背景痛点:毕设“翻车”现场
做毕设时,很多同学把 eNSP 当成“画图工具”,结果拓扑一跑就崩:
- 所有部门挤在一个 VLAN 1,ARP 广播把 CPU 占用拉到 90%
- 路由表里 0.0.0.0/0 下一跳指错,出口路由器成“黑洞”
- ACL 写反方向,把老师电脑拦在服务器区外,答辩现场社死
- NAT 地址池与 DHCP 地址池重叠,内网 ping 外网全是“Request timeout”
这些坑表面是配置错误,根因是缺少“先规划、后动手”的习惯。下面用一套 8 台设备、4 个业务 VLAN 的“中小园区网”模板,演示如何一次把拓扑、路由、安全全部打穿。
技术选型对比:为什么不是 RIP + 二层
| 维度 | OSPF + 三层交换 | RIP + 二层 |
|---|---|---|
| 收敛速度 | 毫秒级 | 30 s 起步 |
| 路由开销 | 带宽参考 | 跳数陷阱 |
| 广播域大小 | VLAN 隔离 | 全网广播 |
| 生成树风险 | 三层口不跑 STP | 环路必现 |
| 毕设答辩 | 老师一眼看懂 | 被追问“为什么不用 OSPF” |
一句话:RIP 已经退出历史舞台,三层交换把“路由”从路由器下沉到交换机,既省设备又符合真实园区网架构。
核心实现细节:从 VLAN 到 NAT 的 6 步流水线
VLAN 规划:业务、管理、互联“三权分立”
- VLAN 10 办公、20 研发、30 财务、40 服务器
- VLAN 50 专做交换机 WEB 管理,网关放在核心 SW
- VLAN 100 给两台核心之间跑 OSPF,掩码 30 位,节省地址
DHCP 中继:让核心当“真·网关”
接入交换机只做二层透传,核心 SVI 口配
dhcp select relay,指向 192.168.100.1 的 Windows Server。这样 VLAN 切换时,DHCP 报文无需跨三层口,减少 30% 丢包率。OSPF 区域划分:把“核心+出口”塞进 Area 0
两台核心、一台出口路由器全部 loopback 0 用 10.0.0.x/32,OSPF 手动设 Router-ID,确保 DR/BDR 稳定。业务网段统一丢进 Area 10,用
abr-summary汇总成 192.168.0.0/16,老师查看路由表瞬间清爽。静态/动态 NAT:出口“一拖二”
- 静态:把 192.168.40.10 的 WEB 服务器一对一映射到公网 200.1.1.10
- 动态:办公 VLAN 用地址池 200.1.1.100-200,复用端口,节省公网地址
- 命令行里加
no-pat参数会被运营商吊打,务必去掉
ACL 策略:先允许、再拒绝、最后默认
- 3000 号高级 ACL 拦财务 VLAN 访问研发,源目端口全部用 eq www,避免“全部 IP”一把梭
- 3500 号 ACL 仅允许源 10.0.0.0/24 登录交换机 VTY,阻断外网暴力破解
验证顺序:二层通 → 三层通 → 策略通
用
display mac-address看 VLAN 内 MAC,display ospf peer看邻居 Full,display nat session查是否成功转换。三步全绿再截图写论文,减少返工。
带注释的 Clean Code 片段
以下配置在 eNSP 的 AR2220 与 S5700 上实测通过,复制即可用。注意把接口编号改成自己拓扑里的实际值。
AR2220 出口路由器
sysname AR-OUT # acl number 3000 description To_Financial_Block_RD rule 10 deny ip source 192.168.30.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 rule 100 permit ip # interface GigabitEthernet0/0/0 description To_Core ip address 10.0.100.1 255.255.255.252 # interface GigabitEthernet0/0/1 description To_Internet ip address 200.1.1.1 255.255.255.0 nat static protocol tcp global 200.1.1.10 www inside 192.168.40.10 www nat outbound 3000 address-group 1 # nat address-group 1 200.1.1.100 200.1.1.200 # ospf 1 router-id 10.0.0.1 area 0 network 10.0.100.0 0.0.0.3 network 10.0.0.1 0.0.0.0 # returnS5700 核心交换机 A
sysname SW-CORE-A # vlan batch 10 20 30 40 50 100 # dhcp enable # interface Vlanif10 ip address 192.168.10.1 255.255.255.0 dhcp select relay dhcp relay server-ip 192.168.100.1 # interface Vlanif100 ip address 10.0.100.2 255.255.255.252 # interface GigabitEthernet0/0/24 description To_AR-OUT port link-type access port default vlan 100 # ospf 1 router-id 10.0.0.2 area 0 network 10.0.100.0 0.0.0.3 area 10 abr-summary 192.168.0.0 255.255.0.0 network 192.168.10.0 0.0.0.255 network 192.168.20.0 0.0.0.255 # user-interface vty 0 4 acl 3500 inbound authentication-mode aaa # return安全性与功能性考量
- 广播风暴:把“风暴控制”打开,默认包速率 1000 pps 就够,接口视图下
storm-control broadcast min-rate 1000 max-rate 2000 action drop。 - 管理平面:除了 ACL,再开 SSH 版本 2,关闭 Telnet;enable 密码用
cipher加密,明文会被 eNSP 一键导出暴露。 - 日志:所有设备统一指向 syslog 服务器,时间戳用 NTP 同步,否则排障时日志时间对不上,抓包与日志对不上,怀疑人生。
生产环境避坑指南
- 版本兼容:eNSP 1.3.00 与 VirtualBox 5.0.3 是黄金组合,升级 Win11 后先关 Hyper-V,再开 eNSP,否则 AR 设备秒红。
- 资源限制:一台 AR 默认占 512 MB 内存,8 台设备 + 4 台交换机同时跑,笔记本 16 GB 内存只剩 20%,抓包前先把不用的设备右键“停止”。
- 抓包技巧:eNSP 自带“数据抓包”只能抓接口出方向,想看 VLAN Tag 得用“本地端口镜像”,把核心口镜像到 PC 网卡,Wireshark 里过滤
vlan.id == 20一目了然。 - 保存路径:项目文件别放在中文目录,空格也别有,导出配置会失败,血泪教训。
动手验证:把“能通”变“能讲”
拓扑跑通后,先跑ping 192.168.40.10 -S 192.168.10.100看 ACL 是否生效;再tracert 8.8.8.8确认 NAT 出口路径;最后用display ospf routing截图放论文,答辩老师最爱。有余力的同学把 USG6000V 拖进来,在原 ACL 位置换成防火墙策略,体验“路由+交换+安全”三位一体,毕设瞬间升档。
祝你一次布线,一次通关。
