安全高效的中小型 络

从第一次接触DOS到winnt――win98――winme――win2000――winxp、linux等各种不同的操作系统，从给别人组装兼容机――安装操作系统――维修笔记本到维护整个 络、服务器及周边设备，经历由易到难、由简到繁的过程，也从中学习到很多技术知识，丰富了自身经验。

我现在的工作主要是负责系统集成弱电项目的售前、售中和售后的工作。我所参于实施的很多 络工程中绝大多数是属于中小型 络，客户端多的就200个左右，少一些的就几十个。而就我所认知越小型的 络对安全和效率就越不重视（如中病毒、 络不通、速度慢、冗余不够等），反而是越大型 络中对安全和效率的重视程度就越高。这样就导致我们去中小型 络项目维护的成本远高于对大型 络进行维护的成本，造成这方面的原因有很多，比如前期做设计时中小型 络的预算比较少，高档的安全类产品和智能、高效极简的 络产品因价格原因无法去采购。又或者因为中小型 络没有专门 络技术人员去管理，人为因素产生的故障很多等等。而且安全高效的中小型 络是整个弱电系统的基础，就像高楼的地基。现在越来越多的弱电系统（如数字视频会议系统、数字校园广播系统、数字监控系统、无线叫 系统、录播系统等）都是基于 络之上，如果 络不畅或出故障，就会造成整个弱电系统崩盘。

那么有没有一种即高效安全、又费用合适的中小型 络架构呢就以个人经验和见解根据下面（图1） 络架构拓扑图，从六个方面来进行一一介绍。

图2

可能有人会说现在三层架构（接入――〉汇聚――〉核心）应该是最科学合理的，可我说 络三层架构对于大型 络来说才是科学合理的，对中小型 络来说是浪费。三层架构最重要的作用是在汇聚上做策略（做 关、ACL、路由、DHCP等），核心上只是起数据交换（给处理器减压，已达到更快的速度）作用。而中小型 络因为客户端不多，数据流量不会很大，使用一台性价比适中的三层交换机（如锐捷RG-S6100系列万兆交换机，华为S6700系列万兆交换机等）就足以达到核心的作用。

图4

使用路由器有哪些缺点呢无法检测到病毒***。2、无法做流量控制。3、无法智能选路。4、无法做上 行为管理等等。所以我真的不赞成只是一台路由器去连接外 ，好些的做法是在路由器和核心交换机之间布置一台防火墙设备（如锐捷RG-WALL 1600，华为USG6000），可以启到阻断病毒***作用。

如果自己的WEB服务器很重要，需防止恶意篡改 页。我们可以在WEB服务器前面布署一台WAF（如锐捷RG-WG，华为WAF2210），WAF可以起到WEB站点防漏洞扫描、站点隐身、 页防篡改等功能。如果怕自己内 的客户端成为***的“肉鸡”，我们可以在 络边界透明布署一台NIP（如锐捷RG-IDP、华为NIP6320），NIP可以防止DDOS***、防止内部信息泄密、可对上 行为进行流控等功能。如果对自己内 的数据安全要求非常高，要求严格控制每一个访问者。我们可以在访问者和保护数据之间布署一台堡垒机（如锐捷RG-OAS、 神G1500），堡垒机可以起至集中帐 管理、统一认证管理、集中授权管理、统一审计管理、数据单向流通等功能。如果需要在不同的地域建立自己的专 ，我们也可以在边界布署一台×××，它可以满足IPsec ×××、SSL×××、L2TP ×××等多样×××连接，比起去运营商那租一条专 节省不少费用，只需购买设备的费用，租金为零。

图6

三、无线 络――AC+AP+POE

在我所接触的大多数中小型 络里，还没有使用AC+AP+POE架构的无线 络。它们有的只是在有线 络房间中接台无线路由器或者有AP无AC，这样的后果就是局域 内无法实现无线漫游，安全性差（无认证），非法DHCP蔓延等。

AC+AP+POE架构的特点是：

1、布署灵活，接入方便。我们可以根据用户的需求来选择是使用802.11n（速率可达到450M）或802.11ac（速率可达到1G）的AP。也可以根据场景的不同来选择是使用放装型AP（吊顶或壁挂）或墙面AP（安装在86底盒上，好处在于不用重新布线，就用原来的有线系统）。还可以根据房间的密集度来选择使用室分型AP（使用一分八天线进入各个房间）或智分+型AP（一台智分+AP主机带24台微AP）。

图8

四、服务器设备――物理服务器、虚拟化（Vmware、Hyper-V、Fusion Compute等）

服务器集群在中小型的 络中不是很普遍，但在不少单位中还是需要的，如学校、事业单位等。在很多单位对服务器都没有统一的规划，有了项目或业务就增加一台服务器，有多个项目就有多个服务器，这样即不利于管理又造成浪费。

1、在单位对外业务单一，只需要一台服务器时，那我的建议就是采购一台物理服务器，即节省费用又能满足需求。不过为了满足未来五年的业务需求，还是要对这台服务器性能做好规划的，如服务器的CPU最少两颗八核以上，内存64G以上，硬盘（最少两块SSD、4块SAS，这样可以提高数据读取速度和数据存储空间、冗余备份），一块带电池、高缓存的RAID卡（可以按照硬盘配置数量做RAID0、1、5、6、10等，突然断电的情况下保证数据不丢失），两个光口和四个千兆电口（做端口聚合和冗余备份、负载均衡等）。

