网络工程设计02——ensp基础

本文主要用于快速熟悉ensp操作，完成网络工程设计拓扑设计部分，详细教程请参考：https://wwf.lanzoue.com/iB0iW0fir80j

数据传输网络-三层结构体系：

• 核心层：

  核心层是互连网络的高速主干网，在设计中应增加冗余组件，使其具备高可靠性，能快速适应通信流量的变化。 设计核心层设备的功能时应避免使用数据包过滤、策略路由等降低转发速率的功能特性，使得核心层具有高速率、低延迟和良好的可管理性。核心层设备覆盖的地理范围不宜过大，连接的设备不宜过多，否则会使得网络的复杂度增大，导致网络性能降低。核心层应包括一条或多条连接外部网络的专用链路，使得可以高效地访问互联网。

• 汇聚层：

  汇聚层是核心层与接入层之间的分界点，应实现资源访问控制和流量控制等功能。汇聚层应该对核心层隐藏接入层的详细信息，不管划分了多少个子网，汇聚层向核心路由器发布路由通告时，只通告各个子网汇聚后的超网地址。 如果局域网中运行了以太网和弹性分组环等不同类型的子网，或者运行了不同路由算法的区域网络，可以通过汇聚层设备完成路由汇总和协议转换功能。

• 接入层：

  接入层提供网络接入服务，并解决本地网段内用户之间互相访问的需求，要提供足够的带宽，使得本地用户之间可以高速访问；接入层还应提供一部分管理功能，例如MAC地址认证、用户认证、计费管理等；接入层要负责收集用户信息（例如用户U地址、MAC地址、访问日志等），作为计费和排错的依据。

接口配置比较简单，正文中实验步骤都跳过了，不清楚可以百度

1、VRP基础操作

//关闭信息提示
undo info en

//查看路由器基本信息
<R1>display version

//使用 display ip interface brief 命令查看接口与 IP 相关摘要信息
[R1-GigabitEthernet0/0/0]display ip interface brief
dis ip int br

//查看路由器配置信息
<R1>display ip routing-table

1.1、通过Telent登录系统

为了方便公司员工对机房设备进行远程管理和维护，需要在路由器上配置 Telnet 功能。为了提高网络安全性，用户在 Telnet 时使用密码认证，只有通过认证的用户才有权限登录设备。

拓扑及设备信息：

1、配置 Telnet 的密码验证

//配置Telnet的密码验证
[R1]user-interface vty 0 4
[R1-ui-vty0-4]authentication-mode password
Please configure the login password (maximum length 16):[此处输入密码]

//在其他设备连接
<PC-1>telnet 10.1.1.254
Trying 10.1.1.254 ...
Press CTRL+K to abor
Connected to 10.1.1.254 ...
Login authentication
Password:[此处输入密码] 
//登录成功后，可以继续使用命令 display users 查看已经登录的用户信息。
[R1]display users
User-Intf Delay Type Network Address AuthenStatus AuthorcmdFlag
+ 0 CON 0 00:00:00 no Username : Unspecified
34 VTY 0 00:01:26 TEL 10.1.1.2 pass no U
sername : Unspecified
35 VTY 1 00:00:30 TEL 10.1.1.1 pass no U
sername : Unspecified

2、 配置 Telnet 区分不同用户的权限

//在 R1 上配置 Telnet 的用户级别为 1（监控级）。普通员工仅使用密码登录设备，只能使用 display 等命令监控设备。
[R1]user-interface vty 0 4
[R1-ui-vty0-4]authentication-mode password
[R1-ui-vty0-4]set authentication password cipher [此处输入密码]
[R1-ui-vty0-4]user privilege level 1

默认情况下，VTY 用户界面的用户级别为 0（参观级），只能使用 ping、 tracert 等这些网络诊断命令。 配置完成后，将 R2 模拟成普通用户设备，测试到 R1 的 Telnet 连接。

