华为eNSP实战:中小企业网络规划从零到通(附完整配置命令)
华为eNSP实战中小企业网络规划从零到通附完整配置命令最近和几位刚入行的朋友聊天他们总说网络规划听起来高大上但真到自己动手面对一堆设备型号和命令行就发怵。其实很多中小企业的网络架构核心逻辑并不复杂缺的往往是一个能亲手“搭积木”的环境和一份清晰的“施工图”。华为的eNSP模拟器恰好就提供了这样一个零成本的虚拟实验室让你我这样的技术爱好者或初级工程师能在自己的电脑上反复折腾把书本上的理论变成指尖可验证的配置。这篇文章我就想抛开那些复杂的理论堆砌以一个真实的、典型的中小企业办公场景为蓝本带你从零开始一步步在eNSP里把整个网络“跑”起来。我们会从最基础的拓扑设计画起到每一台交换机、路由器、防火墙的配置敲定最后实现各部门安全隔离、无线覆盖、内外网互通。过程中遇到的每一个坑、每一个关键命令我都会毫无保留地分享出来。目标很简单看完这篇文章你不仅能理解一个典型企业网的骨架更能亲手复制一个出来。1. 项目蓝图先画图再动手在打开eNSP软件之前最重要的一步不是在模拟器里拖设备而是在纸上或者绘图工具里先把网络的逻辑架构想清楚。对于大多数50-200人规模的中小企业一个经典的三层架构——接入层、汇聚层、核心层——已经足够清晰和健壮。但具体到我们的实验为了兼顾学习效果和模拟器性能我们可以做一个适度的简化将核心层和汇聚层的功能合并用一台高性能三层交换机来承担这样既能理解核心交换和路由的功能又降低了拓扑复杂度。假设我们公司有四个主要部门研发部VLAN 10、市场部VLAN 20、财务部VLAN 30和行政部VLAN 40。此外还需要一个独立的区域放置对外服务器DMZ区VLAN 100以及为访客和员工移动设备提供无线网络VLAN 101。网络出口由一台防火墙负责连接外部互联网模拟为ISP路由器。基于这个构思我们的拓扑图就清晰了。提示在eNSP中绘制拓扑时建议使用“分层”的思想。先放置核心设备核心交换机、防火墙再连接汇聚/接入设备最后添加终端。这样逻辑更清晰后续配置也不容易乱。根据以上设计我们需要在eNSP中准备以下设备1台 S5700交换机作为核心交换机负责所有VLAN间的路由、与防火墙互联。2台 S3700交换机作为接入层交换机分别连接不同部门的PC。1台 AC6005无线控制器管理无线接入点AP。1台 AP设备提供无线信号覆盖。1台 USG6000V防火墙作为网络出口进行安全策略控制和NAT地址转换。1台 AR2200路由器模拟互联网ISP。若干台PC/Server用于模拟各部门主机、内部服务器及外部互联网主机。设备连接关系可以用下面这个简表来概括设备A接口设备B接口说明核心交换机 (S5700)G0/0/1防火墙 (USG6000V)G1/0/0内网出口属于VLAN 99防火墙 (USG6000V)G1/0/1ISP路由器 (AR2200)G0/0/0外网出口配置公网IP核心交换机 (S5700)G0/0/24接入交换机A (S3700)G0/0/24Trunk链路放行所有业务VLAN核心交换机 (S5700)G0/0/23接入交换机B (S3700)G0/0/24Trunk链路放行所有业务VLAN核心交换机 (S5700)G0/0/2AC控制器 (AC6005)G0/0/1Trunk链路放行无线管理VLAN 100和业务VLAN 101AC控制器 (AC6005)G0/0/2AP设备ETH通常通过交换机连接这里直连简化传递管理报文把这张图在eNSP里搭出来你的项目就成功了一半。记住清晰的拓扑是后续一切配置的基础。2. 基础构建IP地址规划与设备初始化拓扑搭好设备还是“裸机”。第一步不是急着配路由而是给每台设备一个“身份”主机名和“管理地址”IP并规划好整个网络的“门牌号”IP地址段。这一步规划不好后面肯定会乱。我习惯用一个Excel表格来做IP地址规划这里分享我们的规划方案网段用途VLAN ID网段地址网关地址说明研发部10192.168.10.0/24192.168.10.254市场部20192.168.20.0/24192.168.20.254财务部30192.168.30.0/24192.168.30.254安全要求高行政部40192.168.40.0/24192.168.40.254服务器区 (DMZ)100192.168.100.0/24192.168.100.254放置Web、FTP服务器无线用户区101192.168.101.0/24192.168.101.254员工无线接入设备管理99192.168.99.0/24192.168.99.254用于设备SSH管理等内网-防火墙互联N/A192.168.1.0/30核心:192.168.1.1 防火墙:192.168.1.2点对点链路防火墙-ISP互联N/A202.100.1.0/30防火墙:202.100.1.1 ISP:202.100.1.2模拟公网链路ISP外网模拟N/A8.8.8.0/248.8.8.1模拟互联网规划好了就开始初始化设备。以核心交换机为例我们首先进行基础配置包括命名、关闭不必要的提示、配置管理VLAN接口。这些命令是每台网络设备的“开场白”。