iT邦幫忙

0

公司網路架構規劃請益 (2020.09.23更新)

Levi 2018-09-25 15:03:364737 瀏覽
  • 分享至 

  • xImage

各位先進大家好,
時光飛逝,已經過了兩年了,來更新一下目前狀況,

公司準備遷到新建的廠房,所以就趁機敲了老闆一筆~

  1. 目前 Server 改成 VMware vSphere7 EssentialsPlus host x2 + storage,做vMotion。
  2. 網路部份Edge-core ECS4620-28F + HP 1920S 數台
  3. 有買一個server 2019授權,會安裝兩個虛擬機做DC,另外有買幾個device CAL,後續再每年慢慢補齊。

目前規劃要做內、外網分開,
有幾個問題想請教各位先進,

  1. DHCP誰做?DC?Edge-core?防火牆Fotigate 80E?
  2. VLAN要切幾個?
    2.1 因為新廠房保全、門禁、空調、機電等都要用到大量IP,所以以上設備想要隔成一個內網網段。
    2.2 DC、ERP、行政等等的,隔成一個內網網段,以後還會加上「機聯網」的機器設備。
    2.3 外網自己一個網段。
  3. 外網使用者也會需要用到ERP,不知可否設定routing讓外網vlan能連到內網vlan某些ip呢?

目前準備和廠商再討論要怎麼去做規劃,
不知各位先進有沒有什麼建議?
再請各先進不吝指教,非常感謝。

=============================================================================
2018.09.25

大家好,小弟是一個半吊子MIS,剛換到一個新環境,
目前公司可以說是無資安可言…,所以想試著重新規劃整個網路架構。
小弟我網域架設從無到有可以一手包辦,有MCITP證照(雖然是沒啥用的證照…),
但對於網路設備方面就比較不熟了,故上來請教一下各位前輩,
目前已有一些想法,想請各位前輩看有沒有需要改進的地方,謝謝。

以下先說明目前的架構:
1.目前公司約莫二十台電腦左右。
2.無網域架構。
3.有二台伺服器等級主機,其中一台是VMWare,主要是跑ERP。
4.電腦可上網,防火牆(Fortinet)採中華電信資安艦隊,兼作DHCP伺服器、VPN。
5.E-mail使用Gmail企業用信箱。

目前想法:
1.架設網域,及作DHCP伺服器。
2.網路分成兩段,分可上網及不可上網,方式用vlan或直接用兩台switch hub分成兩個網段。
但對於架設vlan沒有實際經驗,目前有兩台L2 switch,型號為HP 1620-24G。
3.防火牆一樣使用中華電信資安艦隊,到期後設備歸公司所有,不知到期後不簽約的話,
防護會不會有問題。

以上是目前小弟所想到,因為公司目前規模還不大,
所以只能依現有設備再去做改善,要花錢可能比較難,
還請有規劃整個網路架講的前輩,能給小弟一些意見,謝謝大家。

看更多先前的討論...收起先前的討論...
這個月剛遇到,跟中華電信做的資安艦隊(續第一年),附的一台設備80C掛掉,送修到返回,剛好2個星期,送修期間是用公司的舊80C當備機,先想好最壞情況,再去規劃,備份、備援、備案。
1. 同門神說 建LAB 測試
2.1 只有L2 switch ,那路由要誰負責??
2.2 比照舊公司,伺服器全部上兩張網卡?? 那印表機分享器.事務機 之類的也是比照辦理嗎? 或是透過印表機伺服器處理??
3.據我所知 fortigate 的設備 如果到期後不簽約,就沒防護功能,只剩一般的附載平衡器功能
Levi iT邦新手 4 級 ‧ 2018-09-25 16:48:08 檢舉
1.其實也是沒有額外的設備去架LAB啦,頂多先把網域用起來而已。
2.1.路由誰負責的意思是?連外網嗎?
2.2.基本上也只有其中一段比較有用一些網路設備。
3.這樣啊,網頁過濾之類的功能應該是機器內建的吧?
1. 直接把現有的東西上網域?? 都不用先測試嗎??

