寬帶接入網(wǎng)是非常值得我們?nèi)�學(xué)習(xí)的領(lǐng)域，于是我研究了一下接入網(wǎng)中企業(yè)路由器的配置方法，在這里拿出來和大家分享一下，希望對(duì)大家有用。網(wǎng)絡(luò)安全，對(duì)于中小企業(yè)網(wǎng)管來說已是一門必修課。本文作者收集了Qno俠諾在中國(guó)各地支持企業(yè)用戶的心得，供讀者參考。首先，我們從基本配置談起，即路由器的廣域網(wǎng)及局域網(wǎng)如何進(jìn)行配置，主要的目的，讓中小企業(yè)用戶在進(jìn)行規(guī)劃時(shí)，就能善用路由器的各種功能，提供給內(nèi)部用戶更好的網(wǎng)絡(luò)服務(wù)，提升企業(yè)的經(jīng)營(yíng)效益。

綜合Qno俠諾技術(shù)服務(wù)部的實(shí)際支持經(jīng)驗(yàn)，一般中小企業(yè)在進(jìn)行安全路由器的基本配置時(shí)，需要特別注意的有廣域網(wǎng)端、局域網(wǎng)端及公共服務(wù)器三個(gè)方面。以下分別就這三個(gè)方面加以介紹。

一、廣域網(wǎng)端

廣域網(wǎng)端就是路由器對(duì)外接到網(wǎng)絡(luò)運(yùn)營(yíng)商的線路。廣域網(wǎng)線路也是寬帶接入網(wǎng)的主要路徑，因此若是發(fā)生掉線或是擁塞，則企業(yè)的寬帶接入網(wǎng)就會(huì)中斷！這個(gè)情況對(duì)于有些企業(yè)會(huì)發(fā)生很大的困擾。因此廣域網(wǎng)端在安全的首要思維，就是如何確保線路的穩(wěn)定，維持企業(yè)在各種情況下的運(yùn)作。

大部份中小企業(yè)，由于上網(wǎng)人數(shù)較小、或是經(jīng)費(fèi)有限，因此大多采用單線ADSL即可。企業(yè)對(duì)帶寬的需要較大，或是對(duì)于網(wǎng)絡(luò)要求較高的，例如服務(wù)業(yè)或是外貿(mào)行業(yè)，則可能采用相對(duì)費(fèi)用較高的光纖。根據(jù)Qno俠諾支持用戶的經(jīng)驗(yàn)，發(fā)現(xiàn)以下情況，較傾向采用多WAN線路的配置：偶而需要大量上／下載：由于信息化的結(jié)果，很多企業(yè)需要不時(shí)進(jìn)行大量的上下載的操作。例如成都的某礦產(chǎn)商貿(mào)公司每天下班時(shí)，需要上傳銷售報(bào)告及存貨數(shù)據(jù)，需要較多的時(shí)間。又例如位于寧波的某民營(yíng)企業(yè)，經(jīng)常需要從國(guó)外客戶的服務(wù)器下載設(shè)計(jì)圖作為生產(chǎn)之用。當(dāng)要進(jìn)行下載時(shí)，網(wǎng)管一般都不希望受到一般用戶上網(wǎng)或下載影響，因此可申請(qǐng)兩條線路：一般情況下兩條線路都開放作為用戶上網(wǎng)用；但是當(dāng)需要進(jìn)行特別工作時(shí)，則可加以管制，保留特定的線路給大量上下載的工作，以確保重要的數(shù)據(jù)能準(zhǔn)時(shí)傳送。采用多WAN配置后，網(wǎng)管加班在辦公室等待數(shù)據(jù)傳送的情況，就可大大減少了！

有跨網(wǎng)問題時(shí)：山東濟(jì)南某農(nóng)產(chǎn)品的商貿(mào)公司，常常需要和在北京的總部建立VPN聯(lián)機(jī)，但是不知道為什么，聯(lián)機(jī)總是很不穩(wěn)定，常常數(shù)據(jù)還沒傳完，又得重新聯(lián)機(jī)。這種情況，很可能就是VPN建立跨過不同的運(yùn)營(yíng)商網(wǎng)絡(luò)所產(chǎn)生的不穩(wěn)定問題，例如總部采用網(wǎng)通的線路，而分支采用電信的線路，跨網(wǎng)帶寬不足，而產(chǎn)生的現(xiàn)象。這種情況，也可采用多WAN路由器解決，即總部同時(shí)寬帶接入網(wǎng)通及電信的線路，屬于網(wǎng)通線路的外點(diǎn)從網(wǎng)通的入口建立VPN，電信的外點(diǎn)則從電信線路建VPN，這樣即可解決跨網(wǎng)帶寬小或不穩(wěn)定的情況。

