基于eNSP的中小型園區高效組網策略研究

摘" 要：針對中小型園區網絡的高效組網需求，研究了基于eNSP平臺的組網策略。該策略綜合運用了VLAN技術、多生成樹協議、鏈路聚合、端口隔離、單臂路由及靜態浮動路由等技術，實現了園區網絡的多部門安全隔離、通信鏈路冗余備份及高效數據傳輸。仿真實驗結果表明，該策略有效提升了園區網絡的可靠性和靈活性，降低了網絡維護成本，為中小型園區網絡的高效、安全組網提供了切實可行的解決方案。

關鍵詞：eNSP；中小型園區組網；高效策略；路由交換技術

中圖分類號：TP393.1 文獻標識碼：A 文章編號：2096-4706（2025）01-0001-08

Research on High-efficiency Networking Strategy of Small and Medium-sized Parks Based on eNSP

Abstract： A networking strategy based on the eNSP platform is studied to address the efficient networking needs of network in small and medium-sized parks. This strategy comprehensively uses VLAN technology， Multiple Spanning Tree Protocol， link aggregation， port isolation， single-arm routing， and static floating routing to achieve multi-department security isolation， redundancy backup of communication links， and efficient data transmission within the park network. Simulation results show that this strategy effectively enhances the reliability and flexibility of park network， reduces the network maintenance costs， and provides a practical solution for efficient and secure networking to the network in small and medium-sized parks.

Keywords： eNSP; networking of small and medium-sized parks; efficient strategy; Routing and Switching technology

0" 引" 言

在企業園區網絡的設計與建設過程中，高可靠性、高效性以及安全性始終是網絡工程師關注的焦點[1]。隨著信息技術的不斷發展，中小型園區網絡面臨著日益復雜的業務需求，如多部門間的安全隔離、高效數據傳輸，以及網絡冗余備份等。因此研究一種高效且可靠的組網策略，對于提升園區網絡的運行效率和管理水平具有重要意義。

本文基于華為eNSP（Enterprise Network Simula-tion Platform）網絡仿真平臺[2]，提出了一種針對中小型園區的高效組網策略。該策略綜合運用了VLAN技術、MSTP、鏈路聚合、端口隔離、單臂路由及浮動路由、訪問控制列表等多種路由交換技術，旨在實現園區網絡的多部門安全隔離、通信鏈路冗余備份及高效數據傳輸的實際業務需求，通過eNSP平臺，可以模擬真實的網絡環境[3-4]，對這些技術進行詳細的配置與測試，從而驗證策略的有效性和可行性。

1" 有關技術介紹

1.1" VLAN技術

VLAN（Virtual Local Area Network）技術是將一個物理局域網在邏輯上劃分成多個虛擬局域網的技術，它能夠有效隔離廣播域，提高網絡的安全性和可管理性。在中小型園區網絡中，通過VLAN劃分，可以實現不同部門之間的安全隔離，防止廣播風暴的發生，VLAN間的路由還可以在隔離廣播的同時保持正常通信[5-6]，從而提高網絡的整體性能。

1.2" MSTP技術

MSTP（Multiple Spanning Tree Protocol）是一種改進的生成樹協議[7]，能在避免網絡環路的同時，實現鏈路的冗余備份和負載分擔。在中小型園區網絡中，MSTP的應用可以有效提升網絡的可靠性和穩定性，確保鏈路故障時的快速恢復。

1.3" 鏈路聚合技術

鏈路聚合技術通過將多條物理鏈路捆綁成一條邏輯鏈路，可以增加網絡帶寬，提高鏈路的可靠性。其分為手動和鏈路匯聚控制協議（Link Aggregation Control Protocol， LACP），是一種實現鏈路動態匯聚的協議，在中小型園區網絡中，通過鏈路聚合，可以交換網絡間的高帶寬連接，并可以使用N∶M模式形成主備鏈路，在滿足大量數據傳輸的需求的同時，可以提高鏈路的冗余性[8]。

