【华为eNSP】企业级网络拓扑综合配置详解

VLAN+VRRP+MSTP+OSPF/RIP+NAT+ACL+防火墙全栈实操（附拓扑+命令）

始发于我的个人博客：网络设备配置技术学习笔记
作者：云泽
致谢：本文思路来源于 PigTeacher 的课程考题

---

网络实战分析综合练习

本次拓扑涉及点如下：

• 内部用 OSPF + VLAN + VRF 做核心交换与隔离
• 分部用 RIP 做简化路由
• 出口通过防火墙 NAT 转化连接互联网区域
• 同时提供 DNS、WWW 等基础服务

拓扑图下载：点我下载　　密码：ck4t

防火墙镜像下载：点我下载

模拟实验环境概述

上图中的橙色区域作为企业内部的核心内网区域（涉及内网的全网通，虚拟 VLAN，链路聚合，OSPF 1，内网访问服务器等等），防火墙的左侧为企业内网服务器区域（DMZ 区域，实现内网的机器访问，并且提供外网的绑定 80 端口访问），防火墙右侧的粉色区域为模拟运营商的公网区域（需要在相邻的路由上配置端口加密），运营商的网络部分涉及到搭建 OSPF 2 以及右侧蓝色区域的 RIP 路由配置，及 OSPF 2 与 RIP 之间的相互引入，右上角的区域用于模拟外网（通过运营商连接的公网机器）来访问内网的模拟机器。

接下来的所演示的配置信息都将围绕这个模拟的拓扑图展开

---

习题一：设备重命名 & 关闭信息中心

要求： 按照拓扑要求对所有网络设备进行重新的命名，为了方便查看和配置关闭所有设备的信息中心功能，停止记录设备的日志和 Debug 信息。

实操步骤： 需要在每一台终端设备中操作（PC、Client、Server 除外）

配置的代码思路部分如下：

<Huawei>system-view 
//切换系统视图
[Huawei]sysname + 设备名称
//改名
[Huawei]undo info-center enable
//关闭Debug信息

提示： 没啥难度，就是设备多，不要遗漏

---

习题二：IP 地址配置 & VLAN 划分

要求： 按照网络配置的要求为各个区域的网络设备和计算机配置合理的 IP 地址和网关使其能够内网通讯，并且按照网络拓扑的要求在交换机上划分对应的 VLAN，并将其对应的物理端口划入到对应的 VLAN 中

（1）划分 VLAN（vlan10、20、30、40）

根据提示的拓扑，完成 VLAN 的划分（这里是 vlan10、20、30、40），需要在 L3-SW 上操作（两台设备都要操作），先进入 L3-SW1 上创建 vlan

L3-SW1 的代码部分如下（*注意：在 L3-SW2 配置 vlanif 的 ip 时，不能使用和 L3-SW1 一模一样的 ip，必须同网段，不能同 ip）：

[L3-SW1]vlan batch 10 20 30 40
//使用vlan batch同时创建多个vlan
[L3-SW1]int vlan 10
//进入vlanif10，注意是"vlanif"而不是"vlan10"
[L3-SW1-Vlanif10]ip add 192.168.3.1 24
//添加ip地址（此地址将作为下层对应vlan下PC的网关ip）//剩余的vlan20，30，40也是同理
[L3-SW1-Vlanif10]int vlan 20
[L3-SW1-Vlanif20]ip add 192.168.53.1 24
[L3-SW1-Vlanif20]int vlan 30
[L3-SW1-Vlanif30]ip add 192.168.63.1 24
[L3-SW1-Vlanif30]int vlan 40
[L3-SW1-Vlanif40]ip add 192.168.73.1 24

L3-SW2 的配置如下（注意 ip 地址的变动）：

[L3-SW1]vlan batch 10 20 30 40
//使用vlan batch同时创建多个vlan
[L3-SW1]int vlan 10
[L3-SW1-Vlanif10]ip add 192.168.3.2 24
//添加ip地址（此地址将作为下层对应vlan下PC的网关ip）//剩余的vlan20，30，40也是同理，注意ip变成.2了
[L3-SW1-Vlanif10]int vlan 20
[L3-SW1-Vlanif20]ip add 192.168.53.2 24
[L3-SW1-Vlanif20]int vlan 30
[L3-SW1-Vlanif30]ip add 192.168.63.2 24
[L3-SW1-Vlanif30]int vlan 40
[L3-SW1-Vlanif40]ip add 192.168.73.2 24

