企业网络综合配置实验报告实验环境eNSP 网络模拟器实验顺序OSPF 内网 A → 静态内网 B → 互联网网段 → Telnet → ACLNAT完成人无星凡日期2026 年 04 月 10 日一、实验拓扑图1. 文字拓扑描述OSPF 内网 AR1Area 1↔ R2Area 1/Area 0 骨干↔ R3Area 0R1 下联PC1 (VLAN10)、PC2 (VLAN20)、Telnet-Server (VLAN30)R2 下联PC3 (VLAN40)、PC4 (VLAN50)静态内网 BR3 ↔ R4千兆主链路 / 百兆备份链路↔ R5/R6 ↔ R7R7 下联DNS/Client1 (VLAN60)、PC5 (VLAN70)互联网出口R3 连接外网 Test 设备100.0.0.0/24 网段2. 简易拓扑示意图二、实验目的完成 OSPF 多区域规划、精准宣告、MD5 认证、路由汇总实现内网 A 全网可达。配置静态路由与备份链路实现内网 B 业务互通。搭建互联网出口网段实现内网访问公网。配置 Telnet 远程登录实现外网设备管理内网服务器。运用 ACL 访问控制、NAT 地址转换满足网络安全与出口访问需求。通过路由优化与配置规范防止网络环路精简路由表。三、核心地址规划表格区域总网段细分网段用途OSPF Area 1172.16.64.0/18172.16.64~66.0/24终端业务OSPF Area 0172.16.0.0/18172.16.0~2.0/24骨干区域静态内网 B172.16.128.0/17172.16.128~134.0/24业务 链路互联网出口100.0.0.0/24-R3/Test 设备四、实验步骤含完整配置指令步骤 1OSPF 企业内网 A 配置先 Area 1 → 再 Area 01.1 基础接口与单臂路由plaintext# R1 配置sysname R1interface GigabitEthernet0/0/1.1vlan-type dot1q 10ip address 172.16.64.1 24interface GigabitEthernet0/0/1.2vlan-type dot1q 20ip address 172.16.65.1 24interface GigabitEthernet0/0/1.3vlan-type dot1q 30ip address 172.16.66.1 24interface GigabitEthernet0/0/0ip address 172.16.67.1 241.2 Area 1 OSPF 配置plaintextospf 1 router-id 1.1.1.1area 1network 172.16.64.1 0.0.0.0network 172.16.65.1 0.0.0.0network 172.16.66.1 0.0.0.0network 172.16.67.1 0.0.0.01.3 Area 0 OSPF 配置含 MD5 认证plaintext# R2sysname R2ospf 1 router-id 2.2.2.2area 0authentication-mode md5 1 cipher 123456network 172.16.0.1 0.0.0.0network 172.16.1.1 0.0.0.0network 172.16.2.1 0.0.0.0area 1network 172.16.67.2 0.0.0.0# R3sysname R3ospf 1 router-id 3.3.3.3area 0authentication-mode md5 1 cipher 123456network 172.16.2.2 0.0.0.0# 路由精确汇总防环减条目ospf 1area 0abr-summary 172.16.0.0 255.255.252.0area 1abr-summary 172.16.64.0 255.255.248.0步骤 2静态企业内网 B 配置plaintext# R3 静态路由主链路优先备份链路优先级 100ip route-static 172.16.128.0 255.255.128.0 172.16.129.2ip route-static 172.16.128.0 255.255.128.0 172.16.130.2 preference 100# R4/R5/R6/R7 配置双向静态路由#R4修改前修改后#R5#R6#R7# DHCP 配置地址池与 VLAN 同名# R7dhcp enableip pool vlan60gateway-list 172.16.128.1network 172.16.128.0 255.255.255.128dns-list 172.16.128.126ip pool vlan70gateway-list 172.16.128.129network 172.16.128.128 255.255.255.128步骤 3互联网网段100.0.0.0/24配置plaintext# R3 互联网接口interface GigabitEthernet0/0/2ip address 100.0.0.1 24# 禁止宣告进内网仅配置缺省路由ip route-static 0.0.0.0 0.0.0.0 100.0.0.2步骤 4Telnet 相关配置plaintext# Telnet 服务器配置sysname Telnet-Serveraaalocal-user