設計網路架構#
網路架構設計是建構穩定、可擴展網路的第一步。企業網路通常採用階層式設計(Hierarchical Design),依功能與流量特性劃分為三層。
三層式架構#
graph TD
subgraph 核心層 Core Layer
C1[核心交換器 A]
C2[核心交換器 B]
C1 --- C2
end
subgraph 匯聚層 Distribution Layer
D1[匯聚交換器 1]
D2[匯聚交換器 2]
D3[匯聚交換器 3]
end
subgraph 存取層 Access Layer
A1[存取交換器]
A2[存取交換器]
A3[無線 AP]
A4[存取交換器]
A5[存取交換器]
end
C1 --- D1
C1 --- D2
C2 --- D2
C2 --- D3
D1 --- A1
D1 --- A2
D2 --- A3
D3 --- A4
D3 --- A5| 層級 | 角色 | 典型設備 | 設計重點 |
|---|---|---|---|
| 核心層 (Core) | 高速骨幹轉送,連接各匯聚層 | 高階 L3 交換器、路由器 | 高可用性、冗餘設計、最小化延遲 |
| 匯聚層 (Distribution) | 路由策略、VLAN 間路由、存取控制 | L3 交換器、防火牆 | 政策執行、流量彙整、QoS |
| 存取層 (Access) | 終端裝置接入 | L2 交換器、無線 AP | 連接埠安全、PoE 供電、VLAN 分配 |
小型辦公室可採用**扁平式(Collapsed Core)**架構,將核心層與匯聚層合併,降低設備成本。
設計原則#
| 原則 | 說明 |
|---|---|
| 冗餘(Redundancy) | 關鍵節點設置備援路徑,避免單點故障 |
| 可擴展性(Scalability) | 預留足夠連接埠與頻寬成長空間 |
| 模組化(Modularity) | 各功能區塊獨立,變更時不影響全局 |
| 安全性(Security) | 依區域劃分信任等級,搭配防火牆與 ACL |
IP 位址配置#
IP 位址規劃直接影響網路的管理效率與擴展彈性。規劃時需考量子網路切割、位址分配策略與未來成長。
規劃流程#
flowchart TD
A[盤點需求:部門數量、設備數量、成長預估] --> B[選定私有 IP 範圍]
B --> C[依部門 / 功能劃分子網路]
C --> D[計算每個子網路所需主機數]
D --> E[決定子網路遮罩 CIDR]
E --> F[分配閘道器、伺服器等固定 IP]
F --> G[設定 DHCP 範圍供終端裝置使用]
G --> H[文件化:建立 IP 位址分配表]私有 IP 位址範圍#
| 等級 | 範圍 | CIDR 表示 | 可用主機數 | 適用規模 |
|---|---|---|---|---|
| Class A | 10.0.0.0 - 10.255.255.255 | 10.0.0.0/8 | 約 1,677 萬 | 大型企業、資料中心 |
| Class B | 172.16.0.0 - 172.31.255.255 | 172.16.0.0/12 | 約 104 萬 | 中型企業 |
| Class C | 192.168.0.0 - 192.168.255.255 | 192.168.0.0/16 | 約 6.5 萬 | 小型辦公室、家庭 |
子網路規劃範例#
以 192.168.0.0/16 為基礎,為一間中小型企業規劃子網路:
| 子網路 | 網段 | 遮罩 | 可用主機 | 用途 |
|---|---|---|---|---|
| 管理部門 | 192.168.1.0/24 | 255.255.255.0 | 254 | 行政與管理人員 |
| 研發部門 | 192.168.2.0/24 | 255.255.255.0 | 254 | 開發與測試環境 |
| 伺服器區 | 192.168.10.0/24 | 255.255.255.0 | 254 | 內部伺服器群組 |
| DMZ | 192.168.20.0/28 | 255.255.255.240 | 14 | 對外服務伺服器 |
| 管理網段 | 192.168.99.0/24 | 255.255.255.0 | 254 | 網路設備管理介面 |
每個子網路的第一個位址為網路位址,最後一個為廣播位址,皆不可分配給主機。例如 192.168.1.0/24 中,可用範圍為 192.168.1.1 至 192.168.1.254。
固定 IP 與 DHCP 分工#
- 固定 IP(Static):分配給伺服器、路由器、印表機等基礎設施設備,確保位址不變
- 動態 IP(DHCP):分配給員工的電腦、手機等終端裝置,簡化管理
