無論是內部應用或是外部連線，幾乎每家公司都有網路使用的需求。但是網路管理有時候並不容易，因為現在的技術發展快速，對於一般公司來說，網路使用必須要兼顧成本考量、方便性還有安全性。所幸有許多人在這方面投入了大量的智慧心血，創造了許多方法和工具。我們只需要準備好相關的入門知識，就能好好地利用。底下我們就來看看，企業網路管理常用的方法有哪些：

    多線負載平衡：為了維持對外網路的穩定和速度，可以考慮和不同的 ISP
業者申請連外頻寬，並且使用頻寬合併或分流的方法，讓連外網路使用最佳化。多個 ISP
的好處是當某家業者的網路設施出現問題時(譬如常聽見某某海纜又被漁船弄斷了)，還有別的出口可以使用。而讓不同功能的流量分開也是常見的作法，譬如對網路延遲敏感的語音和視訊流量，就申請品質較好的線路來因應，反之如
FTP 等傳輸，就可以選擇大流量但優先權較低的線路。Mail 傳輸不需考慮延遲，但是固定 IP 和 DNS 反解可確保信件收發的穩定。利用不同
ISP,不同品質的線路來作為不同的用途，並且讓它們彼此可以混合互相備援，就可以有效降低成本並且提高穩定性。多線並用的缺點是它也提高了網路的複雜度，所以必須考慮路由的規劃，線路擁塞或故障時的切換，DNS
的策略等等。當這些技術問題被克服之後，採用多線並用的連外方式，將能帶來極大的效益。

VLAN 規劃：公司內部的網路，應該要做好劃分和權限控管，而 VLAN 的使用就是最普遍的方式。一般會按照工作的性質來劃分 VLAN,
譬如同一個部門的會分在一個網段，公司的 Server
會放在一個網段，其他如來賓、實驗室、研發單位等等，也會各自規劃不同網段並賦予不同的權限。把網段切分清楚除了權限管理之外，也有很好的管理效果，譬如公司內部如果用
IP 話機，那麼將語音流量劃分為一個 Voice Vlan 並做 QOS,
就可以保障通話品質，而如果公司內部有人不幸中毒或是亂裝軟體影響網路時，通常也只會影響到當事人所在的網段，可以有效降低風險。因此公司內部網路規劃的時候，VLAN
的規劃應該要優先考量。

無線網路規劃：很多員工都會想要使用無線網路，但是其實無線網路所能提供的只有方便性，在穩定度和頻寬使用以及安全性上，都比不上有線網路。然而隨著一些輕薄裝置的興起，譬如平版電腦和智慧型手機，欠缺有線網路的功能，當要在公司內使用這類裝置時，就必須裝設無線
AP。如同有線網路一般，無線網路也必須做好等級劃分和權限控管，所以必須使用支援 VLAN 以及多重 SSID 的
AP，按照使用者特性來開放權限。另外安全性問題也是無線網路的一大挑戰。最好能夠使用 WPA 加上 Radius Server
的方式來認證使用者，如果實作有困難的話(譬如某些裝置不支援這樣的認證方法)，至少也要定期更換密碼加上 Mac address
的鎖定。更好的方法是使用彈性的策略來認證使用者，譬如一般電腦可使用網域帳號 + WPA 方式認證，智慧型手機可以使用固定密碼 + Mac
address 認證，而一般來賓只需使用密碼認證，但密碼可每天變換。

代理伺服器：有效維護內部網路安全的另一個方法是使用代理伺服器，讓內部員工不能直接連上外網，只能透過代理伺服器。缺點是有些軟體也許不支援此種方式，所以必須另外設定。有了代理伺服器之後，內部電腦的連網行為就能得到有效的控制與管理，因為目前使用者連網的方式有超過
95% 以上都是使用 HTTP 協定連上外部網站，所以現在常見的代理伺服器大多是 HTTP 類型的。 Squid 就是一套使用人數眾多的
HTTP
代理伺服器，除了管理之外，代理伺服器的統一出口特性，對於某些應用也有幫助，譬如大陸分公司的員工透過代理伺服器之間的連結，就能連上原本在大陸地區禁止連接的網站。

=== Hint ===
Squid 官網： http://www.squid-cache.org

VPN 規劃：無論是分公司之間彼此互連，或是同仁在外在家的行動辦公室需求，VPN 都是一個必然的選項。VPN 的可行方案有很多，其中
open source 的 OpenVPN，既適用於分公司間彼此連接的網狀架構，也可用於每個使用者連回公司的 client-server
架構。而且 OpenVPN 是跨平台的，Windows 和 Linux 皆可使用，還有足夠的彈性能配合自行撰寫的 script,
對防火牆也非常友善，種種優點使得 OpenVPN 雖然背後雖然沒有大廠撐腰，卻能和 IPsec 或是 PPTP
等協定分庭抗禮，成為許多網管人員最後的選擇。

=== Hint ===
OpenVPN 官網： http://www.openvpn.net

網路封包截取分析：當網路發生問題時，往往都需要有工具來分析網路封包內容，才能找出兇手何在， Wireshark
無疑是最多人使用的這類型工具。當內部網路有人中毒或是使用軟體不當，使用 Wireshark
能夠讓肇事者無所遁形。除此之外，若要分析或了解某些網路協議的行為，以便做更進一步的優化或處理時，Wireshark 也是最好的輔助工具。

=== Hint ===
Wireshark 官網： http://www.wireshark.org

網路設備與流量監控：網路做好規劃，順利上線運作之後，仍然必須做好長期的監控準備。這主要有兩種類型，首先是若有任何設備或線路損壞，管理者可以第一時間得知，並立刻反應，執行障礙報修或是設備更換的動作。這類的監控軟體有很多，譬如
Nagios,Zenoss,Zabbix 等等。另一種類型的監控，則是透過 Gateway,Mirror,或是 NetFlow
的方式，長期的收集網路流量數據，這類軟體的優點是可以對目前網路使用狀況一目瞭然，而且時間久了之後，若是網路使用行為有不同模式發生的時候，就可以深入追查，看是否有什麼環節發生問題。ntop
就是一個知名的網路內容分析及蒐集軟體。

=== Hint ===
Nagios 官網： http://www.nagios.org
Zenoss Core 官網： http://community.zenoss.org
Zabbix 官網： http://www.zabbix.com
ntop 官網： http://www.ntop.org

入侵偵測防禦系統：若要在網路管理上化被動為主動，那麼建置入侵偵測防禦系統是一個不錯的開始。將這類系統放在網路上，可以在問題發生之前就先行阻斷。若沒有這類系統，那麼有些問題也許永遠不會被發現，譬如系統已經被入侵卻不自知。Snort
就是一個知名的偵測軟體。

=== Hint ===
Snort 官網：http://www.snort.org

個人設備監控：關於網路行為監控，最徹底的方法自然是監控每個人的電腦，但是這有法律或道德上的風險，只是有些研發單位或許不得不這麼做。有此功能的商業軟體很多，不過似乎並沒有
open source 的軟體做這件事。這類軟體需要在使用者電腦上安裝 agent，並把各種監控結果送回中控的 Server
做後續分析，如此就能紀錄所有使用者的行為。

以上的企業網路處方箋適合從上到下，由淺入深來服用。若能依公司體質或需求，對症下藥，更有事半功倍的效果。事實上，公司網路的健康就如同人體的健康一樣，唯有平常就細心照料，才能常保平安。這些策略和工具，可說是有病治病，沒病強身的經驗之談。