iT邦幫忙

5

公司辦公室網路架構(附圖),求指導

目前待的公司規模不大,短中期員工數最多25~30之間
現在平均同時運作的PC有14台(有線),筆電5台(無線)

老闆希望可以建構區網方便內部人員的資料交換
未來資料量增加會增設NAS雲端儲存器(老闆也想要資料檔案權限劃分管理)

目前公司網路環境是
Hinet----IP分享器(老闆朋友提供4年前機種)---四個雜牌Hub----各PC
似乎因為四個Hub導致不同網域,所以處於沒有區網的狀態

爬文試著拓樸,再麻煩各位指導
https://ithelp.ithome.com.tw/upload/images/20180623/20110423C1TA4JqgX5.jpg
1.如果我這樣配置的優、缺點
2.還有IP分享器有其他推薦嗎?
3.未來NAS雲端儲存器要接IP分享器還是24阜Hub比較好呢?
4.以上的配置如果可行,筆電(無線)是否也在區網內?
5.網路資安部分需要如何強化?

P.S公司目前網路似乎不到100M,是配合辦公大樓申辦的(老闆說他申請完就忘了)
小弟非本科單純爬文了解,觀念錯誤的部分再麻煩各位指正,謝謝!

看更多先前的討論...收起先前的討論...
newkevin iT邦高手 1 級 ‧ 2018-06-23 18:21:01 檢舉
線路問題
應該看帳單就知道
順便確認附掛電話 跟申請內容..
( 帳單電話 或上網搜尋)
mygod0205 iT邦新手 5 級 ‧ 2018-06-23 19:26:34 檢舉
好的,我再看看
zyman2008 iT邦大師 8 級 ‧ 2018-06-24 12:00:28 檢舉
如果買內建無線的路由器, 設備擺放的位置容易受限制.
建議兩個腳色分開, 路由器 + 無線基地台. 這樣個別選擇的彈性也比較大.
yenchang iT邦新手 5 級 ‧ 2018-06-24 23:15:05 檢舉
因為網路規模不到 32台電腦,可用8 Ports Layer 2 Giga bit Switch 骨幹集線交換器,大辦公室可用24Ports 10/100 Layer 2 Switch 但有1 Gigabit Port 連接骨幹集線交換器。503室及會議室可用 4-8 Ports Layer2 Switch
lonsin iT邦好手 1 級 ‧ 2018-06-25 01:04:40 檢舉
現在還有人在規劃10/100的Switch?!
10G的時代已經來臨了! => 下一世代
1G已經算現在的主流規格
mygod0205 iT邦新手 5 級 ‧ 2018-06-25 09:17:32 檢舉
@yenchang 謝謝回復,目前503其實沒使用到,未來人員更多老闆才有機會進到503辦公,會議室部分目前也只有礦機(目前已直連為主),未來使用率提升會再分個Hub過去吧,所以這兩個部分算是我預留的
另外針對Layer 2 Giga bit Switch跟一般式的還在糾結是否直上L2啊...
mygod0205 iT邦新手 5 級 ‧ 2018-06-25 09:19:35 檢舉
@lonsin 謝謝提醒,規格部分我在注意一下
lonsin iT邦好手 1 級 ‧ 2018-06-25 14:07:34 檢舉
mygod0205
1G的傳輸理論值是125MB/Sec => 請注意是「MB」
100M的傳輸理論值是12.5MB/Sec => 差了十倍
貴公司買的NAS一定是Giga Port,屆時老闆如果問,為何傳輸效能那麼慢!看你如何解釋!
lonsin iT邦好手 1 級 ‧ 2018-06-25 14:11:28 檢舉
另Switch基本上都是Layer2設備,差別在於有無管理介面(可設定VLAN)
而我貼的Cisco C3750G是Layer3設備,多「路由」的功能,當然也有涵蓋VLAN的功能
跑得快 iT邦新手 5 級 ‧ 2018-06-26 11:46:10 檢舉
礦...礦機OAO!
goodnight iT邦研究生 4 級 ‧ 2018-06-28 21:37:55 檢舉
HUB 或 SWITCH HUB 是不會造成4個網域, 正確說, 應該是4個工作群組吧?
請先檢查每一台電腦的工作群組, 除非你的佈線有問題, 跟你畫的圖不同

