上週和一個老IT人員在MSN上討論關於大型公司的網絡規劃設計,今天閒來無事,特將自己的一些心得整理成文,與大家分享如下。如果您有更好的方案建議,歡迎與我溝通和交流(MSN: [email][email protected][/email])
1、把複雜的問題簡單化
再複雜的網絡框架也都是由最基礎的技術(交換、路由、服務器、***配置等)來實現的,越是複雜的環境穩定性就相對越差,所以在規劃和設計時要儘量使複雜的問題簡單化,網絡只要保證穩定、可靠運行即可。
再複雜的網絡框架也都是由最基礎的技術(交換、路由、服務器、***配置等)來實現的,越是複雜的環境穩定性就相對越差,所以在規劃和設計時要儘量使複雜的問題簡單化,網絡只要保證穩定、可靠運行即可。
2、管理規範
IT是基於公司業務需要的,一切爲了業務。管理標準要努力向ITIL標準靠攏。IT技術都相差無幾,關鍵是規範管理方面、指導原則和方向、經驗的積累。
公司每年至少要做兩次IT審計,審查一些IT相關的標準規範,包括AD用戶管理,服務器管理,文件管理,安全防範,備份管理,災難恢復測試,機房管理,網絡系統管理,桌面支持管理,軟件需求管理,異常處理管理,人員操作規範,IT桌面維護規範(細緻到AD管理員、備份管理員)等操作指南。當然太多的細節,太多的管理標準,準備這些文檔,應付審計,本身就是件令人很頭疼的事情。
IT是基於公司業務需要的,一切爲了業務。管理標準要努力向ITIL標準靠攏。IT技術都相差無幾,關鍵是規範管理方面、指導原則和方向、經驗的積累。
公司每年至少要做兩次IT審計,審查一些IT相關的標準規範,包括AD用戶管理,服務器管理,文件管理,安全防範,備份管理,災難恢復測試,機房管理,網絡系統管理,桌面支持管理,軟件需求管理,異常處理管理,人員操作規範,IT桌面維護規範(細緻到AD管理員、備份管理員)等操作指南。當然太多的細節,太多的管理標準,準備這些文檔,應付審計,本身就是件令人很頭疼的事情。
3、規劃管理
對於跨國大型公司的IT結構來說,追求的是穩定性,從網絡拓撲規劃上來講,要越簡單越好,因爲你真的做過後,會發現搞的越複雜,管理起來成本就會越高。對於網絡來說只要做到結構清晰,可管理性強,遇到故障可以及時發現並快速修復就可以了。當然網絡升級操作也要很謹慎,要經過充分論證和實驗後纔去做,規劃管理的趨勢就是集中管理,當然虛擬化也是個趨勢。
對於跨國大型公司的IT結構來說,追求的是穩定性,從網絡拓撲規劃上來講,要越簡單越好,因爲你真的做過後,會發現搞的越複雜,管理起來成本就會越高。對於網絡來說只要做到結構清晰,可管理性強,遇到故障可以及時發現並快速修復就可以了。當然網絡升級操作也要很謹慎,要經過充分論證和實驗後纔去做,規劃管理的趨勢就是集中管理,當然虛擬化也是個趨勢。
1) 網絡連通:採用專線網絡把全球分公司的網絡都連接起來,各地分公司都在同一個內網裏。採取雙線路互聯,1條或2條互爲備份的SDH線路,1個硬件***(備用)。
2) 域規劃:使用單一森林域架構,不同區域的公司建立子域,各域之間做信任,用單一域也可以進行管控,對於超過10個以上的域結構,推薦使用域間的信任關係,而不要使用父子域。各國域服務器通過路由器的***實現互通,總部委派各國的管理員管理自己的域。使用硬件***保證每個site的連接,有的會在距離較遠城市間加載網絡加速器設備。每個site接入層可劃分VLAN(高級點的配置802.1x),3層(router)做一些ACL,外網接入路由做熱備,firewall部分使用cisco設備的較多。
3) 主要應用:Exchange,SPS等應用按照AD的規劃架構來進行相應設置,各國或分支的exchange服務器屬於總部的一個域,或者說各分支的exchange服務器都是總部的備份域服務器。所有分支的exchange服務器組成一個路由組。它們也是通過***實現的。爲保證內部系統的安全性,當用戶在外部時郵件(EXCHANGE模式)和訪問共享資料全部都要通過***來撥入後纔可以,***採用動態密鑰方式。有的公司也會做Citrix以保證一些特殊應用可以讓用戶及時可以使用,這個取決於公司的安全策略。
3) 網絡設備:通常都使用CISCO設備,舉個例子:分支使用Cisco 28的路由器和cisco 45或65的核心交換,29的二層交換。對於所有分公司和總公司的連接,不管是DDN還是S2S ***可以用RIverBed加速設備,移動用戶接入內網使用CISCO RSA簽名認證的***連接。網絡連接主要是各國的***帶寬控制,通過PacketShanger來保證***帶寬和公司訪問internet的等帶寬分開,同時使用Bluecoat進行廣域網的優化和加速,幾乎所有的服務器都通過***組成“內網”訪問,訪問Internet的用戶採用AD和Bluecoat認證。
