iT邦幫忙

0

請教基礎網路規劃

各位好,想請各位幫我稍微簡單規劃一下公司網路的建置。雖然我已經小花一段時間了解網路的世界,但還是似懂非懂,因為網路資訊真的是無底深淵,如有可笑之處還請見諒,謝謝。
網路的東西,越看反而越更不瞭解,看起來好像都很像。

先簡單敘述一下大致狀況

  1. 公司目前無分公司狀態,暫時先不需考量建置總公司與分公司連線的部分。
  2. 公司內部電腦有ERP Server
  3. 希望建置硬體防火牆 網路交換器 路由器 AP分享器等設備
  4. 同時建置NAS 為FiLe Server (考慮2Bay)
  5. PC加NB數約略20台左右
  6. 基本至少要會計與銷售資料分開讀取與存取

發文問了這些問題,還請各位見諒看笑話了。麻煩各為了,謝謝。

看更多先前的討論...收起先前的討論...
"希望建置硬體防火牆 網路交換器 路由器 AP分享器等設備"
典型的中小企業需求,但已有那些網設備?總不能全部"砍掉重練"吧!?
老闆可不會同意跟他口袋新臺幣過不去的作法哦!!
tary88989 iT邦新手 5 級 ‧ 2016-11-08 00:52:05 檢舉
因廠商敘述是指說,公司本身AP分享器過於老舊會有時常斷線的問題,所以sales反映頗大。防火牆部及NAS,公司的確需要建置一台。
至於網路交換器和路由器的部分可能沿用,只是目前請廠商規劃,所以想了解一下整體的軟硬體規劃該如何向廠商討論,並說明該做的有哪些避免廠商草草導入結案。謝謝囉。
基本上,要看公司有沒有服務要對外,沒有,任何一個分享器只開 80 端口進出就行了,目前 3000 元價位的分享器都能具備基礎防火牆功能,與應付簡單的網路攻擊,如果需要更進階的,如樓下所說的配置一台多晶片防火牆也行,但你們的預算要夠,內部 會計跟銷售資料要分開,那就是要做 VLAN 嗎,還是只是簡單的 檔案權限控管,公司有 ERP,那表示會計與業務甚至研發庫存的資料都會打進 ERP,你們是要做到什麼層度的分隔呢,是打算絕對分隔,還是權限分隔就好,兩種的成本差異是很大的,絕對分隔,不只設備,就連 ERP 也要再買一套,甚至包括後面的例如 郵件主機等等,都要做區隔的化,內部網站也要區隔,這樣下來,會有很多的設備要投入,這些細節,你們都想好了?還優NAS,也是準備買兩台 ?還有有考慮手機的部分嗎,PC NB 就 20台,那公司也就大約 20人,要找的 AP 不能太差,因為可能就是預備 30人左右的通訊環境,這樣的設備,絕非三千元的消費機種可以負載的,你至少要買 六千,甚至一萬等級的 AP 才行,還有 如果 NB 也是無線上網,那你這台 AP 的負擔很重啊,建議找一萬上下的企業級AP,最好買 思科 之類的牌子會比較好,甚至可以的話要考慮建置 THIN AP 來控管無線網路,另外,路由器問題,基本上要看你們的網路規劃,這種網路問題最好自己先畫一個草圖,我們再來討論要怎麼修改比較好,單純的文字敘述,真的很難滿足你們的需求的
依經驗,這種問題"隔空抓藥"多半無法"藥到病除"。貴單位若在台南、高雄、屏東一帶,也許出外勤時可以抽空過去幫你看看。
tary88989 iT邦新手 5 級 ‧ 2016-11-11 14:45:11 檢舉
公司在北部,所以可能無緣向您請教了。
目前網路是沒有對外的服務,僅限於內部使用。官網Server是架在外面。我們erp的部分不只一套。mail server我們不是使用自己的主機。nas應該考慮是一台 4bay
tary88989 iT邦新手 5 級 ‧ 2016-11-11 14:49:58 檢舉
pc與nb的台數基本上是7至10台pc,NB則是約10台左右。PC都連有線,NB都連無線。
tary88989 iT邦新手 5 級 ‧ 2016-11-11 14:58:35 檢舉
vlan目前是不會限制到這一塊,因需求都屬於內部,不過未來應會擴展分公司同時應也會新增至VPN這部分做連線,但分公司規模也僅會有目前的一半
mytiny iT邦大師 6 級 ‧ 2016-11-13 15:56:55 檢舉
小型企業正需要多功能整合型設備
並非網路沒有對外的服務就不需要內網的資安防護
也正是因為許多人疏漏這內網防護的重要性
所以才會有很多狀況(如綁架病毒等)的產生,請參考
http://ithelp.ithome.com.tw/questions/10184542
1
mytiny
iT邦大師 6 級 ‧ 2016-11-08 02:04:28

既然樓主都說了希望建置硬體防火牆
何不考慮多功能晶片式防火牆呢,請參考
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/FortiGate_FortiWiFi_60E_Series.pdf

