0120intranet.htm

鸟哥的linux私房菜

	<span class=text_h2>
	    2.1 <a href="#linux_hw">主机硬体的选择</a><br />
	    2.2 <a href="#linux_dis">distributions</a><br />
	</span>
3. <a href="#windows_winxp">Windows 个人电脑网路设定范例</a><br />
<span class=text_h2>
4. <a href="http://phorum.vbird.org/viewtopic.php?p=112104"
        target="_blank">针对本文的建议∶http://phorum.vbird.org/viewtopic.php?p=112104</a>
</span>
</span>
</div>


<!-- 本文的正式部分 -->
<hr /><a NAME="connect"></a><img src="images/penguin-m.gif" alt="大标题的图示" height="34" width="25" align="middle" /><span class="text_h1">区域网路的连线</span><br />
<div class=block1>
	谈完了<a href="0110network_basic.php">网路基础</a>后，
	现在就让我们实际的来将家里或者小型企业内部的全部电脑给他连接起来吧！
	当然啦，我们这里主要介绍的是小型区域网路的架构，如果是比较大型的企业内部，
	那么将『配线盘、线路设计、墙上网路孔』分别拆开施工的结构化布线会比较妥当，
	不过，结构化布线并非本文所想要讨论的，如果您的企业有需求的话，可以向专业人士寻求协助，
	举例来说，酷学园(<a href="http://phorum.study-area.org" target="_blank"
	>http://phorum.study-area.org</a>)的 ZMAN 兄就是一位很棒的网路布线专家。
	无论如何，先来将所有的网路硬体连线起来吧！<br /><br />

	<hr /><a name="connect_lan"></a><img src="../images/penguin-s.gif" alt="小标题的图示" height="23" width="16" align="middle" /><span class=text_h2>什么是区域网路</span><br />
	<div class=block2>
		<span class=text_import2>区域网路 (Local Area Network, LAN)</span> 顾名思义就是在我们所属区域的所有网路嘛！
		如果由前一章<a href="0110network_basic.php">网路基础</a>提到的相关网域概念来看的话，
		我们可以说区域网路就是在同一个网域内所有连线主机及网路媒体的统称。
		此外，区域网路通常是在同一个物理网段以内的，虽然藉由网路位址的设定可以规范出许多不同的 IP 网段，
		不过，通常我们还是会称这样的环境为区域网路的。<br /><br />

		总之，区域网路就是在您主机附近的网路环境，通常是在同一个物理网段内，IP 网段通常也在同一网域内。
		比如说大学的学生宿舍内的网路环境，其实都是透过整栋大楼的 switch 集中连线，
		所以是在同一个物理网段内，就常被称为区域网路棉。<br /><br />

		相对于区域网路而言，区域网路外的环境就可以被称为<span class=text_import2>广域网路
		(Wide Area Network, WAN)</span>。这也是为什么在您家里的数据机上面的网路插孔上，总是有著 
		LAN 与 WAN 这两个插孔与灯号的存在啊！ ^_^<br /><br />

		由前一章我们知道 <span class=text_imoprt2>Internet</span> 其实就是由 INTERNIC 所维护的一个架构松散的连线介面
		( 其实也不能说是维护，只是 INTERNIC 有提供一些技术文件以及 Public IP 申请的相关资讯公布而已 )，
		任何人只要能够取得 Public IP 就可以连上 Internet 棉，同时 Internet 上头也是没有王法的地方，
		要特别留意您的连线啊！OK，那什么是 <span class=text_import2>Intranet</span> ？相对于 Internet 
		是没有专属维护者的介面而言， Intranet 则是专属的私人网域，只是这个网域使用的是类似 Internet 的连线架构，
		例如使用私有 IP 架设 TCP/IP 区域网路的环境就能够被称为是 Intranet 棉。<br /><br />

		如果要定义的更为狭义的话，我们可以说，区域网路就是在同一个物理网段的环境内，
		使用私有 IP 或者是区域网路适用的通讯协定所串起来的一个网路环境。
		既然区域网路常常使用私有 IP ，那么区域网路可否连上 Internet 啊？『当然可以』！
		简单的话，可以使用 IP 分享器来取得 Public IP 上网，复杂的话，
		可以使用 Linux 主机架设 NAT (Network Address Translation) 伺服器来转址，
		就能上网啦！由于私有 IP 不会与 public IP 冲突，
		并且也可以避免直接与 Internet 的资料互通，可以减少很多被主动攻击的情况。
		所以啊，您的区域网路最好还是设定私有 IP 比较妥当呐！<br /><br />
	</div>