<R2>telnet 10.1.1.254
Trying 10.1.1.254 ...
Press CTRL+K to abort
Connected to 10.1.1.254 ...
Login authentication
Password:
<R1>system-view
^
Error: Unrecognized command found at '^' position.
//试图进入R1的系统视图的时候被拒绝，原因是用户等级不够

STELNET登陆系统本次项目暂时用不上，就不写了

1.2、通过FTP进行文件操作

拓扑及设备信息：

1、配置路由器为FTP Client

在电脑上创建文件夹"FTP-Huawei"作为FTP服务器的文件夹，在该路径下再创建子文件夹"Config"，该文件夹下创建测试文件test.txt。

创建完成后，将"FTP-Huawei"的路径设置为FTP服务器配置的文件根目录。

FTP Server上没有默认用户名和密码，每次在R1上连接服务器时，会自动创建新用户。

//本次使用用户名 10.0.2.1，密码 huawei
//此处设置用户名
<R1>ftp 10.0.2.1
Trying 10.0.2.1 ...
Press CTRL+K to abort
Connected to 10.0.2.1.
220 FtpServerTry FtpD for free
User(10.0.2.1:(none)):10.0.2.1
331 Password required for 10.0.2.1 .
//此处输入密码
Enter password://[密码]
230 User 10.0.2.1 logged in , proceed
[R1-ftp]

连接服务器后的操作：

//使用命令 ls 查看 FTP 服务器文件夹状态。
[R1-ftp]ls
200 Port command okay.
150 Opening ASCII NO-PRINT mode data connection for ls -l.
Config
226 Transfer finished successfully. Data connection closed.
FTP: 12 byte(s) received in 0.180 second(s) 66.66byte(s)/sec.

//使用命令 cd 进入Config文件夹。
[R1-ftp]cd Config
250 "/config" is current directory.

//使用命令 dir 查看详细的文件属性。
[R1-ftp]dir
200 Port command okay.
150 Opening ASCII NO-PRINT mode data connection for ls -l.
drwxrwxrwx 1 10.0.2.1 nogroup 3 Aug 21 2013 test.txt
226 Transfer finished successfully. Data connection closed.
FTP: 66 byte(s) received in 0.050 second(s) 1.32Kbyte(s)/sec.

//使用 get 命令下载 test 到本地路由器。
[R1-ftp]get test.txt
200 Port command okay.
150 Sending test.txt (3 bytes). Mode STREAM Type BINARY
226 Transfer finished successfully. Data connection closed.
FTP: 3 byte(s) received in 17.450 second(s) .17byte(s)/sec

//使用 put 命令上传 test 到 FTP 服务器，命名为 new.txt。
[R1-ftp]put test.txt new.txt
200 Port command okay.
150 Opening BINARY data connection for new.txt
226 Transfer finished successfully. Data connection closed.
FTP: 3 byte(s) sent in 0.070 second(s) 42.85byte(s)/sec.

2、配置路由器为FTP Server

将路由器配置为 FTP 服务器，可以使得路由器下行的客户端能够上传文件到路由
器上，并可直接从 Server 上获取文件。

//打开路由器 R1 的 FTP 服务器功能
<R1>system-view
[R1]ftp server enable
//设置 FTP 登录的用户名为 ftp， 密码为 huawei，设置文件夹目录 flash： //配置 FTP 用户可访问的目录为 fash：，用户优先级为 15，服务类型为 ftp
[R1]aaa
[R1-aaa]local-user ftp password cipher hawei
[R1-aaa]local-user ftp ftp-directory flash:
[R1-aaa]local-user ftp service-type ftp
[R1-aaa]local-user ftp privilege level 15

配置完成后， 在本地创建测试文件 test-user.txt，并设置客户端信息如下图。配置服务器地址为 10.0.1.254，用户名为 ftp，密码为 huawei，然后点击“登录”按钮。

登录成功后，可选择文件 test-user，并点击向右箭头传送至 FTP 服务器，可观察到上传文件成功。

//在R1上查看目录下的文件。
[R1]dir
Directory of flash:/
Idx Attr Size(Byte) Date Time(LMT) FileName
……
3 -rw- 0 Sep 09 2013 03:32:58 test-user.txt
4 -rw- 0 Sep 09 2013 03:25:47 test.txt
980,052 KB total (700,320 KB free)