Huaweisystem-view [Huawei]sysname Core-SW [Core-SW]undo info-center enable [Core-SW]vlan batch 99 [Core-SW]interface Vlanif 99 [Core-SW-Vlanif99]ip address 192.168.99.1 24 [Core-SW-Vlanif99]quit [Core-SW]interface GigabitEthernet 0/0/24 [Core-SW-GigabitEthernet0/0/24]port link-type access [Core-SW-GigabitEthernet0/0/24]port default vlan 99 [Core-SW-GigabitEthernet0/0/24]quit [Core-SW]user-interface vty 0 4 [Core-SW-ui-vty0-4]authentication-mode password [Core-SW-ui-vty0-4]set authentication password cipher Huawei123 [Core-SW-ui-vty0-4]protocol inbound ssh [Core-SW-ui-vty0-4]quit [Core-SW]stelnet server enable [Core-SW]rsa local-key-pair create这段配置完成了1. 将设备命名为Core-SW2. 关闭信息中心以减少干扰输出3. 创建管理VLAN 99并配置IP4. 将一个物理口划入管理VLAN用于远程登录5. 开启了SSH服务并设置了登录密码。其他交换机和防火墙也请参照此逻辑进行初始化记得管理IP要在同一个网段192.168.99.0/24内。3. 核心交换VLAN、Trunk与三层路由现在进入核心环节——配置核心交换机。它的核心任务有三个隔离通过VLAN、互联通过Trunk、路由让不同VLAN能通信。首先创建所有规划好的VLAN并配置对应的三层接口SVI作为各网段的网关。[Core-SW]vlan batch 10 20 30 40 100 101 [Core-SW]interface Vlanif 10 [Core-SW-Vlanif10]ip address 192.168.10.254 24 [Core-SW-Vlanif10]quit [Core-SW]interface Vlanif 20 [Core-SW-Vlanif20]ip address 192.168.20.254 24 [Core-SW-Vlanif20]quit ... (依次配置Vlanif 30, 40, 100, 101的IP地址)接着配置连接接入层交换机的端口为Trunk类型并允许所有业务VLAN通过。这是二层流量跨交换机传输的关键。[Core-SW]interface GigabitEthernet 0/0/23 [Core-SW-GigabitEthernet0/0/23]port link-type trunk [Core-SW-GigabitEthernet0/0/23]port trunk allow-pass vlan 10 20 30 40 100 101 [Core-SW-GigabitEthernet0/0/23]quit [Core-SW]interface GigabitEthernet 0/0/24 [Core-SW-GigabitEthernet0/0/24]port link-type trunk [Core-SW-GigabitEthernet0/0/24]port trunk allow-pass vlan 10 20 30 40 100 101然后配置连接防火墙的端口。这里我们采用三层路由接口互联而不是Trunk。[Core-SW]interface GigabitEthernet 0/0/1 [Core-SW-GigabitEthernet0/0/1]port link-type access [Core-SW-GigabitEthernet0/0/1]port default vlan 99 [Core-SW-GigabitEthernet0/0/1]quit # 实际上更常见的做法是创建一个独立的互联VLAN如VLAN 99双方接口都划入此VLAN并配置IP。 # 我们已经配置了Vlanif 99的IP为192.168.99.1防火墙对应接口配192.168.99.2。最后也是让内网各VLAN能访问外网的关键一步配置默认路由指向防火墙的内网接口地址。[Core-SW]ip route-static 0.0.0.0 0.0.0.0 192.168.99.2这条命令的意思是所有目标地址不在本机直连网段的数据包都发给192.168.99.2防火墙去处理。至此核心交换机的基础路由功能就配好了。4. 接入与安全精细化端口控制与防火墙策略接入层交换机如S3700的配置相对单纯主要工作是端口划分和上联Trunk。以连接研发部PC的接入交换机为例Huaweisystem-view [Huawei]sysname Access-SW-1 [Access-SW-1]vlan batch 10 20 [Access-SW-1]interface GigabitEthernet 0/0/1 [Access-SW-1-GigabitEthernet0/0/1]port link-type access [Access-SW-1-GigabitEthernet0/0/1]port default vlan 10 [Access-SW-1-GigabitEthernet0/0/1]quit [Access-SW-1]interface GigabitEthernet 0/0/2 [Access-SW-1-GigabitEthernet0/0/2]port link-type access [Access-SW-1-GigabitEthernet0/0/2]port default vlan 20 ... (配置其他接入端口) [Access-SW-1]interface GigabitEthernet 0/0/24 [Access-SW-1-GigabitEthernet0/0/24]port link-type trunk [Access-SW-1-GigabitEthernet0/0/24]port trunk allow-pass vlan 10 20 [Access-SW-1-GigabitEthernet0/0/24]quit注意接入交换机的上联Trunk口只需要放行它下面端口所属的VLAN这是一种良好的安全实践可以避免不必要的广播泛洪。