谈谈大型企业网络架构
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
谈谈大型企业网络架构
1、把复杂的问题简单化
再复杂的网络框架也都是由最基础的技术(交换、路由、服务器、vpn配置等)来实现的,越是复杂的环境稳定性就相对越差,所以在规划和设计时要尽量使复杂的问题简单化,网络只要保证稳定、可靠运行即可。
2、管理规范
IT是基于公司业务需要的,一切为了业务。管理标准要努力向ITIL标准靠拢。IT技术都相差无几,关键是规范管理方面、指导原则和方向、经验的积累。
公司每年至少两次IT审计,都是在审查一些标准规范,包括AD用户管理,服务器管理,文件管理,安全防范,备份管理,灾难恢复测试,机房管理,网络系统管理,桌面支持管理,软件需求管理,异常处理管理,人员操作规范,IT桌面维护规范(细致到AD管理员、备份管理员)等操作指南。当然太多的细节,太多的管理标准,准备这些文档,应付审计,本身就是件很头疼的事情。
3、规划管理
对于跨国大型公司的IT结构来说,追求的是稳定性,从网络拓扑规划上来讲,要越简单越好,因为你真的做过后,会发现搞的越复杂,管理起来成本就会越高。对于网络来说只要做到结构清晰,可管理性强,遇到故障可以及时发现并快速修复就可以了。当然网络升级操作也要很谨慎,要经过充分论证和实验后才去做,规划管理的趋势就是集中管理,当然虚拟化也是个趋势。
1) 网络连通:采用专线网络把全球分公司的网络都连接起来,各地分公司都在同一个内网里。采取双线路互联,1条或2条互为备份的SDH线路,1个硬件VPN(备用)。
2) 域规划:使用单一森林域架构,不同区域的公司建立子域,各域之间做信任,用单一域也可以进行管控,对于超过10个以上的域结构,推荐使用域间的信任关系,而不要使用父子域。各国域服务器通过路由器的VPN实现互通,总部委派各国的管理员管理自己的域。使用硬件VPN保证每个site的连接,有的会在距离较远城市间加载网络加速器设备。每个site接入层可划分VLAN(高级点的配置802.1x),3层(router)做一些ACL,外网接入路由做热备,firewal l部分使用cisco设备的较多。
3) 主要应用:Exchange,SPS等应用按照AD的规划架构来进行相应设置,各国或分支的exchange服务器属于总部的一个域,或者说各分支的exchang e服务器都是总部的备份域服务器。所有分支的exchange服务器组成一个路由组。它们也是通过VPN实现的。为保证内部系统的安全性,当用户在外部时邮件(EXCHANGE模式)和访问共享资料全部都要通过VPN来拨入后才可以,VPN采用动态密钥方式。有的公司也会做Citrix以保证一些特殊应用可以让用户及时可以使用,这个取决于公司的安全策略。
3) 网络设备:通常都使用CISCO设备,举个例子:分支使用Cisco 28的路由器和cisco 45或65的核心交换,29的二层交换。对于所有分公司和总公司的连接,不管是DDN还是S2S VPN可以用RIverBed加速设备,移动用户接入内网使用CISCO RSA签名认证的VPN连接。网络连接主要是各国的VPN
带宽控制,通过PacketShanger来保证VPN带宽和公司访问internet的等带宽分开,同时使用Bluecoat进行广域网的优化和加速,几乎所有的服务器都通过VPN组成“内网”访问,访问Internet的用户采用AD和Bluecoat认证。4) 管理软件:网络故障管理都是软件的,采用HP NNM的居多。
4、案例讲解
**集团
使用MCI的专线把各分公司联系起来的,各个分公司通过MCI在各国的本地接口接上MCI的全球骨干网上。使用一个森林域,多个子域进行管理,子域划分主要按照行政关系划分,美国、英国、欧洲、亚太各一个,每个地区放置2个D C。每个分公司做成一个组织单元,形成集中管理式的域架构,同时通过VPN 与总部连接。下放到各个域的Local管理员手里的权限并不多,为每个公司分配一个DOMAIN ADMINS账户(个人觉得权限过大,有风险),每个域都要定义客户机命名规则,加入域后的PC账户移动到属于自己公司下的computers 组织单元下。
基本上国内的管理员权限很有限,这些企业会将一些之后给些配置说明,大部分所需要做的就是按说明click Next或YES、No即可!他们会将大部分操作做成详细的说明文档你去执行即可!一些需要配置的地方,你完成网络的联通你的工作就OK了,只要能远程他们都会去做。
VOIP和PBX是由另外一组维护的,这个一般都归总务或后勤,IT组只负责分机或电话的日常维护工作罢了。视频监控属于安防范畴,一般由公司安防部门负责的。
大企业IT分工很细的,一般中小企业IT人数少,所以什么都要管的。我遇到过中小企业连电梯、微波炉有啥问题都找IT的,只要是用电的都找IT。^_^ 集团或大型的外企公司一般都是使用Cisco的网络设备,倒不是因为这东西有多好,主要是因为它产品线齐全,功能也全,更注重的是可以提供长期稳定的服务,要知道这些公司一般都是存在几十年的大公司。
在总部,有各方面的IT工程师,而且每个工程师都很专业,负责某一领域的具体工作,比如有专人负责EXCHANGE服务器,有专人负责ISA服务器。各地工厂新进IT,总部IT会安排时间做各种培训。服务器一般都开有远程管理。服务器、客户机有统一的策略,各公司只要执行就OK。有任何问题CALL总部I T,他们会远程连到服务器上搞定。强化了总部的IT控制,对各地IT的要求也不算太高。总部的IT技术人员可以调配任何公司的IT去支持其他公司。比如新建一个公司,就可以从附近公司调配IT人员过去负责机房建设、电信线路申请之类的工作,等服务器上架,他们会丢过来一份文档,按要求分区,安装操作系统,按规定服务器命名。等服务器开启远程后,总部IT人员远程后续安装配置工作。
总体感觉,越大的集团或外企公司,本地管理员手里的权限就越小,能看到的东西也越少,不过好处就是担的责任也就越小,出了问题你总是可以找上面的来人管。所以对于刚入行的人来说,集团或外企公司并不是个学技术的好地方,不过如果能够经过一段时间的积累,再来集团或外企公司,就能帮你理顺知识,同时更重要的是能够学习大公司的标准化的流程管理,而这其实是比技术更重要的。要知道大公司里一般都有一大帮IT,他们分工明确,责任清晰,如果没有严格