基于华为ENSP学习网络

前言

 

网络设备

路由器

实现多台PC不同网段通信

网络拓扑

路由器配置

配置路由器实现多台PC不同网段通信

 # 进入配置模式
 system
 # 修改路由器名称
 sysname name(路由器名称)
 # 进入相关接口
 interface g0/0/0
 # 配置IP地址
 ip address 192.168.1.254 255.255.255.0
 # 退出当前接口
 quit
 # 在配置模式下查看接口配置信息
 display ip interface brief

单臂路由（子接口）实现不同网段通信

网络拓扑

路由器配置

单臂路由（子接口）实现不同网段通信

1、配置三层交换机

 # 进入配置模式
 system
 # 修改交换机名称
 system name(交换机名称)
 # 创建Vlan10 20
 vlan batch 10 20
 # 查看已创建Vlan（配置模式下）
 display vlan
 # 配置g0/0/1接口连接方式
 interface g0/0/1
 port link-type access
 # 将接口和vlan10进行绑定
 port default vlan 10
 # 退出
 quit
 # 配置g0/0/2接口连接方式
 interface g0/0/2
 port link-type access
 # 将接口和vlan20进行绑定
 port default vlan 20
 # 退出
 quit
 # 配置g0/0/3接口连接方式
 interface g0/0/3
 port link-type trunk
 # 将接口和vlan10 20进行绑定
 port trunk allow-pass vlan 10 20
 # 退出
 quit

2、配置路由器

 # 进入配置模式
 system
 # 修改路由器名称
 system name(路由器名称)
 # 创建10子接口
 interface g0/0/0.10
 # 对子接口进行dot1q封装，（承载vlan数据）
 dot1q termination vid 10
 # 配置子接口IP地址
 ip address 192.168.1.254 24
 # 开启arp广播功能
 arp broadcast enable
 # 退出
 quit
 # 创建20子接口
 interface g0/0/0.20
 # 对子接口进行dot1q封装，（承载vlan数据）
 dot1q termination vid 20
 # 配置子接口IP地址
 ip address 192.168.2.254 24
 # 开启arp广播功能
 arp broadcast enable
 # 退出
 quit

单臂路由（从地址）实现不同网段通信

网络拓扑

路由器配置

从地址方式实现不同网段PC通信

 # 进入配置模式
 system
 # 修改路由器名称
 system name(路由器名称)
 # 配置g0/0/0接口
 interface g0/0/0
 ip address 192.168.1.254 24
 # 配置从地址
 ip address 192.168.2.254 24 sub
 # 退出
 quit

 

交换机

VlanIf接口配置sub子IP实现不同网段相同Vlan通信

网络拓扑

交换机配置

配置三层交换机通过VlanIf接口配置sub子地址实现不同网段PC相同Vlan通信

 # 进入配置模式
 system
 # 修改交换机名称
 sysname name(交换机名称)
 # 进入vlanif1接口
 interface vlanif1
 # 配置IP地址 sub：表示子IP
 ip address 192.168.1.254 24
 ip address 192.168.2.254 24 sub
 # 退出当前Vlan
 quit
 # 查看已配置的IP地址（配置模式下）
 display ip routing

三层交换机实现不同网段通信

网络拓扑

交换机配置

三层交换机实现不同网段通信vlanif(Vlan虚拟接口)

 # 进入配置模式
 system
 # 修改交换机名称
 sysname name(交换机名称)
 # 创建Vlan
 vlan batch 10 20
 # 创建并进入vlan10接口
 interface vlanif10
 # 给vlan10接口配置对应IP地址
 ip address 192.168.1.254 24
 # 创建并进入vlan20接口
 interface vlanif20
 # 给vlan20接口配置对应IP地址
 ip address 192.168.2.254 24
 # 查看VLANIF接口信息
 display interface vlanif
 # 退出当前Vlan
 quit
 # 配置g0/0/1接口连接方式
 interface g0/0/1
 port link-type access
 # 将接口和vlan10进行绑定
 port default vlan 10
 # 配置g0/0/2接口连接方式
 interface g0/0/2
 port link-type access
 # 将接口和vlan20进行绑定
 port default vlan 20
 # 退出当前接口
 quit
 ​

实现特定VLAN仅允许与某一VLAN通信

有两种方式可以实现，

1. 通过流策略应用ACL

2. 直接在VLAN下调用ACL

通过流策略应用ACL

1、创建ACL

定义访问规则，例如允许或拒绝特定IP段的通信：

 [Huawei] acl 3000
 [Huawei-acl-adv-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
 [Huawei-acl-adv-3000] rule deny ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
 [Huawei-acl-adv-3000] quit

2、配置流分类

将ACL与流分类绑定：

 [Huawei] traffic classifier c1
 [Huawei-classifier-c1] if-match acl 3000
 [Huawei-classifier-c1] quit

3、配置流行为

定义流行为，例如允许或拒绝报文：

 [Huawei] traffic behavior b1
 [Huawei-behavior-b1] deny
 [Huawei-behavior-b1] quit