接下来是网络安全的守门员——防火墙。它的配置逻辑是划分区域Zone-配置接口IP并加入区域-制定安全策略Policy-配置NAT。初始化与区域划分USG6000Vsystem-view [USG6000V]sysname FW [FW]firewall zone trust [FW-zone-trust]add interface GigabitEthernet 1/0/0 # 连接内网的接口 [FW-zone-trust]quit [FW]firewall zone untrust [FW-zone-untrust]add interface GigabitEthernet 1/0/1 # 连接外网(ISP)的接口 [FW-zone-untrust]quit [FW]firewall zone dmz [FW-zone-dmz]add interface GigabitEthernet 1/0/2 # 连接DMZ服务器的接口 [FW-zone-dmz]quit配置接口IP根据之前的IP规划表[FW]interface GigabitEthernet 1/0/0 [FW-GigabitEthernet1/0/0]ip address 192.168.99.2 24 [FW-GigabitEthernet1/0/0]quit [FW]interface GigabitEthernet 1/0/1 [FW-GigabitEthernet1/0/1]ip address 202.100.1.1 30 [FW-GigabitEthernet1/0/1]quit [FW]interface GigabitEthernet 1/0/2 [FW-GigabitEthernet1/0/2]ip address 192.168.100.1 24 # DMZ网关 [FW-GigabitEthernet1/0/2]quit配置安全策略这是防火墙的精髓。我们制定一条基本策略允许信任区内网访问非信任区外网和DMZ区允许DMZ区被外网访问特定服务如HTTP但默认禁止其他所有流量。[FW]security-policy [FW-policy-security]rule name trust_to_untrust [FW-policy-security-rule-trust_to_untrust]source-zone trust [FW-policy-security-rule-trust_to_untrust]destination-zone untrust [FW-policy-security-rule-trust_to_untrust]action permit [FW-policy-security-rule-trust_to_untrust]quit [FW-policy-security]rule name trust_to_dmz [FW-policy-security-rule-trust_to_dmz]source-zone trust [FW-policy-security-rule-trust_to_dmz]destination-zone dmz [FW-policy-security-rule-trust_to_dmz]action permit [FW-policy-security-rule-trust_to_dmz]quit [FW-policy-security]rule name untrust_to_dmz_http [FW-policy-security-rule-untrust_to_dmz_http]source-zone untrust [FW-policy-security-rule-untrust_to_dmz_http]destination-zone dmz [FW-policy-security-rule-untrust_to_dmz_http]destination-address 192.168.100.10 32 # Web服务器IP [FW-policy-security-rule-untrust_to_dmz_http]service http [FW-policy-security-rule-untrust_to_dmz_http]action permit [FW-policy-security-rule-untrust_to_dmz_http]quit [FW-policy-security]quit配置NAT让使用私网IP的内网主机能够访问互联网。这里配置源NAT也称为Easy IP。[FW]nat-policy [FW-policy-nat]rule name nat_internet [FW-policy-nat-rule-nat_internet]source-zone trust [FW-policy-nat-rule-nat_internet]destination-zone untrust [FW-policy-nat-rule-nat_internet]source-address 192.168.0.0 16 # 匹配所有内网地址 [FW-policy-nat-rule-nat_internet]action source-nat easy-ip # 使用出接口IP进行地址转换 [FW-policy-nat-rule-nat_internet]quit [FW-policy-nat]quit最后别忘了在防火墙上配置默认路由指向ISP路由器。