摘要:
为了实现某设计院的规模扩大及人员增加、解决现在网络瓶颈、服务器缺少容灾、网络资源区域划分不清晰、异地办公等问题。2021年,该设计院由于原办公楼过于老旧,整个楼层已存在20年之久,人员办公空间紧张,新员工已经没有办公工位,所以将办公楼由原来的7层搬入新楼的17层之中。于此同时,该公司在异地新成立一建筑设计公司,且要求与异地分公司建立联系,所以有如上要求。2021年11月,我参与了该设计院机房搬迁和网络改造项目,按照项目要求需要重新规划网络、更新设备。经过与施工方戮力同心的合作,项目完成后经过测试,顺利通过验收,成为该市的信息化建设示范项目。
正文:
我作为项目经理同相关负责人详细了解了整个项目的要求,包括了机房节能减排、等级要求、设备利旧、部分员工出差远程办公,新成立的异地分公司需要远程连接到总部服务器,数据量大需要进行冗余备份,网络安全和员工上网要求等不同的使用场景。
将按照这些需求分为了如下5个方面来统一介绍这个项目:
1 机房建设
该机房采用了华为的模块化机房技术,将机房机柜摆放实现面对面方式,铺盖了高于地面20cm的防静电地板,旁边的隔断内作为UPS室,以防止市电断电的情况下,仍然有半小时的工程师应急处理时间。微孔铝板作为吊顶,墙面做了隔绝层,即保护了墙面,做到了墙面美观,又有效的与室外温度进行了隔离,从而实现了节能。
机柜内使用了模块化空调,使得恒温恒湿的条件永远保持在机柜内,能耗比达到了1.5的标准,较为理想的实现了客户节能减排的目标。
机房还配置了消防、配电、UPS、门禁、视频监控、温湿度、在第一时间可以在监控中心能够看到报警从而在第一时间实现处置,还从防火墙上做了NAT配置后实现了在手机APP上可第一时间监控到机房画面和环控情况的线上掌握。
2 网络规划
网络由于异地分公司接入的要求,和需要全公司员工实现无线上网的要求,需要分别配置隧道和无线网。按照成本的要求,该园区网使用了二层架构,因为业务和办公的不同需求分为了内网和外网,内网地址段为172.16.0.0/16,外网地址段为192.168.0.0/16。内网可以访问内部应用服务器,受到上网行为的管控,外网并没有做上网行为的管控。
按照用户需要,需要接入移动、联通、电信三家不同运营商网络,互联网出口处使用了华为防火墙USG6610,实现路由转发、NAT、安全策略、ISP流量负载均衡等。
从内网上的不同安全区域划分为untrust、DMZ、trust,即对外互联网为untrust区域,外部能够访问企业网站的业务和应用、网站等为DMZ区域,办公人员使用的内网终端是trust区域。
内外网使用了逻辑隔离,即在内外网核心之间加上了防火墙-USG6555来进行流量分离,接入区为华为S5735作为接入交换机,使用了vlan技术来实现了各个部门的访问限制、实现各个设备之间的互联,在防火墙内写入了安全策略实现了对外互联网的访问,在内网核心上做了IP和mac地址绑定防止mac欺骗和用户私自更改IP地址的情况、DHCP snooping 来实现末端私自接入无线路由器导致用户无法上网的情况。
在外网核心交换机-锐捷S7503旁挂了AC,来实现综合管理全园区的AP,根据不同的应用场景,包括了会议室、餐厅、办公室、楼宇之外分别部署了高密、吊顶、墙插、室外等不同功能的AP,实现了无线网全园区覆盖。
在内网核心交换机-华为S7706加入了安全控制设备,配置了IPsec实现与分公司的网络互联。分公司在整个一个楼层办公,采用了安全控制网关接入运营商专线形式,下接交换机做了级联部署,实现对上网办公的需求。划分为172.17.0.0的地址段,实现与总部服务器的联系。
3 综合布线和设备上电
综合布线包括了与运营商联系进行光纤接入,经过内网防火墙、上网行为管理、核心交换机后,在设备写入配置,将万兆光纤接入到光纤配线架,至各个楼层内弱电间机柜通过配线架链接到内网交换机。业务服务器包括了邮件、网站、备份、数据库、应用等,直连内网交换机。
外网经过路由器、安全控制网关、外网核心交换机,通过光缆至各个楼层外网交换机,同样的由于外网支持无线功能,在AC旁挂在外网核心交换机通过POE交换机来实现AP上线和管控。配线架包括光纤和以太网配线架,根据不同的接口加入光模块、光纤跳线等实现链接。
设备写入配置上电后,实现了内网业务各个节点千兆的访问速度,内网用户互联网访问达到了800M,外网用户达到了400M。
4 安全及备份
由于建筑设计的CAD制图图纸很多,相对而言历史数据也是非常重要,所以要求对数据进行备份,这里采用的是在分公司异地备份的方式实现,又因为数据量比较大的缘故,所以备份是以增量备份方式实现,即每天的增量等于前一天的书记差异。服务器使用了Raid 5做了磁盘虚拟化,并加入了热备盘,使得即使出现1块损坏的情况,磁盘内的数据仍然能够进行及时恢复。网络安全上使用了在终端内安装杀毒软件来实现,安全控制网关来根据策略实现配置。
为了统一管理所有设备,该网络还上线了SDN服务器,旁挂在外网核心交换机上,通过SDN可以以SNMP协议管控到整个网络设备,报警报文上传至服务器,SDN通过web方式登录后即可查看所有的报错信息并进行及时处置。
SDN还包括了对无线上网用户的认证,即通过portal方式登录,实现了所有上网用户的统一管理,可以远程帮助实现密码重置等服务。
SDN还能够呈现全园区的拓扑图,包括了设备和链路的状态信息,如果出现问题,管理员可以远程操作实现配置下发。
5 外地办公
由于有部分用户外出办公的需要,即在外地仍需要连接到内网服务器来办理业务,在内网防火墙内配置了SSLVPN,即通过客户端或者网页端登录的方式实现外地办公。+
仍需要改进的方面:
整个园区机房的规划建设,目前有没有替换或者冷热备设备存在单点故障的隐患,随着企业发展用户数的增加,vlan内的用户可能会形成比较大的冲突域,在DMZ区域没有专门的WAF,由于出口带宽的有限,可能存在访问峰值网络卡顿的情况,这些都是可能在下一步需要改进的地方。
总结:
经过这次的工程设计规划与实施,比较完美的完成了用户的需求。在后期的运维工作中也进行了及时沟通,与该公司信息中心的工程师保持沟通解决一些工作上的问题,得到了用户方面的一致好评。我希望自己以这些工作项目经历为契机,勤学苦练不断提高自己的业务水平,贯彻“能力越大,责任越大”的原则,在市里的信息化领域做出自己应有的贡献,为未来的数字化社会贡献一份自己的力量。