文章总结： 本文详细演示企业级网络拓扑搭建，综合运用MSTP、VRRP、OSPF及链路聚合实现内网高冗余与互通。重点讲解防火墙NAT策略配置，以及通过IPSECVPN建立总部与分部的安全隧道，并对比了SD-WAN优势。文档提供完整华为设备配置命令与测试步骤，实操性强，适合网络工程学习参考。 综合评分： 92 文章分类： 网络安全,安全建设,解决方案,实战经验

干货 | 简单的网络拓扑图7.0

小波学习日记

天億网络安全

2026年1月6日 10:30 北京

前言

点击下方 “天億网络安全“公众号关注, 设为星标。有用的话请点赞、收藏备查。

内容来源：小波学习日记

拓扑图如下：

用到的技术有：OSPF+IPSEC+MSTP+VRRP+链路聚合+防火墙安全策略+NAT策略+ACL访问控制列表！

西安办事处总部：

还是老样子从下往上，咱们平时排查问题也是一样的步骤！

二层交换机1：

[Huawei]sysname ECJHJ1[ECJHJ1]vlan batch 10 20[ECJHJ1]int e0/0/1 （HXJHJ1的端口）[ECJHJ1-Ethernet0/0/1]p l t[ECJHJ1-Ethernet0/0/1]p t a v a[ECJHJ1]int e0/0/2 （HXJHJ2的端口）[ECJHJ1-Ethernet0/0/2]p l t[ECJHJ1-Ethernet0/0/2]p t a v a[ECJHJ1]int e0/0/3 （办公室端口）[ECJHJ1-Ethernet0/0/3]p l a[ECJHJ1-Ethernet0/0/3]p d v 10[ECJHJ1]int e0/0/4 （财务室端口）[ECJHJ1-Ethernet0/0/4]p l a[ECJHJ1-Ethernet0/0/4]p d v 20[ECJHJ1]stp region-configuration[ECJHJ1-mst-region] region-name zxb[ECJHJ1-mst-region] instance 1 vlan 10 20[ECJHJ1-mst-region] instance 2 vlan 30 40[ECJHJ1-mst-region] active region-configuration

二层交换机2：

[Huawei]sysname ECJHJ2[ECJHJ2]vlan batch 30 40[ECJHJ2]int e0/0/1 （HXJHJ2的端口）[ECJHJ2-Ethernet0/0/1]p l t[ECJHJ2-Ethernet0/0/1]p t a v a[ECJHJ2]int e0/0/2 （HXJHJ1的端口）[ECJHJ2-Ethernet0/0/2]p l t[ECJHJ2-Ethernet0/0/2]p t a v a[ECJHJ2]int e0/0/3 （工程部端口）[ECJHJ2-Ethernet0/0/3]p l a[ECJHJ2-Ethernet0/0/3]p d v 30[ECJHJ2]int e0/0/4 （CEO办公室端口）[ECJHJ2-Ethernet0/0/4]p l a[ECJHJ2-Ethernet0/0/4]p d v 40[ECJHJ2]stp region-configuration[ECJHJ2-mst-region] region-name zxb[ECJHJ2-mst-region] instance 1 vlan 10 20[ECJHJ2-mst-region] instance 2 vlan 30 40[ECJHJ2-mst-region] active region-configuration

