信息化專稿:淺談分支企業(yè)網(wǎng)絡(luò)規(guī)劃和維護
時間:2015-11-24 11:37 來源:博源集團 進入信息時代后,要求企業(yè)用信息技術(shù)來強化企業(yè)的管理、生產(chǎn)和經(jīng)營,而企業(yè)要創(chuàng)造更多的經(jīng)濟效益就必須借助信息技術(shù)來提高企業(yè)的生產(chǎn)效率和管理水平,各自為戰(zhàn)的單機應用逐步暴露出現(xiàn)有資源利用率低、信息冗余大等問題。這對于在地域上分布較廣的企業(yè)來說顯得更加重要。為了解決這些問題公司總部建設(shè)一個滿足應用需求的中心網(wǎng)絡(luò)系統(tǒng)來實現(xiàn)業(yè)務(wù)系統(tǒng)、資源的共享。此時分支企業(yè)同樣需要一個網(wǎng)絡(luò)系統(tǒng)來與總部互連。
現(xiàn)在跟大家分享一些關(guān)于分支企業(yè)網(wǎng)絡(luò)規(guī)劃和維護的心得。
一、分支企業(yè)網(wǎng)絡(luò)的功能需求
1、Internet接入。這是最基本的需求。
接入internet讓我們可以訪問全世界任何一個站點、網(wǎng)上交易、網(wǎng)上交流、收發(fā)郵件、獲取和發(fā)布信息等。目前internet的資訊無論從量還是更新速度上來說都已經(jīng)遠遠超過任何一種媒體。
2、訪問總部數(shù)據(jù)中心業(yè)務(wù)系統(tǒng)(如ERP、OA、WEB等)。這是核心需求。
目前,除那些大型的互聯(lián)網(wǎng)公司外大多數(shù)企業(yè)的核心業(yè)務(wù)系統(tǒng)都會放在總部數(shù)據(jù)中心,包括應用程序以及后端的服務(wù)器、數(shù)據(jù)庫、存儲設(shè)備以及相應的主干網(wǎng)。總部會將這些業(yè)務(wù)系統(tǒng)從內(nèi)網(wǎng)映射(NAT)到internet或者是通過私有專用網(wǎng)(如vpn或者是專線)開放給分支企業(yè)。
3、傳輸視頻和語音。
近些年,視頻會議、生產(chǎn)監(jiān)控、ip電話等在地域上分布較廣的一類企業(yè)應用比較廣泛。通常多媒體服務(wù)器會放在總部,終端則放在各分支企業(yè),二者通過網(wǎng)絡(luò)進行連接。這些應用使得溝通更加快捷和高效而且成本降低。
4、承載簡單的內(nèi)部應用。如企業(yè)網(wǎng)站、FTP server、DHCP server等應用。
分支企業(yè)網(wǎng)絡(luò)的功能覺得了其特點:網(wǎng)絡(luò)架構(gòu)相對簡單清晰,各節(jié)點一般為單一設(shè)備和線路,不做冗余;設(shè)備和線路的變更比較靈活,影響面可控;無復雜的應用,一般不涉及服務(wù)器、數(shù)據(jù)庫、存儲等復雜技術(shù)。但是與總部中心網(wǎng)絡(luò)一樣分支企業(yè)網(wǎng)絡(luò)對于對連續(xù)性、穩(wěn)定性、安全性也有要求。
二、分支企業(yè)網(wǎng)絡(luò)的架構(gòu)
成員企業(yè)網(wǎng)絡(luò)的功能及特點決定了其架構(gòu)。典型的網(wǎng)絡(luò)架構(gòu)如圖所示。
1、網(wǎng)絡(luò)架構(gòu)。通常推薦采用二層式網(wǎng)絡(luò)架構(gòu),即核心層和接入層架構(gòu)。層數(shù)越多,故障點越多,所以在不要求冗余的情況下,網(wǎng)絡(luò)架構(gòu)越簡單越好。
2、線路冗余備份。通常分支企業(yè)無法做到設(shè)備的冗余,但是在線路上可進行冗余,再通過配置命令將多條物理冗余線路虛擬成一條邏輯線路。如圖1中的接入層交換機1和核心交換機之間的線路可以由兩條物理線路形成冗余,然后在兩端設(shè)備啟用鏈路聚合(link-aggregation)等網(wǎng)絡(luò)協(xié)議將這兩條物理線路虛擬成一條線路。
