1. 项目背景与需求分析中小型企业网络建设往往面临预算有限但需求复杂的矛盾。我去年帮一家50人规模的电商公司做网络改造时就遇到过部门间数据泄露、网关单点故障导致全公司断网的问题。这次我们用华为Ensp模拟器完整复现一个典型的中小型企业网络建设项目。这个项目需要满足五个核心需求全网络互通财务、销售、仓库等部门的设备要能互相访问共享打印机等资源部门隔离销售数据不能泄露到客服部门但客服调取订单时需要有限访问权限管控总经理办公室可以监控所有部门但普通员工不能反向访问高可用保障任何一台核心交换机宕机时网络服务不能中断外网访问所有内网设备通过统一公网IP访问互联网2. 网络拓扑设计与设备选型2.1 拓扑结构规划我们采用经典的三层架构接入层4台S5700交换机分别连接各部门PC汇聚层2台AR2220路由器处理VLAN间路由和ACL策略核心层1台AR2240路由器负责NAT转换和互联网接入实际配置中发现个坑Ensp里的三层交换机对ACL支持不完善后来改用AR2220路由器加装4端口网卡替代成本虽然高了点但稳定性更好。2.2 IP地址规划技巧建议采用这种地址分配方案经理办公室192.168.1.0/24 (VLAN10)财务部192.168.2.0/24 (VLAN20)销售部192.168.3.0/24 (VLAN30)客服部192.168.4.0/24 (VLAN40)划重点第三个八位字节对应VLAN ID这样看到IP就能知道所属部门排查故障特别方便。比如192.168.3.15肯定是销售部的设备。3. 关键配置步骤详解3.1 VLAN与Trunk配置实战在接入交换机上创建VLAN是最基础的一步# 批量创建VLAN所有交换机都要配 system-view vlan batch 10 20 30 40 # 配置接入端口 interface GigabitEthernet0/0/1 port link-type access port default vlan 10 # 配置Trunk端口连接路由器的口 interface GigabitEthernet0/0/24 port link-type trunk port trunk pvid vlan 10 port trunk allow-pass vlan all遇到过的问题有次忘记配port trunk pvid导致管理流量走不了远程连接直接断了。建议新手先在模拟环境测试好再上真机。3.2 OSPF动态路由配置OSPF区域设计有个小技巧中小型企业用单个Area 0完全够用等以后扩展时再划分子区域。配置示例# 在AR1路由器上的配置 ospf 1 area 0 network 192.168.1.0 0.0.0.255 network 192.168.2.0 0.0.0.255实测发现如果网络设备超过20台建议把核心设备和接入设备分到不同区域。但本项目8台设备完全没必要强行分区域反而增加复杂度。3.3 VRRP网关冗余方案财务部网关的VRRP配置示例# AR1上的配置主网关 interface Vlanif20 ip address 192.168.2.252 24 vrrp vrid 2 virtual-ip 192.168.2.254 vrrp vrid 2 priority 120 # AR2上的配置备网关 interface Vlanif20 ip address 192.168.2.253 24 vrrp vrid 2 virtual-ip 192.168.2.254踩过的坑有次所有VRRP状态都显示Master查了3小时才发现是二层环路。后来加了STP配置才解决建议新手在配VRRP前先确保生成树协议正常工作。4. 安全策略实施4.1 ACL单向访问控制实现经理室能访问其他部门反之不行的配置acl number 3001 rule 5 deny icmp source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 rule 10 permit ip any any interface GigabitEthernet0/0/0 traffic-filter outbound acl 3001有个实用技巧ICMP拒绝规则要放在最前面最后的permit ip any any一定要加否则会默认拒绝所有流量。我见过有人调试半天发现是漏了这条。4.2 NAT地址转换配置内网上网的关键配置# 创建ACL允许内网网段 acl 2000 rule permit source 192.168.1.0 0.0.0.255 rule permit source 192.168.2.0 0.0.0.255 # 配置NAT地址池 nat address-group 1 200.1.1.3 200.1.1.253 # 在外网接口应用 interface GigabitEthernet2/0/0 nat outbound 2000 address-group 1测试时发现如果内网PC ping不通外网先检查acl规则是否包含该PC的网段。有次客服部上不了网就是因为漏配了192.168.4.0网段的规则。5. 项目验收与排错指南5.1 验收检查清单建议按照这个顺序检查连通性测试同VLAN内PC互ping隔离测试不同部门PC尝试互访权限测试用经理室PC ping其他部门再反向测试冗余测试关闭主网关后测试网络恢复时间外网测试内网PC访问模拟的外网服务器5.2 常见故障排查遇到最多的问题有三个VRRP状态异常检查物理线路、STP状态、优先级配置ACL不生效确认规则顺序、应用方向inbound/outboundNAT失败检查地址池是否耗尽、ACL是否允许该网段有个诊断技巧在用户PC上执行tracert命令看流量是在哪一跳断的。比如到网关就不通肯定是VLAN或物理层问题能到网关但出不去可能是路由或NAT问题。