從第一次接觸DOS到winnt――win98――winme――win2000――winxp、linux等各種不同的操作系統,從給別人組裝兼容機――安裝操作系統――維修筆記本到維護整個網絡、服務器及周邊設備,經歷由易到難、由簡到繁的過程,也從中學習到很多技術知識,豐富了自身經驗。
我現在的工作主要是負責系統集成弱電項目的售前、售中和售後的工作。我所參於實施的很多網絡工程中絕大多數是屬於中小型網絡,客戶端多的就200個左右,少一些的就幾十個。而就我所認知越小型的網絡對安全和效率就越不重視(如中病毒、網絡不通、速度慢、冗餘不夠等),反而是越大型網絡中對安全和效率的重視程度就越高。這樣就導致我們去中小型網絡項目維護的成本遠高於對大型網絡進行維護的成本,造成這方面的原因有很多,比如前期做設計時中小型網絡的預算比較少,高檔的安全類產品和智能、高效極簡的網絡產品因價格原因無法去採購。又或者因爲中小型網絡沒有專門網絡技術人員去管理,人爲因素產生的故障很多等等。而且安全高效的中小型網絡是整個弱電系統的基礎,就像高樓的地基。現在越來越多的弱電系統(如數字視頻會議系統、數字校園廣播系統、數字監控系統、無線叫號系統、錄播系統等)都是基於網絡之上,如果網絡不暢或出故障,就會造成整個弱電系統崩盤。
那麼有沒有一種即高效安全、又費用合適的中小型網絡架構呢? 我就以個人經驗和見解根據下面(圖1)網絡架構拓撲圖,從六個方面來進行一一介紹。
圖1:安全高效的中小型網絡拓撲圖(網絡二層架構)
一、OSI網絡模型中第二層和第三層的設備――交換機
交換機是在網絡系統中最基本的設備單元,在網絡工程中需要根據用戶的需求和預算來選擇不同類型和功能的交換機。現在電腦、筆記本等終端設備都已經是千兆網卡了,所以接入層千兆交換機已經是標配了吧,如果你還是給用戶提供百兆交換機那能行嗎。
我現在給用戶規劃中小型網絡架構是千兆接入――〉萬兆核心(二層架構),在接入和核心之間使用光纖連接,如果預算允許核心交換機可以採購兩臺做虛擬化冗餘備份和負載均衡(如銳捷的VSU,華爲的CSS,華三的IRF,思科的VSS)。而二層架構還有個好處就是管理起來非常方便,管理員只需在覈心上修改配置或策略就可以控制整個網絡,這樣也起到一定的網絡扁平化的作用。
圖2
可能有人會說現在三層架構(接入――〉匯聚――〉核心)應該是最科學合理的,可我說網絡三層架構對於大型網絡來說纔是科學合理的,對中小型網絡來說是浪費。三層架構最重要的作用是在匯聚上做策略(做網關、ACL、路由、DHCP等),核心上只是起數據交換(給處理器減壓,已達到更快的速度)作用。而中小型網絡因爲客戶端不多,數據流量不會很大,使用一臺性價比適中的三層交換機(如銳捷RG-S6100系列萬兆交換機,華爲S6700系列萬兆交換機等)就足以達到核心的作用。
圖3
在我去掉昂貴中間層匯聚交換機設備後,接入層交換機建議就使用費用相對低的千兆接入萬兆上聯交換機(如銳捷RG-S2910系列交換機,華爲S5700-EI系列交換機等)就可以達到要求,如果預算不夠採用全千兆交換機也行。強烈要求不要採購沒有管理口的傻瓜交換機,接入層交換機是要求要可以去劃分VLAN的,單位可以根據部門不同、保密級別不同而劃分不同的VLAN,甚至可以使用VLSM技術更加精細化的劃分客戶端,這樣可以隔離通信、廣播風暴和病毒蔓延,增強網絡安全性。如果是不可管理交換機,就無法劃分VLAN,有一臺客戶端中毒就可能導致整個網絡癱瘓。
這裏我再多說一點,就是有一次我去家單位幫忙解決網絡故障,負責人給我介紹網絡情況時說他們使用的網絡是三層架構,這是接入層交換機,這是匯聚層交換機,然後再全部匯聚到機房的核心上。可當我深入瞭解後發現,它們的網關、DHCP等還是配置在覈心交換機上,他們所說的匯聚交換機上只是配置了VLAN,根本就沒有起到三層架構真正的作用。它們這種只能稱作是三層結構,而不是網絡三層架構。
二、網絡邊界安全設備――防火牆、IPS、網關等