1.4" 端口隔離技術

端口隔離技術通過在交換機上配置端口隔離規則，可以限制不同端口之間的通信，防止非法訪問和廣播風暴的發生[9]。在中小型園區網絡中，通過端口隔離技術，可以實現不同部門之間的安全隔離，提高網絡的安全性。

1.5" 單臂路由技術

單臂路由技術通過在單個物理接口上配置多個子接口，實現不同VLAN之間的路由功能[10]。在中小型園區網絡中，通過單臂路由技術，可以實現不同VLAN之間的互聯互通，同時保持網絡的安全隔離，其可以充分發揮路由器隔離廣播域的效果，同時節省了路由接口的使用，能夠降低組網成本。

1.6" 浮動路由技術

浮動路由技術是一種在靜態路由基礎上增加冗余備份的機制，它通過設置多條路由路徑，并在主路徑故障時自動切換到備份路徑，確保網絡的連通性[11-12]。在中小型園區網絡中，通過靜態浮動路由技術，可以實現網絡路徑的冗余備份，提高網絡的可靠性和穩定性。

1.7" ACL訪問控制列表

ACL（Access Control List）是一種基于規則的網絡安全策略，用于控制進出網絡的數據流。其主要特點包括靈活性高、配置簡單、管理方便。通過ACL，網絡管理員可以精細控制網絡訪問權限，提高網絡安全性[13-15]。實驗中采用的二層ACL不僅可以實現基于MAC地址或VLAN ID的流量過濾，還可以與服務質量（Quality of Service， QoS）服務結合，為不同優先級的流量分配不同的帶寬和處理資源，確保關鍵業務的高效傳輸。

2" 中小型園區高效組網策略研究

本節以某公司組網需求為例，設計工程實際中的組網應用，以驗證所提方案的有效性。

2.1" 實驗總體思路

本研究使用華為eNSP 1.3.00.100網絡設備仿真平臺，設計了一種滿足某企業具體業務需求的拓撲結構的企業園區網，如圖1所示。該組網中SW4是匯聚交換機（選用三層交換機S5700），SW1、SW2、SW3是接入交換機（選用二層交換機S3700），R1、R2使用通用路由設備，該網絡旨在實現安全可靠的多部門分組管理和通信組網鏈路的冗余備份，具體業務需求包括：一是各部門獨立管理廣播域，防止廣播風暴，領導區與辦公室區可自動獲取IP上網；二是領導機構對全網可通信，且僅領導機構可與其他分公司通信；三是本公司內和與分部通信需有冗余備份保障；四是人事、財務之間不能單獨互相通信，客戶業務組的流量需得到控制。

2.2" 規劃設計做法

為滿足上述業務需求，網絡規劃分為兩部分：安全可靠的多部門分組管理和通信組網鏈路的冗余備份。

2.2.1" 安全可靠的多部門分組管理

綜合運用VLAN、單臂路由、DHCP、ACL等技術，實現各部門間的安全隔離與高效通信，具體內容如下：

1）領導機構。PC1、PC2屬于VLAN2，隔離廣播；R1開啟單臂路由功能，使用G0/0/0.1作為網關；R1開啟DHCP服務，使VLAN2內設備可以自動獲得IP與DNS配置；R1與SW4間配置默認路由使兩側可以互相通信，R1與R2之間使用靜態路由進行網絡通聯；R2設備以loopback接口作為其他區域的仿真測試地址。

2）辦公室區。PC3、4、5屬于VLAN3，隔離廣播；R1開啟單臂路由功能，使用G0/0/0.2作為網關；可R1開啟DHCP服務；建立端口隔離組使該區域設備不能直接獨立通信，但是可以與領導機構及其他部門設備進行通信。

3）對外業務。營銷部、工程部、商務部同屬VLAN10，隔離廣播，以三層交換機vlanif10作為網關。

4）對內業務。售后部、技術部同屬VLAN20，隔離廣播，以三層交換機vlanif20作為網關。

5）使用二層ACL實施流量。采用ACL流策略對兩個業務組的上行流量提供QoS保障，在SW4上配置ACL匹配不同的VLAN ID以區分不同的業務，并在SW4上配置基于ACL的流量監管，對報文分別限速。

