1. 可以雙就不要選單
一對,通常就代表了提供容錯的機制,這對於一個需要高可靠性的網路拓樸架構有其必要性。
當一個定點必須建立新的機櫃或機房時,能夠選兩台設備的就不要選一台;這原則在伺服端也適用。
比如說,如果需求要40個點位含未來擴充可能性,而此時一台48Port的報價與兩台24Port的性能相若、價格也接近,如果我是網路規畫的設計者,要選後者,以達到高HA的可能,兩台就能分散風險,一台48Port設備如果陣亡,代表你後面直接衝擊影響40個用戶使用網路,而且要找得到可以頂替48Port網路設備並不容易,如果他還是使用POE Switch就更加麻煩。
2. 集中控管與降低階層
虛擬化可以建置的很徹底,而集中化管理是最重要的一環,所以IP位址的分配與路由就很重要,在區域網路內儘量保持透通性,讓管理變得方便,可能話儘量把拓樸圖跟邏輯架構圖劃出,保持架構的完整性與透通性質。並維護特定的網段作為網管用途,並確保連通性,不要使用預設的vlan1網段增加其安全性。
以前會提倡三層式網路架構,現在則會建議將階層數降低,越少越好,當client出口到Internet時,Hop數是越少越好,每多一層裝置要通過,都一定會有Throughput的問題。
3. 實體安全與應用安全
很多人再強調資安的時候都誤以為是網路的問題,問題是,很多時候根本不是。實際上,實體安全非常重要,當你將網路設備暴露於一個高危險的環境,例如:人來人往的場所,此時你就要思考該備的實體安全,是否要上鎖防盜?是否會被人誤用或竄改設定?是否有可能被有心人士亂搞?(例如:小HUB接成LOOP)
接下來是應用層級的安全,在強大的硬體防火牆都擋不住應用程式的漏洞(Ex:後門被開啟)、作業系統漏洞跟資料庫語法的缺失(Ex:SQL Injection),這跟資安有關係,但是他跟網路並沒有關係,因為這些東西並不是由網路所衍生出來的漏洞。
4. 實際與虛擬頻寬同時考慮
請務必在任何一層都考慮架構跟流量,還有網路連線怎麼走? 不要等到設備已經買好再來考慮,虛擬頻寬能吃到的量一定卡在實體頻寬上,不可能實體頻寬只有100,但是虛擬頻寬能跑到giga的可能。而且有些設備以頻寬計算license,例如:Loadbalance設備;而有些設備可以限制或保證頻寬,例如:FW的Context的限制頻寬用量,Router的QOS功能等。
還有從伺服器角度來看,單一服務的流量上限會卡在單一實體裝置上,不會因為你虛擬裝置用實體頻寬綁成一捆,就能全吃,這觀念是錯誤的。
5. 備份與災難復原
這是在網路架構設計上,最應該被重視的一個點,先想任何端點災難發生時,應該如何處置,怎樣能夠最迅速的恢復網路運作,當這個架構可以經得起挑戰的時候,就表示該網路架構以堅不可催。他跟第一點互相輝映,當然還有更重要的是除了網路以外,伺服器、資料庫與應用服務跟虛擬化架構也要同時的考慮進去,這樣才會是一個災難復原的完整解決方案。古人有云:未雨綢繆,便是此意。
