上周帮朋友公司做网络改造,发现他们用一台百兆交换机连着二十多台办公电脑,还跑着视频会议和云桌面——结果一开会就卡成PPT。这不是设备不行,是设计没守住底线。
原则一:先想流量,再铺线
很多新手一上来就查设备参数、比端口数量,其实该先画张“流量草图”:销售部每天上传多少客户资料?财务系统和ERP之间每分钟传几MB?监控摄像头是本地存储还是上云?这些数字直接决定你该选千兆还是万兆上联,该不该单独划VLAN隔离视频流。
比如普通办公网,按人均10Mbps并发算;而设计部门用Adobe全家桶+大图渲染,单机峰值轻松破80Mbps——这时候再用百兆接入,等于给高速路修自行车道。
原则二:冗余不是堆设备,是留退路
见过最实在的冗余:核心交换机双电源+双上联,但两条光纤走的是同一根桥架。结果施工队一铲子下去,全网瘫痪两小时。真冗余得是物理路径分离——一条走天花板,一条走地板下;核心设备主备切换时间控制在50ms内,用户刷网页根本感觉不到断连。
小公司不必强求双机热备,但至少做到:关键链路有备用线缆、核心设备能插拔更换而不中断业务、DNS和DHCP别只靠一台服务器扛着。
原则三:安全不是加个防火墙就完事
某教育机构把教务系统和学生选课系统放在同一网段,只靠防火墙策略隔离。结果一个学生用弱口令登录后,顺手扫了下内网,直接连上了数据库服务器。网络设计阶段就该分层:访客Wi-Fi、办公内网、服务器区、IoT设备(如智能门锁、空调)各自独立VLAN,跨区通信必须经过策略检查,而不是“默认全通,出了事再封端口”。
原则四:IP地址要像身份证一样好管
别再用192.168.1.x从头分配到尾。建议按区域+用途规划:
192.168.10.x —— 行政办公区
192.168.20.x —— 生产车间PLC设备
192.168.30.x —— 无线访客网
192.168.254.x —— 网络设备管理地址(所有交换机、AP、路由器统一用这个段)
这样出问题时,一看IP就知道设备在哪、归谁管,排查快一半。
原则五:文档不是交差材料,是救命手册
上周处理故障,翻出三年前的拓扑图,发现标注“核心-汇聚光纤:单模10km”,实际现场接的是多模模块,跑两天就丢包。真正有用的文档得包含:每条光纤的起止端口、光衰实测值、VLAN ID对应业务名称、DHCP地址池范围及租期、甚至交换机console口密码(加密存档)。更新不及时的图纸,不如一张白纸。
网络不是搭积木,设计错一步,后期改十步。原则不是贴在墙上的口号,是每次拉线前、配端口时、写ACL前,心里默念的那句:“这么干,半年后还扛得住吗?”