iT邦幫忙

0

如何鎖流量、監控流量?

nitozy 2009-06-30 10:58:4635884 瀏覽

我們公司網路架構不大
大概約20人使用
老闆之前跟我說有的員工上班都在打混 所以希望我鎖網路
但公司網路架構說實在我不太懂
大概用文字簡述一下我們公司的網路
網路線→中華小烏龜→中華交換器→下來分三條線,每條線皆為一個IP
IP1 沒在使用
IP2 直接插在公司網頁、Mail主機上 然後在從主機的另一張網卡拉出來接上HUB!
IP3 插在Dlink的交換器上在接到ERP主機,然後一樣從主機的另一張網咖拉出來接上HUB

請問這樣我該從哪裡裝上監控系統? 我原本想說直接從Dlink的交換器上去鎖 但發現我進去查到的網路區段為192.168.0.1 而非公司的10.0.0.*

請大大指示一下我該如何弄 且該用哪套系統 (我看很多人都說用cacti)

PS: 對了 兩台HUB我用網路線查過IP 兩台所分配的區網都是同個區段 10.0.0.*
請問這樣分接下來 兩個HUB也是同個網路區段嗎?
PS2: 公司牽的是2M的線 但有分三個IP 這樣是三個IP共享2M的頻寬嗎?

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
22
jessewang
iT邦研究生 4 級 ‧ 2009-06-30 11:44:43
最佳解答

如果你能連上 d-link 那台 switch ,那表示他是有網管功能,你可以找找裡面是否有 QoS 功能(應該有),可以簡單對某幾個 port 限制一些流量。

看你的配置說明,分別是拿網頁主機跟ERP 主機當作 NAT 使用?如果有防火牆,應該都是主機內建的(如果沒有就很糟糕了),基本上也應該能作一點流量控制,但是不知道主機 OS 跟防火牆是那一類,這樣很難建議你。

看更多先前的回應...收起先前的回應...
yking7065 iT邦新手 2 級 ‧ 2009-06-30 12:01:11 檢舉

他的架構很危險吧...感覺幾乎沒有防禦吧...除非網頁那台有軟體式防火牆....
cacti是不錯,只是.... 你對Linux或FreeBSD拿手嗎?! 若拿手,就可以是不錯的選擇。這也是另外架的。

nitozy iT邦新手 5 級 ‧ 2009-06-30 14:06:22 檢舉

感謝你的回覆
我是能連上那台Dlink 但是我不能用他去控管10.0.0.*這個網段 我嘗試過鎖某些IP的PORT 但沒有用!

前一任的網管跟我說ERP那台前面的Dlink可以充當簡單的防火牆
所以ERP系統那台就沒開啟防火牆 且網頁主機那台並沒有開啟防火牆的樣子 是用別的東西阻擋的樣子!我還沒去查清楚是哪個服務

對了 我有個問題想問
如果我要裝那些監控軟體 是只能裝在伺服器端上嗎?

關於NAT這部份對主機負擔很重嗎? 因為我看主機使用起來狀況是還好
我比較擔心的不是loading 我比較擔心他資安的問題.....

nitozy iT邦新手 5 級 ‧ 2009-06-30 14:19:48 檢舉

To:yking7065
Cacti我上網查閱也有能安裝在windows下的

對了 剛剛忘記補充
我的OS是windows2003
防火牆沒有硬體的 賽門鐵克的網路防火牆
ERP那台則是用Dlink交換器當防火牆 前一個網管跟我說可以當簡易的防火牆!

不好意思有太多東西我不懂 因為我是個剛畢業的大學生
上面又沒人教我 只能自己跟google大神求教..

nitozy iT邦新手 5 級 ‧ 2009-06-30 15:25:47 檢舉

Dlink DI-604
他是說路由器啦 但我其他朋友都說這充其量只能叫做交換器 他說真的路由器好幾十萬....
http://www.dlinktw.com.tw/product_view.asp?sno=JKAOLL

感謝妳^^

yking7065 iT邦新手 2 級 ‧ 2009-07-01 11:58:27 檢舉

to nitozy 說:
我知道可以安裝在Windows下^^..

