公司刚搬进新办公楼那阵子,网络总是出问题。会议室连不上投影,财务部打印机时不时掉线,销售团队开视频会议卡得像幻灯片。老板急,IT也急。后来我们下决心重新做网络分区管理,半年下来,稳定多了,故障少了八成。
别把所有设备塞进同一个网段
最早我们整个公司两百多台设备都在一个192.168.1.x的网段里,手机、电脑、摄像头、打卡机全混在一起。一台电脑中了病毒,广播风暴直接让整栋楼断网。后来我们按部门和功能划分VLAN,比如:
VLAN 10: 行政与人事
VLAN 20: 财务部
VLAN 30: 销售与市场
VLAN 40: 研发中心
VLAN 50: 安防监控
VLAN 60: 访客Wi-Fi这样一来,各部门之间互不影响,财务数据更安全,访客上网也不会蹭到内网资源。
用ACL控制跨区访问
分了区不代表完全隔离。研发需要访问测试服务器,行政偶尔要查考勤数据。我们通过ACL(访问控制列表)精细放行规则。比如只允许财务VLAN访问ERP服务器的特定端口,其他一律禁止。
access-list 101 permit tcp 192.168.20.0 0.0.0.255 host 192.168.100.10 eq 3306
access-list 101 deny ip any any这种写法在Cisco或华为设备上都适用,关键是别图省事写“permit any”,安全得从细节抓起。
无线网络也要分区
很多人忽略Wi-Fi的分区。我们给员工配了企业级AP,设置两个SSID:Corp-WiFi 和 Guest-WiFi。前者走认证接入,绑定到内部VLAN;后者通过防火墙隔离,限速且不能访问内网。客户来开会,给个临时密码就行,不怕他们乱连设备。
定期做流量审计
上了分区不等于一劳永逸。我们每月用PRTG或Zabbix跑一次流量分析,看有没有异常跨区通信。有次发现市场部一台电脑频繁连接研发服务器,一查是员工私自装了同步工具,及时处理避免了数据泄露。
标签化管理让维护更轻松
机房里的交换机端口都贴了标签,写着“VLAN20-财务-王会计”。新同事接手也好,换设备也罢,一眼就知道哪根线该接哪。配置文档存在内部Wiki,更新必留记录,谁改了什么都能追溯。
网络分区不是高大上的概念,它解决的是每天上班连不上打印机这种实际问题。做好了,大家不说好,但出问题时骂声一大片。慢慢调,一步步来,比一次性推倒重来更稳妥。