[FW]ip route-static 0.0.0.0 0.0.0.0 202.100.1.25. 无线网络与最终联调无线网络的配置稍微特殊一点它涉及无线控制器AC和接入点AP的协同。在eNSP中我们可以用AC6005和一台AP来模拟。AC基础配置创建无线管理VLAN和业务VLAN配置DHCP为AP和无线终端分配IP。[AC]vlan batch 100 101 [AC]interface Vlanif 100 [AC-Vlanif100]ip address 192.168.100.253 24 # 无线管理VLAN与核心交换Vlanif 100不同 [AC-Vlanif100]quit [AC]dhcp enable [AC]interface Vlanif 100 [AC-Vlanif100]dhcp select interface [AC-Vlanif100]quit [AC]interface Vlanif 101 [AC-Vlanif101]ip address 192.168.101.253 24 # 无线业务VLAN网关 [AC-Vlanif101]quit配置AP上线AC需要发现并管理AP。我们采用二层发现在连接AP的端口或核心交换连接AC的Trunk口上配置。# 在AC上配置 [AC]capwap source interface Vlanif 100 [AC]wlan [AC-wlan-view]ap-group name default [AC-wlan-ap-group-default]quit [AC-wlan-view]regulatory-domain-profile name default [AC-wlan-regulate-domain-default]country-code cn [AC-wlan-regulate-domain-default]quit # 假设AP的MAC地址已知在AC上预配置AP信息 [AC-wlan-view]ap-id 0 ap-mac xxxx-xxxx-xxxx [AC-wlan-ap-0]ap-name office-ap [AC-wlan-ap-0]ap-group default [AC-wlan-ap-0]quit配置无线服务集SSID创建员工使用的无线网络。[AC-wlan-view]security-profile name employee [AC-wlan-sec-prof-employee]security wpa2 psk pass-phrase MyCompanyWiFi2024 aes [AC-wlan-sec-prof-employee]quit [AC-wlan-view]ssid-profile name employee-ssid [AC-wlan-ssid-prof-employee-ssid]ssid Employee-Net [AC-wlan-ssid-prof-employee-ssid]quit [AC-wlan-view]vap-profile name employee-vap [AC-wlan-vap-prof-employee-vap]forward-mode tunnel # 或direct-forward根据架构选择 [AC-wlan-vap-prof-employee-vap]service-vlan vlan-id 101 [AC-wlan-vap-prof-employee-vap]security-profile employee [AC-wlan-vap-prof-employee-vap]ssid-profile employee-ssid [AC-wlan-vap-prof-employee-vap]quit [AC-wlan-view]ap-group name default [AC-wlan-ap-group-default]vap-profile employee-vap wlan 1 radio 0 [AC-wlan-ap-group-default]vap-profile employee-vap wlan 1 radio 1 [AC-wlan-ap-group-default]quit所有配置完成后就到了激动人心的测试环节。不要一次性全测要分层分步骤测试同VLAN内连通性在接入交换机上连接两台同属VLAN 10的PC互ping它们的IP地址如192.168.10.1和192.168.10.2应该成功。跨VLAN三层连通性用一台VLAN 10的PC去ping另一台VLAN 20的PC的网关地址192.168.20.254成功说明核心交换机的三层路由工作正常。内网访问外网用任意内网PC去ping防火墙的外网接口地址202.100.1.2或ISP的环回口地址如果配置了。这一步需要确保核心交换的默认路由、防火墙的安全策略和NAT都正确。无线终端接入用eNSP中的STA工作站搜索并连接“Employee-Net”这个SSID输入密码MyCompanyWiFi2024。获取到192.168.101.x的IP后尝试ping无线网关192.168.101.254和互联网地址。防火墙策略验证尝试从外网模拟主机连接在ISP路由器上去ping内网一台PC的地址应该不通。但去访问DMZ区Web服务器的80端口应该能通如果服务器已配置。测试过程中display命令是你的最佳帮手。比如在交换机上display ip routing-table查看路由表在防火墙上display security-policy rule all查看策略命中次数用display current-configuration检查当前配置。遇到问题按照“物理链路 - 二层VLAN - 三层IP - 路由 - 安全策略”的顺序逐层排查大部分问题都能定位。

