山西省城乡住房建设厅网站,怎么自己做网站游戏,怎么往网站里做游戏,工程建设的招标在哪个招标网站1. 从零开始#xff1a;eNSP与企业网络仿真入门 如果你是一名网络工程师#xff0c;或者正在学习网络技术的学生#xff0c;那么你一定听说过华为的eNSP。这不仅仅是一个模拟器#xff0c;它更像是一个可以让你“为所欲为”的网络实验室。想象一下#xff0c;你不需要购买…1. 从零开始eNSP与企业网络仿真入门如果你是一名网络工程师或者正在学习网络技术的学生那么你一定听说过华为的eNSP。这不仅仅是一个模拟器它更像是一个可以让你“为所欲为”的网络实验室。想象一下你不需要购买任何昂贵的物理设备就能在电脑上搭建出一个包含总部、分部、无线、安全、高可用等所有模块的完整企业网络。这就是eNSP的魅力所在。我刚开始接触网络的时候最头疼的就是没有真实的设备来练习。命令背得再熟没有实操环境心里总是没底。后来用了eNSP这种感觉彻底改变了。从最简单的VLAN划分到复杂的OSPF、VRRP联动再到防火墙的双机热备你都可以在这个虚拟环境里反复折腾、验证。踩坑了没关系重启一下设备又是一条好汉。这对于我们这些需要从零开始构建知识体系的人来说简直是福音。这篇文章我就想和你分享一个完整的实战过程。我们不谈空洞的理论就从一个具体的场景出发一家公司有总部有分部员工需要无线接入网络要安全关键链路和设备还不能单点故障。我们就在eNSP里一步一步地把这个网络“搭”起来。从最基础的IP地址规划、VLAN划分到MSTP防环、VRRP网关冗余、OSPF全网互通再到跨地域的GRE隧道、让内网上网的NAT、自动分配地址的DHCP最后还要把多条物理链路捆绑成一条更宽、更可靠的逻辑链路。每一步我都会告诉你配置命令是什么配置完了怎么验证如果出了问题常见的排查思路又是什么。我的目标很简单就是给你一份可复现、可验证的实战操作手册。你完全可以跟着我的步骤在自己的电脑上复现整个网络。准备好了吗让我们打开eNSP开始这场从零到一的网络构建之旅吧。2. 万丈高楼平地起网络基础规划与配置在动手敲命令之前规划是重中之重。一个混乱的地址规划足以让后期所有的高级配置和故障排查变成噩梦。我们先把网络蓝图清晰地画出来。2.1 IP与VLAN规划打好地基我们的模拟企业网络分为总部和分部。总部有多个部门每个部门需要独立的广播域VLAN同时还要为无线用户和无线设备AP规划专门的VLAN。分部也有自己的办公网络。设备之间的互联则需要使用专门的互联地址段。我通常习惯用一张表格来规划一目了然。下面是我为这个项目设计的方案总部网络规划对象VLAN IDIP网段网关VRRP虚拟IP总经理办公室10192.168.10.0/24192.168.10.100财务部20192.168.20.0/24192.168.20.100研发部30192.168.30.0/24192.168.30.100销售部40192.168.40.0/24192.168.40.100无线用户88192.168.88.0/24192.168.88.100无线AP管理99192.168.99.0/24192.168.99.100AC管理端口200192.168.200.0/24192.168.200.200 (AC自身地址)设备互联规划部分互联链路互联网段设备接口地址示例总部核心交换机SW1 - 防火墙FW1172.16.50.0/30SW1: 172.16.50.2, FW1: 172.16.50.1总部核心交换机SW2 - 防火墙FW2172.16.60.0/30SW2: 172.16.60.2, FW2: 172.16.60.1防火墙FW1 - 总部路由器R1172.16.10.0/30FW1: 172.16.10.2, R1: 172.16.10.1总部路由器R1 - 分部路由器R2 (GRE隧道)188.10.10.0/30R1: 188.10.10.1, R2: 188.10.10.2规划好了我们就可以在eNSP中开始创建设备并连线了。记得连线时要区分接入层、汇聚层和核心层逻辑清晰才不容易出错。2.2 第一步创建VLAN并划分接口规划是纸上的现在我们要把它变成设备里的配置。首先是在核心交换机SW1和SW2上创建所有需要的VLAN。以SW1为例配置如下[SW1]vlan batch 10 20 30 40 88 99 200 // 批量创建VLAN创建完VLAN后需要将连接下层交换机比如连接各部门接入交换机SW3、SW4的接口配置为Trunk类型并允许相应的VLAN通过。