久久沒關心校內ZYXEL Switch，也不記得這型號進到學校多久了，對於ZYXEL的印象挺好，只知道它一直存在，靜靜的存在…根本是穩到快讓人忘了它的存在。直到清明連假電腦教室發生斷線，收假后查修時，一個不小心在電腦教室Uplink同時接上了UTP與FTTB造成了Loop，大量突發的Broadcast Storm瞬間就把學務、總務、輔導的ZYXEL 1930-28HP塞爆。所以趁這次處理的機會一次把韌體與迴圈設定兩個部分進行更新與修正。

本次調整重點有兩項：

一、更新韌體
二、檢視與調整Loop相關防護

一、韌體更新

XGS1930-28HP配發下來好多年了，中間也陸續更新過幾次Firmware，目前使用中的版本仍是2023年官方釋出的V4.70（ABHS.7）。

幸運的是官方到目前都還有持續支援XGS1930這個型號的更新，讓XGS1930-28HP不至於變成孤兒。早期甚至到疫情期間我一直最愛的其實都是HP Procurve系列，直到現在手邊也仍有HP在線上服役，也是穩得沒話說而且選用的系列都有終身保固，舉凡2910、2520、1800…但因年代久遠、外商企業併購、帳號或雲端授權…等問題，想繼續取得更新資源都不再友善。且隨著學校內網邁入了10G，這幾個型號遂逐漸失去了光環…

雖然ZYXEL進到學校的數量不多，時間上也沒有HP那麼久，但是在資源取得方面相當便利，目前XGS1930-28HP的韌體出到2025年7月的V5.0，可於此下載，https://www.zyxel.com/us/en-us/support/download?model=xgs1930-28hp

更新完V5.0後又是完全不同的體驗，介面有相當大幅度的調整與優化，每次更新1930都讓我有驚豔的感受…

布告欄直接有了圖形化的通訊埠狀態、CPU、Memory、PoE、溫度、風扇使用狀況…整個質感有大幅提升…可以感覺得出來這個品牌很用心經營產品，之前就知道他們家常得獎，結果透過AI摘要查了一下得知ZYXEL近三年仍舊持續在國內外得了不少大獎，其中就包含了設計與創新大獎，其設計美學深受業界肯定…拍拍手。

曾經ZYXEL業務與產品經理Liu sir來學校拜訪過，也覺得他們就是不多言但做事很實在的性格，跟ZYXEL給人的品牌形象一樣，穩定又令人安心。

二、迴圈防護

因一時情急誤插線路結果XGS1930就當了，其它品牌型號都沒事，這樣的結果我懷疑自己stp設定有問題導致，不過現在查資料比以前方便多了，Google AI模式就給我了許多參考方向！ZYXEL在處理迴圈防護的做法大致上要處理底下四個地方…

SWITCHING-Loop Guard
SWITCHING-Spanning Tree Protocol
SECURITY-Storm Control
SECURITY-Errdisable-Recovery

1.Loop Guard

啟用Loop Guard之後，除了外線Uplink以外的通訊埠全部打勾，避免底下接上來的設備發生迴圈，而Uplink埠在此不勾，外線要另外透過RSTP進行防護。要留意Loop Guard這邊1-24埠勾了，下一項RSTP 的Active1-24就不要勾，否則設定會衝突。

2.STP（Spanning Tree Protocol）

Spanning Tree Mode預設就是Rapid Spanning Tree (RSTP)無須更改

RSTP內的設定Active1-24埠不要勾，交給前面Loop Guard防護即可。Uplink25-28勾起來就能具備RSTP迴圈防護的效果，而1-24埠給電腦或終端設備用的在RSTP、Loop Guard只能二擇一，兩個都勾的話會造成衝突，基本上終端設備交給Loop Guard處理就好了；而Edge1-24埠勾起來連了就上不需等待STP偵測的時間延遲，但是在Uplink則不勾。

RSTP啟用之後的狀態，有抓到28埠是FORWARDING（轉送中），目前只先更新測試第一台，另外還有三個處室也都是同款需要更新及設定迴圈防護，在底下看到Root Bridge與Our Bridge的ID相同，表示這台目前是學校ZYXEL設備在網路環境生成樹（Spanning Tree）中的第一台，所以會自己先充當大哥。當其他處室的1930都更新之後，如果彼此之間有上下層串接，預設就會以ID最小的當Root，但我的架構沒有互串，全部都是單一Uplink向上接到光纖交換器，這種情況下四台都會顯示自己是 Root Bridge，Root與Our Bridge ID也都會相同，每一台都說自己是老大的意思…

3.Storm Control

由於這台學務處的Uplink是28埠，25-28都規劃做為Uplink用，1-24則為辦公室內設備，參照上表建議值來設定每秒允許的封包大小即可。

4.Errdisable Recovery

最後在SECURITY-Errdisable-Errdisable Recovery設定loopguard在狀況解除5分鐘後恢復連線

後記：

25-28外線的Uplink埠靠RSTP和Storm Control迴圈防護 ，1-24埠靠Loop Guard保護就不會發生衝突，也能避免發生Loop灌爆CPU造成死當的問題。

這次不明原因發生斷線猜測是utp線路的panel接點氧化，所幸之前已經拉了光纖備用只是拖著沒有換上新線路，趁這次將最後兩間電腦教室副控接上內網，骨幹就全部走光纖了。

樹大必有枯枝，備品再多也有瑕疵，隨手拿出4個新的GBIC就有劣質品，浪費不少時間測試、換機、拉臨時備用線避免影響老師上課…

機房設備櫃原先擺的HP1820-24G交換器埠數不太夠用了，主要原因並不是設備太多而是因為做了頻寬堆疊，學校向來在內網存取的頻寬需求蠻高的，所有電腦的桌面、教學電子書、行政業務資料、學校歷年活動照片、教師教學檔案、圖書館影音類資源、授權軟體、校內共用資料…等，使用容量差不多將近15TB，電腦管理系統在派送時也會吃掉內網頻寬。為避免內網塞車，除了提升內網到10G環境之外，也需要在主機端擴充頻寬，避免塞車的瓶頸發生在機房。

因此，剛好前陣子手邊撤下了兩台CISCO 2960 48埠交換器，現在可以挪一台到設備櫃替換埠數不足的HP1820-24G。除了解決埠數不足的問題之外，還能將外線從2G堆疊升速到10G，一舉兩得。

一、在交換器上設定Channel Group

以往在HP上堆疊頻寬的作法是先新增一組Trunk1，再指定port1、port2加入這組Trunk1，接著設定vlan時調整Trunk1所屬的vlan來做到頻寬堆疊的效果。但是在Cisco上則是要新增一組port-channel，然後指定哪些通訊埠是隸屬於這組port-channel，概念相同但做法完全不同。

步驟一：
底下先建立第一個port-channel群組，2960最多可以設定6個group，每個group的埠數限制在8個以內。可以把群組視為是一個介面，如同在HP上的trk1、trk2、trk3…
指令：
(config)#interface port-channel 1 

步驟二：
接著指定這個介面的範圍要包含哪些通訊埠，在2960上的通訊埠寫法為GigabitEthernet，一樣可透過int range快速框出所需通訊埠。
指令：
(config-if)#interface range GigabitEthernet0/1-4

步驟三：
建好之後接著設定port-channel 1的vlan模式與指派vlan，假設要給vlan5電腦使用，所以模式寫為access而非trunk
指令：
(config-if-range)#switchport mode access 

步驟四：
將第1-4埠做成的port-channel 1指派給vlan 5
指令：
(config-if-range)#switchport access vlan 5

步驟五：
port-channel 1因為是接給電腦而非交換器，所以開啟port加速，省去因等待stp回應時間過長所耗費的時間。
指令：
(config-if-range)#spanning-tree portfast edge