2、交换机基础配置

2.1、交换机基础配置

拓扑及设备信息：

S1 和 S2 为接入层交换机， S3为汇聚层交换机。

对三台新交换机进行基本配置， 保证交换机间的接口使用全双工模式，并根据需要配置接口速率。

###1、配置交换机双工模式

在自协商模式下，接口的双工模式是和对端接口协商得到的，但协商得到的双工模式可能与实际要求不符。可通过配置双工模式的取值范围来控制协商的结果。例如互连的两个设备对应的接口都支持全/半双工，经自协商后工作在半双工模式，与实际要求的全双工模式不符，这时就可以执行命令 auto duplex full 使得接口的可协商双工模式为全双工模式。

缺省情况下，以太网接口自协商双工模式范围为接口所支持的双工模式。

//在S1,S2,S3三台交换机接口下先通过 undo negotiation auto 命令关掉自协商功能，再手工指定双工模式为全双工
[S1]interface GigabitEthernet 0/0/1
[S1-GigabitEthernet0/0/1]undo negotiation auto
[S1-GigabitEthernet0/0/1]duplex full

[S2]interface GigabitEthernet 0/0/2
[S2-GigabitEthernet0/0/2]undo negotiation auto
[S2-GigabitEthernet0/0/2]duplex full

[S3]interface GigabitEthernet 0/0/1
[S3-GigabitEthernet0/0/1]undo negotiation auto
[S3-GigabitEthernet0/0/1]duplex full
[S3-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2
[S3-GigabitEthernet0/0/2]undo negotiation auto
[S3-GigabitEthernet0/0/2]duplex full

2、配置接口速率

在自协商模式下，以太网接口的速率是和对端接口协商得到的。如果协商的速率与实际要求不符，可通过配置速率的取值范围来控制协商的结果。例如互连的两个设备对应的接口经自协商后的速率为10Mbit/s，与实际要求的100Mbit/s不符，可通过执行命令auto speed 100配置使得接口可协商的速率为 100Mbit/s。

缺省情况下，以太网接口自协商速率范围为接口支持的所有速率。在非自协商模式下，需手动配置接口速率，避免发生无法正常通讯的情况。在非自协商模式时，缺省情况下，以太网接口的速率为接口支持的最大速率。

根据网络需要调整接口速率。由于网络用户较少，配置 GE 接口速率为 100Mbit/s，Ethernet 接口配置速率为 10Mbit/s。

//在三台交换机接口下配置速率。首先关闭接口自协商模式，并配置以太网接口的速率。
[S1]inter Ethernet 0/0/1
[S1-Ethernet0/0/1]undo negotiation auto
[S1-Ethernet0/0/1]speed 10
//用同样的方法配置另外两台设备接口的速率。
[S2]interface ethernet 0/0/1
[S2-Ethernet0/0/1]undo negotiation auto
[S2-Ethernet0/0/1]speed 10
[S2-Ethernet0/0/1]interface GigabitEthernet 0/0/2
[S2-GigabitEthernet0/0/2]undo negotiation auto
[S2-GigabitEthernet0/0/2]speed 100

[S3]interface GigabitEthernet 0/0/1
[S3-GigabitEthernet0/0/1]undo negotiation auto
[S3-GigabitEthernet0/0/1]speed 100
[S3-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2
[S3-GigabitEthernet0/0/2]undo negotiation auto
[S3-GigabitEthernet0/0/2]speed 100

2.2、ARP及Proxy ARP

本项目暂时用不上，了解即可。

ARP（ Address Resolution Protocol）是用来将 IP 地址解析为 MAC 地址的协议。 ARP 表项可以分为动态和静态两种类型。 动态 ARP 是利用 ARP 广播报文，动态执行并自动进行 IP地址到以太网 MAC 地址的解析，无需网络管理员手工处理。静态 ARP，建立 IP 地址和 MAC地址之间固定的映射关系，在主机和路由器上不能动态调整此映射关系， 需要网络管理员手工添加。 设备上有一个 ARP 高速缓存（ ARP cache），用来存放 IP 地址到 MAC 地址的映射表，利用 ARP 请求和应答报文来缓存映射表，以便能正确的把三层数据包封装成二层数据正，达到快速封装数据帧，正确转发数据的目的。 另外 ARP 还有扩展应用功能，比如 Proxy ARP 功能。

