網路架構管理，不管是小型公司或大型公司都會遇到的難題，明明平常就使用正常，但偶爾就會連線失敗或者突然斷線等等，透過網管交換機與網管系統的協助，能夠避免問題的發生或者更快找出問題並解決。

網路架構規劃

每一個企業的網路架構多多少少都會有所不同，所去規劃的就也會有不一樣的考量，當然隨著企業成長，不同階段也會有不同的規劃，因此在也需要考慮未來拓展的彈性。

資安防火牆

各企業肯定有上網的需求，但在廣大的網路上，什麼時候會被突然惡意攻擊，誰也不知道。透過防火牆可過濾掉來自外部的惡意攻擊，保障公司資訊安全，降低工作上的困擾以及損失。

所謂的三層式架構是指，核心層、匯聚層與存取層，分別進一步的說明這三層的功能。 ‧「核心層」＝「網路核心」，是所有網路設備的總匯集連結點，是由一部高效能高可靠性的交換機來連結所有網路設備，包括網路元件、安全防護以及伺服器等設備，「匯聚層」是匯聚一系列的交換機，負責把存取交換機連結匯聚到核心交換機， 「存取層」它們提供用戶終端接入網路的管道。

在高可靠性與速度的需求下，各層之間以 Link Aggregation 的方式互相連接，減少線路故障造成的網路中斷。

VLAN 虛擬區域網路 (Virtual LAN) 是由一群終端機器組合而成，通常各 VLAN 機器間都擁有相同的特性，但這些特性與機器的所在位置並沒有絕對的相關。另一方面，VLAN 技術也允許把一台 Switch 設備的埠分成幾個群組，並可以針對每個不同的群組套用不同的設定，VLAN 可以在邏輯上區分不同的廣播網域，而這樣的廣播網域可以延伸到多個實體區域網路區段，以增加網路組織的彈性。例如根據用戶的特性將 Switch 設備上的某幾個埠，規劃到同一個 VLAN 之中，如此一來就不需要搬移實體設備，也能達到網段規劃的效果。

藉由 VLAN 技術，能夠將不同部門的網路環境進行邏輯面的分隔，也能夠為不同的設備提供不同的網路組態，透過 VLAN 的隔離，能夠有效減少廣播封包所造成的網路負擔，工廠環境可以選擇下面類別進行 VLAN 區分：

網路設備
伺服器網路
無線網路設備
有線辦公網路
無線辦公網路
無線訪客網路
車間機台網路
監控設備網路
IP-Phone 電話網路
廣播系統網路

Port Authentication 端口身份驗證是一種基於外部身份驗證服務器驗證對交換機上的端口的訪問到客戶端的方法。

IEEE 802.1x – 身份驗證服務器根據用戶提供的用戶名和密碼驗證對端口的訪問。未能通過身份驗證服務器的用戶仍然可以訪問該端口，但來自該用戶的流量將轉發到訪客 VLAN 端口。

MAC 身份驗證– 身份驗證服務器根據客戶端的 MAC 地址和密碼驗證對端口的訪問。

訪客 VLAN – 在任一模式下，如果身份驗證失敗，交換機仍然可以允許客戶端訪問訪客 VLAN上的網絡。

複合身份驗證– 身份驗證服務器根據 IEEE 802.1x 和 MAC 身份驗證的組合來驗證對端口的訪問。

Port Security 端口安全功能僅允許具有動態學習 MAC 地址和/或配置靜態 MAC 地址的數據封包通過交換機上的端口。

Loop Guard 環路防護允許將交換機配置為在檢測到從該端口發出的數據包循環回交換機時關閉該端口。雖然可以使用 Spanning Tree Protocol (STP) 來防止網絡核心中的環路。STP 無法防止網絡邊緣出現環路。

環路防護旨在處理網絡邊緣的環路問題。當端口連接到處於循環狀態的交換機時，可能會發生這種情況。循環狀態是人為錯誤的結果。當交換機上的兩個端口使用同一根電纜連接時，就會發生這種情況。當處於循環狀態的交換機發出廣播消息時，消息會循環回交換機並一次又一次地重新廣播，從而導致廣播風暴。

網路迴圈防護：ZyXEL 網路交換機 Loop Guard 設定說明 ( 圖文 )：http://blog.esafe360.com/2023/02/zyxel-loop-guard.html