通常第一階的 SW. HUB 會是較高階的, 至少1G/24PORT 機種,

照你畫的圖, 是沒有太大的問題,但503/會議室/小辦公室可以合用一個16PORT的SW.HUB

NAS 放在 24 PORT比較好, 麻煩你把 24PORT 的型號提供出來
achan iT邦新手 3 級 ‧ 2018-06-29 10:10:33 檢舉
@goodnight 說的有理
1.)應該是工作群組不同而非四個網域。
2.)switch 背板頻寬是否足夠影響未來分享(速度/體驗)考量。
3.)目前畫法能用就先這樣--->規劃太好,老闆會覺得浪費亂來($計較時)
---->現在沒問題,可先把想法放著,等到"有雜音"出現再出面解救。
4.)檔案分享/權限... 要看貴公司的網路傳輸主要為何(工作內容)? 讓大家知道可以幫你預先想到未來可能遇到的問題。
mygod0205 iT邦新手 5 級 ‧ 2018-06-29 12:40:33 檢舉
@goodnight @achan感謝回復
上圖其實是我想變更成的樣子,也不是說要弄太好,
只是希望留有擴充空間,不要因為後續一有變動就淘汰大部分設備...

目前的狀況是(ADSL)-(D-LINK DIR-619L)-(四孔交換器*4)-(各PC)
是最簡易的連接方式

公司目前主要傳輸圖片及文書資料後續可能會有金流部分的資料
我會先檢查各電腦的工作群組
mygod0205 iT邦新手 5 級 ‧ 2018-06-29 12:43:09 檢舉
@newkevin 網速部分跟會計確認帳單後目前是使用100M/40M
1. 礦機請直接接小烏龜就好,不要接到內部網路內
2. NAS 請直接接主要交換器就好,不要直接接分享器,除非你的NAS 有NAT對外
3. 分享器不要開 DHCP ,會影響效能,不要用 AC88U,找一台比較OK的分享器會比較好,可以考慮多WAN 分享器,居易的可以問門神,你不會後悔的
4. 無線分享器只要做BYOD的中繼設備就好,最好直接接小烏龜,不要讓BYOD 的裝置進內部網路
5. 24PORT 的 1G 分享器 + 10G SFP *4 的L2 交換器設備,是個人建議的,另外的幾個辦公室都上 8PORT + 10G SFP*1 or 2 ,交換器之間的速度請拉到 10G
6. NAS 請考慮買有 10G SFP 的機種,速度才夠
7. 請規劃微軟的 AD 網路架構,幾十台電腦沒AD管理做身分驗證與管理權限,樓主的心臟蠻大顆的
8. 架構AD之後,用 SERVER 的 DHCP 服務會比較好
說真的買台居易應該可搞定, 原本的 AC88U 還可拿來當備援 , 平時就來當 wifi 橋接 , 或是您熟 ROS 也是個好選擇。
買 UTM ...比較貴老闆花不下去吧 .... XD
1
lonsin
iT邦好手 1 級 ‧ 2018-06-23 18:25:36
最佳解答

第一個疑問?為何有『礦機』?
Hub?應該是Switch吧? => 建議購買一台48Port Switch (Giga)替換24Port Switch (含其他Hub)與重新佈線 => 除了佈線成本較高,48Port Switch (Giga)其實不貴
NAS接法位置不對? => 直接接Switch => 原接法頻寬瓶頸會落在AC88U上
權限控管 => AD或NAS帳號管理(人數少還OK)
由於AC88U => 應該是華碩吧?效能還不錯,可以沿用 => 如無安全疑慮,與有線網路設同一網段即可
似乎因為四個Hub導致不同網域,所以處於沒有區網的狀態 => 應該是網段,不是網域 => 所有PC與NB重新規畫一個Class C網段或使用AC88U現有的Class C網段
以上

看更多先前的回應...收起先前的回應...
mygod0205 iT邦新手 5 級 ‧ 2018-06-23 19:36:01 檢舉

感謝你的回答
1.礦機是老闆的玩具
2.NAS我再改接Switch
3.AC88U還沒入手,評價真的不錯但價格也是很硬NT8990
AC88U沒入手前,是否可以用原本老闆朋友贊助的舊IP分享器就好
如果可以,那優先購買48Port Switch (Giga)會不會比較好
5.網段的部分我在了解一下

lonsin iT邦好手 1 級 ‧ 2018-06-23 23:24:13 檢舉

AC88U還以為是已經使用中的無線基地台!
舊的IP分享器?有廠牌型號嗎?有無線嗎? => 若太老舊或無無線功能,則建議購買新的
至於買哪種等級?先問老闆的預算吧!
總不可能以滷肉飯的價格硬要吃雞腿便當吧?
優先購買48Port Switch (Giga)會不會比較好 => 會比較好,但建議需重新佈線 => 此部分可能會比48Port Switch (Giga)貴

mygod0205 iT邦新手 5 級 ‧ 2018-06-24 11:04:15 檢舉

舊的型號要等明天上班確認一下,
48Port我在優先處理!