在一個網絡中不可能只是在自己的LAN中做數據通信,肯定是要連接到Internet上去的。據我觀察在很多中小型企業使用的還是一臺路由器或軟路由(用臺式電腦裝個路由軟件)上Internet,這樣做的安全性很差,而且上網速率也不會很快。
圖4
使用路由器有哪些缺點呢?1、無法檢測到病毒***。2、無法做流量控制。3、無法智能選路。4、無法做上網行爲管理等等。所以我真的不贊成只是一臺路由器去連接外網,好些的做法是在路由器和核心交換機之間佈置一臺防火牆設備(如銳捷RG-WALL 1600,華爲USG6000),可以啓到阻斷病毒***作用。
如果自己的WEB服務器很重要,需防止惡意篡改網頁。我們可以在WEB服務器前面佈署一臺WAF(如銳捷RG-WG,華爲WAF2210),WAF可以起到WEB站點防漏洞掃描、站點隱身、網頁防篡改等功能。如果怕自己內網的客戶端成爲***的“肉雞”,我們可以在網絡邊界透明佈署一臺NIP(如銳捷RG-IDP、華爲NIP6320),NIP可以防止DDOS***、防止內部信息泄密、可對上網行爲進行流控等功能。如果對自己內網的數據安全要求非常高,要求嚴格控制每一個訪問者。我們可以在訪問者和保護數據之間佈署一臺堡壘機(如銳捷RG-OAS、網神G1500),堡壘機可以起至集中帳號管理、統一認證管理、集中授權管理、統一審計管理、數據單向流通等功能。如果需要在不同的地域建立自己的專網,我們也可以在邊界佈署一臺***,它可以滿足IPsec ***、SSL***、L2TP ***等多樣***連接,比起去運營商那租一條專網節省不少費用,只需購買設備的費用,租金爲零。
圖5
現在很多安全廠商都在開發新一代的防火牆或網關產品,市場上也有很多型號(如銳捷EG2000、華爲USG2110),它們的特點就是性價比很高,集多種功能於一身。具有:1、優化體驗(智能選路、流量控制、緩存加速、雙邊加速、低質鏈路優化)。2、強化管理(身份認證管理、上網行爲管理、統一集中管理)。3、多合一(***、防火牆、WEB)。有了這種新一代的安全產品,根本就不需要再去使用路由器設備,非常適合在中小型網絡佈署。
在我們佈署的網絡中,所有的安全產品應該儘量遵守異構原則。比如說我們要在外網和內網各佈署一臺防火牆設備,那這兩臺設備就應該採購不同廠商的產品。因爲如果是同一廠商的防火牆就可能會產生同一種漏洞,而不同廠商的產品因自身的病毒庫不一樣、檢測原則不一樣,產生漏洞的可能性就會小很多。
圖6
三、無線網絡――AC+AP+POE
在我所接觸的大多數中小型網絡裏,還沒有使用AC+AP+POE架構的無線網絡。它們有的只是在有線網絡房間中接臺無線路由器或者有AP無AC,這樣的後果就是局域網內無法實現無線漫遊,安全性差(無認證),非法DHCP蔓延等。
AC+AP+POE架構的特點是:
1、佈署靈活,接入方便。我們可以根據用戶的需求來選擇是使用802.11n(速率可達到450M)或802.11ac(速率可達到1G)的AP。也可以根據場景的不同來選擇是使用放裝型AP(吊頂或壁掛)或牆面AP(安裝在86底盒上,好處在於不用重新佈線,就用原來的有線系統)。還可以根據房間的密集度來選擇使用室分型AP(使用一分八天線進入各個房間)或智分+型AP(一臺智分+AP主機帶24臺微AP)。
圖7
2、集中管理,安全可靠。我們對AP的管理可以全部在AC管理器上完成(分配IP,劃分VLAN,DHCP服務等),如果兩個AP佈署很近,可以自動調整兩個AP的信道,避免信道相同造成干擾。在三年前我實施的一個無線網絡項目中,還得自己去手動調整每個AP之間的信道,而在去年我實施的國乒基地項目無線網絡中,就可以用AC控制器去自動分配每個AP之間不同的信道,這樣方便簡單很多,對於後期的維護也簡化不少。
3、佈線簡單,維護方便。在這裏我們使用POE交換機(如銳捷RG-2710G、華爲S5700-PWR)對每個AP單獨進行供電,這樣在綜合佈線時可以不用佈置電源線,減少人工和線材,現場也美觀大方。現在有些廠商甚至開發出了HPOE交換機(如銳捷RG-2910H),可以對大功率終端進行60W供電(如球型攝像機、室外AP等)滿足不同終端設備的需要,故障點減少了我們後期維護當然就方便拉。
