1. 实验背景与核心价值园区网络作为企业数字化转型的基础设施其稳定性和安全性直接关系到日常运营效率。记得去年参与某金融机构网络改造项目时他们的核心业务系统因为单点故障导致全网瘫痪4小时直接损失超过百万。这个案例让我深刻认识到高可用设计和安全隔离不是选择题而是现代企业网络的必选项。eNSP作为华为官方推出的网络仿真平台完美复现了真实设备的功能特性。通过它我们可以零成本搭建包含接入层、汇聚层、核心层的完整三层架构还能模拟各种故障场景。我特别喜欢它的实时抓包功能在调试VRRP协议状态切换时能清晰看到Advertisement报文的优先级变化过程。这个实验特别适合三类人群刚考过HCIA需要实战巩固的萌新企业网管想要优化现有架构备考HCIE需要复杂场景练习的进阶者2. 实验环境搭建技巧2.1 设备选型与拓扑设计在eNSP中搭建实验环境时建议采用模块化设备组合接入层S5700系列交换机性价比高汇聚层S6700系列支持MSTP多实例核心层CE6800系列高性能路由交换防火墙USG6000V支持NAT和ACL策略拓扑设计有个小技巧先拖拽所有设备再连线能避免界面频繁刷新。我习惯用子网划分法规划IP地址管理地址192.168.100.0/24业务VLAN10-40对应不同部门互联地址172.16.x.x/30注意eNSP的AR路由器需要手动添加板卡右键设备选择设置→添加接口2.2 基础配置优化启动设备后第一件事是关闭烦人的信息中心Huaweisystem-view [Huawei]undo info-center enable [Huawei]sysname Core-SW1配置SSH远程管理更安全[Core-SW1]rsa local-key-pair create [Core-SW1]user-interface vty 0 4 [Core-SW1-ui-vty0-4]authentication-mode aaa [Core-SW1-ui-vty0-4]protocol inbound ssh [Core-SW1]aaa [Core-SW1-aaa]local-user admin password cipher Admin123 [Core-SW1-aaa]local-user admin service-type ssh [Core-SW1-aaa]local-user admin privilege level 153. 高可用架构实现3.1 MSTP多实例配置传统STP的痛点在于所有VLAN共用一棵树会导致带宽浪费。在金融园区网中我们给不同业务分配独立实例[Core-SW1]stp region-configuration [Core-SW1-mst-region]region-name Finance [Core-SW1-mst-region]instance 1 vlan 10 20 # 柜台业务 [Core-SW1-mst-region]instance 2 vlan 30 40 # 办公业务 [Core-SW1-mst-region]active region-configuration配置根桥时有个坑优先级必须是4096的倍数。建议用主备根桥法# 核心交换机1 [Core-SW1]stp instance 1 root primary [Core-SW1]stp instance 2 root secondary # 核心交换机2 [Core-SW2]stp instance 1 root secondary [Core-SW2]stp instance 2 root primary3.2 VRRP负载均衡方案VRRP常见的误区是只做主备切换。其实通过多VRID分组可以实现流量分担# 核心交换机1配置 [Core-SW1]interface Vlanif 10 [Core-SW1-Vlanif10]vrrp vrid 10 virtual-ip 192.168.10.254 [Core-SW1-Vlanif10]vrrp vrid 10 priority 120 [Core-SW1-Vlanif10]vrrp vrid 20 virtual-ip 192.168.10.253 [Core-SW1-Vlanif10]vrrp vrid 20 priority 100 # 核心交换机2配置 [Core-SW2]interface Vlanif 10 [Core-SW2-Vlanif10]vrrp vrid 10 virtual-ip 192.168.10.254 [Core-SW2-Vlanif10]vrrp vrid 20 virtual-ip 192.168.10.253 [Core-SW2-Vlanif10]vrrp vrid 20 priority 120不同终端网关分别指向.254和.253就能实现南北流量分担。通过dis vrrp brief可以查看状态切换。4. 安全隔离策略4.1 精细化ACL控制研发部门(vlan30)需要特殊保护禁止办公网段访问其22端口[Core-SW1]acl number 3001 [Core-SW1-acl-adv-3001]rule deny tcp source 192.168.20.0 0.0.0.255 destination 192.168.30.0 0.0.0.255 destination-port eq 22 [Core-SW1-acl-adv-3001]rule permit ip [Core-SW1]interface Vlanif 30 [Core-SW1-Vlanif30]traffic-filter inbound acl 30014.2 防火墙隔离DMZ区在服务器区出口部署防火墙策略[FW]security-policy [FW-policy-security]rule name DMZ-Inbound [FW-policy-security-rule-DMZ-Inbound]source-zone untrust [FW-policy-security-rule-DMZ-Inbound]destination-zone dmz [FW-policy-security-rule-DMZ-Inbound]destination-address 192.168.50.2 # Web服务器 [FW-policy-security-rule-DMZ-Inbound]service http [FW-policy-security-rule-DMZ-Inbound]action permit5. 验证与排错5.1 高可用性测试在PC1持续ping网关地址手动关闭主用核心交换机的上行接口观察ping包中断时间应小于3秒使用dis stp brief查看MSTP状态切换5.2 安全策略验证尝试从市场部PC(vlan20)SSH登录研发服务器C:\ ssh 192.168.30.100 Connection timed out # 符合预期查看ACL命中计数[Core-SW1]dis acl 3001 Advanced ACL 3001, 2 rules Acls step is 5 rule 5 deny tcp source 192.168.20.0 0.0.0.255 destination 192.168.30.0 0.0.0.255 destination-port eq ssh (3 matches)6. 经典问题解决方案VRRP双主问题检查物理链路状态确保心跳报文可达。我遇到过因为中间接口误配成access模式导致的脑裂。MSTP不收敛确认所有交换机region配置一致特别是revision值要保持相同。用dis stp region-configuration对比检查。ACL不生效注意策略的应用方向inbound和outbound效果完全不同。建议先用ping测试连通性再细化策略。