基于ensp的IP企业网络规划

前言
- 网络拓扑设计
- 功能设计
- 技术详解
- - 一、网络设备基础配置
  - 二、虚拟局域网（VLAN）与广播域划分
  - 三、冗余协议与链路故障检测
  - 四、IP地址自动分配与DHCP相关配置
  - 五、动态路由与安全认证
  - 六、广域网互联及VPN实现
  - 七、网络地址转换（NAT）与访问控制
  - 八、安全机制与远程管理
  - 九、IPv6部署与协议分离
  - 总结
- 功能测试
- 项目详情

前言

作为通信网综合实践课程设计的总结与记录,本文将分享项目实践过程中的经验与心得。由于项目在不断优化与迭代,文中部分配置可能与最终方案存在差异。欢迎读者在评论区提出宝贵意见,共同探讨交流。本文主要面向已具备eNSP基础知识的读者。

该设计已经完全达到课设标准，如果想要做的更好可以根据配置自行更改
某个功能不起作用可能是型号或者版本不对，欢迎评论区留言，会随时回复
另外附win10，安装链接
win10安装链接
此外也可以观看我的另一篇企业网络规划设计
基于华为eNSP的企业网络规划设计

华为eNSP的企业网络规划设计–含防火墙和无线网络区域

网络拓扑设计

请添加图片描述

功能设计

1.网络设备配置

配置服务器、防火墙、路由器的接口地址，确保设备间正常通信。
在慧源楼部署 Eth-Trunk 链路捆绑，提升链路冗余，提高网络可靠性。
依据地域划分多个 VLAN，缩小广播域范围，增强安全性与网络稳定性。

2.交换机与冗余机制

在明诚楼部署 MSTP+VRRP，实现冗余，同时划分实例，使不同 VLAN 选择优先的交换机，减少 STP 震荡。
通过 DHCP 中继，确保明诚楼、慧源楼、德润楼的用户可自动获取 IP 地址，DHCP 服务器设为 DHCPServer。
配置 OSPF，区域 0 内启用 MD5 认证，SW1/SW2 采用接口方式配置。
启用 BFD 快速检测区域 0 内的链路故障，提高网络可靠性。

3.分校区网络

分校区用户自动获取 IP 地址，指定 AR4 为 DHCP 服务器，并配置子接口分配地址。
配置端口安全，接口支持自动学习 MAC 地址。
端口隔离，确保 PC6、PC7 在同一 VLAN 内无法互访。
分校区无线用户与 AP 地址均由 SW8 统一分配。

4.广域网（WAN）与 VPN 配置

FW2 作为 PPPoE 客户端，AR5 作为 PPPoE 服务器，实现拨号上网。
R1、R2、R3 部署 ISIS Level-2，区域 ID：49.0000。
部署 MPLS VPN，其中 R1、R3 作为 PE 设备，R2 作为路由反射器。
FW1、FW2 作为 CE 端，与 PE 端建立 eBGP 邻居关系。
运营商 AS 号为 100，总部/主校区 AS 65430，分支机构 AS 65000。
FW1、FW2 部署 IPSec VPN，保障总部/主校区与分支机构间的安全通信。
总部优先使用 MPLS VPN，若 MPLS VPN 故障，则自动切换至 IPSec VPN。
FW1 监测 10.1.5.5 可达性，若不可达则停止下发内网默认路由。

5.NAT 及访问控制

总部/主校区用户上网 NAT 地址池：10.1.22.100~10.1.22.110。
分支用户采用 EASY-IP 访问外网。
外网访问内网 WEB 服务，使用 100.100.100.100 进行地址映射。
财务部服务器仅允许 VLAN 10 用户访问，确保安全性。

6.安全性与远程管理

配置 DHCP Snooping，防范 DHCP 欺骗与非法 DHCP 服务器接入。
所有交换机支持 Telnet 远程管理，便于维护与监控。
主校区/总部用户及无线用户可通过域名访问外网百度（www.baidu.com）。

7.IPv6 部署

AS100 内部互联地址采用 link-local 地址。
R1、R2、R3 的 Loopback0 地址：2001:10:1:X::X/128。
启用 ISISv6，确保 IPv4 与 IPv6 拓扑分离。
SW1、SW2 新增 Lo0 地址：2001:192:168:X::X/128。
FW1、SW1、SW2 部署 OSPFv3（区域 0），互联地址采用 Link-local 地址。
分支 FW2 与 AR4 部署 OSPFv3，互联地址采用 Link-local 地址。
FW1、FW2 通过 MPLS VPN 建立 6to4 隧道，实现总部与分支间 IPv6 互通。
基于 6to4 隧道部署 BGP4+，保障总部与分支的 IPv6 互联互通。