需要備援時(shí)：多WAN線路的另一個(gè)優(yōu)點(diǎn)是提供備援功能。一個(gè)常見的情況是有些地區(qū)運(yùn)營(yíng)商會(huì)增送光纖用戶ADSL線路，這時(shí)就可以光纖配合ADSL作備援，在前者發(fā)生故障時(shí)，以ADSL先頂著用。有的用戶則希望用不同運(yùn)營(yíng)商的線路，這樣在A運(yùn)營(yíng)商線路或機(jī)房發(fā)生問題時(shí)，可以B運(yùn)營(yíng)商線路替代。對(duì)于某些行業(yè)，例如媒體行業(yè)，需要隨時(shí)可以上網(wǎng)，這個(gè)功能就顯得尢為重要。

AD帶寬不足時(shí)：一般企業(yè)用ADSL來的多，根據(jù)統(tǒng)計(jì)顯示中小企業(yè)寬帶用戶增加最多的就是采用ADSL上網(wǎng)。但有些地區(qū)提供的ADSL相對(duì)帶寬顯得較小，例如64K/64K的線路，對(duì)于企業(yè)應(yīng)用顯然不足，不過申請(qǐng)光纖又比幾條ADSL還來得貴，在這種情況下，利用多WAN路由器匯聚多條ADSL線路，不失為一可行又省錢的方法。

由于廣域網(wǎng)端為企業(yè)上網(wǎng)唯一的路線，因此對(duì)于企業(yè)上網(wǎng)有決定性的重要。Qno俠諾的市場(chǎng)調(diào)查顯示，現(xiàn)階段很多企業(yè)對(duì)于無線寬帶接入網(wǎng)，例如3G或是WiMax都表示了相當(dāng)?shù)呐d趣，希望能用無線寬帶接入網(wǎng)作為有線寬帶接入網(wǎng)的輔助，這或多或少也代表了企業(yè)對(duì)于廣域網(wǎng)端接入的重視及期望。

二、局域網(wǎng)端

局域網(wǎng)端則是對(duì)內(nèi)接到企業(yè)用戶的線路，有些路由器本身有局域網(wǎng)端口，可下接交換機(jī)；有的網(wǎng)管則會(huì)將路由器先接到骨干交換機(jī)，再向下接到一般的交換機(jī)。以上這兩種作法均可，后者適合較大的吞吐量的應(yīng)用情況，一般的企業(yè)應(yīng)用，路由器的局域端口是可以隨著帶寬轉(zhuǎn)發(fā)的。因此在硬件配置，這是較為簡(jiǎn)單的。

Qno俠諾技術(shù)服務(wù)人員的經(jīng)驗(yàn)指出，要進(jìn)行一個(gè)好的安全網(wǎng)絡(luò)的配置，IP的管理是頂重要的。IP就是計(jì)算機(jī)在互聯(lián)網(wǎng)的地址，因此要能有效管理地址，才能預(yù)防攻擊或針對(duì)有問題的計(jì)算機(jī)加以管制。對(duì)于網(wǎng)管而言，在IP管理方面要注意的事項(xiàng)，主要為計(jì)算機(jī)采用固定IP地址、服務(wù)器發(fā)放固定IP、防止未允許的計(jì)算機(jī)上網(wǎng)及群組管理等四個(gè)重要項(xiàng)目，以下分別進(jìn)行說明：

計(jì)算機(jī)采用固定IP地址：計(jì)算機(jī)采用固定IP地址，是最嚴(yán)密的配置方式。這個(gè)作法，必須要求用戶在計(jì)算機(jī)中手動(dòng)鍵入IP地址相關(guān)數(shù)據(jù)。這樣做的好處是每臺(tái)機(jī)器的IP都必須是事先指定，沒有事先指定的IP，則無法上網(wǎng)，外來的用戶或是計(jì)算機(jī)不能輕易地通過企業(yè)網(wǎng)絡(luò)上網(wǎng)。不過對(duì)于用戶而言，必須要設(shè)定固定IP，到其它場(chǎng)合又要重新設(shè)定，對(duì)于部份常需要移動(dòng)的用戶，例如業(yè)務(wù)人員或是高階主管，造成不小的困擾。

DHCP服務(wù)器發(fā)放固定IP：DHCP服務(wù)器的好處是用戶無需在計(jì)算機(jī)上作任何設(shè)置，對(duì)于用戶較方便。但是DHCP的缺點(diǎn)是若不加以管制，隨便一個(gè)用戶也能進(jìn)入企業(yè)的網(wǎng)絡(luò)，也容易發(fā)動(dòng)對(duì)內(nèi)部的攻擊，造成影響。因此對(duì)于企業(yè)寬帶接入網(wǎng)而言，較好的方式是通過DHCP發(fā)放IP地址，但同時(shí)限定計(jì)算機(jī)能取得的IP地址，以便進(jìn)行管理。Qno俠諾路由器的IP/MAC綁定功能，即可以根據(jù)網(wǎng)管的配置，認(rèn)明計(jì)算機(jī)的MAC地址發(fā)放特定的IP，這樣就可針對(duì)IP進(jìn)行管理。同時(shí)IP/MAC綁定功能也可防止用戶修改IP，以取得較高權(quán)限問題，錯(cuò)誤的MAC/IP組合，將會(huì)被路由器“封鎖錯(cuò)誤MAC地址”阻擋，這個(gè)功能也可防止ARP攻擊。