2.2.2" 通信組網鏈路的冗余備份

結合使用MSTP、鏈路聚合、浮動路由等技術，以確保網絡的可靠運行和故障恢復能力，具體內容如下：

1）在SW2、SW3、SW4間配置多生成樹MSTP，SW1為VLAN10首選根橋，SW2為VLAN20首選根橋，VLAN間可以服用鏈路而且隔離廣播，并起到冗余備份作用。

2）R1與SW4的鏈路聚合LACP，提供更高的帶寬保障，并使用N∶M模式，鏈路聚合組的活動接口的上限閾值設置為2，非活動的為1，N + M=3，2為當前連接的鏈路數量，若產生故障，備用鏈路則進行自動切換；聚合鏈路使用0.0.14.0/24網段。

3）與其他分公司網絡的通信鏈路備份，R1與R2連接，配置浮動路由，兩條路由鏈路優先級不同（虛實線作為區分表現，虛線表示備份鏈路），實驗中設置E口的路由優先級高于S口，優先使用E口鏈路路由，當線路出現故障時，浮動路由可以進行自動切換。

2.3" 組網IP地址規劃

根據上述網絡規劃設計，在企業園區中劃分了5個VLAN，其中VLAN 2是領導機構，VLAN 3是辦公室區，VLAN 5是企業服務器，VLAN 10是對外業務，VLAN 20是對內業務。VLAN2、3以SW1的VLANIF作為網關，VLAN5、10、20以SW4的VLANIF作為網關進行配置，R2上配置其他外部區域，具體網段及設備IP地址劃分如表1所示。