提示： 配置 vlan ip 的时候，不要进入到错误的 vlan 下，此外注意自己的网关和这个要对应。

（2）配置端口模式，放行所有 VLAN

（2-1）在 L3-SW1 和 L3-SW2 上配置下层接口为 Trunk 模式

L3-SW1 的代码部分如下（*注意：L3-SW2 也要进行相同配置）：

[L3-SW1]int g0/0/1
//进入g0/0/1口
[L3-SW1-GigabitEthernet0/0/1]port link-type trunk
//配置端口类型为Trunk模式
[L3-SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan all
//放行所有vlan
//剩下的g0/0/2，3，4都是同理
[L3-SW1-GigabitEthernet0/0/1]int g0/0/2
[L3-SW1-GigabitEthernet0/0/2]port link-type trunk
[L3-SW1-GigabitEthernet0/0/2]port trunk allow-pass vlan all
[L3-SW1-GigabitEthernet0/0/2]int g0/0/3
[L3-SW1-GigabitEthernet0/0/3]port link-type trunk
[L3-SW1-GigabitEthernet0/0/3]port trunk allow-pass vlan all
[L3-SW1-GigabitEthernet0/0/3]int g0/0/4
[L3-SW1-GigabitEthernet0/0/4]port link-type trunk
[L3-SW1-GigabitEthernet0/0/4]port trunk allow-pass vlan all

提示： L3-SW1 和 SW2 都需要放行 vlan，且在 L2-SW3/4/5/6 的连接 PC 的 Eth0/0/1 接口，需要配置为 Access 模式，并划分归属到对应 vlan 内。其余的设备之间连接的设置为 Trunk 模式

（2-2）在 L2-SW3/4/5/6 上配置接口对应的模式

L2-SW3 的代码部分（L2-SW4/5/6 可能稍有不一样，但是思路一样）：

[L2-SW3]int g0/0/2
//进入上层g0/0/2口
[L2-SW3-GigabitEthernet0/0/2]port link-type trunk
//配置与其上层一样的接口模式（这里为trunk模式）
[L2-SW3-GigabitEthernet0/0/2]port trunk allow-pass vlan all
//放行所有vlan
[L2-SW3-GigabitEthernet0/0/2]int g0/0/1
[L2-SW3-GigabitEthernet0/0/1]port link-type trunk
[L2-SW3-GigabitEthernet0/0/1]port trunk allow-pass vlan all[L2-SW3-GigabitEthernet0/0/1]int e0/0/1
//进入下层e0/0/1接口
[L2-SW3-Ethernet0/0/1]port link-type access
//配置接口模式为access模式
[L2-SW3-Ethernet0/0/1]q
//暂时退出这个接口的配置界面
[L2-SW3]vlan 10
//创建vlan10
[L2-SW3-vlan10]q
//退出vlan10
[L2-SW3]int e0/0/1
//再次进入下层的e0/0/1接口
[L2-SW3-Ethernet0/0/1]port default vlan 10
//划分到属于vlan10

提示： L2-SW3/4/5/6 会涉及到层的交会，与上层 L3-SW 的接口需要设置为 Trunk 模式（并放行所有 vlan），与下层涉及到的接口需要配置成 Access 模式，并且划分到对应 vlan 内。*注意：2 层交换机创建的 vlan 不需要配置 ip 地址

验证部分

（1）在 PC1 输入对应的 ip 地址信息（我这里给 PC 的 ip 地址是 192.168.3.2/24）

（2）使用 PC1 去 Ping 上层配有 vlan10 的 L3-SW1，验证是否正确

配置好后，当所有设备都可以 Ping 通网关，即为成功（下图分别为 PC1/2/3/4 的截图）：

---

习题三：配置聚合链路（LACP 模式）

要求： 在 L3-SW1 和 L3-SW2 之间配置聚合链路，并且设置聚合链路的模式为 LACP，设置 L3-SW1 为主动端

（1）在 L3-SW1 上配置 Eth-Trunk 23（主动端）

[L3-SW1]int eth-trunk 23
//创建名叫eth-trunk23的聚合链路
[L3-SW1-Eth-Trunk23]mode lacp-static
//设置模式为lacp模式
[L3-SW1-Eth-Trunk23]q
//暂时退出eth-trunk23
[L3-SW1]lacp priority 100
//配置lacp的系统级的优先级，主动端设置为100，L3-SW2设置为200
[L3-SW1]int eth-trunk 23
//再次进入到eth-trunk23
[L3-SW1-Eth-Trunk23]trunkport GigabitEthernet 0/0/22 to 0/0/23
//将需要聚合的端口划分到这个聚合链路里面
[L3-SW1-Eth-Trunk23]port link-type trunk
//设置聚合链路的类型为trunk
[L3-SW1-Eth-Trunk23]port trunk allow-pass vlan all
//放行所有vlan