Proxy ARP，即代理 ARP， 当主机上没有配置缺省网关地址（即不知道如何到达本地网络的网关设备），可以发送一个广播 ARP 请求（请求目的主机的 MAC 地址），使能 Proxy ARP功能的路由器收到这样的请求后， 在确认请求地址可达后，会使用自身的 MAC 地址作为该ARP 请求的回应，使得处于不同物理网络的同一网段的主机之间可以正常的相互通信。

3、VLAN

比较简单，快速过一遍即可

3.1、VLAN 基础配置及 Access 接口

原理概述：

​ 早期的局域网技术是基于总线型结构的，总线型拓扑结构是由一根单电缆连接着所有主机，这种局域网技术存在着冲突域问题，即所有用户都在一个冲突域中，那么同一时间内只有一台主机能发送消息，从任意设备发出的消息都会被其他所有主机接收到，用户可能收到大量不需要的报文，而且所有主机共享一条传输通道，任意主机之间都可以直接互相访问，无法控制信息的安全。

​ 为了避免冲突域，同时扩展传统局域网，以接入更多计算机，可以采用在局域网中使用二层交换机，交换机能有效隔离冲突域，但是由于所有计算机仍处于同一个广播域，任意设备都能接收到所有报文，不但降低了网络的效率，而且还降低了安全性，即广播域和信息安全问题依旧存在。 为了能减少广播，提高局域网安全性，人们使用虚拟局域网即 VLAN 技术把一个物理的 LAN 在逻辑上划分成多个广播域。 VLAN 内的主机间可以直接通信，而VLAN 间不能直接互通。这样，广播报文被限制在一个 VLAN 内，同时也提高了网络安全性。 不同的 VLAN 使用不同的 VLAN ID 区分， VLAN ID 的范围是 0－ 4095，可配置的值为1－ 4094， 0 和 4095 为保留值。

​ Access 接口是交换机上用来连接用户主机的接口。当 Access 接口从主机收到一个不带VLAN 标签的数据帧时，会给该数据帧加上与PVID 一致的VLAN 标签（ PVID 可手工配置，默认是 1，即所有交换机上的接口默认都属于 VLAN 1）。当 Access 接口要发送一个带 VLAN标签的数据帧给主机时，首先检查该数据帧的 VLAN ID 是否与自己的 PVID 相同，若相同，则去掉 VLAN 标签后发送该数据帧给主机；若不相同，直接丢弃该数据帧。

拓扑及设备信息：

1、创建VLAN

//在 S1 上使用两条命令分别创建 VLAN 10 和 VLAN 20。
[S1]vlan 10
[S1-vlan10]vlan 20
//在 S2 上使用一条命令 vlan batch 创建 VLAN 30 和 VLAN 40。
[S2]vlan batch 30 40

//配置完成后，在 S1 和 S2 上使用 display vlan 命令查看 VLAN 的相关信息。
[S1]display vlan
The total number of vlans is : 3
...
1 common UT: ...
10 common
20 common

[S2]display vlan
The total number of vlans is : 3
...
1 common UT:...
30 common
40 common
//可以观察到， S1 和 S2 都已经成功创建了相应 VLAN，但目前没有任何接口加入所创建的 VLAN 10 与 20 中，默认情况下交换机上所有接口都属于 VLAN 1。

2、配置Access接口

按照拓扑，使用命令 port link-type access 配置所有 S1 和 S2 交换机上连接 PC 的接口类型为 Access 类型接口，并使用命令 port default vlan 配置接口的缺省 VLAN 并同时加入相应 VLAN 中。 缺省情况下，所有接口的缺省 VLAN ID 为1 。

