討論 - 公司網路升級問題，請求版上高手開釋！

[ccbear]

我去年到公司時，基礎網路已經建置好了，是很基礎的「網路芳鄰」架構，加上兩台server，如圖所示：



上圖那個ISP Router包含了公司的電話系統，因此當電話滿線時，網路速度會掉很多，而且我對那個Router完全沒有控制權，無法自己調整設定，也沒有防火牆的功能。

加上公司目前對於網路上下傳的頻寬需求很大，因此我想要加入兩條其他ISP的DSL網路來提昇速度，如圖所示：



對於該防火牆設備，不知版上高手們有沒有建議的機器？哪個牌子？哪個型號？

我需要滿足以下的功能：
1. 3+ WAN，一條給原來的T1，兩條給外加的DSL
2. LAN的速度可以達到1000Mbps
3. 防火牆功能
4. Qos頻寬管理功能
5. 管理介面容易（我聽說CISCO的管理介面超複雜，我不知道能不能處理得來）
6. 支援VPN （非必備）
7. 預算大約美金500～1000，有必要可以往上加

我目前有找到幾個可能的設備，但是沒有用過，不知道效能如何：
CISCO SR520-FE-K9 10/100Mbps Secure Router 4 x 10/100Mbps WAN Ports
Edimax EnduraLINK ER-1124 - 4 WAN Load Balancing Router
FQR8150高階雙核多WAN QoS 安全路由器

因為公司網路還蠻忙的，所以沒辦法一次做大規模變更，但是如果版大們對於網路有更好得建議，也可以提出來討論，先謝謝各位的指教了！

[不飛]

不知道 管大就是這個的專家，

他在他的公司就是管理這個的，

建議您 PM 他比較快 .

[ccbear]

引用:

作者: 不飛

不知道 管大就是這個的專家，

他在他的公司就是管理這個的，

建議您 PM 他比較快 .

謝謝 老爺指點

我會PM他，不過如果他可以在這邊回答，這個資訊也可以分享給其他版友。

[不知道]

抱歉
小弟在公司雖是管理網路,但並非全廠性的,而只是我們那個部門,而且架構簡單,談不上專家
我會盡量以我所知道的來回答吧
首先如果說LAN的速度要達到1000Mbps的速度
那最源頭的Router就一定要用1000Mbps(價格應該不便宜)
不然最源頭只是10/100Mbps,那即使後端用的是1000Mbps
對外依舊只有10/100Mbps
另外我們廠區的網路並沒有防火牆的設備
而我看您第一張圖似乎也沒裝設防火牆
我們廠區就是因為這個因素所以造成線路不穩定
之前曾經有升級過頻寬,只是沒多久速度又打折扣
我的猜測是使用者大部分缺乏安全性概念,所以系統很少做更新(或太相信自動更新了)
導致系統受到攻擊影響頻寬
所以我猜測您們網路是否也是如此
網路配備我只接觸過後關的Switch(用的是D-Link),所以前端這部分我沒研究
若有需要大家可以互相研究,謝謝

<參考>

[a471]

不專業的插花...

1.區網速度要達道Gbit bps必須要整個"骨幹"都是Gbit bps標準，
如各台電腦的網卡規格、Switch、路由器、網路線等等環節...

2.增加對外連線的傳輸頻寬為何要以增加ISP的方式甚至多加線路
的方式呢?.....用兩個高速寬頻聯外(可以互做備援避免斷線)，防火
牆具有負載平衡(依照負載大小自我調控).....

3.ISP Router包含了公司的電話系統<==這段我就不懂了

光server用Gb LNA其他地方也快不起來..