4) 管理軟件:網絡故障管理都是軟件的,採用HP NNM的居多。
4、案例講解
**集團
使用MCI的專線把各分公司聯繫起來的,各個分公司通過MCI在各國的本地接口接上MCI的全球骨幹網上。使用一個森林域,多個子域進行管理,子域劃分主要按照行政關係劃分,美國、英國、歐洲、亞太各一個,每個地區放置2個DC。每個分公司做成一個組織單元,形成集中管理式的域架構,同時通過***與總部連接。下放到各個域的Local管理員手裏的權限並不多,爲每個公司分配一個DOMAIN ADMINS賬戶(個人覺得權限過大,有風險),每個域都要定義客戶機命名規則,加入域後的PC賬戶移動到屬於自己公司下的computers組織單元下。
使用MCI的專線把各分公司聯繫起來的,各個分公司通過MCI在各國的本地接口接上MCI的全球骨幹網上。使用一個森林域,多個子域進行管理,子域劃分主要按照行政關係劃分,美國、英國、歐洲、亞太各一個,每個地區放置2個DC。每個分公司做成一個組織單元,形成集中管理式的域架構,同時通過***與總部連接。下放到各個域的Local管理員手裏的權限並不多,爲每個公司分配一個DOMAIN ADMINS賬戶(個人覺得權限過大,有風險),每個域都要定義客戶機命名規則,加入域後的PC賬戶移動到屬於自己公司下的computers組織單元下。
基本上國內的管理員權限很有限,這些企業會將一些之後給些配置說明,大部分所需要做的就是按說明click Next或YES、No即可!他們會將大部分操作做成詳細的說明文檔你去執行即可!一些需要配置的地方,你完成網絡的聯通你的工作就OK了,只要能遠程他們都會去做。
VOIP和PBX是由另外一組維護的,這個一般都歸總務或後勤,IT組只負責分機或電話的日常維護工作罷了。視頻監控屬於安防範疇,一般由公司安防部門負責的。
大企業IT分工很細的,一般中小企業IT人數少,所以什麼都要管的。我遇到過中小企業連電梯、微波爐有啥問題都找IT的,只要是用電的都找IT。 ^_^
大企業IT分工很細的,一般中小企業IT人數少,所以什麼都要管的。我遇到過中小企業連電梯、微波爐有啥問題都找IT的,只要是用電的都找IT。 ^_^
集團或大型的外企公司一般都是使用Cisco的網絡設備,倒不是因爲這東西有多好,主要是因爲它產品線齊全,功能也全,更注重的是可以提供長期穩定的服務,要知道這些公司一般都是存在幾十年的大公司。
在總部,有各方面的IT工程師,而且每個工程師都很專業,負責某一領域的具體工作,比如有專人負責EXCHANGE服務器,有專人負責ISA服務器。各地工廠新進IT,總部IT會安排時間做各種培訓。服務器一般都開有遠程管理。服務器、客戶機有統一的策略,各公司只要執行就OK。有任何問題CALL總部IT,他們會遠程連到服務器上搞定。強化了總部的IT控制,對各地IT的要求也不算太高。總部的IT技術人員可以調配任何公司的IT去支持其他公司。比如新建一個公司,就可以從附近公司調配IT人員過去負責機房建設、電信線路申請之類的工作,等服務器上架,他們會丟過來一份文檔,按要求分區,安裝操作系統,按規定服務器命名。等服務器開啓遠程後,總部IT人員遠程後續安裝配置工作。
總體感覺,越大的集團或外企公司,本地管理員手裏的權限就越小,能看到的東西也越少,不過好處就是擔的責任也就越小,出了問題你總是可以找上面的來人管。所以對於剛入行的人來說,集團或外企公司並不是個學技術的好地方,不過如果能夠經過一段時間的積累,再來集團或外企公司,就能幫你理順知識,同時更重要的是能夠學習大公司的標準化的流程管理,而這其實是比技術更重要的。要知道大公司裏一般都有一大幫IT,他們分工明確,責任清晰,如果沒有嚴格的分工、文檔的話,肯定會亂套,並且來集團外企公司還把注意力放在技術上就太浪費了,在這應該多利用公司了的各種資源,提高自己的管理能力,往管理者的方向發展。
另外,大公司一般使用的各種技術很齊全,你在這裏能夠接觸各種最新的技術。向微軟的各種好東西,還有Citrix之類的,一般都會使用,對拓寬知識面非常有好處!同時因爲外企一般都有一幫IT,所以藏龍臥虎很多,說不定剛和你開電話會議的世界另一邊的某個角落裏的傢伙就是某個領域內的專家。所以如果懂得利用大公司資源的話,會成長的很快的!!