iT邦幫忙

2025 iThome 鐵人賽

DAY 22
0
IT 管理

AI 時代,IT 職人養成系列 第 22

AI 時代,IT 職人養成 Day22:中小企業網路實務:10 人團隊的穩定與安全配置

  • 分享至 

  • xImage
  •  

本篇情境設定:10 人中小企業

接下來幾天,我們以 10 人左右的台灣中小企業,來探討企業實務上的議題。

在 Day 14 企業網路入門 那一篇,有非常大的知識量,我們就來探討落實在十人左右的企業會怎麼做。

💡 網路是公司的血管,穩定才有效率

從網路拓樸圖說起

網路拓樸圖

這是一個典型的中小企業網路拓樸圖。我們從外而內的說明,同時也逐一的來探討每一項設備與規劃。

聯外網路

我們會向 ISP 申請透由光纖網路、ADSL、或 Cable/有線電視網路 的網路連到公司內。

  • ISP
    • 提供 Internet 網際網路連線的供應商
    • 常見的有:中華電信 Hi-net、遠傳、台灣大寬頻...
    • 有些有線電視業者也會提供 網際網路連線服務。
  • 連線方式、速度:
    • ADSL:透由附掛在傳統電話所提供的網際網路連線服務,速度上較光纖慢,在部分光纖無法到達的地方,會使用這種方式。
    • 光纖:透由光纖連接所提供的網際網路連線服務,速度較快,但有些地區、或老舊建築物尚無佈置光纖線路。例如:中華電信的光世代。
    • Cable/有線電視網路:透由有線電視網路所提供的網際網路連線服務。企業通常沒有安裝有線電視,所以企業採用的人比較少。
    • 4G/5G 網路:透由 4G、5G 手機訊號所提供的網際網路連線服務。
  • 速度:視各 ISP 方案而定。
  • 固定制、非固定制:
    • 非固定制:IP 是隨機配發
    • 固定制:有固定下來的 IP 。IP 有固定下來,才好建置伺服器服務方案。

💡 動態 IP 能上網;固定 IP 才能提供服務。

數據機

由 ISP 提供,

  • 一端是 光纖、電話線、Cable/有線電視網路、或 4G/5G 連線介面,
  • 另一端通常會有幾個 RJ45 網路孔。
    • 這一端通常會直接接到 防火牆 設備。

防火牆

  • 防火牆由企業自行添購
  • 防火牆基本上也是兩端,兩端都是 RJ45 網路孔。
    • 一端是對外,會連接到 數據機。
    • 另一端則是 LAN
      • 每台防火牆的 LAN 數量不一,有的只有一個、有的有四、五個。
      • LAN 端通常會直接接到企業內 Switch
  • 防火牆等級,
    • 筆者簡單區分如下:
      • 家用級:
        • 大約台幣兩千元上下。
        • 通常只拿來上網使用,
        • 雖然這些設備也有一些管理的設定,但不太會拿來進行一些企業上所需的網路管理的工作。
      • 中小企業級:
        • 大概 2~5 萬元之間。
        • 會進行較基本的一些企業上所需的網路管理的工作。
        • 稍微好一點防火牆的也有不錯的 VPN 功能。
      • 中大企業級:
        • 會進行相對複雜但卻是企業運作上需要的網路管理的工作。
        • 筆者 IT 職涯接觸過最貴的防火牆是百萬等級的防火牆。
    • 影響價差的主要因素:
      • 影響防火牆價差的因素有:最高可以處理的速度、VPN 模式、VPN 通過速度、管制條例、可否為 SDN、可附加的安全過濾、防護機制 (如防毒...)、負載平衡、安全性、可靠性、雲端連結需求...。
      • 防火牆的選擇相對高深,屬於網路工程師的專業。
  • 防火牆附加功能:附加功能視選購機種而定。
    • DHCP 功能。
    • Wifi 功能
    • Wifi AP 管理功能:當你的面積大而 Wifi 設備很多台時,需要進行漫遊管理...等。
    • Wifi 身分驗證功能、搭配第三方身分驗證伺服器的功能。
    • VPN 功能,VPN 有多種協定,每一台提供的協定也有所不同。

💡 安全不是功能清單,而是專業的選擇。

IP 規劃

  • 建置/設定防火牆之前,需先做好 IP 規劃。而 IP 規劃屬於網路工程師的專業,如果條件允許,務必洽詢專業網路工程師。
  • 如果只是單純的幾個人、沒有分支機構,又找不到專業的網路工程師,可以參考下面方式規劃之:
    • IP 範圍,可使用 防火牆預設的 IP ,台灣常見設備的預設值通常是 192.168.0.x 或 192.168.1.x
    • 配置大約 50~100 個 IP 給 DHCP,比如是第四位為 50~150 之間
    • 規定內部固定 IP 設備的 IP 範圍,比如第四位 49 以下為 固定 IP。
      • 比如:伺服器、NAS、網路印表機...等等,需要內部固定的 IP。
      • 爾後只要使用,就要記錄。
      • 避免與 DHCP 範圍的設備混用。

