小张刚接手公司新办公区的网络改造,手头只有两台路由器、一根网线和一份模糊的需求清单——要让会议室视频不卡、财务电脑能直连服务器、前台访客能连Wi-Fi但不能进内网。他没学过网络工程,但三天后把事儿办妥了。关键不是背命令,而是搞清‘怎么想’。
先画一张纸,别急着插线
网络设计第一步,不是买设备,是画草图。拿张A4纸,标出办公室布局:工位在哪、打印机在哪个角落、监控摄像头挂几面墙、有没有仓库这种信号死角。再用不同颜色圈出三类流量:
• 绿色:员工日常上网(微信、网页、钉钉)
• 蓝色:内部业务系统(ERP、共享文件夹、打卡机)
• 红色:敏感数据(财务库、客户信息)
颜色一落,你就知道:不能让红色和绿色走同一条网线,得物理隔离或VLAN分隔。
带宽不是越大越好,够用+留余量才实在
行政王姐总说‘拉个千兆宽带就完事’,结果发现:100人同时开腾讯会议,出口带宽爆满,但问题其实出在内网交换机只支持百兆全双工——终端到交换机这段早成瓶颈。实测建议:
• 普通办公:每人预留 2–3 Mbps(含视频会议)
• 设计/开发岗:每人 5–8 Mbps(常传大文件、连测试环境)
• 出口带宽按总人数 × 3 Mbps 再上浮 30%,比如 50 人,选 200M 宽带比 100M 更稳。
无线不是‘摆个AP就完事’
新买的吸顶AP信号满格,但销售部工位一开PPT就掉线。拿手机装个‘WiFi分析仪’APP扫一遍,发现隔壁公司用了同一信道,干扰严重。解决方法很简单:
• 2.4G 频段只用 1、6、11 三个不重叠信道
• 5G 频段优先设为 36/40/44/48(避开雷达频段)
• AP之间间隔至少 12 米,墙壁多的地方每 8–10 米布一个
安全不用等黑客来了才补
财务电脑连打印机,顺手也连了内网共享盘——这等于给打印机开了条直通财务文件的暗道。实际做法:
• 所有打印机、摄像头、门禁统一接在独立VLAN,仅开放必要端口(如打印机只开9100端口)
• 访客Wi-Fi必须开启‘客户端隔离’,并跳转到认证页,不填手机号不让过
• 核心交换机关掉未用端口,插上网线前手动启用
配置留痕,比记住密码更重要
老李重启路由器后全网瘫痪,因为忘了自己改过DHCP地址池。后来他养成习惯:每次改配置,用记事本写三行——
# 2024-06-12 张工
# 交换机SW2:VLAN10(办公)网关改为192.168.10.254/24
# 关闭端口Gi1/0/23(原连测试服务器,已下线)存桌面叫‘net-log.txt’,同步到公司云盘。下次谁来接手,打开就知道动过哪。
网络设计不是画完拓扑图就结束,而是持续观察:后台看交换机端口错误包是否突增,用PingPlotter查某台电脑是否频繁丢包,甚至留意员工抱怨‘上午网慢’——可能只是中央空调启动时电压波动影响PoE供电。边用边调,才是职场人做网络设计的真实节奏。