目录概览
- 核心转发层:路由器(Router) - 网络互联互通的"总调度中心"
- 数据交换层:交换机(Switch) - 局域网内部互通的"交通枢纽"
- 安全边界层:防火墙(Firewall) - 实现安全域隔离的"守门员"
- 无线接入层:WLAN设备 - 有线无线一体化的"移动接入网关"
- 终端与仿真层 - 连通性验证与外部网络模拟
一、核心转发层:路由器(Router)
1.1 设备定位与精细化选型
| 设备型号 |
层级定位 |
典型角色 |
模拟场景 |
2024-2025新增特性 |
| AR1220 |
接入层 |
中小企业出口网关 |
基础实验、实验室环境 |
支持IPv6基础功能 |
| AR2220 |
接入/汇聚 |
分支路由器、小型园区网关 |
最常用,资源消耗低 |
支持OSPFv3、BGP多协议扩展 |
| AR3260 |
核心/汇聚 |
大型园区出口、MPLS PE设备 |
高性能路由、复杂策略 |
支持SRv6、Segment Routing |
| AR6000系列 |
核心 |
新一代企业路由器 |
高端场景、SD-WAN模拟 |
eNSP Pro新增,支持SD-WAN、智能选路 |
| NE40E |
核心 |
运营商边缘、大规模BGP |
高级协议验证(资源消耗大) |
支持EVPN、VXLAN网关 |
1.2 互联互通关键技术
基础路由协议
- 静态路由:适用于小型网络或默认路由配置
- RIP v1/v2:距离矢量协议,适用于小型网络
- OSPF:链路状态协议,支持单区域/多区域、NSSA、Totally Stub区域
- IS-IS:运营商级协议,支持Level-1/Level-2区域划分
高级路由协议
- BGP:eBGP(外部)、iBGP(内部)、BGP路由反射器、联盟
- 路由引入(Import):协议间路由重分发
- 路由策略(Route-Policy):基于ACL、前缀列表、Community属性的精细化控制
- PBR(策略路由):基于源地址、目的地址、协议类型的数据流导向
广域网(WAN)技术
- 链路层协议:HDLC、PPP(PAP/CHAP认证)、FR(帧中继)
- 接入技术:PPPoE(拨号上网)、MPLS(标签交换)
- 隧道技术:GRE、IPSec、L2TP
地址转换与服务发布
- NAT类型:No-PAT(一对一)、NAPT(多对一)、Easy-IP(动态PAT)
- NAT Server:内网服务器对外发布(端口映射)
- NAT ALG:应用层网关,支持FTP、SIP等协议穿越
1.3 典型应用场景
场景1:总部-分支互联
拓扑:AR1(总部,AR3260) <---> WAN链路 <---> AR2(分支,AR2220)
技术栈:
- 链路层:PPP over 串口(或以太网模拟)
- 路由协议:OSPF多区域(Area 0 + Area 1)
- 安全加固:PPP CHAP认证 + ACL访问控制
- 备份链路:静态路由浮动静态路由实现主备切换
验证点:
- 分支内网用户可访问总部资源
- 路由表学习正确,无路由环路
- 链路故障时自动切换备份路径
场景2:多出口智能选路
拓扑:内网 <---> 核心路由器(AR3260/AR6000) <---> 运营商A/运营商B
技术栈:
- 双WAN口配置:GigabitEthernet0/0/0(电信)、GigabitEthernet0/0/1(联通)
- 策略路由(PBR):基于源地址分流(如财务部走电信,研发部走联通)
- NQA(网络质量分析):实时监测链路质量,动态调整路由
- NAT配置:双出口NAT,确保回程路径一致
验证点:
- 不同部门流量走指定出口
- 链路故障时自动切换
- 外网访问内网服务器正常(NAT Server)
场景3:MPLS VPN企业专网
拓扑:PE1(AR3260) <---> P路由器 <---> PE2(AR3260)
技术栈:
- MPLS基础:LDP标签分发、MPLS转发
- VPN实例:VRF(Virtual Routing Forwarding)隔离
- MP-BGP:VPNv4路由交换
- CE-PE连接:静态路由或OSPF
验证点:
- 不同VPN实例间路由隔离
- 同一VPN内跨站点通信正常
- 标签交换路径正确建立
华为eNSP模拟器综合实验之-多协议标签交换 MPLS
二、数据交换层:交换机(Switch)
2.1 设备精细化分类与应用
| 设备型号 |
层级 |
核心功能 |
适用场景 |
eNSP Pro支持情况 |
| S1720/S2700 |
接入层 |
纯二层交换、PoE供电 |
办公室、宿舍、小型工作组 |
完全支持 |
| S3700 |
接入层 |
二层+基础三层、VLAN、STP |
中小型企业接入层 |
完全支持 |
| S5700-LI |
接入/汇聚 |
基础三层、堆叠、QoS |
中型企业楼层汇聚 |
完全支持 |
| S5700-EI/SI |
汇聚/核心 |
全功能三层、MSTP、DHCP Snooping |
园区网核心、数据中心汇聚 |
