1. 项目概述与核心价值
最近在整理自己的技术笔记,翻到了一个几年前做的综合性实验项目,当时是为了备考华为HCIP认证,但又不满足于官方实验手册里那些相对割裂的练习。于是,我决定自己动手,设计并搭建一个融合了路由交换、防火墙策略和无线组网的“全功能”模拟网络环境。这个实验的标题很直白,就叫“华为HCIP综合实验加上防火墙和无线”。今天把它重新梳理出来,一方面是对自己过去学习路径的一个回顾,另一方面,我觉得这个实验的设计思路和其中遇到的“坑”,对于很多正在学习网络技术、希望将理论知识串联起来的朋友,依然有很强的参考价值。
这个实验的核心目标,是模拟一个中小型企业或分支机构的典型网络架构。你不再只是单独配置几台路由器交换OSPF,或者单独调试一个防火墙策略,而是需要让所有这些组件协同工作。从核心层的路由互通,到安全区域的边界防护,再到最终用户的无线接入,形成一个完整的、数据可以端到端流转的网络。通过这个实验,你能深刻理解在真实网络中,不同设备(路由器、交换机、防火墙、无线控制器)的角色定位、配置逻辑以及它们之间是如何“对话”的。无论是为了认证考试,还是为了提升实际工作中的排错和设计能力,亲手搭建并调通这样一个环境,其收获远大于看十遍理论书。
2. 实验拓扑设计与设备选型思路
2.1 拓扑结构规划
一个合理的拓扑是实验成功的基础。我设计的这个综合拓扑,遵循了经典的三层网络架构思想,并在此基础上集成了安全区和无线接入。
核心层/汇聚层:使用两台华为路由器(如AR系列模拟器)作为核心节点,运行OSPF动态路由协议,模拟企业网络骨干。它们之间通过直连链路建立邻居关系,负责整个网络内部路由的快速学习和转发。
接入层:使用华为交换机(如S系列模拟器)作为接入设备,下联用户终端。交换机与核心路由器之间也运行OSPF,将用户网段的路由信息发布到整个网络。
安全区域:这是关键的一环。我在企业内网(Trust区域)和外部网络(Untrust区域)之间部署了一台华为防火墙(如USG系列模拟器)。防火墙采用三层模式部署,即自身充当一个路由节点。它有两个关键接口:一个接口属于Trust区域,与内网核心路由器相连;另一个接口属于Untrust区域,模拟连接互联网。防火墙还需要配置一个DMZ区域,用于放置服务器(如Web服务器)。
无线网络:为了模拟无线接入,我使用了华为的AC(无线控制器)和AP(接入点)组件。AC负责管理AP、配置无线服务(SSID、加密方式等)和用户认证。AP在逻辑上“注册”到AC,并广播无线信号。AC通过一个二层或三层网络与核心交换机连接,确保无线用户的数据流能顺利进入有线网络。
注意:在模拟器环境中(如eNSP),确保你使用的软件版本支持所有需要的设备型号(特别是防火墙和AC/AP),并且镜像文件已正确加载。不同版本的模拟器对防火墙和无线功能的支持度差异很大,这是实验准备阶段最容易踩的坑。
2.2 设备型号与地址规划
在eNSP中,我通常选用以下设备进行模拟:
- 路由器:AR2220
- 交换机:S5700
- 防火墙:USG6000V(这是华为防火墙的虚拟化版本,功能比较完整)
- AC/AP:使用AC6005和AP6050DN的组合,或者直接使用AC6508这种集成度更高的模拟设备。
- 终端:若干PC和一台服务器。
IP地址规划表:
| 设备/链路 | 接口 | IP地址/网段 | 说明 |
|---|---|---|---|
| 核心路由器R1 | G0/0/0 | 10.1.12.1/30 | 连接R2 |
| G0/0/1 | 10.1.1.254/24 | 连接内网交换机,作为VLAN10网关 | |
| 核心路由器R2 | G0/0/0 | 10.1.12.2/30 | 连接R1 |
| G0/0/1 | 10.1.2.254/24 | 连接内网交换机,作为VLAN20网关 | |
| 内网交换机SW1 | VLAN10 | 10.1.1.0/24 | 市场部用户网段 |
| VLAN20 | 10.1.2.0/24 | 研发部用户网段 | |
| 防火墙FW | G1/0/1 (Trust) | 10.1.100.1/30 | 连接R1,属于Trust区域 |
| G1/0/2 (Untrust) | 202.100.1.2/30 | 模拟公网接口,对端为ISP路由器 | |
| G1/0/3 (DMZ) | 172.16.1.254/24 | 连接DMZ服务器 | |
| AC | 管理VLANIF | 10.1.100.10/24 | 管理地址,与网络可达 |
| 业务VLAN (VLAN30) | 10.1.3.0/24 | 无线用户获取的地址段 | |