huawei password cipher 123456local-user huawei privilege level 15local-user huawei service-type telnetuser-interface vty 0 4authentication-mode aaa步骤 5ACL 与 NAT 技术配置5.1 NAT 配置plaintext# 基础 ACL 2000acl number 2000rule permit source 172.16.0.0 0.0.255.255# 出口 NATinterface GigabitEthernet0/0/2nat outbound 20005.2 ACL 访问控制plaintext# 禁止 VLAN40/50 访问内网BACL 2001acl number 2001rule deny source 172.16.0.0 0.0.1.255 destination 172.16.128.0 0.0.127.255rule permit# 禁止 PC1 访问 PC5ACL 3000acl number 3000rule deny ip source 172.16.64.254 0 destination 172.16.128.254 0rule permit ip五、防止环路 完整配置指令1. OSPF 协议防环核心区域规范 精准宣告 路由汇总plaintext# R2ABR配置ospf 1area 1no-summary# R3ABR配置ospf 1area 0abr-summary 172.16.0.0 255.255.252.0area 1abr-summary 172.16.64.0 255.255.248.0# 精准主机宣告ospf 1network 172.16.xx.1 0.0.0.0# Area0 认证防伪路由area 0authentication-mode md5 1 cipher 1234562. 静态路由防环核心主备优先级 路由汇总 无冗余明细plaintext# 备份链路优先级 100ip route-static 172.16.128.0 255.255.128.0 172.16.130.2 preference 100# 汇总静态路由ip route-static 172.16.128.0 255.255.128.0 172.16.129.2# 双向静态路由ip route-static 172.16.0.0 255.255.0.0 172.16.129.13. 接口与路由泄露防环plaintext# R3 互联网接口不宣告内网路由interface GigabitEthernet0/0/2# 路由过滤防环acl number 2002rule deny source 100.0.0.0 0.0.0.255rule permitospf 1filter-policy 2002 import六、实验配置不足与改进优化方案一R2 路由器配置不足OSPF 未调整 Hello 间隔存在不足互联接口未配置 OSPF Hello 报文间隔使用默认参数未做精细化调优问题影响邻居收敛速度慢故障感知延迟改进配置plaintextinterface GigabitEthernet0/0/0ospf timer hello 10ospf timer dead 40未配置 OSPF 静默接口存在不足下联终端的业务子接口未静默持续发送 Hello 报文问题影响浪费带宽、存在安全风险违背最小化配置原则改进配置plaintextospf 1silent-interface GigabitEthernet0/0/1.1silent-interface GigabitEthernet0/0/1.2未配置区域间路由汇总abr-summary存在不足作为 ABR 未对 Area 1 路由做精确汇总问题影响明细路由泛洪至骨干区域路由表臃肿环路风险升高改进配置plaintextospf 1area 1abr-summary 172.16.64.0 255.255.248.0未配置静态黑洞路由存在不足未配置黑洞路由吸附无效流量、防止路由环路问题影响无效流量环路转发占用设备资源改进配置plaintextip route-static 172.16.64.0 255.255.248.0 NULL0二R3 路由器配置不足ACL 2000 未配置 rule 5 精准规则存在不足acl number 2000 缺少 rule 5 permit source 172.16.0.0 0.0.255.255问题影响NAT 匹配不精准内网地址可能无法正常转换改进配置plaintextacl number 2000rule 5 permit source 172.16.0.0 0.0.255.255GigabitEthernet0/0/0 接口缺失配置存在不足未配置 traffic-filter inbound acl 2001 与 ospf timer hello 2问题影响ACL 访问控制不生效OSPF 邻居收敛未优化改进配置plaintextinterface GigabitEthernet0/0/0traffic-filter inbound acl 2001ospf timer hello 2NAT Server 端口配置错误存在不足Telnet 映射公网端口误改为 2323未使用标准 23 端口问题影响外网 Test 