起步阶段
经常见到很多小公司内部的网络采用路由器+二层交换机的模式,个人认为不太合理:首先是有些不划分vlan,所有的IP(PC、无线、服务器、门禁、监控等)都在一个网段内以及使用路由器做为DHCP服务器;另外一些实现了vlan划分,但vlan间的通信要靠单臂路由来完成,大大影响了传输速度。
这个时候应该先确立网络的核心----三层交换机,使用三层交换机做好不同设备(PC、无线、服务器、门禁、监控等)间的vlan的划分,不管是扩展也好、调整也好都可以随心所欲,充满弹性。
再者,要做好网线标签,到工位也好,到其他设备也好,只有做好标签,在后期出现故障或者需要调整的时候才能够迅速定位。同样的,某些特定的端口比如连接某台服务器的端口在交换机配置时添加description,尽量添加专业一点的描述比如description link_to_OAServer,也是为了方便管理及定位。
此时的网络已经可以满足正常的需求,并且易于扩展。
发展阶段
随着公司的发展,公司未来所需要的服务日益增多,新的需求逐渐浮现:
1,员工权限无规范;
2,随着人员的增多,网络经常出现卡顿情况;
3,少量的无线AP已经难以满足大幅增长的无线设备;
4,公司内部没有相应的文档管理等。
这个时候我们祭出第二个核心设备:AD域。好处有几项:
一,集中式管理。以前在无数客户端要重复多次的设置,只要在域控制器上做一次组策略下发设置就可以了,减少了管理员的工作量;
二,权限的精细化。可以针对不同的OU配置不同的组策略;
三,统一身份认证。不管是电脑开机密码,还是文件服务器的权限,或者是诸如OA、erp、NAS等系统,一个域账号密码全部搞定;
四,AD可以与行为管理设备做联动,方便后期针对不同的部门及人员设置流控以及行为管理策略。
搭建域控时,一起把所需的文件服务器、DHCP服务器、DNS服务器等一起搭建,为了有效的利用服务器资源,可将服务器配置成ESXI虚拟化系统。
为了解决卡顿问题,可增设专门的行为管理设备进行流控以及其他管控,诸如禁止上班时间看视频、访问小说、购物网站等。比如通过深信服AC结合服务器AD域认证做精准的流控及行为管理。
再者,由于无线用户日益增多,需要公司无线网络全覆盖。可以通过无线控制器+POE供电的瘦AP来实现。
土豪阶段
公司有了钱,更在乎稳定。这时候网络暴露出来一个问题,那就是单点故障,解决的方法也很简单,那就是来双份做HA。
另外再做一些调整,比如:
网关由路由器更换为防火墙设备;
增加SSL VPN设备以供出差或者不在公司的员工通过VPN的方式访问内网(比如深信服SSL VPN,华为SSL VPN);
增加NAS设备备份文件服务器,员工电脑备份,虚拟化系统备份等;
网关更改为电信、联通双出口,并做路由选路,比如默认情况下有线网络走电信,无线网络走联通,出现线路故障时自动切换等;
当然公司壮大就会出现分公司或者需要互联的其他局域网,这时候可以通过IPsec VPN,硬件SSL VPN设备,甚至是专线达成两者的互通。
总结
个人认为,中小型企业中核心的设备一个是能够提供弹性的三层交换机,一个是能进行统一管理的AD域,在这两者的基础上才能搭建好一个完整的易于管理的网络。