| ISP路由器 | G0/0/0 | 202.100.1.1/30 | 连接防火墙 |
| Loopback0 | 8.8.8.8/32 | 模拟互联网上的一个地址 |
这个规划表是实验的“蓝图”,务必在配置前明确,避免地址冲突和路由混乱。
3. 基础网络与路由协议配置
3.1 交换机VLAN与链路配置
首先从接入层开始。在交换机SW1上,我们需要创建两个业务VLAN(VLAN10和VLAN20),并将连接PC的接口配置为Access模式,划入相应的VLAN。连接核心路由器R1和R2的接口则需要配置为Trunk模式,允许这两个VLAN的流量通过。
# 以华为S5700交换机为例 sysname SW1 vlan batch 10 20 interface GigabitEthernet 0/0/1 # 连接市场部PC port link-type access port default vlan 10 interface GigabitEthernet 0/0/2 # 连接研发部PC port link-type access port default vlan 20 interface GigabitEthernet 0/0/24 # 上联R1 port link-type trunk port trunk allow-pass vlan 10 interface GigabitEthernet 0/0/23 # 上联R2 port link-type trunk port trunk allow-pass vlan 20接下来,需要在交换机上配置VLANIF接口作为该网段的网关(当然,这个网关也可以配置在路由器上,这里采用三层交换机方案)。同时,为了让VLAN间路由信息能发布出去,需要在这些VLANIF接口上启用OSPF。
interface Vlanif10 ip address 10.1.1.1 255.255.255.0 interface Vlanif20 ip address 10.1.2.1 255.255.255.0 ospf 1 router-id 3.3.3.3 area 0.0.0.0 network 10.1.1.0 0.0.0.255 network 10.1.2.0 0.0.0.2553.2 核心路由器OSPF配置
在R1和R2上,配置连接交换机的接口地址(作为VLAN的网关),以及它们之间的互联地址。然后配置OSPF,发布所有直连网段和环回口(若有)。
# 路由器R1配置示例 sysname R1 interface GigabitEthernet 0/0/1 # 连接SW1,作为VLAN10网关 ip address 10.1.1.254 255.255.255.0 interface GigabitEthernet 0/0/0 # 连接R2 ip address 10.1.12.1 255.255.255.252 ospf 1 router-id 1.1.1.1 area 0.0.0.0 network 10.1.1.0 0.0.0.255 network 10.1.12.0 0.0.0.3R2的配置类似。配置完成后,使用display ospf peer和display ip routing-table命令在R1、R2和SW1上检查OSPF邻居状态是否正常,路由表中是否学到了彼此发布的网络路由。这是整个网络能够互通的基础。
实操心得:在模拟复杂网络时,我习惯给每台设备配置一个环回口(Loopback)地址作为Router-ID,这样更稳定。另外,在初始配置阶段,可以暂时关闭防火墙功能或在接口上应用
ospf enable命令,先确保底层IP连通性和OSPF邻居建立,避免因安全策略导致路由协议无法建立。
4. 防火墙安全策略与区域配置
防火墙的配置是本实验的重点和难点,它的逻辑与纯路由器有本质区别。
4.1 接口划入安全区域与地址配置
首先,根据拓扑规划,将防火墙的物理接口划入不同的安全区域(Security Zone)。
