设计小型企业网络10须知

微软用Windows Small Business Server完成了一个漂亮的本垒打。现在，想找到一家不使用价格经济的Windows操作系统的小型企业已经越来越困难了。Windows Server 2003平台提供了稳定性，而Exchange和SQL引擎提供了可伸缩性。有向导，同时还有，简化的管理。

当你在部署Windows Small Business Server，或者其它小型企业网络时，如果你把下面十点都记在心上的话，几乎每一个执行过程都将是最优化的。

1: 服务器并不总是必须的
AMI Research公司报告说，世界范围内有6850万家小型企业，其中大约2100万家有多台电脑，但是没有服务器。该图形也可以在微软设计用来帮助IT顾问们了解小型企业空间和服务器销售的宣传资料中找到。但事实上是许多企业之所以没有服务器，是因为他们根本不需要。而其它企业之所以有服务器，是因为一个IT专家或顾问卖了一台给他们，并不是他们真的需要它。

我遇到很多客户，他们原来的IT顾问买了价值4000美金的服务器（起码是双Intel奔腾CPU）给他们，却只用来提供DHCP服务，其他什么事情也不做。这纯属浪费。技术人员除了应当一直尽力为所效力的客户或公司部署最好的技术之外，同样也有责任确保部署该技术是正确的行为。

如果一个公司的职员少于10人，并且近期内估计不会有明显增长，那么可能一个点对点网络或是Windows XP专业版系统就能满足公司的需求了。而且就算公司增长了，先前对Windows XP的投资也依然是有用的。虽然，当雇员人数超过12人之后，一般企业使用一台服务器的效果会更好。

有一个极为常见但又非常容易犯的错误其实可以很容易的避免——那就是绝对不要在办公室或商业环境中部署Windows XP家庭版。这个普通消费者层次的操作系统既没有Windows XP专业版所提供的安全控制，又无法加入Small Business Server的域（当企业增长到一定程度时你就会需要域这样的集中管理机制了）。

2: 事先规划良好的拓扑结构，而不是临时起意
配置很差的网络随处可见。我作为一个IT顾问时遭遇到的3跃点或4跃点的网络其数量令人脑子麻木。随便在这里或者那里添加4口或5口的路由器/交换机并不是连接网络的正确方法。尽管这是一个很简单的方法，但是网络性能就会不可避免的成为一个难题。

因此，当一个小企业居然有9个系统外加4个交换机时，他们跑来联络我并向我抱怨那可怜的网络性能就毫不奇怪了。更糟糕的是，这些网络中的大部分居然还配备多个192.168.x.y及10.0.x.y这样的子网。

将三台4口交换机替换为单台16口交换机，立刻戏剧性的带来了网络性能的大幅提升。哪怕是仅仅只有10或12个雇员，这些多出来的端口也是非常便利和有用的，它们可以连接任意的客户系统，如果需要的话，还能再连上一台服务器，或者连上防火墙以及宽带连接，或是连上一条T1线路。

在扩展一个网络时，很容易掉入一个简单增加交换机的陷阱，因此建议你增加第二台交换机之前，先在纸上画出整个网络。计算一下，在到达网关之前，一条连接必须经过的跃点数。你经常会发现简单购买几条额外电缆所带来的性能提升非常物超所值（同时在一个快速扩张的办公室中也避免了添置额外的交换机）。

无论何时，当你准备添加新系统或准备一个新网络时，仔细考虑一下它的拓扑结构。仔细将数据必须经过的跃点数缩减为最小值，哪怕因此需要购买一个更多端口的交换机，或是新的线缆接头。

3: 网络设备值得投资
一台网络交换机或防火墙的平均使用寿命是4年到5年。其他人可能告诉你平均寿命是3年，但这并不诚实——绝大多数人都会想方设法的让设备用的更久一些，以最大化他们的投资。

如果你打算通过购买便宜的网络设备来省钱，那你绝对是想错了。的确，便宜的交换机，防火墙，VPN设备，以及路由器是存在的。但是它们一般使用的是更差的材料。那意味着功率供应可能不够。端口可能更容易出故障。便宜风扇故障的可能性更高，它们可能因过热而失效。

当设计或重新构建一个小型企业的网络时，应当有合乎商业级网络的相应预算。买企业购买能力下所能购买的最好设备。尽管没有移动的部件，而且设备很可能会被放入一个壁橱之中，没有人看到它或者赏识它，但企业的所有数据和通讯都要经过该设备。如果曾有一个标准来判断购买部件是否有价值，那么这就是。

4: IP地址值得注意
正如网络的拓扑结构值得注意和规划一样，网络的IP地址安排也需要同样留心。日益流行的普通威胁管理设备（UTM）及私有路由器和防火墙操作系统，还有那些来自Cisco，SonicWALL，和其他公司的设备，常常都需要不同的操作子网。

而带来的结果就是，试图查找连接问题，解决性能故障，以及其他问题的困难度正以指数级别进行增长。不仅仅是维护三个不同的子网，更糟的是，遇到多个DHCP设备在同一范围内提供同一IP地址（不要笑，这的确发生过），所以你总该在纸上画下网络的整体拓扑结构，以及对应的IP子网。大量的错误（以及因此带来的伤害）可以因此轻易避免，如果一个网络被正确的画在纸上或画在Visio中的话，矛盾的地方可以很容易就被找出来。

多重子网并不总是坏事。有时候，一个小型企业可能需要两个子网。当特别需要安全时，在第二个子网中存放敏感数据，仅允许有限的人访问（并且不允许无线连接访问）可能是最好的做法。当你需要限制VPN或远程通讯在某个指定网络段之内时，这种第二子网也是非常有用的。

5: 仔细选择内部域名
微软推荐对内部服务器使用.local的域。问题是，当使用.local域时，苹果系统在用活动目录解析地址时会遇到麻烦，因为苹果自己的集合技术被设计为使用.local这样的命名。

如果一家公司不需要在它的网络中包含苹果机，而且以后也没这个需要，那么这个难题就不成其为问题。但是一旦何时采用了苹果机，那么选择一个不同的名字将有助于避免日后为了苹果系统正确解析DNS而不得不再去改变现有的域名。

另外，那也意味着你应当避免使用公众路由的域名来作为内部域名。很多年前，我在一个测试系统上曾犯过一个类似错误，因为无法正确解析DNS，产生了大量的网络故障。用户的登录有时候需要耗时12到15分钟才能完成。设计网络时，要记得使用不曾在Internet上公众路由的顶级域。

许多系统管理员更喜欢使用.local或.lan的顶级域。为了测试，.test域工作的相当不错。而.example域，也很安全，如果你不讨厌的话，可以用它。