从第一次接触DOS到winnt――win98――winme――win2000――winxp、linux等各种不同的操作系统,从给别人组装兼容机――安装操作系统――维修笔记本到维护整个网络、服务器及周边设备,经历由易到难、由简到繁的过程,也从中学习到很多技术知识,丰富了自身经验。
我现在的工作主要是负责系统集成弱电项目的售前、售中和售后的工作。我所参于实施的很多网络工程中绝大多数是属于中小型网络,客户端多的就200个左右,少一些的就几十个。而就我所认知越小型的网络对安全和效率就越不重视(如中病毒、网络不通、速度慢、冗余不够等),反而是越大型网络中对安全和效率的重视程度就越高。这样就导致我们去中小型网络项目维护的成本远高于对大型网络进行维护的成本,造成这方面的原因有很多,比如前期做设计时中小型网络的预算比较少,高档的安全类产品和智能、高效极简的网络产品因价格原因无法去采购。又或者因为中小型网络没有专门网络技术人员去管理,人为因素产生的故障很多等等。而且安全高效的中小型网络是整个弱电系统的基础,就像高楼的地基。现在越来越多的弱电系统(如数字视频会议系统、数字校园广播系统、数字监控系统、无线叫号系统、录播系统等)都是基于网络之上,如果网络不畅或出故障,就会造成整个弱电系统崩盘。
那么有没有一种即高效安全、又费用合适的中小型网络架构呢? 我就以个人经验和见解根据下面(图1)网络架构拓扑图,从六个方面来进行一一介绍。
图1:安全高效的中小型网络拓扑图(网络二层架构)
一、OSI网络模型中第二层和第三层的设备――交换机
交换机是在网络系统中最基本的设备单元,在网络工程中需要根据用户的需求和预算来选择不同类型和功能的交换机。现在电脑、笔记本等终端设备都已经是千兆网卡了,所以接入层千兆交换机已经是标配了吧,如果你还是给用户提供百兆交换机那能行吗。
我现在给用户规划中小型网络架构是千兆接入――〉万兆核心(二层架构),在接入和核心之间使用光纤连接,如果预算允许核心交换机可以采购两台做虚拟化冗余备份和负载均衡(如锐捷的VSU,华为的CSS,华三的IRF,思科的VSS)。而二层架构还有个好处就是管理起来非常方便,管理员只需在核心上修改配置或策略就可以控制整个网络,这样也起到一定的网络扁平化的作用。
图2
可能有人会说现在三层架构(接入――〉汇聚――〉核心)应该是最科学合理的,可我说网络三层架构对于大型网络来说才是科学合理的,对中小型网络来说是浪费。三层架构最重要的作用是在汇聚上做策略(做网关、ACL、路由、DHCP等),核心上只是起数据交换(给处理器减压,已达到更快的速度)作用。而中小型网络因为客户端不多,数据流量不会很大,使用一台性价比适中的三层交换机(如锐捷RG-S6100系列万兆交换机,华为S6700系列万兆交换机等)就足以达到核心的作用。
图3
在我去掉昂贵中间层汇聚交换机设备后,接入层交换机建议就使用费用相对低的千兆接入万兆上联交换机(如锐捷RG-S2910系列交换机,华为S5700-EI系列交换机等)就可以达到要求,如果预算不够采用全千兆交换机也行。强烈要求不要采购没有管理口的傻瓜交换机,接入层交换机是要求要可以去划分VLAN的,单位可以根据部门不同、保密级别不同而划分不同的VLAN,甚至可以使用VLSM技术更加精细化的划分客户端,这样可以隔离通信、广播风暴和病毒蔓延,增强网络安全性。如果是不可管理交换机,就无法划分VLAN,有一台客户端中毒就可能导致整个网络瘫痪。
这里我再多说一点,就是有一次我去家单位帮忙解决网络故障,负责人给我介绍网络情况时说他们使用的网络是三层架构,这是接入层交换机,这是汇聚层交换机,然后再全部汇聚到机房的核心上。可当我深入了解后发现,它们的网关、DHCP等还是配置在核心交换机上,他们所说的汇聚交换机上只是配置了VLAN,根本就没有起到三层架构真正的作用。它们这种只能称作是三层结构,而不是网络三层架构。
二、网络边界安全设备――防火墙、IPS、网关等