（2）在 L3-SW2 上配置对端聚合链路（优先级 200）

聚合链路的数字是自定义的，这里以需要加入聚合端口号来命名（22 端口和 23 端口的组合，即为 23）。只需要确保两端端口号一样即可。

验证部分

（1）使用查看 STP 的命令检查 L3-SW2 的聚合链路是否创建成功

可以看到 G0/0/22 和 23 已经合成一个 Eth-Trunk 23 的虚拟接口，即为成功。

（2）查看刚刚创建的聚合链路指令，看优先级（主/被动端）

提示： 聚合链路的本质是将交换机的多个端口聚合成一个链路，从而间接地实现增加带宽的效果。在交换机两端配置聚合链路的时候必须确保名字一样（也就是那个 0~63 的数字）。LACP 是聚合链路中的一种模式（交换机自动协商，可设置系统优先级的高或者低）

---

习题四：配置 MSTP 配合 VRRP 实现冗余链路和负载均衡

要求： 在内网的 L3-SW1~SW4 交换机上配置 MSTP 使其配合 VRRP 协议实现冗余链路和负载均衡。

（1）配置 L3-SW1 上的基础 MSTP 服务

[L3-SW1]stp region-configuration
//开启stp服务
[L3-SW1-mst-region]region-name huawei
//给服务起名为huawei
[L3-SW1-mst-region]instance 1 vlan 10 30
//将vlan10 vlan30划分到区域1
[L3-SW1-mst-region]instance 2 vlan 20 40
//将vlan20 vlan40划分到区域2
[L3-SW1-mst-region]active region-configuration 
//启动服务[L3-SW1]stp instance 1 root primary
//在L3-SW1里设置区域1为根桥（master）
[L3-SW1]stp instance 2 root secondary 
//在L3-SW1里设置区域2为备用（secondary）

（2）在 L3-SW2 配置 MSTP 服务（根桥设置与 L3-SW1 相反）

//基础信息配置与L3-SW1相同
//注意：以下内容需要更改
[L3-SW2]stp instance 2 root primary
//在L3-SW2里设置区域2为根桥（master）
[L3-SW2]stp instance 1 root secondary 
//在L3-SW2里设置区域1为备用（secondary）

（3）将 MSTP 配置信息宣告给局域网内其他交换机

L3-SW2、L2-SW3、L2-SW4、L2-SW5、L2-SW6 都需要配置，使用以下命令打印并复制配置：

[L3-SW1-mst-region]dis this 
#
stp region-configurationregion-name huaweiinstance 1 vlan 10 30instance 2 vlan 20 40active region-configuration
#
return
//将以上的结果打印出来，后面需要在每一台交换机里执行

（4）配置边缘端口

边缘端口需要配置的位置：所有 2 层交换机上与 PC 连接的端口，3 层交换机上连接路由器的端口。

（4-1）在 L3-SW1 和 L3-SW2 上配置边缘端口：

[L3-SW1]int g0/0/24
//进入3层交换机的与AR连接的端口
[L3-SW1-GigabitEthernet0/0/24]stp edged-port enable
//设置边缘端口

（4-2）在 L2-SW3/4/5/6 上配置边缘端口：

[L2-SW3]int e0/0/1
//进入2层交换机的与PC接入的接口
[L2-SW3-Ethernet0/0/1]stp edged-port enable
//配置边缘端口模式

---

习题五：配置 VRRP

要求： 在 L3-SW1 和 L3-SW2 上配置 VRRP，其中设置 VLAN10、30 的 Master 节点为 L3-SW1，设置 VLAN20、40 的 Master 节点为 L3-SW2

（1）配置虚拟 IP

我划分的 vlan 虚拟 ip 规划如下图所示：

（1-1）L3-SW1 的配置命令如下：

[L3-SW1]int vlan10
[L3-SW1-Vlanif10]vrrp vrid 10 virtual-ip 192.168.3.254
[L3-SW1-Vlanif10]int vlan20
[L3-SW1-Vlanif20]vrrp vrid 20 virtual-ip 192.168.53.254
[L3-SW1-Vlanif20]int vlan30
[L3-SW1-Vlanif30]vrrp vrid 30 virtual-ip 192.168.63.254
[L3-SW1-Vlanif30]int vlan40
[L3-SW1-Vlanif40]vrrp vrid 40 virtual-ip 192.168.73.254

