根据网信办对外发布的《数字中国建设发展报告(2018年)》,截至2018年底,我国网民规模达8.29亿,互联网普及率达59.6%。近十亿的互联网用户不均匀的分布在我国不同的省、自治区和直辖市,而互联网公司为了更快速地拓展业务和响应用户需求,最常见的做法就是在各地建立分支办公机构。
那么这些分支机构有什么样的特点呢?从业务上来说,总部的人员规模一般比较大,主要承担大部分的研发和运维任务。而每个分支机构人员规模一般比较小,主要承担地方市场拓展或服务工作,对于分支机构的IT设施也没有很强的运维能力。另外,由于分支机构分布在全国各个地方,所以它的另一个特点就是数量多、位置分散。形象的来说,如果我们把总部比作章鱼的一个头,那么数量繁多的分支机构就是章鱼的各个触角。
分支办公遇到的困难
分支机构的设立对于业务层面的意义很大,通过分支机构,对业务可以做到及时响应,帮助业务快速发展。但是从IT运维管理的角度,分支机构通常缺乏IT支撑能力,同时又跨越地域,所以经常遇到很多困难。比如某用户数达到亿级的互联网公司为了更好地覆盖开展业务,在全国设立了近百个分支机构。虽然业务开展的顺利了,但是由于分支机构多且本地没有运维能力,总部的运维人员经常要出差去外地处理故障。这就导致了故障既不能得到及时的处理,还增加了运维成本。当然用户遇到的困难不仅在运维方面,还包括网络的安全性和网络的稳定性,在作者看来主要分为以下三个方面:
第一个面临的困难是如何保障网络的稳定可靠。首先我们要明白造成网络不可靠的原因有很多,总结起来大致有以下几个方面:
● 出口链路的稳定性及可靠性低,可能影响业务持续运营; ● 低优先级流量抢占带宽,关键业务应用无法保证; ● 设备单点部署,造成故障影响范围广;
● 高密办公并发要求高,Wi-Fi体验较差。
第二个面临的困难是如何对分支机构网络进行统一的运维管理。它具体表现在以下几个方面:
● 分支机构网络交付成本高,且部署上线周期长; ● 无线故障无法快速定位具体原因;
● 网络故障后运维人员到位慢,无法及时恢复业务; ● 设备种类和品牌繁多,难以统一管理。
第三个面临的困难是如何保障安全合规的业务运营。分支机构由于人员的流动性较强,所以容易产生安全漏洞,影响业务的合规运行。它具体表现在以下几个方面: ● 内部人员入网后权限分配难以控制; ● 来访人员的入网难以朔源;
● 网络攻击多种多样,网络安全难以保障;
● 新网络安全法和新网监规范的出台,给运营者提出了更高的要求。
▲图1 分支办公面临的困难
腾\云\驾雾而来
为了更好的解决上面描述的这些问题,分支云管办公网解决方案在传统解决方案的基础上引入云的概念。通过RG-MACC诺客云平台对所有分支机构的网络设备进行统一的管理和维护,提升运维效率,降低运维成本,帮助客户在分支机构没有专业IT人员的情况下也能快速交付、敏捷运维。同时,在组网架构上,从核心、出口、广域网连接等多个维度实现冗余可靠组网。
▲ 图2 分支云管办公网解决方案结构拓扑图
为了保障网络的稳定运行,方案从架构可靠和业务可靠两个维度进行了设计和实现。其中在出口处采用锐捷的RG-RSR10-01G系列4G路由器和RG-EG3000CE高性能网关,核心采用RG-S5750-H系列交换机,接入采用RG-S2910-H系列交换机,无线采用的是最新一代的Wi-Fi 6 AP。
架构可靠
我们在出口网关EG设备上采用主备的形式,主设备出了问题以后,流量可以自动切换到备用设备; 其次利用EG的链路逃生技术可以最大化利用宽带链路资源,当一条线路不通或者网络质量不好的时候,流量可以自动切换到另外一条线路上; 同时我们知道分支与总部之间的互联都是走的VPN隧道,为了保障这些通信隧道的安全可靠,分支出口主设备和备份设备均和总部多台出口建立多条VPN隧道,实现主备冗余链路的故障自动切换; 对于核心设备,方案采用交换机虚拟化技术,把两台设备虚拟成一台设备,这样一台设备坏了,整网的业务不受影响。 业务可靠
我们在网关EG上为关键生产业务设置保底带宽,防止带宽资源的抢占; 同时锐捷网络最新Wi-Fi 6产品具有高速率、多用户、抗干扰的特性,能很好地满足高密无线场景需求。 针对分支没有运维的情况,通过RG-MACC诺客云平台可以对所有分支机构的网络设备进行统一的管理。 快速交付
通过RG-MACC诺客云平台可以实现配置自动下发。即设备上电连网后,通过微信小程序\小螺号\扫描设备上的二维码,就可以将设备注册到RG-MACC诺客云平台; 同时,云平台能进行网络拓扑的自动生成,识别有哪些设备、设备间通过哪个接口连接,全网设备互联情况一目了然,彻底解决了管理员人工查网线、画拓扑的困难。 监控
运维人员可以通过\小螺号\可以做到随时随地监控整网的运行情况,不用跑现场; 同时当网络发生故障时,可以通过邮件和微信进行告警。 统一管理
可以很清晰地呈现端口、用户、带宽等重要信息。做到对整网了如指掌; 所有设备在RG-MACC诺客云平台上可统一进行版本的自动推荐,并可统一进行升级和定时升级。彻底摆脱查找版本、下载版本、搭建升级环境、一台台升级、熬夜升级等窘境;RG-MACC诺客云平台还可以对不同人员实行分级分权的灵活管理。对于不同的分支设置不同的管理级别,保障了管理的安全性。
针对网络的安全运营,我们需要考虑的是全方位的安全,包括认证安全,网络安全和行为安全。 认证安全
RG-MACC诺客云平台上开启无感知认证功能后,可以与指定的分组共享认证信息(用户名、密码),不同的分支在RG-MACC诺客云平台上就是不同的分组,这样跨分支联网不用进行二次认证; 同时员工通过二维码接待访客,实现访客与员工的认证关联,保证信息的安全可溯源。 网络安全
在交换机部署安全策略确保大二层安全。可以实现的功能包括端口隔离、ARP防护、IP防私设、DHCP防护等基础的防护; 在EG上部署防攻击策略保障办公业务不受攻击,可以实现的功能包括防ARP攻击、防止流量型攻击、查看攻击流日志、禁止远程管理等。当然也可以设置一些管理IP不受这些策略的约束。 行为安全
通过EG部署行为策略确保人员用网合规。比如可以禁止员工登陆不良网站、禁止员工使用聊天工具等,这样可以对员工做到一个较强的管控;同时EG可以对接网监平台,全面符合新网络安全法和新网监规范。
▲图3 分支云管办公网解决方案价值总结