在一个网络中不可能只是在自己的LAN中做数据通信,肯定是要连接到Internet上去的。据我观察在很多中小型企业使用的还是一台路由器或软路由(用台式电脑装个路由软件)上Internet,这样做的安全性很差,而且上网速率也不会很快。
图4
使用路由器有哪些缺点呢?1、无法检测到病毒攻击。2、无法做流量控制。3、无法智能选路。4、无法做上网行为管理等等。所以我真的不赞成只是一台路由器去连接外网,好些的做法是在路由器和核心交换机之间布置一台防火墙设备(如锐捷RG-WALL 1600,华为USG6000),可以启到阻断病毒攻击作用。
如果自己的WEB服务器很重要,需防止恶意篡改网页。我们可以在WEB服务器前面布署一台WAF(如锐捷RG-WG,华为WAF2210),WAF可以起到WEB站点防漏洞扫描、站点隐身、网页防篡改等功能。如果怕自己内网的客户端成为黑客的“肉鸡”,我们可以在网络边界透明布署一台NIP(如锐捷RG-IDP、华为NIP6320),NIP可以防止DDOS攻击、防止内部信息泄密、可对上网行为进行流控等功能。如果对自己内网的数据安全要求非常高,要求严格控制每一个访问者。我们可以在访问者和保护数据之间布署一台堡垒机(如锐捷RG-OAS、网神G1500),堡垒机可以起至集中帐号管理、统一认证管理、集中授权管理、统一审计管理、数据单向流通等功能。如果需要在不同的地域建立自己的专网,我们也可以在边界布署一台VPN,它可以满足IPsec VPN、SSLVPN、L2TP VPN等多样VPN连接,比起去运营商那租一条专网节省不少费用,只需购买设备的费用,租金为零。
图5
现在很多安全厂商都在开发新一代的防火墙或网关产品,市场上也有很多型号(如锐捷EG2000、华为USG2110),它们的特点就是性价比很高,集多种功能于一身。具有:1、优化体验(智能选路、流量控制、缓存加速、双边加速、低质链路优化)。2、强化管理(身份认证管理、上网行为管理、统一集中管理)。3、多合一(VPN、防火墙、WEB)。有了这种新一代的安全产品,根本就不需要再去使用路由器设备,非常适合在中小型网络布署。
在我们布署的网络中,所有的安全产品应该尽量遵守异构原则。比如说我们要在外网和内网各布署一台防火墙设备,那这两台设备就应该采购不同厂商的产品。因为如果是同一厂商的防火墙就可能会产生同一种漏洞,而不同厂商的产品因自身的病毒库不一样、检测原则不一样,产生漏洞的可能性就会小很多。
图6
三、无线网络――AC+AP+POE
在我所接触的大多数中小型网络里,还没有使用AC+AP+POE架构的无线网络。它们有的只是在有线网络房间中接台无线路由器或者有AP无AC,这样的后果就是局域网内无法实现无线漫游,安全性差(无认证),非法DHCP蔓延等。
AC+AP+POE架构的特点是:
1、布署灵活,接入方便。我们可以根据用户的需求来选择是使用802.11n(速率可达到450M)或802.11ac(速率可达到1G)的AP。也可以根据场景的不同来选择是使用放装型AP(吊顶或壁挂)或墙面AP(安装在86底盒上,好处在于不用重新布线,就用原来的有线系统)。还可以根据房间的密集度来选择使用室分型AP(使用一分八天线进入各个房间)或智分+型AP(一台智分+AP主机带24台微AP)。
图7
2、集中管理,安全可靠。我们对AP的管理可以全部在AC管理器上完成(分配IP,划分VLAN,DHCP服务等),如果两个AP布署很近,可以自动调整两个AP的信道,避免信道相同造成干扰。在三年前我实施的一个无线网络项目中,还得自己去手动调整每个AP之间的信道,而在去年我实施的国乒基地项目无线网络中,就可以用AC控制器去自动分配每个AP之间不同的信道,这样方便简单很多,对于后期的维护也简化不少。
3、布线简单,维护方便。在这里我们使用POE交换机(如锐捷RG-2710G、华为S5700-PWR)对每个AP单独进行供电,这样在综合布线时可以不用布置电源线,减少人工和线材,现场也美观大方。现在有些厂商甚至开发出了HPOE交换机(如锐捷RG-2910H),可以对大功率终端进行60W供电(如球型摄像机、室外AP等)满足不同终端设备的需要,故障点减少了我们后期维护当然就方便拉。