技术详解

一、网络设备基础配置

接口地址配置
- 目标：为服务器、防火墙和路由器配置正确的接口地址，确保各网络节点间能正常通信。
- 实现方式：根据拓扑规划及地址规划方案，在设备上分别配置各自的物理或逻辑接口IP地址、子网掩码、网关等参数，并做好接口状态和路由策略验证。
链路冗余——Eth-Trunk链路捆绑
- 目标：在慧源楼利用多条物理链路进行捆绑，提升链路带宽及冗余能力，避免单链路故障造成业务中断。
- 实现方式：在交换机上配置Eth-Trunk（或称聚合组），将多条以太网链路聚合为一条逻辑链路，配置负载均衡算法及故障切换机制。

二、虚拟局域网（VLAN）与广播域划分

VLAN划分
- 目标：根据不同地域或部门需求，将网络划分成多个VLAN，缩小广播域，从而降低广播风暴风险，提升网络安全性与可靠性。
- 实现方式：在核心及边缘交换机上创建相应VLAN，并对端口进行划分，同时配合VLAN间路由器或三层交换机进行互联。
端口隔离
- 目标：实现同一VLAN内特定终端（如PC6和PC7）不能互访，提高网络内部的安全控制。
- 实现方式：通过端口隔离（Port Isolation）功能，将目标端口进行逻辑隔离，确保数据帧只能通过合法路由转发到指定终端。

三、冗余协议与链路故障检测

MSTP+VRRP在明诚楼的应用
- 目标：通过部署多实例生成树协议（MSTP）配合虚拟路由冗余协议（VRRP），实现网络冗余，减少STP震荡。
- 实现方式：
  - MSTP：划分多个实例，使得不同VLAN可以选择最优的转发路径，避免因单一生成树失效导致全网重收敛。
  - VRRP：配置多个交换机间的虚拟路由，确保主备路由切换平滑，提升容错能力。
BFD链路检测
- 目标：在OSPF区域0内启用BFD（双向转发检测），实现对链路故障的快速检测与切换。
- 实现方式：在支持BFD的设备上激活BFD协议，通过频繁检测链路状态，迅速发现故障并通知动态路由协议进行调整。

四、IP地址自动分配与DHCP相关配置

DHCP中继配置
- 目标：使明诚楼、慧源楼、德润楼的用户能够通过DHCP中继自动获取IP地址，统一由DHCPserver管理。
- 实现方式：在各楼层交换机或路由器上配置DHCP中继（IP Helper），将用户端的DHCP请求转发至中心DHCP服务器。
分校区用户自动分配
- 目标：分校区用户同样实现自动获取IP地址，由AR4负责地址分配。
- 实现方式：在AR4上配置多个子接口，每个子接口对应一个分校区，并配置相应的DHCP地址池，通过中继或直接提供DHCP服务完成地址分配。

五、动态路由与安全认证

OSPF配置及MD5认证
- 目标：通过OSPF实现网络内部动态路由，同时在区域0内启用MD5认证，确保路由信息安全。
- 实现方式：
  - 在各参与OSPF的设备（例如SW1、SW2）上配置OSPF接口，并指定区域0。
  - 配置接口级别的MD5认证，确保只有通过认证的邻居才能建立OSPF邻接关系。
ISIS Level-2部署
- 目标：在R1、R2、R3上部署ISIS Level-2协议（区域ID 49.0000），用于支持大规模网络中的高效路由交换。
- 实现方式：在设备上激活ISIS协议，配置相应的区域ID，确保二层路由与多区域的设计要求一致。