（1-2）L3-SW2 的配置命令如下（vrrp 地址和名称与 L3-SW1 一模一样）：

[L3-SW2]int vlan 10
[L3-SW2-Vlanif10]vrrp vrid 10 virtual-ip 192.168.3.254
[L3-SW2-Vlanif10]int vlan 20
[L3-SW2-Vlanif20]vrrp vrid 20 virtual-ip 192.168.53.254
[L3-SW2-Vlanif20]int vlan 30
[L3-SW2-Vlanif30]vrrp vrid 30 virtual-ip 192.168.63.254
[L3-SW2-Vlanif30]int vlan 40
[L3-SW2-Vlanif40]vrrp vrid 40 virtual-ip 192.168.73.254

（2）设置主/次优先级

*核心：优先级越大，则为 Master。

（2-1）提高 L3-SW1 的 vlan10、30 的优先级（设置为 150）：

[L3-SW1]int vlan 10
[L3-SW1-Vlanif10]vrrp vrid 10 priority 150
[L3-SW1-Vlanif10]int vlan 30
[L3-SW1-Vlanif30]vrrp vrid 30 priority 150 

（2-2）在 L3-SW2 配置 vlan20、40 的优先级（同样为 150）：

[L3-SW2]int vlan 20
[L3-SW2-Vlanif20]vrrp vrid 20 priority 150
[L3-SW2-Vlanif20]int vlan 40
[L3-SW2-Vlanif40]vrrp vrid 40 priority 150

验证部分

使用 dis vrrp brief 查看 L3-SW1 的配置情况：

可以看到已经配置成功（分配了 Master 和 Backup）。

使用 dis stp brief 查看 L3-SW1 的 STP 配置情况：

---

习题六：配置 VLAN50 的 DHCP 服务

要求： 设置 VLAN50 的地址方式为 DHCP 获取，并且在 L3-SW8 上为 VLAN50 配置 DHCP 服务（其中 DNS 设置为内网的 DNS 服务器的地址），使其能够正常获取 IP 地址

（1-1）在 L2-SW10 和 L3-SW8 上配置基础端口及 VLAN50

//进入L2-SW10配置：
[L2-SW10]vlan 50
[L2-SW10-Vlanif50]q
[L2-SW10]int g0/0/2
[L2-SW10-GigabitEthernet0/0/2]port link-type access
[L2-SW10-GigabitEthernet0/0/2]port default vlan 50
[L2-SW10-GigabitEthernet0/0/2]int g0/0/1
[L2-SW10-GigabitEthernet0/0/2]port link-type trunk
[L2-SW10-GigabitEthernet0/0/2]int g0/0/1 port trunk allow-pass vlan all//进入L3-SW8配置：
[L3-SW8]int g0/0/2
[L3-SW8-GigabitEthernet0/0/2]port link-type trunk
[L3-SW8-GigabitEthernet0/0/2]port trunk allow-pass vlan all

（1-2）在 L3-SW8 上配置 IP 地址池和 DNS

[L3-SW8]ip pool pc5pool
//创建地址池，命名为pc5pool
[L3-SW8-ip-pool-pc5pool]network 172.16.3.0 mask 255.255.255.0
//设置地址池范围，掩码/24
[L3-SW8-ip-pool-pc5pool]gateway-list 172.16.3.1
//设置网关（vlan50的接口ip）
[L3-SW8-ip-pool-pc5pool]dns-list 10.10.3.2
//根据题目要求，配置内网dns服务器的ip

