用华为ENSP模拟真实小公司网络从业务需求到技术落地的全流程实战当一家50人规模的小型科技公司决定升级内部网络时技术负责人面临的实际问题往往不是如何配置OSPF而是市场部的无线投影仪为什么总是干扰财务部的ERP系统。这种从业务痛点倒推技术方案的能力正是网络工程师的核心价值所在。本文将用华为ENSP模拟器带您体验从商业需求分析到最终配置验证的完整过程让每个技术决策都能对应到真实的业务场景。1. 商业场景与技术方案映射我们的模拟对象是一家典型的小型科技企业包含三个核心部门市场部15人需要频繁使用视频会议、云协作工具常有访客无线接入需求研发部25人承载代码仓库、持续集成等内部服务对网络延迟敏感财务部10人运行ERP和财务系统需要最高级别的网络隔离对应的技术方案矩阵如下业务需求技术方案实施要点部门间网络隔离VLAN划分按部门划分广播域关键业务高可用VRRP链路聚合网关冗余与链路备份移动办公支持DHCP动态分配分部门地址池配置内网服务互通OSPF路由自动学习路由表上网行为管理ACL策略按部门控制访问权限提示实际规划时建议先制作类似的映射表格确保每个技术决策都能追溯到具体业务需求2. 实验环境准备与拓扑搭建2.1 ENSP基础环境配置首先确保已安装最新版华为ENSP当前版本1.3.00推荐使用VirtualBox作为虚拟化平台。创建工程时需注意# 检查虚拟网卡状态 ensp display version # 设置合适的虚拟内存建议4GB以上 ensp set memory 40962.2 设备选型与拓扑设计基于50人规模的公司网络负载我们采用以下设备组合接入层2台S5700-28C-HI分别连接市场部/财务部和研发部核心层2台S6700-24-EI做堆叠实现网关冗余出口路由器1台AR2220带NAT和ACL功能物理连接示意图[市场部PC]--(接入SW1)--\ [核心SW1]--[出口路由器]--Internet [研发部PC]--(接入SW2)--/ | [财务部PC]--(接入SW1) | [核心SW2]3. 从VLAN划分开始的配置实战3.1 基于部门的VLAN规划根据公司组织架构我们划分以下VLAN# VLAN与IP规划字典示例 vlan_plan { 市场部: { vlan_id: 10, subnet: 192.168.1.0/24, gateway: 192.168.1.254 }, 研发部: { vlan_id: 20, subnet: 192.168.2.0/24, gateway: 192.168.2.254 }, 财务部: { vlan_id: 30, subnet: 192.168.3.0/24, gateway: 192.168.3.254 }, 管理VLAN: { vlan_id: 100, subnet: 192.168.100.0/30 } }在接入交换机上的配置示例# 接入交换机SW1配置 system-view sysname SW1_ACCESS vlan batch 10 20 30 100 # 市场部端口配置 interface GigabitEthernet0/0/1 port link-type access port default vlan 10 stp edged-port enable # 上联核心交换机端口 interface GigabitEthernet0/0/24 port link-type trunk port trunk allow-pass vlan 10 20 30 1003.2 链路聚合与STP优化为防止单链路故障导致网络中断在核心交换机之间配置链路聚合# 核心交换机SW1配置 interface Eth-Trunk1 port link-type trunk port trunk allow-pass vlan all mode lacp-static interface GigabitEthernet0/0/23 eth-trunk 1 interface GigabitEthernet0/0/24 eth-trunk 1同时配置MSTP防止环路并与VRRP实例对应stp region-configuration region-name COMPANY_NET instance 1 vlan 10 instance 2 vlan 20 30 active region-configuration4. 三层网络的高可用实现4.1 VRRP网关冗余配置为每个部门VLAN配置主备网关以市场部为例# 核心交换机SW1主 interface Vlanif10 ip address 192.168.1.252 255.255.255.0 vrrp vrid 10 virtual-ip 192.168.1.254 vrrp vrid 10 priority 120 # 核心交换机SW2备 interface Vlanif10 ip address 192.168.1.253 255.255.255.0 vrrp vrid 10 virtual-ip 192.168.1.2544.2 OSPF路由部署使所有三层设备自动学习路由信息# 核心交换机SW1配置 ospf 1 router-id 1.1.1.1 area 0.0.0.0 network 192.168.1.0 0.0.0.255 network 192.168.2.0 0.0.0.255 network 192.168.3.0 0.0.0.255 network 192.168.100.0 0.0.0.3 # 出口路由器配置 ospf 1 router-id 1.1.1.100 default-route-advertise area 0.0.0.0 network 192.168.100.0 0.0.0.35. 