步驟六：
最後啟用port-channel 1
指令：
(config-if-range)#channel-group 1 mode active

統整：
要在2960上做LACP至少需要上面六個步驟，統一將指令用法歸納如下…
(config)#interface port-channel 1
(config-if)#interface range GigabitEthernet0/1-4
(config-if-range)#switchport mode access
(config-if-range)#switchport access vlan 5
(config-if-range)#spanning-tree portfast edge
(config-if-range)#channel-group 1 mode active

設備櫃中大約需要4組接主機用的Port-Chennel，依序建立4組port-channel並指派vlan之後查詢組態就會看到底下內容…

前16埠的分配為…
1-4埠劃給channel group 1、
5-8埠劃給channel group 2、
9-12埠劃給channel group 3、
13-16埠劃給channel group 4、
到這邊，交換器的部分就設定完成，擷取1-4埠的組態如下圖所示…

二、設定NIC小組

在交換器設定完畢之後，將4條網路線接上主機前，NIC小組要做好LACP設定，4條網路線的介面卡先勾選起來綁定成小組，底下小組模式選擇LACP，負載平衡模式選擇動態。

上面先做完並按下確定後接上網路線才不會造成LOOP，底下在接上4條網路線的頻寬就擴充到了4G。

最後從observium觀察2960上做完LACP的每一組Port-Channel頻寬都提升到了4Gbps，每組port group包含的通訊埠也是一目瞭然。

設備收回之後先做回復原廠設定（會脫離納管），面板左側分別有reset以及restore按鈕，依照慣例按下RESET重置，結果被這顆按鈕搞到懷疑人生…怎麼做都不成功，後來才發現要按的應該是右邊那顆RESTORE!!!

恢復預設值後的登入方式如下圖

步驟一、建立基本環境

我習慣先跑精靈（Wizard），讓基本環境先起來就可以回辦公室處理後續…

底下選擇Basic

基本設定的流程有4個步驟，改完新的IP與密碼就可以回辦公室了

步驟二、韌體更新

Firmware有點舊了，上線前先更新掉

目前設備中的韌體版本為V4.50，官網上最新的是V4.70，韌體備份在此。

下載韌體後解壓縮，回來選擇Firmware Upgrade

選擇檔案/xxx.bin

更新中…

更新成功

Firmware 1換成了V4.70

使用目前的組態檔重新啟動

新版的登入畫面也更新了

確認版本無誤

步驟三、系統時間

更新系統時間，設定校時主機的IP，時區選擇UTC+8，確定按鈕多按幾次就會自動擷取出正確時間

步驟四、設定VLAN

這台25-28是走光纖gbic，所以往前抓2埠預留給網路線管理用，因此default vlan的23-28埠要設為untag。作法是在底下將23-28改為Fixed（加入vlan），然後TX Tagging不要勾選，這樣23-28就會設定成default vlan untag。

底下是在Zyxel中文技術論壇裏頭有一張圖片清楚的說明了設定方式…

其他所有vlan依照上圖方式設定完畢，23-28埠要帶所有vlan tag，所以Fixed以及TX Tagging需要同時勾起來，最後接上外線才會帶到所有vlan。

外線的vlan做完就會長成底下這樣子，蠻簡單易懂的…

要替換設備的config寫進來

再設定一下PVID即可

步驟五、更換光纖模組

由於原本活動中心的外線是單模光纖，GBIC是Dlink LX 1.25Gbps模組，這次改為之前隨配發案內附的Zyxel SFP+ 10G LR模組…

在Port Setup裏頭的Media Type也可以選擇dac 10G或sfp_plus，測試過兩種模式都會通，只有選用線材上的差異所以可以忽略…

最後我選sfp_plus接跳線，從燈號顯示藍燈為10G，綠燈為1G，表示這台設備有跑10G~收工

步驟六、設定SNMP

把設備加到nms與observium做監控與管理，所以先設定一下snmp，曾經在nms上新增過一組snmp community key，所以要加入nms得輸入特定通關密語

加入SNMP後也偵測出外線是10Gbps無誤

結語：

Zyxel在新北中小學網路設備的佔比雖然不高，但接觸過幾次設備以來的經驗其實是蠻好的，有新穎的管理方式（Nebula），參考資料與相關資源也容易取得，更重要的是設備穩定度高，聽阿福說，在駐點方面也很少遇到Zyxel的報修。且以XGS1930來說，具備了PoE供電竟然還近乎無聲，放到安靜的辦公室或教室也不會被人抗議…

而這次做的XGS1930是要替換掉輔導室底下的這台交換器，也算是見證了DLINK的神話，96年新北校園網路建置案的設備（世和案），至今雖然還能服役，但web ui必須額外加裝ie tab才能操作難免綁手綁腳，所以下架最後一台DGS1224T，謝謝你了。

校內網路電話一直有通話1分半鐘就被切斷的問題，起初也以為是中華電信的ITA（voip gateway）或學校電話總機造成，但學校總機維護廠商說不是總機造成、局端駐點工程師也協助更新了三處班級副控DGS1510韌體，顯赫也打電話來了解狀況與協助測試，但始終無法排除問題。於是昨天去借了兩台班級電話來測，然後突發奇想地把Firewall by pass再測試看看，結果就這麼發現神奇且尷尬的結果是狀況竟然消失了耶!!!那個一直以來造成這問題的罪魁禍首就是我啦~結局怎麼可以是這樣~不能這樣對我…

抓出問題癥結點了，但是問題要怎麼解決呢?爬了一些國內外文章提到SIP ALG在多數的路由器與防火牆中預設會是啟用的狀態，且在NAT環境的架構下常會遇到斷話或是聽不到聲音等狀況，打電話與alex討論了一下也說他們公司與服務過的許多公司行號會把sip獨立出來並綁定IP與內網溝通而不會直接把sip server放到內網的FW或L3底下。所以只好測試關閉FortiGate預設啟用的SIP ALG，看看斷話問題能否解決，作法是先在Global確認session-helper內容是否有包含sip，結果config果然有個edit 13 name 的設定內容叫做sip…

FG（global）#　config system session-helper
FG（ session-helper ）#　show

接著將SIP ALG刪除…
FG（ session-helper ）#　delete 13
FG（ session-helper ）#　end

然後切換vdom到root，再輸入指令
FG（ root ）#　config system settings
FG（ settings ）#　set default-voip-alg-mode kernel-helper-based
FG（ settings ）#　end
FG（ root ）#　config voip profile
FG（ profile ）#　edit default
FG（ default ）#　config sip
FG（ sip ）#　set status disable
FG（ sip ）#　end
FG（ default ）#　end
FG（ root ）#　end

然後重新啟動設備，再次檢視session-helper config的edit 13 sip設定，結果已不存在。

最後測試通話時間超過15分鐘也沒再被斷線了（收工）。

學校常見的網路設備品牌不論國產或舶來品都抓得到，除交換器之外，伺服器、網路印表機、無線網路控制器、防火牆…均能納入監測，並提供相當詳細豐富的資料與圖表。設備列表後若出現紅底白字方塊則表示設備有錯誤情形發生。

一、儀表板

一進入設備儀表板就提供相當豐富的資訊，第一個區塊提供設備製造商、韌體版本、IP位址、序號、上線時間、流量等資訊。

另一個區塊呈現系統健康資訊，包含事件記錄、處理器、記憶體、儲存容量、電源與風扇模組、溫度與電力感測器。有異常發生的模組，儀表板會出現紅色fail就要特別注意，例如下圖Power Supply2出現了紅色fail表示交換器有支援雙電源（備援），但目前可能只有插上一條電源線或是電源模組真的故障了，就需要到場確認是否需要處理。

如果點進個別port（24）也能顯示此埠連線品質是否達到1G與這個通訊埠當前流量。

二、硬體健康資訊

檢視單一設備特定元件

SNMP監測工具要能擷取硬體設備各項健康狀況，例如10.226.132.1的交換器副控裏頭，堆疊的兩台交換器基本的電力、風扇與網路配置。

Observium還能另外將處理器、記憶體、儲存、狀態、溫度、電壓、功率…等資訊逐一繪製成圖表檢視。

檢視所有設備特定元件

除了個別檢視設備各項數據之外，Observium還能專門針對處理器、記憶體、儲存、溫度、事件、風扇、電壓、功率等條件篩選出所有設備的硬體健康狀態，對於環境中的設備健康狀況可一目瞭然快速掌握與排除異常有非常大的幫助。