完全支持 |
| S6700 |
核心 |
高性能三层、VXLAN(部分) |
大型园区核心、数据中心 |
部分功能受限 |
| CE6800 |
数据中心 |
VXLAN、EVPN、大二层、M-LAG |
云数据中心Spine-Leaf架构 |
eNSP Pro新增 |
| CE8800 |
核心数据中心 |
超高密度、400G/800G、智能无损 |
超大规模数据中心 |
不支持(资源限制) |
2.2 互联互通关键技术栈
二层技术
- VLAN:基于端口、MAC、协议、子网的VLAN划分
- Trunk:Dot1Q封装、Native VLAN、VLAN Pruning
- 生成树协议:STP(802.1D)、RSTP(802.1w)、MSTP(802.1s)
- 链路聚合:手工聚合、LACP(802.3ad)、负载分担算法
- 堆叠技术:iStack(盒式交换机堆叠)、CSS(框式交换机集群)
三层技术
- VLANIF接口(SVI):VLAN网关配置
- 三层路由:静态路由、OSPF(支持NSSA、Totally Stub)、BGP
- VRRP:虚拟路由器冗余协议,实现网关高可用
- DHCP服务:DHCP Server、DHCP Relay、DHCP Snooping(防欺骗)
高级特性
- QinQ:运营商接入,双层VLAN标签
- 端口安全:MAC地址绑定、端口隔离
- ACL:基于L2/L3/L4的访问控制
- QoS:流量分类、标记、调度、整形
- M-LAG :跨设备链路聚合(eNSP Pro新增)
2.3 典型应用场景深度解析
场景1:多部门VLAN互通
拓扑:PC1(VLAN10 财务) <---> S3700(接入) <---> S5700(核心) <---> PC2(VLAN20 研发)
技术栈:
- 接入层:端口划分VLAN,Trunk上行
- 核心层:VLANIF10/20配置网关,OSPF宣告直连网段
- 安全策略:ACL限制跨部门访问(如财务部禁止访问研发部)
- 冗余设计:双核心S5700 VRRP主备
验证点:
- 同部门内通信正常
- 跨部门按策略访问(允许/拒绝)
- 核心交换机故障时VRRP切换(<3秒)
场景2:链路冗余与负载均衡
拓扑:两台S5700堆叠(iStack) <---> 双上行 <---> 两台S3700接入
技术栈:
- 堆叠配置:堆叠ID、堆叠优先级、堆叠链路
- MSTP:实例1(VLAN10-100)根桥在S5700-1,实例2(VLAN101-200)根桥在S5700-2
- Eth-Trunk:LACP模式,负载分担基于源目MAC/IP
- 环路防护:BPDU Guard、Root Guard
验证点:
- 堆叠后逻辑为一台设备,管理IP统一
- 链路故障时流量自动切换(<1秒)
- 负载均衡效果验证(流量统计)
场景3:数据中心大二层网络
拓扑:Spine(CE6800) <---> Leaf(CE6800) <---> 服务器
技术栈:
- VXLAN:Overlay网络,VNI(VXLAN Network Identifier)划分
- EVPN:控制平面,BGP EVPN Type-2/3/5路由
- M-LAG:跨Leaf设备的链路聚合,实现服务器双活接入
- Anycast Gateway:分布式网关,优化东西向流量
验证点:
- 不同Leaf下的VM二层互通
- M-LAG主备切换无感知
- EVPN路由学习正确
三、安全边界层:防火墙(Firewall)
3.1 设备定位与选型
| 设备型号 |
定位 |
核心功能 |
适用场景 |
| USG6000V |
下一代防火墙 |
状态检测、IPS、AV、URL过滤 |
园区网边界、数据中心边界 |
| USG9500 |
高端防火墙 |
集群、高性能、高级威胁防护 |
大型企业核心、运营商 |
3.2 互联互通关键技术栈
基础安全
- 安全域:Trust(信任域)、Untrust(非信任域)、DMZ(隔离区)、Local(本地区)
- 安全策略:基于源/目的区域、地址、服务、时间、用户(与AD集成)的精细化控制
- NAT策略:源NAT、目的NAT、双向NAT
VPN技术
- IPSec VPN :
- Site-to-Site:总部-分支加密隧道
- Remote Access:SSL VPN、L2TP over IPSec
- IKEv1/v2:密钥交换协议,支持野蛮模式、NAT穿越
- SSL VPN:Web代理、端口转发、网络扩展
- GRE over IPSec:组播业务穿越
应用层安全
- ASPF(应用特定包过滤):深度包检测,支持FTP、H.323等协议
- IPS(入侵防御):签名库匹配,阻断攻击流量
- AV(防病毒):文件传输病毒检测
- URL过滤:黑白名单、分类过滤
- 用户认证:本地认证、AD/LDAP、RADIUS、TACACS+
3.3 典型应用场景深度解析
场景:内网服务器发布与安全防护
拓扑:Internet <---> USG6000V <---> Core Switch <---> Web Server(192.168.1.100)