DHCP 範圍必須排除已手動指派的固定 IP,否則可能造成 IP 衝突,導致網路異常。
選擇硬體與軟體#
網路建構需選用合適的硬體設備與軟體平台,依據規模、效能需求與預算進行評估。
硬體選型考量#
| 設備類型 | 選型要素 | 說明 |
|---|---|---|
| 路由器 (Router) | 吞吐量、WAN 介面類型、VPN 支援 | 負責跨網段路由與外部連線 |
| 交換器 (Switch) | 連接埠數、速率(1G/10G)、L2 或 L3、PoE | 負責區域網路內部轉送 |
| 無線 AP | 頻段(Wi-Fi 6/6E)、同時連線數、漫遊支援 | 提供無線接入 |
| 防火牆 (Firewall) | 吞吐量、UTM 功能、VPN 容量 | 控制進出流量與威脅防護 |
| 伺服器 (Server) | CPU/RAM/儲存、冗餘電源、RAID | 執行網路服務(DNS、DHCP、AD 等) |
| UPS | 容量(VA)、續航時間 | 斷電保護,確保設備正常關機 |
軟體與作業系統#
| 類別 | 選項 | 特點 |
|---|---|---|
| 伺服器 OS | Windows Server、Linux(Ubuntu Server、RHEL) | Windows 適合 AD 環境;Linux 適合 Web/DB 服務 |
| 網路管理 | SNMP Manager、Zabbix、PRTG | 監控設備狀態與流量 |
| 防火牆 / UTM | pfSense、FortiGate、Palo Alto | 依規模與預算選擇軟硬體方案 |
| 虛擬化平台 | VMware vSphere、Proxmox、Hyper-V | 整合伺服器資源,降低硬體成本 |
選型時優先確認廠商的技術支援與韌體更新政策。設備的生命週期支援(EoL/EoS)直接影響長期維運成本。
Windows 的工作群組及網域#
Windows 網路環境提供兩種管理模式:工作群組(Workgroup)與網域(Domain),適用於不同規模的組織。
比較#
| 項目 | 工作群組 (Workgroup) | 網域 (Domain) |
|---|---|---|
| 管理方式 | 分散式,各電腦各自管理 | 集中式,由網域控制站統一管理 |
| 帳號管理 | 每台電腦獨立建立帳號 | 所有帳號集中於 Active Directory |
| 適用規模 | 小型網路(約 10 台以下) | 中大型網路(數十至數千台) |
| 安全性 | 較低,缺乏集中控制 | 較高,可統一套用群組原則(GPO) |
| 硬體需求 | 不需額外伺服器 | 需要 Domain Controller |
| 設定複雜度 | 簡單,即插即用 | 較高,需規劃 AD 架構與 OU |
| 資源共享 | 透過個別電腦分享 | 透過群組原則與權限集中控管 |
工作群組中每台電腦維護自己的帳號資料庫(SAM),使用者若需存取多台電腦的資源,必須在每台電腦上都建立帳號。網域模式則透過單一登入(Single Sign-On)解決此問題。
網域的組成要素#
| 元件 | 說明 |
|---|---|
| Domain Controller(DC,網域控制站) | 執行 Active Directory Domain Services(AD DS),儲存與驗證所有帳號 |
| Member Server(成員伺服器) | 加入網域但不擔任 DC 角色的伺服器 |
| Client(用戶端) | 加入網域的使用者電腦 |
| Organizational Unit(OU,組織單位) | AD 中的邏輯容器,用於分類管理使用者與電腦 |
Directory Service(目錄服務)#
目錄服務是一種將網路中的資源(使用者、電腦、印表機、共享資料夾等)以階層式結構集中管理的機制。Microsoft 的實作即為 Active Directory(AD)。
Active Directory 架構#
graph TD
F[Forest 樹系] --> T1[Tree 樹狀目錄: example.com]
F --> T2[Tree 樹狀目錄: partner.com]
T1 --> D1[Domain: example.com]
T1 --> D2[Domain: taipei.example.com]
T1 --> D3[Domain: kaohsiung.example.com]
T2 --> D4[Domain: partner.com]
D1 --> OU1[OU: 管理部]
D1 --> OU2[OU: 研發部]
OU2 --> U1[使用者物件]
OU2 --> C1[電腦物件]