處理器

記憶體

儲存空間

溫度感測器

其他事件與狀態

風扇轉速

電壓

功率

三、網路環境資訊

vlan table

Observium針對網路環境的偵測具備相當強大的功能，其中包含可以直接呈現整體網路環境中所有使用的vlan，這邊主要會以VLAN ID為依據，VLAN NAME可能會出現預期之外的名稱，這其實也正常，交換器數量一多，每台switch上的vlan名稱有的是預設值沒改，有的有修正為新北慣用的名稱，但唯一不會變的就是vlan id。

不過在上圖突然瞄到了一個陌生的vlan id 21，點進去vlan name一看發現是出現在一台CISCO交換器上，而且未設定任何tag/untag標籤，猜想可能是當時華電工程師手速太快不小心誤植的，無意間就被observium給找了出來。

可顯示的vlan資訊還包含每個埠的vlan config

vlan interface ip也能秀出來!!!

交換器串接資訊

這是在Observium的Port/Neighbours會顯示出來的資訊，也是非常實用的功能，第一欄是本地設備的IP位址，然後Local Port是指本地交換器的埠號，然後這個埠號是連接到遠端的哪個IP的設備上，同時會顯示出遠地端設備的連接埠號或port name。例如第一列資訊表示10.226.132.254的第20埠接到10.226.132.219的第42埠。

透過所有通訊埠這項功能可以列出當下全校交換器上所有通訊埠的流量，也能看到每個通訊埠的網路速度是否有達到1Gbps。

也可以針對條件篩選出全校網速未達1Gbps的線路位置，例如最近新北市網路更新案即將入校施作，此案包含既有線路修復工作，透過observium就能快速列出本次施作交換器更新的副控中，有哪些網點是未達1Gbps需要廠商進行修復的。

點選特定交換器也能逐一檢視各埠對應的端點之後所連接的設備名稱，例如10.226.132.1這台switch的第1埠（eth1/0/1）是接到R101班級教室的LevelOne 5埠交換器（7705PR101）。

另外，也有map功能可以快速顯示這台交換器連接另一端對應的設備。

重要的ARP Table（ip address table）與FDB Table（mac adress table）也有詳細記錄，有了這兩份資訊，日後再次遇到上級通報的資安事件時，就可以方便地從這兩份表中找出問題的來源，不然每次上級給設備名稱與ip或mac資訊時，要大海撈針找出發生事件的設備還真是不容易。

FDB Table

AP數量與用戶

在進到 AP Controller之後如果切換到WiFi標籤可以一覽無遺所有AP的名稱、mac、ip與設備位置，這邊也是花了許多功夫在controller修改過後才能顯示出下圖整齊劃一的內容。原本華電建置時的名稱是使用AP+mac，每一台設備的名稱是長這樣AP7488.bbe8.7e20，為了好辨識所以我調整命名規則為AP+model+教室編號，也逐一確認過每顆AP的位置，所以這邊在observium裡頭就能呈現比較完美的資訊樣貌。

控制器的Clients設備數與AP數也有精美的圖表能顯示

如果想再細部查詢每顆AP的上線人數（設備數）也做得到，只是可惜似乎無法產出能相對應每顆AP上線人數的清單，只能逐一進到AP裡頭檢視個別基地台上線設備數的資訊，不過資訊欄能夠區分2.4G（802.11a/b/g/n）或5G （802.11a/n/ac） 也是很厲害的一項功能了。

PoE switch供電狀態

校內主要用來推動智慧學習用的PoE switch總供電瓦數約370W，由於供電狀況會隨時間拉長而出現衰退現象，所以每台交換器能接的CISCO AP總數就建議在12顆以下，透過Observium可一目瞭然switch上各埠供電狀況，這也是非常實用的功能。

印表機/影印機

Observium針對具備網路列印功能的事務機也有支援

儀表板能顯示個別事務機的碳粉使用情形、廢墨盒用量、蓋板狀態、列印張數等資訊

也可以透過計數器顯示所有事務機的列印張數

拓樸圖

這實在太犯規了，Observium提供整個網路介接架構的拓樸圖，免費的做成這樣叫商用的怎麼活?而且滑鼠游標一道線上還能浮出圖表呈現資訊。

這個也是犯規，而且在畫面上動來動去…

Observium能提供的資訊實在太豐富了，除了每台交換器的即時流量之外，另外能提供超過30種圖表資訊。這時只能感嘆能力有限，很多圖表只能單純欣賞用，實在看不懂也無法說明了…

設備可用度（Device Availability）、裝置上線時間（ Device Uptime）、mac table使用率（FDB usage）

IP 統計數據（IP Statistics）

單一交換器網路資訊（圖表二）

單一交換器網路資訊（圖表三）

單一交換器網路資訊（圖表四）

心得：
這次接觸到Observium實在是驚艷這東西太強大了，而且竟然免費!!!也從節省哥網誌介紹才知道LibreNMS原來也是他的分支。在學校擔任網管且大部分設備都納管的情況下，常常會對自己學校設備的資訊以及掌握度遠遠感到不足，能透過一些工具快速掌握現場狀況對教師兼網管的我們會有相當大的助益，遇到狀況時可以減少如無頭蒼蠅的不知所措，也能快速進行整體檢視硬體是否有異常發生，但心痛的是我必須要立刻含淚將他移除，不然萬一不小心從D升級到C就不好笑了~

同時在機房新增一個光纖專用線槽為日後其餘副控升級10G做預留，另外機房也新增一個24埠光纖收容箱，由於這次拉到5樓無線網路機櫃的4芯10G光纖全部都熔接，所以未來新增的光纖還剩下20芯的額度可供熔接到此收容箱。

一、校舍與機房的位置

學校去年對外頻寬已升速1G，校內FortiGate防火牆汰舊換新也將在下週上架（感謝教育局居中向原廠爭取到超大優惠），對外的提升告一段落接下來要思考的就是內網的升速了。本校建築設計為山字形，棟與棟之間相連從佈線來看是利多，另外活動中心還設有7間辦公室與專科教室。因此機房是設置在主校舍居中的宏觀樓二樓位置。

二、校內有線網路架構現況

學校在95-96年建置班級網路時開始廣設交換器，由於當初局端的採購金額是以總埠數做規劃，所以學校無法隨心所欲的愛設幾個副控就增設幾個，當時學校能拉的網點數量必須集中以降低交換器上出現閒置埠。最後在精算與集中埠數的前提下規劃出了下圖的結果，當時將山字形切成了三個區域，每個區域交由一個副控端負責。另外局裡有分配給學校2條1Gb的多模光纖，當時以最遠距離的副控做選擇依據，所以僅有下圖宏觀樓綠色區域的教室不是走光纖網路。當時沒選宏觀樓的原因很簡單，因為光纖是以米計價，因此不用自己花錢的光纖當然是應該讓他拉到最遠距離（當時活動中心還沒蓋），短距離的光纖日後學校自己要拉時可以省不少錢。

三、 校內無線網路架構現況

自95-96做完校園網路後，無線網路基地台也開始陸續進到校園，所以後來在99年的NGN以及104年的SNGN期間，逐步開始把原本分散在先前三個區域的無線網路遷出到各樓層設置獨立的無線網路副控點，做這個改變的目的主要是為了降低日後佈線的複雜度，副控在各樓層都有的情況下，新設基地台只要水平佈線到教室即可，無須再垂直佈線到處在外牆上固定一堆PVC管，對日後查修上也是方便許多。到了後來的107、108年前瞻計畫時，所有華電案的CISCO AP就已經是在各樓層透過水平佈線到樓層副控了，而且當時採購合約還包含一條cat.6a外線，所以1-4樓無線網路副控回機房就是走這四條新的Cat.6a，無線網路副控機櫃設置的位置如下圖。

