<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

 

 

1 、把复杂的问题简单化
再复杂的网络框架也都是由最基础的技术(交换、路由、服务器、 *** 配置等)来实现的,越是复杂的环境稳定性就相对越差,所以在规划和设计时要尽量使复杂的问题简单化,网络只要保证稳定、可靠运行即可。

 

2 、管理规范
IT 是基于公司业务需要的,一切为了业务。管理标准要努力向 ITIL 标准靠拢。 IT 技术都相差无几,关键是规范管理方面、指导原则和方向、经验的积累。
公司每年至少两次 IT 审计,都是在审查一些标准规范,包括 AD 用户管理,服务器管理,文件管理,安全防范,备份管理,灾难恢复测试,机房管理,网络系统管理,桌面支持管理,软件需求管理,异常处理管理,人员操作规范, IT 桌面维护规范(细致到 AD 管理员、备份管理员)等操作指南。当然太多的细节,太多的管理标准,准备这些文档,应付审计,本身就是件很头疼的事情。

 

3 、规划管理
对于跨国大型公司的 IT 结构来说,追求的是稳定性,从网络拓扑规划上来讲,要越简单越好,因为你真的做过后,会发现搞的越复杂,管理起来成本就会越高。对于网络来说只要做到结构清晰,可管理性强,遇到故障可以及时发现并快速修复就可以了。当然网络升级操作也要很谨慎,要经过充分论证和实验后才去做,规划管理的趋势就是集中管理,当然虚拟化也是个趋势。

1) 网络连通:采用专线网络把全球分公司的网络都连接起来,各地分公司都在同一个内网里。采取双线路互联, 1 条或 2 条互为备份的 SDH 线路, 1 个硬件 ×××( 备用 )

2) 域规划:使用单一森林域架构,不同区域的公司建立子域,各域之间做信任,用单一域也可以进行管控,对于超过 10 个以上的域结构,推荐使用域间的信任关系,而不要使用父子域。各国域服务器通过路由器的 ××× 实现互通,总部委派各国的管理员管理自己的域。使用硬件 ××× 保证每个 site 的连接,有的会在距离较远城市间加载网络加速器设备。每个 site 接入层可划分 VLAN (高级点的配置 802.1x) 3 层( router )做一些 ACL ,外网接入路由做热备, firewall 部分使用 cisco 设备的较多。

3) 主要应用: Exchange SPS 等应用按照 AD 的规划架构来进行相应设置,各国或分支的 exchange 服务器属于总部的一个域,或者说各分支的 exchange 服务器都是总部的备份域服务器。所有分支的 exchange 服务器组成一个路由组。它们也是通过 ××× 实现的。为保证内部系统的安全性,当用户在外部时邮件( EXCHANGE 模式)和访问共享资料全部都要通过 ××× 来拨入后才可以, ××× 采用动态密钥方式。有的公司也会做 Citrix 以保证一些特殊应用可以让用户及时可以使用,这个取决于公司的安全策略。

3) 网络设备:通常都使用 CISCO 设备,举个例子:分支使用 Cisco 28 的路由器和 cisco 45 65 的核心交换, 29 的二层交换。对于所有分公司和总公司的连接,不管是 DDN 还是 S2S ××× 可以用 RIverBed 加速设备,移动用户接入内网使用 CISCO RSA 签名认证的 ××× 连接。网络连接主要是各国的 ××× 带宽控制,通过 PacketShanger 来保证 ××× 带宽和公司访问 internet 的等带宽分开,同时使用 Bluecoat 进行广域网的优化和加速,几乎所有的服务器都通过 ××× 组成 内网 访问,访问 Internet 的用户采用 AD Bluecoat 认证。

4) 管理软件:网络故障管理都是软件的,采用 HP NNM 的居多。


4 、案例讲解

** 集团
使用 MCI 的专线把各分公司联系起来的,各个分公司通过 MCI 在各国的本地接口接上 MCI 的全球骨干网上。使用一个森林域,多个子域进行管理,子域划分主要按照行政关系划分,美国、英国、欧洲、亚太各一个,每个地区放置 2 DC 。每个分公司做成一个组织单元,形成集中管理式的域架构,同时通过 ××× 与总部连接。下放到各个域的 Local 管理员手里的权限并不多,为每个公司分配一个 DOMAIN ADMINS 账户(个人觉得权限过大,有风险),每个域都要定义客户机命名规则,加入域后的 PC 账户移动到属于自己公司下的 computers 组织单元下。

基本上国内的管理员权限很有限,这些企业会将一些之后给些配置说明,大部分所需要做的就是按说明 click Next YES No 即可!他们会将大部分操作做成详细的说明文档你去执行即可!一些需要配置的地方,你完成网络的联通你的工作就 OK 了,只要能远程他们都会去做。

VOIP PBX 是由另外一组维护的,这个一般都归总务或后勤, IT 组只负责分机或电话的日常维护工作罢了。视频监控属于安防范畴,一般由公司安防部门负责的。
大企业 IT 分工很细的,一般中小企业 IT 人数少,所以什么都要管的。我遇到过中小企业连电梯、微波炉有啥问题都找 IT 的,只要是用电的都找 IT ^_^

集团或大型的外企公司一般都是使用 Cisco 的网络设备,倒不是因为这东西有多好,主要是因为它产品线齐全,功能也全,更注重的是可以提供长期稳定的服务,要知道这些公司一般都是存在几十年的大公司。

在总部,有各方面的 IT 工程师,而且每个工程师都很专业,负责某一领域的具体工作,比如有专人负责 EXCHANGE 服务器,有专人负责 ISA 服务器。各地工厂新进 IT ,总部 IT 会安排时间做各种培训。服务器一般都开有远程管理。服务器、客户机有统一的策略,各公司只要执行就 OK 。有任何问题 CALL 总部 IT ,他们会远程连到服务器上搞定。强化了总部的 IT 控制,对各地 IT 的要求也不算太高。总部的 IT 技术人员可以调配任何公司的 IT 去支持其他公司。比如新建一个公司,就可以从附近公司调配 IT 人员过去负责机房建设、电信线路申请之类的工作,等服务器上架,他们会丢过来一份文档,按要求分区,安装操作系统,按规定服务器命名。等服务器开启远程后,总部 IT 人员远程后续安装配置工作。

 

总体感觉,越大的集团或外企公司,本地管理员手里的权限就越小,能看到的东西也越少,不过好处就是担的责任也就越小,出了问题你总是可以找上面的来人管。所以对于刚入行的人来说,集团或外企公司并不是个学技术的好地方,不过如果能够经过一段时间的积累,再来集团或外企公司,就能帮你理顺知识,同时更重要的是能够学习大公司的标准化的流程管理,而这其实是比技术更重要的。要知道大公司里一般都有一大帮 IT ,他们分工明确,责任清晰,如果没有严格的分工、文档的话,肯定会乱套,并且来集团外企公司还把注意力放在技术上就太浪费了,在这应该多利用公司了的各种资源,提高自己的管理能力,往管理者的方向发展。

另外,大公司一般使用的各种技术很齐全,你在这里能够接触各种最新的技术。向微软的各种好东西,还有 Citrix 之类的,一般都会使用,对拓宽知识面非常有好处!同时因为外企一般都有一帮 IT ,所以藏龙卧虎很多,说不定刚和你开电话会议的世界另一边的某个角落里的家伙就是某个领域内的专家。所以如果懂得利用大公司资源的话,会成长的很快的!!