相关新闻

EcomGPT-中英文-7B电商模型在Web开发中的全栈应用:从前端到AI后端

EcomGPT-中英文-7B电商模型在Web开发中的全栈应用:从前端到AI后端

EcomGPT-中英文-7B电商模型在Web开发中的全栈应用:从前端到AI后端 最近在做一个电商项目,需要批量生成商品描述和营销文案,手动写效率太低,用通用大模型又不够专业。后来发现了EcomGPT-7B这个专门针对电商场景优化的模型&#xf…

2026/7/4 7:00:28 阅读更多 →
Anything V5模型优化:如何调整参数获得更清晰的二次元图像?

Anything V5模型优化:如何调整参数获得更清晰的二次元图像?

Anything V5模型优化:如何调整参数获得更清晰的二次元图像? 你是不是也遇到过这样的烦恼?用Anything V5模型生成的二次元图片,总觉得有点“糊”,细节不够清晰,线条不够锐利,人物的眼睛和头发也…

2026/7/3 6:23:11 阅读更多 →
GME多模态向量-Qwen2-VL-2B零基础教程:3步搭建智能文档检索系统

GME多模态向量-Qwen2-VL-2B零基础教程:3步搭建智能文档检索系统

GME多模态向量-Qwen2-VL-2B零基础教程:3步搭建智能文档检索系统 你是不是也遇到过这种情况:明明记得那份合同里有一张关键的流程图,但用关键词搜遍了整个文件夹也找不到?或者,想在一堆技术文档里找到包含某个特定图表…

2026/7/3 12:41:04 阅读更多 →

最新新闻

Reacord API完全参考:从基础到高级功能的详细文档

Reacord API完全参考:从基础到高级功能的详细文档

Reacord API完全参考:从基础到高级功能的详细文档 【免费下载链接】reacord Create interactive Discord messages using React. ⚛ 项目地址: https://gitcode.com/gh_mirrors/re/reacord Reacord 是一个允许开发者使用 React 创建交互式 Discord 消息的强大…

2026/7/4 7:00:55 阅读更多 →
大一数学竞赛备赛终极指南:nwpu-cram题型与技巧全解析

大一数学竞赛备赛终极指南:nwpu-cram题型与技巧全解析

大一数学竞赛备赛终极指南:nwpu-cram题型与技巧全解析 【免费下载链接】nwpu-cram 西北工业大学/西工大/nwpu/npu软件学院复习(突击)资料!! 项目地址: https://gitcode.com/GitHub_Trending/nw/nwpu-cram 对于西北工业大学的大一新生来…