六、广域网互联及VPN实现

MPLS VPN部署
- 目标：实现总部与分支间的高效、安全互联。
- 实现方式：
  - R1和R3配置为PE（提供商边缘）设备，负责将客户流量注入MPLS网络；
  - R2作为路由反射器，简化内部BGP路由的分发。
eBGP邻居关系
- 目标：FW1、FW2作为CE设备与PE端建立eBGP邻居关系，实现不同自治系统之间的路由交换。
- 实现方式：在FW1与FW2上配置eBGP，并与PE设备建立对等关系，同时根据AS号规划：运营商AS为100，总部/主校区为65430，分支为AS65000。
拨号上网与PPPoE
- 目标：通过FW2作为PPPoE客户端、AR5作为PPPoE服务端实现拨号上网。
- 实现方式：在FW2上配置PPPoE客户端功能，AR5提供PPPoE服务器服务，确保用户拨号接入并验证认证。
IPSec VPN与备用通信
- 目标：FW1、FW2之间配置IPSec VPN，实现总部与分支的安全通信，作为MPLS VPN的备用链路。
- 实现方式：在FW1、FW2上建立IPSec VPN隧道，通过安全策略和加密算法保护数据传输；同时设计路由策略，使总部与分支间优先使用MPLS VPN，若检测到MPLS VPN故障（例如FW1中NQA检测到10.1.5.5不可达），则自动切换至IPSec VPN。

七、网络地址转换（NAT）与访问控制

NAT配置
- 目标：总部/主校区用户访问外网时，通过NAT使用预定地址池（10.1.22.100~10.1.22.110）进行地址转换。
- 实现方式：在防火墙或边缘路由器上配置源NAT，设置地址池与转换规则，确保内网地址与公网地址正确映射。
EASY-IP与地址映射
- 目标：分支用户访问外网采用EASY-IP方式；同时外网用户访问内网WEB服务时，通过地址映射（100.100.100.100）实现。
- 实现方式：
  - 对于分支用户，配置EASY-IP机制简化IP地址管理；
  - 对于内网WEB服务，配置静态NAT或端口映射，将外部请求转发到内部WEB服务器。
访问控制策略
- 目标：限制财务部服务器的访问，仅允许内网VLAN 10的用户访问。
- 实现方式：在防火墙或交换机上配置ACL（访问控制列表），仅允许特定VLAN或IP段的流量访问财务服务器。

八、安全机制与远程管理

DHCP Snooping
- 目标：防止DHCP欺骗和非法DHCP服务器的接入，确保DHCP服务的合法性。
- 实现方式：在所有支持的交换机上启用DHCP Snooping功能，并配置可信端口与非可信端口，监控并过滤异常的DHCP报文。
端口安全与自动MAC地址学习
- 目标：限制接入网络的终端设备，防止非法设备接入。
- 实现方式：配置端口安全策略，使交换机接口能够自动学习并记录合法MAC地址，对超出范围的MAC地址采取封堵措施。
Telnet远程管理
- 目标：实现内部所有交换机的远程管理，方便维护与故障排查。
- 实现方式：在交换机上开启Telnet服务，并配置访问权限及认证机制，确保远程管理过程安全可靠。
域名访问控制
- 目标：主校区/总部用户和无线用户能够通过域名（如www.baidu.com）正常访问外网服务。
- 实现方式：确保DNS解析配置正确，同时配合NAT策略保证流量能正确转发至外网。

九、IPv6部署与协议分离

内部互联地址规划
- 目标：在AS100内采用link-local地址作为互联地址，实现IPv6网络的基本连通。
- 实现方式：配置所有参与设备（如R1、R2、R3）的接口使用IPv6 link-local地址，同时为Loopback接口分配2001:10:1:X::X/128地址。
ISISv6及拓扑分离
- 目标：激活ISISv6协议，并保证IPv4与IPv6拓扑分离，便于故障定位和流量优化。
- 实现方式：在路由器上分别配置ISISv4与ISISv6，确保两种协议间路由信息独立维护，互不干扰。
OSPFv3配置
- 目标：在FW1、SW1、SW2部署OSPFv3（区域0），以及在分支FW2与AR4部署OSPFv3，均采用Link-local地址进行互联。
- 实现方式：在各设备上配置OSPFv3接口，指定区域0或相应区域，并使用Link-local地址作为邻居识别地址，保证IPv6路由快速建立与收敛。
6to4隧道与BGP4+
- 目标：通过FW1、FW2利用MPLS VPN网络建立6to4隧道，实现总部与分支的IPv6互通。
- 实现方式：
  - 在防火墙上配置6to4隧道，将IPv4网络承载的隧道用于传输IPv6流量；
  - 基于6to4隧道部署BGP4+，确保总部与分支间IPv6路由的分发与互联。