设备无法用标准 Telnet 访问内网服务器改进配置plaintextinterface GigabitEthernet0/0/2nat server protocol tcp global current-interface telnet inside 172.16.66.254 telnetOSPF 未下发缺省路由存在不足ospf 1 router-id 3.3.3.3 未配置 default-route-advertise always问题影响内网设备无法学习到缺省路由无法访问互联网改进配置plaintextospf 1default-route-advertise always三R7 路由器配置不足存在不足未配置黑洞路由 ip route-static 172.16.128.0 255.255.255.0 NULL0问题影响无法吸附无效流量易引发路由环路改进配置plaintextip route-static 172.16.128.0 255.255.255.0 NULL0四R4 路由器配置不足存在不足未配置备份缺省路由 ip route-static 0.0.0.0 0.0.0.0 172.16.130.1 preference 100 配置的是备份缺省路由 ip route-static 0.0.0.0 0.0.0.0 172.16.130.1 preference 61问题影响主链路故障时备份链路无法承接流量业务中断改进配置plaintextip route-static 0.0.0.0 0.0.0.0 172.16.130.1 preference 100五R1 路由器配置不足ACL 3000 规则配置错误存在不足误用 ICMP 规则限制应配置 IP 层拒绝错误配置rule 5 deny icmp source 172.16.64.254 0 destination 172.16.128.254 0 icmp-type echo正确需求rule 5 deny ip source 172.16.64.254 0 destination 172.16.128.254 0问题影响仅禁止 Ping无法禁止全业务访问访问控制失效改进配置plaintextacl number 3000rule 5 deny ip source 172.16.64.254 0 destination 172.16.128.254 0rule 10 permit ipOSPF 未配置静默接口存在不足ospf 1 router-id 1.1.1.1 未对下联终端接口静默问题影响无效 OSPF 报文泛洪资源浪费改进配置plaintextospf 1silent-interface GigabitEthernet0/0/1.1silent-interface GigabitEthernet0/0/1.2silent-interface GigabitEthernet0/0/1.3OSPF Area 1 未宣告互联接口存在不足area 0.0.0.1 缺少 network 172.16.67.1 0.0.0.0问题影响R1 与 R2 无法建立 OSPF 邻居内网 A 不通改进配置plaintextospf 1area 1network 172.16.67.1 0.0.0.0七、实验验证结果OSPF 内网 AArea 1/0 全网互通MD5 认证生效路由表精简。静态内网 B主链路正常转发备份链路不参与流量无环路。互联网访问内网所有 PC 可访问公网NAT 转换正常。TelnetTest 设备可远程登录内网 Telnet 服务器。ACL 规则VLAN40/50 无法访问内网 BPC1 无法访问 PC5规则全部生效。防环验证黑洞路由、路由汇总、优先级控制到位全网无路由环路与无效流量折返。八、防止环路 专项注意事项OSPF 区域绝对禁止跨骨干直连所有非骨干区域Area1只能与 Area 0 建立邻居不允许 Area1 与静态内网 B / 其他区域直连否则必生环路。路由汇总必须精确ABR 汇总必须用实验指定的精确掩码不随意汇总避免网段重叠引发路由环路。静态路由禁止配置冗余明细只配置汇总路由不配置多条指向不同下一跳的明细路由防止路径冲突环路。备份链路优先级必须设为 100R3-R4 百兆备份链路优先级强制 100正常流量绝不走备份路防止主备链路形成转发环路。互联网接口严禁宣告内网R3 的 100.0.0.0/24 接口绝不加入 OSPF / 静态路由防止外网路由引入内网造成环路。精准宣告不泛洪网段OSPF 必须用 host 0.0.0.0 精准宣告接口不宣告大网段减少 LSA 泛洪带来的环路风险。禁止配置双向缺省路由内网设备不配置指向彼此的缺省路由仅边界 R3 配置指向互联网的缺省路由防止缺省环路。九、通用实验注意事项防环强制要求必须配置路由汇总、严格区域规划、备份链路调高优先级、禁止外网接口宣告内网。OSPF 必须使用精准主机宣告Router-ID 与设备编号一致。Area 0 MD5 认证密码全网统一否则邻居无法建立。静态路由必须配置双向路由避免单向不通。交换机遵循最小 VLAN 透传原则仅放通业务 VLAN。DHCP 地址池名称必须与 VLAN 编号一致内网 B 必须配置 DNS。十、防环验证命令plaintextdisplay ospf peer briefdisplay ip routing-tabledisplay ip routing-table 172.16.128.0tracert 172.16.128.254