4、计费认证,业务推送。如果用户单位有计费认证的需求(如学校、商家等),大多数AC控制器带有一定的计费认证功能,但它们有数量限制。在用户认证数量过多时,我建议可以布署一台独立的认证服务器(如锐捷RG-ESS1000、华 为 SecoSpace 、 H3C iMC- - UAM 、深信服 AC/SG、深澜等),它们可以起到身份准入认证、主机端点防护、用户认证计费、精确业务推送(业务通知、营销广告等)、安全域等功能。
图8
四、服务器设备――物理服务器、虚拟化(Vmware、Hyper-V、Fusion Compute等)
服务器集群在中小型的网络中不是很普遍,但在不少单位中还是需要的,如学校、事业单位等。在很多单位对服务器都没有统一的规划,有了项目或业务就增加一台服务器,有多个项目就有多个服务器,这样即不利于管理又造成浪费。
1、在单位对外业务单一,只需要一台服务器时,那我的建议就是采购一台物理服务器,即节省费用又能满足需求。不过为了满足未来五年的业务需求,还是要对这台服务器性能做好规划的,如服务器的CPU最少两颗八核以上,内存64G以上,硬盘(最少两块SSD、4块SAS,这样可以提高数据读取速度和数据存储空间、冗余备份),一块带电池、高缓存的RAID卡(可以按照硬盘配置数量做RAID0、1、5、6、10等,突然断电的情况下保证数据不丢失),两个光口和四个千兆电口(做端口聚合和冗余备份、负载均衡等)。
2、在单位对外业务很多,而且随着时间的推移业务还要扩展时,我们可以利用现在已经很成熟的服务器虚拟化技术。我建议在中小型网络只需要采购两台物理服务器(配置参考上面第1条)就足够了,在这两台服务器上可以虚拟出30台VM来满足用户的需求,使用VMware vSphere、微软的Hyper-V、华为的Fusion Compute可以对这两台服务器做成群集Cluster,如果有一台物理服务器出故障,上面的VM可以自动漂移到另一台物理服务器上,从而做到即在单台服务器里有冗余备份,在两台服务器之间也有冗余备份。而且在管理员自己的电脑上可以使用客户端软件很便捷的管理VM,达到安全快捷扃平化管理。
图9
3、有人可能会说你这样规划怎么没有看到数据存储设备,我想说的是在中小型网络中你去单独配置存储设备有些浪费,而且也不安全。如果你布署一台存储来放数据,就是这台存储出故障了,你怎么办?你是不是又要加台存储来做备份容灾,这是不是更进一步造成浪费。如果你觉得我上面没有配置存储感觉数据存储空间仍然不够,那我建议你可以再加一台服务器(组成三台),每台服务器上增加相应的硬盘(扩展存储空间),这三台物理服务器可以组成一个虚拟存储(如VMware vSAN、华为Fusion Storage等)来实现你所要求的功能,这样可以达到存储空间大、后期扩展强、结构简单、维护方便等特点。
图10
五、桌面系统――windows域(Domain)环境
据我观察在现在不光是中小型网络,大型网络中也少见域(Domain)环境,基本上全是以工作组的形式来组建桌面网络。工作组桌面网络架构确实有安装简单、网络资源消耗低等优点,但缺点太多:1、网络安全性低。2、集中管理不方便。3、公共应用配置繁琐。4、无权限配置。所以说对于管理人员来说刚开始使用是简单方便了,但随着各个应用越来越多,病毒也越来越多,权限设置越来越多的时候,你只能是疲于应付,只到把你累瘫为至。
域(Domain)环境有哪些优点呢?1、管理方便。在域中,每个域用户账户都可以在域中任意一台允许本地登录的计算机上登录域,只要该计算机与DC在同一个网络中即可。而且用户的桌面环境及其他账户配置不会因在不同计算机上登录而不同,因为域支持全局漫游用户配置文件。这样就极大方便了用户的网络访问。2、安全性更高。因为域的全局用户账户和安全策略都是集中在一台或者少数几台DC上进行配置与管理的,所以相对工作组网络来说,这些配置的安全性就更高,更不容易被人攻击和破解。同样,由于域中的用户数据可以存放在一台或者少数几台服务器上,企业网络数据也就更安全。3、网络访问更方便。域是采用单点登录方式,用户只需要用户域账户登录一次域,就可以无限地访问允许访问的所有网络资源,而无需反复输入不同账户信息进行身份验证。
