漫谈菠菜行业办公室网络设计
几乎每个来菲律宾的人都会说菲律宾的网络差,包括最近来的马云,那菲律宾的网络真的是否如大家认为的那么差呢?其实这里面有很大的误解。这个谜团暂按下不表。回到文章的主题菠菜行业办公室网络设计。
需求调研:
网络设计其实和软件开发的流程或者方法论其实是一样的,首先是需求调研,这一步非常重要,一切设计都源自于需求,客户需要什么,要解决什么问题,将来会有什么问题,是否有扩展空间,行业的特点是什么。客户需求不等于是老板的要求,这个是不能划等号的。需求设计做的是否扎实,影响深远,直接决定项目的成败。
菠菜行业对于办公室网络的需求到底是什么呢?
先分析办公特点,典型的劳动密集型企业,单位空间办公人员特别多,单个办公人员登录的聊天工具特别多,单个办公人员办公终端特别多,考虑行业的敏感性,同一公网IP地址下登录的QQ、微信过多,IP地址会有被封禁的风险。
菠菜网站往往会针对用户设置白名单,尤其是网站后台。
菠菜公司被网络攻击的概率极大,通过网络攻击导致的账号泄露从而影响办公概率极大
针对具体的某一个企业的网络设计还需要提供一些具体的数据,比如PC终端的数量,手机终端的数量,办公室的座位分布等。
菲律宾的ISP 线路的稳定性较差,断网的现象时有发生。
菠菜行业高度依赖网络,一切活动都基于网络,断网意味着中断生产,直接造成人力资源闲置,间接造成公司收入降低。
网络设计:
本次设计想从OSI 7层模型的角度谈,换个角度开拓一下思维总是有益的,另外比较全面,避免设计的遗漏或疏忽。
物理层:这一层最主要的就是线缆了,尤其是办公室的工位到机房的布线,尤为重要,有很多公司为了省钱,或者没有专业的人才,这一块潦草了事,各种下限都出来了,比如机房到一个办公室就布设一根网线,其他信息点通过HUB或者交换机连接这个网线。或者网线水晶头做的极差,水晶头都没压实,也没有用盖子封装信息点。
知道菲律宾的网络为什么差了吧?
正确的做法,请专业的弱电人员布设六类双绞线,保证信息点(工位)直连机房。水晶头必须压实了,最好封装好。这一步没做好,意味着后期巨大的维护成本及极差的网络体验。
数据链路层:也就是我们常说的交换机,二层。很多公司往往采用各种傻瓜式交换机,无线路由器交换机级联,像接力一样,一个接一个,接自来水一样。这种做法的动机显而易见,成本极低,各种成本,设计成本,造价,维护成本。但是事情完全相反,成本极低仅仅只是表面,冰山下的成本极高。
虽然初期能快速完成布网(其实也没多块,只是不费脑而已),但随着时间推移,各种线路胡乱接入,网络的稳定性极差,动不动网络卡了,动不动网络断了,由于采用傻瓜式交换机,根本无法做网络优化,只能临时解决,网络断了,是不是自己接线的时候拔线,检查重新插上,网络卡,是不是环路了,费老大劲也检查不出来,很难判断,傻瓜式交换机,于是放弃了,菲律宾网络就是差。
这种极差的网络体验加上时不时的断网以及给员工带来的烦躁心情极大的降低了工作效率早期的节省的成本完全被抵消,并持续损失公司效益。一旦投入使用,网络整改的停机成本将很难促使决策层下决心整改网络。以至于扔下一句菲律宾网络就是差而结束。
正确的做法:采购可管理可配置的交换机,布线一次到位,根据需求划分多个VLAN,VLAN的数目取决于公司PC规模。建议10个交换机端口为一个VLAN。为什么是10个而不是整个交换机(46-48)端口划入一个VLAN呢?这就和我们之前的行业特点有关了。一般而言,员工尽量用不同的公网地址上网将极大的降低微信等聊天工具被封杀的风险。
VLan对应子网,不同子网映射不同的公网地址。如果VLAN里面的端口过多,导致公网地址密度过低。为什么不用同一个子网里不同的地址映射到不同的公网地址呢?这样不也可以吗。是的是可以,但是和另一个需求又冲突了。
菲律宾很多网站都需要白名单访问,意味着桌面PC的公网IP地址不能随意变更。因为桌面一般是DHCP获取IP地址,动态获取的地址会变,当然可能会有抬杠的,静态绑定不就行了,但公司规模一大PC数量一多,这个很难维护。这也是为什么终端一般DHCP自动获取IP地址。到这里其实已经提到三层了。
IP层网络设计(三层网络设计):
很多公司会直接买个防火墙(路由器)下连交换机,省掉三层交换机。这个是极其错误的。表面是省成本,其实是没有专业技术人才支撑导致的。
谈一谈少了这个三层设备会怎么样?没错路由器或者防火墙也能支持三层接口,但如果VLAN接口一多达到上百个,这些设备还能支持吗?二层网络规模一大,这些设备能支持生成树协议避免环路吗?子网一多,这些设备能支持这么多DHCP地址池功能吗?
