iT邦幫忙

0

公司網路架構要升級?我該如何選擇呢?

目前狀況:

  1. 現有網路 ─ HiNet 1Mbps 雙向企業網路(有封包優先權)。
  2. 現有設備 ─ Fortinet F60B 防火牆、內部一台Untangle過濾(Bridge模式),過濾垃圾郵件、廣告之類...等。
  3. 內部一台Mail-Server(內網),最近郵件量比起以往多。
  4. 人員約20名內部的人員網路使用量大,常常需要看Youtube類型影音網頁。

需求 & 問題:

  1. 因作業程序關係內部人員有少數2~3人需要最高品質的聯外網路(Web反應快)。
  2. 希望Mail-Server封包優先。
  3. 其餘人員有高流量需求。

解決方法&問題
方案一
直接升級4Mbps雙向企業網路(費率:14000元/月,原1Mbps雙向費率3750元/月)
問題:如何保留一定的頻寬給Mail&特定IP或應用?

方案二

  1. 1Mbps雙向線路保留給Mail-Server與,需要最高品質的少數2~3人。
  2. 另牽一條10M/2M的FTTB給多數高流量影音需求的人。(費率:2400元/月)
    問題:內部不在同一個內部網域,須購買Balancer,該如何選購Balancer?(不在同一個內部網域,未來企業有EIP、ERP就必須透過外部連結)

請問各位邦友們,能給我好的意見嗎?

4
ghost
iT邦新手 2 級 ‧ 2010-07-08 19:47:16
最佳解答

chingway提到:
需求 & 問題:

  1. 因作業程序關係內部人員有少數2~3人需要最高品質的聯外網路(Web反應快)。
  2. 希望Mail-Server封包優先。
  3. 其餘人員有高流量需求。

你的 60B 有 MultiWan 的功能.
你就再申請一條 3M/768 or 10/2M 當 WAN2,
在 60B 裡設 policy,
把會常用 youtube 的那些人的 ip 設為一個 group,
設這個 group 出去時走 WAN2 ,
另外設定這個 group ip 的 SMTP,POP3 轉到 mail server ip
剩下的維持不動,先這樣就可以了.

沒經驗,沒把握,就不要沒事一次改一堆,到時一整個死光光...

10
raytracy
iT邦大神 1 級 ‧ 2010-07-02 19:03:47

方案2似乎比較省錢, 但有幾個問題:

  1. Mail Server 沒有必要給他優先權, 因為 Email 本來就不需要即時互動, 而且你也不能保證給他優先權, 對方就一定可以比較快收到信. 與其把頻寬浪費給他, 不如保留給其他更重要的 Critical Mission.

  2. F60B 可以做頻寬管理, 你可以保留一定頻寬給特定的人/特定的應用, 這樣至少可以確保有一定以上的品質. 但品質再高, 也無法超過線路頻寬的物理限制, 與 Internet 的 best effort 特性....

  3. Youtube 經常會看同一個頁面嗎? 如果會的話, 可以考慮架設一個內部的 Proxy Server, 降低外部流量.

  4. 看不太懂最後一個問題, 為何在不同網域就需要另外買 Balancer? 可否詳述您的網路架構?

  5. 最好請那需要「最高品質」的幾個人, 先定義一下它們可以接受的「反應速度」, 並與他們有相同的認知. 不然, 你將來會做到死還照樣被人K到爆.....

8
jackwan
iT邦研究生 4 級 ‧ 2010-07-02 19:24:15

方案二 + 1
增加一路10M/2M光世代就足夠了,上網及Youtube透過proxy server走這路,每月只要990.不需增加其他設備.

8
plums
iT邦高手 1 級 ‧ 2010-07-03 00:55:18

方案二 +1

別小看了每個月的電信費用,換一個有雙WAN以上且可以切VLAN的ROUTER吧,根據IP指向不同的WAN,又可以切分不同的內網

MAIL SERVER一定要給予最好的頻寬,尤其當有大量外發的郵件的用途時,所謂最高品質的USER也絕對沒有SERVER來得重要

所以雙向網路就只要留給SERVER使用就好,包括未來要用到的EIP、ERP等,等不足時再增加這條線路的頻寬

4
何必問
iT邦好手 1 級 ‧ 2010-07-03 11:13:08

就現有設備來看

FortiGate-60B Features
Maximum Antivirus Throughput 20 Mbps
Maximum IPS Throughput 60 Mbps
Maximum Concurrent Sessions 70K
Network Interfaces 9 10/100 Base-T (6 switch/LAN, 2 WAN, 1 DMZ)
Environmental Compliance RoHS Compliant DMF Free

是可以接兩PORT WAN 一個DMZ
問題是否已將 end-user / server-form 和 production zone切開?
網路的效能在於資料流型態
若同一網段 有人看影片 有人大量下載 有人寄大檔的信 再快的專線也會感覺慢
這部分是內網規劃的功課

外部的部分再來考慮節省頻寬和保障頻寬的設計
接著不足的部分再增加頻寬線路

所以若沒有專線保障頻寬(一般線路不保證頻寬和線路品質)
多重線路方式的確是比較安全的方式
利用防火牆功能將server和end-user行為分開
並且設定 80 25 port保證頻寬
因mail server需要固定ip 若沒big ip l4 switch下
mail的smtp勢必要固定線路ip
pop3與其他end-user上網行為可以兩條線路進出
ERP EIP 需要nat對外也勢必要固定iP對應固定線路來跑
因此 結論,,給server跑的線路一定要依據服務來保障穩定其運作
跑adsl或光世代或許便宜 若不能擴充F60B wan port下增加多重線路來提供給server穩定服務
可能所謂server穩定度就會大打折扣
當然且看您企業可以接受的風險係數了
方案二是較佳 但還有改善之空間吧

我要發表回答

立即登入回答