四、校內10G網路的分配與規劃？

需要拉幾條才夠？要怎麼分配才好？這兩個問題讓我頭痛…

（一）拉幾條才夠？
學校有超過20個副控機櫃，每個副控都要拉10G過去嗎？行政辦公室只有小貓幾隻也拉？教師辦公室每間10多人也拉？電腦教室要拉？圖書館要不要拉？

最後透過刪去法，依照有線、無線、使用率高低這三項原則做依據挑選出了負責班級電腦的三個有線網路副控機櫃都要升速10G（班級電腦有管理系統走網路派送封包量大）、以及校內兩個以五六年級教室所處的三、四樓無線網路機櫃（平板教學上網需求較大），所以最後總共要拉5條10G才夠。

（二）該如何分配？
挑出幾個流量大的副控端後，詢價到4芯、8芯、10芯、12芯等規格10G光纖價位區間，結果雖然有價差但每1米價差其實不多，要了解多芯光纖價差的目的其實是在決定要拉幾條光纖的過程中，希望鄰近的副控機櫃可以透過跳線共用這一條10G光纖。舉例來說一條4芯光纖，在4芯都熔接的情況下若提供給一個副控機櫃使用時，剩下的2芯會是備用的（如下圖，紅色線芯使用中/綠色線芯為預留備用狀態）。

但這備用的兩芯其實也是通的，如果一直都只是備用沒有機會使用其實也是可惜，所以想借用這一組備用的2芯，透過長距離跳線拉到鄰近副控機櫃盡量讓多幾個機櫃都能升速到10G，而且長距離跳線長度到200米也都有，找了黃經理到校討論也幫忙向光纖佈線廠商諮詢了一些意見後確定這樣想法是可行的，之後進行了場勘測量距離、佈線路徑探勘與估價，同時透過圖面評估希望盡量發揮出每一條10G光纖的使用效益，實際做法就是規劃上盡量不要讓10G光纖裏頭有線芯閒置情形，所有線芯都拉到鄰近副控去使用。

方案一：四條光纖給7副控

經過場勘與討論後，黃經理果然是專業，規畫出了拉4條8芯10G，提供7個副控端升級的超高CP值方案，其中三個無線網路副控端（1F、2F、4F）是透過長跳線過去，跳線距離最長不超過50米，而且拉8芯光纖每條同時可以再留下4芯當作備用，萬一將來真的面臨故障時仍然保有備用線芯能使用的彈性。而且規劃的這一方案直接將目前校內1-4樓無線機櫃都涵蓋進去了。

方案二：五條光纖給6副控

經過短暫的消化與沉澱，其實心裡一直有個地方卡著過不去導致無法做出最後決定，就是95-96年做的校園網路建置案，當時規劃山字形教室的有線網點分三個區域集中教室跨樓層佈線的，時至今日也差不多17年了，在此期間，學校又經歷了三階段的擴柱工程，線材至今除了使用許久之外更是受到擴柱工程的無情摧殘，走廊原本原本吊架的PVC管都因擴柱變成了歪斜的大波浪！影響原本佈線的美醜事小，傷芯事大。

所以我這次在規畫校園網路升級的同時，其實也在想是不是要將有線網路的三個副控打掉重拉班級有線網路，同時將有線網路機櫃打散到各樓層比照無線網路分層管理，讓各樓層有線、無線網路機櫃相鄰就能更容易地共用10G光纖，大幅縮短光纖長跳線的長度減少距離帶來的隱患。但這三個有線網路機櫃打掉重做的工程實在有點大，不是一時之間可以完成。

因此，這次既然要拉10G光纖，就必須一併考慮到如果未來真要重拉教室有線網路時，有線網路機櫃的位置我會重新分配到各樓層無線網路機櫃旁，照這樣的想法，現在就必須盡量讓各樓層目前無線網路的機櫃是10G光纖直達副控端，將來才能直接將無線機櫃的10G跳給有線網路機櫃。若是以這樣的安排再次檢視目前規劃升級方案一的內容，未來各樓層若重拉有線網路時會遇到的狀況如下：
一樓（原為Cat.6a）：新10G到二樓204的有線機櫃拉2芯10G跳線下來一樓
二樓（原為Cat.6a）：新10G 到211有線機櫃再跳線到214給無線機櫃
三樓（原為Cat.6a）：新10G 到313無線機櫃
四樓（原為Cat.6a）：新10G 到三樓313無線機櫃拉 2芯10G跳線上來四樓
五樓：去年已完成100米4芯10G佈線

這樣看來，將來一二四樓狀況會比較特殊…

一樓：
109教室機櫃沒有光纖直達，方案一給一樓的光纖是從204教室有線網路機櫃經由50米跳線下來的，萬一將來有線機櫃真的要撤了，一樓會變成沒有光纖的狀態，只能沿用目前的Cat.6a回機房。

一樓這條光纖從機房到204教室的距離有110米，所以我考慮現在一樓先不拉光纖，將來若有機會撤掉204有線網路機櫃時，將這條10G改移到一樓的109副控機櫃，原本長度有110米，改到109僅需80-90米左右，也不會因為撤除有線機櫃浪費了現在規劃的這條光纖，重新熔接所需的費用其實並不高。而且學校一樓空間主要是行政處室、健康中心、幼兒園、值勤室、親職中心、書法教室、工友室，這些地方並沒有太大的教學網路使用需求，而班級教室也只有7間一年級教室（一年級不太容易接觸到平板上課），因此方案一將再略做調整如下圖，但是得等有線機櫃拆除那天才會改成這樣。

二樓：
有線機櫃（211）本來就跟無線（214）一起在二樓，且中間僅鄰2間教室的距離，這條光纖方案一做完後其實已經符合到未來二樓有線機櫃水平佈線到教室的目標了。

四樓：
沒有光纖直達，方案一的光纖是從三樓無線網路機櫃經由30米跳線過來的，所以需要新增一條10G光纖從四樓獨立拉回機房。且四樓主要為高年級教室，電腦與平板數量較多，所以並不適合比照一樓模式等223教室有線機櫃拆除再將光纖挪過來處理，現在就應該直接給四樓無線機櫃一條光纖，並預留2芯未來跳給相鄰的有線機櫃使用。

至於到時候223有線機櫃撤掉後，這條10G光纖再看能不能就近移到319、320兩間電腦教室使用，這也是電腦教室一直沒有被我納入這次規劃升級的原因。

接著釐清想法與調整異動後的結果主要有兩項，一為新增第5條光纖佈線到四樓無線網路機櫃，另一項則是拿掉從204教室到109的跳線，變成一樓暫且不做升級。另外，原本方案一規劃4條8芯（共32芯），在方案二改為5條全部都4芯（共20芯），也因此拿掉了兩個透過長距離跳線升級的副控，這樣剛好可以不用在機房再加一個24埠光纖熔接盒，原本剩餘的20埠剛好可以在這次升級後用完。

當方案二完工，甚至未來三區的有線機櫃撤掉改到各樓層與無線機櫃相鄰後，每條4芯的光纖剛好會給有線無線兩個機櫃用完，在光纖部分完全沒有容錯空間了，但其實我不擔心這個問題，因為即使光纖線路真的不幸發生悲劇，我只要接上目前各樓層無線機櫃正在使用的華電案佈的Cat.6a外線，網路一樣不會中斷，可以從容不迫地找廠商安排修復事宜。

接著在228連假之後，廠商備妥線材管材進場，兩位師傅大約花不到3個工作天拉完線與配管，再由光纖師傅阿郎進場熔接兩端共40芯，整個施作在不到一周的時間內完工，開心。

一.恢復出廠預設值

DLINK交換器面板前後多半會有reset孔，拿迴紋針壓10秒鐘左右所有燈號都會亮橘燈表示正在初始化，翻一下手冊得知這台預設的連線資訊如下：
The default IP address for VLAN 1 is 10.90.90.90/8.
預設帳密：admin/admin

