谈谈大型企业网络架构.doc

谈谈大型企业网络架构1、把复杂的问题简单化再复杂的网络框架也都是由最基础的技术（交换、路由、服务器、vpn配置等）来实现的，越是复杂的环境稳定性就相对越差，所以在规划和设计时要尽量使复杂的问题简单化，网络只要保证稳定、可靠运行即可。 2、管理规范IT是基于公司业务需要的，一切为了业务。管理标准要努力向ITIL标准靠拢。IT技术都相差无几，关键是规范管理方面、指导原则和方向、经验的积累。公司每年至少两次IT审计，都是在审查一些标准规范，包括AD用户管理，服务器管理，文件管理，安全防范，备份管理，灾难恢复测试，机房管理，网络系统管理，桌面支持管理，软件需求管理，异常处理管理，人员操作规范，IT桌面维护规范（细致到AD管理员、备份管理员）等操作指南。当然太多的细节，太多的管理标准，准备这些文档，应付审计，本身就是件很头疼的事情。 3、规划管理对于跨国大型公司的IT结构来说，追求的是稳定性，从网络拓扑规划上来讲，要越简单越好，因为你真的做过后，会发现搞的越复杂，管理起来成本就会越高。对于网络来说只要做到结构清晰，可管理性强，遇到故障可以及时发现并快速修复就可以了。当然网络升级操作也要很谨慎，要经过充分论证和实验后才去做，规划管理的趋势就是集中管理，当然虚拟化也是个趋势。1) 网络连通：采用专线网络把全球分公司的网络都连接起来，各地分公司都在同一个内网里。采取双线路互联，1条或2条互为备份的SDH线路，1个硬件VPN(备用)。2) 域规划：使用单一森林域架构，不同区域的公司建立子域，各域之间做信任，用单一域也可以进行管控，对于超过10个以上的域结构，推荐使用域间的信任关系，而不要使用父子域。各国域服务器通过路由器的VPN实现互通，总部委派各国的管理员管理自己的域。使用硬件VPN保证每个site的连接，有的会在距离较远城市间加载网络加速器设备。每个site接入层可划分VLAN（高级点的配置802.1x)，3层（router）做一些ACL，外网接入路由做热备，firewall部分使用cisco设备的较多。3) 主要应用：Exchange，SPS等应用按照AD的规划架构来进行相应设置，各国或分支的exchange服务器属于总部的一个域，或者说各分支的exchange服务器都是总部的备份域服务器。所有分支的exchange服务器组成一个路由组。它们也是通过VPN实现的。为保证内部系统的安全性，当用户在外部时邮件（EXCHANGE模式）和访问共享资料全部都要通过VPN来拨入后才可以，VPN采用动态密钥方式。有的公司也会做Citrix以保证一些特殊应用可以让用户及时可以使用，这个取决于公司的安全策略。3) 网络设备：通常都使用CISCO设备，举个例子：分支使用Cisco 28的路由器和cisco 45或65的核心交换，29的二层交换。对于所有分公司和总公司的连接，不管是DDN还是S2S VPN可以用RIverBed加速设备，移动用户接入内网使用CISCO RSA签名认证的VPN连接。网络连接主要是各国的VPN带宽控制，通过PacketShanger来保证VPN带宽和公司访问internet的等带宽分开，同时使用Bluecoat进行广域网的优化和加速，几乎所有的服务器都通过VPN组成“内网”访问，访问Internet的用户采用AD和Bluecoat认证。4) 管理软件：网络故障管理都是软件的，采用HP NNM的居多。4、案例讲解*集团使用MCI的专线把各分公司联系起来的，各个分公司通过MCI在各国的本地接口接上MCI的全球骨干网上。使用一个森林域，多个子域进行管理，子域划分主要按照行政关系划分，美国、英国、欧洲、亚太各一个，每个地区放置2个DC。每个分公司做成一个组织单元，形成集中管理式的域架构，同时通过VPN与总部连接。下放到各个域的Local管理员手里的权限并不多，为每个公司分配一个DOMAIN ADMINS账户（个人觉得权限过大，有风险），每个域都要定义客户机命名规则，加入域后的PC账户移动到属于自己公司下的computers组织单元下。基本上国内的管理员权限很有限，这些企业会将一些之后给些配置说明，大部分所需要做的就是按说明click Next或YES、No即可！他们会将大部分操作做成详细的说明文档你去执行即可！一些需要配置的地方，你完成网络的联通你的工作就OK了，只要能远程他们都会去做。VOIP和PBX是由另外一组维护的，这个一般都归总务或后勤，IT组只负责分机或电话的日常维护工作罢了。视频监控属于安防范畴，一般由公司安防部门负责的。大企业IT分工很细的，一般中小企业IT人数少，所以什么都要管的。我遇到过中小企业连电梯、微波炉有啥问题都找IT的，只要是用电的都找IT。 _集团或大型的外企公司一般都是使用Cisco的网络设备，倒不是因为这东西有多好，主要是因为它产品线齐全，功能也全，更注重的是可以提供长期稳定的服务，要知道这些公司一般都是存在几十年的大公司。在总部，有各方面的IT工程师，而且每个工程师都很专业，负责某一领域的具体工作，比如有专人负责EXCHANGE服务器，有专人负责ISA服务器。各地工厂新进IT，总部IT会安排时间做各种培训。服务器一般都开有远程管理。服务器、客户机有统一的策略，各公司只要执行就OK。有任何问题CALL总部IT，他们会远程连到服务器上搞定。强化了总部的IT控制，对各地IT的要求也不算太高。总部的IT技术人员可以调配任何公司的IT去支持其他公司。比如新建一个公司，就可以从附近公司调配IT人员过去负责机房建设、电信线路申请之类的工作，等服务器上架，他们会丢过来一份文档，按要求分区，安装操作系统，按规定服务器命名。等服务器开启远程后，总部IT人员远程后续安装配置工作。 总体感觉，越大的集团或外企公司，本地管理员手里的权限就越小，能看到的东西也越少，不过好处就是担的责任也就越小，出了问题你总是可以找上面的来人管。所以对于刚入行的人来说，集团或外企公司并不是个学技术的好地方，不过如果能够经过一段时间的积累，再来集团或外企公司，就能帮你理顺知识，同时更重要的是能够学习大公司的标准化的流程管理，而这其实是比技术更重要的。要知道大公司里一般都有一大帮IT，他们分工明确，责任清晰，如果没有严格的分工、文档的话，肯定会乱套，并且来集团外企公司还把注意力放在技术上就太浪费了，在这应该多利用公司了的各种资源，提高自己的管理能力，往管理者的方向发展。另外，大公司一般使用的各种技术很齐全，你在这里能够接触各种最新的技术。向微软的各种好东西，还有Citrix之类的，一般都会使用，对拓宽知识面非常有好处！同时因为外企一般都有一帮IT，所以藏龙卧虎很多，说不定刚和你开电话会议的世界另一边的某个角落里的家伙就是某个领域内的专家。所以如果懂得利用大公司资源的话，会成长的很快的！