3、內(nèi)網(wǎng)網(wǎng)段規(guī)劃。用戶網(wǎng)段推薦按樓層或者部門劃分,其他網(wǎng)段(如視頻會議、專線、監(jiān)控)按功能不同各獨享一個網(wǎng)段。所有網(wǎng)段的網(wǎng)關(guān)位于核心層交換機上。接入層為純二層即可。用戶網(wǎng)段采用自動獲取地址(DHCP),其他功能網(wǎng)段和設(shè)備互連網(wǎng)段均為靜態(tài)地址。切忌將所有功能區(qū)域放在同一個網(wǎng)段內(nèi),無法分割廣播域。
4、路由協(xié)議規(guī)劃。由于分支企業(yè)設(shè)備性能有局限,推薦全網(wǎng)采用靜態(tài)路由協(xié)議(STATIC),如果設(shè)備性能較好也可啟用OSPF,根據(jù)實際情況評估。
5、無線網(wǎng)規(guī)劃。通常采用無線控制器AC配合FIT AP來實現(xiàn)覆蓋。一些分支企業(yè)通過盒式無線路由器來提供無線網(wǎng)。但是存在幾個問題。第一,增加了網(wǎng)絡(luò)層數(shù),故障點增多;第二,無線路由器設(shè)置不當,會形成偽DHCP影響核心層的DHCP server;第三,接入的無線路由器無法進行統(tǒng)一管理,SSID(即wifi標識)和SSID權(quán)限均無法管理。
6、網(wǎng)絡(luò)帶寬管理。可通過UTM(統(tǒng)一威脅管理,包含防火墻、IPS、病毒防護、vpn、流量管理功能)設(shè)備實現(xiàn)簡單基于應用的帶寬管理。通常網(wǎng)絡(luò)帶寬會被P2P/IM流量、普通HTTP流量、BIT流量、視頻傳輸這些非業(yè)務(wù)流量占用大部分,而業(yè)務(wù)可利用的帶寬很小。例如,百兆帶寬,多人開啟迅雷下載速和視頻觀看,再訪問業(yè)務(wù)系統(tǒng)時延時一定會增大。
一些企業(yè)通過在網(wǎng)絡(luò)設(shè)備上做QOS(服務(wù)質(zhì)量)來進行帶寬控制,其實這種辦法不可取,因為網(wǎng)絡(luò)層面上的QOS是無法識別應用類別的,其結(jié)果是無論非業(yè)務(wù)流和業(yè)務(wù)流均被控制。正確的思路是控制非業(yè)務(wù)帶寬,為業(yè)務(wù)帶寬讓路,這可以通過UTM設(shè)備實現(xiàn)。
7、內(nèi)網(wǎng)安全。可通過UTM設(shè)備實現(xiàn)簡單內(nèi)網(wǎng)安全防護。通常關(guān)注分支企業(yè)網(wǎng)絡(luò)出口區(qū)域和內(nèi)部應用區(qū)域的安全。出口區(qū)域主要做防病毒、IPS防護;內(nèi)部應用區(qū)域主要做防火墻、IPS防護。除了這兩個區(qū)域,很容易被忽略的是內(nèi)網(wǎng)的計算機,其實很大一部分病毒和木馬來自于我們自己使用的計算機,即使不連接到internet也會被傳播和傳播病毒木馬,所以安裝殺毒軟件很必要,當然良好的上網(wǎng)習慣同樣重要。
構(gòu)建分支企業(yè)網(wǎng)絡(luò)我認為可分為兩個階段。第一階段,理清網(wǎng)絡(luò)架構(gòu),合理規(guī)劃內(nèi)網(wǎng)功能區(qū)域;第二階段,在清晰合理的網(wǎng)絡(luò)架構(gòu)之上才可以做一些管理控制和安全防護。脫離第一階段談第二階段無任何意義。
三、分支企業(yè)網(wǎng)絡(luò)的管理
1、全網(wǎng)設(shè)備配置管理ip,并開啟telnet服務(wù)和可探測,以便在出現(xiàn)問題時總部能夠及時遠程登錄到各臺設(shè)備查看配置進行維護。
2、設(shè)備的配置命令須加注釋,如管理員變更配置同樣需要加足夠信息量的注釋。線路須整理清楚并打上標簽。根據(jù)以往經(jīng)驗,不做注釋、不打標簽會占用排錯的很大一部分時間。
3、最好形成關(guān)于網(wǎng)絡(luò)維護的文檔,包括拓撲圖、接口信息、ip地址、用戶名/密碼。這個文檔對于維護和排錯都及其重要。
4、如設(shè)備配置有變更及時備份配置文件。通過備份的配置文件恢復通常會比重新配置要更快的恢復網(wǎng)絡(luò)。
5、建議留有備機,出現(xiàn)故障后能根據(jù)備份的配置及時替換故障設(shè)備。