技术栈:
- NAT Server:公网IP 203.0.113.1:80 映射到 192.168.1.100:80
- 安全策略:
- 源区域:Untrust,目的区域:DMZ
- 源地址:any,目的地址:Web Server
- 服务:HTTP/HTTPS
- 动作:允许 + 启用IPS/AV
- DoS防护:SYN Flood、HTTP Flood防护
- 日志审计:访问日志、威胁日志
验证点:
- 外网可访问Web服务(http://203.0.113.1)
- 非80/443端口访问被拒绝
- 模拟攻击被IPS阻断
场景:分支机构安全互联
拓扑:总部USG <---> IPSec VPN <---> 分支USG <---> 内网
技术栈:
- IPSec Phase 1:IKE SA(预共享密钥、AES-256、SHA2)
- IPSec Phase 2:IPSec SA(ESP、AES-256、隧道模式)
- 安全策略:仅允许特定网段互通(如10.1.0.0/16 <-> 10.2.0.0/16)
- DPD(Dead Peer Detection):隧道保活
验证点:
- 总部与分支内网互通
- 非授权网段访问被拒绝
- 隧道断开后自动重连
四、无线接入层:WLAN设备
4.1 设备组成与角色
| 设备类型 |
型号示例 |
核心功能 |
部署模式 |
| AC(无线控制器) |
AC6005、AC6605 |
集中管理AP、配置WLAN业务、用户认证 |
直连式、旁挂式(推荐) |
| AP(接入点) |
AP2050DN、AP4050DN、AirEngine 5760 |
无线信号覆盖、终端接入、CAPWAP隧道 |
瘦AP(FIT AP)模式 |
| STA(终端) |
Wireless Terminal |
无线客户端 |
手机、笔记本、IoT设备 |
4.2 互联互通关键技术栈
组网模式
- 直连式:AC直接连接AP,适用于小型网络
- 旁挂式:AC旁挂在核心交换机,通过VLAN通信(推荐)
- AC+L2/L3组网:二层/三层发现AP
业务配置
- SSID:服务集标识符,支持隐藏/广播、多SSID
- VAP(Virtual AP):WLAN-ID绑定VLAN,实现业务隔离
- CAPWAP隧道:控制隧道(UDP 5246)、数据隧道(UDP 5247)
- 射频管理:功率调整、信道优化、负载均衡
认证安全
- 开放认证:无密码,适用于访客
- WPA2-PSK:预共享密钥,适用于小型办公
- 802.1X:EAPOL(Extensible Authentication Protocol over LAN),与RADIUS集成
- Portal认证:Web重定向,支持短信、微信认证
- MAC认证:基于终端MAC地址
- WIDS/WIPS:无线入侵检测/防御
4.3 典型应用场景深度解析
场景:访客与办公网络隔离
拓扑:AC6605(旁挂核心) <---> Core Switch <---> AP4050DN <---> STA
技术栈:
- SSID配置:
- Office:WPA2-Enterprise(802.1X),VLAN 100,网关192.168.100.1
- Guest:Portal认证,VLAN 200,网关192.168.200.1
- 核心交换机:
- VLAN 100/200配置,ACL限制VLAN 200访问内网(仅允许访问Internet)
- DHCP Server:为两个VLAN分配地址池
- 认证系统:
- 802.1X:对接RADIUS(FreeRADIUS或Windows NPS)
- Portal:内置Portal服务器或外置
验证点:
- 办公终端通过802.1X认证接入
- 访客通过Portal页面认证
- 访客无法访问办公网段(ACL生效)
场景:高密场景无线覆盖(体育馆/会议室)
技术栈:
- AP部署:蜂窝式部署,信道规划(1/6/11或1/5/9/13)
- 射频调优:功率自动调整、信道自动选择
- 负载均衡:基于用户数、信号强度
- 漫游优化:802.11k/v/r(快速漫游)
- QoS:WMM(Wi-Fi Multimedia),语音/视频优先
验证点:
- 多用户并发接入稳定
- 漫游切换延迟<50ms
- 信号覆盖无死角
华为eNSP模拟器综合实验之- AC+AP无线网络调优与高密场景
五、终端与仿真层
5.1 设备类型与应用场景
| 设备类型 |
应用场景 |
关键技术 |
注意事项 |
| PC / Server |
模拟终端、Web/FTP服务器 |
IP配置、网关指向、服务搭建 |
支持HTTP/FTP/DHCP等基础服务 |
| Cloud(云) |
模拟互联网/运营商网络 |
绑定真实网卡、NAT映射 |
需要主机网络支持,注意安全 |
| Hub / Repeater |
老旧总线型网络实验 |
冲突域演示 |
已淘汰技术,仅用于教学 |
| Router/ Switch终端 |