三层交换机：

[Huawei]sysname HXJHJ1[HXJHJ1]vlan batch 10 20 30 40 11[HXJHJ1]int g0/0/1[HXJHJ1-GigabitEthernet0/0/1]p l t[HXJHJ1-GigabitEthernet0/0/1]p t a v a[HXJHJ1]int g0/0/2[HXJHJ1-GigabitEthernet0/0/2]p l t[HXJHJ1-GigabitEthernet0/0/2]p t a v a[HXJHJ1]int g0/0/6[HXJHJ1-GigabitEthernet0/0/6]p l a[HXJHJ1-GigabitEthernet0/0/6]p d v 11[HXJHJ1]int Eth-Trunk 1 （链路聚合组 1）[HXJHJ1-Eth-Trunk1]mode lacp-static （配置链路聚合模式为 静态LACP模式）[HXJHJ1-Eth-Trunk1]max active-linknumber 2（最大活动链路数为 2）[HXJHJ1-Eth-Trunk1]trunkport GigabitEthernet 0/0/3 to 0/0/5[HXJHJ1-Eth-Trunk1]p l t[HXJHJ1-Eth-Trunk1]p t a v a[HXJHJ1]stp region-configuration （进入 MSTP（多生成树协议））[HXJHJ1-mst-region]region-name zxb （配置 MSTP 区域名称为 zxb）[HXJHJ1-mst-region]instance 1 vlan 10 20（创建 MSTP 实例 1，将 VLAN 10、20 映射到该实例）[HXJHJ1-mst-region]instance 2 vlan 30 40（创建 MSTP 实例 2，将 VLAN 30、40 映射到该实例）[HXJHJ1-mst-region]active region-configuration （激活 MSTP 区域配置）[HXJHJ1]stp instance 1 root primary （配置本交换机为 MSTP 实例1 的根交换机）[HXJHJ1]stp instance 2 root secondary （配置本交换机为 MSTP 实例2 的备份根交换机）[HXJHJ1]int Vlanif 10[HXJHJ1-Vlanif10]ip add 192.168.10.2 24[HXJHJ1-Vlanif10]vrrp vrid 10 virtual-ip 192.168.10.1（配置 VRRP 虚拟路由器 ID 为 10，虚拟 IP 地址为 192.168.10.1）[HXJHJ1-Vlanif10]vrrp vrid 10 priority 120[HXJHJ1]int Vlanif 20[HXJHJ1-Vlanif20]ip add 192.168.20.2 24[HXJHJ1-Vlanif20]vrrp vrid 20 virtual-ip 192.168.20.1[HXJHJ1-Vlanif20]vrrp vrid 20 priority 120[HXJHJ1]int Vlanif 30[HXJHJ1-Vlanif30]ip add 192.168.30.2 24[HXJHJ1-Vlanif30]vrrp vrid 30 virtual-ip 192.168.30.1[HXJHJ1]int Vlanif 40[HXJHJ1-Vlanif40]ip add 192.168.40.2 24[HXJHJ1-Vlanif40]vrrp vrid 40 virtual-ip 192.168.40.1[HXJHJ1]int Vlanif 11[HXJHJ1-Vlanif11]ip add 192.168.11.1 24[HXJHJ1]ospf[HXJHJ1-ospf-1]area 0[HXJHJ1-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255[HXJHJ1-ospf-1-area-0.0.0.0]network 192.168.11.0 0.0.0.255[HXJHJ1-ospf-1-area-0.0.0.0]network 192.168.20.0 0.0.0.255[HXJHJ1-ospf-1-area-0.0.0.0]network 192.168.30.0 0.0.0.255[HXJHJ1-ospf-1-area-0.0.0.0]network 192.168.40.0 0.0.0.255

三层交换机：

[Huawei]sysname HXJHJ2[HXJHJ2]vlan batch 10 20 30 40 12[HXJHJ2]int g0/0/1[HXJHJ2-GigabitEthernet0/0/1]p l t[HXJHJ2-GigabitEthernet0/0/1]p t a v a[HXJHJ2]int g0/0/2[HXJHJ2-GigabitEthernet0/0/2]p l t[HXJHJ2-GigabitEthernet0/0/2]p t a v a[HXJHJ2]int g0/0/6[HXJHJ2-GigabitEthernet0/0/6]p l a[HXJHJ2-GigabitEthernet0/0/6]p d v 12[HXJHJ2]int Eth-Trunk 1 （创建链路聚合组 1）[HXJHJ2-Eth-Trunk1]mode lacp-static （配置链路聚合模式为 静态LACP模式）[HXJHJ2-Eth-Trunk1]max active-linknumber 2（最大活动链路数为 2）[HXJHJ2-Eth-Trunk1]trunkport GigabitEthernet 0/0/3 to 0/0/5[HXJHJ2-Eth-Trunk1]p l t[HXJHJ2-Eth-Trunk1]p t a v a[HXJHJ2]stp region-configuration （进入 MSTP（多生成树协议）区域配置视图）[HXJHJ2-mst-region]region-name zxb （配置 MSTP 区域名称为 zxb）[HXJHJ2-mst-region]instance 1 vlan 10 20（ 创建 MSTP 实例 1，将 VLAN 10、20 映射到该实例）[HXJHJ2-mst-region]instance 2 vlan 30 40 （创建 MSTP 实例 2，将 VLAN 30、40 映射到该实例）[HXJHJ2-mst-region]active region-configuration （激活 MSTP 区域配置）[HXJHJ2]stp instance 1 root secondary （配置本交换机为 MSTP 实例1 的备份根交换机）[HXJHJ2]stp instance 2 root primary （配置本交换机为 MSTP 实例2的根交换机）[HXJHJ2]int Vlanif 10[HXJHJ2-Vlanif10]ip add 192.168.10.3 24[HXJHJ2-Vlanif10]vrrp vrid 10 virtual-ip 192.168.10.1[HXJHJ2]int Vlanif 20[HXJHJ2-Vlanif20]ip add 192.168.20.3 24[HXJHJ2-Vlanif20]vrrp vrid 20 virtual-ip 192.168.20.1[HXJHJ2]int Vlanif 30[HXJHJ2-Vlanif30]ip add 192.168.30.3 24[HXJHJ2-Vlanif30]vrrp vrid 30 virtual-ip 192.168.30.1[HXJHJ2-Vlanif30]vrrp vrid 30 priority 120[HXJHJ2]int Vlanif 40[HXJHJ2-Vlanif40]ip add 192.168.40.3 24[HXJHJ2-Vlanif40]vrrp vrid 40 virtual-ip 192.168.40.1[HXJHJ2-Vlanif40]vrrp vrid 40 priority 120[HXJHJ2]int Vlanif 12[HXJHJ2-Vlanif12]ip add 192.168.12.1 24[HXJHJ2]ospf[HXJHJ2-ospf-1]area 0[HXJHJ2-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255[HXJHJ2-ospf-1-area-0.0.0.0]network 192.168.12.0 0.0.0.255[HXJHJ2-ospf-1-area-0.0.0.0]network 192.168.20.0 0.0.0.255[HXJHJ2-ospf-1-area-0.0.0.0]network 192.168.30.0 0.0.0.255[HXJHJ2-ospf-1-area-0.0.0.0]network 192.168.40.0 0.0.0.255