假设SW1的G0/0/1口连接财务部接入交换机这个接口需要放行VLAN 20。[SW1]interface GigabitEthernet 0/0/1 [SW1-GigabitEthernet0/0/1]port link-type trunk // 接口模式设为Trunk [SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 20 // 允许VLAN 20通过对于连接终端的接口比如连接服务器的端口则需要配置为Access模式并加入特定的VLAN。例如将G0/0/24口划入VLAN 10[SW1]interface GigabitEthernet 0/0/24 [SW1-GigabitEthernet0/0/24]port link-type access [SW1-GigabitEthernet0/0/24]port default vlan 10验证命令配置完成后一定要习惯性地使用display命令验证。查看VLAN信息可以用display vlan查看特定接口的VLAN成员信息可以用display port vlan。这一步是基础但也是最容易出错的地方比如Trunk口忘了放行某个VLAN或者Access口划错了VLAN都会导致后续通信失败。3. 构建稳定核心冗余与防环技术实战基础网络通了接下来就要解决稳定性的问题。在企业网中核心层的稳定是生命线。我们不能容忍因为一台设备、一条链路故障就导致整个网络瘫痪。所以冗余和防环技术是必须的。3.1 多实例生成树MSTP智能防环与负载分担传统的生成树协议STP虽然能防环但所有VLAN共用一棵树会导致链路闲置无法负载分担。MSTP多实例生成树协议解决了这个问题。它允许我们将多个VLAN映射到一个生成树实例中不同的实例可以有不同的根桥从而实现流量的负载分担。在我们的网络中我们可以规划两个实例Instance 10 承载总经理办公室VLAN 10、财务部VLAN 20和无线相关VLAN8899Instance 20 承载研发部VLAN 30和销售部VLAN 40。然后让SW1作为Instance 10的根桥SW2作为Instance 20的根桥。SW1上的配置[SW1]stp region-configuration // 进入MST域配置视图 [SW1-mst-region]region-name HQ_CORE // 配置域名同一域内设备需一致 [SW1-mst-region]instance 10 vlan 10 20 88 99 // 将VLAN映射到实例10 [SW1-mst-region]instance 20 vlan 30 40 // 将VLAN映射到实例20 [SW1-mst-region]active region-configuration // 激活配置 [SW1]stp instance 10 root primary // 设置本设备为实例10的主根桥 [SW1]stp instance 20 root secondary // 设置本设备为实例20的备份根桥SW2上的配置[SW2]stp region-configuration [SW2-mst-region]region-name HQ_CORE [SW2-mst-region]instance 10 vlan 10 20 88 99 [SW2-mst-region]instance 20 vlan 30 40 [SW2-mst-region]active region-configuration [SW2]stp instance 10 root secondary // 实例10的备份根桥 [SW2]stp instance 20 root primary // 实例20的主根桥验证与排错配置后使用display stp brief或display stp instance 10 brief查看各端口在不同实例中的角色Root, Designated, Alternate等。如果发现某个端口在应该转发Forwarding的状态下却是阻塞Discarding首先检查MST域配置域名、修订级别、VLAN-实例映射在所有交换机上是否完全一致。这是MSTP配置中最常见的坑。3.2 网关冗余VRRP让终端永不掉线MSTP解决了链路层的冗余但对于终端来说它们的网关通常是一个IP地址如果挂了网络照样会中断。VRRP虚拟路由器冗余协议就是为了解决这个问题。它把多台三层设备这里是SW1和SW2虚拟成一个“虚拟路由器”并分配一个虚拟IP地址作为终端的网关。