lonsin iT邦好手 1 級 ‧ 2018-06-24 14:16:08 檢舉

如果華碩AC88U這種價格都可以接受了!倒是可以考慮「居易(Draytek)」這個品牌,此部分可呼叫「門神」大大為你釋疑

lonsin iT邦好手 1 級 ‧ 2018-06-24 14:22:49 檢舉

如果不介意使用二手貨,可以至露天拍賣購買Cisco C3750G 24Port Layer3 Switch,價格約莫兩千多,可多買兩台當備品
此台可以打趴一堆Switch! => 是Layer3不是一般Layer2的Switch喔!
可以順便練練Cisco指令,如果有想考CCNA的話
https://find.ruten.com.tw/s/?cateid=001100070004&q=C3750G&sort=prc%2Fac&style=list

mygod0205 iT邦新手 5 級 ‧ 2018-06-25 09:22:25 檢舉

@lonsin 「居易(Draytek)」我去谷歌一下
好喔,Cisco C3750G 24Port Layer3 Switch我會列入考慮,為了將來現在只能好好學習

引用 ZMAN說的話

因為四對線同時全雙工高速傳輸
我說這是照妖鏡
過去有問題的佈線系統通通見光死

所以別以為上了 1000M (GIGA) 的設備,網路就會變快

lonsin iT邦好手 1 級 ‧ 2018-06-25 09:42:49 檢舉

竹本立里
線材至少Cat6,接頭按標準壓製 => 除非線的品質非常差,不然現在的PC/NB的網卡,幾乎都是Giga,再怎麼爛,也比10/100M強上幾倍

mygod0205 iT邦新手 5 級 ‧ 2018-06-25 11:44:58 檢舉

@lonsin 公司公司目前使用的是D-Link的DIR-619L

lonsin iT邦好手 1 級 ‧ 2018-06-25 13:49:47 檢舉

mygod0205
D-Link的DIR-619L,建議換掉吧!
華碩AC88U或居易(Draytek)都可以考慮一下,至於Fortigate UTM,功能雖然強大,但售價與後續維護費用不便宜 => 買Fortigate沒簽維護,不如不要買 => 無法更新特徵碼

mygod0205 iT邦新手 5 級 ‧ 2018-06-25 14:54:28 檢舉

@lonsin 居易(Draytek)2926好像不錯,同事提醒我不要弄太難,怕東西來了我設定不好無法上網我就GG了,再想是否先偷懶請經銷商先期處裡,後續再靠自己去摸熟設備

lonsin iT邦好手 1 級 ‧ 2018-06-25 15:32:53 檢舉

請呼叫『門神』=> 居易(Draytek)的老大

我不是老大啦 !
我是小小經銷商 ^^
賣安勒啦,我會被居易(Draytek)的老大貢咖稱

lonsin iT邦好手 1 級 ‧ 2018-06-25 19:28:10 檢舉

門神不是地下總司令嗎?

mygod0205 iT邦新手 5 級 ‧ 2018-06-26 09:11:02 檢舉

已追蹤門神大
在陸續拜讀門神大的文章

0
bluegrass
iT邦研究生 5 級 ‧ 2018-06-23 19:08:40

"各PC似乎因為四個Hub導致不同網域,所以處於沒有區網的狀態"

我猜你的24 ports switch有用不同的VLAN,
然後你的 Switch 的 UPLINK 都接到這vlan上

現在沒hub買的了
有的只能把 Switch 上的 ARP table 關掉來模擬成 Hub

話說AC88U是三小?

好好的買個 Fortigate 跑 UTM 不好嗎?

假設

那日如果你某伺服器要用一個指定的WAN IP上網
同時普通用戶上網要另一個指定的WAN IP上網
WAN線就只能有一條
你AC88U要怎設定?

看更多先前的回應...收起先前的回應...
mygod0205 iT邦新手 5 級 ‧ 2018-06-23 19:44:59 檢舉

謝謝你的回答
https://ithelp.ithome.com.tw/upload/images/20180623/20110423tppPFMEcHN.jpg
想入手這個,提升網路效能
Fortigate 跑 UTM這個第一次看到,我再研究看看
知識方面欠缺頗多,所以可能沒考慮到很全面
謝謝指教,我再多爬文瞭解一下

lonsin iT邦好手 1 級 ‧ 2018-06-23 23:31:37 檢舉

看公司規模與需求吧?
如果一台無線分享器能做的事,需要拿Fortigate UTM嗎?兩者價差不小
誰說只有一個WAN IP無法同時提供Server與使用者同時使用?如果發問者公司只有固定一個IP(搞不好還是假固定IP)或根本沒有固定IP,買Fortigate UTM,會不會大材小用?

