1. 项目背景与设计目标为什么需要双栈高可用园区网大家好我是老陈一个在园区网里摸爬滚打了十多年的老网工。这些年我亲眼看着网络从纯IPv4到各种过渡技术再到如今IPv6的全面铺开。很多朋友尤其是刚入行的兄弟一听到要同时搞IPv4和IPv6还要保证高可用和安全头都大了。感觉这玩意儿复杂得不行配置命令又多又杂生怕哪里配错导致业务中断。其实这种担忧我特别理解。但换个角度想这恰恰是咱们提升自己、拉开差距的好机会。今天我就用eNSP这个神器带大家手把手搭建一个企业级IPv4/IPv6双栈高可用园区网。咱们不玩虚的就模拟一个真实的大型企业总部场景把那些听起来高大上的技术像VRRP/VRRP6双活网关、防火墙双机热备、无线AC冗余、链路聚合、MSTP防环等等全都揉碎了、掰开了让你看得懂、配得会。这个网络的设计目标非常明确让园区内的终端无论是只支持IPv4的老旧设备还是只支持IPv6的新潮玩意儿或者是双栈都支持的都能无障碍接入网络并且业务访问要快、要稳、不能断。简单说就是“一个网络两种协议处处备份安全无忧”。咱们用eNSP来模拟成本为零但学到的经验价值千金。下面我就从最核心的拓扑和地址规划开始带大家一步步把这个复杂的网络“搭积木”一样搭起来。2. 网络拓扑与地址规划搭好舞台才能唱好戏做网络就像盖房子设计图和地基没打好后面装修得再漂亮也白搭。咱们这个双栈高可用园区网拓扑结构是典型的“核心-汇聚-接入”三层架构但在关键部位都做了冗余确保没有单点故障。核心思想是“分区、分层、冗余”。我把整个网络分成了几个大区总部园区Site A、DMZ区、两个远程分支Site B和Site C以及模拟的互联网ISP。核心是两台Spine交换机它们之间、以及与防火墙、无线AC之间全部用Eth-Trunk链路聚合捆绑起来这样带宽翻倍一条链路断了业务也不受影响。地址规划是很多新手容易栽跟头的地方。我的经验是一定要有规律好记又好维护。比如咱们给IPv4用10.1.x.0/24这样的私网地址给IPv6用2409:8086:5A0A:10:1:xx::/112这样的格式。管理地址、业务地址、互联地址都严格分开。我画了一张详细的地址规划表大家配置的时候对着看一目了然。区域设备/接口IPv4地址IPv6地址说明Site A - 接入层VLAN 1001 (IPv4 Only)10.1.11.0/24无例如仅支持IPv4的打印机、旧IP电话VLAN 1002 (IPv6 Only)无2409:8086:5A0A:10:1:12::/112例如纯IPv6的物联网设备VLAN 1003 (双栈)10.1.13.0/242409:8086:5A0A:10:1:13::/112员工办公网PC/笔记本VLAN 1004 (双栈)10.1.14.0/24无无线用户VLANVLAN 1005 (管理)10.1.15.0/29无管理无线AC等设备Spine交换机互联Spine_01 - FW1192.168.121.0/30Link-LocalOSPF/OSPFv3互联Spine_02 - FW2192.168.122.0/30Link-LocalOSPF/OSPFv3互联防火墙心跳FW1 - FW2 (Eth-Trunk1)1.1.1.0/30无双机热备心跳线互联网出口FW1/2 - RT_01/02183.26.96.0/302409:8055:5C00:0:2800::/127BGP互联提示规划时IPv6地址我强烈建议使用ipv6 address auto link-local自动生成链路本地地址用于路由协议邻居发现这样可以大大简化配置避免手动配置出错。公网IPv6地址段是模拟的实际项目请向运营商申请。有了清晰的拓扑和地址表咱们心里就有底了。接下来咱们就从最底层的链路和VLAN开始一层层往上配置。3. 基础架构搭建从链路聚合到VLAN与MSTP万丈高楼平地起咱们先得把物理链路和二层网络搞扎实。这一步的核心就两个让链路更可靠、让广播域更合理。3.1 构建高速冗余骨干Eth-Trunk链路聚合Spine交换机之间、Spine与AC之间流量非常大单条链路肯定不够也不可靠。所以第一步就是把多条物理链路绑成一条逻辑的Eth-Trunk。我习惯用LACP静态模式兼容性好还能检测对端状态。# 以Spine_01连接AC的Eth-Trunk 31为例 Huaweisystem-view [Huawei]sysname Spine_01 [Spine_01]interface eth-trunk 31 [Spine_01-Eth-Trunk31]mode lacp-static # 使用LACP协议 [Spine_01-Eth-Trunk31]lacp timeout fast # 快速超时故障感知快 [Spine_01-Eth-Trunk31]trunkport GigabitEthernet 0/0/3 [Spine_01-Eth-Trunk31]trunkport GigabitEthernet 0/0/4 [Spine_01-Eth-Trunk31]quit配置完记得用display eth-trunk 31看看确认所有成员端口都是Selected状态。