二.登入設備

取得連線資訊與預設帳密就能透過web或telnet進行設定，兩者互相搭配截長補短的使用比較有效率，通常我會先透過web登入，設定好ip位址與變更帳密。另外，確認一下1510的Telnet服務是否有開啟就能離開機櫃回到辦公室處理設定。

三.設定vlan架構

恢復出廠設定的交換器預設只會有一個default vlan，目前還不確定日後使用的場所，所以先將校內使用到的所有vlan都新增進去，預計將新增vlan3、5、10、20、25、30-36、70，含default vlan1在內共計會有14個vlan。手邊接觸過的DLINK交換器從1510開始在設定上透過WEB調整相較之前麻煩了許多，所以會選擇使用CLI進行調整。

1、新增vlan
登入設備後先看vlan架構，一如往常所有port都是untag給default vlan，接著輸入 configure terminal 切換模式，然後直接輸入指令vlan+vid的架構，如vlan 3,5,10,20,25,30-36,70 即完成新增，每個vid以逗號區隔，數字若為連續區間則以連字號連接即可。
指令：
Switch# configure terminal
Switch(config)# vlan 3,5,10,20,25,30-36,70

新增完成後的結果如下，名稱預設自動套用VLAN0003、VLAN0005…之後再改。

如果需要刪除vlan直接使用no vlan指令，再帶入vid即可刪除
指令：
no vlan 3,5,10,20,25,30-36,70

2、修改vlan name
新增完VLAN NAME都是VLAN+vid編號所組成，如想要自行命名vlan name，手冊有指出變更的指令如下…
Switch# configure terminal
Switch(config)# vlan 1000
Switch(config-vlan)# name vlan

知道架構後，整理出所有vlan名稱如下，可以一次性快速貼上指令來變更所有vlan name

configure terminal
vlan 3
name mgmt
vlan 5
name public
vlan 10
name intra1
vlan 20
name intra2
vlan 25
name voip
vlan 30
name wlan
vlan 31
name TANetRoaming
vlan 32
name NTPC-Mobile
vlan 33
name eduroam
vlan 34
name class
vlan 35
name ntpc-wpa2
vlan 36
name mac_auth
vlan 70
name intra7
exit

接著輸入sh vl 就會看到所有名稱都改過來了

3、設定交換器的外線/進線/主線通訊埠

未來接到這台交換器的外線要使用哪個埠?通常個人習慣是擺在最後2個通訊埠，例如24埠交換器就會擺在23-24埠，但1510這台還有光纖介面的25-28埠，在無法確定最終位置之前，選擇將23-28這6個埠都設給外線使用，若是未來要接上STACK串接設備時，STACK會使用25-28埠，而且1510會自動將STACK埠從VLAN TABLE中移除。所以目前的做法就是要先將23-28埠帶上所有vlan tag，指令有兩種寫法，設定單一埠與複數埠的指令差別在於有沒有range參數，另外要特別注意設定複數埠的格式在range之後要接的介面eth_空格1/0/23-28在eth之後要留空格才能正確寫入。

指令1： 新增設定單一埠指令（第24埠）帶所有vlan tag
configure terminal
interface eth1/0/24
switchport hybrid allowed vlan add tag 3,5,10,20,25,30-36,70

指令1： 新增設定複數埠指令 （第23-28埠）帶所有vlan tag
range參數在eth與1之間要有空格
configure terminal
interface range eth 1/0/23-28
switchport hybrid allowed vlan add tag 3,5,10,20,25,30-36,70

再次sh vl就會看到23-28埠帶了所有vlan tag，而default vlan仍維持預設全部是untag狀態。

補充1： 刪除單一埠（第24埠）帶所有vlan tag
configure terminal
interface eth1/0/24
switchport hybrid allowed vlan remove 3,5,10,20,25,30-36,70

補充1： 刪除複數埠 （第23-28埠）帶所有vlan tag
range參數在eth與1之間不要有空格
configure terminal
interface range eth1/0/23-28
switchport hybrid allowed vlan remove 3,5,10,20,25,30-36,70

由於1510預設採用混和模式（Hybrid Mode），所以允許同一個埠同時untag給多個vlan，封包進出傳送時會自行判斷是否丟棄，如果不希望所有埠都能溝通default vlan（進管理畫面）的話也可以手動拿掉，像是我習慣固定最後2埠接外線的通訊埠才能連進管理畫面，那前面1-22埠就可以拿掉，未來1-22如果有接給其他網路設備用的話之後再調整，這樣在看config時也比較不會混淆。

指令2：刪除第1-22埠default vlan untag
configure terminal
interface range eth 1/0/1-22
switchport hybrid allowed vlan remove 1

再次sh vl就會看到1-22埠已經從default vlan 移除untag了

補充2：新增第1-22埠default vlan untag
如果是反向需要設回來的指令如下
configure terminal
interface range eth 1/0/1-22
switchport mode hybrid
switchport hybrid allowed vlan add untagged 1
switchport hybrid native vlan 1

接著只要設定好交換器時間並啟用SNMP之後，範本就大致完成…

指令：設定時區與SNTP校時
clock timezone + 8 0
sntp enable
sntp server 163.20.254.254

指令： 啟用snmp
snmp-server
snmp-server enable traps

四、個別設定

假設未來第1埠或第1-10埠要給班級電腦， 第11-20埠給AP使用時，可以透過下列指令進行調整…

1.班級電腦通訊埠的新增與刪除：

第1埠給班級電腦：調整第1埠給vlan20 untag的指令如下
configure terminal
interface eth1/0/1
switchport mode hybrid
switchport hybrid allowed vlan add untagged 20
switchport hybrid native vlan 20
exit

另外，刪除第1埠給vlan20 untag的指令如下
configure terminal
interface eth1/0/1
switchport hybrid allowed vlan remove 20
no switchport hybrid native vlan

第1-10埠給班級電腦：調整第1-10埠給vlan20 untag的指令如下
configure terminal
interface range eth 1/0/1-10
switchport mode hybrid
switchport hybrid allowed vlan add untagged 20
switchport hybrid native vlan 20
exit

另外，刪除第1-10埠給vlan20 untag的指令如下
configure terminal
interface range eth 1/0/1-10
switchport hybrid allowed vlan remove 20
no switchport hybrid native vlan
exit

2.無線AP通訊埠的新增與刪除：

新增第11-20埠帶無線網路vlan tag，untag給default vlan1
configure terminal
interface range eth1/0/11-20
switchport hybrid allowed vlan add tag 30-36
switchport hybrid allowed vlan add untagged 1
switchport hybrid native vlan 1
exit

另外，刪除第11-20埠給無線網路基地台的指令如下
configure terminal
interface range eth1/0/11-20
switchport hybrid allowed vlan remove 30-36
exit

五、總結

做一個空範本的好處是這批設備之後需要再上場救援時，只要修改範本第2行的admin密碼以及第5行的IP位址，然後做一次複製貼上就可以直接上線，範本連結在此下載。

上線後設備的vlan架構與基本設定就都已經寫入了，對照web ui的vlan table來看大概長成底下這樣

學校的FortiGate110C使用至今已12年，在產品生命週期到達後韌體版本停在v5.2就沒機會往上升了，且因無法再購買UTM授權，許多資安防護的功能只好捨棄，剩下的功用大概就僅存針對學校內外網做開門關門的動作、看看流量與行為是否有異狀而已。

不過最近李老師提供機會讓我能體驗到新款的FortiGate防火牆，12年來110C在學校從沒出過問題，操作容易上手之外，Web Filter內容過濾讓我可以專心上課再也不用想方設法去阻擋學生偷玩遊戲與連上不當網頁的問題，IPS入侵偵測在第一時間就能把危機阻斷，AV搭配校內的ApexOne防毒伺服器也讓學校即使之前在自管校網與DNS時期都幾乎沒遇過甚麼資安事件，歷年來的弱點掃描也都是完全pass，在舊版校網時甚至很高比例學校會被掃出的弱點，我們校網弱掃的報告中依舊是連一條資安風險都沒有，這些原因都讓我對Forti的產品印象大大加分，能夠試用當然是求之不得的。

