公司有大有小,但无论是大公司还是小公司,都不可能少了以下这四样东西:路由器,交换机:杀毒软件和WINDOWS。写这篇文章的目的是为了给广大中小型公司出谋划策,说一说组建中小规模网络的心得。
闲言少叙,进入正题。与其它三者不同,只有WINDOWS不存在“选择”问题,所以我们唯一能做的是“学会”使用WINDOWS,确切的说是学会使用浏览器,这也要学?当然!学不会的话肯定会给你的日常工作生活带来无尽的烦恼。杀毒软件有360这样的免费产品,也许360假设价格因素是用户的唯一考量,针对小公司而设计的防毒产品相对免费产品有何优势呢?凭什么让用户掏钱?
交换机,饭盒曾见过有人将3个8口最便宜的家用交换机串联顶替一台思科2950使用,这两种方案的成本相差近20倍,可见如何选购交换机是非常有学问的。路由器,中小企业网络的总管家,很多人会忽略其它三者,但在购买路由器时却显得肯花钱。路由器的选购确实很重要,常见功能像上网行为管理,ARP防御等,繁杂的功能面前,我到底需要什么?对于上面提到的这些问题饭盒将一一作答,你会发现组建一个实惠实用且高效的小型公司网络其实很简单。
出租屋路由器
路由器的选购我们主要考虑两个场景,出租屋和中小企业。先来说一下出租屋,因为出租屋不用考虑交换机等其它三者,相对简单。出租屋的网络问题主要来自两个方面,其一、由于同网内的某台电脑中病毒,比如ARP类病毒,它将影响到整个网络的稳定性,这一问题的根源与IP协议自身的设计缺陷有关,是不可改变的;其二、同网内某台电脑下BT,看在线电影,将大量带宽独占,其它用户上网慢如龟速。解决第一个问题,比较廉价的方法是使用内网PPPoE服务,解决第二个问题,需要借助上网行为管理和带宽连接数限制功能。
还有一个很重要的点要注意——性能。不要小看出租屋网络,它对性能的要求绝不低于一般的小企业,这与租户的上网行为有关,打个比方,一人下BT对路由器性能的消耗绝不比10个人同时一般性上网低,如果5,6个人同时挂机下BT,基本就相当于40,50人同时上网,百元左右的路由器自然无法应付。
ARP病毒,带宽分配不均,性能不足,这三点是出租屋网络的痛处,解决这些问题只能依靠路由器(在出租屋环境我们不考虑交换机,因为房东为了省钱一定会购买最便宜的傻瓜化产品,而这类交换机没有任何管理功能)。下面推荐两款产品,只是因为饭盒对它们比较熟悉,不是做广告,就算做广告也要做得名副其实不是。
首先当然是最便宜的,第一个,产品型号艾泰510,公开售价438元以内,支持内网PPPoE服务,基本可以解决ARP病毒造成的内网不稳定问题。它支持带宽限制,为每个租户分配一定的带宽后就解决了少数人强占带宽的问题。上网行为管理可以看做是带宽限制的一个扩展,但饭盒觉得房东没有封杀BT的必要,限制了用户的带宽上限好可以了,至于用户做什么就不要管了,反正又不会影响到别人。产品评测:三招搞定出租屋上网 艾泰510路由评测
推荐阅读:PPPoE服务为什么可以抑制ARP病毒对内网造成危害
第二款,飞鱼星4600GP,4600GP在功能和性能要比艾泰510强大很多,当然价格也贵很多,公开报价1280元,产品官方定位是出租屋专用路由,标称带机量60台左右。4600GP支持更多的PPPoE带机数,更多的的上网行为管理功能以及更灵活的管理策略,另外除了可以限制带宽还可以限制连接数,这点很重要,少数用户占用过多的连接数同样会拖垮路由器。像南方那种整栋用于出租的私建楼房,4600GP将是个不错的选择。