当主设备故障时备份设备能在毫秒级内接管网关工作用户毫无感知。根据之前的规划我们为每个VLAN的SVISwitch Virtual Interface接口配置VRRP。以VLAN 10为例虚拟网关是192.168.10.100。我们让SW1在Instance 10相关的VLAN10208899中担任Master主在Instance 20相关的VLAN3040中担任Backup备。SW2则相反。在SW1的VLANIF 10接口上配置[SW1]interface Vlanif 10 [SW1-Vlanif10]ip address 192.168.10.1 24 // 配置真实接口IP [SW1-Vlanif10]vrrp vrid 10 virtual-ip 192.168.10.100 // 创建VRRP组10配置虚拟IP [SW1-Vlanif10]vrrp vrid 10 priority 120 // 设置优先级默认100越大越优 [SW1-Vlanif10]vrrp vrid 10 preempt-mode timer delay 20 // 开启抢占并延迟20秒避免频繁切换在SW2的VLANIF 10接口上配置[SW2]interface Vlanif 10 [SW2-Vlanif10]ip address 192.168.10.2 24 [SW2-Vlanif10]vrrp vrid 10 virtual-ip 192.168.10.100 // SW2不配置priority默认为100低于SW1的120因此会成为Backup验证命令使用display vrrp brief可以快速查看所有VRRP组的状态看到哪台设备是Master。测试时可以尝试断开SW1上连接PC的链路或者直接关闭SW1的VLANIF接口然后在终端上持续ping虚拟网关地址192.168.10.100。你应该只会观察到很少几个1-3个丢包随后恢复这就是VRRP切换的过程。如果切换失败检查两台设备的VRRP组号、虚拟IP是否一致以及三层接口是否UP。4. 打通任督二脉三层路由与广域网互联现在各个部门内部已经可以通信了网关也高可用了。但部门之间、总部和分部之间还无法互通。这就需要三层路由协议出场了。我们选择OSPF因为它适应性强收敛速度快在中小型企业网中非常流行。4.1 OSPF动态路由配置让全网路由自动学习我们的目标是将所有三层设备核心交换机、防火墙、路由器都纳入同一个OSPF进程让它们自动学习路由。规划一个骨干区域Area 0就足够了。在SW1上配置OSPF首先需要为每个VLANIF接口配置IP地址之前配VRRP时已经配了一部分。然后发布这些直连网段和互联网段到OSPF。[SW1]ospf 1 router-id 1.1.1.1 // 启动OSPF进程1指定Router ID [SW1-ospf-1]area 0 // 进入骨干区域 [SW1-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255 // 反掩码方式宣告网段 [SW1-ospf-1-area-0.0.0.0]network 192.168.20.0 0.0.0.255 [SW1-ospf-1-area-0.0.0.0]network 172.16.50.0 0.0.0.3 // 宣告与FW1的互联网段这里有个重要优化VLANIF接口下连接着大量终端它们并不需要也不应该收发OSPF的Hello报文。我们可以使用silent-interface命令将这些接口静默避免产生不必要的协议流量。[SW1-ospf-1]silent-interface Vlanif 10 [SW1-ospf-1]silent-interface Vlanif 20 ... (其他VLANIF接口)在总部路由器R1上配置OSPFR1需要连接内部网络和外部互联网模拟。它需要宣告与防火墙的互联网段以及一个连接互联网的出口网段假设为10.10.10.0/30。同时为了让内网用户能访问互联网R1需要向OSPF域内注入一条默认路由。[R1]ospf 1 router-id 4.4.4.4 [R1-ospf-1]default-route-advertise always // 强制向OSPF域内发布默认路由 [R1-ospf-1]area 0 [R1-ospf-1-area-0.0.0.0]network 172.16.10.0 0.0.0.3 [R1-ospf-1-area-0.0.0.0]network 10.10.10.0 0.0.0.3验证命令使用display ospf peer brief查看OSPF邻居建立状态。