只是Windows下,還要改環境設定... 且官網上的步驟個人覺得有些地方遺漏...

若在Linux及FreeBSD下架設會比較有詳細的安裝步驟。

jessewang iT邦研究生 4 級 ‧ 2009-07-01 12:33:07 檢舉

DI-604 看起來是個 IP 分享器,是有簡單防火牆功能,但是強度可能比較不足。沒有 QoS 功能。如果是這樣,不需要在從 server 後面接 switch hub 啊,那隻 switch 放在 DI-604 或是 其他防火牆後面就好,ERP 那台負擔會比較輕。

nitozy iT邦新手 5 級 ‧ 2009-07-01 15:37:51 檢舉

to yking7065:
哈哈 不好意思 那是我誤解你的意思了
但如果我OS轉成freebsd的話 這樣就直接把郵件 FTP都也要用在它上面了!
等於重新架設 而且怕的是我當兵後請別人來怕他不懂怎麼維護!

to jessewang:
所以我直接把switch hub接在604後面即可囉?
這樣減輕一台的負擔
但是不是我應該要建議老闆弄一些硬體防火牆 或是直接另闢一台主機做公司內部網路的FTP就好?
(因為RD大多都在公司弄東西 回家後也不會連回公司抓檔案)
但說604強度不足 但底是多不夠? 我實在不太了解要做到怎樣才能算是網路安全比較完善...><

20
ganymede
iT邦好手 1 級 ‧ 2009-06-30 12:47:26

您可以考慮 pfsense, 可參考 http://www.pfsense.org/
真的非常好用, 安裝也簡單, 管理有 web 介面.

nitozy iT邦新手 5 級 ‧ 2009-06-30 14:35:59 檢舉

你這不錯耶!! 只要一台爛電腦就可以當作NAT和防火牆
感謝你^^ 我在研究看看

12
old7ada
iT邦研究生 2 級 ‧ 2009-07-01 11:26:16

貴公司的網路架構,看得我心驚膽顫。既不安全又很操身為公司命脈的2台server。每個員工上網跟收email,封包都要透過server。應該要分工、分流,才有辦法設立有效監控點,或是做Qos。

nitozy iT邦新手 5 級 ‧ 2009-07-01 12:19:23 檢舉

那你覺得如果我要重新建置
是要怎樣規劃較好?
mail ERP主機獨立運作 額外弄一台主機做NAT
mail ERP主機都讓她們藏在dlink路由器後面這樣嗎?

4
yamasu00
iT邦新手 5 級 ‧ 2009-07-08 17:12:07

小弟有ㄍ想法 不知對不對 您參考一下
1.買一台一般IP分享器 把IP1 設上ㄑ 再將需要上網ㄉ人線路接到IP分享器
這一來 要上網ㄉ 要中毒ㄉ 最多把小烏龜 或IP分享器弄掛
而且買ㄍ5千上下ㄉ分享器鎖頻寬 就很好用ㄌ
PS.IP分享器有很低階 1千多ㄉ 也有好幾萬ㄉ 你可以依需求和連線數來決定要買哪一台

2.您說你ㄉ10開頭IP 是健保網路或自設IP
如果是 健保 那要用健保網路ㄉ電腦 就不要讓他上網 這樣會單純點
如果是 自設區網IP 那也依樣 讓網路單純化
但是 有可能有ㄉ電腦 他需要連線到你MAIL或ERP 那這時候 可以改變路由ㄉ方式 來完成

3.還是強烈建議您 買一台防火牆 用一般交換器功能還是有限 真ㄉ要買 可以請廠商來評估
我想 競爭激烈IT業中 很多廠商會很樂意ㄉ報價 到時候 再由廠商處理 你也可以把維護
方式學起來 都是你ㄉ

我要發表回答

立即登入回答