上周帮朋友公司查内网频繁掉线的问题,一进机房就看见墙上贴着张A4纸手绘的‘网络拓扑图’——交换机图标旁写着‘所有设备都接这里’,VLAN信息一行没标。结果查了半天,发现财务部和访客WiFi居然在同一个广播域里,打印机共享端口还开着SMBv1……
拓扑图不是装饰画,是安全防线的第一张草稿
很多人把网络拓扑图当成验收时交差的文档,画得越花哨越好。其实真出问题时,你最先翻的应该是它。比如某次勒索病毒横扫办公网,IT同事按图逐台断开接入层交换机,30分钟就隔离了感染源——前提是图上清清楚楚标出了每个VLAN对应的楼层、部门和IP段。
VLAN划分别只盯着交换机命令行
常见误区:先配好VLAN ID,再随手写个Excel表格记下哪些口属于哪个VLAN。等半年后新人接手,对着‘VLAN 10-财务’发呆:这个10到底管几台电脑?打印机在不在里面?门禁系统有没有混进来?
建议在拓扑图里直接标注三样东西:
• 每条链路旁用小字写VLAN ID(比如‘Trunk: 10,20,100’)
• 接入层交换机端口旁标‘Access VLAN 20’或‘Voice VLAN 150’
• 关键设备旁加图标:💰(财务)、🛰️(监控)、🚪(门禁)
一个真实可用的简化画法
不用专业绘图工具,用draw.io或甚至PPT也能搞定:
• 核心层画一个路由器+防火墙组合框,标‘出口:NAT规则已启用’
• 汇聚层画两台堆叠交换机,中间连双线,标‘LACP聚合’
• 接入层按楼层分块,每块顶部写‘F3-VLAN20-研发部’,下面画6个PC图标,旁边小字‘DHCP范围:192.168.20.100-192.168.20.199’
• 所有跨VLAN通信路径,用虚线箭头从研发部指向服务器区,旁注‘ACL策略:仅允许TCP 443/80’
举个配置片段参考(华为S5735)
interface GigabitEthernet0/0/1
port link-type access
port default vlan 20
quit
interface GigabitEthernet0/0/24
port link-type trunk
port trunk allow-pass vlan 10 20 100
quit
ip route-static 192.168.10.0 255.255.255.0 192.168.100.1注意:最后那条静态路由,必须在拓扑图的‘核心防火墙’框里同步标出下一跳地址和目的网段,否则三层互通就是纸上谈兵。
下次画拓扑图前,先问自己一句:如果现在机房断电,我拿着这张图能不能在备用笔记本上把VLAN重新配出来?能,才算过关。