这样两条万兆链路就变成了一个20G的逻辑通道并且一条断了流量会自动切到另一条用户毫无感知。3.2 精细化的广播域控制VLAN划分接下来是划VLAN。千万别把所有设备都扔一个广播域里那样一个ARP广播就能让网络卡死。咱们根据业务和终端类型来分VLAN 1001给那些老旧的、只支持IPv4的设备用比如某些打印机、考勤机。VLAN 1002给纯IPv6的实验或物联网区域。VLAN 1003员工有线办公区双栈这是主力的业务VLAN。VLAN 1004无线用户VLAN也是双栈。VLAN 1005管理VLAN专门管理AC、交换机等网络设备和业务流量隔离。配置就是在Spine和Leaf交换机上创建VLAN然后把接口加进去。接入交换机的接口模式设为access上联口设为trunk并放通相应的VLAN。# 在Spine_01上配置连接Leaf的Trunk口 [Spine_01]interface GigabitEthernet 0/0/5 [Spine_01-GigabitEthernet0/0/5]port link-type trunk [Spine_01-GigabitEthernet0/0/5]undo port trunk allow-pass vlan 1 # 默认VLAN 1不放通更安全 [Spine_01-GigabitEthernet0/0/5]port trunk allow-pass vlan 1001 # 只放通需要的VLAN3.3 破除环路与优化路径MSTP多实例生成树二层网络最怕环路一环路就广播风暴。STP生成树协议就是来破环的。但传统STP所有VLAN共用一棵树链路利用率低。咱们用MSTP多实例生成树可以把不同VLAN的流量映射到不同的生成树实例上实现流量的负载分担。比如咱们让VLAN 1001、1002的根桥在Spine_01VLAN 1003、1004的根桥在Spine_02。这样去往不同VLAN的流量就会走不同的上行链路充分利用了带宽。# 在Spine_01上配置MSTP域和实例映射 [Spine_01]stp region-configuration [Spine_01-mst-region]region-name MSTP_Domain # 域名要所有交换机一致 [Spine_01-mst-region]revision-level 10 [Spine_01-mst-region]instance 11 vlan 1001 # 实例11对应VLAN 1001 [Spine_01-mst-region]instance 12 vlan 1002 # 实例12对应VLAN 1002 [Spine_01-mst-region]instance 13 vlan 1003 # 实例13对应VLAN 1003 [Spine_01-mst-region]instance 14 vlan 1004 # 实例14对应VLAN 1004 [Spine_01-mst-region]active region-configuration # 激活配置 # 设置Spine_01为实例11和12的根桥实例13和14的备份根桥 [Spine_01]stp instance 11 root primary [Spine_01]stp instance 12 root primary [Spine_01]stp instance 13 root secondary [Spine_01]stp instance 14 root secondary在接入层交换机的用户端口上我强烈建议开启stp edged-port enable和stp bpdu-filter enable。这能防止终端设备误发BPDU报文干扰STP计算同时让这些端口快速进入转发状态加快终端上线速度。基础打牢了咱们就要给各个VLAN配上IP网关并让这个网关也“高可用”起来。4. 网络层高可用核心VRRP/VRRP6双活网关与路由发布终端要上网得有个网关。如果网关交换机挂了整个网段就瘫痪了。所以必须让网关“活”起来这就是VRRP虚拟路由冗余协议干的事。对于IPv6对应的就是VRRP6。4.1 VRRP/VRRP6双活网关配置传统的VRRP是主备模式一台干活一台围观备用设备资源浪费。咱们这里玩点高级的——双活网关。原理很简单就是让Spine_01和Spine_02互为不同VLAN的主网关。VLAN 1001 (IPv4 Only)虚拟网关IP是10.1.11.1。咱们让Spine_01当主Priority默认100Spine_02当备。VLAN 1002 (IPv6 Only)虚拟网关IPv6地址是2409:8086:5A0A:10:1:12::1。同样Spine_01主Spine_02备。VLAN 1003 (双栈)这个VLAN流量大咱们可以做负载均衡。让Spine_01当IPv4网关的主Spine_02当IPv6网关的主。命令里通过调整priority参数来实现。