测试：

办公室pingCEO办公室

是通的！然后咱们冗余测试，把二层交换机2连接三层交换机2的线断开，然后测试！

继续办公室pingCEO办公室

依然没问题！

然后咱们内部其实已经配置好了，现在开始配置防火墙出口

防火墙出口：

[USG6000V1]int g0/0/0[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.11.2 24[USG6000V1]int g1/0/0[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.12.2 24[USG6000V1]int g1/0/1[USG6000V1-GigabitEthernet1/0/1]ip add 100.100.100.1 24[USG6000V1]firewall zone trust [USG6000V1-zone-trust]add interface g0/0/0[USG6000V1-zone-trust]add interface g1/0/0[USG6000V1]firewall zone untrust [USG6000V1-zone-untrust]add int g1/0/1[USG6000V1]ip route-static 0.0.0.0 0 100.100.100.2（配置默认静态路由）[USG6000V1]ospf[USG6000V1-ospf-1]default-route-advertise[USG6000V1-ospf-1]area 0[USG6000V1-ospf-1-area-0.0.0.0]network 192.168.11.0 0.0.0.255[USG6000V1-ospf-1-area-0.0.0.0]network 192.168.12.0 0.0.0.255[USG6000V1]security-policy  （安全策略）[USG6000V1-policy-security]rule name sw[USG6000V1-policy-security-rule-sw]source-zone trust [USG6000V1-policy-security-rule-sw]destination-zone untrust [USG6000V1-policy-security-rule-sw]action permit [USG6000V1]nat-policy （NAT策略）[USG6000V1-policy-nat]rule name sw[USG6000V1-policy-nat-rule-sw]source-zone trust [USG6000V1-policy-nat-rule-sw]destination-zone untrust [USG6000V1-policy-nat-rule-sw]action source-nat easy-ip （启用源 NAT 的 Easy-IP 模式）

测试外网：

已经通了！

然后在配置榆林办事处分部：

分部防火墙：

[USG6000V1]int g1/0/0[USG6000V1-GigabitEthernet1/0/0]ip add 200.200.200.1 24[USG6000V1]int g1/0/1[USG6000V1-GigabitEthernet1/0/1]ip add 172.16.1.1 24[USG6000V1]firewall zone trust [USG6000V1-zone-trust]add int g1/0/1[USG6000V1]firewall zone untrust [USG6000V1-zone-untrust]add int g1/0/0[USG6000V1]security-policy （安全策略）[USG6000V1-policy-security]rule name sw[USG6000V1-policy-security-rule-sw]source-zone trust [USG6000V1-policy-security-rule-sw]destination-zone untrust [USG6000V1-policy-security-rule-sw]action permit [USG6000V1]nat-policy  （NAT策略）[USG6000V1-policy-nat]rule name sw[USG6000V1-policy-nat-rule-sw]source-zone trust [USG6000V1-policy-nat-rule-sw]destination-zone untrust [USG6000V1-policy-nat-rule-sw]action source-nat easy-ip[USG6000V1]ip route-static 0.0.0.0 0 200.200.200.2 （默认路由）

