背景痛点:毕设里那些“一眼就能挂”的坑
做毕设最怕老师一句“你这网络能用在真公司吗?”——在 eNSP 里拖几台交换机、连几根线就交差,往往暴露出三大硬伤:
- 平面拓扑:所有设备挤在默认 VLAN1,广播一跑全网卡,老师一眼看出“学生级”方案。
- 静态路由满天飞:一换线路由就挂,毫无冗余,答辩时老师问“链路断了怎么办?”直接社死。
- 安全只靠“不配置”:缺 ACL、缺 NAT、缺管理 VLAN,设备 Telnet 空口令,评分表上“安全性”一栏直接 0 分。
把痛点翻译成技术语言,就是:广播域未分割、路由不可收敛、访问未授权、地址未隔离。下面用一套“真公司”样板网络,逐点拆解怎么改。
技术选型:为什么 OSPF + 三层交换才是“企业味”
老师最爱问:“RIP 也能跑,干嘛上 OSPF?”——把答案准备成一张对比表,答辩直接背下来:
| 维度 | RIP v2 | OSPF | 毕设场景结论 |
|---|---|---|---|
| 收敛速度 | 30 s 起步 | 毫秒级 | 链路抖动时 RIP 会丢包被吐槽 |
| 度量值 | 跳数≤15 | 开销可配 | 千兆/百兆混合链路,RIP 算不出最优 |
| 区域划分 | 不支持 | 支持区域 | 后期扩展防火墙、分公司,直接加 Area 1 |
| 认证 | 明文/MD5 | 区域/链路级 | 安全加分项 |
再说“三层交换 vs 纯二层”:
- 纯二层方案:所有 VLAN 间流量都挤到路由器子接口,1 Gbps 链路秒成瓶颈。
- 三层交换机:路由表下发到硬件,VLAN 间转发 线速,还能跑 OSPF,秒变“分布式路由”。
结论:毕设想拿高分,先把 RIP 和“单臂路由”从拓扑里删掉。
。
核心实现:四大模块如何“拼乐高”
下面用“XYZ 公司”样板(总部 + 分公司 + 服务器区)演示,设备命名、IP 规划、配置逻辑一次给全。
1. IP 与 VLAN 规划:先写表再动手
| 功能区 | VLAN ID | 子网 | 网关 | 说明 |
|---|---|---|---|---|
| 办公 | 10 | 192.168.10.0/24 | .1 | 员工日常 PC |
| 财务 | 20 | 192.168.20.0/24 | .1 | 敏感,需 ACL 隔离 |
| 服务器 | 30 | 192.168.30.0/24 | .1 | 对内对外双栈 |
| 管理 | 99 | 192.168.99.0/24 | .1 | 仅网管可进 |
| 互联 | — | 10.0.x.y/30 | — | 设备互连,OSPF 用 |
原则:一段 VLAN 一段广播,一段 /30 一条链路,后期排错只看表就能定位。
2. VLAN 与三层接口:让交换机“又交又路”
以核心交换机 L3-SW1 为例,先起 VLAN 接口,再关 Spanning-tree 边缘端口,防止有人环路把拓扑炸穿。
# L3-SW1(VLAN 网关集中在这) sysname L3-SW1 vlan batch 10 20 30 99 interface Vlanif10 ip address 192.168.10.1 255.255.255.0 description TO_Office interface Vlanif20 ip address 192.168.20.1 255.255.255.0 description TO_Finance interface Vlanif30 ip address 192.168.30.1 255.255.255.0 description TO_Server interface Vlanif99 ip address 192.168.99.1 255.255.255.0 description TO_Management3. OSPF 统一编排:把“/30”全扔进 Area0
ospf 1 router-id 1.1.1.1 area 0 network 192.168.10.0 0.0.0.255 network 192.168.20.0 0.0.0.255 network 192.168.30.0 0.0.0.255 network 192.168.99.0 0.0.0.255 network 10.0.0.0 0.0.255.255 # 所有互联段分公司出口路由器 AR2 同样起 OSPF,router-id 用 2.2.2.2,把本地 172.16.0.0/24 宣告进来,秒级学到总部路由。
4. ACL:先拒绝、再允许、写注释
财务 VLAN20 只能访问服务器 30 段 TCP 443,其余全拦:
acl number 3001 description Finance_Only_HTTPS_to_Server rule 10 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 rule 20 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.99.0 0.0.0.255 rule 30 permit tcp source 192.168.20.0 0.0.0.255 destination 192.168.30.0 0.0.0.255 destination-port eq 443 rule 100 deny ip应用在 Vlanif20 inbound,顺序别乱, deny 在前,命中就跳出,性能最好。
5. NAT:Easy-IP 一招鲜
出口路由器 AR1 接公网口 Dialer1,内网源地址列表 192.168.0.0/16 统一转:
acl number 2000 description Inside_to_Internet rule 5 permit source 192.168.0.0 0.0.255.255 interface Dialer1 nat outbound 2000eNSP 里用“Cloud”桥接本地网卡就能真上网,ping 8.8.8.8 通的一刻截图放 PPT,答辩加分。
安全性与合理性:别让“小细节”变成“负分题”