（2）在 PC 上选择"DHCP"自动获取 IP 地址

验证部分

可以获取到 ip 地址，即为成功：

---

习题七：防火墙区域划分 & 放行 ICMP

要求： 设置 FW1 连接内网的区域为 Trust，连接外网的区域为 Untrust，连接服务器区域的为 DMZ。并且为了测试全部区域放行 ICMP 协议

为了便于操作，防火墙的配置将使用图形化界面操作

防火墙基础连接配置

（1-1）先选择 UDP 选项，点击"增加"按钮：

（1-2）选择 VMnet8 网卡，点击"增加"按钮：

（2-1）UDP 网卡的端口映射：入端口编号为 1，出端口编号为 2（注意：正确的地址为 192.168.153.1）：

（2-2）VMnet8 网卡的端口映射：入端口编号为 2，出端口编号为 1（出入端口编号一定要和 UDP 反着来）：

配置防火墙远程访问

（3-2）输入密码，按照提示进入防火墙：

（3-3）配置与 Cloud 连接的端口 ip，并放行连接协议 service-manage all permit：

*注意：一定要在防火墙的 g0/0/0 口配置（因为 g0/0/0 口是管理口，只有连接这个口了，才能远程连接）。

（3-4）在浏览器中输入刚刚设置的 ip 地址（我这里设置的是 192.168.153.153）：

（3-5）访问图形化后台界面，输入密码登录，按照下图数字顺序打开区域配置：

配置 Trust 区域（内网）

选取对应的端口为 Trust（g1/0/0、g1/0/1）：

配置 Untrust 区域（外网）

选取对应的端口为 Untrust（g1/0/3）：

配置 DMZ 区域（服务器区）

选取对应的端口为 DMZ（g1/0/2）：

DMZ（非军事化管理区域）：将需要给外网访问、但又不能直接放进内网的服务器放在这里，防止服务器被攻破后波及内网核心数据。

全部区域放行 ICMP 协议

（1）依次找到"策略" → "安全策略" → "新建安全策略"：

（2）配置放行 ICMP 的策略：

---

习题八：内网配置 OSPF 1

要求： 在内网中配置 OSPF 协议，进程为 1，使其内网网络联通

内网网络为：L3-FW1、L3-SW1 和 L3-SW2 三台设备之间的配置。

（1）配置 FW1 的端口名字及端口 ip

<USG6000V1>sys
[USG6000V1]sysname FW1
[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip address 10.10.3.1 29
//注意：这里的掩码为非标准掩码！
[FW1-GigabitEthernet1/0/0]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip address 10.20.3.1 29

（2）配置 FW1 上的 OSPF 1

[FW1]router id 1.1.1.1
[FW1]OSPF 1
[FW1-ospf-1]area 0
[FW1-ospf-1-area-0.0.0.0]network 10.10.3.0 0.0.0.7
//注意：这里是非标准掩码，反掩码为0.0.0.7
[FW1-ospf-1-area-0.0.0.0]network 10.20.3.0 0.0.0.7
[FW1-ospf-1-area-0.0.0.0]quit
//防火墙退出时不能使用q，必须使用全拼quit

（3）在 L3-SW1 上的配置

（3-1）端口信息配置（创建 vlan2，配 ip 给 g0/0/24 口）：

[L3-SW1]vlan 2
[L3-SW1-vlan2]q
[L3-SW1]int vlan 2
[L3-SW1-Vlanif2]ip address 10.10.3.2 29
[L3-SW1-Vlanif2]q
[L3-SW1]int g0/0/24
[L3-SW1-GigabitEthernet0/0/24]port link-type access
[L3-SW1-GigabitEthernet0/0/24]port def vlan 2
//把vlan2划分给g0/0/24

（3-2）OSPF 1 配置（内网所有网段都要宣告）：

[L3-SW1]router id 2.2.2.2
[L3-SW1]ospf 1
[L3-SW1-ospf-1]area 0
[L3-SW1-ospf-1-area-0.0.0.0]network 10.10.3.0 0.0.0.7
[L3-SW1-ospf-1-area-0.0.0.0]network 192.168.3.0 0.0.0.255
[L3-SW1-ospf-1-area-0.0.0.0]network 192.168.53.0 0.0.0.255
[L3-SW1-ospf-1-area-0.0.0.0]network 192.168.63.0 0.0.0.255
[L3-SW1-ospf-1-area-0.0.0.0]network 192.168.73.0 0.0.0.255
//内网的所有网段都需要宣告

L3-SW2 也是同理，这里不再展示，配好即可。

---

习题九：互联网区域配置 OSPF 2 及加密认证

要求： 在互联网的 AR2-AR4 区域上配置 OSPF 路由进程为 2，并且在连接 FW1 和 AR2 的路由器接口上开启 OSPF 的加密认证，密码为 admin@123

（1）配置 OSPF 2

（1-1）进入 AR2 配置端口 ip 地址（AR3、AR4 同理）：

[AR2]int g0/0/0
//进入与FW1连接的接口，FW1配置的是202.108.100.1/29，所以这里配置202.108.100.2/29
[AR2-GigabitEthernet0/0/0]ip address 202.108.100.2 29
[AR2-GigabitEthernet0/0/0]int g0/0/1
[AR2-GigabitEthernet0/0/1]ip add 202.3.101.1 29
[AR2-GigabitEthernet0/0/1]int g0/0/2
[AR2-GigabitEthernet0/0/2]ip add 202.3.102.1 29