# 在Spine_01上配置VLAN 1003的VRRP和VRRP6 [Spine_01]interface Vlanif 1003 [Spine_01-Vlanif1003]ip address 10.1.13.2 255.255.255.0 [Spine_01-Vlanif1003]ipv6 enable [Spine_01-Vlanif1003]ipv6 address 2409:8086:5A0A:10:1:13::2/112 [Spine_01-Vlanif1003]vrrp vrid 1 virtual-ip 10.1.13.1 # IPv4 VRRPvrid为1 [Spine_01-Vlanif1003]vrrp vrid 1 priority 120 # 设置优先级为120高于默认100成为Master [Spine_01-Vlanif1003]vrrp6 vrid 2 virtual-ip FE80::1 link-local # IPv6 VRRP6使用链路本地地址 [Spine_01-Vlanif1003]vrrp6 vrid 2 virtual-ip 2409:8086:5A0A:10:1:13::1 # 配置全局单播虚拟IP [Spine_01-Vlanif1003]vrrp6 vrid 2 priority 110 # 优先级110在Spine_02上可以设120让它成为IPv6的Master配置完后用display vrrp brief和display vrrp6 brief查看状态确保Master/Backup角色符合预期。这样即使一台Spine交换机宕机另一台也能在毫秒级内接管网关业务用户最多感觉网络卡顿一下不会断线。4.2 动态路由协议OSPF/OSPFv3与路由引入网关高可用解决了还得让网络层能“找到路”。在大型网络里静态路由会配到吐血必须用动态路由协议。咱们内网用OSPFIPv4和OSPFv3IPv6。核心是把Spine交换机、防火墙、以及DMZ区的交换机都划入OSPF区域0骨干区域。配置时要注意几点启用BFD双向转发检测这是快速故障检测的关键能和OSPF联动一旦链路或邻居故障能在百毫秒内感知并切换路径。路由引入在Spine交换机上需要把直连的终端网段如10.1.11.0/24和静态路由指向DHCP服务器引入到OSPF中。这里要用route-policy精细控制别把不该传的路由也引入进去。OSPFv3配置和OSPF类似但注意接口上要用ospfv3 1 area 0来启用。# 在Spine_01上配置OSPF和OSPFv3 [Spine_01]ospf 1 router-id 172.16.0.1 [Spine_01-ospf-1]bfd all-interfaces enable # 全局启用BFD [Spine_01-ospf-1]area 0.0.0.0 [Spine_01-ospf-1-area-0.0.0.0]network 192.168.121.0 0.0.0.3 # 发布与防火墙的互联网段 [Spine_01-ospf-1-area-0.0.0.0]quit [Spine_01-ospf-1]import-route direct route-policy DIRECT_TO_OSPF # 引入直连路由并用策略过滤 [Spine_01]ospfv3 1 [Spine_01-ospfv3-1]router-id 172.16.0.1 [Spine_01-ospfv3-1]area 0.0.0.0 [Spine_01-ospfv3-1-area-0.0.0.0]quit [Spine_01]interface Vlanif 1003 [Spine_01-Vlanif1003]ospfv3 1 area 0.0.0.0 # 在接口上使能OSPFv3防火墙上的配置也类似但要注意安全区域Zone的划分和路由策略的配合。这样内网的路由就全通了。接下来咱们看看怎么让终端自动获取地址这是运维解放双手的关键。5. 终端接入与自动化DHCP中继与无线网络想象一下成百上千台终端让你一台台手工配IP那得累死。所以DHCP动态主机配置协议是必须的。在咱们这个架构里DHCP服务器放在DMZ区Spine交换机作为DHCP中继帮终端向服务器要地址。5.1 有线终端DHCPv4/v6中继对于IPv4中继配置相对简单指定好DHCP服务器地址就行。对于IPv6情况复杂点因为IPv6地址分配有Stateless DHCPv6和Stateful DHCPv6等多种方式。咱们用的是Stateful即地址和DNS等信息都从DHCPv6服务器获取。关键命令是undo ipv6 nd ra halt和ipv6 nd autoconfig managed-address-flag。前者让接口可以发送RA路由器通告报文后者在RA报文中设置M标志位为1告诉终端“别用SLAAC自己生成地址老老实实找DHCPv6服务器要”。