基于Ensp的企业网络仿真：从零构建一个高可用、安全隔离的实战项目

1. 为什么选择Ensp搭建企业网络？

如果你刚接触企业网络搭建，可能会被各种专业设备和复杂协议吓到。我第一次用华为Ensp模拟器时，发现它简直是网络工程师的"沙盒游戏"——不用花几十万买硬件设备，在电脑上就能模拟真实企业网络环境。这个项目里我们会用8台PC、4台路由器和4台交换机，完整复现一个200人规模公司的网络架构。

Ensp最实用的地方在于它能模拟华为全系列设备，从接入层交换机到核心路由器都能1:1还原。去年我给某物流公司做灾备方案时，就是先在Ensp上验证了VRRP+OSPF的故障切换效果，实际部署时一次通过。下面这个拓扑就是我们马上要搭建的：

[核心层]AR3 ←→ [汇聚层]AR1/AR2 ←→ [接入层]S1-S4 ←→ PC1-PC8

2. 从零开始设计网络拓扑

2.1 IP地址规划的艺术

新手最容易栽在IP规划上。我建议采用"楼层+部门"的编码规则，比如：

• 192.168.1.0/24：1楼市场部（VLAN10）
• 192.168.2.0/24：1楼财务部（VLAN20）
• 192.168.3.0/24：2楼技术部（VLAN30）
• 192.168.4.0/24：2楼人事部（VLAN40）

在Ensp中配置交换机时，记得先批量创建VLAN：

<Huawei> system-view [Huawei] vlan batch 10 20 30 40

2.2 链路类型选择诀窍

交换机接口配置是隔离的关键：

• 连接PC用access模式：port link-type access
• 交换机互联用trunk模式：port trunk allow-pass vlan all

实测发现华为设备有个坑：如果忘记设置port trunk pvid vlan 10，可能导致管理流量走默认VLAN1，产生安全隐患。

3. 实现部门隔离与通信

3.1 VLAN间路由的两种方案

原始方案用三层交换机最理想，但Ensp里AR2220路由器更稳定。配置子接口实现VLAN间路由：

[AR1] interface GigabitEthernet0/0/0.10 [AR1-GigabitEthernet0/0/0.10] dot1q termination vid 10 [AR1-GigabitEthernet0/0/0.10] ip address 192.168.1.1 24

3.2 ACL实现单向访问控制

经理室（VLAN10）要隔离其他部门访问，这个ACL配置很经典：

acl number 3001 rule 5 deny icmp source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 rule 10 permit ip any any

应用时注意方向：traffic-filter outbound acl 3001要配在连接其他部门的接口上。

4. 构建高可用网关系统

4.1 VRRP主备切换实战

我在生产环境踩过的坑：两台网关都显示Master状态。后来发现是STP和VRRP冲突，解决方案：

[AR1] interface GigabitEthernet0/0/0 [AR1-GigabitEthernet0/0/0] vrrp vrid 1 virtual-ip 192.168.1.254 [AR1-GigabitEthernet0/0/0] vrrp vrid 1 priority 120

负载均衡技巧：让AR1处理VLAN10/20，AR2处理VLAN30/40，流量自动分流。

4.2 OSPF区域设计要点

小型企业用单区域足够，但建议预留扩展性：

[Huawei-ospf-1] area 0 [Huawei-ospf-1-area-0.0.0.0] network 192.168.1.0 0.0.0.255

如果后期要加分支机构，记得所有非骨干区域必须与area0直连。

5. 安全接入互联网方案

5.1 NAT地址池优化配置

不要用简单的PAT，建议配置地址池范围：

nat address-group 1 200.1.1.3 200.1.1.253 interface GigabitEthernet2/0/0 nat outbound 2000 address-group 1

5.2 防火墙联动策略

Ensp虽然不能模拟防火墙，但可以通过ACL增强安全：

acl number 2000 rule 5 deny tcp destination-port eq 445 // 封禁勒索病毒常用端口 rule 10 permit ip any any

6. 常见故障排查指南

当PC无法上网时，按这个顺序检查：

1. ping 网关测试二层连通性
2. tracert 8.8.8.8查看路由路径
3. display nat session验证地址转换
4. display acl 3001检查策略命中计数

我在Ensp里常用debugging ip packet抓包，但生产环境慎用——这个命令会让设备CPU飙升。

7. 项目进阶优化建议

• 流量监控：在核心交换机配置sFlow采样
• 无线接入：增加AC+AP模拟移动办公
• 备份方案：用TFTP定期备份配置文件

这个项目已经包含了企业网络80%的日常功能。下次我们可以尝试加入IPSec VPN和QoS策略，模拟跨地域组网场景。