另外,60台的带机量差不多可以应付一个小型酒店的上网业务,加之使用PPPoE方式可以避免房客的电脑相互影响,可以说4600GP是一种简单实惠的酒店网络方案。产品功能主要包括多WAN口设计,最高支持四条外线接入、支持IP分组管理、聊天软件过滤、P2P软件过滤、弹性流控等功能。产品评测:封杀P2P免疫ARP 飞鱼星路由4600GP评测 >>
中小企业路由器
PPPoE服务虽好,但也存在一些局限,优点是内网不会再因ARP病毒变得不稳定,PC间不能互访避免了病毒传播,但在公司环境中,如果PC间不能互访,很多工作可能根本就无法开展。中小企业组网应该注意哪些问题呢?饭盒觉得主要有以下几点:带宽/连接数管理,上网行为管理,防火墙策略和产品性能,各项功能的作用分别是防止带宽被少数人强占,封杀与工作无关的上网行为,细化员工可以访问什么资源不可以访问什么资源,最后是性能,很好理解。
同样推荐两款饭盒比较了解的产品,第一款IP-COM R8,公开报价598元,支持带宽/连接数管理,支持较灵活的防火墙策略,值得一提的是R8的性能与同价位产品相比有很大的优势,性价比出众。产品评测:仅598元匹敌千元性能!IP-COM R8评测
R8的上网行为管理表现如何?坦白说这点并不重要。因为受成本所限此类设备不可能做到专业行为管理设备的程度,再有你认为封BT或封QQ哪个更重要?饭盒觉得是BT,因为BT下载对网络的影响非常明显,但封了BT是不是就天下太平了呢?当然不是,新的P2P下载工具总会出现,而路由器能识别的应用是有限的,所以上网行为管理往往“靠不住”,反而传统的带宽/连接数限制更实在有效。
家庭用户是否有必要花500多元买个R8来用?这个问题咋看上去有些荒唐,但实际上有时还是有必要的。家庭中无线路由器已经非常普及了,但硬件性能实在不敢恭维,很多人应该都体验过下BT时虽然带宽没有占满,但网页就是打不开,网游更是卡得要死。问题何在?说白了就是性能不够用所致,多开几个BT,保证普通无线路由器出现假死。
推荐阅读:BT卡死路由探究
多数人相信已经上了“贼船”,因为手上的无线路由器不好用再花钱买个更贵的肯定心有不甘,这时也许你可以考虑一下R8这类准企业级产品,价格不是很贵,但性能强劲,好处是以后可以BT电驴随便下,同时照样上网玩网游。手上的无线路由器可以仅使用它的AP功能,一样无线上网,性能灵活性双收。
第二款,D-Link Di-7200,个人以为,这是一款比较典型的中小企业上网行为管理路由器。DI-7200是一款针对中小型网络用户而设计的宽带接入设备,标称带机量120台以内。除了具备宽带路由器的基本功能外,像多WAN口接入、内网用户分类管理、自动负载平衡、防火墙功能、IP/MAC绑定、基于端口的VLAN、智能QoS带宽管理等,其在上网行为管理方面也有着不错的表现,包括P2P下载过滤,在线视频过滤,聊天软件过滤等,尤其是网址分类过滤功能。有兴趣请点击 <封BT封QQ D-Link DI-7200路由评测> 查看评测文章,就不在这里赘述了。
D-Link DI-7200 图 库 评 测 论 坛 报 价
中小企业负责网络设备采购的一般是行政人员,而非IT人员,所以路由器的易用性非常重要,还好,这类产品全部为图形配置界面,即使配错了只要按一下机身上的RESET键,重来多少次都可以。省钱与产品质量之间存在着平衡关系,20人的出租屋用个百元路由器,虽然省了采购成本,但使用中一定是掉线、卡滞,路由器死机不断,同样的事情,80-90人的公司如果为了省钱用R8,肯定也会网络问题频发。路由器绝对不是“只要能上网就行”,即使什么都不在乎也要考虑一下性能问题。>>
