教学目标
📖 课前导入
假设你是一名网络工程师,老板说:"我们公司200人,5个部门,3层办公楼。请设计一套企业网络方案。"——你会怎么做?
经过前38课的学习,你已经掌握了所有核心知识。现在把它们综合运用起来,像真正的工程师一样完成一次企业网络规划设计!
🎯 本课目标:掌握网络规划的完整流程(需求分析→拓扑设计→IP规划→设备选型→安全策略→实施方案),能独立完成一份企业网络规划文档。
📚 一、网络需求分析
设计网络的第一步——了解需求
不同企业对网络的需求完全不同。需求分析做不好,后面全白费。网络工程项目中,60%的问题源于需求不清。
需求调研清单
🏢 企业基本信息
- • 企业规模(员工数量、部门划分)
- • 办公场所(楼层数、面积、布局图)
- • 是否有分支机构(需要VPN互联?)
- • 未来3-5年员工增长预期
💻 业务需求
- • 内部服务(邮件、OA、ERP、文件共享)
- • 对外服务(Web网站、邮件服务器→需要DMZ)
- • 带宽需求(视频会议→高带宽、VoIP→低延迟)
- • 无线需求(覆盖范围、是否需要访客WiFi)
🔒 安全需求
- • 部门间隔离(财务部数据不能被其他部门访问)
- • 访客网络必须与内网完全隔离
- • 远程办公VPN需求(移动办公、出差)
- • 上网行为管理(禁止访问特定网站)
💰 预算与可靠性
- • 总预算(决定设备档次和品牌)
- • 冗余要求(双核心?双链路?双电源?)
- • SLA要求(允许宕机多久?99.9%=年停8.76小时)
- • 运维人员水平(简单管理 vs 专业运维)
案例背景:某科技公司
需求:内网OA+邮件+文件共享,对外Web网站,财务部隔离,访客WiFi,远程VPN,双链路冗余。
📚 二、网络拓扑设计
三层网络架构 ⭐经典设计
核心层(Core)
高速数据交换,连接各汇聚层。核心交换机×2(冗余),万兆互联。不做复杂策略——只负责快速转发。
汇聚层(Distribution)
策略控制中心:VLAN间路由、ACL过滤、QoS策略。三层交换机。安全策略在这里实施。
接入层(Access)
直接连接终端:二层交换机+无线AP。划分VLAN、端口安全、PoE供电AP。每楼层1-2台接入交换机。
小型企业(50人以下)可将核心层和汇聚层合并为两层架构。
🌐 企业三层网络拓扑示意图
DMZ区设计
对外服务(Web、邮件服务器)放在DMZ区——防火墙的第三个接口。
允许HTTP/HTTPS
原则上禁止
允许管理访问
核心原则:即使DMZ被攻破,攻击者也无法直接渗透内网。
📚 三、IP地址规划
规划示例:200人科技公司
| 部门/区域 | VLAN ID | 网段 | 可用IP | 网关 | IP分配 |
|---|---|---|---|---|---|
| 行政部 | 10 | 192.168.10.0/24 | 254 | 192.168.10.1 | DHCP |
| 技术部 | 20 | 192.168.20.0/24 | 254 | 192.168.20.1 | DHCP |
| 财务部 | 30 | 192.168.30.0/24 | 254 | 192.168.30.1 | DHCP |
| 服务器区 | 100 | 192.168.100.0/24 | 254 | 192.168.100.1 | 静态IP |
| DMZ区 | 110 | 192.168.110.0/24 | 254 | 192.168.110.1 | 静态IP |
| 访客WiFi | 200 | 192.168.200.0/24 | 254 | 192.168.200.1 | DHCP |
| 管理VLAN | 99 | 192.168.99.0/24 | 254 | 192.168.99.1 | 静态IP |
IP规划六原则
1. 按部门/功能划分VLAN——每个VLAN一个子网
2. 预留50%扩展空间——别用/25以下的小子网
3. 网关地址统一——全部使用.1
4. 服务器/设备用静态IP——终端用DHCP
5. 管理VLAN独立——只有运维人员可访问
6. 第三八位标识VLAN——如VLAN 10→192.168.10.0/24
📚 四、设备选型与预算
| 设备类型 | 数量 | 关键要求 | 参考单价 | 部署位置 |
|---|---|---|---|---|
| 核心交换机 | 2台 | 三层交换,万兆上行,冗余电源,堆叠 | 3-5万 | 机房核心 |
| 接入交换机 | 6台 | 48口千兆+PoE,支持VLAN | 3-5千 | 各楼层弱电间 |
| 防火墙 | 1台 | NAT、ACL、VPN、IPS、DMZ | 2-5万 | 网络出口 |
| 无线AP | 12台 | WiFi 6,AC管理,PoE供电 | 500-2千 | 各办公区域 |
| 服务器 | 2台 | DNS/DHCP/AD + 文件/邮件/Web | 2-5万 | 机房服务器区 |
| UPS + 机柜 | 各1 | 3KVA UPS,42U标准机柜 | 1-2万 | 机房 |
以上为参考价格,实际需根据品牌(华为/H3C/锐捷/思科)和具体型号调整。线缆、配件、施工费用另计。
📚 五、安全策略设计
网络规划文档模板(7章)
已完成 0/7 步
第1章 项目概述
第2章 需求分析
第3章 网络拓扑设计
第4章 IP地址规划
第5章 设备选型清单
第6章 安全策略
第7章 实施与验收
企业网络规划全流程实战
以200人科技公司为案例,从需求调研到拓扑设计、IP规划、设备选型、安全策略和实施测试的完整过程
以200人科技公司为案例,从需求调研到拓扑设计、IP规划、设备选型、安全策略和实施测试的完整过程
✅ 课堂小测
随堂测验
第 1/6 题企业网络三层架构从上到下依次是?
📋 本课小结
需求分析:企业规模、业务、安全、预算、可靠性。需求不清=项目失败。
拓扑设计:三层架构(核心+汇聚+接入),DMZ隔离公共服务,双核心冗余。
IP规划:按VLAN分子网,预留扩展,服务器静态IP,第三八位=VLAN号。
安全策略:财务隔离ACL、访客只能上网、DMZ最小权限、VPN远程接入。
🤔 课后作业
实战项目(小组完成)
为以下场景设计一套完整的网络方案,输出规划文档(Word/PPT):
场景:某学校新建教学楼,4层,50间教室+10间办公室+1间机房。
需求:教师和学生WiFi分离、每间教室有线网口2个、多媒体教室需要视频点播、机房有服务器和监控主机。预算15万。
文档需包含:需求分析、拓扑图、IP地址规划表、VLAN划分、设备清单与预算、安全策略。
思考题
- 如果企业有2个分支机构在外地,网络拓扑设计需要增加什么?(提示:Site-to-Site VPN)
- 核心交换机只有1台和有2台,对网络可靠性有什么本质区别?