业务策略与访问控制5.1 分部门DHCP服务为每个VLAN配置独立的地址池# 核心交换机DHCP配置 dhcp enable ip pool MARKET gateway-list 192.168.1.254 network 192.168.1.0 mask 255.255.255.0 excluded-ip-address 192.168.1.1 192.168.1.50 dns-list 114.114.114.114 interface Vlanif10 dhcp select global5.2 基于ACL的访问控制限制财务部只能访问特定资源# 出口路由器ACL配置 acl number 2000 rule 5 deny ip source 192.168.3.0 0.0.0.255 destination any rule 10 permit ip source 192.168.3.0 0.0.0.255 destination 10.10.10.0 0.0.0.255 interface GigabitEthernet0/0/1 traffic-filter inbound acl 20006. 验证与排错指南6.1 关键验证命令VLAN连通性测试display vlan brief display interface GigabitEthernet0/0/24VRRP状态检查display vrrp brief # 正常应显示Master/Backup状态OSPF邻居关系display ospf peer # 查看邻居状态是否为Full6.2 常见问题排查当市场部无法上网时建议按照以下流程排查检查接入端口VLAN归属验证DHCP获取情况测试网关可达性检查ACL是否误拦截实际项目中遇到最棘手的问题往往是STP与VRRP的协同问题。有次配置后发现网关频繁切换最后发现是MSTP实例与VRRP组没有正确对应导致的。这种细节在理论教学中很少强调却对实际网络稳定性至关重要。
用华为ENSP模拟一个真实的小公司网络:从VLAN划分到OSPF路由,保姆级配置全流程
发布时间:2026/5/18 11:35:53
用华为ENSP模拟真实小公司网络从业务需求到技术落地的全流程实战当一家50人规模的小型科技公司决定升级内部网络时技术负责人面临的实际问题往往不是如何配置OSPF而是市场部的无线投影仪为什么总是干扰财务部的ERP系统。这种从业务痛点倒推技术方案的能力正是网络工程师的核心价值所在。本文将用华为ENSP模拟器带您体验从商业需求分析到最终配置验证的完整过程让每个技术决策都能对应到真实的业务场景。1. 商业场景与技术方案映射我们的模拟对象是一家典型的小型科技企业包含三个核心部门市场部15人需要频繁使用视频会议、云协作工具常有访客无线接入需求研发部25人承载代码仓库、持续集成等内部服务对网络延迟敏感财务部10人运行ERP和财务系统需要最高级别的网络隔离对应的技术方案矩阵如下业务需求技术方案实施要点部门间网络隔离VLAN划分按部门划分广播域关键业务高可用VRRP链路聚合网关冗余与链路备份移动办公支持DHCP动态分配分部门地址池配置内网服务互通OSPF路由自动学习路由表上网行为管理ACL策略按部门控制访问权限提示实际规划时建议先制作类似的映射表格确保每个技术决策都能追溯到具体业务需求2. 实验环境准备与拓扑搭建2.1 ENSP基础环境配置首先确保已安装最新版华为ENSP当前版本1.3.00推荐使用VirtualBox作为虚拟化平台。创建工程时需注意# 检查虚拟网卡状态 ensp display version # 设置合适的虚拟内存建议4GB以上 ensp set memory 40962.2 设备选型与拓扑设计基于50人规模的公司网络负载我们采用以下设备组合接入层2台S5700-28C-HI分别连接市场部/财务部和研发部核心层2台S6700-24-EI做堆叠实现网关冗余出口路由器1台AR2220带NAT和ACL功能物理连接示意图[市场部PC]--(接入SW1)--\ [核心SW1]--[出口路由器]--Internet [研发部PC]--(接入SW2)--/ | [财务部PC]--(接入SW1) | [核心SW2]3. 