3" 組網策略配置實現

3.1" 配置SW1

該部分主要負責領導機構和辦公室區域的網絡交換，進行設備信息、VLAN接口、MSTP的配置，對辦公室區設備進行端口隔離，主要配置做法與關鍵命令如下：

[HUAWEI]sysname SW1

[SW1]vlan batch 2 3" #批量創建VLAN

[SW1]interface Ethernet0/0/1" #進入接口

[SW1-Ethernet0/0/1]port link-type access" #配置接口類型

[SW1-Ethernet0/0/1] port default vlan 2" #配置默認VLAN

**SW1 E0/0/2配置方式參考E0/0/1，不再贅述**

[SW1]interface Ethernet0/0/3

[SW1-Ethernet0/0/3]port link-type access

[SW1-Ethernet0/0/3] port default vlan 3

[SW1-Ethernet0/0/3]port-isolate enable group 1" #配置端口隔離組1，同組內設備不能直接通信

**SW1 E0/0/4、E0/0/5配置方式參考E0/0/2**

3.2" 配置SW2

該部分主要負責業務部門的VLAN劃分、MSTP的配置，主要配置做法與關鍵命令如下：

[SW2]vlan batch 10 20

[SW2]interface GigabitEthernet0/0/1

[SW2- GigabitEthernet0/0/1]port link-type trunk" #干道鏈路類型

[SW2- GigabitEthernet0/0/1]port trunk allow-pass vlan all" #放行全部VLAN

**SW2 G0/0/2配置方式參考G0/0/1，VLAN access配置方法均同SW1**

[SW2]stp mode mstp" #多重生成樹配置模式

[SW2]stp region-configuration

[SW2-mst-region]region-name 1

[SW2-mst-region]instance 10 vlan 10nbsp; #配置實例映射VLAN10

[SW2-mst-region]instance 20 vlan 20

[SW2-mst-region]active region-configuration #激活配置

[SW2]stp instance 10 root primary #在VLAN10上以SW2為首根

[SW2]stp instance 20 root secondary #在VLAN20上以SW2為次要根

3.3" 配置SW3

關于VLAN的配置方法參考SW1，多重生成樹MSTP配置區別如下：

[SW3]stp instance 20 root primary #在VLAN20上以SW2為首根

[SW3]stp instance 10 root secondary

3.4" 配置SW4

主要負責區域聯通和訪問控制，對SW4進行VLAN、MSTP、VLAN間路由、鏈路聚合及ACL配置，主要配置做法與關鍵命令如下。

3.4.1" 通聯部分

通聯部分的主要配置做法與關鍵命令如下：

[SW4]vlan batch 5 10 20

**SW4的int g0/0/1、int g0/0/2進行trunk配置，方法同SW1；SW4的int g0/0/6進行aceess配置，默認VLAN號為5，方法同SW1**

[SW4]interface Vlanif10" "#進入VLAN虛接口

ip address 10.0.0.254 255.255.255.0" #配置VLAN的網關地址

[SW4]interface Vlanif20

ip address 20.0.0.254 255.255.255.0

[SW4]interface Vlanif5

ip address 192.168.5.254 255.255.255.

[SW4]stp mode mstp" #多重生成樹配置模式

**SW4的多重生成樹配置方法與SW1、SW2一致，區別是不配置指定根橋。實現SW4與R1的通信，首先進行鏈路聚合**

[SW4]interface eth-trunk 1" #進入鏈路聚合接口

[SW4-Eth- Trunkl]mode lacp #將鏈路聚合模式指定為LACP

[SW4-Eth-Trunkl]max active-linknumber 2 #鏈路聚合組的活動接口的上限閾值設置為2

[SW4 -Eth- Trunk1] load-balance src-dst-mac #將負載均衡方式指定為src-dst-mac。

[SW4]interface GigabitEthernet0/0/3

[SW4-GigabitEthernet0/0/3]eth-trunk 1 #將此接口加入聚合接口eth 1

**SW4的G0/0/4與G0/0/5配置同G0/0/3**

[SW4]ip route-static 0.0.0.0 0 10.0.14.1" #網絡末節直接配置默認路由

[SW4]int vlan1 #交換機聚合接口不可直接配置IP，使用VLAN1的管理接口

[SW4]ip ad 10.0.14.4 24" #配置與R1聚合口同網段的IP

3.4.2" 訪問控制

基于ACL的流量監管，對業務部門的報文分別限速。SW4為上行流量提供的QoS保障如表2所示。

承諾信息速率（Committed Information Rate， CIR）：每秒可通過的速率，計量單位為kbit/s（以bit位為單位）。如設置為500 kbit/s，1 kbit/s=1 024 bit。

峰值信息速率（Peak Information Rate， PIR）：即允許傳輸或轉發報文的最大速率；單位為bit。

采用如下的思路配置基于ACL的簡化流策略實現流量監管：一是在SW4上配置ACL匹配不同的VLAN ID以區分不同的業務；二是在SW4上配置基于ACL的流量監管，對報文分別限速。具體內容如下：