# 在Spine_01的VLAN 1003接口上配置DHCP和DHCPv6中继 [Spine_01]dhcp enable [Spine_01]dhcp server group dhcp_group [Spine_01-dhcp-server-group-dhcp_group]dhcp-server 192.168.112.2 # DHCP服务器地址 [Spine_01-dhcp-server-group-dhcp_group]dhcp-server 192.168.113.2 # 另一个服务器做冗余 [Spine_01]interface Vlanif 1003 [Spine_01-Vlanif1003]dhcp select relay # 启用DHCP中继 [Spine_01-Vlanif1003]dhcp relay server-select dhcp_group # 绑定服务器组 [Spine_01-Vlanif1003]ipv6 enable [Spine_01-Vlanif1003]undo ipv6 nd ra halt # 允许发送RA报文 [Spine_01-Vlanif1003]ipv6 nd autoconfig managed-address-flag # 设置M标志位 [Spine_01-Vlanif1003]ipv6 nd autoconfig other-flag # 设置O标志位让终端也获取DNS等信息 [Spine_01-Vlanif1003]dhcpv6 relay destination 2409:8086:5A0A:192:168:113::1 # DHCPv6服务器地址5.2 无线网络与AC冗余部署现在谁离得开Wi-Fi无线网络的高可用同样重要。咱们部署两台AC无线控制器采用11热备模式。两台AC之间通过心跳线同步配置和表项。AP无线接入点与主ACAC_01建立CAPWAP隧道如果主AC故障AP能在秒级内切换到备ACAC_02。配置AC时关键点在于AP系统模板里要指定主备AC的IP以及HSB高可用备份服务的配置。# 在AC_01上配置AP系统模板和HSB [AC_01]wlan [AC_01-wlan-view]ap-system-profile name AP_Profile [AC_01-wlan-ap-system-prof-AP_Profile]primary-access ip-address 10.1.15.4 # 主AC地址 [AC_01-wlan-ap-system-prof-AP_Profile]backup-access ip-address 10.1.15.5 # 备AC地址 [AC_01-wlan-ap-system-prof-AP_Profile]quit [AC_01]hsb-service 0 [AC_01-hsb-service-0]service-ip-port local-ip 10.1.15.4 peer-ip 10.1.15.5 local-data-port 10240 peer-data-port 10240 [AC_01-hsb-service-0]quit [AC_01]hsb-service-type ap hsb-service 0 # 指定AP业务使用HSB服务0 [AC_01]wlan [AC_01-wlan-view]ac protect enable # 使能AC的热备功能这样无线网络的高可用也搞定了。终端接入没问题了但网络的安全大门——防火墙更是重中之重绝对不能是单点。6. 安全与高可用边界防火墙双机热备与安全策略防火墙是内网和外网之间的“城门”城门一旦失守后果不堪设想。所以防火墙必须做双机热备HRP。我习惯用主备模式两台防火墙配置、会话状态、NAT表项等实时同步。主墙干活备墙待命主墙故障备墙瞬间顶上用户访问公网、外部访问内网服务器都不会中断。6.1 防火墙双机热备配置配置双机热备心跳线是关键。我一般会用两条物理链路做成Eth-Trunk既增加带宽又防止单条线故障。配置步骤大致如下配置接口IP和区域把连接内网、外网、DMZ的接口划入对应的安全区域Trust、Untrust、DMZ。配置心跳接口两台防火墙的同一个Eth-Trunk接口配置同一网段的IP用于状态同步。启用HRP指定心跳口和对端IP开启备份功能。# 在FW1主上配置双机热备 [FW1]interface Eth-Trunk 1 [FW1-Eth-Trunk1]ip address 1.1.1.1 255.255.255.252 # 心跳链路地址 [FW1-Eth-Trunk1]quit [FW1]hrp interface Eth-Trunk 1 remote 1.1.1.2 # 指定心跳接口和对端地址 [FW1]hrp standby-device # 这台设备初始状态为备抢占模式下优先级高的会成为主 [FW1]hrp enable # 启用HRP注意防火墙的型号和软件版本不同命令可能有细微差别。在eNSP里用USG6000V系列模拟时务必检查命令是否支持。配置完后用display hrp state查看状态确认主备角色和同步状态是否正常。6.2 精细化安全策略与NAT配置防火墙上了双机策略也得跟上。安全策略是防火墙的大脑它决定了什么流量能过什么不能过。在双栈环境下策略要同时考虑IPv4和IPv6。策略思路是“最小权限原则”只开放必要的业务端口。