一家中型企业的网络改造故事
李工是某制造企业的IT主管,公司有财务、生产、仓储、销售和行政五个部门,员工约150人。最开始建网时,所有设备都在同一个局域网里,用的是192.168.1.0/24这个网段。起初人少,设备不多,倒也相安无事。
但随着监控摄像头接入、车间工控机上线、销售部频繁传大文件,网络开始卡顿。更麻烦的是,财务部的共享文件夹被销售员误删过一次——权限没设好,全网都能访问。
问题集中爆发在一个周一上午:生产车间的一台老旧打印机突然疯狂广播,整个办公区断网半小时。李工意识到,不能再靠重启路由器解决问题了。
为什么要划分子网
单一广播域意味着一台设备“闹脾气”,所有人都受影响。子网划分的核心目的就是隔离广播流量、提升安全性和管理效率。就像小区分楼栋,每栋独立管理,不会因为3号楼跳闸,整个小区都停电。
企业网络中,不同部门对带宽、安全等级的需求不同。财务系统要防窥探,生产系统要低延迟,访客Wi-Fi不能接触内网。这些需求,靠防火墙规则很难彻底实现,而从IP层面做隔离才是根本解法。
具体怎么划:一个真实方案
李工重新规划了IP地址空间,选用192.168.0.0/16作为总地址池,再按部门拆成多个/24子网:
财务部: 192.168.10.0/24 (保留给核心业务)
生产部: 192.168.20.0/24 (连接PLC和传感器)
仓储部: 192.168.30.0/24 (对接WMS系统)
销售部: 192.168.40.0/24 (高带宽需求)
行政部: 192.168.50.0/24 (日常办公)
服务器区: 192.168.100.0/24(数据库、文件服务器)
访客Wi-Fi:172.16.1.0/24 (完全隔离,仅限上网)核心交换机配置VLAN,每个子网对应一个VLAN ID,并在三层交换机上启用路由功能,实现跨子网通信。同时,在防火墙上设置策略:默认禁止跨网段访问,只有审批通过的才放行,比如财务可读取服务器数据,但生产终端不能访问财务子网。
效果立竿见影
子网实施后,车间设备的广播包被限制在20网段内,办公室再没因此类问题断网。销售部传合同不再卡顿,因为他们的流量不会挤占财务系统的通道。更重要的是,权限边界清晰了——想访问其他部门资源?得走申请流程,由IT手动开通策略。
半年后新增监控系统,直接划入192.168.200.0/24新子网,不影响现有结构。这种可扩展性,正是良好子网设计的价值。
常见误区提醒
有人觉得“机器不多,没必要划”。可网络问题往往是量变到质变,等出事再改,代价更大。还有人贪图省事,用ACL代替子网隔离,结果规则越堆越多,维护像理乱麻。
另一个典型问题是划得太细。比如给每个办公室单独分网段,导致路由表臃肿,反而降低效率。合理粒度是按职能划分,兼顾未来扩容。
子网划分不是一次性工程。人员变动、业务调整、新系统上线,都需要动态评估网络结构。定期review IP分配,就像清理电脑磁盘,是保持网络健康的日常操作。