背景痛点:毕设里那些“一眼假”的网络
做毕设最怕什么?不是写不出论文,而是老师一句“你这网络能跑吗?”直接破防。
我帮导师审过三年 eNSP 作业,最常见翻车现场就三张截图:
- 拓扑图像“蜘蛛网”——一台交换机下挂 30 台 PC,IP 地址 192.168.1.1 到 192.168.1.30 全怼在 VLAN1,毫无层次。
- 协议“混搭风”——OSPF 区域 0 里混着 RIP,VRRP 虚拟地址跟物理接口同一网段,ACL 编号 3000 却写成 rule 10 permit ip source any destination any,等于没写。
- 验证“玄学化”——能 ping 通 8.8.8.8 就算通过,一旦拔掉某根线,全网秒变孤岛,却拿不出任何日志。
老师想看到的不是“通”,而是“为什么通、断了怎么恢复、流量怎么走”。把这三件事讲清,分数直接提档。
技术选型:为什么锁定 eNSP
GNS3 和 Packet Tracer 都是老熟人,但毕设场景里 eNSP 有三张王牌:
- 真机 OS:eNSP 跑的是华为通用路由平台 VRP,命令行与真实 S、AR、CE 系列一字不差,论文里贴配置不会被质疑“模拟器简化过”。
- 国产文档:华为官方案例库、典型配置手册、故障案例全部中文,引用时直接放链接,老师一眼能点开。
- 绿色免安装:实验室 40 台老电脑没权限装 VMware,eNSP 解压即用,注册表都不写,管理员睁只眼闭只眼就过了。
一句话:在“能跑”和“能写”之间,eNSP 把两边都拉到满分。
核心实现:三层架构这样落地
下面用“接入-汇聚-核心”经典园区网举例,目标:
- 两台核心跑 VRRP 做冗余网关
- 汇聚到核心走 OSPF,区域 0
- 接入层 VLAN 隔离,Guest、Staff、Server 三段地址
- 出口写默认路由到防火墙,内网用 ACL 禁止 Guest 访问 Server
1. 拓扑与地址规划
先放一张总览图,后面所有配置都按这张图来。
地址表提前规划好,写论文时直接贴附录,老师最爱这种“能复现”的严谨感。
| 区域 | VLAN | 网段 | 网关虚地址 | 备注 |
|---|---|---|---|---|
| Staff | 10 | 192.168..0/24 | 192.168.10.254 | VRRP 主 252 备 253 |
| Guest | 20 | 192.168.20.0/24 | 192.168.20.254 | 同上 |
| Server | 30 | 192.168.30.0/24 | 192.168.30.254 | 同上 |
| 互联 | — | 10.0.xy.0/30 | — | 核心-汇聚、核心-防火墙均用 30 位掩码 |
2. 接入层:VLAN 与端口隔离
以 ACC1 为例,把 Gig0/0/1-10 划给 Staff,11-20 划给 Guest,21-24 做聚合上联汇聚。
sysname ACC1 vlan batch 10 20 30 interface Gig0/0/1 port link-type access port default vlan 10 interface Gig0/0/11 port link-type access port default vlan 20 interface Gig0/0/21 port link-type trunk port trunk allow vlan 10 20 303. 汇聚层:SVI 口只做二层透传
为了把网关集中在核心,汇聚不建 SVI,只开 trunk。这样后期改网关地址只动核心,调试量减半。
4. 核心层:VRRP + OSPF
4.1 先写 VRRP,主备优先级差 20,抢占立即生效
sysname CORE1 interface Vlanif10 ip address 192.168.10.252 24 vrrp vrid 10 virtual-ip 192.168.10.254 vrrp vrid 10 priority 120 vrrp vrid 10 preempt-mode timer delay 0 # interface Vlanif20 ip address 192.168.20.252 24 vrrp vrid 20 virtual-ip 192.168.20.254 vrrp vrid 20 priority 120CORE2 把 priority 改成 100,其余相同。这样 CORE1 正常时就是主,挂掉 CORE2 秒级接管。
4.2 再配 OSPF,把三类网段全放区域 0
ospf 1 router-id 1.1.1.1 area 0 network 192.168.10.0 0.0.0.255 network 192.168.20.0 0.0.0.255 network 192.168.30.0 0.0.0.255 network 10.0.12.0 0.0.0.3CORE2 用 2.2.2.2 当 RID,双方自动 DR/BDR 选举,30 秒收敛完成。
4.3 出口默认路由
ip route-static 0.0.0.0 0.0.0.0 10.0.13.1 // 下一跳接防火墙 ospf 1 default-route-advertise always // 把默认注入 OSPF,汇聚也能学到5. 安全策略:Guest 别碰 Server
ACL 写在核心入方向,编号 3000 起,规则越具体越好,拒绝动作放前面:
acl 3000 rule 5 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.30.0 0.0.0.255 rule 10 permit ip interface Vlanif20 traffic-filter inbound acl 3000display acl 3000 能看到命中计数,论文里截个图,验证环节直接满分。
性能与验证:让“通”不再玄学
基础连通
- PC> ping 192.168.30.1 // Server 段主机
- PC> tracert –d 8.8.8.8 // 看第一跳是否为 192.168.x.254,确认 VRRP 生效
故障倒换
- 在 CORE1 上 shutdown Vlanif10,立刻 display vrrp brief 看 Backup 变 Master,PC 长 ping 不丢包或只丢 1-2 个,收敛时间 <3 秒。
路由收敛
- 拔掉核心-汇聚链路,display ospf peer 看邻居 Down,display ip routing-table 192.168.30.0 观察下一跳自动切到另一台核心。
流量模拟
- eNSP 自带 UDP Flood 工具,把 20 台 Guest PC 同时打向 Server,观察核心 CPU 与接口计数,确认 ACL 丢弃包数上涨,而 Staff 段不受影响。
截图+日志保存到“验证”章节,老师基本不会追问细节。
生产环境避坑指南
- 版本兼容:eNSP 1.3.00 与 VirtualBox 6.1 以上会偶发 AR 路由器起不来,降级到 5.2.44 可稳。
- 配置丢失:write 完了一定 display saved-configuration | include vlan,确认 VLAN 信息已写 flash;eNSP 偶尔崩溃,不 save 直接回到解放前。
- 模拟器卡顿:把设备 IDLE PC 值调到 60,CPU 瞬间从 90% 掉到 20%;别一口气开 20 台 AR2220,真机都没这么狠。
- 云图接真网:毕设想演示“真机远程登录”时,云图绑定本地网卡即可,但一定先关防火墙再 demo,否则 WireShark 抓不到包还怪设备。
结尾:把仿真搬到机房的那天
写完论文不代表结束,把这套配置原封不动刷到学校旧机房的三台 S5720 上,让师弟们用手机连 Guest、笔记本连 Staff,现场拔线演示 VRRP 倒换,那一刻你才体会到“仿真”与“真”之间只隔一条 console 线。
下次走进实验室,不妨问自己:如果核心换成 CE12800,链路变成 40G,ACL 加到 10 万条,这套逻辑还成立吗?动手改几个参数,答案就在 display 命令的回显里。祝你答辩顺利,也祝你在未来的真实机房里,依旧能想起今天敲过的每一行 vrrp vrid。