其中除按需求可分隔ERP、NAS、進銷存的主機
(如果曾了解網路架構,這部分是DMZ區)
主要是可以做深度的資安防護(不只NGFW,含Web及DNS Filter)
同時可採購同品牌無線基地台FAP,實施手持設備管控BYOD
這樣特別適合小型企業,一機多功能用途
至於交換器可暫時沿用舊設備
記得詢問有技術認證工程師的廠商簽服務

tary88989 iT邦新手 5 級 ‧ 2016-11-11 15:00:25 檢舉

請問一下,多晶片式防火牆是否是UTM防火牆呢。

mytiny iT邦大師 6 級 ‧ 2016-11-13 10:20:20 檢舉

多晶片式防火牆指的是硬體上的架構
效能小弟認為:晶片式 > 硬體式 > 軟體式
UTM指的是防護功能方面
上述推薦產品,既是NGFW,也是UTM
同時還是無線網路控制器與設備管理中心

3
做工仔人!
iT邦高手 1 級 ‧ 2016-11-08 09:12:55

樓主應該要考慮幾個問題:

  1. 公司的成長速度 ? 目前是20人左右.整體網路架構的規劃要若在多少人? 40人或50人? 總不可能公司每年都在換設備吧?
  2. 沒有看到mail server ,dns server 及 web server : 那就先假設這些server 都是委外處理.
  3. 辦公室的面積及隔間方式? 這個是要考慮無線 AP 的架構.
  4. 目前的網路設備及佈線狀況.這個是要評估網路設備可不可以升級?
  5. 有沒有機房空間?

如果我是樓主,我的規劃會是:

  1. 防火牆:FortiGate 60C , 在設定時要保留DMZ 的彈性.(這個是預留未來有些SERVER 要放到internet 時可以用).
  2. 無線 AP : ASUS RT-N16
  3. switch : 看目前使用中switch 的狀況再決定.
  4. 如果能建AD SERVER 會比較好 :這個是在設定FILE SERVER權限時會比較方便.
  5. NAS :建議用4Bay : 可以做raid 5 ,安全性會比較好.

網路架構:
adsl -- FortiGate 60C -1. NAS ,2.ERP ,3.總經理 , 4.SWITCH--USER及AP

看更多先前的回應...收起先前的回應...
mytiny iT邦大師 6 級 ‧ 2016-11-08 13:09:09 檢舉

Fortigate-60C已於21-Jan-2015停產
Fortigate-60D與Fortigate-60E價格機無差異
但防火牆效能卻差非常多

zyman2008 iT邦大師 9 級 ‧ 2016-11-08 22:06:33 檢舉

插花問一下,E系列台灣哪時候要上市阿? 已經等了半年了.
如果還要再等一季,就直接找朋友從美國帶貨回來了.

tary88989 iT邦新手 5 級 ‧ 2016-11-11 15:15:05 檢舉
  1. 目前規劃是本公司約略20人,未來成長可能會到30至40人為一個段落,未來增長方向是偏向台灣各小型分公司為主。
  2. mail server ,dns server,web server這些都目前都還是以委外為主。
  3. 我們公司空間屬於左右較寬,往後延伸型的。
  4. 5點的部分,機房有,但空間不大。

switch為Dlink 16埠

mytiny iT邦大師 6 級 ‧ 2016-11-13 10:26:36 檢舉

Fortigate在SoC產品系列,E系列在台早已銷售
在價格未有太大差異前提下,效能居然都是倍增

0
賽門
iT邦超人 1 級 ‧ 2016-11-08 15:04:32

Google一下網路規劃的圖片,還真不少,一張張慢慢看,有根底的就會看出苗頭。
實在看不懂,你可能對網路拓樸這門技術無緣。
或者,需要師父領你進門,可以向Blue Jacky請教,也可以請他直接幫你規劃。

tary88989 iT邦新手 5 級 ‧ 2016-11-11 15:17:52 檢舉

是有苗頭,但因為越瞭解,資訊越多後,反而越看越認為很多東西好像都有相似性,甚至一樣的東西,但又好像沒相似一樣,所以才上來請教各位的。

0
馬克懶得下床
iT邦研究生 5 級 ‧ 2016-11-17 08:39:45

我能免費協助你

0
allen1975
iT邦新手 3 級 ‧ 2017-06-19 15:28:09

以下是我的建議
因為人數不多,但仍建議需要加強資安的防範. 因為筆電的使用還是有一定比例

  1. 防火牆 建議買現有人數的一倍較為足夠.如此就算人數增加也不至於過度擔心效能問題. 日後人數增加到一定數量. 公司擴大自然願意投資更多在設備上.
  2. core switch 主要作為vlan 且具有router 功能. 有不同部門甚是可以切網段去使用.
  3. fileserver + nas . 要更好的防護當然是兩台server 互為備援. 要簡單就是一台server +一台nas 定期備份
  4. 無線網路建議可選可改兩個ssid 的韌體產品. 去做客戶與內部使用區分

要更簡單嗎
防火牆 , 接一台24port switch 給大家用. 要更單純全都在同一網段 20幾台不用切網段了. fileserver 一台, 資料少自己定期用外接硬碟備份. 也避免勒索病毒問題 . 無線網路接個幾台用用就好. 單純又好維護. 但日後要擴大要慢慢調整就是

我要發表回答

立即登入回答