4、計費認證,業務推送。如果用戶單位有計費認證的需求(如學校、商家等),大多數AC控制器帶有一定的計費認證功能,但它們有數量限制。在用戶認證數量過多時,我建議可以佈署一臺獨立的認證服務器(如銳捷RG-ESS1000、華 爲 SecoSpace 、 H3C iMC- - UAM 、深信服 AC/SG、深瀾等),它們可以起到身份准入認證、主機端點防護、用戶認證計費、精確業務推送(業務通知、營銷廣告等)、安全域等功能。
圖8
四、服務器設備――物理服務器、虛擬化(Vmware、Hyper-V、Fusion Compute等)
服務器集羣在中小型的網絡中不是很普遍,但在不少單位中還是需要的,如學校、事業單位等。在很多單位對服務器都沒有統一的規劃,有了項目或業務就增加一臺服務器,有多個項目就有多個服務器,這樣即不利於管理又造成浪費。
1、在單位對外業務單一,只需要一臺服務器時,那我的建議就是採購一臺物理服務器,即節省費用又能滿足需求。不過爲了滿足未來五年的業務需求,還是要對這臺服務器性能做好規劃的,如服務器的CPU最少兩顆八核以上,內存64G以上,硬盤(最少兩塊SSD、4塊SAS,這樣可以提高數據讀取速度和數據存儲空間、冗餘備份),一塊帶電池、高緩存的RAID卡(可以按照硬盤配置數量做RAID0、1、5、6、10等,突然斷電的情況下保證數據不丟失),兩個光口和四個千兆電口(做端口聚合和冗餘備份、負載均衡等)。
2、在單位對外業務很多,而且隨着時間的推移業務還要擴展時,我們可以利用現在已經很成熟的服務器虛擬化技術。我建議在中小型網絡只需要採購兩臺物理服務器(配置參考上面第1條)就足夠了,在這兩臺服務器上可以虛擬出30臺VM來滿足用戶的需求,使用VMware vSphere、微軟的Hyper-V、華爲的Fusion Compute可以對這兩臺服務器做成羣集Cluster,如果有一臺物理服務器出故障,上面的VM可以自動漂移到另一臺物理服務器上,從而做到即在單臺服務器裏有冗餘備份,在兩臺服務器之間也有冗餘備份。而且在管理員自己的電腦上可以使用客戶端軟件很便捷的管理VM,達到安全快捷扃平化管理。
圖9
3、有人可能會說你這樣規劃怎麼沒有看到數據存儲設備,我想說的是在中小型網絡中你去單獨配置存儲設備有些浪費,而且也不安全。如果你佈署一臺存儲來放數據,就是這臺存儲出故障了,你怎麼辦?你是不是又要加臺存儲來做備份容災,這是不是更進一步造成浪費。如果你覺得我上面沒有配置存儲感覺數據存儲空間仍然不夠,那我建議你可以再加一臺服務器(組成三臺),每臺服務器上增加相應的硬盤(擴展存儲空間),這三臺物理服務器可以組成一個虛擬存儲(如VMware vSAN、華爲Fusion Storage等)來實現你所要求的功能,這樣可以達到存儲空間大、後期擴展強、結構簡單、維護方便等特點。
圖10
五、桌面系統――windows域(Domain)環境
據我觀察在現在不光是中小型網絡,大型網絡中也少見域(Domain)環境,基本上全是以工作組的形式來組建桌面網絡。工作組桌面網絡架構確實有安裝簡單、網絡資源消耗低等優點,但缺點太多:1、網絡安全性低。2、集中管理不方便。3、公共應用配置繁瑣。4、無權限配置。所以說對於管理人員來說剛開始使用是簡單方便了,但隨着各個應用越來越多,病毒也越來越多,權限設置越來越多的時候,你只能是疲於應付,只到把你累癱爲至。
域(Domain)環境有哪些優點呢?1、管理方便。在域中,每個域用戶賬戶都可以在域中任意一臺允許本地登錄的計算機上登錄域,只要該計算機與DC在同一個網絡中即可。而且用戶的桌面環境及其他賬戶配置不會因在不同計算機上登錄而不同,因爲域支持全局漫遊用戶配置文件。這樣就極大方便了用戶的網絡訪問。2、安全性更高。因爲域的全局用戶賬戶和安全策略都是集中在一臺或者少數幾臺DC上進行配置與管理的,所以相對工作組網絡來說,這些配置的安全性就更高,更不容易被人***和破解。同樣,由於域中的用戶數據可以存放在一臺或者少數幾臺服務器上,企業網絡數據也就更安全。3、網絡訪問更方便。域是採用單點登錄方式,用戶只需要用戶域賬戶登錄一次域,就可以無限地訪問允許訪問的所有網絡資源,而無需反覆輸入不同賬戶信息進行身份驗證。