Switch

  • 有區分:網管型、無網管型
    • 無網管型的 Switch 比較便宜,但日後如果網路有問題時,沒有辦法取得科學數據來判斷問題。
  • 速度:
    • 現在大部分都會買 1G 速度的 Switch。
    • 速度需求高者,在購買 2.5G、10G 速度。
    • 網路線的選擇,會跟速度有關。
  • Port 數量:
    • 幾乎所有設備都會連接到 Switch
      • 桌上型電腦
      • Wifi AP
      • 防火牆
      • 印表機
      • 網路攝影機
      • IP 網路電話
      • ...
    • 先核算設備的可能數量,再加上一些預留 Ports ,為採購的 Switch Ports 數量。
    • 目前一台 Switch 最大的 Port 數量是 48,但較常見的是 24 Port。
    • 當 Switch 超過一台時,那又會牽涉到 專業的網路工程師的專業,需要委請專業網路工程師進行規劃。
  • PoE 網路孔供電:
    • 有些 IP 網路電話、網路攝影機 的電源,來自 Switch ,如果有這樣的需求,就需要計算好相關電力資訊、並採用合適的 PoE Switch。
  • Layer 與 VLAN:
    • 網路如果需要進行區隔,那就會牽涉到 VLAN 與 Layer 的問題。比如要把 網路電話與一般電腦網路區隔開來,那就會牽涉這些課題。
    • 如果牽涉這些課題,那也是需要專業的網路工程師來進行規劃。今天這篇 focus 在中小企業,就不往下展開了。(往下展開,這部分就又是幾千字的內容了)。簡單知道這些即可:
      • Layer 2 Switch:在 OSI 第二層做到 MAC 與 IP 間轉換、切 VLAN 等功能
      • Layer 3 Switch:可以做到 L2 的所有功能之外,又增加 VLAN 間路由...等功能

💡 預留埠數,是為了預留成長空間。

Wifi AP

  • 有些防火牆有 Wifi AP 功能,如果面積小、防火牆所在位置在中心點,是可以直接拿來使用。
  • 企業防火牆所在位置,通常是邊邊角角、或專屬機房房間,此時建議要有 單獨的 Wifi AP。

Wifi 安全性

  • 加密與協定:安全協議不使用(禁用) WEP/WPA;優先 WPA3-Personal(不行再用 WPA2-AES)。關閉 WPS。
  • 密碼策略:預共享金鑰(PSK)(俗稱 wifi 密碼):要長、要亂、要定期輪換;避免使用公司名稱、電話、生日等容易被猜資訊。
  • 網路區隔
    • 區隔員工、與訪客,使用 不同 SSID+VLAN
    • 訪客只出 Internet,不進內網。
    • 如果太難管理:
      • 那就乾脆不開始給訪客使用,反正現在 4G/5G 網路已經很普及了。
      • 或是給 訪客一台獨立的 wifi ap,而且不經過公司內網與防火牆。這是「笨」方法,但卻簡單實用,反正一台 wifi ap 也不貴。
  • 如果要嚴謹的身分存取管理,就不能採用大家都共用 Wifi 密碼(預共享金鑰)的方式,就需要建置 RADIUS 身分驗證伺服器,讓每個人有自己密碼進行存取驗證。

💡 共用密碼最省事,相對也較不安全。

網路印表機

中小企業人不多,通常不太做太多嚴格的權限控管,建議如下:

  • 如果有租用 事務機,務必幫他配置一個 固定 IP,事務機廠商工程師不一定熟網路,如果沒有明確告知 IP,他們可能隨便用一個,會造成我們 IP 很亂,日後不好管理。
  • 如果沒有租用 事務機,要添購印表機時,建議添購有網路介面的印表機。
  • 如果不打算做權限控管,那就每一台電腦直接列印到網路印表機上。
  • 安全性考量:請關閉網路印表機上未使用的通訊協定。(如 Telnet、FTP ...)

列印佇列

  • 列印佇列 是管理列印工作的一個機制。當有很多列印工作要列印時,有良善的 佇列管理是有比要得。
  • 早期會由 Windows Server 來管理 列印佇列,現在網路印表機這方面的管理也算可以,就可以由個別電腦直接列印到印表機,不須經過 Windows Server 了。

掃描功能

  • 事務機具有掃描功能,而且每個人的掃描可以獨立區隔開來。可以掃描到 E-Mail 或 伺服器、或 PC ,只需在事務機上進行設定即可。

規劃方案參考

  • IP 規劃
    • 網段: 192.168.1.0,子網路遮罩:255.255.255.0
    • DHCP:192.168.1.50–150
    • 固定 IP 範圍:192.168.1.1–49
      • 防火牆:192.168.1.1
      • NAS/印表機...
    • DNS 使用 ISP 的,如:168.95.1.1、168.95.192.1
  • 防火牆:中小企業級,大約 兩萬元上下的,可以建置 VPN 。
  • Switch:24 埠 Gigabit,預留 30% 埠數;若有 AP/網路攝影機/網路電話→才需要選 PoE
  • Wi-Fi:只給員工使用、不提供給訪客使用。
  • 列印:事務機固定 IP;關閉不使用的協定(Telnet/FTP/9100)。

小結

這是中小企業實務的第一篇:網路。接下來會探討:在家上班 與 商用軟體...等常見課題。您還想知道那些中小企業的實務問題呢?

💡 網段規劃清楚、命名一致,異常排除時頭腦才會清楚。


上一篇
AI 時代,IT 職人養成 Day21:郵件伺服器選型與管理:從地端到雲端
系列文
AI 時代,IT 職人養成22
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言