寬帶接入網(wǎng)是非常值得我們去學習的領域，于是我研究了一下接入網(wǎng)中企業(yè)路由器的配置方法，在這里拿出來和大家分享一下，希望對大家有用。網(wǎng)絡安全，對于中小企業(yè)網(wǎng)管來說已是一門必修課。本文作者收集了Qno俠諾在中國各地支持企業(yè)用戶的心得，供讀者參考。首先，我們從基本配置談起，即路由器的廣域網(wǎng)及局域網(wǎng)如何進行配置，主要的目的，讓中小企業(yè)用戶在進行規(guī)劃時，就能善用路由器的各種功能，提供給內部用戶更好的網(wǎng)絡服務，提升企業(yè)的經(jīng)營效益。

綜合Qno俠諾技術服務部的實際支持經(jīng)驗，一般中小企業(yè)在進行安全路由器的基本配置時，需要特別注意的有廣域網(wǎng)端、局域網(wǎng)端及公共服務器三個方面。以下分別就這三個方面加以介紹。

一、廣域網(wǎng)端

廣域網(wǎng)端就是路由器對外接到網(wǎng)絡運營商的線路。廣域網(wǎng)線路也是寬帶接入網(wǎng)的主要路徑，因此若是發(fā)生掉線或是擁塞，則企業(yè)的寬帶接入網(wǎng)就會中斷！這個情況對于有些企業(yè)會發(fā)生很大的困擾。因此廣域網(wǎng)端在安全的首要思維，就是如何確保線路的穩(wěn)定，維持企業(yè)在各種情況下的運作。

大部份中小企業(yè)，由于上網(wǎng)人數(shù)較小、或是經(jīng)費有限，因此大多采用單線ADSL即可。企業(yè)對帶寬的需要較大，或是對于網(wǎng)絡要求較高的，例如服務業(yè)或是外貿行業(yè)，則可能采用相對費用較高的光纖。根據(jù)Qno俠諾支持用戶的經(jīng)驗，發(fā)現(xiàn)以下情況，較傾向采用多WAN線路的配置：偶而需要大量上／下載：由于信息化的結果，很多企業(yè)需要不時進行大量的上下載的操作。例如成都的某礦產商貿公司每天下班時，需要上傳銷售報告及存貨數(shù)據(jù)，需要較多的時間。又例如位于寧波的某民營企業(yè)，經(jīng)常需要從國外客戶的服務器下載設計圖作為生產之用。當要進行下載時，網(wǎng)管一般都不希望受到一般用戶上網(wǎng)或下載影響，因此可申請兩條線路：一般情況下兩條線路都開放作為用戶上網(wǎng)用；但是當需要進行特別工作時，則可加以管制，保留特定的線路給大量上下載的工作，以確保重要的數(shù)據(jù)能準時傳送。采用多WAN配置后，網(wǎng)管加班在辦公室等待數(shù)據(jù)傳送的情況，就可大大減少了！

有跨網(wǎng)問題時：山東濟南某農產品的商貿公司，常常需要和在北京的總部建立VPN聯(lián)機，但是不知道為什么，聯(lián)機總是很不穩(wěn)定，常常數(shù)據(jù)還沒傳完，又得重新聯(lián)機。這種情況，很可能就是VPN建立跨過不同的運營商網(wǎng)絡所產生的不穩(wěn)定問題，例如總部采用網(wǎng)通的線路，而分支采用電信的線路，跨網(wǎng)帶寬不足，而產生的現(xiàn)象。這種情況，也可采用多WAN路由器解決，即總部同時寬帶接入網(wǎng)通及電信的線路，屬于網(wǎng)通線路的外點從網(wǎng)通的入口建立VPN，電信的外點則從電信線路建VPN，這樣即可解決跨網(wǎng)帶寬小或不穩(wěn)定的情況。