2.1 跟2.2 是指同一事情喔
假設 192.168.0.X 跟 192.168.1.X
.0.X 可以上網
.1.X 不能上網
這樣 資安艦隊的網段設定成.0.X
伺服器可以裝兩張網卡
但那多功能事務機或是印表機或是其他設備 透過網路連線的話
那要怎麼讓 .0.X 跟 .1.X 兩個網段的電腦都同時可以連線

3.一般的附載平衡器功能 也有內建網頁過濾功能呀,但就是要IT 自行維護而已
20人,AD用 VM架就好,問題是設定檔轉移的部分,這部分要花的時間比較多
接下來是內部服務的規劃,檔案分享的規劃,外部服務的規劃
至於要不要 VLAN,你應該要看公司發展計畫有沒有增加部門人手的打算,例如3-5-10年的員工人數成長率,業績成長率
去看你IT環境的擴展可能性,必要的外包計畫,公司網站,共應商管理,客戶管理,知識管理
IT 只要有預算,要搞都很簡單,沒預算,你不用想太多
還有弄 AD,你們授權數夠了沒,多一台還是直接架,還是架VM,這些你要考慮清楚
最重要的就是備份備援計畫的實施,該如何做,成本多少,如何演練,這些都要規劃
還有 IT 的績效不是省下多少錢,就算你一年能省下三五百萬,你的年終也不會多幾十萬的
該花就要花,只要能提升績效,那就是IT人員的成就,也是你跳槽的資本
Levi iT邦新手 4 級 ‧ 2018-09-25 18:42:21 檢舉
回竹本桑:
1.預計架AD的server目前就是閒置的,所以可以直接架起來用。
2.比較有問題的應該是網路印表機或事務機,通常只有一張網卡,如到時兩段都要用就裝列印伺服器了,不過如果是用vlan的話應該就能透過設定讓兩邊都通了對吧?
3.好的了解,謝謝。
Levi iT邦新手 4 級 ‧ 2018-09-25 19:05:02 檢舉
回發發發:
1.其實我也想架在vm上,可是我沒有作業系統的授權,要也是直接架在現在的erp伺服器上了。
2.AD的授權數我也還搞不太懂,像我有二十台電腦的話,我就要買二十個授權數嗎?查了一下好像也不是這樣算…而我前公司一百多台電腦也沒買什麼授權數,只有買exchange的授權數而已…
3.目前是沒有什麼預算,所以只能依現有資源來做…
4.至於公司發展,業績是越來越好,但大多自動化及非電腦使用人員比較多,個人覺得之後也不會多太多電腦,加上應該也不會自架mail server,會做兩台DC來備援,網域架構可以說非常單純…

感謝您的建議喔~~
froce iT邦大師 1 級 ‧ 2018-09-25 21:51:27 檢舉
因為單位目前沒防火牆,正在規劃中,不知道下面想法是否可行。
1.因為你才20台電腦,用1個網段就夠了,例如:用防火牆192.168.1~20讓他可以上網際網路,21以後不行這樣去規劃。這樣才不用處理routing的部分。
2.AD用什麼架沒什麼差,但是要買user/device CAL。
3.等到有預算的時候,買L3的router後,看要不要切網段和做routing。當然,最好是切vlan來做。
4.其實最麻煩的是進網域後windows 設定檔搬移,建議AD趁現在組織小趕快做。
"直接架在現在的erp伺服器" ,心臟好大顆
基本上現有的伺服器授權每一台都買足了,那麼把 AD 架在 VM 上,只需要再買 這台AD 的 CAL 而已
建議是 AD服務不要跟別的服務混在一起,很容易死人的
設定檔要處理好,小弟搞過50人的環境,只敢一台一台處理,全公司搞定也是好幾個月了
現在有設定檔指派工具,改個權限,做好指向就行了,但是這只是基本,後面的服務要跑起來,還是要一堆的設定跟教育時間
心臟好大顆<<<真的 ^^
如果不是用2.2 模式的列印伺服器,
用vlan的話應該就能透過設定讓兩邊都通了對吧? 就是要有L3 switch 的路由才有辦法
[門神JanusLin](/users/20001416) 心臟好大顆大概就是成語的初生之犢不畏虎
以貴公司的規模,我會把另一台Server也做成虛擬化然後買一台NAS,連到這兩台host,互相當備機使用,至於人數這麼少...不用切VLAN了,而DHCP伺服器的話,我一般不會拿firewall或者router來做,我會直接做一台DHCP伺服器,不過只有20人的話應該是沒關係的
Levi iT邦新手 4 級 ‧ 2018-09-26 10:03:50 檢舉
感謝各位的建議
1.ERP伺服器總共有四台虛擬機,目前ERP是還沒有上線,AP和DB的部份當然是不會動,應該會把備援DC架在不用的BI上,主要也是當備援DC用,服務也不會在這台。
2.小弟我也工作十年有了,之前公司的架構都是已經很完整的,資源也比較多;目前公司則是成立十幾年的公司,所以也只能先這樣,等後續ERP上線後,會再建議VM備援的部份。
3.慘的是,上述所說的閒置伺服器,預設是ERP AP和DB的備援機…真不曉得之前ERP公司是怎麼協助規劃的…
Levi iT邦新手 4 級 ‧ 2020-09-23 15:17:44 檢舉
推一下~~
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
0

