parrot wrote:
如果 Squid 這...(恕刪)
的確,企業要求穩定,
分散式的架構可以分散風險,
全部集中在一台有個萬一就慘了。
個人積分:34分
文章編號:27477036
個人積分:12923分
文章編號:27477309
好像也是 Proxy 的機器
雖然這是買來就現成的 Proxy,但不知道硬碟有沒有 RAID?
或者本身沒硬碟,外接 NAS?
自己架的話,比較便宜,而且可以裝 RAID。
其實現在有很多免費的「軟體路由器」
不一定要懂 Linux 或 FreeBSD 才能架設
軟體路由器:一種作業系統 ISO
燒成光碟,用光碟開機,安裝這系統
裝好後,PC 就變成路由器,直接用 WEB GUI 登入設定
只要主機一台,鍵盤、滑鼠、顯示器、顯示卡:全免
像 proxy 的話,有 IPCOP 這套免費軟體路由
它本身也是 NAT 閘道和防火牆,有透明 Proxy 代理功能
不過唯一缺點 IPCOP 好像沒有 QoS,還是太難設定,我忘記了
機器其實也會壞啊,就算幾十萬元等級的
拆開看還不就一片主機版、上面 CPU、RAM、ROM
那個 CPU 再仔細一看....低於 1GHz 的
那個 RAM 再仔細一看...低於 1GB 或低於 512MB
所有網路機器,其實都是賣韌體的,不是賣硬體
硬體成本沒那麼貴,都是貴在韌體OS的研發
Cisco 的機器,不就有什麼導出 OS,裝到 PC 的實例
還有模擬器之類的...
拿 PC 組裝路由器的話(交換器孔太多,用PC實做不會比較便宜)
CPU 隨便也雙核的,RAM 隨便也 4GB 起跳
連線數?上限取決於 CPU 處理能力,RAM 大小,網卡晶片好壞
怕硬碟壞的話,用 SSD,SSD 就是 ROM(Flash ROM)
至於一台伺服器掌控全部,伺服器掛的話呢?
那如果有那種大公司,用 AD 網域的呢
AD 派送軟體、網域帳號管理中心、DHCP 分配網段、群組原則
AD 主機也是只有一台啊,掛了豈不糟了...
我想他們應該有備用機吧,在線備援的,主機壞了,備用機立即頂上去
或者主機很強,雙 PSU、RAID 什麼的,很難壞掉
----------------------------------------------------------
話說樓主遲早也會接觸到 QoS 這一塊
早和晚的問題而已,最終就是會碰到這問題
如果以後有需要,且想拿 PC 電腦實做的話
推薦可以找 DDR-WRT 的 X86 版的
2~4 WAN 的可以用 BrazilFW,不過它的 QoS 沒 DDR-WRT 那麼方便
都是免費的軟體
堅持要花錢才踏實,那也有付費的 Router OS
PC 組裝的硬體效能,會比現成的機子來的強
另外:不知切網段的用意是?
如果 Client端是可控管的,建議本機原則禁止遠端登入就好了
分享檔案統一用 NAS(samba 不錯用)
要分部門、分群組、分職位高低,在 NAS 的登入帳號分就好
這樣比較好控管,也比較輕鬆
底下 client端彼此不能互傳檔案,都靠 NAS 統一分享
NAS 有 RAID,資料有保障,還可以異地備份
至於如果切網段是為防止病毒的散發,透過 TCP 445 什麼的
網芳都禁止遠端登入了,自然也不可能中招囉
如果是怕區網內間諜駭客入侵
都禁止遠端登入了,比切網段實際多了
因為就算切網段,只要先駭進同網段防護比較弱電腦當跳板,還是可入侵
而禁止遠端登入,那就沒門了,除非找到 OS 漏洞,或電腦內有木馬軟體接應
切網段一般是為了減弱廣播風暴的影響,防止網路效率低落
不過低於一個 Class C 的數量,感覺好像沒什麼必要切...
