 # 明确放行VLAN undo port trunk allow-pass vlan 1 # 禁止默认VLAN遇到过因为没放行VLAN导致跨交换机通信失败的案例可以用以下命令排查display port vlan GigabitEthernet 0/0/24 display vlan brief4. 单臂路由实战4.1 子接口配置在核心交换机上实现VLAN间路由interface Vlanif10 ip address 192.168.10.1 24 description Market_VLAN interface Vlanif20 ip address 192.168.20.1 24 description RD_VLAN如果使用路由器做单臂路由关键配置是interface GigabitEthernet0/0/0.10 dot1q termination vid 10 ip address 192.168.10.254 24 arp broadcast enable4.2 访问控制策略限制研发部只能访问特定服务器acl number 2000 rule 5 permit source 192.168.20.0 0.0.0.255 destination 192.168.100.10 0 rule 10 deny source 192.168.20.0 0.0.0.255 interface Vlanif20 traffic-filter outbound acl 20005. 典型问题排查指南5.1 VLAN不通的排查步骤检查物理连接状态display interface brief确认VLAN划分正确display vlan summary验证Trunk配置display port vlan测试端到端连通性ping -a 192.168.10.1 192.168.20.15.2 性能优化建议启用STP防环但调整优先级stp priority 4096 # 设置核心交换机为根桥配置端口安全防MAC泛洪port-security enable port-security max-mac-num 2开启DHCP Snooping防伪造dhcp snooping enable6. 企业级部署进阶技巧6.1 VLAN聚合应用当部门规模扩大时可以采用Super-VLAN技术vlan 100 aggregate-vlan access-vlan 10 to 156.2 双机热备方案配置VRRP实现网关冗余interface Vlanif10 vrrp vrid 1 virtual-ip 192.168.10.254 vrrp vrid 1 priority 120 vrrp vrid 1 preempt-mode timer delay 20最后提醒大家每次修改配置后记得保存save

更多文章