比如内网用户访问外网需要放行外网访问内网的Web服务器需要做NAT Server映射并放行特定端口两台防火墙之间的心跳、路由协议OSPF、BFD流量必须互相放行。# 在FW1上配置安全策略允许内网信任区域访问外网和非信任区域 [FW1]security-policy [FW1-policy-security]rule name Trust_to_Untrust # 规则命名要有意义 [FW1-policy-security-rule-Trust_to_Untrust]source-zone trust [FW1-policy-security-rule-Trust_to_Untrust]destination-zone untrust [FW1-policy-security-rule-Trust_to_Untrust]action permit [FW1-policy-security-rule-Trust_to_Untrust]quit # 配置NAT地址池和策略让内网用户访问互联网时进行地址转换 [FW1]nat address-group internet_pool 0 [FW1-address-group-internet_pool]mode pat # PAT模式多个私网IP共享一个公网IP [FW1-address-group-internet_pool]section 0 223.73.54.128 223.73.54.140 # 公网地址池 [FW1-address-group-internet_pool]quit [FW1]nat-policy [FW1-policy-nat]rule name SNAT_Internet [FW1-policy-nat-rule-SNAT_Internet]source-zone trust [FW1-policy-nat-rule-SNAT_Internet]destination-zone untrust [FW1-policy-nat-rule-SNAT_Internet]source-address 10.1.11.0 mask 255.255.255.0 [FW1-policy-nat-rule-SNAT_Internet]action source-nat address-group internet_pool对于IPv6如果拥有公网IPv6地址通常不需要NAT除非有特殊安全策略。但安全策略同样需要为IPv6流量单独配置规则。配置时一定要细心源目区域、地址、服务端口一个都不能错配完一定要测试。边界安全稳固了接下来就要解决不同站点之间因为协议版本不同导致的“沟通障碍”了。7. 跨越协议鸿沟IPv4与IPv6站点互访隧道技术现实网络往往是混合的Site A是双栈Site B可能只有IPv6Site C可能只有IPv4。它们之间要通信就需要隧道技术来“搭桥”。咱们这个项目用了两种经典隧道6to4隧道和4to6隧道。7.1 6to4隧道让IPv6孤岛穿越IPv4海洋Site B只有IPv6网络它想访问Site A的IPv6资源但中间经过的运营商网络可能只支持IPv4。这时候6to4隧道就派上用场了。它的原理是把IPv6数据包整个封装在IPv4数据包里穿过IPv4网络到达对端后再解封装。配置隧道需要指定源地址本地出口的IPv4地址和目的地址对端隧道终点的IPv4地址。在防火墙上配置还需要创建新的安全区域如FZ_01来承载隧道接口并配置相应的安全策略允许隧道流量。# 在FW1上配置通往Site B的6to4隧道 [FW1]interface Tunnel 0 [FW1-Tunnel0]description To_SiteB_6to4 [FW1-Tunnel0]tunnel-protocol ipv6-ipv4 # 隧道协议为IPv6 over IPv4 [FW1-Tunnel0]source 223.73.54.0 # 本地公网IPv4地址Loopback口 [FW1-Tunnel0]destination 183.73.54.182 # Site B路由器的公网IPv4地址 [FW1-Tunnel0]ipv6 enable [FW1-Tunnel0]ipv6 address FD00:100::1/64 # 隧道内使用的IPv6地址 [FW1-Tunnel0]quit [FW1]ipv6 route-static 2001:DB8:888:1:: 112 Tunnel 0 # 指向Site B网段的静态路由出接口为隧道7.2 4to6隧道让IPv4孤岛穿越IPv6海洋反过来Site C只有IPv4网络要访问Site A的IPv4服务但骨干是IPv6。这就需要用4to6隧道也叫DS-Lite等这里是一种手动隧道。原理和6to4类似只是封装方向反了。