【企业中小型网络架构设计】

目录

企业中小型网络架构设计

课程导航

[第1章 · 网络需求分析](#第1章 · 网络需求分析)

项目背景

设计目标

[第2章 · 整体拓扑架构](#第2章 · 整体拓扑架构)

四层架构

层次职责

[第3章 · IP与VLAN规划](#第3章 · IP与VLAN规划)

网段划分

两个网段的区别

[第4章 · 接入层设计](#第4章 · 接入层设计)

核心问题

[解决方案：Hybrid 端口](#解决方案：Hybrid 端口)

工作原理

配置命令

参数说明

[第5章 · MSTP多实例设计](#第5章 · MSTP多实例设计)

[为什么需要 MSTP](#为什么需要 MSTP)

负载分流设计

配置命令

负载分流效果

[第6章 · 汇聚层设计](#第6章 · 汇聚层设计)

[6.1 Eth-Trunk 链路聚合](#6.1 Eth-Trunk 链路聚合)

[6.2 VRRP 主备网关](#6.2 VRRP 主备网关)

[6.3 VLANIF 三层接口](#6.3 VLANIF 三层接口)

[第7章 · 核心层设计（防火墙）](#第7章 · 核心层设计（防火墙）)

接口规划

安全策略

[OSPF 配置](#OSPF 配置)

[第8章 · 出口层设计](#第8章 · 出口层设计)

拓扑

[OSPF 配置](#OSPF 配置)

[NAT 配置](#NAT 配置)

完整流量转发流程

[第9章 · 总结](#第9章 · 总结)

整体流量走向

协议协同关系

知识点回顾

思考题

---

企业中小型网络架构设计

基于分层架构 · 协议协同 · 高可用冗余

---

课程导航

章节	内容	时长
第1章	网络需求分析	10分钟
第2章	整体拓扑架构	15分钟
第3章	IP与VLAN规划	10分钟
第4章	接入层设计（Hybrid端口）	20分钟
第5章	MSTP多实例设计	20分钟
第6章	汇聚层设计（Eth-Trunk + VRRP）	20分钟
第7章	核心层设计（防火墙）	15分钟
第8章	出口层设计（OSPF + NAT）	15分钟
第9章	总结与回顾	15分钟

---

第1章 · 网络需求分析

项目背景

企业网络面临四大核心需求：

• 一根网线跑两个业务 --- 员工接一根网线，同时访问内网和外网

• 内外网安全隔离 --- 外网用户不能随意进入内网

• 高可用不中断 --- 网络不能动不动就断，需冗余保障

• 可扩展 --- 后期扩张能方便扩容

设计目标

目标	对应技术
四层架构分层管理	接入层 / 汇聚层 / 核心层 / 出口层
负载均衡与路径冗余	MSTP 多实例
故障秒级切换	VRRP 主备网关
网络变化自动收敛	OSPF 动态路由
内网安全隔离	防火墙策略控制
共享公网出口	NAT 地址转换

---

第2章 · 整体拓扑架构

四层架构

┌─────────────────────────────────────────────────────────┐
│  出口层                                                     │
│  路由器 · OSPF · NAT                                   │
└────────────┬────────────────────────────────────────────┘
             │
┌────────────┴────────────────────────────────────────────┐
│  核心层                                                     │
│  防火墙 · 安全策略 · OSPF区域                            │
└────────────┬────────────────────────────────────────────┘
             │
┌────────────┴────────────────────────────────────────────┐
│  汇聚层                                                     │
│  汇聚A  ←──── Eth-Trunk ────→  汇聚B                  │
│  VRRP主(vlan100)      VRRP主(vlan30)                   │
└────────────┬────────────────────────────────────────────┘
             │
┌────────────┴────────────────────────────────────────────┐
│  接入层                                                     │
│  SW1  SW2  SW3  SW4   (MSTP · Hybrid)               │
└────────────┬────────────────────────────────────────────┘
             │
         [PC] ← 一根网线，双业务

层次职责

层次	设备	数量	核心协议	作用
出口层	路由器	1台	OSPF / NAT	公网出口上网
核心层	防火墙	1台	OSPF / 策略	安全隔离
汇聚层	交换机	2台	Eth-Trunk / VRRP	链路聚合 / 网关冗余
接入层	交换机	4台	MSTP / Hybrid	终端接入 / 业务分流

---

第3章 · IP与VLAN规划

网段划分

网段	VLAN	用途	网关	DHCP范围
192.168.100.0/24	VLAN 100	内网办公区	192.168.100.254	100.10 ~ 200
192.168.30.0/24	VLAN 30	外网/服务器区	192.168.30.254	30.10 ~ 200