# 华为USG6000V防火墙配置 sysname FW firewall zone trust set priority 85 add interface GigabitEthernet 1/0/1 firewall zone untrust set priority 5 add interface GigabitEthernet 1/0/2 firewall zone dmz set priority 50 add interface GigabitEthernet 1/0/3 # 配置接口IP地址 interface GigabitEthernet 1/0/1 ip address 10.1.100.1 255.255.255.252 interface GigabitEthernet 1/0/2 ip address 202.100.1.2 255.255.255.252 interface GigabitEthernet 1/0/3 ip address 172.16.1.254 255.255.255.04.2 安全策略与NAT配置
防火墙默认拒绝所有跨区域流量。因此,我们必须配置安全策略(Security Policy)来允许必要的流量。例如,允许内网(Trust)用户访问互联网(Untrust)和DMZ服务器。
# 配置安全策略,允许Trust到Untrust的流量(上网) security-policy rule name trust_to_untrust source-zone trust destination-zone untrust action permit # 允许Trust到DMZ的流量(访问内部服务器) rule name trust_to_dmz source-zone trust destination-zone dmz action permit # 允许Untrust到DMZ的特定流量(公网访问Web服务器) rule name untrust_to_dmz_web source-zone untrust destination-zone dmz destination-address 172.16.1.10 mask 255.255.255.255 service http https # 仅允许HTTP/HTTPS服务 action permit接下来是网络地址转换(NAT)配置。内网用户访问互联网时,需要将其私有IP转换为防火墙出口的公网IP。
# 配置NAT地址池(使用出口接口地址) nat address-group internet_group mode pat section 0 202.100.1.2 202.100.1.2 # 配置NAT策略,对从Trust到Untrust的流量做源地址转换 nat-policy rule name trust_to_internet source-zone trust destination-zone untrust source-address 10.1.0.0 mask 255.255.0.0 # 匹配整个内网 action source-nat address-group internet_group对于DMZ的服务器,如果希望从公网访问,还需要配置目的NAT(DNAT),将公网IP的某个端口映射到服务器私网IP。
# 将公网IP 202.100.1.2的80端口映射到DMZ服务器172.16.1.10的80端口 nat server policy_web protocol tcp global 202.100.1.2 80 inside 172.16.1.10 804.3 防火墙路由与策略路由考量
防火墙作为三层节点,必须拥有路由能力。它需要知道如何到达内网(10.1.0.0/16)和互联网(默认路由)。
# 配置静态路由或通过动态路由学习 ip route-static 10.1.0.0 255.255.0.0 10.1.100.2 # 指向内网核心路由器R1 ip route-static 0.0.0.0 0.0.0.0 202.100.1.1 # 默认路由指向ISP同时,内网的核心路由器(R1)也需要添加一条默认路由指向防火墙的Trust接口地址(10.1.100.1),或者通过OSPF将默认路由注入内网。
踩坑记录:防火墙策略的匹配顺序至关重要,规则是从上到下逐条匹配的。一个常见的错误是,先写了一条拒绝所有的规则,后面的允许规则就失效了。另外,NAT策略和安全策略是相互独立的,流量需要同时被安全策略允许并被NAT策略匹配,才能正确转换并转发。调试时,务必使用防火墙的
display firewall session table和display nat session命令来查看会话建立和NAT转换情况,这是定位问题的利器。
5. 无线网络(AC+AP)部署详解
无线部分的配置逻辑是“集中管理,分布接入”。AC是大脑,AP是触手。
5.1 AC基础网络与AP管理配置
首先,确保AC的管理地址(VLANIF接口)与现有网络路由可达。然后,创建用于AP获取IP地址的DHCP地址池和用于无线终端用户(STA)的业务VLAN及地址池。
