會員中心 | iThome online | iT邦部落格 | 小7聚樂部 | iThome download | apphome

載入中...

nitozy

iT邦初學者
10級

如何鎖流量、監控流量?

我們公司網路架構不大
大概約20人使用
老闆之前跟我說有的員工上班都在打混 所以希望我鎖網路
但公司網路架構說實在我不太懂
大概用文字簡述一下我們公司的網路
網路線→中華小烏龜→中華交換器→下來分三條線,每條線皆為一個IP
IP1 沒在使用
IP2 直接插在公司網頁、Mail主機上 然後在從主機的另一張網卡拉出來接上HUB!
IP3 插在Dlink的交換器上在接到ERP主機,然後一樣從主機的另一張網咖拉出來接上HUB

請問這樣我該從哪裡裝上監控系統? 我原本想說直接從Dlink的交換器上去鎖 但發現我進去查到的網路區段為192.168.0.1 而非公司的10.0.0.*

請大大指示一下我該如何弄 且該用哪套系統 (我看很多人都說用cacti)

PS: 對了 兩台HUB我用網路線查過IP 兩台所分配的區網都是同個區段 10.0.0.*
請問這樣分接下來 兩個HUB也是同個網路區段嗎?
PS2: 公司牽的是2M的線 但有分三個IP 這樣是三個IP共享2M的頻寬嗎?


發佈到:發佈到Facebook 發佈到噗浪 發佈到twitter
分享時間:2009-06-30 10:58:46
▼ ADVERTISEMENT ▼

最佳解答(發問者自選)
11

回答:jessewang ( iT邦初學者4級 )

時間:2009-06-30 11:44:43

如果你能連上 d-link 那台 switch ,那表示他是有網管功能,你可以找找裡面是否有 QoS 功能(應該有),可以簡單對某幾個 port 限制一些流量。

看你的配置說明,分別是拿網頁主機跟ERP 主機當作 NAT 使用?如果有防火牆,應該都是主機內建的(如果沒有就很糟糕了),基本上也應該能作一點流量控制,但是不知道主機 OS 跟防火牆是那一類,這樣很難建議你。
2009-06-30 11:47:56補充
你家的 ERP 主機會很操,還兼 NAT 管上網?買一台簡單的硬體防火牆當 NAT 使用吧,把 ERP 主機放到內網來比較安全一點。
2009-06-30 14:53:48補充
那是否可以把 d-link 那台你說當簡單防火牆的型號貼上,看看到底是什麼設備,可以作到什麼程度。



d-link switch 如果 L2 的,QoS 好像是針對那個實體的 port 作流量設定,不是針對 IP ,可以的話給個型號,比較好出主意。

[-隱藏]

回應

1

yking7065 說:

他的架構很危險吧...感覺幾乎沒有防禦吧...除非網頁那台有軟體式防火牆....
cacti是不錯,只是.... 你對Linux或FreeBSD拿手嗎?! 若拿手,就可以是不錯的選擇。這也是另外架的。

2009-06-30 12:01:11

2

nitozy 說:

感謝你的回覆
我是能連上那台Dlink 但是我不能用他去控管10.0.0.*這個網段 我嘗試過鎖某些IP的PORT 但沒有用!

前一任的網管跟我說ERP那台前面的Dlink可以充當簡單的防火牆
所以ERP系統那台就沒開啟防火牆 且網頁主機那台並沒有開啟防火牆的樣子 是用別的東西阻擋的樣子!我還沒去查清楚是哪個服務

對了 我有個問題想問
如果我要裝那些監控軟體 是只能裝在伺服器端上嗎?

關於NAT這部份對主機負擔很重嗎? 因為我看主機使用起來狀況是還好
我比較擔心的不是loading 我比較擔心他資安的問題.....

2009-06-30 14:06:22

3

nitozy 說:

To:yking7065
Cacti我上網查閱也有能安裝在windows下的

對了 剛剛忘記補充
我的OS是windows2003
防火牆沒有硬體的 賽門鐵克的網路防火牆
ERP那台則是用Dlink交換器當防火牆 前一個網管跟我說可以當簡易的防火牆!

不好意思有太多東西我不懂 因為我是個剛畢業的大學生
上面又沒人教我 只能自己跟google大神求教..

2009-06-30 14:19:48

4

nitozy 說:

Dlink DI-604
他是說路由器啦 但我其他朋友都說這充其量只能叫做交換器 他說真的路由器好幾十萬....
http://www.dlinktw.com.tw/product_view.asp?sno=JKAOLL

感謝妳^^

2009-06-30 15:25:47

5

yking7065 說:

to nitozy 說:
我知道可以安裝在Windows下^^..

只是Windows下,還要改環境設定... 且官網上的步驟個人覺得有些地方遺漏...