mygod0205 iT邦新手 5 級 ‧ 2018-06-24 11:06:24 檢舉

目前跟未來,公司規模短期不會成長太快,所以有些單價較高的產品會先pass,但也很謝謝專業建議,我先筆記起來,若公司好好發展應該有機會用到?

bluegrass iT邦研究生 5 級 ‧ 2018-06-24 12:16:13 檢舉

如果真的沒錢那不如用 VM PFSENSE 免費的軟路由 都要比ASUS好

我可沒說只有一個WAN IP無法同時提供Server與使用者同時使用

而且如果沒固定IP就更應該要買Fortigate

Fortigate就有送DDNS

即便不買UTM, 只是設備本身都是非常高性價比

日後建IPSEC VPN/SSLVPN都比ASUS的PPTP/L2TP要安全

ASUS又不能針對個別DOMAIN USER做FIREWALL POLICY

公司用ASUS會不會小材大用?

再說他司如真有VLAN用ASUS是要怎樣TRUNK, 跑DD-WRT嗎?

mygod0205 iT邦新手 5 級 ‧ 2018-06-25 09:27:53 檢舉

@bluegrass 謝謝提議,其實說實話ASUS暫定選這個可能是很多人推薦好用設定也簡單,我可能因此沒好好考慮到資安方面,我在做做功課

0
hsiang11
iT邦研究生 4 級 ‧ 2018-06-24 02:08:15

AC88U的確夠用了 也算是中高階
底下在接兩台24 PORT Gbit搭配一個網段也可以簡單的用

另外Fortigate我也覺得非常重要,這是一家公司資安的基礎
而且也不會很貴 60E差不多兩萬多
可以取代88U的角色讓它撥號
因為一家公司的內部人只要一多 什麼亂搞的人都會出現
一般的AP只能防外無法防內,防火牆就是要做到多面的防禦
像遠端開的亂七八糟是每家公司都會有一堆人想幹的 沒事下班後還連進來搞些什麼也不知道
那要進來砍資料偷資料也是很簡單的事,買NAS是沒啥作用的
遠端和P2P都是公司必鎖的服務

而且現在的病毒非常強大 光wannacry一進來就掃描內網的電腦
一些基本的網段分割也很重要,這些不是光AP就可以簡單做到的
所以可以的話還是要有防火牆跟VLAN
VLAN不會也沒有關係 以30台內切兩段網段分開安全很多
像我公司也是有PC去連到挖礦網頁,第一關就被UTM擋下了
既然是公司就不要過度省,尤其要接IT要有各方面多學的心態

看更多先前的回應...收起先前的回應...
shaomoon iT邦新手 5 級 ‧ 2018-06-24 10:29:05 檢舉

2萬只能買到60e主機,買不到utm 授權...買主機加個3年tim 大概就要8萬起跳

shaomoon iT邦新手 5 級 ‧ 2018-06-24 10:30:40 檢舉

是UTM不是tim,剛打錯

mygod0205 iT邦新手 5 級 ‧ 2018-06-24 11:10:58 檢舉

謝謝回答
資安方面範圍真的很廣,目前也在多瞭解
說實話小弟什麼都不會只能多谷歌
公司剛起步,希望一小步一小步紮實建構網路系統!
讓錢都花在刀口上

chou0214 iT邦新手 5 級 ‧ 2018-06-24 12:58:01 檢舉

路由器還沒入手的話,建議買有線路由器另購無線AP,使用起來會穩定很多。
路由器建議買含SSL VPN的商用品牌,以後彈性比較夠。入門等級如Draytek,或是Fortinet。
你們之後遠端存取NAS應該用的到。
Switch部分,用central Switch概念的接法就好了。

mygod0205 iT邦新手 5 級 ‧ 2018-06-25 09:29:30 檢舉

@chou0214 好的,謝謝建議
今天一看好多建議,我在依序好好爬文了解一下

innovaig iT邦新手 4 級 ‧ 2018-06-25 10:06:03 檢舉

用Fortigate就是把錢花在刀口上啊,買 88u 做啥,之後人多還是一樣要換掉,那還不如直接一開始就用好,避免日後又再花錢

hsiang11 iT邦研究生 4 級 ‧ 2018-06-25 10:48:39 檢舉

不能說88U沒用吧 可以專處理無線部份
fortiAP的產品雖然好管控 可是爛爛的

hsiang11 iT邦研究生 4 級 ‧ 2018-06-25 10:49:08 檢舉

不能說88U沒用吧 可以專處理無線部份
fortiAP的產品雖然好管控 可是爛爛的

0
竹本立里
iT邦新手 1 級 ‧ 2018-06-25 09:21:25

為什麼會用 AC88U??
AC88U的 NAT 效能有多少??

mygod0205 iT邦新手 5 級 ‧ 2018-06-25 09:53:02 檢舉

@竹本立里 效能方面啊...請問需要考慮哪些效能比較好呢?
單純很多人推她很穩定設定簡單,所以目前暫定AC88U

很多人推薦他......是哪種人,
是END USER 推薦還是 IT推薦, 就算是IT推薦是在何種前提下推薦??