	<hr /><a name="connect_topo"></a><img src="../images/penguin-s.gif" alt="小标题的图示" height="23" width="16" align="middle" /><span class=text_h2>区域网路的布线规划</span><br />
	<div class=block2>
		记得以前听 ZMAN 大哥某场演讲的时候提到，网路布线是『数十年大计』中最重要的一环，
		因为『<span class=text_import2>伺服器主机能力不够时换主机就好了，Switch 交换力不足时换 switch 就好了，
		但如果布线不良，难道要拆掉房子将管线挖出来重新安装设定？</span>』所以说，
		最初规划的布线严谨度真的会影响到未来网路的分布情况啊！所以说，
		如果您的企业『整栋大楼需要重新布线』时，真的非常建议您务必要找寻专业网路布线专家帮忙设计规划，
		因为连一个小小的机柜配线箱都有大学问～设计的好的话，每部独立的主机要改线路、
		要换插孔都变的很简单！而且主机到墙上插孔的距离也会变的很短，维护也会很方便！线段也会很美观！
		当然啦，如此一来，网路线材的选择也就不能够用太差的！而且网路布线经过折角区时，
		也需要特别留意施工呐。<br /><br />

		但是本文讨论的是一些比较小的区域网路环境，这样的环境可以是在一间办公室内而已，
		所以我们这里谈到的大多是比较单纯的布线状态，并没有考虑到办公室外部的环境，
		所以参考本文时，请特别留意这种差异性喔！<br /><br />

		在这样单纯的环境中，我们可以利用一个以 switch 为中心来串连所有设备的星形连线 (star topology)
		架构来设计我们的区域网路啊！在这样的环境中您需要担心的是『
		<span class=text_import2>那我的 Linux 伺服器要放在那个地方</span>？』
		会考虑 Linux 伺服器是因为鸟哥假设你需要在你的区域网路内架设对 Internet 开放网路的服务！
		而 Linux 是否具有 Public IP 对于主机的维护与设定的复杂度有很大的影响，所以当然需要考量棉！
		底下鸟哥以目前在台湾挺流行的 ADSL 利用电话线路上网的环境来说明几种连线状态∶<br /><br />

		<hr /><span class=text_import1>Linux 主机直接连到 Internet 的环境∶</span><br />
		<div class=block2>
		在底下的环境当中，鸟哥假设我们仅有一条 ADSL 的对外连线，也就是说，
		我们的 Linux 与一般 PC (不论何种作业系统) 都是透过同一条线连到 Internet 上面去的。<br /><br />

		<span class=text_import1>让 Linux 与一般 PC 在同等地位∶</span><br /><br />
		如果您使用的 ADSL 是多 IP 的条件 (例如拨接可以给予 2-8 个 IP 的情况)，
		那么最简单的方式就是如下图一的连线模式∶<br /><br />

		<center><a name=fig_1></a>
		<img src="0120intranet/connect_01.png"
		title="Linux 伺服器取得 public IP 的连线方式之一" alt="Linux 伺服器取得 public IP 的连线方式之一">
		<br />图一、Linux 伺服器取得 public IP 的连线方式之一(具有多个可用 IP 情况)</center><br />

		在这种连线模式当中， Linux 与一般 PC 或印表机都是同等地位，并没有谁比较『大尾！』^_^
		如果不急著连上 Internet 时，那么<span class=text_import2>每个设备都给予一个同网域的私有 
		IP 就可以进行网路连线的工作了</span>，
		您也可以很快乐的使用印表机或者是网路上的芳邻等等工作。
		此外， Linux 伺服器也可以作为内部的档案伺服器或者是印表机伺服器等等。<br /><br />

		当需要连上 Internet 时，每部电脑 (包括 PC 与 Linux 主机) 都可以直接透过拨接连上，
		而由于拨接是在每部机器上面『<span class=text_import2>额外增加一个实体的 ppp0 介面</span>』，因此，
		拨接上网之后每部主机还是可以使用原有的区域网路内的各项服务，而无须更动原本设定妥当的私有 IP 。
		这样的情况对于一般家庭使用者来说，可以算是最佳的解决方案啦！因为如果您的 Linux 主机挂点时，
		其他个人的 PC 是不会被影响的！<br /><br />