若在Linux及FreeBSD下架設會比較有詳細的安裝步驟。

2009-07-01 11:58:27

6

jessewang 說:

DI-604 看起來是個 IP 分享器,是有簡單防火牆功能,但是強度可能比較不足。沒有 QoS 功能。如果是這樣,不需要在從 server 後面接 switch hub 啊,那隻 switch 放在 DI-604 或是 其他防火牆後面就好,ERP 那台負擔會比較輕。

2009-07-01 12:33:07

7

nitozy 說:

to yking7065:
哈哈 不好意思 那是我誤解你的意思了
但如果我OS轉成freebsd的話 這樣就直接把郵件 FTP都也要用在它上面了!
等於重新架設 而且怕的是我當兵後請別人來怕他不懂怎麼維護!

to jessewang:
所以我直接把switch hub接在604後面即可囉?
這樣減輕一台的負擔
但是不是我應該要建議老闆弄一些硬體防火牆 或是直接另闢一台主機做公司內部網路的FTP就好?
(因為RD大多都在公司弄東西 回家後也不會連回公司抓檔案)
但說604強度不足 但底是多不夠? 我實在不太了解要做到怎樣才能算是網路安全比較完善...><

2009-07-01 15:37:51

如何鎖流量、監控流量?
回答:ganymede( iT邦初學者1級 )
時間:2009-06-30 12:47:26
10
您可以考慮 pfsense, 可參考 http://www.pfsense.org/
真的非常好用, 安裝也簡單, 管理有 web 介面.

[-隱藏]

回應 ganymede

1

nitozy 說:

你這不錯耶!! 只要一台爛電腦就可以當作NAT和防火牆
感謝你^^ 我在研究看看

2009-06-30 14:35:59

回答:old7ada( iT邦初學者2級 )
時間:2009-07-01 11:26:16
6
貴公司的網路架構,看得我心驚膽顫。既不安全又很操身為公司命脈的2台server。每個員工上網跟收email,封包都要透過server。應該要分工、分流,才有辦法設立有效監控點,或是做Qos。

[-隱藏]

回應 old7ada

1

nitozy 說:

那你覺得如果我要重新建置
是要怎樣規劃較好?
mail ERP主機獨立運作 額外弄一台主機做NAT
mail ERP主機都讓她們藏在dlink路由器後面這樣嗎?

2009-07-01 12:19:23

回答:yamasu00( iT邦初學者10級 )
時間:2009-07-08 17:12:07
2
小弟有ㄍ想法 不知對不對 您參考一下
1.買一台一般IP分享器 把IP1 設上ㄑ 再將需要上網ㄉ人線路接到IP分享器
這一來 要上網ㄉ 要中毒ㄉ 最多把小烏龜 或IP分享器弄掛
而且買ㄍ5千上下ㄉ分享器鎖頻寬 就很好用ㄌ
PS.IP分享器有很低階 1千多ㄉ 也有好幾萬ㄉ 你可以依需求和連線數來決定要買哪一台

2.您說你ㄉ10開頭IP 是健保網路或自設IP
如果是 健保 那要用健保網路ㄉ電腦 就不要讓他上網 這樣會單純點
如果是 自設區網IP 那也依樣 讓網路單純化
但是 有可能有ㄉ電腦 他需要連線到你MAIL或ERP 那這時候 可以改變路由ㄉ方式 來完成

3.還是強烈建議您 買一台防火牆 用一般交換器功能還是有限 真ㄉ要買 可以請廠商來評估
我想 競爭激烈IT業中 很多廠商會很樂意ㄉ報價 到時候 再由廠商處理 你也可以把維護
方式學起來 都是你ㄉ

回應

請填寫您的回應,長度限為1,000個字,回應不計點數,也不限使用次數



 
▼ ADVERTISEMENT ▼


檢舉違規

違規事項:

*補充檢舉理由(可省略),字數不可超過100字

推薦

推薦理由:


*給回答者的鼓勵(可不填),字數不可超過100字

哈哈
毆飛
開心
抗議
落寞
睡覺
噴鼻血
No
失神
爆氣
疑惑
Orz
不耐煩
喜歡
臉紅
噎到
放手
打嗑睡
掰掰
放馬過來
敲碗
簽名
筆記
拍手
沙發
XD
無言
偷笑
翻桌
謝謝
灑花
抱抱
逃跑
炸死你
愛你
生日快樂
rock
嘆氣
下雨
衝刺
搖頭
拍照
打球
健身
駭客
射門
泡湯
踹共
唱歌
做菜

上傳圖片
▼ ADVERTISEMENT ▼

邦友收藏動態

最新收藏最多人推最多人收

新增收藏

收藏到iT邦 書籤小工具

「收藏到iT邦」讓你更方便收藏站外文章。可用下面其中一種方法安裝:

  • 拖拉上面的「收藏到iT邦」連結到瀏覽器的書籤列
  • 在連結上方按右鍵,選擇「加到我的最愛」

之後看到喜歡的站外文章,只要點一下「收藏到iT邦」,就會收藏起來囉

安裝「收藏快捷鍵」

安裝「收藏快捷鍵」,可以讓邦友直接透過Google工具列上的按扭,快速收藏站內、站外的網頁。

訂閱每日摘要

iT邦幫忙即日起提供「每日摘要」給尚未註冊的邦友,只要輸入您的E-mail,每日就可以收到最新的發問與分享