当然不能,于是就变成烟囱式的网络,多买几个路由器吧,见过一个傻瓜式交换机配一个傻瓜式路由器的,地址段还都是19.168.1.0/24. 也是傻瓜式到家了。还有多个ikuai 连多个交换机的。每个ikuai自己的网络,互相也不通信。同一个办公室,局域网竟然不通,不通也罢,偏偏要说成为了安全上的网络隔离。这种是极大的隐患,不通意味着不具备部署任何企业内部服务器的可能。
正确的说法,买一三层交换机吧,没钱买一个也行,有钱买两个做个堆叠,这样就可以支持很多很多很多个子网,很多很多个VLAN,对网络做精细化管理,才会有满足菠菜行业各种变态需求的可能。可以支持很多个DHCP地址池,可以做ACL(不建议),可以开启生成树,避免局域网内的意外环路,极大提高网络的稳定性。
出口网络设计:
菲律宾运营商的不靠谱及效率低,线路断了可能有几个小时也修不好,有这种可能性。所以公司网络需要两家不同运营商的线路。建议就选两家。
怎么选择一个好的运营商呢?有很多因素,最简单的标准就是口碑。比如大陆选哪家,当然是电信了。菲律宾好像没有简单的选择,即便是名气最大的PLDT优势也不明显。所以选择运营商主要考虑几点:
1 到国内网站的延时表现,这个非常关键,网络快不快其实就是延时了。就好比中学生跑1000米是3分钟15秒。访问国内的网站 2000KM 用时 7ms当然比70ms的要快的多。
2 运营商线路的扩容能力,目前合约是100M,后续是否能升级到200M,目前公网IP是64个,后续是否可以购买额外的公网IP。有的运营商是不具备扩容能力的,这种就可以排除了。说明他们的网络基础设施不怎么样。
选择好运营商后,采购多大的线路合适呢,根据经验,宁可采购一条大的带宽的线路,也不采购多条小的线路。500人规模 建议采购两条 各100M的线路。当然越大越好。
线路冗余设计:
当两条不同的ISP线路进入网络后,该怎么使用呢。好一点防火墙是可以做链路负载均衡的,这个从原理上也简单,基于源地址的链路负载均衡,基于目标地址的链路负载均衡等等。还有基于策略的链路负载冗余。
到底怎么用呢?又要回到需求了,没错,桌面PC的公网IP地址是不能变更的,变更会导致几个可能的后果,微信被封杀的可能,某些网站后台拒绝,因为白名单。
所以不要启用链路负载均衡,当带宽足够用的情况下,什么情况下会用了,一些采购了7-8条 20-30M线路的公司会用链路负载均衡,这种效果很不好,IP地址经常变动,由于经常一条线路就用一个或几个公网IP地址,极易被封杀,线路一多,网络质量参差不齐,访问同样一个网站有的线路70MS有的线路30ms, 而且低带宽的线路很容易被单个用户占满,于是就疲于奔命的调整线路,并且怀疑人生,菲律宾网络真差。
正确的做法:就选两家好的运营商线路,两条大带宽的线路,两条中选一条网络质量更好的(主要是到国内网站延时更小)主用。启用基于策略的链路备份冗余,当主用链路中断时自动切换备用线路。不要心疼其中一条线路闲置。不要问失去了什么,先问得到了什么。这种策略下你得到了最好的网络体验。一般情况下200M的线路 400终端 每IP限速20M情况不会跑满线路。
如果两条线路都启用,可以配置成基于策略的负载均衡,一部分走这条一部分走另一条线路,但必然有一部分员工走的延时更高的线路。谁会愿意走延时高的网络呢?延时高网络响应慢,必然工作效率低。
第二条次优链路的存在最大的意义是保障主用链路中断时,无缝接管,避免停机损失。
应用层(四层)网络设计:
四层的网络设计更主要是基于安全的考量,网络入侵泄密等更主要和四层紧密相关。比如外部人员给内部员工发一个可执行文件,一点击就中招了,防不胜防。内部员工盗窃公司的资料和里外勾结侵吞公司资金等等。安全范围太广这里只谈谈强相关的网络方面的。
网络相关的首提就是防火墙,目前比较时髦前沿的就是下一代防火墙,概念非常的虚幻,
实质就是什么都用,要什么有什么,可以杀毒,可以IPS,可以应用控制,可以限速,可以SSL VPN,可以链路负载均衡,服务器负载均衡,甚至可以做无线AP 控制器。
比较大牌的厂商有juniper、fortigate等等。个人推荐fortigate,功能真的非常齐全,也非常好用。
最后补充一下无线网络设计
一切源自需求,这个行业对无线网络的需求来的特别猛烈,但又常常被忽略,会看到很多公司用360无线WIFI,和各种USB小wifi,以及各种员工自己接的小无线路由器,这个是非常头疼的事情,八仙过海,各显神通,网络效果差不说,带来的安全隐患是致命的,通过自建的wifi可以数据泄密,绕过公司的监管,wifi热点密码被外界破解,数据泄密等。
最重要一点是网络差,导致工作效率低,公司挣得钱少了。
正确的做法,采用AC+AP的架构,采购高性能AP,支持多路MIMO的高带宽接入的AP,
这个AP一定要好要贵,最好的AP可以支持双频 各接入100-200个终端,5个AP 2.4 G和5G也有1000个接入了,同时也可以支持不同的公网IP地址访问互联网。
WIFI是非常重要的也是非常容易忽视的,很多公司竟然采用家庭用的小AP来做办公用,结果可想而知,连几个人不行了,就说AP坏了。其实是连接数有限,接入带宽有限,一般接入也就100M左右,几个人一接,自然没有
多余带宽给新增连接用了。
总结: 其实菲律宾的网络并没有大家想象的那么差,有些公司网络差劲也并非完全是为了省成本,而是观念的问题,没有聘用专业的技术人才。觉得网络建设的投资不明显。
其实是非常错误的,一个快速稳定的健壮的网络犹如公司的基石,极大提高公司的效率,减低网络故障导致的经济损失,节约网络运维成本。
附
典型组网