[ccbear]

回不知道大大：
我猜想內部的設備包含switch與網卡換成GBE(Gigabit Ethernet)的，區網的部分就可以達到GB的傳輸速率。因為我們公司是做電影的，目前電影的後置工作已經逐漸數位化，而我們的Server1也同時作為檔案伺服器，所以在區網內傳輸好幾G的單一檔案是家常便飯，但是10/100與Cat 5的規格要傳很久，所以期望能夠升級到GBE的規格。

對外頻寬的部分要到GB除非有光纖到府，偏偏我們沒有，而支援GBE的Router一般WAN也有支援到GB的速率，所以基本上是先買好等光纖來～

我們公司的人口很單純，但是笨蛋很多，所以中毒、看網路即時影音的人不在少數，所以或許沒有防火牆是一個致命傷，公司的人很多是老闆的家族，難以管理也是一個致命傷，所以我只能盡量做到平衡。

昨天有跟CISCO的人談過，結果他們推薦2900與3900系列，我看了一下價格，挖咧隨便都是接近2千美元起跳，加上他們的設備設定「聽說很恐怖」，不然幹嘛搞個CISCO證照來嚇人，而且幾乎都是要在設備精良的機房運作，所以就算東西真的好，也不太敢下手買CISCO。

[ccbear]

引用:

作者: a471

不專業的插花...

1.區網速度要達道Gbit bps必須要整個"骨幹"都是Gbit bps標準，
如各台電腦的網卡規格、Switch、路由器、網路線等等環節...

2.增加對外連線的傳輸頻寬為何要以增加ISP的方式甚至多加線路
的方式呢?.....用兩個高速寬頻聯外(可以互做備援避免斷線)，防火
牆具有負載平衡(依照負載大小自我調控).....

3.ISP Router包含了公司的電話系統<==這段我就不懂了

光server用Gb LNA其他地方也快不起來..

回a大：

我們公司是採用T1，而這家公司把語音與數據綁在一起，因此也可以說我們的電話是跑在網路上的總機系統，這樣的作法在美國很常見。所以我們的網路其實是與電話共用一條T1，Router是ISP提供，有點像是中華電信的小烏龜，只是比較大台。我如果要在內部網路使用對外的服務，例如FTP、WEB之類的，就要透過那家ISP公司的網管幫我設定，所以我們完全沒有主控權。如果我們有一台防火牆的Router，就可以請他們把控制權還給我們。

另外關於連線速率的問題，目前的是T1，該公司也只提供最少T1，要升級只能變成兩條T1、3條T1，以此類推。而且超過3條還要另外改別的方案，更貴，聲稱可以到無限條T1。
而目前1條T1一個月的費用將近700美金，往上就是乘上去，成本高的嚇人。若我可以用DSL來提升網速，目前這邊是6M/786K，一條一個月40美金，兩條就有1條T1的上傳速度，一個月多不到100美金，差別太大了，所以我的選擇是後者。

如此的狀況下，若是各位大大，會採用什麼方案呢？

[a471]

我先消化消化.....那不如把電話語音跟聯外頻寬脫鉤，

各走各的避免影響效率......

[不知道]

我剛剛又看了一下2張圖,似乎看出圖的配置方式,所以有了些新的看法
提出大家研究
在我的觀念中"語音"與"數據"本來就是龐大的資料串流
所以當您電話滿線時,確實會影響到連線品質
其實我還不清楚防火牆功用,以我的想法我覺得應該是不會有改善吧
我的想法是電話就單獨接在T1,而2xDSL則用在連線上(完全是個人猜想)
當然如果3條線串聯而不會影響到連線速度的話那是無所謂啦
怕就怕電話滿線時還是會影響到DSL的線路(這部分完全是我猜想的,畢竟我沒接觸過)

<參考>

[ccbear]

引用:

作者: a471

我先消化消化.....那不如把電話語音跟聯外頻寬脫鉤，

各走各的避免影響效率......