- 广播风暴:全局起 bpdu-protection,边缘端口收到 BPDU 直接 error-down,环路秒躺。
- 管理 VLAN 隔离:把网管段 99 放到独立 VLAN,再配 ACL 禁止普通用户 10、20 段访问 99 段,防止“内网扫描器”一把梭。
- ACL 顺序:华为 ACL 命中即跳出,写规则时“细粒度在前,粗粒度在后”,别把 permit any 放最前,否则后面全失效。
- 设备口令:统一 aaa,local-user admin password cipher 类型,telnet 关掉,ssh 开 v2,评分表“安全管理”直接拉满。
生产环境避坑指南:毕设只是起点,真上线才见真章
- 命名规范:城市-机房-机柜-角色-序号,如 BJ-A2-R1-AR01,老师一看就知道你懂运维。
- 配置回滚:每次 save 前先 display current-configuration 重定向到 flash:/cfg/backup/,文件名带时间戳,回滚直接 rollback configuration to 文件。
- 模拟器局限:eNSP 的交换机不支持堆叠、路由器 NAT 日志看不到,答辩被问到就说“真机可开 info-center 日志服务器”——老师会觉得你有延续性思维。
- 性能评估:eNSP 跑 20 台设备以上 CPU 会飙,真机选型参考 S5735-L3 跑 256 条 OSPF 路由无压力,毕设里加一句“设备选型参考华为官网性能白皮书”,瞬间专业。
完整可复用配置(Clean Code 版)
以下给出“一台核心交换机 + 一台出口路由”的最小可运行片段,其余设备照模板改 IP 即可。所有注释用英文,防止编码问题。
# ---------- L3-SW1.cfg ---------- sysname L3-SW1 vlan batch 10 20 30 99 stp bpdu-protection interface Vlanif10 ip address 192.168.10.1 255.255.255.0 description Office_Gateway interface Vlanif20 ip address 192.168.20.1 255.255.255.0 description Finance_Gateway interface Vlanif30 ip address 192.168.30.1 255.255.255.0 description Server_Gateway interface Vlanif99 ip address 192.168.99.1 255.255.255.0 description Mgmt_Gateway interface GigabitEthernet0/0/1 description To_AR1_Core_Link port link-type access port default vlan 100 interface Vlanif100 ip address 10.0.0.2 255.255.255.252 ospf 1 router-id 1.1.1.1 area 0 network 192.168.10.0 0.0.0.255 network 192.168.20.0 0.0.0.255 network 192.168.30.0 0.0.0.255 network 192.168.99.0 0.0.0.255 network 10.0.0.0 0.0.0.3 acl 3001 name Finance_Only_HTTPS rule deny ip source 192.168.20.0 0.0.0.255 dest 192.168.10.0 0.0.0.255 rule permit tcp source 192.168.20.0 0.0.0.255 dest 192.168.30.0 0.0.0.255 dest-port eq 443 rule deny ip interface Vlanif20 traffic-filter inbound acl 3001 return# ---------- AR1.cfg ---------- sysname AR1 interface GigabitEthernet0/0/0 description To_L3-SW1 ip address 10.0.0.1 255.255.255.252 interface GigabitEthernet0/0/1 description To_Internet ip address dhcp-alloc nat outbound 2000 ospf 1 router-id 1.1.1.2 area 0 network 10.0.0.0 0.0.0.3 acl 2000 rule permit source 192.168.0.0 0.0.255.255 ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/1 return把两段配置分别导入 eNSP 启动配置,拓扑即插即用;改 IP、改 router-id、加设备,就能横向扩展成多分支企业网。
结尾:动手验证才是真的“通关”
拓扑跑起来后,先做三连 ping:
- PC in VLAN10 ping 192.168.30.10(服务器)——通;
- PC in VLAN20 ping 192.168.10.10——应超时;
- PC in VLAN10 ping 8.8.8.8——通,且 AR1 上 display nat session 能看到转换表。
截图保存,贴进论文“测试结果”章节,老师基本不再追问。
如果想再拔高,可把出口换成 USG6000 防火墙模板,加一条 IPSec 隧道让分公司流量加密传输——既能展示“安全加固”,又能把字数再水两千。毕设不是终点,把 eNSP 文件保留好,入职第一天领导说“给新公司搭个模拟环境”,你直接把今天这套拓扑甩过去,半小时就能跑通,这才是真正的“毕业即就业”。