测试：

也已经和外部通了！

现在创建IPSEC VPN 让总部-分部是可以正常通信的！其实现在基本上ipsec不用了，现在都是使用‌SD-WAN技术，我这里也给大家科普一下吧！

总部想访问分部其实可以用很多技术，比如IPSEC，GRE，ipsec gre，ssl，MPLS。。。。这些技术，目前使用最多的其实是ipsec+SD-WAN

SD-WAN技术：是一种通过软件来定义广域网，灵活的部署选项，‌集中化管理，能够识别数千种应用协议，动态优先保障关键业务（如VoIP、视频会议），优化带宽分配。‌主要是简单，比如你有三个分部，一个总部，你只需要拿四个设备，分别给这几个地方安装上就行了，安装也简单，使用web界面配置连接内网端口，让这个设备可以正常访问互联网，然后通过搜索设备，就可以成功的另外几个设备搭建隧道，进行通信！现在很多公司都在用，简单，便宜，好用！

模拟器当然没办法使用这个，所以咱们老老实实使用ipsec来搭建吧！

总部防火墙：

[USG6000V1]security-policy[USG6000V1-policy-security]rule  name u-t[USG6000V1-policy-security-rule-u-t]source-zone untrust [USG6000V1-policy-security-rule-u-t]destination-zone trust [USG6000V1-policy-security-rule-u-t]source-address 172.16.1.0 0.0.0.255[USG6000V1-policy-security-rule-u-t]action permit[USG6000V1-policy-security]rule name ipsec[USG6000V1-policy-security-rule-ipsec]source-zone local untrust [USG6000V1-policy-security-rule-ipsec]destination-zone local untrust [USG6000V1-policy-security-rule-ipsec]source-address 100.100.100.1 24[USG6000V1-policy-security-rule-ipsec]source-address 200.200.200.1 24[USG6000V1-policy-security-rule-ipsec]destination-address 100.100.100.1 24[USG6000V1-policy-security-rule-ipsec]destination-address 200.200.200.1 24[USG6000V1-policy-security-rule-ipsec]action permit [USG6000V1]nat-policy [USG6000V1-policy-nat]rule name vpn[USG6000V1-policy-nat-rule-vpn]source-address 192.168.0.0 16[USG6000V1-policy-nat-rule-vpn]destination-address 172.16.1.0 24[USG6000V1-policy-nat-rule-vpn]action no-nat [USG6000V1-policy-nat]rule move vpn top  [USG6000V1]ike proposal 1 [USG6000V1]ike peer 1 [USG6000V1-ike-peer-1]pre-shared-key zxb@123 [USG6000V1-ike-peer-1]ike-proposal 1 [USG6000V1-ike-peer-1]remote-address 200.200.200.1 [USG6000V1]acl 3000[USG6000V1]acl 3000[USG6000V1-acl-adv-3000]rule permit ip source 192.168.10.0 0.0.0.255 destination 172.16.1.0 0.0.0.255[USG6000V1-acl-adv-3000]rule permit ip source 192.168.20.0 0.0.0.255 destination 172.16.1.0 0.0.0.255[USG6000V1-acl-adv-3000]rule permit ip source 192.168.30.0 0.0.0.255 destination 172.16.1.0 0.0.0.255[USG6000V1-acl-adv-3000]rule permit ip source 192.168.40.0 0.0.0.255 destination 172.16.1.0 0.0.0.255[USG6000V1]ipsec proposal 1[USG6000V1]ipsec policy zxb 1 isakmp[USG6000V1-ipsec-policy-isakmp-zxb-1]security acl 3000[USG6000V1-ipsec-policy-isakmp-zxb-1]ike-peer 1[USG6000V1-ipsec-policy-isakmp-zxb-1]proposal 1[USG6000V1]int g1/0/1[USG6000V1-GigabitEthernet1/0/1]ipsec policy zxb