# 在FW1上配置通往Site C的4to6隧道 [FW1]interface Tunnel 1 [FW1-Tunnel1]description To_SiteC_4to6 [FW1-Tunnel1]tunnel-protocol ipv4-ipv6 # 隧道协议为IPv4 over IPv6 [FW1-Tunnel1]source 2409:8A55:936:1AE0:B04D:C0DD:94F7:0 # 本地公网IPv6地址 [FW1-Tunnel1]destination 2409:8A55:934:A7E0:5513:489C:8F5:1 # Site C路由器的公网IPv6地址 [FW1-Tunnel1]ip address 10.10.10.1 255.255.255.252 # 隧道内使用的IPv4地址 [FW1-Tunnel1]quit [FW1]ip route-static 172.16.89.0 255.255.255.0 Tunnel 1 # 指向Site C网段的静态路由隧道配好后一定别忘了在安全策略中放行隧道接口的流量包括隧道端点之间的封装流量和隧道内的业务流量。这是很多新手容易遗漏导致隧道不通的关键点。内部网络和分支站点都连通了最后一步就是打通通往互联网的“高速公路”。8. 互联网出口与路由发布BGP/ISIS与策略控制企业网络最终要连接互联网。咱们用几台路由器模拟ISP运营商网络运行ISIS作为内部网关协议因为它收敛快适合大型运营商网络。企业出口路由器RT_01/02则通过BGP与ISP建立EBGP邻居学习默认路由并发布企业的公网路由。8.1 ISP网络ISIS与路由策略ISP内部用ISIS打通配置重点是启用IPv6ISISv6并配置BFD for ISIS实现快速故障检测。为了模拟运营商向企业发布默认路由我们在核心路由器BR_01上配置了指向虚拟下一跳的静态路由并通过路由策略打上社区属性再发布给企业侧。# 在ISP的核心路由器BR_01上配置BGP发布默认路由 [BR_01]bgp 9808 [BR_01-bgp]router-id 221.179.3.5 [BR_01-bgp]peer 100.0.0.1 as-number 9808 # 与内部路由器建立IBGP邻居 [BR_01-bgp]ipv4-family unicast [BR_01-bgp-af-ipv4]network 8.8.8.8 255.255.255.255 # 发布一个模拟的公网地址实际是发布默认路由 [BR_01-bgp-af-ipv4]peer 100.0.0.1 enable [BR_01-bgp-af-ipv4]peer 100.0.0.1 default-route-advertise # 向邻居发布默认路由8.2 企业出口BGP路由接收与发布企业出口路由器RT_01/02需要做几件事建立IBGP邻居两台出口路由器之间建立IBGP通过Loopback地址连接保证路径冗余。建立EBGP邻居与ISP的AR_03/04建立EBGP接收默认路由和互联网路由。路由引入与发布将内网OSPF学习到的路由以及防火墙发布的公网IP段引入BGP并发布给ISP。这里要用route-policy进行精细控制只发布允许的公网地址段。路由策略与选路通过设置Local_Preference、MED等BGP属性可以精细控制流量的进出口路径实现负载分担或主备。# 在企业出口路由器RT_01上配置BGP引入并发布内网路由 [RT_01]bgp 65001 [RT_01-bgp]router-id 183.26.96.1 [RT_01-bgp]peer 172.16.0.105 as-number 65001 # 与RT_02建立IBGP [RT_01-bgp]peer 172.16.0.105 connect-interface LoopBack0 [RT_01-bgp]peer 183.26.96.2 as-number 9808 # 与ISP建立EBGP [RT_01-bgp]peer 183.26.96.2 password cipher Huawei123 # 建议配置MD5认证 [RT_01-bgp]ipv4-family unicast [RT_01-bgp-af-ipv4]network 223.73.54.0 255.255.255.0 # 发布企业的公网IPv4地址段 [RT_01-bgp-af-ipv4]peer 183.26.96.2 enable [RT_01-bgp-af-ipv4]peer 183.26.96.2 route-policy ONLY_PUBLIC out # 出方向调用策略配置完成后在路由器上用display bgp routing-table和display ip routing-table仔细查看确保从ISP学到了默认路由也确保企业的路由正确发布出去了。最后别忘了在防火墙上配置NAT让内网的IPv4用户能访问互联网对于IPv6用户如果拥有公网IPv6地址配置相应的安全策略允许访问即可。走到这里一个从接入层到核心层再到互联网出口全程双栈、全程高可用的企业园区网就在eNSP上搭建完成了。这不仅仅是一堆配置命令的堆砌更是一套完整的设计思想和排错经验的体现。我建议你按照这个步骤自己在eNSP上从头到尾敲一遍过程中遇到的每一个报错都是你成长的阶梯。网络技术就是这样理论懂了不算真懂配置通了、问题解决了才是你的真本事。