华为ENSP实战：三层交换机静态路由打通多VLAN网络

1. 实验环境搭建与设备准备

第一次接触华为ENSP模拟器时，我被它高度仿真的操作界面惊艳到了。这个完全免费的软件完美复刻了真实华为设备的操作逻辑，特别适合我们这些想学习企业级网络配置又没条件接触真机的用户。这次实验我们需要准备两台华为S5700三层交换机和五台PC终端，所有设备都将在ENSP虚拟环境中运行。

安装ENSP时有个小技巧：一定要先安装WinPcap和Wireshark这两个依赖组件，否则可能会出现设备启动失败的情况。我自己第一次安装时就踩了这个坑，折腾了半天才发现是缺了抓包工具。完成安装后，建议先创建一个空白项目，把默认生成的虚拟路由器删掉，保持一个干净的工作环境。

设备连接方面，两台三层交换机之间需要用GigabitEthernet接口相连，这个连接将承载VLAN间的通信流量。五台PC分别连接到两台交换机上不同的接口，对应不同的VLAN划分。这里有个细节要注意：在ENSP中拖动设备连线时，系统会自动给接口编号，建议记下每个接口的对应关系，后面配置时就不容易搞混。

2. VLAN基础配置详解

配置VLAN就像给大楼划分不同的楼层。假设交换机是一栋办公楼，VLAN就是各个独立的办公区域。我们先在LSW1上创建VLAN 2和VLAN 3，分别对应市场部和财务部的网络。

具体操作时，我习惯先用undo terminal monitor关闭烦人的终端提示，然后用system-view进入配置模式。给交换机改个有意义的名字是个好习惯，比如sysname S1。创建端口组可以大幅提高效率，特别是当多个端口需要相同配置时：

[S1]port-group group1 [S1-port-group-group1]group-member g 0/0/1 to g 0/0/2 [S1-port-group-group1]port link-type access [S1-port-group-group1]port default vlan 2

这里有个新手常犯的错误：忘记把端口模式设为access。access端口就像专属电梯，只服务于单个VLAN；而trunk端口则是消防通道，允许多个VLAN通过。连接交换机的那个端口必须配置为trunk模式，并且明确指定允许通过的VLAN：

[S1]interface g 0/0/4 [S1-GigabitEthernet0/0/4]port link-type trunk [S1-GigabitEthernet0/0/4]port trunk allow-pass vlan 2 3 6

3. VLANIF接口配置实战

VLANIF接口是三层交换机的精髓所在，它让交换机具备了路由功能。配置VLANIF就像给每个楼层安装了一个接待处，负责处理不同楼层之间的访问请求。

在S1上配置VLANIF 2时，我通常会这样操作：

[S1]interface vlanif 2 [S1-Vlanif2]ip address 192.168.2.254 24

这个192.168.2.254就是VLAN 2的网关地址，相当于这个楼层的接待处位置。同样方法配置VLANIF 3和VLANIF 6，注意VLANIF 6的IP要设置为两台交换机互联的网段地址。

这里有个配置细节值得注意：VLANIF接口的IP地址最好遵循一定的规律。我的习惯是把最后一个字节设为254，这样一眼就能看出这是网关地址。子网掩码24表示前三个字节是网络部分，这种规划在中小型企业网中非常实用。

4. 静态路由与默认路由配置

当网络中有多个三层设备时，路由配置就是让它们互相认识的通讯录。静态路由相当于手动添加联系人，而默认路由则是"找不到人就联系前台"的兜底方案。

在S1上配置静态路由时，关键要理解三个参数：

[S1]ip route-static 192.168.4.0 24 192.168.6.2

这行命令的意思是：要去192.168.4.0/24这个网段，请找192.168.6.2这个邻居。我在实际项目中遇到过路由配置错误导致网络不通的情况，后来发现是子网掩码写错了，所以这个24一定要核对清楚。

S2上的默认路由配置更有意思：

[S2]ip route-static 0.0.0.0 0 192.168.6.1

这个0.0.0.0 0就像通讯录里的"其他所有人"，任何不认识的目的地都交给192.168.6.1处理。默认路由能大幅简化配置，特别适合边缘设备。但要注意不能在所有设备上都配默认路由，否则可能会形成路由环路。

5. 跨VLAN通信测试与排错

配置完成后，最激动人心的就是测试环节了。用PC1(192.168.2.1)ping PC3(192.168.3.1)，如果能看到回复包，说明同交换机内的VLAN间路由已经通了。

但有时候可能会遇到ping不通的情况，这时候就需要系统性地排查：

1. 检查物理连接：在ENSP里确认线缆是否接对
2. 验证VLAN配置：用display vlan查看VLAN划分是否正确
3. 检查端口状态：display interface brief看端口是否up
4. 测试网关可达性：先ping自己的网关，再ping对端网关

当PC1 ping PC5能通时，说明静态路由和默认路由都工作正常。这时候如果用display ip routing-table查看路由表，能看到完整的路由条目，就像看到了一张完整的网络地图。

6. 通信过程深度解析

数据包在不同VLAN间穿梭的过程就像快递在不同城市间转运。以PC1 ping PC5为例：

1. PC1发现目标IP(192.168.5.1)不在本地网络，就把包发给自己的网关(192.168.2.254)
2. S1收到包后查路由表，发现要去192.168.5.0/24得通过192.168.6.2
3. S1把包重新封装，源MAC变成自己的出接口MAC，目的MAC变成S2的MAC
4. S2收到包后同样查路由表，通过默认路由把包转发给192.168.5.254
5. 最终PC5收到请求包，回复的包沿着反向路径回到PC1

这个过程最神奇的是IP地址始终不变，变的只是MAC地址。就像快递单上的收件人地址不变，但运输过程中会不断更换快递车辆。

7. 企业级网络设计建议

在实际企业网络中，我通常会给出这些建议：

1. VLAN规划要有前瞻性，按部门或功能划分
2. 为每个VLAN预留足够的IP地址空间
3. 三层交换机之间的互联单独用一个VLAN
4. 做好文档记录，包括VLAN ID、IP规划、端口分配等
5. 重要配置变更前先备份

静态路由虽然简单直观，但在大型网络中维护起来比较麻烦。当网络规模扩大时，可以考虑使用OSPF等动态路由协议。不过对于初学者来说，先掌握静态路由的工作原理非常重要。