上周帮朋友公司查网络故障,发现三台打印机用的全是192.168.1.x段,但网关却设成了192.168.0.1——结果就是打印时断时续,IT同事重启五次路由器也没找到根儿。这不是个例,很多中小公司网络一出问题就靠‘重启大法’,根源往往就在最基础的配置没规矩。
IP地址规划不是填数字游戏
别再随手写192.168.1.100、192.168.1.101……这样下去,三个月后谁还记得192.168.1.234是财务部的NAS还是前台的访客Wi-Fi?建议按部门+设备类型分段:
- 192.168.10.x —— 行政办公(PC、打印机)
- 192.168.20.x —— 财务/HR(高权限终端)
- 192.168.30.x —— 服务器与网络设备(交换机、防火墙、NAS)
- 192.168.100.x —— 访客Wi-Fi(隔离VLAN)
每段留出20个地址冗余,比如192.168.10.1–192.168.10.20专留给交换机和AP管理口,不分配给终端。
DNS和网关必须写死,别信DHCP自动给
不少公司图省事,全靠路由器DHCP下发DNS和网关。可一旦路由器重启或固件升级,DNS突然变成8.8.8.8,内网域名解析就崩了——你访问“hr.intra”打不开,但ping 192.168.20.5又通,折腾半天才发现是DNS没指向内网AD服务器。
正确做法:
所有办公终端手动指定主DNS为内网域控IP(如192.168.20.5),备用DNS可设为114.114.114.114;网关统一写核心三层交换机接口IP,比如192.168.10.254。
交换机基础配置不能省
哪怕只是8口百兆交换机,也要做三件事:
- 改默认密码(别留admin/admin)
- 关掉未用端口(shutdown)
- 开LLDP或CDP,方便后期拓扑识别
下面是一段实测可用的华为S5735入门配置片段(删减版):
sysname SW-ADMIN
local-user admin password cipher %$%$cXyRzZaQbWnL%$%$
interface Vlanif1
ip address 192.168.10.254 255.255.255.0
quit
interface GigabitEthernet0/0/1
description TO-ROUTER
port link-type access
port default vlan 10
quit
lldp enable无线网络要分得清、管得住
老板手机连Wi-Fi能看监控,实习生连进来却能访问财务共享盘?这就是没做SSID隔离。至少该配两个无线网络:
- Company-Staff(WPA3加密,绑定内网VLAN20,走AD认证)
- Company-Guest(WPA2,独立VLAN100,限速10M,禁内网访问)
连访客Wi-Fi的设备,连自己手机热点都比连它安全——如果它没做NAT+防火墙策略的话。
最后一条铁律:配置变更必须留档
改完一台防火墙NAT规则,顺手截图发到钉钉运维群不算留档。真正有用的记录长这样:
| 日期 | 设备 | 操作 | 变更前 | 变更后 | 申请人 |
|---|---|---|---|---|---|
| 2024-04-12 | FW-Core | 开放Web服务端口 | 未放行80/443 | 仅允192.168.10.0/24访问80 | 市场部-张伟 |
没这行字,下次出问题,没人知道是谁动了哪条策略。