公司要上新系统,IT 部门开始忙着画拓扑图、配路由器,这时候总会提到一句话:‘先把网络设计文档写出来。’听起来挺正式,其实没那么复杂,就是把整个网络怎么搭、设备怎么连、IP 怎么分,清清楚楚写下来。
文档不是为了应付检查
很多人觉得写文档是走形式,等出了问题才发现,没有文档连哪根网线接哪台服务器都搞不清。比如财务部突然上不了系统,查了半天发现是交换机配置被改了,可没人记得原来的设置。如果有份完整的网络设计文档,翻一下就能还原。
核心内容要覆盖这几块
一份实用的企业网络设计文档,通常包含网络拓扑结构、IP 地址规划、设备清单、安全策略和接入方式。
拓扑图不用多精美,能看懂就行。可以用 Visio 画,也可以手绘扫描。关键是标清楚核心交换机、防火墙、路由器的位置,以及各部门的接入点。
IP 规划最容易乱。建议按部门划分子网,比如市场部用 192.168.10.x,技术部用 192.168.20.x,避免后期 IP 冲突。可以在文档里加一张表格:
部门 | 子网段 | 网关 | 用途说明
----------|----------------|--------------|----------
行政部 | 192.168.10.0/24 | 192.168.10.1 | 办公终端
技术部 | 192.168.20.0/24 | 192.168.20.1 | 开发测试
服务器区 | 192.168.100.0/24| 192.168.100.1 | Web、数据库设备清单列明品牌、型号、序列号和管理地址。万一某个交换机出故障,售后支持时直接报型号就行,不用现拆机壳看标签。
安全策略不能少
哪些部门可以访问外网,哪些只能内网互访,这些都要写清楚。比如财务系统的数据库服务器,只允许财务部和运维组通过特定端口访问,其他一律禁止。防火墙规则可以这样描述:
源区域 | 目标区域 | 协议 | 端口 | 动作
--------|--------|------|-------|------
办公网 | 服务器区 | TCP | 3306 | 允许
外部互联网 | 服务器区 | TCP | 80 | 允许
外部互联网 | 内网 | ANY | ANY | 拒绝无线接入也要写进去
现在人人用手机办公,Wi-Fi 设计不能马虎。文档里注明 SSID 名称、认证方式(比如 WPA2-Enterprise)、是否启用访客网络。访客网和办公网必须隔离,避免客人连上来后扫到内部打印机和文件服务器。
有家小公司之前没写文档,换了两拨 IT 人员,最后连 Wi-Fi 密码是谁设的都不知道。重置一次差点把监控系统也断了。后来花半天时间重新梳理,才把所有配置归档。
保持更新比写初版更重要
网络不是一成不变的。新增一条专线、换一台核心交换机,都应该在文档里留下记录。建议放在内部 Wiki 或共享文件夹,权限开放给相关技术人员,谁改了配置谁负责更新文档。
不需要写得像教科书一样严谨,但要让接手的人看得明白。毕竟哪天你请假,临时顶班的同事靠的就是这份文档撑场子。