在與原廠洽談過程中得知Forti要提供測試的是一整套解決方案而並非只有防火牆，內容就是有在與電信商合作的企業方案資安鐵三角，內容包含從防火牆（FortiGate）-L2交換器（FortiSwitch）-無線網路基地台（FortiAP），而且可以直接把L3負責的路由工作交給FortiGate來處理，最終敲定到校驗證性測試（POC）的設備型號為FortiGate-101F、FortiSwitch-124F、FortiAP-231F這三款。

本次POC測試架構經Forti顧問Marty及代理商聯達的William一行專家團隊到校場勘後決定將校園網路既有的110C防火牆與L3 Switch都by pass改由FG-101F取代，由於既有110C防火牆是採通透模式的架構，WAN端的中華電信光纖做在L3身上，所有進出流量都得在進入L3之後先送到上一層110C防火牆過濾後再將封包丟回L3才決定往內的L2或WAN端進出。

而這次測試的FG-101F本身自帶光纖埠，所以中華電信進到學校的光纖可以直接放到防火牆上，原本的通透模式改成了NAT模式，所有進出過濾在防火牆上處理完就能直將將流量往L2內送或WAN端外丟，路徑上可以少走一層省去為了過濾繞來繞去的時間，簡化了流量反覆在L3進出的路線，在架構上也更容易理解。

架構做好之後陸續增加了一些policy，記錄幾項個人覺得很棒的地方，跟既有的110C相比有些是全新功能，有的算是溫故知新…

一、安全織網 （Security Fabric）

學校既有的110C使用了12年，所以基本上對FortiGate的操作並不算太陌生，但新架構上線後也還是需要花一點時間摸索新介面與功能，其中第一個覺得很棒的新功能是安全織網（Security Fabric），進入Physical Topology後會自動畫出校內網路架構拓樸圖。以下圖為例，在FG-101F底下有串一台FS-124F以及FAP-231F上來，目前從FS-124F交換器連線上來的設備數量有282個裝置，而FAP-231F基地台連線的用戶端有4個。

將滑鼠游標移到不同色塊上會顯示裝置類型、數量、占比等資訊

直接展開+字號呈現的就是各種連線上來的設備資訊

點入其中一台電腦就能清楚知道台設備的使用者帳號、電腦名稱、IP位址、mac、vlan、作業系統版本、網路拓樸路徑與網路用量等實用資訊，很棒的是校內老師登入電腦都須使用個人的AD帳號，所以萬一被通報資安事件時，是誰用的想賴都賴不掉。

無線網路的用戶連線情形一樣能抓到

也能撈出校務系統認證過的使用者帳號

假設有需要尋找特定裝置時，不論是輸入裝置IP、設備名稱、mac等資訊都能透過安全織網迅速找出設備連接的端點位置，非裝置所在的拓譜會反白，僅裝置所在的連線端點能顯示正常色彩

一樣展開+字號後，非查找的裝置會全數反白，讓你一眼就能辨識裝置所在。

實際點選裝置後就能取得更多資訊…

離開Physical Topology進入 Logical Topology 可以呈現出校內各vlan連線上來的裝置數目，一樣點進各vlan可以取得線上裝置相關資訊

展開後一樣可以看到裝置資訊

另外在安全織網中可以得知安全評比（security Rating）等資訊，雖然我不太瞭解這邊的資訊所代表的意義，但其實應不難得知目前在安全防護的評分上並不太理想，因為一方面我沒有在Policy帶上太多或嚴格的AV、APP、WEB、IPS、DNS、SSL…等過濾機制，另一方面因為是POC所以Security Profile是處於沒有License的狀態。

小結：
試用過安全織網（Security Fabric）之後， 會感覺很像是在操作一套智慧網管的資安系統，體驗感受就是快、狠、準，不像另一套是在培養耐心用的（～閃人）。

二、取代L3 Switch

1.路由設定

101F支援靜態路由與政策路由，靜態路由可以做得很單純，全部向外丟到WAN端Gateway即可

2.DHCP Relay

原本做在L3裡頭的 DHCP Relay 在Forti裏頭是L2的功能，在Forti Switch VLANs新增VLAN時，即可順手將各網段指向各自的DHCP Relay Servers，基本上L3對學校而言，除此之外也沒有什麼其他多重要非存在不可的功能了。

小結：
兩個重要的L3小功能，在Forti設定上也並不繁瑣，好處是可以免去管理一台L3 switch的設備，這樣想想倒是挺美好的。

三、FortiLink (802.3ad Aggregate)

因為原廠POC帶了一整套資安鐵三角解決方案的設備進來，因此有機會見識到Fortilink的厲害之處，以往在網路設備接電腦或網路設備串接希望做到頻寬堆疊或負載平衡時，需要在伺服器端做Teaming或在交換器上設定好要綁在一起的port做LACP或Trunk，現在只要預先在Fortilink成員上定義好連接介面例如第17、18埠，就可以跟要對接的交換器達到擴充頻寬的效果，非常的簡單與方便。

設備串接後，在Forti Switch上看到的第23、24埠的Native VLAN就是FG-101F了

四、WiFi and Switch Controller

原本就知道FortiGate可以當作AP控制器，學校舊的110C也支援此功能，只是當初看過Forti AP的價位後就讓我打退堂鼓了，而且110C當初能支援到Giga的也就只有WAN1與WAN2兩個介面，其餘都只能支援到100M，因此長久以來從沒考慮過要為了這個控制器的功能去買Forti AP。這回藉由POC的機會總算是讓我等到了。

1.AP Controller

FortiGate可以列出納管在其中的Forti-AP，目前環境中只有一台FAP-231F，位置在R215電腦中心

透過WiFi Clients可以查詢目前連上線的許多設備資訊，包含IP、MAC、AP名稱、VLAN、驗證方式、SSID、頻譜、radius驗證的帳號、裝置名稱…等

WiFi MAPs可以放上學校平面圖，然後可以將AP裝置拉到平面圖位置，同時裝置上會顯示目前連上線的WiFi Client數

經過測試，幾個新北無線網路架構中的SSID都能正常介接上來

vlan30、31的安全模式要使用Captive Portal，Portal type選擇External Authentication，然後要輸入瀏覽器驗證網址，驗證完成後重新導回就輸入學校網址，下方要記得指定vlan id。

Radius寫入兩組連線IP與通關密語

WPA2和eduroam向來是比較推薦老師們個人使用的網段，安全驗證就是WPA2 Enterprise，一樣要使用前面新增的Ntpc-Radius去驗證教師個人校務系統帳號。

最後在新增SSID過程中，須要透過mac驗證的vlan32、34、36這幾個網段我一直做不出來，但是神奇的Derek幫我解密，告知驗證與vlan不用綁在一起，以及acom驗證mac需要的Radius跟我原先做給WPA2 Enterprise驗證教師帳密的Radius是一樣的，所以只要拿其他vlan來給Mobile使用就一樣能做到去跟acom驗證mac的結果。 哦 ，傑克，這真是太神奇了！哦，不是傑克，是德瑞克~

2.Switch Controller

先前有提到FortiGate可以管理FortiSwitch，當我們透過Fortilink與FortiSwitch接上線後在左側Managed FortiSwitch選項中就會看到能管理的交換器，本次POC帶來的設備型號是FS-124F，在此可以看到韌體版本

點選進入可管理的交換器後，如有新版韌體可更新也會出現提示通知，但更新前記得去官網做功課，確認好Upgrade Path等資訊才能避免發生悲劇。

校內需要的vlan寫在FortiSwitch VLANs

設定VLAN時跟以往設定L2 vlan的方式有一點不同，差別在於目前L3 switch拿掉了，所以每個vlan原本在L3內網LAN的interface ip要在這邊寫入，正常來說就是各校原本的各vlan的gateway ip。