OU2 --> G1[群組物件]AD 核心元件#
| 元件 | 說明 |
|---|---|
| Forest(樹系) | AD 最頂層的邏輯邊界,包含一或多個 Tree |
| Tree(樹狀目錄) | 共用相同 DNS 命名空間的網域集合 |
| Domain(網域) | 管理的基本單位,定義安全與複製邊界 |
| OU(組織單位) | 網域內的容器,用於套用 GPO 與委派管理 |
| GPO(群組原則) | 集中定義安全設定、軟體安裝、桌面配置等原則 |
| Global Catalog(全域目錄) | 儲存整個樹系中所有物件的部分屬性,加速跨網域搜尋 |
相關通訊協定#
| 協定 | 說明 |
|---|---|
| LDAP(Lightweight Directory Access Protocol) | 存取與查詢目錄服務的標準協定,AD 以此為基礎 |
| Kerberos | AD 預設的驗證協定,提供票證式的安全認證機制 |
| DNS | AD 高度依賴 DNS 進行網域名稱解析與服務定位(SRV 記錄) |
Active Directory 的正常運作必須搭配 DNS 伺服器。建議 DC 同時擔任 DNS 角色,確保 SRV 記錄能正確註冊。
LAN 配線架設與加工#
實體配線是網路基礎設施的根基。配線品質直接影響網路的穩定性、速度與未來擴充性。
網路線材規格比較#
| 規格 | 類別 | 最大傳輸速率 | 最大距離 | 適用場景 |
|---|---|---|---|---|
| Cat5e | UTP | 1 Gbps | 100m | 一般辦公室(逐漸淘汰) |
| Cat6 | UTP | 1 Gbps(10G 限 55m) | 100m | 辦公室標準配線 |
| Cat6a | STP/UTP | 10 Gbps | 100m | 高速需求、資料中心 |
| Cat7 | STP | 10 Gbps | 100m | 高遮蔽需求環境 |
| 多模光纖 (MMF) | 光纖 | 10-100 Gbps | 300-550m | 建築物內部骨幹 |
| 單模光纖 (SMF) | 光纖 | 10-100+ Gbps | 數十公里 | 跨建築、長距離骨幹 |
配線架構要素#
| 元件 | 說明 |
|---|---|
| 配線間(MDF/IDF) | 集中放置交換器、配線架的機房或機櫃空間 |
| 配線架(Patch Panel) | 將牆面資訊插座的線材集中端接,便於管理與異動 |
| 資訊插座(Information Outlet) | 安裝於辦公區域牆面或地板,供使用者連接 |
| 跳線(Patch Cable) | 連接配線架到交換器的短距離線材 |
線材加工#
RJ-45 接頭壓接有兩種排線標準:
| 標準 | 線序(Pin 1 至 Pin 8) | 用途 |
|---|---|---|
| T568A | 白綠、綠、白橙、藍、白藍、橙、白棕、棕 | 政府機關慣用 |
| T568B | 白橙、橙、白綠、藍、白藍、綠、白棕、棕 | 商業環境最常用 |
- 直通線(Straight-through):兩端使用相同標準(A-A 或 B-B),連接不同類型裝置(PC 對 Switch)
- 跳線(Crossover):兩端使用不同標準(A-B),連接相同類型裝置(PC 對 PC)
現代設備多支援 Auto MDI/MDI-X 自動偵測功能,能自動調整收發腳位,因此跳線與直通線的區別在實務上已不再那麼重要。
配線施工時應避免過度彎折(建議彎曲半徑不小於線材外徑的 4 倍)、遠離電力線與電磁干擾源,並確實標記每條線路的兩端,以利日後維護。
網路監控#
網路監控的目的是持續掌握網路的運行狀態,在問題發生前預警或在故障時快速定位原因。
監控面向#
| 面向 | 說明 |
|---|---|
| 可用性(Availability) | 設備與服務是否正常運作(Ping、Port 檢查) |
| 效能(Performance) | 頻寬使用率、延遲、封包遺失率 |
| 事件與日誌(Event/Log) | 設備 Syslog、安全事件、異常行為 |
| 組態變更(Configuration) | 設備設定是否遭到非預期修改 |
常見監控協定與工具#
| 協定 / 工具 | 類型 | 說明 |
|---|---|---|
| SNMP(Simple Network Management Protocol) | 協定 | 標準的網路管理協定,透過 OID 讀取設備資訊(CPU、記憶體、流量等) |
| Syslog | 協定 | 集中收集設備與系統的日誌訊息 |
| NetFlow / sFlow | 協定 | 分析網路流量的組成與方向 |
