在本篇內容,我們將以上一篇建立的本地辦公室基本設定為基礎,整合新功能以增強功能和效率。
文/屠震
以下是我們將要實施的具體改進:
- 使用者的網際網路存取:使用者需要存取網際網路才能使用基於網際網路的應用程式,例如 salesforce.com 和 Gmail。 我們將確保與這些外部服務的連線穩定、可靠。
- 簡化和自動化的電腦設定:我們將簡化辦公室電腦的設定流程,盡可能實現自動化,以加快電腦的設定和配置。
將這些新功能整合到我們現有的本地辦公室網路基礎設施中,目標是提升使用者體驗,提高效率,降低管理成本。
[ 必讀文章:網路安全 ─ 建立地區辦公室(1) ]
內容目錄
隱藏
網際網路存取設定
以下是該過程的詳細說明:
- 電腦發起存取請求
當辦公室內的電腦需要存取網際網路時,會生成資料封包,這些封包首先被發送到本地網路的交換機。 - 交換機到數據機
然後,本地網路交換機將這些資料封包轉送到數據機,數據機通常被設定為本地辦公室網路的預設閘道(Gateway),專門處理所有需要發往外部網路的流量。
‧預設閘道
在電腦上設置 IP 位址時,你需要將預設閘道指定為網際網路流量流經的數據機(或路由器)的 IP 位址。通常就是將數據機接到辦公室交換機的一個網路卡的 IP 位址(例如 192.168.1.1)指派給電腦網路設定中的「預設閘道」欄位。
‧驗證
在 Windows 操作系統中,可以執行「ipconfig /all」命令來驗證主機的網路設定是否正確,該命令會顯示有關電腦網路設定的詳細資訊,包括 IP 位址和預設閘道。
[ 加入 CIO Taiwan 官方 LINE 、 Facebook 與 IG,與全球CIO同步獲取精華見解 ] - 網際網路存取
數據機處理資料封包並轉發到網際網路服務供應商(ISP)的網路,使電腦能夠存取網際網路資源。
當同一辦公室的電腦 A 和電腦 B 嘗試存取 salesforce.com 時,它們會遵循類似的過程來獲取正確的內容。
工作原理如下:
(1) 網域解析:
每台電腦都可藉由在 Web 瀏覽器中輸入網域名稱(如 salesforce.com)來發起存取的請求。
電腦上的作業系統在收到請求後,會檢查本機 DNS 快取,查看是否已儲存 salesforce.com 的 IP 位址。若否,則電腦將 DNS 查詢傳送至預設定的 DNS 伺服器(在作業系統的網路設定中指定),藉此將網域名稱「salesforce.com」解析為對應的 IP 位址。
‧DNS 解析:
DNS 伺服器(可以由 ISP 或公用 DNS 服務機構提供,例如 8.8.8.8、4.2.2.2)接收 salesforce.com 的 DNS 查詢。
DNS 伺服器在資料庫中查找與網域名稱 salesforce.com 關聯的 IP 位址。
一旦找到 IP 位址,DNS 伺服器就會將 salesforce.com 的 IP 位址傳回電腦。
🔸問題:全球網站如何將使用者導向效能最佳的就近本地網站?
一種方法是使用稱為全域負載平衡的功能。當使用者以 DNS 查詢存取網站時,系統會識別 DNS 請求的來源 IP 位置。根據此資訊,就可以提供最接近的本地網站伺服器的 IP 位址。因此,將使用者的裝置設定為使用網際網路服務供應商 (ISP) 提供的本地 DNS 而不是依賴公共 DNS 服務非常重要。這樣才能將使用者引導至最近且回應最快的網站伺服器,確保更好的效能。
(2) 資料傳輸:
取得 salesforce.com 的 IP 位址後,每台電腦就可以透過網路與 salesforce.com 的伺服器建立連線,把所需內容(網頁、圖像等)的請求傳送到 salesforce.com 的伺服器。
(3) 回程資料傳輸:
salesforce.com 的伺服器會通過網際網路,再由本地網路基礎設施(數據機、交換機)返回所請求內容,最後到達對應的電腦。
🔸問題:當同一辦公室的電腦 A 和電腦 B 都嘗試存取 salesforce.com 時,如何確保它們收到正確的內容?
數據機是關鍵,以下說明數據機如何使用網路位址轉換(NAT)技術來實現此目的:
–路位址轉換(NAT):當本地裝置發起連線到網際網路時,NAT 會將本地裝置的私有 IP 位址映射到數據機的公共 IP 位址來實現多個裝置共享一個公共 IP 位址來存取網際網路。使用不同的通訊埠號碼來區分不同的裝置和連線。這樣,即使多個裝置同時存取網際網路,也能根據通訊埠號碼將回應正確地轉發回發起連線的裝置。
–通訊埠號碼追蹤:
NAT 透過維護一個連線追蹤表(或稱為 NAT 表),記錄每個連線的內部 IP 位址和通訊埠號碼,對應的公共 IP 位址和通訊埠號碼。當外部伺服器(如 salesforce.com)回應時,數據機會查閱這個表,確保流量被正確地傳送回相應的內部裝置。NAT 技術不僅節省了 IP 位址資源,還提高了網路的安全性,因為外部網路無法直接存取內部網路的裝置。
‧安全警報:阻斷服務攻擊(Denied of Service Attack)
在阻斷服務攻擊中,攻擊者通常會發送大量的請求或流量,以超過數據機或路由器的處理能力,導致合法用戶無法存取網路服務。
[ 推薦文章:建立資訊安全組織必須涵蓋的 33 個關鍵領域 ]
簡化和自動化的筆記型電腦設定
有一種快速且方便的方法設置辦公環境中電腦的網路設定,這會用到稱為 DHCP(動態主機設定協定)的服務。
具體步驟如下:
- 數據機上的 DHCP 設定:
‧將數據機設定為 DHCP 伺服器。
‧指定要分配給本地辦公室網路裝置的 IP 位址範圍,例如 192.168.1.1 到 192.168.1.254(這也稱為 [Class C] 私人 IP 位址範圍)。
‧輸入預設閘道 IP 位址,通常是數據機的 IP 位址(例如 192.168.1.1)。
‧輸入 DNS 伺服器的 IP 位址,通常由當地的網際網路服務商 (ISP) 提供,但也可用公共伺服器,例如 4.2.2.2 或 8.8.8.8。 - 在電腦上啟用 DHCP:
‧在每台電腦上啟用 DHCP 用戶端功能。此功能通常可以在作業系統的網路設定中找到。
‧當電腦啟動或連接到網路時,會自動接收並套用數據機提供的網路設定資訊,其中包括獲取 IP 位址、預設閘道和 DNS 伺服器資訊,而無需使用者手動設定。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