新上任
既然沒經驗
建議先備份好設定檔
公司不是 Lab
建 Lab 也要花點實習費
Lab ok 了
才能更改現有的架構

Levi iT邦新手 4 級 ‧ 2018-09-25 16:08:27 檢舉

您好,
其實也不是沒經驗,
只是以前都是用比較簡單的做法,
例如之前有切過三個網段的,
方法就是用三個switch hub和server三張網卡直接分開,
所以這次想說是不是用vlan來架設看看,
另外目前公司網路架構就是一直線連出去…
因之後會遷廠,所以那時會趁機會整個建立起來,
目前就先做規劃及事前準備,
像伺服器及網域部份我就可以先架設好,
之後再一一加網域即可,
感謝您的建議喔。

那就先找範例吧 !

0
ks1217
iT邦研究生 1 級 ‧ 2018-09-25 18:21:22

Hi Sir,
如果是我的話

  1. 把另外一台Server先虛擬化到VMWare那台主機, 然後把另一台實體主機也安裝VMWare, 之後盡可能採購一台Storage連接兩台HOST, 達到互相備援, 服務不中斷.
  2. 如果只有幾十個人, 切VLAN倒不是那麼必要,
  3. 都用上FortiGate了, 指定一段IP 例如 .0.100 ~ .0.150 設定這些IP可以上網, 其他不能上網就好.
  4. 假設以後人多了, 在採購Core來做VLAN為佳
看更多先前的回應...收起先前的回應...
Levi iT邦新手 4 級 ‧ 2018-09-25 20:52:19 檢舉

1.VMWare部份應該是無法更動了 外我也沒有Server的授權可以用了,頂多把其中一台升級為AD當備援了。
2.我目前也是這麼想啦。
3.原來還可以這樣啊,目前是用FortiGate當DHCP,之後用Server當DHCP的話,也可以在防火牆上設定嗎?
4.感謝您的建議。

ks1217 iT邦研究生 1 級 ‧ 2018-09-26 09:17:26 檢舉

Hi Sir,

  1. 我覺得第一項可以跟長官要看看, 畢竟一台主機仍有故障的風險, 假設ERP系統故障, 需要花多少天才能復原, 可以問問看授權, 印象中, 實體主機的一個授權可以提供兩台虛擬電腦的授權(不知道有沒有變).
  2. 防火牆只會依據規則進行處理, 不管是哪台DHCP派發的IP.
Levi iT邦新手 4 級 ‧ 2018-09-26 10:20:51 檢舉

1.因ERP尚未上線,待準備上線時會再和長官說明目前的情況。
2.了解,謝謝您。

ks1217 iT邦研究生 1 級 ‧ 2018-09-26 10:30:39 檢舉

您可以說, 當備援的那台買了不用很浪費放久了說不定也會壞掉, 不如也裝VM起來運作, 物盡其用阿~ 只差一台Storage就可以達到很基本的永不停機了.

Levi iT邦新手 4 級 ‧ 2018-09-26 10:41:17 檢舉

目前閒置那台我已經在準備升級成DC了,裝VM的話,問題是沒有軟體及授權啊~而且硬碟只有兩顆SAS 300G做Raid 1…我都不知道該怎麼辦了…感謝您的建議喔~~

ks1217 iT邦研究生 1 級 ‧ 2018-09-27 11:25:38 檢舉

300GB 做RAID1, 那廠商要如何把它當備用機?? 資料庫不大? 假設ERP主機掛掉, 備用機如何上線?? 要請廠商實做一下喔.
VMware免費版也可以啊~ 只是移轉跟備份要用手動的, 而Windows Server授權, 你的備用機本身有採購Windows授權嗎?(機身貼紙?),如果有, 就可以在VM or Hyper -V上安裝兩套Windows Server(合法授權)喔.

以下為Microsoft 授權說法:
Q.若使用 VMWare,Windows Server 該如何計劃授權?
A.客戶使用VMware依然需要為每一個虛擬機器上使用到的 Windows Server 取得授權。當您購買 Windows Server 2016 標準版並將使用授權指派給該台運行 VMware 的實體機器時,只得以在 VMware 上運行兩個 Windows Server 虛擬機器。

購買 Windows Server Datacenter 版並為該台實體伺服器上所有已安裝的核心取得授權時,即得以在 VMware 上運行無限多個免費的 Windows Server 虛擬機器。

https://rightlicensing.azurewebsites.net/Question.aspx?category=6

0
runan5678
iT邦研究生 1 級 ‧ 2018-09-26 09:17:14

資安的重點在規範與如何落實規範,如果是因為資安因素想調整網路架構,要先釐清目前的架構上有什麼資安缺點進行改善比較能得到支持

至於架構調整主要就看熟不熟(或找到廠商協助)處理目前使用防火牆的設定和效能上的評估因為很多功能防火牆可以處理掉,包括:IP能否上網,rounting,vlan...等