我们在域(Domain)环境中权限管理集中后,所有网络资源,包括用户,均是在DC(域控制器)上进行维护,便于集中管理。所有用户只要登入到域,在域内均能进行身份验证,管理人员可以较好的管理计算机资源,管理网络的成本大大降低。我们可以只允许管理人员在DC(域控制器)上指定某些软件才能安装,这样能增强客户端安全性、防止未授权人员在客户端乱装软件, 减少客户端故障,降低维护成本。有利于单位对保密数据资料进行管理,比如某些盘符只能允许授权用户才能访问,某些文件可以允许看,但不能删除或修改。还可以直接在DC(域控制器)上进行系统补丁的升级(如Windows Updates),然后下面的客户端再连接DC进行系统更新,从而节省大量网络带宽。
图11
当然,域(Domain)环境也不是没有缺点,它就是前期布署时有些麻烦,后期的正常维护需要有一定技术水平的网络管理人员(其实也不需要水平有多高,域环境中出现的问题去问下度娘或买本AD配置指南都有很好的解答)。
六、云桌面系统――VMware Horizon、华为Fusion Access、锐捷RG-RCD6000-Office
在我所在的城市还暂时没看到使用云桌面进行办公的单位,在我公司即将实施的某个项目中到是有云桌面系统(VMware Horizon6,必竟还未做起来)。而在传传统PC终端组成的信息化办公场景逐渐暴露出种种不足。例如:在办公室工作时,不仅公用电脑上安装的软件众多、操作缓慢,人员还需要自行携带U盘复制数据,数据丢失和病毒感染事件常常发生;在办公室工作时,不仅优质办公资源筛选费时费力、各部门之间数据共享困难,人员还需要自己找各种工具、重复下载和处理资料,浪费大量时间,严重影响工作效率。随着信息化技术的演进,人员对办公系统的要求也越来越高,但传统的IT构架模式所面临的困境却日益凸显。
图12
云桌面解决方案由虚拟化技术构建基础存储集群,集群配套性能可以支持用户所需的并发用户集中访问。办公室中部署云桌面终端或终端一体机,也可以利旧(原有台式电脑安装云客户端软件)通过网络连接至云主机集群获取个人专属公桌面,彻底实现办公设备的部署集中化,管理智能化,维护简单化。可以节省能源,一套台式电脑有300多W,而一个终端+显示器也只有20多W,这样算起来几十套电脑设备一年要节省不少的电费(按50套电脑算,一年可以节省5万元电费)。可以减少后期投资,你一套台式电脑最多只能用3-5年,而云桌面你只需对系统模板进行相应升级,就可以跟上潮流,十年可以不用再投资。可以方便进行移动办公,什么意思呢?就是说你在办公室没干完的事,回家后再登陆云桌面进行工作即可。这样就避免了传统PC时代,还要用U盘导资料,回到家中还要面对桌面环境不一致的尴尬情况。可以方便快速的恢复系统,当你系统中毒或无法启动时,云桌面可以在十分钟内就恢复你的桌面环境,数据也不会丢失。
如果在你的单位已经布署了我前面所说的第四点服务器虚拟化后,再布署云桌面就更经济更方便更快速。你只用增加相应的终端设备就可以很好的搭建云桌面环境(如VMware Horizon、华为Fusion Access)。而锐捷的RG-RCD6000-Office是一个软、硬件一体化的产品,如果你没有做服务器虚拟化,那么购买锐捷的RG-RCD6000-Office去布署自己的云桌面系统也是个不错的选择。
图13
我对于一个中小型网络的见解也就这么多,其实每个人对如何建设一个安全高效的网络都有自己的理解和意见,在这儿我只是提供大家一个规划建议,有不足和错误的地方也不要喷我,这篇文章如果对某些人能起到一定的帮助作用,我也就感到很开心拉(^-^)。