设备CLI访问 |
Console/Telnet/SSH |
支持命令行调试 |
5.2 高级仿真技巧
- 抓包分析:Wireshark集成,分析协议交互
- 流量生成:使用PC发送ICMP/TCP/UDP流量
- 故障注入:手动shutdown接口、修改配置模拟故障
- 性能测试:iperf3测试带宽、延迟
六、eNSP互联互通综合组网实践
6.1 基础"三件套"模型
拓扑结构:
PC1(192.168.1.10/24)
<---> S3700(VLAN 10,Trunk)
<---> S5700(VLANIF 10: 192.168.1.1/24)
<---> AR2220(G0/0/0: 192.168.1.254/24,G0/0/1: 203.0.113.1/24)
<---> Cloud(模拟Internet)
关键技术配置:
1. 交换机:
- S3700:interface GigabitEthernet0/0/1 port link-type access port default vlan 10
- S5700:interface Vlanif10 ip address 192.168.1.1 255.255.255.0
2. 路由器:
- AR2220:
interface GigabitEthernet0/0/0 ip address 192.168.1.254 255.255.255.0
interface GigabitEthernet0/0/1 ip address 203.0.113.1 255.255.255.0
nat outbound 2000 interface GigabitEthernet0/0/1
acl number 2000 rule 5 permit source 192.168.1.0 0.0.0.255
3. PC配置:
- IP: 192.168.1.10/24
- Gateway: 192.168.1.1
- DNS: 8.8.8.8
验证点:
PC1能Ping通网关(192.168.1.1)
PC1能Ping通AR的LAN口(192.168.1.254)
PC1能Ping通Cloud外网地址(如114.114.114.114)
外网能通过NAT访问内网(需配置NAT Server)
6.2 高级"双核心+无线+安全"模型
拓扑结构:
[接入层]
- S3700-1/2(双归上行)
- AP4050DN(连接STA)
[核心层]
- S5700-1/2(堆叠iStack)
- AC6605(旁挂核心)
- USG6000V(旁挂核心,连接Internet)
[边界层]
- AR3260(出口路由器)
关键技术配置:
1. 交换机堆叠:
- stack slot 1 priority 150
- stack slot 2 priority 100
- stack port interface GigabitEthernet0/0/28 enable
2. MSTP:
- stp region-configuration
- region-name HCIP
- instance 1 vlan 10 to 100
- instance 2 vlan 101 to 200
- active region-configuration
3. 无线配置:
- wlan
- security-profile name Office
- security wpa2 psk pass-phrase Huawei@123 aes
- ssid-profile name Office
- ssid Office
- vap-profile name Office
- service-vlan vlan-id 100
- security-profile Office
- ssid-profile Office
4. 防火墙策略:
- security-policy
- rule name Trust_to_Untrust
- source-zone trust
- destination-zone untrust
- source-address 192.168.0.0 24
- action permit
5. VRRP:
- interface Vlanif10
- vrrp vrid 1 virtual-ip 192.168.10.1
- vrrp vrid 1 priority 120
- vrrp vrid 1 preempt-mode timer delay 5
验证点:
有线PC与无线STA能互通(网关在核心)
防火墙策略控制不同部门互访
AP通过CAPWAP隧道注册到AC
核心交换机故障时VRRP切换
外网访问内网服务器(NAT Server)
总结:华为eNSP/eNSP Pro是学习企业网络技术的强大工具,通过"路由交换打底、安全无线增值"的逻辑,可以构建从基础到高级的完整网络模拟环境。建议从HCIA级实验入手,逐步进阶到HCIP/HCIE复杂场景,结合最新版本特性(如WLAN、VXLAN)进行深度学习。