企業不是家庭,思考模式不一樣....

1
lions4917
iT邦新手 4 級 ‧ 2018-06-25 11:57:40

當面指導比較好
有需要請MAIL我 , 帶工程師去瞧瞧 , 新竹以北佳
simonliu@simonliu.homeip.net

mygod0205 iT邦新手 5 級 ‧ 2018-06-25 15:00:51 檢舉

好的,感謝

1
dragonforce
iT邦新手 5 級 ‧ 2018-06-25 14:33:36

從你們公司現況和你問題的問題, 我猜你們不會有打算花太多錢和時間在這事上, 那我就針對你的問題, 給你一些實際的回覆, 不是叫你改買一堆東西.
1&3. 你目前配置的最大問題是, 就是你所說的 "..似乎因為四個Hub導致不同網域,所以處於沒有區網的狀態", 按你的圖, 你應先去查那台 "24埠Hub"的設定, 看為什麼導致 "沒有區網狀態", 唯一有可能是那台上面被設了VLAN, 或是你根本誤會了 "沒有區網狀態", 其實是有的!!

再把NAS移接到"24埠Hub", 倒不是怕吃AC88U資源, 而是怕萬一它出問題的時候, 辦公室的人都還能連到NAS, 你壓力比較不會那麼大!
另, 糾正一下, 你那些"Hub" 應都是 "switch", "Hub" 絶跡江湖十年不止了吧! 那是舊時代的統稱, 別再用了.
只要你把以上解決, 你們辦公室網路基本上就可堪用了!

2&4. 如果公司真要投資點設備, 那我建議你不如投資一顆AP, 家用路由器的WiFi在辦公室用的下場就是三不五時你就要去重開它! 尤其是老板跟你說無線怎麼又連不上了!! 買個商用AP吧, 我覺得國產的合勤就不錯了啊 ? 不知道為什麼你這麼小的環境還要用到Cisco, Fortinet !? 我們公司就用Zyxel NWA1123ACv2 快一年了, 蠻穩的. 而且他們最近支援雲網管, 最適合小公司兼差的IT, 因為你隨時那哪都可以連回去看出什麼問題, 不用怕人在外面被call.

  1. 公司要投資資安的話就買顆防火牆吧, 你們確定走到這兒再說吧.
mygod0205 iT邦新手 5 級 ‧ 2018-06-25 15:03:26 檢舉

好的,感謝回答

lonsin iT邦好手 1 級 ‧ 2018-06-25 19:33:06 檢舉

Cisco Switch請注意是「二手」!
二手雙B的車子(前一世代),應該可以打趴一堆國產的新車吧!

achan iT邦新手 3 級 ‧ 2018-06-29 10:14:57 檢舉

真的推薦買2手大廠(cisco hp)產品

0
allen1975
iT邦新手 3 級 ‧ 2018-06-28 16:58:51

既然是公司用
設備最好買商用款. 才不會常常出問題

  1. switch 1G 是標準配備
  2. 出外網的設備最好買防火牆.耐用又安全性較高
  3. 要不要切vlan看你自己
  4. 礦機 ? 我只能說 要網路掛 只要一台電腦就可以. 這類東西最好不要跟公司網路掛再一起.
mygod0205 iT邦新手 5 級 ‧ 2018-06-28 17:36:06 檢舉

好的謝謝你的回覆

0
yoyo58588
iT邦新手 5 級 ‧ 2018-07-03 17:05:38

看起來目前的規劃應付大部分的使用應該沒問題
我的建議跟樓上幾位大大差不多
資安的部分需要建構獨立防火牆(Cisco,juniper,Fortinet),資安問題有時候可大可小。
但也是滿重要的。
未來資料量大的話,也可以採用vmware 做資料備份及系統備份。
不過還是要看你整體的預算,再來一步一步搭建上去。

mygod0205 iT邦新手 5 級 ‧ 2018-07-04 00:32:08 檢舉

好的,感謝你的回覆

我要發表回答

立即登入回答