4、创建并应用流策略

将流分类和流行为关联，并应用到VLAN：

 [Huawei] traffic policy p1
 [Huawei-trafficpolicy-p1] classifier c1 behavior b1
 [Huawei-trafficpolicy-p1] quit
 ​
 [Huawei] interface vlan 10
 [Huawei-vlan10] traffic-policy p1 inbound

5、验证与注意事项

1. 使用命令 display acl 编号 检查ACL配置是否生效。

2. 确保ACL规则顺序正确，匹配优先级从上到下。

3. 注意方向（inbound 或 outbound），根据实际需求选择。

直接在VLAN下调用ACL

1、创建ACL

可以通过 ACL（访问控制列表） 结合 VLANIF 接口策略 来实现 特定 VLAN 仅允许与某一 VLAN 通信，而其他 VLAN 之间仍然可以互通

 # ACL 3000（高级 ACL，基于 IP 匹配）
 # 基础ACL•：编号范围2000-2999，仅匹配源IP地址
 # 高级ACL•：编号范围3000-3999（如ACL 3000），支持更精细的匹配条件，包括：
 # 源/目的IP地址及通配符掩码。
 # 传输层协议（如TCP/UDP/ICMP）。
 # 源/目的端口号
 [Huawei] acl number 3000
 rule 5 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255  # 允许 VLAN10 → VLAN20
 rule 10 deny ip source 192.168.10.0 0.0.0.255 destination any                     # 拒绝 VLAN10 访问其他 VLAN
 rule 100 permit ip source any destination any                                     # 放行其他流量（不影响其他 VLAN 互通）

2、在 VLANIF10 入方向应用 ACL

 # 二选一都可
 interface Vlanif10
 traffic-filter inbound acl 3000
 ​
 # 或 在配置界面应用
 [Huawei] traffic-filter vlan 10 inbound acl 3000

检查ACL匹配情况

 display acl 3000
 ​
 # 删除acl
 undo acl 3000

测试连通性：

• VLAN 10 应该只能访问 VLAN 20，无法访问 VLAN 30/40。

• 其他 VLAN（20/30/40）之间可以正常互通。

• 确保ACL规则顺序正确，匹配优先级从上到下。

• 注意方向（inbound 或 outbound），根据实际需求选择。

• 如果只是简单限制 VLAN 10 访问特定 VLAN，ACL 方案足够。

• 如果需要更复杂的策略（如基于协议/端口限制），则使用 MQC。

 display current-configuration  # 查看设备当前生效的配置参数
 ping -a 192.168.10.2 192.168.20.2    # 测试 VLAN10 → VLAN20 是否通
 ping -a 192.168.10.2 192.168.30.2    # 测试 VLAN10 → VLAN30 是否被阻断

 

 

Ensp模拟

Web服务器及FTP的搭建

网络拓扑

配置设备

1、配置客户端

双击客户端图标配置IP地址和子网掩码

2、配置服务端

双击服务端图标配置IP地址和子网掩码

3、启动设备，开启http服务

选中客户端和服务端图标，右键选择启动，等待设备启动，

3.1、开启服务端http服务，选择需要访问的页面

3.2、客户端选择

搭建ftp

搭建DNS服务

网络拓扑

相关配置

扩展命令

查看命令

 # 查看设备当前生效的配置参数
 display current-configuration
 ​
 # 查看VLAN信息
 display vlan
 # 查看VLAN 10接口IP地址
 display ip intface vlanif 10
 ​
 # 查看管理IP地址（通常是接口IP）
 display ip interface brief # 查询所以接口IP地址
 # 或
 display ip interface eth0/0/1
 ​
 # 查询某单一接口详细信息（包含IP配置）
 display interface eth0/0/1
 ​
 # 查看接口状态和协议状态（确定接口是否处于UP状态）
 display interface brief | include GigabitEthernet0/0/1
 # 确保输出中的“Status”是“up”。如果不是，你需要先使接口UP：
 enable
 system-view
 interface GigabitEthernet0/0/1
 startup-reason enable-link-protocol // 或者使用 startup 来启动接口，取决于具体型号和需求。
 quit
 quit
 ​
 # 查询路由信息
 display ip routing-table
 ​
 # 查看某网络特定路由
 display ip routing-table protocol static | include 192.168.1.0/24
 ​
 # 查看端口模式 旧版本设备可使用display interface [接口名称]查看详细配置信息
 display interface brief
 # 或
 display port vlan
 ​

重置命令

 # 交换机重置出厂模式配置命令
 system-view
 reset saved-configuration
 # 或
 reset saved-configuration
 ​
 # 想清除当前的配置更改而不完全重置到出厂设置 这会清除所有通过终端（console或telnet/ssh会话）进行的配置更改 但不会影响通过其他方式（如通过网络管理）进行的配置。
 clear configuration terminal
 ​

查看历史命令

 # 用户模式下 当前用户历史命令 默认显示最近10条
 display history-command
 # 将历史命令存储量提升至50条 修改后需使用reset history-command清除旧记录生效
 history-command max-size 50
 reset history-command
 ​
 # 所有用户历史命令•：具备3级及以上权限的用户可执行
 display history-command all-users
 ​