[SW4] acl 4001" #在Sw4上創建二層ACL，對不同業務流按照其VLAN ID進行分類。

[SW4-acl-L2-4001] rule 1 permit vlan-id 10" #創建規則允許VLAN10通過

[SW4] acl 4002

[SW4-acl-L2-4002] rule 1 permit vlan-id 20" #創建規則允許VLAN20通過

配置流量監管的具體內容如下：

在Sw4的接口GE0/0/1與G0/0/2入方向上配置流量監管，對報文進行限速。

[SW4-GigabitEthernet0/0/1] traffic-limit inbound acl 4001 cir 8000 pir 10000

[SW4-GigabitEthernet0/0/1] traffic-limit inbound acl 4002 cir 4000 pir 10000

**SW4的G0/0/2配置同G0/0/1**

3.5" 配置R1

該部分主要負責VLAN劃分、VLAN間路由、DHCP分配地址、鏈路聚合、浮動路由的功能，主要配置做法與關鍵命令如下：

[R1]int g0/0/0.1" #單臂路由進行VLAN間路由，進入子接口

[R1-GigabitEthernet0/0/0.1]ip ad 192.168.2.254 24

[R1-GigabitEthernet0/0/0.1]dot1q termination vid 2 #單臂路由啟用802.1q并對應VLAN2

[R1-GigabitEthernet0/0/0.1]arp broadcast enable" "#開啟ARP廣播功能

**R1的g0/0/0.2配置方法參考g0/0/0.1**

[R1]dhcp enable" "#開啟DHCP服務

[R1]ip pool vlan2" #創建地址池

[R1-ip-pool-vlan2]gateway-list 192.168.2.254" #設置網關地址

[R1-ip-pool-vlan2]dns-list 192.168.5.100" #指定DNS地址

[R1-ip-pool-vlan2]network 192.168.2.0 mask 24" #宣告網絡和掩碼

[R1-ip-pool-vlan2]excluded-ip-address 192.168.2.100 192.168.2.253" #預留手工地址

[R1-ip-pool-vlan2]lease day 1 #設置地址租期

**VLAN3地址池配置方法參考VLAN2**

[R1-GigabitEthernet0/0/0.1] dhcp select global" #開啟全局DHCP

**R1的g0/0/0.2配置方法參考g0/0/0.1**

[R1]int g0/0/1" #配置到R2的浮動路由

[R1-GigabitEthernet0/0/1]ip address 10.0.12.1 24

[R1-Serial0/0/0]ip address 10.0.21.1 24

[R1]ip route-static 1.1.1.1 32 10.0.12.2 preference 100" #通過優先級修改使其路由顯現

[R1]ip route-static 1.1.1.1 32 10.0.21.2 preference 110" #路由隱藏

[R1]interface eth-trunk 1" #進行鏈路聚合

[R1-Eth- Trunkl]mode lacp" #將負載均衡指定為LACP模式

[R1-Eth-Trunkl]max active-linknumber 2

[R1 -Eth- Trunk1] load-balance packet-all" #將負載均衡方式指定為packet-all

[R1-GigabitEthernet0/0/1]eth-trunk 1

**R1的G0/0/2、G0/0/3配置方法參考g0/0/1**

[R1-Eth-Trunk1]ip ad 10.0.14.1 24" "#配置聚合口地址，與SW4的vlanif 1于同網段

通過dis trunkmembership eth 1查看活動的接口

[R1]ip route-static 0.0.0.0 0 10.0.14.4" #配置默認路由

3.6" 配置R2

該部分的主要配置做法與關鍵命令如下：

[R1]int loopback 0

[R2-LoopBack0]ip address 1.1.1.1 32" #配置測試地址，代表其他公司分部

[R1-Ethernet0/0/0]ip address 10.0.12.2 24

[R1-Serial0/0/0]ip address 10.0.21.2 24

[R2]ip route-static 192.168.2.0 24 10.0.12.1 p 100" #配置通往領導機構的路由

[R2]ip route-static 192.168.2.0 24 10.0.21.1 p 110" #配置通往領導機構的備份路由

4" 實驗驗證

4.1" 部門間廣播分組與自動獲取IP

結合eNSP內部功能及Wireshark抓包工具進行驗證，驗證方法為同網段設備進行ping測試，根據MAC地址進行篩選，命令eth.addr = = ff：ff：ff：ff：ff：ff，若其他網段接口并不會接收到廣播幀。如圖2所示，PC6與PC8同屬交換機SW2不同VLAN，PC6向PC7發起ping，PC8并不會收到廣播幀，結果表明有效地分隔了各部門廣播分組。DHCP配置完成后，VLAN2與VLAN3區域可以獲取本地IP、網關及DNS配置，如圖3所示。

4.2" 領導機構通信情況

驗證領導機構可以與全網進行通信，于PC2向全網絡發起ping測試，可證明其與全網聯通，如圖4所示；且僅領導機構可與其他分公司通信功能，由PC1向1.1.1.1/32發起ping測試可以聯通，如圖5所示。

4.3" 通信的冗余備份

驗證MSTP多生成樹測試情況。使用PC6向PC9發起ping測試，SW3的G0/0/1口可以抓取到數據包，SW4的G0/0/1抓取無數據包。進入SW2的G0/0/2接口使用命令shutdown命關閉該接口，間隔一段時間后，SW4的G0/0/1可以抓取到數據包，證明10.0.0.0/24網段通信恢復正常，且自動切換了路徑，如圖6所示。