2、在单位对外业务很多，而且随着时间的推移业务还要扩展时，我们可以利用现在已经很成熟的服务器虚拟化技术。我建议在中小型 络只需要采购两台物理服务器（配置参考上面第1条）就足够了，在这两台服务器上可以虚拟出30台VM来满足用户的需求，使用VMware vSphere、微软的Hyper-V、华为的Fusion Compute可以对这两台服务器做成群集Cluster，如果有一台物理服务器出故障，上面的VM可以自动漂移到另一台物理服务器上，从而做到即在单台服务器里有冗余备份，在两台服务器之间也有冗余备份。而且在管理员自己的电脑上可以使用客户端软件很便捷的管理VM，达到安全快捷扃平化管理。

图10

五、桌面系统――windows域（Domain）环境

据我观察在现在不光是中小型 络，大型 络中也少见域（Domain）环境，基本上全是以工作组的形式来组建桌面 络。工作组桌面 络架构确实有安装简单、 络资源消耗低等优点，但缺点太多：1、 络安全性低。2、集中管理不方便。3、公共应用配置繁琐。4、无权限配置。所以说对于管理人员来说刚开始使用是简单方便了，但随着各个应用越来越多，病毒也越来越多，权限设置越来越多的时候，你只能是疲于应付，只到把你累瘫为至。

域（Domain）环境有哪些优点呢管理方便。在域中，每个域用户账户都可以在域中任意一台允许本地登录的计算机上登录域，只要该计算机与DC在同一个 络中即可。而且用户的桌面环境及其他账户配置不会因在不同计算机上登录而不同，因为域支持全局漫游用户配置文件。这样就极大方便了用户的 络访问。2、安全性更高。因为域的全局用户账户和安全策略都是集中在一台或者少数几台DC上进行配置与管理的，所以相对工作组 络来说，这些配置的安全性就更高，更不容易被人***和破解。同样，由于域中的用户数据可以存放在一台或者少数几台服务器上，企业 络数据也就更安全。3、 络访问更方便。域是采用单点登录方式，用户只需要用户域账户登录一次域，就可以无限地访问允许访问的所有 络资源，而无需反复输入不同账户信息进行身份验证。

我们在域（Domain）环境中权限管理集中后，所有 络资源，包括用户，均是在DC（域控制器）上进行维护，便于集中管理。所有用户只要登入到域，在域内均能进行身份验证，管理人员可以较好的管理计算机资源，管理 络的成本大大降低。我们可以只允许管理人员在DC（域控制器）上指定某些软件才能安装，这样能增强客户端安全性、防止未授权人员在客户端乱装软件, 减少客户端故障，降低维护成本。有利于单位对保密数据资料进行管理，比如某些盘符只能允许授权用户才能访问，某些文件可以允许看，但不能删除或修改。还可以直接在DC（域控制器）上进行系统补丁的升级（如Windows Updates），然后下面的客户端再连接DC进行系统更新，从而节省大量 络带宽。

图12

云桌面解决方案由虚拟化技术构建基础存储集群，集群配套性能可以支持用户所需的并发用户集中访问。办公室中部署云桌面终端或终端一体机，也可以利旧（原有台式电脑安装云客户端软件）通过 络连接至云主机集群获取个人专属公桌面，彻底实现办公设备的部署集中化，管理智能化，维护简单化。可以节省能源，一套台式电脑有300多W，而一个终端+显示器也只有20多W，这样算起来几十套电脑设备一年要节省不少的电费（按50套电脑算，一年可以节省5万元电费）。可以减少后期投资，你一套台式电脑最多只能用3－5年，而云桌面你只需对系统模板进行相应升级，就可以跟上潮流，十年可以不用再投资。可以方便进行移动办公，什么意思呢说你在办公室没干完的事，回家后再登陆云桌面进行工作即可。这样就避免了传统PC时代，还要用U盘导资料，回到家中还要面对桌面环境不一致的尴尬情况。可以方便快速的恢复系统，当你系统中毒或无法启动时，云桌面可以在十分钟内就恢复你的桌面环境，数据也不会丢失。

如果在你的单位已经布署了我前面所说的第四点服务器虚拟化后，再布署云桌面就更经济更方便更快速。你只用增加相应的终端设备就可以很好的搭建云桌面环境（如VMware Horizon、华为Fusion Access）。而锐捷的RG-RCD6000-Office是一个软、硬件一体化的产品，如果你没有做服务器虚拟化，那么购买锐捷的RG-RCD6000-Office去布署自己的云桌面系统也是个不错的选择。

图13

我对于一个中小型 络的见解也就这么多，其实每个人对如何建设一个安全高效的 络都有自己的理解和意见，在这儿我只是提供大家一个规划建议，有不足和错误的地方也不要喷我，这篇文章如果对某些人能起到一定的帮助作用，我也就感到很开心拉（^-^）。

文章知识点与官方知识档案匹配，可进一步学习相关知识云原生入门技能树首页概览8763 人正在系统学习中 相关资源：鸿威台球室计费系统说明书_棋牌室管理系统-专业指导文档类资源…