分部防火墙：

[USG6000V1]security-policy[USG6000V1-policy-security]rule name u-t[USG6000V1-policy-security-rule-u-t]source-zone untrust [USG6000V1-policy-security-rule-u-t]destination-zone trust [USG6000V1-policy-security-rule-u-t]source-address 192.168.0.0 16[USG6000V1-policy-security]rule name ipsec[USG6000V1-policy-security-rule-ipsec]source-zone local  untrust [USG6000V1-policy-security-rule-ipsec]destination-zone local untrust [USG6000V1-policy-security-rule-ipsec]source-address 100.100.100.1 24[USG6000V1-policy-security-rule-ipsec]source-address 200.200.200.1 24[USG6000V1-policy-security-rule-ipsec]destination-address 100.100.100.1 24[USG6000V1-policy-security-rule-ipsec]destination-address 200.200.200.1 24[USG6000V1-policy-security-rule-ipsec]action permit [USG6000V1]nat-policy [USG6000V1-policy-nat]rule name vpn[USG6000V1-policy-nat-rule-vpn]source-address 172.16.1.0 24[USG6000V1-policy-nat-rule-vpn]destination-address 192.168.10.0 24[USG6000V1-policy-nat-rule-vpn]destination-address 192.168.20.0 24[USG6000V1-policy-nat-rule-vpn]destination-address 192.168.30.0 24[USG6000V1-policy-nat-rule-vpn]destination-address 192.168.40.0 24[USG6000V1-policy-nat-rule-vpn]action no-nat [USG6000V1-policy-nat]rule move vpn top [USG6000V1]ike proposal 1[USG6000V1]ike peer 1[USG6000V1-ike-peer-1]pre-shared-key zxb@123[USG6000V1-ike-peer-1]ike-proposal 1[USG6000V1-ike-peer-1]remote-address 100.100.100.1[USG6000V1]acl 3000[USG6000V1]acl 3000[USG6000V1-acl-adv-3000]rule permit ip source 172.16.1.0 0.0.0.255 destination 192.168.10.0 0.0.0.255[USG6000V1-acl-adv-3000]rule permit ip source 172.16.1.0 0.0.0.255 destination 192.168.20.0 0.0.0.255[USG6000V1-acl-adv-3000]rule permit ip source 172.16.1.0 0.0.0.255 destination 192.168.30.0 0.0.0.255[USG6000V1-acl-adv-3000]rule permit ip source 172.16.1.0 0.0.0.255 destination 192.168.40.0 0.0.0.255[USG6000V1]ipsec proposal 1[USG6000V1]ipsec policy zxb 1 isakmp [USG6000V1-ipsec-policy-isakmp-zxb-1]security acl 3000[USG6000V1-ipsec-policy-isakmp-zxb-1]ike-peer 1[USG6000V1-ipsec-policy-isakmp-zxb-1]proposal 1[USG6000V1]int g1/0/0[USG6000V1-GigabitEthernet1/0/0]ipsec policy zxb

然后测试：总部-分部：

总部-外网：

分部-总部：

分部-外网

好了！实验就到此为止了！感兴趣的可以做一做还是老样子，我把拓扑图放下面！

配置好的：https://wwbki.lanzouv.com/iuqBl3ebhm9c

没有配置好的：https://wwbki.lanzouv.com/iug473ebhqpc

「天億网络安全」 知识星球一个网络安全学习的星球！星球主要分享、整理、原创编辑等网络安全相关学习资料，一个真实有料的网络安全学习平台，大家共同学习、共同进步！

知识星球定价：199元/年，（服务时间为一年，自加入日期顺延一年）。

如何加入：扫描下方二维码，扫码付费即可加入。

加入知识星球的同学，请加我微信，拉您进VIP交流群！

朋友都在看

▶️3保1评 | 分保、等保、关保、密评联系与区别

▶️等保2.0丨2021 必须了解的40个问题

▶️等保2.0 三级 拓扑图+设备套餐+详解

▶️等保2.0 二级 拓扑图+设备套餐+详解

▶️等保2.0 测评  二级系统和三级系统多长时间测评一次？

▶️等保2.0系列安全计算环境之数据完整性、保密性测评

▶️等保医疗|全国二级、三乙、三甲医院信息系统安全防护设备汇总

▶️国务院：不符合网络安全要求的政务信息系统未来将不给经费

▶️等级保护、风险评估和安全测评三者的区别

▶️分保、等保、关保、密码应用对比详解

▶️汇总 | 2020年发布的最重要网络安全标准（下载）

▶️2022版 | 全国网络安全常用标准（下载）

欢迎扫描关注【天億网络安全】公众号，及时了解更多网络安全知识

点分享

点点赞

点在看

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：天億网络安全 小波学习日记《干货 | 简单的网络拓扑图7.0》