我們在域(Domain)環境中權限管理集中後,所有網絡資源,包括用戶,均是在DC(域控制器)上進行維護,便於集中管理。所有用戶只要登入到域,在域內均能進行身份驗證,管理人員可以較好的管理計算機資源,管理網絡的成本大大降低。我們可以只允許管理人員在DC(域控制器)上指定某些軟件才能安裝,這樣能增強客戶端安全性、防止未授權人員在客戶端亂裝軟件, 減少客戶端故障,降低維護成本。有利於單位對保密數據資料進行管理,比如某些盤符只能允許授權用戶才能訪問,某些文件可以允許看,但不能刪除或修改。還可以直接在DC(域控制器)上進行系統補丁的升級(如Windows Updates),然後下面的客戶端再連接DC進行系統更新,從而節省大量網絡帶寬。
圖11
當然,域(Domain)環境也不是沒有缺點,它就是前期佈署時有些麻煩,後期的正常維護需要有一定技術水平的網絡管理人員(其實也不需要水平有多高,域環境中出現的問題去問下度娘或買本AD配置指南都有很好的解答)。
六、雲桌面系統――VMware Horizon、華爲Fusion Access、銳捷RG-RCD6000-Office
在我所在的城市還暫時沒看到使用雲桌面進行辦公的單位,在我公司即將實施的某個項目中到是有云桌面系統(VMware Horizon6,必竟還未做起來)。而在傳傳統PC終端組成的信息化辦公場景逐漸暴露出種種不足。例如:在辦公室工作時,不僅公用電腦上安裝的軟件衆多、操作緩慢,人員還需要自行攜帶U盤複製數據,數據丟失和病毒感染事件常常發生;在辦公室工作時,不僅優質辦公資源篩選費時費力、各部門之間數據共享困難,人員還需要自己找各種工具、重複下載和處理資料,浪費大量時間,嚴重影響工作效率。隨着信息化技術的演進,人員對辦公系統的要求也越來越高,但傳統的IT構架模式所面臨的困境卻日益凸顯。
圖12
雲桌面解決方案由虛擬化技術構建基礎存儲集羣,集羣配套性能可以支持用戶所需的併發用戶集中訪問。辦公室中部署雲桌面終端或終端一體機,也可以利舊(原有臺式電腦安裝雲客戶端軟件)通過網絡連接至雲主機集羣獲取個人專屬公桌面,徹底實現辦公設備的部署集中化,管理智能化,維護簡單化。可以節省能源,一套臺式電腦有300多W,而一個終端+顯示器也只有20多W,這樣算起來幾十套電腦設備一年要節省不少的電費(按50套電腦算,一年可以節省5萬元電費)。可以減少後期投資,你一套臺式電腦最多隻能用3-5年,而云桌面你只需對系統模板進行相應升級,就可以跟上潮流,十年可以不用再投資。可以方便進行移動辦公,什麼意思呢?就是說你在辦公室沒幹完的事,回家後再登陸雲桌面進行工作即可。這樣就避免了傳統PC時代,還要用U盤導資料,回到家中還要面對桌面環境不一致的尷尬情況。可以方便快速的恢復系統,當你係統中毒或無法啓動時,雲桌面可以在十分鐘內就恢復你的桌面環境,數據也不會丟失。
如果在你的單位已經佈署了我前面所說的第四點服務器虛擬化後,再佈署雲桌面就更經濟更方便更快速。你只用增加相應的終端設備就可以很好的搭建雲桌面環境(如VMware Horizon、華爲Fusion Access)。而銳捷的RG-RCD6000-Office是一個軟、硬件一體化的產品,如果你沒有做服務器虛擬化,那麼購買銳捷的RG-RCD6000-Office去佈署自己的雲桌面系統也是個不錯的選擇。
圖13
我對於一箇中小型網絡的見解也就這麼多,其實每個人對如何建設一個安全高效的網絡都有自己的理解和意見,在這兒我只是提供大家一個規劃建議,有不足和錯誤的地方也不要噴我,這篇文章如果對某些人能起到一定的幫助作用,我也就感到很開心拉(^-^)。