《中小型企业网络完整项目方案（拓扑+配置+说明+验收清单）》

中小型企业网络完整项目方案（拓扑+配置+说明+验收清单）

大家好，上一篇给大家分享了《网络工程师实战排错100例》，今天这篇是中小型企业完整网络项目方案，适用于 50--300 人企业办公场景，包含：标准三层架构、核心+汇聚+接入+出口防火墙、无线AC+AP、VLAN规划、路由规划、安全策略、完整可直接复制的配置命令、项目验收清单。

全部可直接用于投标、施工、交付、培训，拿来就能落地，不用自己从零写。

一、项目需求与场景说明

本方案适用于：

• 企业办公人数：50--300人

• 楼层：1--3层标准办公楼层

• 业务：办公电脑、打印机、服务器、无线全覆盖、Internet上网、内部互访隔离

• 安全要求：VLAN隔离、ACL访问控制、出口NAT、DHCP统一分配

• 可靠性：核心冗余、网关冗余、链路聚合

采用标准核心层---汇聚层---接入层三层网络架构，稳定、易维护、易排错、易扩展。

二、网络拓扑结构说明

1. 整体架构

• 核心层：2台核心交换机（堆叠/VRRP）

• 汇聚层：每楼层1台汇聚交换机

• 接入层：各办公室接入交换机

• 出口层：1台防火墙做上网出口+策略

• 无线：AC+面板AP/吸顶AP全覆盖
  

2. IP地址规划（通用标准，直接抄）

• 管理网段： 192.168.99.0/24

• 办公网段： 192.168.10.0/24

• 财务网段： 192.168.20.0/24

• 人事网段： 192.168.30.0/24

• 服务器网段： 192.168.100.0/24

• 无线网段： 192.168.50.0/24

• 网关：各网段 X.X.X.1

3. VLAN规划（标准通用）

• VLAN 1：默认

• VLAN 10：办公

• VLAN 20：财务

• VLAN 30：人事

• VLAN 50：无线

• VLAN 100：服务器

• VLAN 99：设备管理

三、设备清单（通用投标版）

• 核心交换机：2台

• 汇聚交换机：2--3台

• 接入交换机：根据点位

• 企业级防火墙：1台

• AC无线控制器：1台

• AP：根据覆盖面积

• 机柜、网线、水晶头、理线器、跳线

（可直接复制进投标文件）

四、全网配置命令（华为版，直接复制）

1. 核心交换机基础配置

plaintext

sysname Core-SW

vlan batch 10 20 30 50 99 100

管理地址

interface Vlanif99

ip address 192.168.99.2 255.255.255.0

各业务网关

interface Vlanif10

ip address 192.168.10.1 255.255.255.0

interface Vlanif20

ip address 192.168.20.1 255.255.255.0

interface Vlanif30

ip address 192.168.30.1 255.255.255.0

interface Vlanif50

ip address 192.168.50.1 255.255.255.0

interface Vlanif100

ip address 192.168.100.1 255.255.255.0

上联防火墙路由

ip route-static 0.0.0.0 0.0.0.0 192.168.99.1

DHCP使能

dhcp enable

2. 核心DHCP配置（全网自动分配）

plaintext

办公DHCP

ip pool vlan10

gateway-list 192.168.10.1

network 192.168.10.0 mask 255.255.255.0

dns-list 223.5.5.5 114.114.114.114

lease day 3

财务DHCP

ip pool vlan20

gateway-list 192.168.20.1

network 192.168.20.0 mask 255.255.255.0

dns-list 223.5.5.5 114.114.114.114

lease day 3

接口启用DHCP

interface Vlanif10

dhcp select global

interface Vlanif20

dhcp select global

interface Vlanif30

dhcp select global

interface Vlanif50

dhcp select global

3. 汇聚交换机配置

plaintext

sysname Agg-SW

vlan batch 10 20 30 50 99 100

上联Trunk

interface GigabitEthernet0/0/1

port link-type trunk

port trunk allow-pass vlan all

管理地址

interface Vlanif99

ip address 192.168.99.3 255.255.255.0

ip route-static 0.0.0.0 0.0.0.0 192.168.99.2

4. 接入交换机配置

plaintext