两个网段的区别

VLAN 100（内网办公区）

• 承载企业内部办公、业务系统访问

• 通过防火墙做安全策略控制

• 出公网需做源地址 NAT 转换

VLAN 30（外网业务区）

• 承载对外提供服务的业务系统

• 可直接被内网 VLAN 100 段访问

• 按需对互联网开放端口

---

第4章 · 接入层设计

核心问题

一台 PC 接一个端口，如何同时访问 100段 和 30段 两个业务？

解决方案：Hybrid 端口

PC 配双 IP（100段 + 30段），交换机 Hybrid 端口根据源 IP 自动打上对应 VLAN 标签。

工作原理

PC (双IP: 100.10 / 30.10)
    │  ← 无标签帧
    ↓
SW [Hybrid端口]
    │
    ├─ 发给 100.254 的包 → 打上 vlan100 标签 → trunk 上行
    └─ 发给 30.254 的包  → 打上 vlan30 标签  → trunk 上行

配置命令

# 创建 VLAN
vlan 100
vlan 30
​
# PC 接入端口（关键配置）
interface GigabitEthernet0/0/1
 port link-type hybrid
 port hybrid pvid vlan 100
 port hybrid untagged vlan 100 30
 port hybrid tagged vlan 100 30
 stp edged-port enable
​
# 上联端口（trunk）
interface GigabitEthernet0/0/24
 port link-type trunk
 port trunk allow-pass vlan 100 30

参数说明

参数	作用
port link-type hybrid	设为 Hybrid 模式，允许同时承载多个 VLAN
port hybrid pvid vlan 100	无标签帧默认打上 vlan100 标签
port hybrid untagged vlan 100 30	发出时剥离标签，PC 收到普通帧
port hybrid tagged vlan 100 30	接收时允许带这两个标签的帧通过
stp edged-port enable	边缘端口，加快生成树收敛

---

第5章 · MSTP多实例设计

为什么需要 MSTP

传统 STP/RSTP 所有 VLAN 共用一棵生成树，流量全走一条路径，导致带宽浪费和拥塞。

MSTP 将不同 VLAN 绑定到不同实例，各走各的路，带宽翻倍。

负载分流设计

实例1 (vlan100) — MSTI 1
  根桥：汇聚A
  路径：SW1/SW2/SW3/SW4 → 汇聚A → 防火墙
  配置：stp instance 1 root primary（汇聚A）
​
实例2 (vlan30) — MSTI 2
  根桥：汇聚B
  路径：SW1/SW2/SW3/SW4 → 汇聚B → 防火墙
  配置：stp instance 2 root primary（汇聚B）

配置命令

# MSTP 全局配置
stp region-name NET
stp revision-level 1
stp instance 1 vlan 100
stp instance 2 vlan 30
stp enable
​
# 汇聚A：实例1根桥
stp instance 1 root primary
​
# 汇聚B：实例2根桥
stp instance 2 root primary

负载分流效果

流量	MSTP实例	根桥（主）	备	主路径
VLAN 100（内网）	MSTI 1	汇聚A	汇聚B	PC → SW → 汇聚A → 防火墙
VLAN 30（外网）	MSTI 2	汇聚B	汇聚A	PC → SW → 汇聚B → 防火墙

---

第6章 · 汇聚层设计

6.1 Eth-Trunk 链路聚合

两台汇聚交换机之间捆绑多条物理链路，带宽叠加且冗余备份。

interface Eth-Trunk 1
 trunkport GigabitEthernet 0/0/1 to 0/0/2
 port link-type trunk
 port trunk allow-pass vlan 100 30

6.2 VRRP 主备网关

两台汇聚交换机虚拟出两个网关 IP，互为主备。

网关	VIP	主设备	备设备
VLAN 100	192.168.100.254	汇聚A（优先级120）	汇聚B（优先级100）
VLAN 30	192.168.30.254	汇聚B（优先级120）	汇聚A（优先级100）

汇聚交换机A：

interface Vlanif100
 ip address 192.168.100.252 255.255.255.0
 vrrp vrid 1 virtual-ip 192.168.100.254
 vrrp vrid 1 priority 120        # Master
​
interface Vlanif30
 ip address 192.168.30.252 255.255.255.0
 vrrp vrid 2 virtual-ip 192.168.30.254
 vrrp vrid 2 priority 100         # Backup