| ICMP(Ping) | 協定 | 最基本的可達性測試 |
| Zabbix | 開源工具 | 支援 SNMP、Agent、自訂模板的企業級監控平台 |
| Nagios | 開源工具 | 經典的基礎設施監控系統 |
| PRTG | 商用工具 | 圖形化介面,內建大量感測器,適合中小型環境 |
| Grafana + Prometheus | 開源工具 | 現代化的指標收集與視覺化方案 |
監控系統應設定告警閾值與通知管道(Email、Slack、LINE 等),確保異常事件能即時通知管理人員,而非等到使用者回報才處理。
SNMP 運作模式#
- Polling(輪詢):管理站主動向設備查詢 MIB 資料
- Trap(陷阱):設備主動在異常發生時通知管理站
- 建議同時啟用兩種模式,Polling 確保定期資料收集,Trap 確保即時告警
SNMP v1/v2c 的 Community String 以明文傳送,存在安全風險。生產環境建議使用 SNMPv3,支援認證與加密。
故障排除#
系統化的故障排除方法能有效縮短修復時間。排除流程通常依循 OSI 模型由底層向上逐層檢查,或依據症狀直接定位可能的問題層級。
故障排除系統化流程#
flowchart TD
A[問題回報 / 發現異常] --> B[確認問題範圍與症狀]
B --> C{影響範圍?}
C -->|單一使用者| D[檢查實體連線與終端設定]
C -->|整個部門| E[檢查存取層交換器與 VLAN]
C -->|全公司| F[檢查核心設備與 ISP 連線]
D --> G[由下而上逐層排查]
E --> G
F --> G
G --> H[L1 實體層:線材、接頭、燈號]
H --> I[L2 資料連結層:MAC、VLAN、STP]
I --> J[L3 網路層:IP、路由、閘道器]
J --> K[L4+ 傳輸/應用層:連接埠、DNS、防火牆規則]
K --> L[定位根因並修復]
L --> M[驗證問題已解決]
M --> N[記錄問題與處理方式]常用故障排除指令#
| 指令 | 平台 | 用途 | 使用範例 |
|---|---|---|---|
| ping | 全平台 | 測試目標主機的可達性與延遲 | ping 8.8.8.8 |
| traceroute / tracert | Linux / Windows | 追蹤封包到達目標的路徑與每一跳延遲 | tracert www.example.com |
| nslookup | 全平台 | 查詢 DNS 解析結果 | nslookup www.example.com |
| dig | Linux | 進階 DNS 查詢,顯示完整回應 | dig @8.8.8.8 example.com A |
| ipconfig / ifconfig / ip | Windows / Linux | 檢視本機 IP 設定 | ipconfig /all |
| netstat / ss | 全平台 | 檢視連線狀態與監聽的連接埠 | netstat -an |
| arp | 全平台 | 檢視或管理 ARP 快取 | arp -a |
| pathping | Windows | 結合 ping 與 tracert 功能 | pathping 10.0.0.1 |
| tcpdump / Wireshark | Linux / 全平台 | 封包擷取與分析 | tcpdump -i eth0 port 80 |
| nmap | 全平台 | 連接埠掃描與服務偵測 | nmap -sV 192.168.1.0/24 |
常見問題與排查方向#
常見故障情境與對應排查步驟
無法上網
- 檢查實體連線(網路線是否鬆脫、交換器燈號)
- 確認 IP 設定正確(
ipconfig /all) - 能否 ping 到閘道器?能否 ping 到外部 IP(如 8.8.8.8)?
- 若 ping 外部 IP 成功但無法瀏覽網頁,檢查 DNS 設定(
nslookup) - 檢查防火牆規則是否阻擋
網路時斷時續
- 檢查線材品質與接頭是否氧化或接觸不良
- 檢查交換器錯誤計數(CRC error、collision)
- 確認是否有 IP 衝突(事件日誌)
- 檢查是否有迴圈(STP 問題)
特定服務無法存取
- 確認服務是否正在執行
- 檢查服務監聽的連接埠是否正確(
netstat -an) - 從用戶端測試連接埠連通性(
telnet或Test-NetConnection) - 檢查防火牆與 ACL 規則
故障排除的關鍵在於系統化與記錄。每次處理完故障,應記錄問題現象、排查過程與最終解決方案,作為知識庫累積,加速未來類似問題的處理速度。