sysname Acc-SW

vlan batch 10 20 30 50 99 100

上联口Trunk

interface GigabitEthernet0/0/24

port link-type trunk

port trunk allow-pass vlan all

办公口Access示例

interface GigabitEthernet0/0/1 to 0/0/10

port link-type access

port default vlan 10

管理地址

interface Vlanif99

ip address 192.168.99.4 255.255.255.0

ip route-static 0.0.0.0 0.0.0.0 192.168.99.2

5. 防火墙出口基础配置

plaintext

sysname FW

内网口

interface GigabitEthernet0/0/1

ip address 192.168.99.1 255.255.255.0

外网口

interface GigabitEthernet0/0/2

ip address 运营商IP 255.255.255.0

默认路由

ip route-static 0.0.0.0 0.0.0.0 运营商网关

内网上网NAT

nat-policy

rule name nat-all

source-zone trust

destination-zone untrust

action nat easy-ip

安全策略放行

security-policy

rule name trust-to-untrust

source-zone trust

destination-zone untrust

action permit

6. 无线AC+AP基础配置

plaintext

管理VLAN与业务VLAN透传

vlan 50

创建SSID

wlan ssid-profile name Office-5G ssid "企业办公无线"

wlan vap-profile name Office

ssid-profile Office-5G

service-vlan vlan-id 50

AP组配置

wlan ap-group name default

vap-profile Office wlan 1 radio 0

vap-profile Office wlan 1 radio 1

五、访问控制ACL（企业必备）

禁止财务网段被普通办公访问

plaintext

acl number 3000

rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255

rule permit ip

interface Vlanif20

traffic-filter inbound acl 3000

禁止无线访问服务器区

plaintext

acl number 3010

rule deny ip source 192.168.50.0 0.0.0.255 destination 192.168.100.0 0.0.0.255

rule permit ip

interface Vlanif100

traffic-filter inbound acl 3010

六、高可用配置（VRRP 网关冗余）

plaintext

interface Vlanif10

ip address 192.168.10.1 255.255.255.0

vrrp vrid 10 virtual-ip 192.168.10.254

vrrp vrid 10 priority 120

interface Vlanif20

ip address 192.168.20.1 255.255.255.0

vrrp vrid 20 virtual-ip 192.168.20.254

vrrp vrid 20 priority 120

七、项目验收清单（直接打印交付）

1. 所有终端正常获取IP地址

2. 各VLAN内互通正常

3. VLAN间按策略允许/禁止

4. 无线全覆盖、无盲区、漫游正常

5. 所有设备可远程管理

6. 互联网访问正常、网页打开正常

7. 服务器可正常访问

8. 防火墙策略生效、无非法访问

9. 核心双机切换正常

10. 链路稳定、无丢包、无环路

八、项目维护注意事项

1. 所有设备配置必须 save 保存

2. 核心、汇聚、接入统一命名规范

3. Trunk 口一律放通业务VLAN，禁止私改

4. 禁止私自接傻瓜交换机，避免环路

5. 定期备份配置、检查CPU/内存

6. 新增点位按统一VLAN规划添加

以上就是中小型企业完整网络项目方案，从拓扑、规划、配置到验收全套齐全，适用于绝大多数企业办公场景，现场施工、项目交付、投标文档、培训教学都能直接用。

后续我会继续更新：

1. HCIA/HCIP 高频面试题（含答案+解析）

2. 华为/锐捷/H3C 防火墙命令速查手册

3. 网络项目割接方案+回退步骤+风险清单

4. 无线WiFi覆盖优化实战（漫游、干扰、速率调优）

觉得有用可以点赞、收藏、关注，我会持续输出网工现场能直接落地的干货，帮大家快速搞定项目、提升技术、顺利过面试！