Levi iT邦新手 4 級 ‧ 2018-09-26 10:53:04 檢舉

好的,了解,感謝您的建議。

0
mytiny
iT邦超人 1 級 ‧ 2018-09-26 10:41:27

可惜樓主沒有說明Fortigate的型號及OS版本
況且資XX隊,也不會幫樓主好好規畫使用Fortigate,可惜了

在下建議,首先,將防火牆的LAN開放成獨立的埠口
每個埠口都可以做DHCP Server(可以IP&MAC綁定)
這樣就不必另建DHCP Server

其次,路由就可以不用設了
只要設定埠與埠之間的防火政策即可
交換器可以各自接在不同埠口

第三、無論有沒有購買服務授權
樓主都可以用到防火牆的管理功能
內建設備管控(BYOD)與帳號管理(還有訪客管理)
在萬一連買AD授權的經費都沒有的狀態下
也可以發揮極大的管理作用(IP+ID+MAC)

綜上,其實樓主只要能善用手裡的Fortigate
公司幾乎想要的功能都可以做到(有經費時再做安全織網吧)
老闆不花錢就可以達到很多管理及資安
樓主順便可以練練防火牆功力
或許會是最省錢的方案吧

看更多先前的回應...收起先前的回應...
Levi iT邦新手 4 級 ‧ 2018-09-26 10:52:28 檢舉

您好,感謝您的回覆,
防火牆型號是FortiGate 92D v5.2.11,build754,
目前我也是一直在看防火牆的相關設定,
每個埠口都可以做DHCP Server?
這功能要好好來找找!
只不過沒有AD還真不方便,
每台電腦都要設定本機登入帳號,
檔案、資料夾分享、權限也難設定,
非常感謝您的建議喔~~

mytiny iT邦超人 1 級 ‧ 2018-09-26 11:08:39 檢舉

樓主的OS版本非常非常舊了
在下幫忙確認了一下,設備最高可以升級到6.0.2
建議可以先使用 FortiOS 5.6.6
光是網路結構圖及Fortiview就差別很大了
其他服務功能也有不同差別

一般企業,在下明白確實習慣使用AD
在下只是說"萬一沒有建立AD經費"情況下
防火牆可以幫樓主發揮甚多管理及資安功能
即便建立AD後,也可以採用FSSO的功能(免費)
與BYOD功能結合後可避免user私帶設備聯網的資安問題

善用FG-92D吧,
應該會給樓主不少實質上的幫助

Levi iT邦新手 4 級 ‧ 2018-09-26 11:59:08 檢舉

您好,目前是有一個韌體更新,版號是5.2.13,
不知道是不是就是您說的FortiOS?
升級應該會要重啟機器,
要另找時間來做,
另不知道升級後對中華電信的資安艦隊會不會有影響?
非常感謝您的建議,
真的要來好好研究一下防火牆了!

mytiny iT邦超人 1 級 ‧ 2018-09-27 09:51:21 檢舉

所謂韌體,就是FortiOS,
根據官方資料顯示
5.2.x已經End of Engineering Support
5.4.x即將於2018.12.21 EoES
如果樓主尚在保固期
建議盡快下載相關韌體,並升級到5.6.x

但是,5.6.x系統結構與5.2.x有大差異
在下會建議最好是格式化系統後重新設定
這些大概資XX隊都不會提供服務,樓主當自強

0
shinyyork
iT邦新手 4 級 ‧ 2018-09-27 11:03:18

一個好的規畫,一定要考慮未來!所以你說切vlan,我個人很認同! 一般防火牆都至少會分三個zone, intra/extra/dmz, 一般設計DB會放在intra,AP放DMZ, 上網跟不上網你可以分別放在intra跟DMZ~在用防火牆policy隔開!至於你的sever,如果有兩張網卡以上,兩埠放intra,兩埠放dmz,然後用不同網段隔開,這樣可以實體隔離並有備援線路(2條線各接一台switch,switch互串跑STP,我猜這台HP switch不能做stack).

你最大問題是server的備援~你沒授權裝VMware~ 不然備機多啟幾個VM~什麼都有(AD/DHCP/DNS),也可以跟第一台互為備源.我個人是不建議通通透過中華那台fortinet, 因為它功能多,但資源少~你DNS/DHCP最好隔出來,這樣你以後比較好擴充及做資安控管!

我要發表回答

立即登入回答