华为eNSP企业网络实验：防火墙VLAN与DHCP配置实战

人间马戏团

1. 实验环境与拓扑概述

这个实验基于华为eNSP模拟器搭建了一个典型的企业网络架构，核心是通过防火墙实现VLAN间通信控制与DHCP服务分发。拓扑中包含了以下关键设备：

接入层交换机SW2：负责连接终端设备，通过VLAN划分隔离不同部门流量
防火墙USG6000V1：作为网络核心，承担路由转发、安全策略控制、DHCP服务等多重角色
服务器群：包括OA Server、Web Server、DNS Server等位于DMZ区的服务资源
终端设备：分为VLAN 10（部门A）和VLAN 20（部门B）两个用户群组

提示：实验前请确保eNSP软件版本为V100R003C00或更高，USG6000V1防火墙镜像已正确加载。低版本可能缺少某些配置命令支持。

2. 基础网络配置详解

2.1 交换机VLAN配置

SW2的配置要点在于正确划分端口类型和VLAN归属：

bash复制[SW2]vlan batch 10 20  # 批量创建VLAN
[SW2]interface GigabitEthernet 0/0/2
[SW2-GigabitEthernet0/0/2]port link-type access  # 配置为Access端口
[SW2-GigabitEthernet0/0/2]port default vlan 10  # 划入VLAN10
[SW2-GigabitEthernet0/0/3]port link-type access
[SW2-GigabitEthernet0/0/3]port default vlan 20
[SW2-GigabitEthernet0/0/1]port link-type trunk  # 上联口配置为Trunk
[SW2-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20  # 允许VLAN10和20通过

验证命令：

bash复制display vlan  # 查看VLAN划分情况
display interface brief  # 检查端口状态

2.2 防火墙接口配置

防火墙需要配置物理接口和子接口实现VLAN间路由：

bash复制[USG6000V1]interface GigabitEthernet 1/0/1.1  # 创建子接口
[USG6000V1-GigabitEthernet1/0/1.1]vlan-type dot1q 10  # 绑定VLAN10
[USG6000V1-GigabitEthernet1/0/1.1]ip address 172.16.1.254 24  # 配置IP
[USG6000V1-GigabitEthernet1/0/1.2]vlan-type dot1q 20
[USG6000V1-GigabitEthernet1/0/1.2]ip address 172.16.2.254 24
[USG6000V1-GigabitEthernet1/0/0]ip address 10.0.0.254 24  # DMZ接口
[USG6000V1-GigabitEthernet1/0/2]ip address 100.1.1.10 24  # 外网接口

关键点说明：

子接口编号（如.1/.2）与VLAN ID无强制关联，但建议保持一致便于管理
物理接口GE1/0/1需要保持默认配置，无需单独设置IP

3. DHCP服务配置实战

3.1 全局DHCP服务启用

bash复制[USG6000V1]dhcp enable  # 全局启用DHCP

3.2 地址池详细配置

部门A（VLAN10）地址池配置示例：

bash复制[USG6000V1]ip pool dhcp-a
[USG6000V1-ip-pool-dhcp-a]gateway-list 172.16.1.254
[USG6000V1-ip-pool-dhcp-a]network 172.16.1.0 mask 255.255.255.0
[USG6000V1-ip-pool-dhcp-a]dns-list 10.0.0.30
[USG6000V1-ip-pool-dhcp-a]excluded-ip-address 172.16.1.90 172.16.1.100
[USG6000V1-ip-pool-dhcp-a]static-bind ip-address 172.16.1.90 mac-address 5489-9863-1C0D

部门B（VLAN20）地址池关键差异：

网关地址改为172.16.2.254
排除范围只需172.16.2.100
无需静态绑定（根据实验要求）

3.3 接口绑定与验证

bash复制[USG6000V1]interface GigabitEthernet 1/0/1.1
[USG6000V1-GigabitEthernet1/0/1.1]dhcp select global  # 关联全局地址池

验证命令：

bash复制display ip pool name dhcp-a used  # 查看地址分配情况
display dhcp server statistics  # 查看DHCP服务统计

4. 安全区域与策略配置

4.1 安全区域划分

bash复制[USG6000V1]firewall zone name Trust_A
[USG6000V1-zone-Trust_A]set priority 70
[USG6000V1-zone-Trust_A]add interface GigabitEthernet 1/0/1.1
[USG6000V1]firewall zone name Trust_B 
[USG6000V1-zone-Trust_B]set priority 80
[USG6000V1-zone-Trust_B]add interface GigabitEthernet 1/0/1.2