如果状态不是Full说明邻居关系有问题。常见原因有接口未启用OSPF、网络类型不匹配比如一端是广播型另一端是点对点、Area ID不一致、认证不匹配等。使用display ip routing-table protocol ospf可以查看通过OSPF学到的路由确保总部的PC能学到去往分部网段的路由反之亦然。4.2 GRE隧道配置连接异地的“虚拟专线”总部和分部之间通过互联网连接但我们需要它们像在一个局域网内一样安全通信。这时就需要GRE通用路由封装隧道。GRE可以在IP网络上创建一个虚拟的点对点链路将私网数据包封装起来穿越公网。在总部路由器R1上配置GRE隧道假设R1连接互联网的地址是10.10.10.1分部路由器R2的是10.10.20.2。[R1]interface Tunnel 0/0/0 // 创建隧道接口 [R1-Tunnel0/0/0]ip address 188.10.10.1 30 // 为隧道接口配置一个IP地址用于路由 [R1-Tunnel0/0/0]tunnel-protocol gre // 指定隧道协议为GRE [R1-Tunnel0/0/0]source 10.10.10.1 // 指定隧道源地址本地公网口地址 [R1-Tunnel0/0/0]destination 10.10.20.2 // 指定隧道目的地址对端公网口地址配置完成后需要将隧道接口的网段188.10.10.0/30宣告到OSPF中。[R1-ospf-1-area-0.0.0.0]network 188.10.10.0 0.0.0.3在分部路由器R2上做类似配置[R2]interface Tunnel 0/0/0 [R2-Tunnel0/0/0]ip address 188.10.10.2 30 [R2-Tunnel0/0/0]tunnel-protocol gre [R2-Tunnel0/0/0]source 10.10.20.2 [R2-Tunnel0/0/0]destination 10.10.10.1 [R2]ospf 1 [R2-ospf-1]area 0 [R2-ospf-1-area-0.0.0.0]network 188.10.10.0 0.0.0.3验证与排错配置后首先用display interface Tunnel 0/0/0查看隧道接口状态物理层和协议层都应该是UP。然后在R1上ping隧道的对端地址ping -a 188.10.10.1 188.10.10.2。如果不通请按以下顺序排查1. 两端基础IP路由是否可达即10.10.10.1能否ping通10.10.20.22. 隧道源和目的地址是否配置正确3. 中间网络是否有ACL或防火墙策略阻断了GRE协议IP协议号47。5. 赋能业务与安全加固关键服务与访问控制网络连通性解决了接下来就要为业务提供便利同时加上必要的安全枷锁。让员工能方便地上网、接入无线同时又要保护核心数据的安全。5.1 DHCP服务配置告别手动配置IP的烦恼手动为成百上千台终端配置IP地址是不可想象的。DHCP动态主机配置协议可以自动为终端分配IP、网关、DNS等信息。在我们的双核心架构下需要在SW1和SW2上配置DHCP服务器并利用VRRP的机制实现主备冗余。在SW1上启用DHCP并创建地址池[SW1]dhcp enable // 全局启用DHCP [SW1]ip pool vlan10 // 为VLAN 10创建地址池名字叫vlan10 [SW1-ip-pool-vlan10]gateway-list 192.168.10.100 // 指定网关为VRRP虚拟IP [SW1-ip-pool-vlan10]network 192.168.10.0 mask 255.255.255.0 // 分配网段 [SW1-ip-pool-vlan10]dns-list 114.114.114.114 8.8.8.8 // 指定DNS服务器 [SW1-ip-pool-vlan10]lease day 3 // 设置租期3天然后在VLANIF 10接口上启用全局地址池模式。[SW1]interface Vlanif 10 [SW1-Vlanif10]dhcp select global为VLAN 20 30 40 88 99重复以上步骤创建对应的地址池并在对应VLANIF接口上启用。无线AP的DHCP特殊配置无线APVLAN 99需要通过DHCP获取IP的同时还要知道AC无线控制器的地址在哪里。