驗證鏈路聚合情況。通過dis trunk eth 1命令查看活動的接口，G0/0/3、G0/0/4為正常活動接口，G0/0/5非啟用狀態。關閉SW4的G0/0/3口，發現G0/0/5轉為活動接口，驗證LACP鏈路聚合有效，如圖7所示。

驗證浮動路由備份情況。R1上使用命令dis ip routing-table查看路由表，發現于1.1.1.1/32路由選擇為E0/0/0鏈路，關閉此接口后再次查看路由表，發現路由選擇為S0/0/0口鏈路，可看出二者優先級不同，如圖8所示。

4.4" 組內通信控制與業務流量控制

驗證端口隔離。PC4使用ipcofnig查看本機地址，顯示本機主機地址為192.168.3.99/24，ping秘書主機192.168.3.9/24可以通信，ping財務192.168.3.97/24不可以通信，如圖9所示。

驗證ACL流配置結果。使用命令display traffic-applied interface G0/0/1 inbound，分別查看SW4的G0/0/1和G0/0/2接口入方向上應用的ACL規則和流動作信息，證明流控配置信息已經生效，如圖10所示。

5" 結" 論

研究基于華為eNSP平臺，綜合運用多種路由交換技術，設計并驗證了一種高效、可靠的中小型園區網絡組網策略。該策略顯著提升了園區網絡的可靠性和靈活性，降低了維護成本，并通過仿真實驗驗證了其有效性。未來研究應進一步探索新技術應用，優化網絡配置，以適應更高帶寬、更低延遲的需求，并引入更先進的網絡管理和安全技術，推動園區網絡向更高質量、更高效益的方向發展。

參考文獻：

[1] 時晨，趙洪鋼，余瑞豐，等.基于eNSP的高可靠性企業園區網設計與仿真 [J].實驗室研究與探索，2020，39（2）：112-117.

[2] 張振鋒，吳南，王贊森.基于eNSP仿真平臺的中小型企業組網實驗與設計 [J].網絡安全技術與應用，2023（12）：11-14.

[3] 郭文普，陳天豪，楊百龍.基于eNSP的中小型企業組網實驗設計 [J].實驗室研究與探索，2022，41（2）：125-129+296.

[4] 吳魏，郭芳.基于eNSP的計算機網絡實驗課程設計 [J].網絡安全技術與應用，2022（12）：76-78.

[5] 孟祥成.基于eNSP的二層VLAN虛擬仿真實驗 [J].實驗室研究與探索，2017，36（9）：102-106.

[6] 廉佐政，王海珍.大型局域網中VLAN間可靠通信的仿真設計 [J].計算機仿真，2015，32（7）：296-302.

[7] 王麗.生成樹協議與交換網絡環路的研究 [J].數字技術與應用，2016（2）：87.

[8] 趙琦.基于UDT的無線網絡鏈路聚合軟件設計與實現 [D].成都：西南交通大學，2023.

[9] 林初建，張四海，王海英，等.基于非對稱VLAN的端口隔離技術研究與應用 [J].華東師范大學學報：自然科學版，2015（S1）：232-239.

[10] 張科學，呂鑫淼，鄭慶學，等.基于eNSP的智慧礦山網絡防火墻技術研究 [J].中國煤炭，2024，50（8）：94-103.

[11] 于浩川.軟件定義無線網絡高效組網技術研究與實現 [D].北京：北京郵電大學，2024.

[12] 溫賀平.基于eNSP的安全園區網實驗設計與構建 [J].實驗室研究與探索，2018，37（4）：126-129+169.

[13] 李勇，楊華芬.訪問控制列表在模擬器中的實驗仿真與分析 [J].實驗室研究與探索，2018，37（12）：137-140+146.

[14] 梁海華，盤麗娜，錢振江.基于eNSP的網絡實驗綜合設計與漸進實踐 [J].實驗室研究與探索，2022，41（9）：140-145.

[15] 賈楠，石磊，郭靜霞，等.基于eNSP、VirtualBox和Kali的DHCP多層次闖關實驗設計 [J].實驗科學與技術，2024，22（2）：1-7.