[S1]interface ethernet0/0/1
[S1-Ethernet0/0/1]port link-type access
[S1-Ethernet0/0/1]port default vlan 10
[S1-Ethernet0/0/1]interface ethernet0/0/2
[S1-Ethernet0/0/1]port link-type access
[S1-Ethernet0/0/1]port default vlan 10
[S1-Ethernet0/0/1]interface ethernet0/0/3
[S1-Ethernet0/0/1]port link-type access
[S1-Ethernet0/0/1]port default vlan 20

[S2]interface ethernet0/0/1
[S2-Ethernet0/0/1]port link-type access
[S2-Ethernet0/0/1]port default vlan 30
[S2-Ethernet0/0/1]interface ethernet0/0/2
[S2-Ethernet0/0/1]port link-type access
[S2-Ethernet0/0/1]port default vlan 40

//配置完成后，查看 S1 与 S2 上的 VLAN 信息
[S1]display vlan
The total number of vlans is : 3
...
10 common UT:Eth0/0/1(D) Eth0/0/2(D)
20 common UT:Eth0/0/3(D)

[S2]display vlan
The total number of vlans is : 3
...
30 common UT:Eth0/0/1(D)
40 common UT:Eth0/0/2(D)

3、检查配置结果

​ 在交换机上将不同接口加入各自不同的 VLAN 中后，属于相同 VLAN 的接口处于同一个广播域，相互之间可以直接通信。属于不同 VLAN 的接口是处于不同的广播域，相互之间不能直接通信。

​ 在本实验环境中，只有同属于 IT 部门 VLAN10 的两台主机 PC-1 和 PC-2 之间可以互相通信。其他不同部门间的 PC 之间将无法通信。

​ 在 IT 部门的终端 PC-1 上分别测试与同部门的终端 PC-2，HR 部门的 PC-3 间的连通性。

PC>ping -c 1 10.1.1.2
PING 10.0.1.2: 56 data bytes, press CTRL_C to break
Reply from 10.1.1.2: bytes=56 Sequence=1 ttl=255 time=50 ms
--- 10.1.1.2 ping statistics ---
1 packet(s) transmitted
1 packet(s) received
0.00% packet loss
round-trip min/avg/max = 50/50/50 ms

PC>ping 1 10.1.1.2
From 0.0.0.0: Destination host unreachable
From 0.0.0.0: Destination host unreachable
From 0.0.0.0: Destination host unreachable
From 0.0.0.0: Destination host unreachable
From 0.0.0.0: Destination host unreachable
……
//可以观察到，相同 VLAN 内的 PC 可以互相通信，不同 VLAN 内的 PC 间无法通信。

3.2、配置Trunk接口

原理概述

​ 在以太网中，通过划分 VLAN 来隔离广播域和增强网络通讯的安全性。以太网通常由多台交换机组成，为了使 VLAN 的数据帧跨越多台交换机传递，交换机之间互连的链路需要配置为干道链路（ Trunk Link）。 和接入链路不同，干道链路是用来在不同的设备之间（如交换机和路由器之间、交换机和交换机之间）承载多个不同 VLAN 数据的，干道链路是不属于任何一个具体的 VLAN 的， 干道链路可以承载所有的 VLAN 数据，也可以配置为只能传输指定 VLAN 的数据。

​ Trunk 端口一般用于交换机之间连接的端口， Trunk 端口可以属于多个 VLAN，可以接收和发送多个 VLAN 的报文。

​ 当 Trunk 端口收到数据帧时， 如果该帧不包含 802.1Q 的 VLAN 标签，将打上该 Trunk端口的 PVID；如果该帧包含 802.1Q 的 VLAN 标签，则不改变。

​ 当 Trunk 端口发送数据帧时， 当该所发送帧的 VLAN ID 与端口的 PVID 不同时， 检查是否允许该 VLAN 通过，若允许的话直接透传，不允许就直接丢弃；当该帧的 VLAN ID 与端口的 PVID 相同时，则剥离 VLAN 标签后转发。