交换机
对于中小型规模用户来讲,交换机不存在性能问题,但存在巨大的功能差异。最基本的功能,交换机是为了汇集用户的电脑连接到路由器,实现网络联通,除此之外这类产品就没有任何功能了。200元左右就可以买到24口的百兆交换机,它们是想省钱的人的上佳之选,600元左右可以买到24口的千兆交换机(主要用于网吧),简单推荐一款产品吧,腾达TEH2400M,24口百兆,确实没什么好介绍的。
腾达 TEH2400M 图 库 评 测 论 坛 报 价 网购实价
我应该买台怎样的交换机呢?傻瓜型虽然省钱,但这时内网对于每个人都是“大门敞开”,除了安全风险,由于这类产品不支持链路冗余,级联链路单点失效也会对网络造成较大的影响。所以,傻瓜型交换机虽然做到了低价易用,但往往并不是最佳的选择。如果你对网络有安全性与可靠性要求,交换机可以负责起这些,前者依靠内网准入机制,后者依靠链路冗余。
我们常见到这样的情景,任何人只要手中有一根网线,插入交换机,他的电脑就可以访问网络中的资源了,这其实存在很高的风险——如何区分公司内部电脑和外部电脑,管理员往往毫无办法。也许在以前这一问题并不突出,但随着笔记本的普及,交换机端口管理便成了一个无法忽视的问题。交换机通过802.1x协议控制交换机端口的“开与关”,Radius服务器提供用户身份验证。太专业了,看不懂?成为网管你就能看懂啦~
推荐阅读:网络准入控制与端口安全
在组建网络时,除了要考虑安全性还要考虑可靠性,实现高可靠性一种最简单的方法就是在交换机之间部署一条以上的连接实现链路冗余,这可以很好的避免因单链路失效而导致一个接入节点整体失效。不过实现链路冗余,交换机必须具备一定机制来避免“广播风暴”,这种机制就是生成树协议(Spanning Tree Protocol)。STP协议应用于环路网络,通过一定的算法实现路径冗余,同时将环路网络修剪成无环路的树型网络,从而避免报文在环路网络中的增生和无限循环。又太专业了,看不懂?赶紧成为一名网管吧~
推荐阅读:在交换机间配置冗余链路
802.1x,生成树协议,再加上VLAN(802.1q协议),这三大功能基本是一般网管型交换机必备的标准配置,它们分别满足了安全性,可靠性及广播域划分的需求。推荐一款可供参考的产品——思科SLM2024。它是一款全千兆可网管型交换机,与本文要谈的产品区间并不相符,不过饭盒觉得它是一个不错的参考,(几乎)同功能的百兆产品最便宜的大概可以做到1000元以内。另外,这类百兆产品基本都会配备1-2个千兆端口,用于级联或连接服务器,如果预算不是非常紧张,推荐关注这类产品。产品评测:安全可靠!思科SLM2024千兆交换机首测 >>
防毒软件
桌面防毒最省钱的方法是安装360这样的免费产品,无论你喜欢与否,安装了360杀毒+360安全卫士的电脑安全性确实得到了一定提升。为什么是360而不是别的,原因很简单——免费,人们不用再为再为激活产品而发愁,病毒库不会过期,可以说安装以后就不用再理它了——这不正是人们所需要的吗?谁有闲心整天跟个杀毒软件较劲啊。360之所以取得成功不是没有道理的,当然这是题外话,如果你有兴趣可以看一下这篇文章:免费杀毒市场渐成形 360能否赢得战争?