2026/7/4 6:58:55 阅读更多 →
FPGA入门中高级项目 雷达信息处理及Verilog代码

FPGA入门中高级项目 雷达信息处理及Verilog代码

前言 由于各种原因,我们无法在网上给FPGA学习者展示雷达一些核心技术,比较遗憾。 大家都知道,FPGA起家的领域是通信和雷达。 通信因为大规模商业化进入各位生活日常,大家都还能获得较多的知识。雷达由于其特殊性,特别…

2026/7/4 6:56:55 阅读更多 →
高效数据库工具MDUT深度解析:从多数据库管理到架构设计实战

高效数据库工具MDUT深度解析:从多数据库管理到架构设计实战

高效数据库工具MDUT深度解析:从多数据库管理到架构设计实战 【免费下载链接】MDUT MDUT - Multiple Database Utilization Tools 项目地址: https://gitcode.com/gh_mirrors/md/MDUT MDUT(Multiple Database Utilization Tools)是一款…

2026/7/4 6:56:55 阅读更多 →
Gradle Docker插件安全指南:构建安全容器镜像的10个关键注意事项

Gradle Docker插件安全指南:构建安全容器镜像的10个关键注意事项

Gradle Docker插件安全指南:构建安全容器镜像的10个关键注意事项 【免费下载链接】gradle-docker a Gradle plugin for orchestrating docker builds and pushes. 项目地址: https://gitcode.com/gh_mirrors/gr/gradle-docker 在当今云原生时代,D…

2026/7/4 6:56:55 阅读更多 →
VisProg与GPT-3的完美结合:揭秘自然语言生成Python视觉程序的黑科技

VisProg与GPT-3的完美结合:揭秘自然语言生成Python视觉程序的黑科技

VisProg与GPT-3的完美结合:揭秘自然语言生成Python视觉程序的黑科技 【免费下载链接】visprog Official code for VisProg (CVPR 2023 Best Paper!) 项目地址: https://gitcode.com/gh_mirrors/vi/visprog 想要让AI理解你的自然语言指令并自动生成Python视觉…

2026/7/4 6:52:54 阅读更多 →

日新闻

Memcached 1.6.43 发布:关键安全修复版本,多项问题得到解决

Memcached 1.6.43 发布:关键安全修复版本,多项问题得到解决

Memcached 1.6.43 正式发布,这是一个关键的安全修复版本,修复了多个方面的问题,还对部分功能进行了优化。 安全修复亮点 此次发布在安全修复上表现突出。binprot 避免了项目引用计数溢出,mcmc 因安全问题提升了上游版本号&#xf…

2026/7/4 0:04:29 阅读更多 →
终极指南:使用HMCL启动器跨平台畅玩Minecraft的完整解决方案

终极指南:使用HMCL启动器跨平台畅玩Minecraft的完整解决方案

终极指南:使用HMCL启动器跨平台畅玩Minecraft的完整解决方案 【免费下载链接】HMCL A Minecraft Launcher which is multi-functional, cross-platform and popular 项目地址: https://gitcode.com/gh_mirrors/hm/HMCL HMCL(Hello Minecraft! Lau…

2026/7/4 0:06:29 阅读更多 →
KMX63与PIC18F66K40在嵌入式HMI中的硬件协同与低功耗设计

KMX63与PIC18F66K40在嵌入式HMI中的硬件协同与低功耗设计

1. KMX63与PIC18F66K40的硬件协同架构解析KMX63作为一款三轴加速度计和磁力计组合传感器,与PIC18F66K40微控制器的搭配堪称嵌入式HMI开发的黄金组合。这套硬件组合的核心优势在于KMX63提供的高精度运动感知能力与PIC18F66K40强大的信号处理能力形成了完美互补。KMX6…

2026/7/4 0:06:29 阅读更多 →

周新闻

月新闻