		不过这样的环境对于小型企业主来说，却不好管理。因为无法掌握每个员工实际上网的情况，
		而且对于防火墙来说，『<span class=text_import2>根本就是一个没有防火墙的环境</span>』，所以，
		是没有办法对员工进行任何实际网路的掌控的，并且由于网路内外部  (LAN 与外部环境)
		并没有明确的分开，网管人员对于进入用户端的封包是没有任何管理的能力，
		所以对于网路安全来说，是很难管控的一种环境啊！因此对于企业来说，不建议这种环境。<br /><br />

		<span class=text_import1>让 Linux 与一般 PC 分开∶</span><br /><br />
		如果您有多个可用的 public IP ，并且您的 Linux 伺服器主要是提供 Internet 的 WWW 或 mail 服务，
		而不是作为内部的档案伺服器之用，那么将 Linux 伺服器与内部的网域分开也是个可行的方法，
		而且 Linux 拥有 public IP，在设定与维护上面也不困难，如下所示∶<br /><br />

		<center><a name=fig_2></a>
		<img src="0120intranet/connect_02.png"
		title="Linux 伺服器取得 public IP 的连线方式之一" alt="Linux 伺服器取得 public IP 的连线方式之一">
		<br />图二、Linux 伺服器取得 public IP 的连线方式之二(具有多个可用 IP 情况)</center><br />

		所有的 LAN 内的电脑与相关设备都会在同一个网域内，所以在 LAN 内的传输速度是没有问题的，
		此外，这些电脑要连出至 Internet 时，必须要透过 IP 分享器，
		所以您也可以在 IP 分享器上面设定简单的防火墙规则，
		如果 IP 分享器可以换更高阶的设备时，那么您就可以在该设备上面架设规则较为完整的防火墙，
		对于内部主机有相当程度的管理，并且好维护啊！<br /><br />

		<span class=text_import1>让 Linux 直接管理 LAN∶</span><br /><br />
		如果您不想要购买 IP 分享器的话，那么直接利用 Linux 伺服器来管理就好了啊！
		没错啊！那么你可以这样布线∶<br /><br />

		<center><a name=fig_3></a>
		<img src="0120intranet/connect_03.png"
		title="让 Linux 管理 LAN 的布线情况" alt="让 Linux 管理 LAN 的布线情况">
		<br />图三、让 Linux 管理 LAN 的布线情况</center><br />

		这种情况下，不论你有多少个 IP 都可以适用的，尤其是当你只有一个 public IP 时，就非得使用这种方式不可了。
		让 Linux 作为 IP 分享器的功能相当的简单，同时 Linux 必须具备两张网路卡，分别是对外与对内，
		由于 Linux 依旧具有 public IP ，所以在伺服器的设定与维护上相当的简单，
		同时 Linux 伺服器可以做为内部网域对外的防火墙之用，由于 Linux 防火墙的效能挺不错
		加上设定也很简单，功能却也是很不错的！因此，网路管理人员也较能进行较完善的掌控，
		并且， Linux 伺服器也要比高阶的硬体防火墙便宜多了！ ^_^
		鸟哥个人是比较喜好这种方式的连线啦！<br /><br />

		不过，我们都知道『<span class=text_import2>伺服器提供的网路服务越单纯越好</span>』，
		因为这样一来主机的资源可以完全被某个程式所使用，不会互相影响，而且当主机被攻击时，
		也比较能够立即了解是那个环节出了问题。但是如同图三的状况来说的话，
		由于内部的 LAN 是需要通过 Linux 才能连线出去，所以 Linux 挂点时，整个对外连线就挂了，
		此外， Linux 的服务可能就太复杂了点，可能会造成维护上的困难度。
		但对于小型区网来说，图三这种架构还是可以应付的来的啦！<br /><br />
		</div>

		<hr /><span class=text_import1>Linux 主机放在 LAN 里面∶</span><br />
		<div class=block2>
		瞎密？我们的 Linux 主机放在 LAN 里面？有没有搞错啊？没搞错啊～
		比较大型的企业通常会将他们的伺服器主机放置在机房内，主要是在 LAN 的环境下，
		再透过防火墙的封包重新导向的功能，将来自 Internet 的封包先经过防火墙后才进入到伺服器，
		如此一来可在防火墙端就砍掉一堆莫名其妙的侦测与攻击，当然会比较安全啊！
		这种架构还依防火墙的多寡而又可分为非军事区(DMZ)的配置，不过，太麻烦了～不建议初学者直接使用。
		底下我们仅介绍较简单的架构来说明∶<br /><br />

		<center><a name=fig_4></a>