Industrial Switch 工業級交換機設計用於安裝在重工業要求苛刻的環境中，工作溫度範圍通常為 -40 至 75 攝氏度，也有採用堅固的 IP30 金屬外殼的機型。

為了工廠內不同的安裝方式的需求，以安裝方式區分：

一般機櫃 安裝型
DIN 導軌型 安裝型
Wall-mount 壁面 安裝型

Surveillance Switch 監控級交換機專門設計給監控環境使用，提供監控系統所需的便利功能與穩定性。

Onvif 識別
可透過 Onvif 協定偵測監控攝影機的即時狀態。

IP-Cam 自動救援
自動偵測並重新啟動異常的IP-CAM，以有效救援失聯的IP-CAM。

IP-Cam 持續供電
當交換器進行韌體更新、切換設定檔等系統維護時，持續提供電力，大幅降低交換器重新啟動之後，等待IP-CAM重開機的時間。

遠距網路與 PoE 擴展模式
一般 PoE 交換器傳送距離限制為 100 公尺，考量到 IP-CAM 或是其他安控設備常有安裝在較遠位置的需求，只要開啟延伸距離模式，即可用現有的 Cat.5e 網路線達成最遠 250 公尺的長距離布建，不需要串聯額外設備，一台交換器就能夠完成 PoE 建置。

更高的靜電/突波防護
提供網路埠與電源接入更高的雷擊突波保護值與靜電放電防護值。

在零信任網路成為顯學的現在，具有多層次防護設計的防火牆，可抵禦來自內部和外部的多種類型的威脅。 沙箱、反惡意軟體、信譽過濾器和入侵防禦可阻止外部攻擊，而應用程式巡邏和 Web 過濾能夠限制用戶不當使用應用程式或訪問網站。它們共同保護網路的安全。

簡易網路管理通訊協定 SNMP (Simple Network Management Protocol)，這項通訊協定用以網路監控與裝置通訊，因為幾乎每一家網路設備製造商都支援這項通訊協定，網管系統透過 SNMP 通訊協定，能夠將幾乎所有網路裝置納入網路監控的範圍。

透過 SNMP 網管系統，能做到：

設備存活狀態監控與警報通知
網路流量監控與警報通知
CPU 負載監控與警報通知
記憶體監控與警報通知
儲存空間監控與警報通知
設備溫度監控與警報通知
硬碟狀態監控與警報通知
環控系統監控與警報通知
設備電力監控與警報通知
設備風扇轉速監控與警報通知
VPN 狀態監控與警報通知
光纖模組狀態監控與警報通知
印表機與耗材狀態監控與警報通知
ESXi 虛擬機狀態監控與警報通知
即時狀態網路拓譜
FDB 網路埠對映分析
網路儲存設備韌體監控與警報通知
網路埠變化紀錄

透過供應商提供的 MIB 檔案查詢 OID 資訊給 SNMP 服務使用：MIB Importer
http://blog.esafe360.com/2023/05/mib-oid-snmp-mib-importer.html

除了一台一台設備慢慢設定以外，也可以選擇網路雲端中控管理平台進行管理，透過網路就能隨時隨地登入雲端管理平台 ，進行各種有線、無線、資安硬體設備和固定無線存取網路（fixed wireless access network）包括無線網路基地台、交換器、防火牆和 5G/LTE 行動路由器的配置、監控和管理，無需繁複的遠端認證流程。也能進一步使用專屬的 APP 應用程式輕鬆控管。

所有分散各地的網路設備包括無線網路基地台、交換器、防火牆和行動路由器，均能透過直覺式單一的雲端管理平台進行配置、控管和障礙排除，無需繁複的遠端認證流程。

當每次有新設備加入時，系統就會自動繪出並更新網路拓撲圖。
雲端管理平台及網路設備均會自動執行軟體更新。
提供延伸裝置的遠端存取告警功能，包括電子郵件和應用程式等告警選項和智能告警服務。
提供歷史數據查看功能，能更輕易的追踪網路活動和排除障礙。

雲端管理平台不僅能提供穩定的網路環境，避免可能因不當配置而造成與設備間的網路斷線，更提供了全方位的管理功能，例如：動態頻道選擇 (DCS)、負載平衡與智慧用戶調配機制，確保用戶獲得更快的網路連線，及最佳的使用體驗。