这需要通过DHCP的Option 43字段来传递AC的IP地址。[SW1]ip pool vlan99 [SW1-ip-pool-vlan99]gateway-list 192.168.99.100 [SW1-ip-pool-vlan99]network 192.168.99.0 mask 255.255.255.0 [SW1-ip-pool-vlan99]option 43 sub-option 2 ip-address 192.168.200.200 // 关键指明AC地址验证在任意VLAN下连接一台PC将其设置为自动获取IP。然后在交换机上使用display ip pool name vlan10 used查看地址池的分配情况。在PC上使用ipconfig /all(Windows) 或ifconfig(Linux) 查看获取到的IP、网关、DNS是否正确。5.2 访问控制列表ACL配置守护敏感部门网络通了但安全策略要跟上。例如财务部VLAN 20的数据非常敏感我们可能希望禁止其他部门如销售部VLAN 40访问财务部的网络。这时就需要使用高级ACL编号3000-3999在流量经过的三层设备如核心交换机上进行过滤。在核心交换机SW4假设它是财务部数据的必经之路上配置[SW4]acl 3000 // 进入高级ACL 3000视图 [SW4-acl-adv-3000]rule 10 deny ip source 192.168.40.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 // 规则10拒绝源为销售部网段目的为财务部网段的IP流量 [SW4-acl-adv-3000]rule 100 permit ip // 允许其他所有IP流量ACL默认隐含拒绝所有创建好ACL后需要将其应用在接口的入方向或出方向。通常我们在离源最近的接口出方向应用。[SW4]interface GigabitEthernet 0/0/10 // 假设这是连接销售部网络的接口 [SW4-GigabitEthernet0/0/10]traffic-filter outbound acl 3000 // 在出方向应用ACL 3000验证与排错配置后从销售部的PC ping财务部的服务器或网关应该无法ping通。但访问互联网或其他部门应正常。如果ACL不生效检查1. ACL规则顺序是否正确设备按规则编号从小到大匹配2. ACL是否应用在了正确的接口和正确的方向inbound/outbound3. 流量是否真的经过了应用ACL的接口。可以使用display acl 3000查看ACL的匹配计数如果规则有命中计数器会增加。5.3 网络地址转换NAT让私网拥抱公网我们的内部网络使用的是私有地址如192.168.x.x这些地址无法在互联网上路由。要让内网用户访问互联网必须在出口设备这里是R1和R2上做NAT将私网IP转换为公网IP。我们采用最常用的Easy IP方式它直接使用出口接口的公网IP作为转换后的地址。[R1]acl 2000 // 创建基本ACL 2000用于匹配需要转换的内网地址 [R1-acl-basic-2000]rule 5 permit source 192.168.0.0 0.0.255.255 // 允许总部所有私网网段 [R1-acl-basic-2000]quit [R1]interface GigabitEthernet 0/0/1 // 进入连接互联网的出口接口 [R1-GigabitEthernet0/0/1]nat outbound 2000 // 在接口出方向应用NAT引用ACL 2000验证在内网一台PC上打开浏览器访问一个公网网站或者在PC上ping一个公网地址如8.8.8.8。然后在路由器R1上使用display nat session all查看NAT会话表。你应该能看到一条从你的内网IP到公网地址的转换记录。如果无法上网检查1. 出口路由是否正确默认路由指向运营商2. ACL 2000是否正确匹配了内网网段3. NAT是否应用在了正确的出口接口上。6. 无线网络与高可用进阶有线网络稳固了现代办公离不开无线。同时对于网络的核心——防火墙我们必须考虑其高可用性绝不能让它成为单点故障。6.1 无线局域网WLAN配置让办公更自由在eNSP中我们可以用AC无线控制器和AP接入点来模拟无线网络。核心是让AP能发现并注册到AC然后AC为无线用户创建业务VLAN。AC基础配置首先给AC的管理接口配置IP属于VLAN 200并确保与核心交换机三层可达。