一个中型企业的网络困境
某制造企业有三个部门:生产、财务和研发,共150台设备。起初所有设备都在同一个局域网内,随着业务增长,网络广播风暴频发,打印机常被误连,财务数据也能被其他部门员工无意访问,安全与效率双双下滑。
问题核心在于——所有人挤在同一个“大房间”里说话,谁都能听见。解决办法不是换更快的路由器,而是把大房间隔成几个独立小房间,也就是进行子网划分。
如何设计子网结构
企业使用的是 192.168.1.0/24 网段,最多支持254个主机,看似够用,但缺乏隔离。我们决定按部门拆分子网:
- 生产部:80台设备
- 研发部:50台设备
- 财务部:20台设备
为了合理利用地址空间,采用可变长子网掩码(VLSM)进行划分:
生产部:192.168.1.0 /25 → 子网掩码 255.255.255.128,可用地址 126 个
研发部:192.168.1.128 /26 → 子网掩码 255.255.255.192,可用地址 62 个
财务部:192.168.1.192 /27 → 子网掩码 255.255.255.224,可用地址 30 个这样既满足当前需求,又为每个部门预留了扩展空间,还避免了IP浪费。
实施过程中的关键配置
在三层交换机上创建 VLAN,并绑定对应子网:
<vlan 10>
<name Production>
<exit>
<vlan 20>
<name R&D>
<exit>
<vlan 30>
<name Finance>
<exit>接着为各VLAN配置SVI(交换机虚拟接口)作为网关:
<interface Vlan10>
<ip address 192.168.1.1 255.255.255.128>
<exit>
<interface Vlan20>
<ip address 192.168.1.129 255.255.255.192>
<exit>
<interface Vlan30>
<ip address 192.168.1.193 255.255.255.224>
<exit>最后通过ACL限制跨部门访问,例如禁止生产部访问财务子网:
<access-list 101 deny ip 192.168.1.0 0.0.0.127 192.168.1.192 0.0.0.31>
<access-list 101 permit ip any any>
<interface Vlan10>
<ip access-group 101 in>效果立竿见影
子网划分完成后,广播域缩小了三分之二,网络延迟明显下降。财务系统只能由指定终端访问,打印机也按部门分组管理,新员工入职只需分配到对应VLAN,策略自动生效。
更重要的是,当研发部进行大量内部测试时,流量不会冲击生产系统的稳定性。这种“各走各路”的结构,让网络从“混乱集市”变成了“有序街区”。
后续扩展考虑
随着分公司建立,可通过路由器连接不同站点的子网,甚至结合VPN实现安全互联。未来还可引入DHCP服务器按子网分配地址,进一步简化运维。
子网划分不只是技术操作,更是一种网络治理思路——把资源合理切分,让每个团队拥有自己的空间,既独立又协同。