拓扑及设备信息：

​ 本实验模拟某公司网络场景，公司规模较大，员工 200 余名，内部网络是一个大的局域网。公司放置了多台接入交换机（如 S1 和 S2）负责员工的网络接入。接入交换机之间通过汇聚交换机 S3 相连。公司通过划分 VLAN 来隔离广播域，由于员工较多，相同部门的员工通过不同交换机接入。为了保证在不同交换机下相同部门的员工能互相通信，需要配置交换机之间链路为干道模式，实现相同 VLAN 跨交换机通信。

1、创建VLAN，配置Access接口

公司内网需要通过 VLAN 的划分来隔离不同的部门。需要在三台交换机 S1， S2， S3上都分别创建 VLAN 10 和 VLAN 20，研发部员工属于 VLAN 10，市场部员工属于 VLAN 20。

[S1]vlan 10
//标记命令：description （参数）
[S1-vlan10]description R$D
[S1-vlan10]vlan 20
[S1-vlan20]description Market

[S2]vlan 10
[S2-vlan10]description R$D
[S2-vlan10]vlan 20
[S2-vlan20]description Market

[S3]vlan 10
[S3-vlan10]description R$D
[S3-vlan10]vlan 20
[S3-vlan20]description Market

//查看VLAN信息，此处以S3为例
<S3>display vlan
The total number of vlans is : 3
...
1 enable default enable disable VLAN 0001
10 enable default enable disable R$D
20 enable default enable disable Market
//可以观察到相关的 VLAN 都已经配置好。也可以使用命令 display vlan summary 查看所配置 VLAN 的简要信息。
<S3>display vlan summary
static vlan:
Total 3 static vlan.
1 10 20
dynamic vlan:
Total 0 dynamic vlan.
reserved vlan:
Total 0 reserved vlan.

//在 S1 上配置 E 0/0/2 和 E 0/0/3 为 Access 接口，并划分到相应的 VLAN 10 内。
[S1]interface Ethernet0/0/2
[S1-Ethernet0/0/2]port link-type access
[S1-Ethernet0/0/2]port default vlan 10
[S1]interface Ethernet0/0/3
[S1-Ethernet0/0/3]port link-type access
[S1-Ethernet0/0/3]port default vlan 20
//在 S2 上配置 E 0/0/3 和 E 0/0/4 为 Access 接口，并划分到相应的 VLAN。
//与S1相同，此处略

//使用命令 display port vlan 检查 VLAN 和接口配置情况。
[S1]display port vlan
Port Link Type PVID Trunk VLAN List
---------------------------------------------------------------------------
Ethernet0/0/1 hybrid 1 -
Ethernet0/0/2 access 10 -
Ethernet0/0/3 access 20 -
[S2]display port vlan
...

2、配置Trunk接口

​ 在上个步骤中已经将 PC 机所连入的交换机接口划入到了相应的部门 VLAN，现在测试相同部门中的 PC 是否能够通信。

几个PC互相ping，此处省略过程

​ 可以观察到此时同部门的 PC 机间不能通信。
​ 目前在该跨交换机实现不同 VLAN 通信的二层组网拓扑中，虽然与 PC 端相连的交换机接口上创建并划分了 VLAN 信息，但是在交换机与交换机之间相连的接口上并没有相应的VLAN 信息，不能够识别和发送跨越交换机的 VLAN 报文，此时 VLAN 只具有在每台交换机上的本地意义，无法实现相同 VLAN 的跨交换机通信。

​ 为了使得交换机间能够识别和发送跨越交换机的 VLAN 报文，需要用到 Trunk 技术，将交换机间相连的接口配置成为 Trunk 接口。 Trunk 接口是交换机上用来与其他交换机连接的接口，能实现同时传递多个VLAN 的流量。在配置的时候要明确配置被允许通过的VLAN，实现对 VLAN 流量传输的控制。

配置Trunk：

//在 S1 上配置 E 0/0/1 为 Trunk 接口，允许 VLAN 10 和 VLAN 20 通过。
[S1