前面基本网络知识已经能够满足中小企业的需要了，今天来看下一些基本网络组网架构。

首先网络是分层架构，从接入层到汇聚层再到核心层，然后接入运营商出口。内部包括有线网络、无线网络，出口一般可以使用路由器或者防火墙进行安全防护。

一、网络拓扑架构

根据企业规模可以省略汇聚层直接接入层到核心交换层。一般现在企业都有包括有线网络和无线网络两块，因此需要结合无线组网实现企业布局。出口处使用防火墙进行安全防护，运营商线路可以为PPPOE拨号或者专线公网IP连接互联网，这些知识都已经学习过了。网络架构不是一成不变的，也不是必须一致的，需要根据企业现实情况灵活变通。

下面分层大概讲述下涉及的网络知识点。

1.1 网络规划

实际部署中我一般是建议先进行网络规划再进行部署。包括网段划分、VLAN规划、设备管理地址。

网段划分一般使用一个VLAN对应一个网段对应一个子网。比如VLAN 10 ，使用192.168.10.0/24。视实际情况可以按照功能划分比如有线网络和无线网络，监控网络、门禁考勤设备网络，也可以按照部门进行划分，如财务、人事、业务等进行划分。

我们的设备不是单单部署上去就可以了，我们需要对设备进行巡检或者配置变更，之前学习过可以通过console线或者远程SSH进行管理，这些也需要配置对应的IP地址，因此我们在规划网段时为网络设备划分一个单独的网段进行管理。

示例：为了后期方便进行子网汇聚可以划分到一个大的子网，比如一个20为的子网包括了N个24位的子网。

1.1 Internet层网络

规划好之后可以开始实际配置，可以从接入层开始也可以自上而下进行配置。这里我分别列出不同层次可能涉及的网络知识点。

我们需要上网，一般需要向运营商申请宽带，运营商分配一条线路和一个光猫到我们公司内部，我们的出口防火墙或者路由器连接光猫进行配置上网。上网模式一般有几种，常见的是拨号上网(运营商分配一个PPPOE拨号的账号密码，我们出口设备通过PPPOE拨号进行上网)，专线(专线价格较贵，一般有固定公网IP，直接配置公网IP，配置路由指向公网网关地址即可实现上网)。一般拨号的网络上下行不对等，比如下行100M，上行大概是10M左右，价格便宜；专线一般上下行一致，比如都是10M，网络质量较好，但价格昂贵。

关键技术点：

1、PPPOE拨号

2、NAT

3、路由配置(默认路由、BGP、MPLS VPN等)

4、防火墙安全区域与策略配置

1.2 核心层网络

核心层是数据转发的最重要的层次，一般建议网关可以配置在性能较强的核心交换机上，如果有无线组网的可以旁挂AC无线控制器。这里需要分配地址与出口设备互联，可以选择二层互联或者三层互联，然后通过默认路由指向出口设备的接口地址。

涉及的关键技术：

1、VLAN划分

2、二层网络接口划分(trunk、access)

3、DHCP地址分配

4、一些端口安全或者隔离配置需求

1.3 接入层网络

接入层主要为终端提供网络接入服务，包括有线和无线网络，需要配置与上层的二层接口配置，终端接入VLAN划分。

接入交换机也需要配置默认路由指向网关。交换机下需要划分VLAN和接口。

POE交换机和普通交换机一致，但是多了一个POE供电的配置需要启用，有一些设备默认关闭POE供电功能，需要手动开启。

完成后测试DHCP、网关、出口、以及到互联网是否正常。

关键技术点：

1、VLAN配置

2、互联接口配置(trunk、access)

3、默认路由配置、交换机管理地址配置、POE功能启用(如果有)

4、端口安全配置

5、STP生成树配置，如果网络中配置了冗余链路

最后还有一个很重要的，对设备管理如果使用远程SSH，需要在所有设备上启用SSH server，配置aaa认证的账号密码。

总结：典型的小型企业组网大概如上，进行分层、划分网段、自上而下进行各网络功能的配置，最终进行验证测试，上面涉及的网络知识点目前都已经学习完毕，请参考之前的文章。