# AC基础配置 sysname AC vlan batch 100 30 # VLAN100用于AP管理,VLAN30用于无线业务 interface Vlanif100 ip address 10.1.100.10 255.255.255.0 interface Vlanif30 ip address 10.1.3.1 255.255.255.0 # 配置DHCP服务器 dhcp enable ip pool ap_management gateway-list 10.1.100.1 # AP的网关指向核心网络 network 10.1.100.0 mask 255.255.255.0 ip pool sta_business gateway-list 10.1.3.1 network 10.1.3.0 mask 255.255.255.0接下来,配置AP上线。在AC上指定AP的认证方式(如MAC地址认证或SN认证),并为其分配管理VLAN。
# 配置AP上线模板和域管理模板 wlan ap-group default regulatory-domain-profile default ap-auth mode mac-auth # 使用MAC地址认证,模拟器中常用 ap-id 0 type-id 35 mac-address xxxx-xxxx-xxxx # 填入模拟AP的MAC ap-group default5.2 无线业务配置(SSID与VAP)
这是无线用户能搜索并连接到的网络配置核心。
# 创建安全模板(设置加密方式) security-profile name wpa2_psk security wpa2 psk pass-phrase MyWirelessPass aes # 创建SSID模板(设置网络名称) ssid-profile name Corp-Net ssid Corp-Net # 创建VAP模板(将SSID、安全模板绑定到射频口,并指定业务VLAN) vap-profile name employee_vap ssid-profile Corp-Net security-profile wpa2_psk service-vlan vlan-id 30 # 无线用户将属于VLAN30 # 在AP组或AP上应用VAP模板 ap-group default vap-profile employee_vap wlan 1 radio 0 # 在2.4G射频上应用 vap-profile employee_vap wlan 1 radio 1 # 在5G射频上应用5.3 业务路由与互通性测试
配置完成后,无线AP会从AC获取到管理地址并成功上线(display ap all查看状态)。无线终端(如笔记本电脑)连接到“Corp-Net”后,会从AC的sta_business地址池中获得一个10.1.3.0/24网段的IP地址。
此时,我们需要确保核心网络的路由器(R1/R2)知道如何到达这个新的无线业务网段。有两种方法:
- 在AC上配置OSPF,将VLANIF 30的网段(10.1.3.0/24)发布出去。
- 在核心路由器上配置指向AC管理地址(10.1.100.10)的静态路由,但需要AC开启三层代理ARP或类似功能。更规范的做法是让AC作为路由节点参与OSPF。
# 在AC上配置OSPF,发布业务网段 ospf 1 router-id 10.10.10.10 area 0.0.0.0 network 10.1.100.0 0.0.0.255 # 管理网段 network 10.1.3.0 0.0.0.255 # 无线业务网段配置完成后,一个无线用户(10.1.3.x)应该能够ping通有线用户(10.1.1.x)和DMZ服务器(172.16.1.10),并且通过防火墙的NAT转换访问互联网(8.8.8.8)。
注意事项:在模拟环境中,无线终端的关联和获取IP有时不太稳定。如果终端无法获取IP,请依次检查:AC上的DHCP地址池配置是否正确、业务VLAN是否创建且UP、VAP模板中的
service-vlan是否指定正确、AC与核心网络的路由是否互通。使用display station ssid Corp-Net可以查看已连接的终端信息。
6. 端到端业务测试与故障排查实录
所有设备配置完毕后,必须进行系统的端到端测试,验证整个网络的连通性、安全策略和业务功能。
6.1 测试用例设计
我通常会设计以下测试场景,形成一个检查清单:
- 内部有线互通:市场部PC(10.1.1.x) ping 研发部PC(10.1.2.x)。验证基础路由交换配置。
- 内部无线互通:无线终端(10.1.3.x) ping 任意有线PC。验证无线业务配置和路由发布。
- 内网访问DMZ服务器:任意内网终端 ping 或访问 DMZ服务器(172.16.1.10)的Web服务。验证Trust->DMZ安全策略。
- 内网访问互联网:任意内网终端 ping 8.8.8.8(ISP环回口)。验证Trust->Untrust安全策略、NAT转换和默认路由。
- 互联网访问DMZ服务:在ISP路由器上,尝试访问
http://202.100.1.2。验证Untrust->DMZ安全策略和DNAT服务器映射。 - 互联网禁止访问内网:在ISP路由器上,ping 任意内网地址(如10.1.1.1)。此操作应被防火墙拒绝。验证防火墙的默认拒绝策略。
6.2 典型故障排查思路
在实际操作中,几乎不可能一次成功。以下是几个我遇到过的典型问题及排查步骤:
问题一:内网用户无法访问互联网。
- 排查路径:
- 检查路由:在内网PC上
tracert 8.8.8.8,看流量走到哪一跳中断。通常第一跳是网关,最后一跳应该是防火墙的Trust接口地址(10.1.100.1)。如果没到防火墙,检查内网OSPF路由。 - 检查防火墙会话:在防火墙上执行
display firewall session table | include 8.8.8.8,查看是否有去往该地址的会话建立。如果没有,说明流量被安全策略拒绝或未到达防火墙。 - 检查安全策略:确认
trust_to_untrust策略已正确配置并启用。使用display security-policy rule查看。 - 检查NAT转换:如果有会话但无转换,检查NAT策略。使用
display nat-policy和display nat session查看。 - 检查防火墙路由:在防火墙上
display ip routing-table,确认有默认路由指向ISP(202.100.1.1)。
- 检查路由:在内网PC上
问题二:无线用户能获取IP但无法访问内网资源。
- 排查路径:
- 检查无线终端IP:确认获取的IP属于10.1.3.0/24网段,网关是10.1.3.1。
- 检查AC路由:在AC上
display ip routing-table,确认有到内网网段(10.1.1.0/24, 10.1.2.0/24)的路由,是通过OSPF学到的。 - 检查核心路由:在核心路由器R1上
display ip routing-table,确认有到无线业务网段(10.1.3.0/24)的路由,下一跳是AC(10.1.100.10)。 - 检查VLAN和接口状态:在AC和上游交换机上,确认业务VLAN(30)和管理VLAN(100)的接口和物理链路都是UP状态。
问题三:公网无法访问DMZ的Web服务器。
- 排查路径:
- 检查DNAT配置:在防火墙上
display nat server,确认映射关系正确且全局生效。 - 检查安全策略:确认
untrust_to_dmz_web策略允许来自Untrust区域访问DMZ区域服务器的HTTP/HTTPS服务。 - 检查服务器本身:在DMZ服务器上,确认Web服务已启动,并且本地防火墙(如果有)允许接入。
- 模拟测试:先在防火墙的Untrust接口上,使用
ping -a 202.100.1.2 172.16.1.10测试连通性。如果通,再测试具体端口telnet 172.16.1.10 80。
- 检查DNAT配置:在防火墙上
6.3 配置归档与文档化
当所有测试通过后,一个非常好的习惯是,将每台设备的完整配置导出并保存。在eNSP中,可以使用display current-configuration命令。这不仅是为了备份,更是为了学习。通读一遍自己搭建的整个网络的配置,你会对各个协议、策略之间的联动有更宏观、更深刻的理解。你可以思考:如果公司新增一个部门(VLAN),需要在哪些设备上做改动?如果无线网络要单独做一个访客SSID并隔离,该如何配置?这些思考能将一个静态的实验,变成动态的技能。
这个综合实验就像一次完整的网络工程演练。它强迫你将HCIP中分散的知识点——路由、交换、安全、无线——串联成一个有机的整体。过程中遇到的每一个报错、每一次排错,都是对你理论知识的巩固和实战能力的提升。当你最终看到从无线终端发出的数据包,穿越AC、交换机、路由器、防火墙,最终到达互联网并收到回应的那一刻,那种对网络架构融会贯通的成就感,是任何单一部分的实验都无法比拟的。