[AC]vlan 200 [AC]interface Vlanif 200 [AC-Vlanif200]ip address 192.168.200.200 24 [AC]interface GigabitEthernet 0/0/1 [AC-GigabitEthernet0/0/1]port link-type trunk [AC-GigabitEthernet0/0/1]port trunk allow-pass vlan 200然后配置CAPWAP源接口这是AP发现AC的“地址”。[AC]capwap source interface Vlanif 200创建WLAN业务[AC]wlan // 进入WLAN视图 [AC-wlan-view]security-profile name office // 创建安全模板 [AC-wlan-sec-prof-office]security wpa2 psk pass-phrase MyCompanyWiFi2024 aes // 配置WPA2-PSK加密和密码 [AC-wlan-view]ssid-profile name office // 创建SSID模板 [AC-wlan-ssid-prof-office]ssid Office-Net // 设置无线网络名称 [AC-wlan-view]vap-profile name office // 创建VAP模板虚拟AP [AC-wlan-vap-prof-office]service-vlan vlan-id 88 // 指定业务VLAN为88无线用户VLAN [AC-wlan-vap-prof-office]ssid-profile office // 引用SSID模板 [AC-wlan-vap-prof-office]security-profile office // 引用安全模板AP上线配置我们需要将模拟的AP设备在eNSP中通常是一个特殊的“云”或真实AP镜像关联到AC。这里以AP的MAC地址认证为例。[AC-wlan-view]ap-id 0 // 进入AP 0的配置视图 [AC-wlan-ap-0]ap-mac 00e0-fc12-3456 // 输入AP的MAC地址 [AC-wlan-ap-0]ap-name Floor1-AP // 为AP命名 [AC-wlan-ap-0]radio 0 // 进入2.4G射频配置 [AC-wlan-ap-0-radio-0]vap-profile office wlan 1 // 在射频0上应用VAP模板 [AC-wlan-ap-0]radio 1 // 进入5G射频配置 [AC-wlan-ap-0-radio-1]vap-profile office wlan 1验证使用display ap all查看AP的状态应该是“normal”且“U” (Up)。用手机或笔记本搜索无线信号“Office-Net”输入密码“MyCompanyWiFi2024”后应能连接并获取到192.168.88.0/24网段的IP地址。6.2 防火墙双机热备HRP构筑最后一道高可用防线出口防火墙是内网安全的屏障也是通往外网的咽喉必须高可用。华为防火墙的双机热备协议HRP可以实现主备状态同步和故障毫秒级切换。主备防火墙基础网络配置确保FW1和FW2的接口IP、安全区域Zone、策略等配置一致。特别是连接心跳线的接口用于状态同步需要配置IP并能互通。启用HRP// 在FW1规划为主上配置 [FW1]hrp enable // 全局启用HRP [FW1]hrp interface GigabitEthernet 1/0/0 // 指定心跳口 [FW1]hrp standby-device // 配置本设备为备设备初始状态通过优先级决定主备 // 实际上我们通常会在两台设备上先都配置为 standby然后通过调整优先级来选举主设备。 [FW1]firewall zone trust [FW1-zone-trust]add interface GigabitEthernet 1/0/1 // 内网口加入Trust区域 [FW1]firewall zone untrust [FW1-zone-untrust]add interface GigabitEthernet 1/0/2 // 外网口加入Untrust区域 // 配置安全策略允许Trust到Untrust的流量例如上网 [FW1]policy interzone trust untrust outbound [FW1-policy-interzone-trust-untrust-outbound]policy 0 [FW1-policy-interzone-trust-untrust-outbound-0-policy]action permit在FW2上做几乎相同的配置但心跳线对端IP要指向FW1。