僅是個人看法啦
個人積分:10分
文章編號:27477718
就您公司人數, 我會建議至少將不同安全等級的區域切開,
例如管理部門與RD,DMZ,OA 這四個就不應該在同一網段,
再視這三個不同安全等級的區域, 人數若太多就再切,
人數的多寡, 也是以3-5年後估算的成長人數做基數來處理.
至於切開之後要用firewall或L3 Switch來隔離, 要看各網段網路使用需求,
一般來說DMZ大部份是用FW隔開,
管理部門與RD,OA需要DHCP功能,要看你的Firewall 有沒有支援DHCP Relay,
另外要看不同網段透過firewall access公司一些系統是否正常,
若AP可以正常使用, 且firewall port夠用,我建議用firewall隔開
原因是Firewall一般都有UI可以做簡易的troubleshooting,
而且Firewall大部份是Session base的東西,
比較不需要像L3 Switch ACL一樣Packet來回兩邊都要看(而且ACL很多會很亂)
進階一點的話, 如果firewall interface可以support vlan tag,
可以一個Port 切成好幾個Visual area, 3個網段一個實體Port就可以解決,但是要看單Port可不可以吃的下那幾個area的流量.
至於DHCP Relay要看你的switch可否支援該功能,
C牌設定是很簡單,1-2個指令就解決了,
dhcp server 要調的也就是把不同網段的dhcp網段弄上去.
重點是要有backup dhcp server以及master與slave dhcp server的同步.
不然只有一台dhcp server掛掉會很慘
總之, 這個架構雖然不是很難,
但就您對這些設備的熟悉程度, 我建議最好找一家有點經驗的SI來諮詢, 會比較順利~
個人積分:16分
文章編號:27478167
防火牆:Fortigate 310b
L3 Switch:cisco 3750
L2 Switch:cisco 2950
切三個VLAN
VLAN 10:192.168.10.0/24
VLAN 20:192.168.20.0/24
VLAN 30:192.168.30.0/24
而VLAN如果你沒做特殊處理,例如:802.1Q之類的,基本上他就不會互通了
而SERVER區就接在FIREWALL的DMZ,DHCP也由Fortigate發派,
L3跟L2連接的UPLINK就用TRUNK,並在L3在啟用VTP SERVER並加上密碼驗證
L2上就設定VTP CLIENT,再把用到的PORT 放進VLAN裡,不要用的PORT就
SHUTDOWN,L3在啟用IP ROUTING。
個人積分:134分
文章編號:27479060
fedora wrote:
沒聽過 BlueCo...(恕刪)
這機器當然有 raid,還支援 media stream cache,reverse proxy,要 content filter 或者 anti-virus 都可以支援,也可以攔截員工 https 封包內容,不同 model 可支援不同數量的 FC 硬碟,在業界算是很有名的設備,不是那種 freeware 兜起來的東西,貴當然很貴,但是穩定度也是跟價錢成正比。
企業環境要的是穩定中求效能,Linux 在小公司算 OK,但是開板是 120 人的公司,再加上日後網路需求是否會成長,應該都要一併考慮進去,避免投資浪費。
另外大公司的 AD 主機會有多台,PDC 跟至少一台以上的 BDC,講究一點的還會把兩台 AD 放在不同網段上面,達到 HA + LoadBalance 目的。不是光多 PSU + Raid 就可以享有保障,那只是最基本的保護。
習慣了你的聲音, 你的氣味, 你的存在...連思念都變成了習慣...
個人積分:12923分
文章編號:27480502
parrot wrote:
這機器當然有 rai...(恕刪)
所以它是有硬碟的嘛,其實就是電腦嘛
要是沒硬碟,還號稱 proxy,那就唬很大了
機器殼子拆開看,就是一片主機板,上面 CPU、RAM、ROM
這樣子的東西,我們可以稱之為小型電腦(因為小台,叫小型電腦很合理)
如果大台的電腦會壞,那小型電腦也一定會壞,因為都是電腦嘛...