需要設定納管的FortiSwitch時，進入左側FortiSwitch Ports，這邊會列出這台FS-124F所有的介面，例如下圖這台FS-124F第20埠是校內L2串上來的路徑，就設定Native VLAN為default，Allowed VLANs帶上校內全部vlan id即可。

小結：
看到Controller就嗨了，FortiGate除了是防火牆，現在不但兼任L3的工作，還充當起交換器與無線網路基地台的控制器，不但能從FG上管理L2交換器的設定之外，同時還能進行AP的設定，感覺真是一兼二顧，摸蜊仔兼洗褲的概念，買一台設備可以換來這麼多的用途…真是好棒棒~

一、設備納管與狀態

於是昨天調整了WAX610D的管理IP與上層交換器的vlan，掃描一下AP的QR Code之後，BINGO!下圖紅框處這台測試用的WAX610D上雲了~綠色框仍舊離線的XGS1930交換器就是還在vlan1，所以Nebula抓不到它。

WAX610D上雲之後，設備會變成納管的狀態，絕大部分的config會被洗掉改由Nebula提供設定，猶如網頁版的AP控制器，不過這控制器功能實在太強大，不但幫你管AP還能管交換器。

設備狀態也會用顏色區分，起初這台AP或許是因為PoE switch的因素顯示為橘色的警示狀態，且供電模式是有限的，只要按下右側的筆進行編輯改為完整模式就能正常上線。

勾選設備後可以從動作選擇遠端重新開機，且原廠有釋出新版韌體時還能一鍵更新所有設備Firmware，昨晚測試已更新完成沒截到圖…

配置狀態是最新的即表示韌體已是最新版。

二、無線網路組態設定

Nebula無線網路設定位置在左側選單最後一項無線網路基地台（AP），主要設定的項目為SSID設置以及SSID advanced settings這兩項。

簡易模式預設是開啟的，如果環境單純如家用只須設定ssid連線名稱和密碼時使用簡易模式即可

因為學校是multi ssid的無線環境且須指定vlan所以要關閉簡易模式

新增的SSID在web界面上呈現橫向排列，最多能設置8組SSID，也支援Enterprise WPA2所需的Radius設定以及Mac的驗證方式。

在上圖從ssid advanced settings點進編輯亦可設定Radius連線資訊

還能限制雙向傳輸流量（預設無限制）

支援同步雙頻且可針對個別vlan如教學用途的class網段指定走5GHz，也能搭配Layer 2 isolation設定MBSSID的AP隔離。

也能針對學校特別的日子對外辦理活動時設定訪客使用的無線網路ssid在特定時段提供服務，例如周日要辦理畢典，就在周日上午8點至下午2點之類的特定時段排程，發出廣播Guest的ssid出來。

所有的設定在儲存變更後需要1-2分鐘時間即可生效。

拿出手機出現wifi訊號即可連線使用。

三、手機APP監看與管理

Nebula有出APP，安裝並登入帳號後亦可監看或進行簡易的管理，一樣是不用侷限在內網就能管理與監看設備狀況。

臨時需要遠端調整SSID也能透過APP處理

監看上線的設備

24小時內的網路使用量

上線的載具清單

四、儀錶板與監控

在用戶列表中可以得知已上線的設備資訊

摘要報表也會依據用量進行統計使用率較高的設備排名，如果環境中有很多台AP時就能看出哪個場所的使用量較為頻繁。

儀錶板也提供多樣的數據幫助了解使用狀況。

五、使用心得

沒花太多時間摸索Nebula但設定上真的算是簡單好上手又非常方便，人不在機房或設備端隨時隨地只要透過電腦或手機即可進行不同程度的調整，這次體驗感到最棒的除了基本功能在免費版都已提供之外，從介面設計與摘要報告等數據也能感受到Zyxel的用心，當然多元的管理方式以及語系支援繁中也讓我縮短了一些摸索時間，最最最滿意的還是Nebula的使用流暢度，一直以來不喜歡透過第三方工具進行設備管理有一個很重要的因素就是卡、卡、卡…但Nebula是一個在外網的平台要來管理內網的設備竟然可以如此的順、順、順~

現在資訊組長們的一個共同心聲是設備多到在管理上喘不過氣，但如能有效管理且簡單易用的工具能選擇，對於管理上的負擔能減輕之外，也能大幅縮短耗費的時間與人力成本，這樣不論是對廠商或局端權責單位以及學校管理者而言才會都是贏家。千萬別再搞出如裝飾品般的資訊垃圾與勞民傷財華而不實的MDM方案這般造成損兵折將的局面。

一、外觀與規格

這次接觸的ZYXEL無線網路基地台型號是WAX610D，盒裝內附基地台本體、保證書與安裝手冊、背板與螺絲，身材適中（大約18*18/cm）。

由於盒裝未隨附電源變壓器，所以看了一下規格要吃12V2A的變壓器，最大耗電19瓦。

打開背面小房間會看到最右側要吃12V電源，中間UPLINK可由PoE Switch供電，左邊LAN1就是接網路不供電，供電配置的規格算蠻普遍也考量到便利性的，不像學校某款既沒附電源，LAN又與PoE孔位共用，手邊若是沒有閒置的PoE設備要重新設定光是解決供電問題就折騰許久。

拿起手邊網路電話附的12V變壓器就能過電，AP電源孔徑大小與網路電話變壓器插頭正好相符…

換到機櫃跟老大哥DLINK 2695借用一下 HP 2520G-24 PoE Switch 供電也沒問題。

翻開手冊一看，突然眼睛為之一亮…是WiFi 6（802.11ax）耶！學校目前最高階也最大宗的AP是前瞻採購的Cisco AIR_AP2802I是WiFi 5，新北早期採購到的AP多半是DLINK，本校95年最初建置的基地台則是Linksys，3年多前為活動中心設置AP時是選擇了Unifi，現在也有機會認識一下ZYXEL的AP了。

在官網上得知用途屬性為高階專業型，詳細規格可參閱ZYXEL官網 WAX610D

二、快速連線與設定（精靈模式）

兩年前接觸過ZYXEL所以這回知道透過ZON就可以快速設定，開啟ZON之後會列出目前的設備資訊，也可以進行簡易管理，例如恢復出廠設定、變更密碼、變更IP…，在不想翻手冊前提下要查詢預設IP或變更密碼的時候，透過ZON處理其實蠻方便的。

可以立刻變更密碼

設定管理IP

回到瀏覽器管理設備（預設帳密admin/1234）

登入後一開始就會跳出設定精靈，隨著安裝精靈可以直接完成時區、IP、頻段、SSID等一些基本設定。如果只是一般家用或無線網路架構單純的環境，直接使用精靈模式可以省去一些繁瑣的步驟，但缺點是Profile都自動化配對，想要調整profile細項時會缺乏彈性（仍可透過CLI進行變更）個人認為精靈模式適合家庭或網路相對單純的環境使用，如果是需要multi ssid的環境則建議跳過精靈進行手動設定才能隨心所欲地進行細部設定。

精靈Step1:設定時區

精靈Step2:變更密碼與IP設定

精靈Step3:無線網路頻譜

精靈Step4:啟用SSID

跑完設定精靈基本上已經會列出這台提供的SSID了

調整交換器的設定，暫時打算放在L2的21埠，所以default vlan要untag

其餘無線網路提供服務的網段分別帶上tag

拔掉跟NB的連線，並將AP連上PoE交換器，透過瀏覽器輸入管理IP就能連上線了。

開完機後AP燈號會變成白燈恆亮

瀏覽器開啟的預設帳密為admin/1234

登入後一樣出現QR詢問要不要加入Nebula

有點意外的，以AP管理介面來說，儀錶板竟然有提供這麼多的資訊，重點是介面挺精美的，有合我的味…

仔細一看發現在Ethernet Neighbor訊息中，連我UPLINK接的L2是HP ProCurve Switch 2520交換器型號與IP都抓出來了~水喔。