（1-2）进入 AR2 配置 OSPF 2（AR3、AR4 同理）：

[AR2]ospf 2
[AR2-ospf-2]area 0
[AR2-ospf-2]network 202.3.101.0 0.0.0.7
[AR2-ospf-2]network 202.3.102.0 0.0.0.7 
[AR2-ospf-2]network 202.108.100.0 0.0.0.7 
//注意：与FW1连接的网段也需要配置，且掩码为0.0.0.7（对应/29）

提示： 在配置 AR3 的路由时，需要把 G0/0/2 口的这个网段也划分到 OSPF 2 中，但是 AR4 配置的时候，则不需要把 G0/0/2 口划分到 OSPF 2 中（后面会配置 RIP 路由）

验证部分

使用 AR4 去 ping OSPF 2 中不同端口 ip，验证联通情况。

（2）配置 FW1 与 AR2 的 OSPF 加密认证（MD5 方式）

（2-1）配置命令格式：

ospf authentication-mode md5 1 cipher + 你的密码

（2-2）在 AR2 和 FW1 对应端口配置：

[AR2]int g0/0/0
[AR2-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher admin@123[FW1]int g1/0/3
[FW1-GigabitEthernet1/0/3]ospf authentication-mode md5 1 cipher admin@123

提示： 由于还没有配置内外网区域的协议相互引入，所以这里 ping 不通是属于正常现象。通常情况下，外网配置 OSPF 的加密，内网不需要。

---

习题十：配置 RIP 路由 & OSPF-RIP 相互引入

要求： 在 AR4 和 L3-SW8 上开启 RIP 路由，并且实现互联网区域的 OSPF 和 RIP 之间互相引入，实现网络的联通

设备划分思路：

设备	运行的路由协议	作用
AR2/AR3	只运行 OSPF 2	只和 OSPF 域内的设备（AR4）交换路由
AR4	同时运行 OSPF 2 + RIP 1	一边连 OSPF 域（AR2/AR3），一边连 RIP 域（L3-SW8）
L3-SW8	只运行 RIP 1	只和 RIP 域内的设备（AR4）交换路由

（1-1）配置 L3-SW8 的 IP 及 vlan2 基础操作

[L3-SW8]vlan batch 2 50 60
[L3-SW8]int vlan 2
[L3-SW8-Vlanif2]ip add 204.108.100.2 24
[L3-SW8]int g0/0/1
[L3-SW8-GigabitEthernet0/0/1]port link-type acc
[L3-SW8-GigabitEthernet0/0/1]port default vlan 2

（1-2）验证环节

使用已经配置好的接口 ping AR4 的端口 IP，发现可以 ping 成功：

（2）划分 vlan50、60 的配置

vlan50 的划分：

[L3-SW8]int vlan 50
[L3-SW8-Vlanif50]ip address 172.16.3.1 24
[L3-SW8]int g0/0/2
[L3-SW8-GigabitEthernet0/0/2]port link-type trunk
[L3-SW8-GigabitEthernet0/0/2]port trunk allow-pass vlan all[L2-SW10]int g0/0/1
[L2-SW10-GigabitEthernet0/0/1]port link-type trunk
[L2-SW10-GigabitEthernet0/0/1]port trunk allow-pass vlan all[L2-SW10]vlan 50
[L2-SW10-vlan50]q
[L2-SW10]int g0/0/2
[L2-SW10-GigabitEthernet0/0/2]port link-type access
[L2-SW10-GigabitEthernet0/0/2]port default vlan 50

vlan60 也是同理，需注意 vlan60 配置时，下层 PC 的接口是 Eth0/0/1，而非 G0/0/1

验证环节： 使用对应的 PC 去 ping 它们自己的网关，发现可以 ping 通：

（3）RIP 路由配置

（3-1）在 AR4 上的操作：

[AR4]rip 1
[AR4-rip-1]version 2
[AR4-rip-1]network 204.108.100.0
//将与L3-SW8连接的这个端口绑定到Rip路由中

（3-2）在 L3-SW8 上的操作：

[L3-SW8]rip 1
[L3-SW8-rip-1]version 2
[L3-SW8-rip-1]network 172.16.0.0
[L3-SW8-rip-1]network 204.108.100.0
//添加两个IP地址：172.16.x.x各网段的主类网络地址，以及与AR4连接的网段地址