从VLAN划分开始的配置实战3.1 基于部门的VLAN规划根据公司组织架构我们划分以下VLAN# VLAN与IP规划字典示例 vlan_plan { 市场部: { vlan_id: 10, subnet: 192.168.1.0/24, gateway: 192.168.1.254 }, 研发部: { vlan_id: 20, subnet: 192.168.2.0/24, gateway: 192.168.2.254 }, 财务部: { vlan_id: 30, subnet: 192.168.3.0/24, gateway: 192.168.3.254 }, 管理VLAN: { vlan_id: 100, subnet: 192.168.100.0/30 } }在接入交换机上的配置示例# 接入交换机SW1配置 system-view sysname SW1_ACCESS vlan batch 10 20 30 100 # 市场部端口配置 interface GigabitEthernet0/0/1 port link-type access port default vlan 10 stp edged-port enable # 上联核心交换机端口 interface GigabitEthernet0/0/24 port link-type trunk port trunk allow-pass vlan 10 20 30 1003.2 链路聚合与STP优化为防止单链路故障导致网络中断在核心交换机之间配置链路聚合# 核心交换机SW1配置 interface Eth-Trunk1 port link-type trunk port trunk allow-pass vlan all mode lacp-static interface GigabitEthernet0/0/23 eth-trunk 1 interface GigabitEthernet0/0/24 eth-trunk 1同时配置MSTP防止环路并与VRRP实例对应stp region-configuration region-name COMPANY_NET instance 1 vlan 10 instance 2 vlan 20 30 active region-configuration4. 三层网络的高可用实现4.1 VRRP网关冗余配置为每个部门VLAN配置主备网关以市场部为例# 核心交换机SW1主 interface Vlanif10 ip address 192.168.1.252 255.255.255.0 vrrp vrid 10 virtual-ip 192.168.1.254 vrrp vrid 10 priority 120 # 核心交换机SW2备 interface Vlanif10 ip address 192.168.1.253 255.255.255.0 vrrp vrid 10 virtual-ip 192.168.1.2544.2 OSPF路由部署使所有三层设备自动学习路由信息# 核心交换机SW1配置 ospf 1 router-id 1.1.1.1 area 0.0.0.0 network 192.168.1.0 0.0.0.255 network 192.168.2.0 0.0.0.255 network 192.168.3.0 0.0.0.255 network 192.168.100.0 0.0.0.3 # 出口路由器配置 ospf 1 router-id 1.1.1.100 default-route-advertise area 0.0.0.0 network 192.168.100.0 0.0.0.35. 业务策略与访问控制5.1 分部门DHCP服务为每个VLAN配置独立的地址池# 核心交换机DHCP配置 dhcp enable ip pool MARKET gateway-list 192.168.1.254 network 192.168.1.0 mask 255.255.255.0 excluded-ip-address 192.168.1.1 192.168.1.50 dns-list 114.114.114.114 interface Vlanif10 dhcp select global5.2 基于ACL的访问控制限制财务部只能访问特定资源# 出口路由器ACL配置 acl number 2000 rule 5 deny ip source 192.168.3.0 0.0.0.255 destination any rule 10 permit ip source 192.168.3.0 0.0.0.255 destination 10.10.10.0 0.0.0.255 interface GigabitEthernet0/0/1 traffic-filter inbound acl 20006. 验证与排错指南6.1 关键验证命令VLAN连通性测试display vlan brief display interface GigabitEthernet0/0/24VRRP状态检查display vrrp brief # 正常应显示Master/Backup状态OSPF邻居关系display ospf peer # 查看邻居状态是否为Full6.2 常见问题排查当市场部无法上网时建议按照以下流程排查检查接入端口VLAN归属验证DHCP获取情况测试网关可达性检查ACL是否误拦截实际项目中遇到最棘手的问题往往是STP与VRRP的协同问题。有次配置后发现网关频繁切换最后发现是MSTP实例与VRRP组没有正确对应导致的。这种细节在理论教学中很少强调却对实际网络稳定性至关重要。
)
