時候，我在使用ensp動手做實驗時在想，ensp里的網絡設備能不能正常訪問互聯網呢？這樣就可以更加真實的模擬環境。經過一番折騰，終于實現了。今天把這個案例分享給大家。

借助VMware虛擬機的NAT網卡，實現上網

安裝完VMware虛擬機之后，電腦會多出現兩張網卡，一張是VMnet1，一張是VMnet8。其中VMnet1是橋接模式，VMnet8是NAT模式。

eNSP綁定本地網卡，與仿真設備進行通信

eNSP工具中的云代表通過各種網絡技術連接起來的計算機網絡環境，目前可實現的功能包括：仿真設備之間建立映射關系、綁定網卡與仿真設備之間進行通信，以及通過開放UDP端口方式與外部程序進行通信。

1、向工作區中添加“云”，雙擊“云”圖標，打開“云”配置界面。

2、在“端口創建”區域框中，依據連接至云的設備接口類型選擇相應的“端口類型”，這里選擇“VMnet8”的網卡。

前期的工作已完成，下面通過一個小案例，把知識點串聯起來。

網絡拓撲

拓撲中使用一臺USG6000、終端PC1和一個已綁定VMnet8的云。其中云的配置請參考上文。

終端PC1配置如下：

防火墻上配置：

配置G1/0/1接口IP地址，其實G1/0/1的IP就是終端PC1的網關地址。

[USG6000V1] interface GigabitEthernet1/0/1
[USG6000V1-GigabitEthernet1/0/1] ip address 192.168.1.254 255.255.255.0

配置G1/0/0接口自動獲取IP地址，從VMnet8中自動獲取地址。

[USG6000V1]dhcp enable#全局模式使能dhcp服務
[USG6000V1] interface GigabitEthernet1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip address dhcp-alloc

配置安全區域zone,把對應的接口加入到對應的zone中

[USG6000V1]firewall zone trust 
[USG6000V1-zone-trust]add  interface GigabitEthernet 1/0/1 #把接口G1/0/1加入到trust中
[USG6000V1]firewall zone untrust 
[USG6000V1-zone-trust]add  interface GigabitEthernet 1/0/0  #把接口G1/0/0加入到untrust中

配置安全策略，放通local安全區域到untrust區域的策略，用于測試防火墻是否正正常上外網。

[USG6000V1]security-policy
[USG6000V1-policy-security]rule name 10
[USG6000V1-policy-security-rule-10]  source-zone local
[USG6000V1-policy-security-rule-10]  destination-zone untrust
[USG6000V1-policy-security-rule-10]  action permit

此時，防火墻就可以正常的訪問到互聯網了，驗證如下：

讓終端PC1上外網，就變得相當簡單了，可以采用nat的模式，使其上外網。

NAT配置步驟

1、配置NAT地址池，這個地址池要和G1/0/0接口的IP地址在同一網段。

[USG6000V1]nat address-group address_1
[USG6000V1-address-group-address_1] section 0 192.168.224.142 192.168.224.143

2、配置NAT策略

[USG6000V1]nat-policy
[USG6000V1-policy-nat]rule name to_Internet
[USG6000V1-policy-nat-rule-to_Internet]source-zone trust
[USG6000V1-policy-nat-rule-to_Internet]destination-zone untrust
[USG6000V1-policy-nat-rule-to_Internet]action  source-nat address-group address_1

3、配置安全策略

[USG6000V1]security-policy
[USG6000V1-policy-security]rule name 20
[USG6000V1-policy-security-rule-20]  source-zone trust
[USG6000V1-policy-security-rule-20]  destination-zone untrust
[USG6000V1-policy-security-rule-20]  action permit

到此，終端PC1就可以通過NAT去訪問互聯網了。驗證如下

我們還可以查看防火墻的會話表項的，如下圖

一、以太網交換機

交換機轉發數據端口都是以太網口，這樣的交換機屬于以太網交換機，交換機轉發數據端口都是令牌環口，這樣的交換機為令牌環交換機，我們可以暫時忽略令牌環，主要研究以太網，因為令牌環在歷史潮流中已經被淘汰了，目前我們說的局域網交換機就是以太網交換機[靈光一閃]

二、交換機轉發操作

1、泛洪

交換機把從某一個端口進來的幀從其他所有端口轉發出去。這里有個需要注意的地方：其他所有端口指的是進入交換機那個端口以外的所有端口，也就是除了接收接口以外的其他所有接口。

泛洪是點到多點行為：

2、轉發

轉發可以理解為點到點，也可以理解為從一個端口進入數據轉發到除了這個接口以外的其他接口。

3、丟棄

交換機把從某一個端口進來的數據幀丟掉，也就是不進行轉發，圖示如下：

三、交換機工作原理

1、MAC地址表

交換機工作原理則必須了解MAC地址表，每臺交換機都有一個MAC地址表。

那么拿到一臺新的交換機有MAC地址表嗎？[憨笑]，答案是空的，隨著交換機轉發數據學習過程中，交換機表項慢慢豐富起來。

2、轉發原理概況如下

1）、如果從傳輸介質到交換機某個端口幀是單播幀，交換機查找這個幀目的MAC地址。

那么問題來了？找不到這個MAC地址怎么辦，數據怎樣進行處理呢？[得意]

找不到這個MAC地址，我們的網絡設備也是智能的，對幀就進行泛洪廣播處理，比如一個人回收二手手機，在找不到賣手機的，那就在街上喊收二手手機，廣播出去讓周圍人都知道他要二手手機。[無辜笑]

2）、找到MAC地址，就從這個MAC地址對應的交換機端口轉發出去。如果這個目的MAC就是進入接口學到的這個MAC地址呢？那就進行丟棄。

3）、如果是廣播幀，交換機就不會查MAC表了就會直接泛洪了。

4）、如果是組播幀，會在組范圍內進行泛洪，此處我們初學者入門暫時可以忽略組播。

四、MAC地址表

到底MAC地址表長什么樣呢？此時我們需要用模擬器ENSP軟件進行演示模擬器真實交換機的操作。ENSP軟件直接下載win系統電腦雙擊即可完成安裝。新手小白直接雙擊下面的ENSP軟件無需任何其他插件，純默認雙擊即可完成安裝。

1、我們組建一個基礎入門的局域網，查看交換機MAC地址表

2、右鍵啟動然后雙擊即可登錄交換機，查看MAC地址表

<Huawei>display mac-address//我們發現一臺新設備啟動后表項是空的[酷]

<Huawei>

接下來我們PC1pingPC2,也就是讓PC1和PC2進行互通

1）、PC1雙擊圖標登錄后pingPC2：

2）、SW查看交換機MAC地址表

此時我們可以查看到PC1和PC2在交換機對應的接口及MAC地址

以上完成的0基礎入門交換機基礎最基本的MAC地址小知識點。

針對工作及實戰學習及華為認證考證需要的小伙伴可以了解以下內容：

1、工作實戰需要及學習的小伙伴，ENSP軟件（純雙擊安裝）+交換機基礎10課時實戰視頻

之前有很多弱電的小伙伴請教遠程調試交換機，同樣適合弱電工程師交換機調試。