企业级网络建设与调试配置方案
本方案基于集团化企业架构需求,涵盖交换、路由及策略三大核心模块。采用华为设备命令行体系,按实际生产环境标准完成配置,并附带关键逻辑解析。
一、基础环境与交换配置
所有设备初始化是稳定运行的前提。统一时区、关闭日志刷屏,并按规划分配 IP 地址。二层接口默认 Access,互联三层接口设为 Route 模式。
1. VLAN 与业务隔离
VLAN 划分需严格对应业务部门,财务等敏感数据需独立实例。互联链路配置 Trunk 并仅放行指定 VLAN,避免广播风暴。
以 CE-1 为例,批量创建 VLAN 并绑定端口:
vlan batch 10 20 30 40 50 4092
interface GigabitEthernet 1/0/10
port link-type access
port default vlan 10
interface GigabitEthernet 1/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 30 40 50 4092
注意:财务 VLAN 40 需单独处理,后续将绑定 VPN 实例实现路由隔离。
2. STP 优化与根桥管理
为提升二层收敛速度,启用 RSTP 替代传统 STP。CE-1 设为主根桥,CE-2 为备份,确保故障切换在毫秒级完成。
stp mode rstp
stp root primary # CE-1 主根
stp priority 4096
stp root secondary # CE-2 备根
stp priority 8192
开启 BPDU 保护防止边缘端口环路,同时调整链路开销优化选路。
3. 安全与管理增强
SNMPv3 高安全配置
使用 SNMPv3 替代 v2c,开启认证与加密(AES/SHA),并屏蔽非关键接口告警。
snmp-agent group v3 GdSkills authpriv read-view Skills_R write-view Skills_W
snmp-agent user v3 UserSkills group GdSkills auth sha Key-1122 priv aes256 Key-1122
snmp-agent trap enable
# 屏蔽法务部门接口 UP/DOWN 告警
interface GigabitEthernet 1/0/12
snmp-agent trap disable interface updown
防 DDoS 与流量监控
全局开启 TCP SYN 限速,防止泛洪攻击。对关键接口开启 Netstream 流量采样,实时记录业务流向。
ddos defense enable
traffic-limit template TCP-SYN tcp syn speed 10 unit mbps action discard
netstream enable netstream sampler fix-packet 100 inbound
statistics interval 1 statistics save 24
二、路由协议部署
全网采用多协议混合组网,通过 OSPF、RIP、ISIS、BGP 实现互联互通,重点解决路由优选与隔离问题。
1. 远程管理与时间同步
SSH 服务必须开启,禁用 Telnet。NTP 服务器统一由总部 CE-1 提供,Stratum 设为 2,确保全网时钟一致。
stelnet server enable
ssh user admin@gdskills authentication-type password service-type stelnet
ntp service enable ntp server local stratum 2
ntp max-sessions 30 ntp update-interval 300
2. OSPF 骨干网构建
总部区域划分明确,OSPF 进程 10 承载互联链路,区域 100 承载业务。财务段不发布至全局,FW-1 下发 Type 1 默认路由。
ospf 10 router-id 10.1.1.1
area 0 network 10.1.64.0 0.0.3.255
area 100 network 10.1.10.0 0.0.0.255
default-route-advertise always type 1