至於品質,其實是看預算,主機板也有全固態電容的,還有啥號稱軍規級用料的
要做這種小台、省電的
PC 組裝就是用 ITX 規格(17cmx17cm)的 ATOM 或 APU 合板
速度一定比那種機子快,至少 CPU 雙核都打爆,RAM 加到 8GB 也沒問題
硬體成本價格可能只需 1/10
但關鍵沒錯,就是在:韌體 (OS)
那類機器拆開看,電容都不一定固態的,也是會爆漿啦
用料也不見得是軍規級的
有被動式散熱,散熱片小小一塊的,也有主動式散熱,風扇小小一顆的
夠用,因為 ARM CPU 速度慢,發熱量並不高...
但電腦的散熱一定比那種機子好
這就是我要強調的重點:網路硬體設備,都是賣韌體OS的,不是賣硬體
一台假設10萬元好了,硬體可能只值1萬
剩餘 9萬是買它那個韌體和技術支援!
自由軟體沒有那麼不堪啦
當今網路世界,Linux 伺服器佔了8成以上
Google、yahoo 伺服器機群,都是 Linux 的
那些功能,簡化版的軟體路由器有沒有,我不清楚
而 Linux (或 FreeBSD)全都有喔,不過會不會安裝設定又是另一回事了...
Linux 還可以裝卡巴斯基、小紅傘、AVAST...之類的防毒
防毒率 98% 以上,公信排行榜前5的防毒
非阿貓阿狗,名字連聽都沒聽過,也不清楚效果如何的防毒
這是一個矛盾的問題:
PC+自由軟體,雖然便宜、品質好、效能佳,但安裝設定需要做功課
買現成的機子雖貴,但免安裝,只需設定
就看個人喜好、需求
不過連設定都要委外顧問的話,那倒不如用便宜的硬體方案就好
因為技術支援價錢是固定的,硬體省錢又效能更棒,何樂不為
個人積分:149分
文章編號:27480969
fedora wrote:
所以它是有硬碟的嘛,...(恕刪)
或許如F大你所說的,你認定他是一個很簡單的PC構成...
比如Netscreen ISG-1000
他的硬體坦白說連現在20000元的PC等級都不如..預設RAM又少..
他賣的除了韌體之外,我相信還有他的穩定性可靠度.
這點我想是無庸置疑的,但是他們提供的韌體,在管理上確是比較方便性的.
各有所強,比如今天你拿一台ISG1000跟一台伺服器來當網路管理的話..
光是一個設置,或許就會玩死一票人了...更遑論以後你要交接怎麼辦??
以後你要帶新人,你只有一個月的時間來交接此東西..那不就會搞得雞飛狗跳...
難不成以後你還要當保姆嗎??
其實就我個人認知,買現成的設備跟拿Free的韌體裝設在可靠性高的伺服器.
差別在於一個好上手,好交接管理,一個在於你要花時間研究,要懂得大量的基礎知識之外,還必須完整傳承.
我相信以一個MIS的角度來看,我會選擇買設備,而非用省錢的做法.
畢竟現在的社會講求的是速度,效率...
當然,如果以中小公司,老闆不願意花錢的角度,那多花一塊錢都是要他的命,而MIS更是準備玩到死.
個人積分:16分
文章編號:27482428
個人積分:27分
文章編號:27482780
個人積分:134分
文章編號:27483408
公司不會養太多 MIS,也不會有時間讓你 Debug,老闆既然願意買,當然是花錢講求穩定與效率,買來的會有技術顧問提供支援 (假設在 MA 有效狀態)。
Freeware 就自己來吧,但是要記得,每樣都可以自己來,但是老闆不會等你慢慢來。
樓上拿 Google/Yahoo 來當例子不是每間公司都適用,最大的問題是公司內有沒有這麼多 MIS or 工程師在維護,也是需要考量的。
習慣了你的聲音, 你的氣味, 你的存在...連思念都變成了習慣...
關閉廣告