区域优先级说明：

数值越小优先级越高
Local区域默认优先级100，Untrust为5，DMZ为50

4.2 地址组配置技巧

通过命令行批量添加地址组成员：

bash复制[USG6000V1]ip address-set DMZ_Server type object
[USG6000V1-object-address-set-DMZ_Server]address 10.0.0.10 32
[USG6000V1-object-address-set-DMZ_Server]address 10.0.0.20 32
[USG6000V1-object-address-set-DMZ_Server]address 10.0.0.30 32
[USG6000V1-object-address-set-DMZ_Server]description "DMZ区域服务器集合"

注意：Web界面配置时，建议先规划好所有地址对象，再批量关联到地址组，可提高效率。

5. 管理员与认证配置

5.1 管理员账号创建

bash复制[USG6000V1]aaa
[USG6000V1-aaa]manager-user vtyadmin
[USG6000V1-aaa-manager-user-vtyadmin]password cipher admin@123
[USG6000V1-aaa-manager-user-vtyadmin]service-type telnet
[USG6000V1-aaa-manager-user-vtyadmin]level 3  # 对应service-admin角色

访问控制配置：

bash复制[USG6000V1]telnet server enable
[USG6000V1]user-interface vty 0 4
[USG6000V1-ui-vty0-4]protocol inbound telnet
[USG6000V1-ui-vty0-4]acl 2000 inbound  # 引用ACL限制源IP

5.2 用户认证体系搭建

组织架构创建示例：

bash复制[USG6000V1]aaa
[USG6000V1-aaa]domain openlab
[USG6000V1-aaa-domain-openlab]authentication-scheme portal
[USG6000V1-aaa-domain-openlab]authorization-scheme default
[USG6000V1-aaa-domain-openlab]accounting-scheme default

用户组创建技巧：

先创建父组/openlab
再逐级创建子组/A和/B
最后创建各职能部门子组

6. 安全策略实施要点

6.1 策略配置规范示例

允许管理员Telnet访问的策略配置：

bash复制[USG6000V1]security-policy
[USG6000V1-policy-security]rule name Admin_Telnet
[USG6000V1-policy-security-rule-Admin_Telnet]source-zone Trust_A
[USG6000V1-policy-security-rule-Admin_Telnet]destination-zone Local
[USG6000V1-policy-security-rule-Admin_Telnet]source-address 172.16.1.10 32
[USG6000V1-policy-security-rule-Admin_Telnet]action permit

6.2 时间控制策略实现

配置非工作时间策略（工作日18:00-23:00）：

bash复制[USG6000V1]time-range Non_Work_Time 18:00 to 23:00 working-day

关联到安全策略：

bash复制[USG6000V1-policy-security-rule-Ops_Internet]time-range Non_Work_Time

6.3 策略优化建议

同类策略合并：如多个部门访问相同服务，可合并策略通过源地址组区分
添加描述信息：每条策略添加comment说明业务用途
定期策略审计：使用display security-policy rule all查看策略命中计数

7. 常见问题排查指南

7.1 DHCP服务故障

现象：客户端无法获取IP地址
排查步骤：

检查全局DHCP是否启用：display dhcp enable
验证地址池配置：display ip pool name dhcp-a
检查接口绑定：display current-configuration interface GigabitEthernet 1/0/1.1
抓包分析：在客户端侧抓取DHCP Discover报文

7.2 VLAN间通信故障

现象：VLAN10与VLAN20无法互通
排查步骤：

检查交换机Trunk配置：display port vlan GigabitEthernet 0/0/1
验证防火墙子接口状态：display interface GigabitEthernet 1/0/1.1
检查安全策略：display security-policy rule all | include "Trust_A.*Trust_B"
路由表验证：display routing-table | include 172.16

7.3 认证失败处理

现象：用户Portal认证失败
排查步骤：

检查认证域配置：display domain openlab
验证用户状态：display access-user online
查看认证日志：display logbuffer | include authentication
测试基础连通性：ping认证服务器地址

8. 实验心得与进阶建议

在实际配置过程中，有几个关键点需要特别注意：

子接口与VLAN对应关系：创建子接口时务必确保dot1q标签与交换机端口的VLAN ID一致，这是通信的基础。有次实验就因为将GE1/0/1.1配成了VLAN20导致整个部门A无法上网。
DHCP排除范围：静态IP地址一定要加入排除列表，否则可能引发IP冲突。曾经遇到过财务部电脑突然断网，排查发现是DHCP分配了已被静态使用的IP。
策略顺序优化：防火墙策略是自上而下匹配的，建议将高频访问的策略（如DNS查询）放在前面，提升处理效率。可以通过display security-policy hit-count查看策略命中情况做优化。

对于想深入学习的同学，可以尝试以下扩展实验：