本篇情境設定：10 人中小企業

接下來幾天，我們以 10 人左右的台灣中小企業，來探討企業實務上的議題。

在 Day 14 企業網路入門 那一篇，有非常大的知識量，我們就來探討落實在十人左右的企業會怎麼做。

💡 網路是公司的血管，穩定才有效率

從網路拓樸圖說起

這是一個典型的中小企業網路拓樸圖。我們從外而內的說明，同時也逐一的來探討每一項設備與規劃。

聯外網路

我們會向 ISP 申請透由光纖網路、ADSL、或 Cable/有線電視網路 的網路連到公司內。

• ISP
  • 提供 Internet 網際網路連線的供應商
  • 常見的有：中華電信 Hi-net、遠傳、台灣大寬頻...
  • 有些有線電視業者也會提供 網際網路連線服務。
• 連線方式、速度：
  • ADSL：透由附掛在傳統電話所提供的網際網路連線服務，速度上較光纖慢，在部分光纖無法到達的地方，會使用這種方式。
  • 光纖：透由光纖連接所提供的網際網路連線服務，速度較快，但有些地區、或老舊建築物尚無佈置光纖線路。例如：中華電信的光世代。
  • Cable/有線電視網路：透由有線電視網路所提供的網際網路連線服務。企業通常沒有安裝有線電視，所以企業採用的人比較少。
  • 4G/5G 網路：透由 4G、5G 手機訊號所提供的網際網路連線服務。
• 速度：視各 ISP 方案而定。
• 固定制、非固定制：
  • 非固定制：IP 是隨機配發
  • 固定制：有固定下來的 IP 。IP 有固定下來，才好建置伺服器服務方案。

💡 動態 IP 能上網；固定 IP 才能提供服務。

數據機

由 ISP 提供，

• 一端是 光纖、電話線、Cable/有線電視網路、或 4G/5G 連線介面，
• 另一端通常會有幾個 RJ45 網路孔。
  • 這一端通常會直接接到 防火牆 設備。

防火牆

• 防火牆由企業自行添購
• 防火牆基本上也是兩端，兩端都是 RJ45 網路孔。
  • 一端是對外，會連接到 數據機。
  • 另一端則是 LAN
    • 每台防火牆的 LAN 數量不一，有的只有一個、有的有四、五個。
    • LAN 端通常會直接接到企業內 Switch
• 防火牆等級，
  • 筆者簡單區分如下：
    • 家用級：
      • 大約台幣兩千元上下。
      • 通常只拿來上網使用，
      • 雖然這些設備也有一些管理的設定，但不太會拿來進行一些企業上所需的網路管理的工作。
    • 中小企業級：
      • 大概 2~5 萬元之間。
      • 會進行較基本的一些企業上所需的網路管理的工作。
      • 稍微好一點防火牆的也有不錯的 VPN 功能。
    • 中大企業級：
      • 會進行相對複雜但卻是企業運作上需要的網路管理的工作。
      • 筆者 IT 職涯接觸過最貴的防火牆是百萬等級的防火牆。
  • 影響價差的主要因素：
    • 影響防火牆價差的因素有：最高可以處理的速度、VPN 模式、VPN 通過速度、管制條例、可否為 SDN、可附加的安全過濾、防護機制 (如防毒...)、負載平衡、安全性、可靠性、雲端連結需求...。
    • 防火牆的選擇相對高深，屬於網路工程師的專業。
• 防火牆附加功能：附加功能視選購機種而定。
  • DHCP 功能。
  • Wifi 功能
  • Wifi AP 管理功能：當你的面積大而 Wifi 設備很多台時，需要進行漫遊管理...等。
  • Wifi 身分驗證功能、搭配第三方身分驗證伺服器的功能。
  • VPN 功能，VPN 有多種協定，每一台提供的協定也有所不同。

💡 安全不是功能清單，而是專業的選擇。

IP 規劃

• 建置/設定防火牆之前，需先做好 IP 規劃。而 IP 規劃屬於網路工程師的專業，如果條件允許，務必洽詢專業網路工程師。
• 如果只是單純的幾個人、沒有分支機構，又找不到專業的網路工程師，可以參考下面方式規劃之：
  • IP 範圍，可使用 防火牆預設的 IP ，台灣常見設備的預設值通常是 192.168.0.x 或 192.168.1.x
  • 配置大約 50~100 個 IP 給 DHCP，比如是第四位為 50~150 之間
  • 規定內部固定 IP 設備的 IP 範圍，比如第四位 49 以下為 固定 IP。
    • 比如：伺服器、NAS、網路印表機...等等，需要內部固定的 IP。
    • 爾後只要使用，就要記錄。
    • 避免與 DHCP 範圍的設備混用。