這點我也想過，但是T1那條線如果全用在語音又大材小用，畢竟那是專屬頻寬，本來應該是用在Server的連外頻寬的，而且ISP把兩個東西綁在一起，我沒辦法分開，卻又不想損失T1的剩餘頻寬。

我們有一台FTP Server，也就是圖上的SERVER 2，提供來自世界各地的合作廠商提取我們的影片檔案，而這台FTP又不適合放在Co Locate，因為機密的問題，部份是機密檔案，部份是因為敏感的行銷問題（如果你看到版上電影下載區的高畫質試看片，就可以理解了），所以FTP SERVER與FILE SERVER必須在內部處理，一則保密，一則因為內部傳輸比外部傳輸快，但是以目前的網路速率來說，T1已經是小水管了。

引用:

作者: 不知道

我剛剛又看了一下2張圖,似乎看出圖的配置方式,所以有了些新的看法
提出大家研究
在我的觀念中"語音"與"數據"本來就是龐大的資料串流
所以當您電話滿線時,確實會影響到連線品質
其實我還不清楚防火牆功用,以我的想法我覺得應該是不會有改善吧
我的想法是電話就單獨接在T1,而2xDSL則用在連線上(完全是個人猜想)
當然如果3條線串聯而不會影響到連線速度的話那是無所謂啦
怕就怕電話滿線時還是會影響到DSL的線路(這部分完全是我猜想的,畢竟我沒接觸過)

<參考>

防火牆只是一台Router額外的功能，沒有也可以，只是一般那個類型的Router都把防火牆、QoS、DHCP、DNS之類的綁在一起，所以可用可不用。
目前電話只有4線，我猜，加上兩條DSL應該不會被佔用到拉，只是猜....

[不知道]

引用:

作者: ccbear

防火牆只是一台Router額外的功能，沒有也可以，只是一般那個類型的Router都把防火牆、QoS、DHCP、DNS之類的綁在一起，所以可用可不用。
目前電話只有4線，我猜，加上兩條DSL應該不會被佔用到拉，只是猜....

可以測試啊
現在有想到的問題可以先記起來
等到發生時就可以來出來參考,研究

<參考>

[a471]

這工程很艱鉅，但是搞好了就可以平順很多年，要仔細策劃如同
艾森豪計畫諾曼地登陸一樣...

借此機會釜底抽薪，搞不好連機櫃都一起整治.....

網路介面.....比較新款的主機板內建的都是Gb LAN了，你可以先調查
一下公司內部網卡的介面、晶片種類...

網路設備.....你必先添購一台防火牆，順便看看要幾台Switch，整個
佈局能否更精簡更恰當..

線路方面....必要時重新佈線，甚至連網路資訊面板(插座盒)都一起換
新確保效能與品質....

[ccbear]

引用:

作者: a471

這工程很艱鉅，但是搞好了就可以平順很多年，要仔細策劃如同
艾森豪計畫諾曼地登陸一樣...

借此機會釜底抽薪，搞不好連機櫃都一起整治.....

網路介面.....比較新款的主機板內建的都是Gb LAN了，你可以先調查
一下公司內部網卡的介面、晶片種類...

網路設備.....你必先添購一台防火牆，順便看看要幾台Switch，整個
佈局能否更精簡更恰當..

線路方面....必要時重新佈線，甚至連網路資訊面板(插座盒)都一起換
新確保效能與品質....

是阿，目前我也正朝這個方向著手。
原本根本沒有機櫃，現在可以要求添購，switch也要更新。

關於那個Firewall Router，國外網友提到pfSense軟體掛4個NIC
你們有用過這個系統嗎？

[a471]

引用:

作者: ccbear

是阿，目前我也正朝這個方向著手。
原本根本沒有機櫃，現在可以要求添購，switch也要更新。

關於那個Firewall Router，國外網友提到pfSense軟體掛4個NIC
你們有用過這個系統嗎？

完全沒接觸過...

[ccbear]

引用:

作者: a471

完全沒接觸過...

今天一家台灣的廠商俠諾推薦了這個產品

http://www.ithome.com.tw/itadm/article.php?c=67192

大家可以參考看看～