赶紧收藏，一个2000人规模的企业园区网络全景设计实例

具体需求如下：设计一个 2000 人规模的企业网络，主要有生产、维修、设计、销售、采购、财务和人事七个部门，其中生产部大概有 1400 人，维修部 200 人，设计部 100 人，销售和采购部各 100 人，财务部 30 ，人事部 70 人，其中要去生产和维修、财务部网络不能访问外网，其他 4 个部门的网络内外网都能访问，但是设计部不能通过内网访问财务部，核心交换机选用华为 S12700 系列交换机，路由器选用华为 AR6121E，防火墙选用天融信的，无线 AP 选用华三的，接入交换机选用华为 S5735 系列，根据需求合理分配网络设备数量，其中无线网络需要区分内部人员与访客，内部人员通过微信认证，访客通过手机号码加验证码验证，根据要求写出具体网络规划和设备配置

核心架构速览

三层架构 · 七域隔离 · 双因子无线认证

1. 网络拓扑设计

采用经典三层架构：核心-汇聚-接入 ，通过VLAN实现部门级隔离。华为S12700作为核心交换机，下联8台汇聚交换机，每栋建筑部署4-6台S5735接入交换机。天融信防火墙部署在出口，形成DMZ区域。

2. 部门VLAN规划

部门 人数VLAN ID IP段 外网权限

生产部1400VLAN1010.10.0.0/21禁止

维修部200VLAN2010.20.0.0/24禁止

设计部100VLAN3010.30.0.0/25允许

销售部100VLAN4010.40.0.0/25允许

采购部100VLAN5010.50.0.0/25允许

财务部30VLAN6010.60.0.0/27禁止

人事部70VLAN7010.70.0.0/26允许

3. 设备配置清单

核心设备

华为S12700：2台（主备模式）

华为AR6121E：2台（双出口路由）

天融信防火墙：2台（HA热备）

接入设备

华为S5735-L24T4S-A：48台（每24口覆盖50人）

华三WA6520：120台（双频AP，覆盖密度1/20人）

PoE交换机：15台（为AP供电）

4. 关键配置命令

4.1 核心交换机VLAN配置

华为S12700

# 创建VLAN

vlan batch 10 20 30 40 50 60 70

# 配置SVI接口

interface Vlanif10

ip address 10.10.0.1 255.255.248.0

#

interface Vlanif20

ip address 10.20.0.1 255.255.255.0

# ...（其他VLAN类似）

# 启用DHCP中继

dhcp enable

dhcp server group 1

dhcp-server 10.100.0.10

interface Vlanif10

dhcp select relay

dhcp relay server-select 1

4.2 防火墙访问控制

天融信防火墙

# 创建安全策略

security-policy

rule name deny_prod_internet

source-zone trust

destination-zone untrust

source-address 10.10.0.0/21

action deny

#

rule name deny_maint_internet

source-zone trust

destination-zone untrust

source-address 10.20.0.0/24

action deny

#

rule name deny_finance_internet

source-zone trust

destination-zone untrust

source-address 10.60.0.0/27

action deny

#

rule name deny_design_finance

source-zone trust

destination-zone trust

source-address 10.30.0.0/25

destination-address 10.60.0.0/27

action deny

5. 无线网络认证方案

5.1 微信认证配置（华三AC）

无线控制器

# 创建认证模板

wlan service-template 1

ssid CORP-STAFF

vlan 100

authentication-method portal

portal server wechat

portal domain corp.com

wechat-appid wx1234567890abcdef

wechat-secret abc1234567890def

#

# 配置Portal页面

portal web-server wechat

url http://wifi.corp.com/portal

server-type wechat

5.2 访客短信认证

云简网络配置

# 短信网关配置

sms-gateway

server 106.ihuyi.com

username corp_sms

password Encrypted@123

#

# 访客策略

guest-policy

ssid CORP-GUEST

auth-type sms

sms-validity 300s

session-timeout 2h

rate-limit 10Mbps

6. 安全加固措施

802.1X准入控制：所有有线端口启用802.1X认证

DHCP Snooping：防止私接DHCP服务器

IPSG绑定：IP+MAC+端口三重绑定

环路保护：全局启用STP+RLDP

日志审计：所有设备日志集中发送到SIEM