360可以杀毒,不过它有一个明显的短板,无法统一管理,而可管理性正好是企业级环境所看重的。记得有一次去参瑞星与神洲数码的发布会,神码的渠道体系相当庞大,他们发现这样一种情况,以往中小企业只是向代理商购买硬件产品,但渐渐的他们开始向代理商购买IT服务。因为中小企业往往没有专职IT人员,但他们确有实实在在的IT服务需求,所以渐渐的代理商开始向这些企业出售服务,同时还扮演起了解决方案提供商的角色。
企业防毒不同于个人防毒,为了提升诊断效率,网络中存在一个控制中心十分必要,它可以与每台电脑上的防毒软件实现联动,这样哪台电脑是毒源,哪台电脑没有更新病毒库,哪台电脑上的防毒软件出了问题,紧急时刻批量给电脑打补丁等,这些功能在控制中心只要点几下鼠标就可以实现,结果是双赢的——用户受益,服务提供商解决问题也非常高效。
简单推荐两款产品,瑞星网络版2010,趋势科技中小企业安全软件包6.0,也是因为饭盒对它们比较熟悉,他们都是中心控制台+客户端这样一种工作模式,实现了各种实用的集中管理功能。
点击查看:瑞星杀毒软件网络版2010评测报告,我们尽量模拟管理员在日常工作中可能会遇到的问题,包括:系统中心与客户端之间的“联动”是否紧密;遇到紧急事件,可否全网紧急升级病毒库并通知用户;通过系统中心可否直接对客户端进行诊断;可否通过系统中心为客户端统一安装WINDOWS补丁等,然后使用瑞星杀毒软件网络版2010去解决它们。
点击查看:趋势科技中小企业安全软件包6.0评测报告,集中管控,整网防病毒状态分析,病毒爆发抑制,URL分类过滤等这些以往只有在大型企业中才可见到的安全技术被趋势科技打包在了中小企业安全软件包6.0中。颇有麻雀虽小五藏俱全的意味,做为一款面向中小型企业的产品,其功能在“面”上自然无法与其它高级产品相比,但小包所提供的功能“点”几乎涵盖了企业(用户)安全链条的每一个环节。>>
浏览器安全
如何保障桌面安全其实是个挺复杂的话题,但我们的资源有源,只能以最小的成本投入换取最大的收益。企业最大的风险窗口来自上网,确切的说是浏览器,而对于浏览器我们能做两件事情——升级到最新版,以受限权限运行,前者非常好理解,饭盒相信,电脑中最该保持“新鲜”的就是浏览器,所以不要犹豫,立刻将你的浏览器升级为IE8,不要被360浏览器、遨游等这样的外壳所迷惑。下面我们主要说一说使用受限权限运行浏览器的必要性及方法。
WINDOWS是多用户操作系统,当你登录系统的那一刻就决定了你对系统的控制程度。管理员(Administrator)对系统有完全的控制权,而受限用户(USER)无法对系统本身进行有意或无意的修改。同样的我们以什么用户(权限)运行IE,IE对系统也就有怎样的访问权限,所以显而易见,在受限用户权限下使用IE比在管理员权限下使用IE要安全得多。
但现实情况是,受限用户虽然安全,但在受限用户权限下很多软件无法正常运行,尤其是国产软件,如何解决?其实方法非常简单,我们依然使用管理员权限登录WINDOWS,但在使用IE时降级运行它,这时我们需要一个软件——Dropmyrights。
上网是危险地~ 那是因为你还没有使用DropMyRights,呵呵,广告词?不过确实管用。
Dropmyrights能够把其他程序的运行路径作为参数,例如,一个系统管理员身份的用户想要以更加安全的方式运行IE,那么他可以运行下面的这个命令行:C:\pathto\dropmyrights.exe "C:\Program Files\Internet Explorer\iexplore.exe" C,这样就能让IE以低权限来运行,即“受限用户身份(Constrained user)”。在这种情况下,倘若IE或者Firefox出现任何安全漏洞,其影响都能得到极大的控制。饭盒使用的是Dropmyrights+Firefox组合,在现在的电脑上已经“裸奔”两年没中过病毒了。
Dropmyrights是饭盒极力推荐的一款工具,了解具体使用方法,请点击:使用Dropmyrights 打造真正的安全浏览器
总结:如果你看到了这里,饭盒向你致以最衷心的感谢。一定程度上,这篇文章算是对以往工作经验的一些总结。就像文章开篇时说的,公司无论大小,都不可能少了四样东西:路由器,交换机:杀毒软件和WINDOWS,而且现代人们已经无法离开电脑和网络,如何让自己电脑用着更舒心,推荐你试一下Dropmyrights,如何花最少的钱组建实用的公司网络,推荐你在路由器和交换机的选购上多花些心思。文中提到了很多产品,基本代表了同类产品的功能特性,权当为你的采购计划提供一些参考。[返回频道首页]