ensp实验二:VLAN划分

### ENSP 实验中配置防火墙策略以允许 PC 间 Ping 操作 #### 配置 VLAN 和 IP 地址 为了使不同 VLAN 中的 PC 能够相互通信并执行 ping 测试，首先需要确保各设备位于正确的 VLAN 并拥有合适的 IP 地址设置。 对于 SW1 的 VLAN3 配置如下： ```shell [SW1]interface Vlanif 3 [SW1-Vlanif3]ip address 192.168.3.1 24 ``` 接着，在连接至交换机相应端口上的每台 PC 上分配静态 IP 地址。例如，假设两台 PC 分别属于同一子网 `192.168.3.x`[^2]。 #### 定义信任区域与非信任区域 定义不同的安全域有助于更好地管理流量方向以及应用适当的安全措施。通常情况下，“内部网络”会被视为可信区（Trust Zone），而外部互联网或其他不可控资源则被划分为不信任区（Untrust Zone）。 在本案例中，如果希望让处于 Trust 区内的主机能够互相发送 ICMP 请求，则需指定哪些接口归属于这些特定的安全级别: ```shell [FW1]firewall zone trust [FW1-zone-trust]add interface GigabitEthernet1/0/0 // 假设此接口连接到内网交换机 ``` 同样地，针对其他可能存在的 DMZ 或 Untrust 接口也应做相应的设定[^3]。 #### 创建允许 ICMP 协议通过的安全规则 为了让来自某个源地址范围的数据包可以通过防火墙到达目标位置而不受阻拦，必须创建一条明确许可该类行为的安全策略。考虑到实验目的即允许同属一个局域网下的计算机相互响应 echo-request 报文，可以在防火墙上添加如下命令： ```shell [FW1]policy interzone local trust outbound [FW1-policy-interzone-local-trust-outbound]permit icmp source any destination any // 如果仅限于特定 IP 对之间的通讯可改为具体 IP 如下所示： //[FW1-policy-interzone-local-trust-outbound]permit icmp source 192.168.3.0 mask 255.255.255.0 destination 192.168.3.0 mask 255.255.255.0 ``` 上述指令表示从本地发起前往 Trust 区向外传输的所有 ICMP 类型数据都将获得授权通行的权利。这一步骤至关重要，因为默认状态下许多企业级防火墙会阻止除 HTTP(S) 外大部分未经特别指明的服务请求，包括简单的 ping 指令[^1]。 完成以上步骤之后，再次尝试由一台 PC 向另一台发出 ping 请求应该可以看到正常的往返时间记录而非超时错误提示。

### 华为ENSP平台上单臂路由实验配置教程 #### 实验环境搭建 为了实现单臂路由功能，在华为ENSP仿真环境中需构建如下拓扑结构： - **设备准备** - 路由器：AR2220型号一台。 - 交换机：LSW1和LSW2各一台。 - PC终端：PC1至PC4共四台。 #### VLAN划分与端口属性设定 针对两台交换机执行必要的VLAN创建以及端口模式调整工作，具体命令如下所示： 对于**LSW1**而言， ```shell [LSW1]interface GigabitEthernet0/0/1 [LSW1-GigabitEthernet0/0/1]port link-type access [LSW1-GigabitEthernet0/0/1]port default vlan 10 [LSW1-GigabitEthernet0/0/1]quit [LSW1]interface GigabitEthernet0/0/2 [LSW1-GigabitEthernet0/0/2]port link-type trunk [LSW1-GigabitEthernet0/0/2]undo port trunk allow-pass vlan 1 [LSW1-GigabitEthernet0/0/2]port trunk allow-pass vlan 10 20 ``` 同样地处理**LSW2**, ```shell [LSW2]interface GigabitEthernet0/0/1 [LSW2-GigabitEthernet0/0/1]port link-type access [LSW2-GigabitEthernet0/0/1]port default vlan 20 [LSW2-GigabitEthernet0/0/1]quit [LSW2]interface GigabitEthernet0/0/2 [LSW2-GigabitEthernet0/0/2]port link-type trunk [LSW2-GigabitEthernet0/0/2]undo port trunk allow-pass vlan 1 [LSW2-GigabitEthernet0/0/2]port trunk allow-pass vlan 10 20 ``` 以上操作确保了不同VLAN间的通信能够通过Trunk链路传输到另一侧的交换机上[^2]。 #### 子接口配置及IP地址分配 接下来是在路由器上建立相应的子接口来连接各个VLAN，并为其指定合适的IPv4地址作为该网段内的默认网关： ```shell [AR2220]interface Ethernet0/0/0.10 [AR2220-Ethernet0/0/0.10]encapsulation dot1q 10 [AR2220-Ethernet0/0/0.10]ip address 192.168.10.254 255.255.255.0 [AR2220-Ethernet0/0/0.10]arp broadcast enable [AR2220-Ethernet0/0/0.10]quit [AR2220]interface Ethernet0/0/0.20 [AR2220-Ethernet0/0/0.20]encapsulation dot1q 20 [AR2220-Ethernet0/0/0.20]ip address 192.168.20.254 255.255.255.0 [AR2220-Ethernet0/0/0.20]arp broadcast enable ``` 上述指令完成了对两个VLAN（即VLAN10和VLAN20）对应的逻辑接口定义及其参数初始化过程。 #### DHCP服务器部署 为了让客户端自动获取有效的网络配置信息，还需启动并适当配置DHCP服务： ```shell [AR2220]dhcp enable [AR2220]ip pool Vlan10 [AR2220-ip-pool-Vlan10]network 192.168.10.0 mask 255.255.255.0 [AR2220-ip-pool-Vlan10]gateway-list 192.168.10.254 [AR2220-Vlan10]quit [AR2220]ip pool Vlan20 [AR2220-ip-pool-Vlan20]network 192.168.20.0 mask 255.255.255.0 [AR2220-ip-pool-Vlan20]gateway-list 192.168.20.254 [AR2220-ip-pool-Vlan20]dns-list 8.8.8.8 ``` 至此，整个基于华为ENSP平台下的单臂路由实验所需的基础设置已经完成。后续可根据实际需求进一步优化或扩展此架构的功能特性。