Switch

• 有區分：網管型、無網管型
  • 無網管型的 Switch 比較便宜，但日後如果網路有問題時，沒有辦法取得科學數據來判斷問題。
• 速度：
  • 現在大部分都會買 1G 速度的 Switch。
  • 速度需求高者，在購買 2.5G、10G 速度。
  • 網路線的選擇，會跟速度有關。
• Port 數量：
  • 幾乎所有設備都會連接到 Switch
    • 桌上型電腦
    • Wifi AP
    • 防火牆
    • 印表機
    • 網路攝影機
    • IP 網路電話
    • ...
  • 先核算設備的可能數量，再加上一些預留 Ports ，為採購的 Switch Ports 數量。
  • 目前一台 Switch 最大的 Port 數量是 48，但較常見的是 24 Port。
  • 當 Switch 超過一台時，那又會牽涉到 專業的網路工程師的專業，需要委請專業網路工程師進行規劃。
• PoE 網路孔供電：
  • 有些 IP 網路電話、網路攝影機 的電源，來自 Switch ，如果有這樣的需求，就需要計算好相關電力資訊、並採用合適的 PoE Switch。
• Layer 與 VLAN：
  • 網路如果需要進行區隔，那就會牽涉到 VLAN 與 Layer 的問題。比如要把 網路電話與一般電腦網路區隔開來，那就會牽涉這些課題。
  • 如果牽涉這些課題，那也是需要專業的網路工程師來進行規劃。今天這篇 focus 在中小企業，就不往下展開了。(往下展開，這部分就又是幾千字的內容了)。簡單知道這些即可：
    • Layer 2 Switch：在 OSI 第二層做到 MAC 與 IP 間轉換、切 VLAN 等功能
    • Layer 3 Switch：可以做到 L2 的所有功能之外，又增加 VLAN 間路由...等功能

💡 預留埠數，是為了預留成長空間。

Wifi AP

• 有些防火牆有 Wifi AP 功能，如果面積小、防火牆所在位置在中心點，是可以直接拿來使用。
• 企業防火牆所在位置，通常是邊邊角角、或專屬機房房間，此時建議要有 單獨的 Wifi AP。

Wifi 安全性

• 加密與協定：安全協議不使用(禁用) WEP/WPA；優先 WPA3-Personal（不行再用 WPA2-AES）。關閉 WPS。
• 密碼策略：預共享金鑰（PSK）(俗稱 wifi 密碼)：要長、要亂、要定期輪換；避免使用公司名稱、電話、生日等容易被猜資訊。
• 網路區隔：
  • 區隔員工、與訪客，使用 不同 SSID＋VLAN；
  • 訪客只出 Internet，不進內網。
  • 如果太難管理：
    • 那就乾脆不開始給訪客使用，反正現在 4G/5G 網路已經很普及了。
    • 或是給 訪客一台獨立的 wifi ap，而且不經過公司內網與防火牆。這是「笨」方法，但卻簡單實用，反正一台 wifi ap 也不貴。
• 如果要嚴謹的身分存取管理，就不能採用大家都共用 Wifi 密碼(預共享金鑰)的方式，就需要建置 RADIUS 身分驗證伺服器，讓每個人有自己密碼進行存取驗證。

💡 共用密碼最省事，相對也較不安全。

網路印表機

中小企業人不多，通常不太做太多嚴格的權限控管，建議如下：

• 如果有租用 事務機，務必幫他配置一個 固定 IP，事務機廠商工程師不一定熟網路，如果沒有明確告知 IP，他們可能隨便用一個，會造成我們 IP 很亂，日後不好管理。
• 如果沒有租用 事務機，要添購印表機時，建議添購有網路介面的印表機。
• 如果不打算做權限控管，那就每一台電腦直接列印到網路印表機上。
• 安全性考量：請關閉網路印表機上未使用的通訊協定。(如 Telnet、FTP ...)

列印佇列

• 列印佇列 是管理列印工作的一個機制。當有很多列印工作要列印時，有良善的 佇列管理是有比要得。
• 早期會由 Windows Server 來管理 列印佇列，現在網路印表機這方面的管理也算可以，就可以由個別電腦直接列印到印表機，不須經過 Windows Server 了。

掃描功能

• 事務機具有掃描功能，而且每個人的掃描可以獨立區隔開來。可以掃描到 E-Mail 或 伺服器、或 PC ，只需在事務機上進行設定即可。

規劃方案參考

• IP 規劃：
  • 網段： 192.168.1.0，子網路遮罩：255.255.255.0
  • DHCP：192.168.1.50–150；
  • 固定 IP 範圍：192.168.1.1–49
    • 防火牆：192.168.1.1
    • NAS/印表機...
  • DNS 使用 ISP 的，如：168.95.1.1、168.95.192.1
• 防火牆：中小企業級，大約 兩萬元上下的，可以建置 VPN 。
• Switch：24 埠 Gigabit，預留 30% 埠數；若有 AP/網路攝影機/網路電話→才需要選 PoE。
• Wi-Fi：只給員工使用、不提供給訪客使用。
• 列印：事務機固定 IP；關閉不使用的協定（Telnet/FTP/9100）。

小結

這是中小企業實務的第一篇：網路。接下來會探討：在家上班 與 商用軟體...等常見課題。您還想知道那些中小企業的實務問題呢？

💡 網段規劃清楚、命名一致，異常排除時頭腦才會清楚。