1、把复杂的问题简单化
再复杂的网络架构也都是由最基础的技术(交换、路由、服务器、vpn配置等)来实现的,越是复杂的环境稳定性和可维护性就相对越差,所以在规划和设计时要尽量使复杂的问题简单化,网络只要保证稳定、可靠运行即可。
2、管理规范 化
IT建设是基于公司业务需要的,一切为了业务。管理标准要努力向ITIL标准靠拢。IT技术都相差无几,关键是规范管理方面、指导原则和方向、经验的积累。 IT审计的目的:都是在审查一些标准规范,包括AD用户管理,服务器管理,文件管理,安全防范,备份管理,灾难恢复测试,机房管理,网络系统管理,桌面支持管理,软件需求管理,异常处理管理,人员操作规范,IT桌面维护规范(细致到AD管理员、备份管理员)等操作指南。当然太多的细节,太多的管理标准,准备这些文档,应付审计,本身就是件很头疼的事情。
3、规划管理
对于跨国大型公司的IT结构来说,追求的是稳定性,从网络拓扑规划上来讲,要越简单越好,因为你真的做过后,会发现搞的越复杂,管理起来成本就会越高。对于网络来说只要做到结构清晰,可管理性强,遇到故障可以及时发现并快速修复就可以了。当然网络升级操作也要很谨慎,要经过充分论证和实验后才去做,规划管理的趋势就是集中管理,当然虚拟化也是个趋势。
1) 网络连通:采用专线网络把全球分公司的网络都连接起来,各地分公司都在同一个内网里。采取双线路互联,1条或2条互为备份的SDH线路,1个硬件VPN(备用)。
2) 域规划:使用单一森林域架构,不同区域的公司建立子域,各域之间做信任,用单一域也可以进行管控,对于超过10个以上的域结构,推荐使用域间的信任关系,而不要使用父子域。各国域服务器通过路由器的VPN实现互通,总部委派各国的管理员管理自己的域。使用硬件VPN保证每个site的连接,有的会在距离较远城市间加载网络加速器设备。每个site接入层可划分VLAN(高级点的配置802.1x),3层(router)做一些ACL,外网接入路由做热备,firewall部分使用cisco设备的较多。
3) 主要应用:Exchange,SPS等应用按照AD的规划架构来进行相应设置,各国或分支的exchange服务器属于总部的一个域,或者说各分支的exchange服务器都是总部的备份域服务器。所有分支的exchange服务器组成一个路由组。它们也是通过VPN实现的。为保证内部系统的安全性,当用户在外部时邮件(EXCHANGE模式)和访问共享资料全部都要通过VPN来拨入后才可以,VPN采用动态密钥方式。有的公司也会做Citrix以保证一些特殊应用可以让用户及时可以使用,这个取决于公司的安全策略。
1343
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