目前接在AP的這條線路狀態也能顯示，能快速識別實體線路是否有異常導致沒跑到1000M全雙工，這對於管理端都是一些重要資訊，可見官方在客戶管理設備的便利性方面的確很用心。

RESET

如果使用上需要重設時有三個方式可選擇，一是透過CLI下指令處理，二是透過zon軟體可以reset，我是選擇第三種不用動腦的方式，就是拿根迴紋針戳一下AP RESET孔。

三、進階設定

學校的無線網段經不斷的擴充與配合上級要求弄到有點複雜，但大致可依據不同的驗證方式將七個無線網段區分為底下三種驗證方式：

第一種（WEB驗證）ssid以NTPC與TANetRoaming 為代表，是連線後開啟瀏覽器驗證校務系統帳密才能上網，這種連線方式我比較少鼓勵老師這麼用，因為會需要經常輸入帳密驗證，所以多半是為了開放外校人員使用。

第二種（WPA2驗證）ssid以 NTPC-wpa2與eduroam 為代表，是透過局端radius進行校務系統帳密驗證的wpa2驗證，校內同仁個人設備我都是鼓勵大家這麼做，好處是只要設定一次，爾後進入校園就會自動連網。

第三種（MAC驗證） ssid以 NTPC-Mobile 與class為代表， 是預先登錄載具mac認證，有登錄過的載具進到校園即可自動連線，這個網段的用途我是沒開放校內同仁申請，只登錄校內公務設備的mac，理由是教師個人設備換來換去，三不五時要幫大家登錄mac也是困擾，而且教師個人舊機淘汰了也不會來通知我們進行刪除，日子久了勢必在系統上留下一堆幽靈帳號。

步驟一：取消精靈

初次或RESET後進入WEB UI一開始就會跳出精靈設定，千萬千萬不要去跑精靈設定，直接按取消，建議自己一步一步來，因為精靈模式設定後為了防呆，會將所有SSID Profile、Security Profile名稱都自動配對且無法透過WEB UI變更，雖然設定內容就是一般的設定時區、網路、radio、SSID…等內容，但是配對寫死的Profile名稱無法自行變更對於提供multi ssid的客戶端管理來說就會顯得不便，據以往操作他牌設備的經驗，這類精靈其實等同於快速設定，所以一開始我也就順勢的跑完精靈，但結果反而造成相當大的不便，這點其實應該要請原廠調整，避免讓客戶踩雷，雖然精靈設定時會有個訊息視窗告知將採用default設定，但實在也無法聯想到精靈產生的各類Profile都配對好且名稱寫死了，如果是單一SSID的用戶端或許沒太大影響，但新北有7個無線網路的SSID，若不能從名稱上識別用途，只顯示Wiz_SSID1.2.3.4.5.6.7…那肯定是有極大不便的。

步驟二：設定IP

取消精靈之後進入左邊齒輪處設定組態，Network選項中只有IP與VLAN需要設定，其他可以先暫時略過…

步驟三：設定VLAN

VLAN標籤依序新增所需的vlan名稱與vid，其中vlan1是default vlan所以是untag （U） ，其餘則要改為tag（T）。

每個新增的vlan要記得加入lan1的Member，要帶tag所以Tagging也要設為yes。

步驟四：設定AP-Profile（Radio）

新北有7個無線網段，依序新增每個網段2.4G與5G 的Radio，所以共需要設置14筆Profile Name，同個Profile須個別建立2.4G與5G兩個不同頻帶且名稱不允許重複。

步驟五：新增Security List

設定SSID時，建議先建完7個Security List的Profile ，待會新增SSID Profile時就能直接選擇這邊建好的項目，不過，我TaNetRoaming未設正確，最後都一直無法開啟瀏覽器驗證畫面，這問題得再請教駐點工程師如何設定了。

步驟六：新增SSID List

逐一新增7筆SSID Profile Name

設定上就是SSID與Profile Name的命名盡量依照局裡的架構規畫，雖然能辨識即可使用，但Security Profile要與VLAN ID相對應，7個無線網路驗證方式才不會混亂。做到這邊，設定所需的Profile就都完成了。

步驟七：設定頻帶（Radio1/Radio2）

設定上剩下最後一步了，就是從AP Management設定Radio1（2.4G）與Radio2（5G）兩個不同頻帶分別要帶入的SSID Profile，由於剛才都已先將所需的Profile建立好了，所以這邊可以直接在MBSSID Setting點一下滑鼠用選擇的方式帶入設定，不用透過+字號重建config。

MBSSID是一種讓連入同一SSID載具彼此之間即使在相同vlan也不能互通的作法，全名是Multiple Basic Service Set ID。若是公共場合開放使用的無線環境沒有要讓載具能在彼此之間互通的情境，設定上只要在SSID Profile新增Layer-2 Isolation Profile，例如NTPC（v30）、TANetRoaming（v31）非教學用途的網段，使用對象可能是來訪的校外師生或公部門等外部人員，或是NTPC-WPA2 （v35） 、eduroam （v33）等師生個人載具亦非教學用途的無線網段，只要新增好Isolation Profile並套用後，連入此SSID的載具就不能彼此互連了，另外也能針對特定載具新增白名單，增加的mac可以讓少數載具互通有無。

MBSSID這樣的機制在公共場合提供的無線網路環境能保護用戶端設備無法互通進而提升資訊安全，但場景若換到教學現場，教師iPad的課堂或第三方廠商開發的教育類APP需要具備能監管學生載具、遙控班級載具執行APP、鎖屏、軟體廣播、收發作業…等需求時，例如上課用途的CLASS SSID為了不受MBSSID限制要達到監管功能，只要將Layer-2 Isolation Profile保持預設disable，班級中的師生載具就可以互相傷害了。

將SSID Profile全部帶入後，訊號就發出去囉。

四、連線測試

做個簡單但不太有意義的測試，只是想了解一下數據以及看看在WAX610D後台能顯示哪些資訊，上線後實際拿4PC+1平板+1手機同時播放YT 4K影片測試，由於6個測試工具都不支援到WiFi 6，所以效能基本上是測不太出來。

播放同一部日本4K影片後，都是同樣802.11ac的設備可以看出傳送速率都是866M，接收速率則落在325-780M之間，距離802.11ac標榜的433–6933 Mbit/s大概只有低空飛過WiFi 5的理論值，這其實在 Cisco AIR_AP2802I AP上測試也是差不多的數據。

N4640跑2160P影片會有明顯延遲的狀況，所以調整解析度降為1440P讓影片播放順暢，CPU負載降為60%左右，WiFi接收量大約落在30-40Mbps

五、心得

第一次接觸ZYXEL AP，從管理者的角度以一句話來總結，就是看似簡單但其實很不簡單，最讓我印象深刻的就是MBSSID的功能兼顧了資安與不同場域給予彈性的需求，且當Radio1套用Isolation Profile之後，Radio2同個SSID也會自動帶入相同 Isolation Profile ，一次搞定2.4G與5G兩個不同頻帶簡化了設定流程，原廠定位為高階專業型真是恰如其分。

備註一：調皮的精靈

初次使用在設定完vlan、profile、ssid之後遇到了奇怪的現象，就是主畫面上Radio1（2.4G）與Radio2（5G）的SSID Profile名稱都被寫死了也無法透過web ui更改。ssid profile沒有手動新增的權限，既有的名稱Wiz_SSID開頭的8筆資料也都無法透過編輯功能修改名稱，Security Profile也是相同狀況。

最後必須透過cli才能做到變更預設名稱的功能，而且即使想將既有名稱刪除也無權限。

後來透過原廠協助，發現我的設定應該是被設定精靈鎖死了，要改這些除了透過cli或整個reset之外別無他法，所以提醒自己要記得reset後別跑精靈模式。

備註二：Layer2 Isolation Profile