汇聚交换机B：

interface Vlanif100
 ip address 192.168.100.253 255.255.255.0
 vrrp vrid 1 virtual-ip 192.168.100.254
 vrrp vrid 1 priority 100         # Backup
​
interface Vlanif30
 ip address 192.168.30.253 255.255.255.0
 vrrp vrid 2 virtual-ip 192.168.30.254
 vrrp vrid 2 priority 120        # Master

6.3 VLANIF 三层接口

接口	IP（汇聚A）	IP（汇聚B）	VIP
vlanif100	192.168.100.252	192.168.100.253	192.168.100.254
vlanif30	192.168.30.252	192.168.30.253	192.168.30.254

---

第7章 · 核心层设计（防火墙）

接口规划

接口	连接对象	区域	IP	OSPF区域
GE0/0/1	汇聚A	Trust（内网）	192.168.100.1	Area 10
GE0/0/2	汇聚B	Trust（内网）	192.168.30.1	Area 10
GE0/0/3	出口路由器	Untrust（外网）	192.168.30.2	Area 0

安全策略

• ✅ 允许 192.168.100.0/24 访问外网（NAT）

• ✅ 允许 192.168.30.0/24 与内网 100 段互通

• ✅ 按需放行业务端口（HTTP 80、HTTPS 443）

• ❌ 默认拒绝其他未授权流量

OSPF 配置

# 安全区域
firewall zone trust
 add interface GigabitEthernet0/0/1
 add interface GigabitEthernet0/0/2
​
firewall zone untrust
 add interface GigabitEthernet0/0/3
​
# OSPF 配置
ospf 1 router-id 1.1.1.1
 area 0.0.0.10           # 内网区域
  network 192.168.100.0 0.0.0.255
  network 192.168.30.0 0.0.0.255
 area 0.0.0.0            # 骨干区域
  network 192.168.30.0 0.0.0.255

---

第8章 · 出口层设计

拓扑

防火墙（OSPF Area 0）←──── OSPF ─────→ 出口路由器（OSPF Area 0）←──── NAT ─────→ 互联网

OSPF 配置

router ospf 1
 router-id 2.2.2.2
 network 192.168.30.0 0.0.0.255 area 0
 default-information originate always    # 下发默认路由
​
ip route-static 0.0.0.0 0.0.0.0 运营商网关  # 默认路由指向运营商

NAT 配置

acl number 2000
 rule permit source 192.168.100.0 0.0.0.255
​
interface GigabitEthernet0/0/1          # 连接防火墙的接口
 nat outbound 2000

完整流量转发流程

① PC（192.168.100.10）发包，网关指向 192.168.100.254（VRRP虚拟IP）
② 汇聚A（vlan100 VRRP Master）收到帧，查路由表，下一跳指向防火墙 192.168.100.1
③ 防火墙匹配安全策略，放行，查OSPF路由，下一跳指向路由器 192.168.30.2
④ 路由器触发NAT，将源IP 192.168.100.10 转换为公网IP，包发往互联网
⑤ 服务器响应包回到路由器，根据NAT表将目标IP换回 192.168.100.10
⑥ 响应包沿原路返回，PC收到数据

---

第9章 · 总结

整体流量走向

PC(双IP) → 接入SW(Hybrid) → MSTP(分流) → 汇聚SW(VRRP) → 防火墙(策略) → 路由器(NAT) → 互联网

协议协同关系

层次	核心协议	作用	冗余方式
接入层	MSTP + Hybrid	单口双业务 · VLAN标签分流	生成树防环
汇聚层	Eth-Trunk + VRRP	链路聚合 · 主备网关切换	主备自动切换
核心层	OSPF + 防火墙	路由学习 · 安全策略控制	策略容错
出口层	OSPF + NAT	公网出口 · 地址转换	默认路由

知识点回顾

• MSTP 多实例：不同 VLAN 走不同路径，实现负载均衡

• Hybrid 端口：一个端口承载多个 VLAN，实现单口双业务

• Eth-Trunk：多链路捆绑，带宽叠加 + 链路冗余

• VRRP 主备：虚拟网关冗余，故障毫秒级切换

• OSPF 动态路由：网络变化自动收敛

• NAT 地址转换：私网地址共享公网出口

思考题

1. 如果想让 vlan100 和 vlan30 的流量同时负载分担到两台汇聚交换机，应该怎么改配置？

2. 防火墙和路由器有什么区别？各适合什么场景？

3. 出口路由器和防火墙之间能否用静态路由替代 OSPF？

4. 如果汇聚A整台宕机，vlan100 的用户如何继续上网？

5. 如果公司从4台接入交换机扩展到8台，哪些配置需要调整？

---

计算机网络 · 企业网络架构设计