文章总结： 本文详细介绍了如何从零开始搭建一个满足基础办公、服务器访问和外网接入等需求的小型企业网络。它通过规划4台路由器和2台交换机的网络拓扑，对设备角色、接口互联、IP地址分配及路由协议进行了专业细化，并给出了具体的VLAN划分和ACL访问控制规则。文章最后还列出了核心功能验证项目和部署注意事项，以帮助读者避开常见配置陷阱。 综合评分： 85 文章分类： 网络安全,安全建设,解决方案,技术标准,实战经验

小型企业网络完整部署，从零搭建实用企业网

原创

信息安全官 信息安全官

信息安全官

2026年3月20日 18:58 内蒙古

一、引言：把零散技术串起来，落地真实企业组网

这篇文章就带大家从零搭建一套完整的小型企业网络，把之前学的所有核心技术全部串联落地，能实现企业日常上网、内网互通、远程管理、安全管控的基础需求，做完这套部署，就能真正把零散知识点变成能用的组网能力。

整个企业网络就像一个规划合理的“交通系统”，VLAN划分是把道路进行分隔，STP是交通管制，链路聚合是拓宽主干道宽度，路由是主干道，ACL就是门禁，只让合规人员进出。后期掌握的知识再多一些在补充真实现场部署细节，比如机柜布线、IP规划冲突排查、设备重启生效延迟等实操踩坑记录。

二、专业细化：小型企业网络拓扑+IP+接口+路由全规划

做企业部署第一步不是敲命令，而是先理清需求和拓扑，小型企业的网络需求很明确，需满足基础办公、服务器访问、外网接入、远程管理、流量管控这几个场景，不用追求复杂功能，够用稳定就行。本次规划采用**4台路由器+2台交换机+多终端**架构，明确每台设备角色、接口互联、IP分配、路由协议分工。

2.1 设备角色与互联规划

AR1（出口路由器）：负责NAT地址转换、外网接入、默认路由，对接运营商模拟公网，下联AR2核心路由器

AR2（核心路由器）：OSPF协议核心设备，对接核心交换机、AR1出口、AR3分支路由器，负责内网骨干互通

AR3（分支路由器）：RIP协议部署设备，对接AR2核心路由器，负责分支办公网段互通

AR4（静态路由路由器）：纯静态路由部署设备，对接AR2核心路由器，负责服务器区专属网段管控

SW-Core（核心交换机）：VLAN划分、STP、链路聚合、DHCP部署，下联接入交换机

SW-Access1/2（接入交换机）：终端接入，上联核心交换机，无复杂配置

2.2 接口与IP地址精细化分配（带备注）

| | | | | | | | — | — | — | — | — | — | | 设备 | 物理接口 | 对接设备/接口 | IP地址/掩码 | 接口备注 | 用途 | | AR1 | G0/0/0 | 模拟公网 | 202.100.100.10/30 | To-Internet | 外网出口 | | AR1 | G0/0/1 | AR2/G0/0/0 | 192.168.1.1/24 | To-AR2-Core | 内网互联 | | AR2 | G0/0/0 | AR1/G0/0/1 | 192.168.1.2/24 | To-AR1-Internet | 上联出口 | | AR2 | G0/0/1 | AR3/G0/0/0 | 192.168.2.1/24 | To-AR3-RIP | RIP分支互联 | | AR2 | G0/0/2 | AR4/G0/0/0 | 192.168.3.1/24 | To-AR4-Static | 静态路由互联 | | AR2 | G2/0/0 | SW-Core/G0/0/1 | 192.168.4.1/24 | To-SW-Core | 下联核心交换机 | | AR3 | G0/0/1 | 分支PC | 192.168.10.1/24 | To-Branch-PC | 分支办公终端 | | AR4 | G0/0/0 | AR2/G0/0/3 | 192.168.3.2/24 | To-AR2-Static | 静态路由互联 | | AR4 | G0/0/1 | 服务器 | 192.168.20.1/24 | To-Server | 内网服务器区 | | SW-Core | G0/0/1 | AR2/G0/0/3 | 192.168.4.2/24 | To-AR2 | 上联AR2路由器 | | SW-Core | G0/0/2-3 | SW-Access1/2 | Trunk链路 | To-Access-SW | 链路聚合上联 | | Access-SW | G0/0/3 | 管理PC | 192.168.30.1/24 | To-Mgmt-PC | 管理办公终端 |

2.3 VLAN与业务网段规划

办公区，192.168.10.0/24，AR3下联接口192.168.10.1/24

服务器区，192.168.20.0/24，AR4下联接口192.168.20.1/24

VLAN30：管理区网段，192.168.30.0/24，用于设备远程管理

2.4 路由协议与功能分工规划

静态路由：AR4单独部署，仅配置指向AR2的静态路由，无动态协议

RIP协议：AR2与AR3之间部署，实现分支办公网段到服务器互通

OSPF协议：AR2为核心，宣告内网骨干网段，部署Area 0骨干区域

NAT功能：AR1出口部署，绑定标准ACL，实现内网私网地址转公网地址

ACL功能：使用基本ACL，限制办公区非法访问服务器区

STP功能：启用普通STP，核心交换机设为根桥

接口备注：所有设备互联接口配置description备注，方便运维排查。

2.5 实验验证要求

所有配置完成后，需逐项验证功能有效性，确保满足实验需求，验证项目及标准如下，缺一不可：

基础配置验证

接口备注验证：通过display ip interface brief命令查看，所有设备接口备注清晰，与规划表完全一致，可快速明确接口用途。

STP状态验证：通过display stp命令查看，启用普通STP模式，核心交换机为根桥，无环路、无异常阻塞端口。

核心功能验证

路由互通验证：AR4静态路由、AR3 RIP、AR2 OSPF路由表正常，全网所有终端（分支PC、管理PC、服务器）可互相ping通。

DHCP验证：办公PC、管理PC可自动获取对应网段IP、网关及DNS，无需手动配置。

NAT验证：内网PC可ping通公网地址（202.100.100.9），实现私网地址转公网地址，外网访问正常。

ACL验证：仅192.168.10.0/24网段（分支办公终端）可ping通服务器区，管理网段（192.168.30.0/24）无法访问，管控生效。

SSH验证：可通过管理IP（192.168.30.1）远程登录（除AR4）所有设备。

部署注意事项

为确保验证通过、网络稳定，部署过程中需注意以下细节，避开常见坑点：

IP规划和接口备注需统一，配置完成后及时保存（save命令），避免设备重启后配置丢失。

链路聚合两端设备配置需一致，模式、接口数量匹配，否则聚合组无法生效。

STP仅启用普通模式；AR2需正常宣告所有骨干网段，防止路由不通。

ACL规则严格按需求配置，仅允许192.168.10.0/24网段访问服务器。

Access-SW的G0/0/3接口需正确绑定VLAN30，确保管理PC正常接入和远程管理。

这篇文章没有直接跟上配置信息，两个原因，一方面，我在出差周末要加班配置信息要到下周一进行更新，一方面，需求给出但是配置方法不同可以根据自己的理解进行尝试。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：信息安全官 信息安全官 信息安全官《小型企业网络完整部署，从零搭建实用企业网》