配置完成后HRP会开始同步会话表、配置等信息。使用display hrp state查看状态。正常情况下会有一台显示active另一台显示standby。验证故障切换在HRP状态稳定后从内网持续ping一个外网地址如8.8.8.8。然后手动关闭主防火墙的上行或下行链路接口观察ping的丢包情况。在配置正确的情况下丢包应在3个以内业务快速恢复。这就是双机热备的价值所在。7. 实战排错心法从现象到根源的排查之旅配置全部完成但网络不通这才是真正考验功力的时候。我根据多年的经验总结了一个通用的排错思路你可以像查字典一样按顺序排查。第一步物理层与链路层检查这是所有网络问题的起点。在eNSP中检查设备是否启动、线缆是否连接正确接口显示绿色。在真实环境中则要检查网线、光模块、交换机端口指示灯。使用display interface brief查看接口状态确保物理状态和协议状态都是UP。如果协议状态是DOWN检查两端的接口配置速率、双工模式是否匹配或者是否被管理员手动shutdown了。第二步IP连通性检查从源设备开始逐跳ping下一跳地址。例如从PC (192.168.10.5) ping 网关 (192.168.10.100)。如果不通检查IP地址和掩码确认PC和网关的IP在同一网段。检查ARP表在PC上arp -a看是否有网关的MAC地址。如果没有可能是二层问题VLAN未放行、接口模式错误或网关设备未响应ARP。检查网关设备登录网关交换机SW1/SW2用display arp | include 192.168.10.5查看是否有PC的ARP条目。如果没有检查PC发出的ARP请求是否到达接口VLAN、Trunk配置。第三步路由问题排查如果PC能ping通网关但ping不通其他网段如分部网络问题很可能出在路由。检查设备路由表在每一台三层设备上使用display ip routing-table查看去往目的网段的路由是否存在下一跳是否正确。例如在SW1上查看是否有去往193.168.10.0/24分部研发部的路由下一跳是否是防火墙或路由器。检查路由协议对于OSPF使用display ospf peer确认邻居关系是否正常建立状态为Full。使用display ospf routing查看OSPF路由表。常见问题有接口未宣告进OSPF、network命令网段写错、区域不匹配、认证失败等。第四步安全策略拦截如果路由完全正确但流量还是不通很可能是被安全设备或策略拦截了。检查ACL在流量路径上的所有设备使用display acl all查看ACL的匹配计数packets字段看是否有规则命中了你的流量并将其拒绝。检查防火墙策略在防火墙上使用display firewall session table查看是否有相关的会话建立。如果没有会话说明流量被安全策略Policy拒绝。需要检查Trust到Untrust等域间策略是否允许了该流量。检查NAT对于访问互联网的流量检查NAT会话表display nat session all看是否成功创建了转换条目。一个具体的排错案例分部用户无法访问总部服务器。在分部用户PC上ping 192.168.10.100(总部网关) 不通。在分部网关R2上ping 188.10.10.1(GRE隧道对端) 通说明隧道正常。ping 192.168.10.100不通。在总部网关SW1上display ip routing-table 193.168.10.0(分部用户网段)发现路由存在下一跳是防火墙。在总部防火墙FW1上display firewall session table | include 193.168.10.发现没有会话。检查域间策略发现只有Trust到Untrust的策略缺少Untrust到Trust的策略因为分部流量对总部防火墙来说是从Untrust区域进来的。添加一条允许从Untrust到Trust的相应策略后问题解决。这个案例告诉我们排错需要耐心和逻辑一层一层剥离从最底层开始验证。养成随手使用display和ping命令验证每一步配置的习惯能让你在遇到复杂问题时快速定位方向。eNSP提供了完美的“试错”环境大胆地去配置大胆地去破坏然后再把它修好这个过程就是你经验值飞速增长的秘诀。