需要備援時：多WAN線路的另一個優(yōu)點是提供備援功能。一個常見的情況是有些地區(qū)運營商會增送光纖用戶ADSL線路，這時就可以光纖配合ADSL作備援，在前者發(fā)生故障時，以ADSL先頂著用。有的用戶則希望用不同運營商的線路，這樣在A運營商線路或機房發(fā)生問題時，可以B運營商線路替代。對于某些行業(yè)，例如媒體行業(yè)，需要隨時可以上網(wǎng)，這個功能就顯得尢為重要。

AD帶寬不足時：一般企業(yè)用ADSL來的多，根據(jù)統(tǒng)計顯示中小企業(yè)寬帶用戶增加最多的就是采用ADSL上網(wǎng)。但有些地區(qū)提供的ADSL相對帶寬顯得較小，例如64K/64K的線路，對于企業(yè)應用顯然不足，不過申請光纖又比幾條ADSL還來得貴，在這種情況下，利用多WAN路由器匯聚多條ADSL線路，不失為一可行又省錢的方法。

由于廣域網(wǎng)端為企業(yè)上網(wǎng)唯一的路線，因此對于企業(yè)上網(wǎng)有決定性的重要。Qno俠諾的市場調查顯示，現(xiàn)階段很多企業(yè)對于無線寬帶接入網(wǎng)，例如3G或是WiMax都表示了相當?shù)呐d趣，希望能用無線寬帶接入網(wǎng)作為有線寬帶接入網(wǎng)的輔助，這或多或少也代表了企業(yè)對于廣域網(wǎng)端接入的重視及期望。

二、局域網(wǎng)端

局域網(wǎng)端則是對內接到企業(yè)用戶的線路，有些路由器本身有局域網(wǎng)端口，可下接交換機；有的網(wǎng)管則會將路由器先接到骨干交換機，再向下接到一般的交換機。以上這兩種作法均可，后者適合較大的吞吐量的應用情況，一般的企業(yè)應用，路由器的局域端口是可以隨著帶寬轉發(fā)的。因此在硬件配置，這是較為簡單的。

Qno俠諾技術服務人員的經(jīng)驗指出，要進行一個好的安全網(wǎng)絡的配置，IP的管理是頂重要的。IP就是計算機在互聯(lián)網(wǎng)的地址，因此要能有效管理地址，才能預防攻擊或針對有問題的計算機加以管制。對于網(wǎng)管而言，在IP管理方面要注意的事項，主要為計算機采用固定IP地址、DHCP服務器發(fā)放固定IP、防止未允許的計算機上網(wǎng)及群組管理等四個重要項目，以下分別進行說明：

計算機采用固定IP地址：計算機采用固定IP地址，是最嚴密的配置方式。這個作法，必須要求用戶在計算機中手動鍵入IP地址相關數(shù)據(jù)。這樣做的好處是每臺機器的IP都必須是事先指定，沒有事先指定的IP，則無法上網(wǎng)，外來的用戶或是計算機不能輕易地通過企業(yè)網(wǎng)絡上網(wǎng)。不過對于用戶而言，必須要設定固定IP，到其它場合又要重新設定，對于部份常需要移動的用戶，例如業(yè)務人員或是高階主管，造成不小的困擾。

DHCP服務器發(fā)放固定IP：DHCP服務器的好處是用戶無需在計算機上作任何設置，對于用戶較方便。但是DHCP的缺點是若不加以管制，隨便一個用戶也能進入企業(yè)的網(wǎng)絡，也容易發(fā)動對內部的攻擊，造成影響。因此對于企業(yè)寬帶接入網(wǎng)而言，較好的方式是通過DHCP發(fā)放IP地址，但同時限定計算機能取得的IP地址，以便進行管理。Qno俠諾路由器的IP/MAC綁定功能，即可以根據(jù)網(wǎng)管的配置，認明計算機的MAC地址發(fā)放特定的IP，這樣就可針對IP進行管理。同時IP/MAC綁定功能也可防止用戶修改IP，以取得較高權限問題，錯誤的MAC/IP組合，將會被路由器“封鎖錯誤MAC地址”阻擋，這個功能也可防止ARP攻擊。