提示： RIP 路由在创建时，network 命令只写主类网络的网络号，不能写子网段（比如 172.16.3.0 是子网，172.16.0.0 才是主类）。

（4）RIP 路由和 OSPF 的相互引入

核心思路：只需在 AR4 上操作，不需要在 L3-SW8 上配置相互引入（因为 L3-SW8 只有 RIP 一个协议，而 AR4 同时有 OSPF 2 和 RIP）。

[AR4]ospf 2
[AR4-ospf-2]import-route rip 1
//在OSPF 2中引入RIP 1的路由
[AR4]rip 1
[AR4-rip-1]import-route ospf 2
//在RIP 1中引入OSPF 2的路由

验证环节： 使用 PC6 去 ping AR2 的 202.3.102.1 和 AR3 的 202.3.103.2：

可以看到可以收到来自于 AR2 和 AR3 的回复包，即为成功

---

习题十一：配置 DNS 解析 & WWW 服务

要求： 设置内网服务器区域的 WWW 服务器的 http 服务，实现内网客户端通过域名成功访问到 WWW 服务，其中设置 DNS 的解析为 www.test.com 解析到 WWW 服务器的 IP 上

（1）在 FW1 上的配置

（1-1）给 FW1 G1/0/2 配置服务器段网关：

[FW1]system-view
[FW1]interface GigabitEthernet1/0/2
//进入G1/0/2接口（DMZ区，已加入dmz zone，无需再加）
[FW1-GigabitEthernet1/0/2]ip address 10.10.4.254 24
//配置服务器段网关IP为10.10.4.254/24（避开所有重叠网段）
[FW1-GigabitEthernet1/0/2]quit

（1-2）将服务器段加入 OSPF，让内网互通：

[FW1]ospf 1
[FW1-ospf-1]area 0
[FW1-ospf-1-area-0.0.0.0]network 10.10.4.0 0.0.0.255
//把10.10.4.0/24加入OSPF区域0（反掩码0.0.0.255对应掩码24）
[FW1-ospf-1-area-0.0.0.0]quit
[FW1-ospf-1]quit
[FW1]quit
<FW1>save

操作目的： 将 DNS/WWW 服务器段调整为不重叠的网段（10.10.4.0/24），网关放在 FW1 的 G1/0/2（DMZ 区），同时把该网段加入 OSPF，让内网 L3-SW1/2 能通过 OSPF 学习到路由

（2）在 DNS 服务器上的配置

（3）在 WWW 服务器上的配置

（4）在防火墙上放行 DNS 和 HTTP 协议

进入防火墙，新建一条策略（放行 DMZ 区域）：

（5）添加内网 Client 客户端

在 L3-SW1 的 G0/0/5 口添加 Client（只需将此口划分到 vlan10 即可）：

在 L3-SW1 上将 G0/0/5 划分到 vlan10：

<L3-SW1>system-view 
[L3-SW1]int g0/0/5
[L3-SW1-GigabitEthernet0/0/5]port link-type access
[L3-SW1-GigabitEthernet0/0/5]port default vlan 10

验证部分

（1）使用内网 Client 访问 10.10.4.3 这个 IP 地址，可以正常解析到文件：

（2）使用内网 Client 访问 www.test.com，依旧可以解析到文件：

---

习题十二：配置 NAT 实现内网访问互联网

要求： 在防火墙 FW1 上通过配置 NAT 实现内网访问互联网

步骤一： 新建 NAT 策略

配置策略（出接口地址，默认是下一跳的外网地址，即 AR2 上配置的 IP 地址）：

提示： 也可以选择新建唯一 ip 的地址池，配置单独的出接口地址。如果要自己配置唯一 ip 的地址池，需要勾选"允许端口地址转化"选项：

步骤二： 新建安全策略（Trust → Untrust）

配置缺省路由：（当路由器找不到更精确的路由条目时，唯一的最后出口）

打开"缺省路由"选项：

测试部分： 使用 PC1 去 ping 外网 Client1 的 IP 以及 PC6 的 IP：

可以看到可以 ping 通，即为验证配置成功。

---

习题十三：配置 NAT 发布，外网访问内网 WWW 服务

要求： 在防火墙 FW1 上配置 NAT 发布，使其互联网通过访问防火墙的外部端口可以访问到内网 WWW 服务的 80 端口。

步骤一： 创建一个安全策略（外网访问 DMZ 区域）

添加一条 80 端口的服务器映射：

提示： 黑洞路由（可选），主要目的是将外网访问其他非指定的内网 IP 直接丢包。

验证部分： 点击"诊断"按钮，测试是否联通，并启用端口映射

使用外网 Client1 机器访问 FW1 的 ip 地址（由于没有配置域名绑定，所以使用域名访问不到）：

可以成功访问，即为配置没问题

---

习题十四：配置 ACL 控制，VLAN20 与 VLAN40 不能互相访问

要求： 在内网中配置 ACL 控制，使其 VLAN20 和 VLAN40 两个网段不能互相访问。

配置思路如下：

• 使用高级 ACL 3000：需同时匹配源 IP + 目的 IP，精准拦截 V20↔V40，不影响其他网段
• 应用位置：选择在 Vlanif20、Vlanif40 接口入方向设置（流量进入三层网关时拦截，效率最高）
• 规则逻辑：
  • 拒绝 VLAN20 源 IP 访问 VLAN40 目的 IP
  • 拒绝 VLAN40 源 IP 访问 VLAN20 目的 IP
  • 无需额外配置 permit any any：华为接口入方向应用 ACL 时，未匹配的流量默认放行（避免误拦截其他网段）

步骤一：在 L3-SW1 上的配置

# 1. 为Vlanif20创建ACL 3001（拦截V20→V40）
[L3-SW1]acl number 3001 name deny1-V20-to-V40
[L3-SW1-acl-adv-deny-V20-to-V40]rule 5 deny ip source 192.168.53.0 0.0.0.255 destination 192.168.73.0 0.0.0.255
[L3-SW1-acl-adv-deny-V20-to-V40]quit# 2. 为Vlanif40创建ACL 3002（拦截V40→V20）
[L3-SW1]acl number 3002 name deny2-V40-to-V20
[L3-SW1-acl-adv-deny-V40-to-V20]rule 5 deny ip source 192.168.73.0 0.0.0.255 destination 192.168.53.0 0.0.0.255
[L3-SW1-acl-adv-deny-V40-to-V20]quit# 3. 将ACL 3001绑定到Vlanif20入方向
[L3-SW1]interface Vlanif20
[L3-SW1-Vlanif20]traffic-filter inbound acl 3001
[L3-SW1-Vlanif20]quit# 4. 将ACL 3002绑定到Vlanif40入方向
[L3-SW1]interface Vlanif40
[L3-SW1-Vlanif40]traffic-filter inbound acl 3002
[L3-SW1-Vlanif40]quit# 验证配置（可选）
[L3-SW1]dis acl all        # 查看ACL规则
[L3-SW1]dis cu interface Vlanif20   # 查看Vlanif20配置
[L3-SW1]dis cu interface Vlanif40   # 查看Vlanif40配置

步骤二：在 L3-SW2 上的配置（与 L3-SW1 大同小异）

# 1. 创建ACL 3001（拦截V20→V40）
[L3-SW2]acl number 3001 name deny1-V20-to-V40
[L3-SW2-acl-adv-deny-V20-to-V40]rule 5 deny ip source 192.168.53.0 0.0.0.255 destination 192.168.73.0 0.0.0.255
[L3-SW2-acl-adv-deny-V20-to-V40]quit# 2. 创建ACL 3002（拦截V40→V20）
[L3-SW2]acl number 3002 name deny2-V20-to-V40
[L3-SW2-acl-adv-deny-V20-to-V40]rule 5 deny ip source 192.168.73.0 0.0.0.255 destination 192.168.53.0 0.0.0.255
[L3-SW2-acl-adv-deny-V20-to-V40]quit# 3. 绑定ACL到接口
[L3-SW2]interface Vlanif20
[L3-SW2-Vlanif20]traffic-filter inbound acl 3001
[L3-SW2-Vlanif20]quit
[L3-SW2]interface Vlanif40
[L3-SW2-Vlanif40]traffic-filter inbound acl 3002
[L3-SW2-Vlanif40]quit# 验证配置（可选）
[L3-SW2]dis acl all

提示： 在 L3-SW1/2 配置 ACL 时需要注意，命名不可以重复（如这里使用 deny1-V20-to-V40、deny2-V20-to-V40 区分），ACL 规则编号也不能重复（如这里使用 3001 和 3002 区分）。

验证环节

可以看到，使用 PC4 去 ping 属于 vlan20 的 PC（53 网段）全部超时，再次去 ping 属于 vlan10 的 PC（3 网段）可以成功，证明 ACL 规则配置没有问题。

---

至此，本次的分析到此结束，如果您能完全理解，那么恭喜你，你已经成功掌握最基础的企业级复合网络！

感谢您的阅读(*/ω＼*)