分类: 系统运维
2011-11-04 10:33:52
上篇与大家一起探讨了50人以下的小型企业网管需要学什么,本篇要继续介绍的是50~200人的中小型企业网管又需要学些什么。当然这一切都是建立在已掌握小型企业中必须掌握的知识和技能基础之上来讲的。
在小型企业工作了一年左右时间后,你一定会感觉到在小型企业中做网管无事可做,急着想进更大一些的公司去工作,通常是先进入到规模稍大一些的中小型企业中去做网管。但是,中小型企业网管与小型企业网管相比在技能要求上又有明显的提高,不是你想进就进,所以在你决定辞去现有工作之前,你得权衡一下自己是否具备了相应的技能。在每次实现职业晋级前,你一定得先做好相应的技能准备。这要求你在过去的一年中已通过自学,基本上达到了中小型企业网络管理员的技能要求。同样,我们通过分析中小型企业网络的特点,来得出中小型企业网管需要学些什么。
1. 网络拓扑层次更多,结构更复杂
在小型企业网络中,通常是两层结构:核心层和接入层,而到了中小型企业,因为网络节点比较多,部门也多了,网络应用也更复杂了,所以拓扑结构也可能更加复杂,通常不再是两层结构,取而代之的是比较普遍的三层结构:核心层、汇聚层和接入层。在这里就要先分清这三个主要网络设备层次各自的作用了。
核心层交换机是用来网络出口设备,如网关、路由器、防火墙,当然现在的三层交换机本身都可在一定环境下用来担当路由器,甚至防火墙的功能,同时核心层交换机还用来连接一些关键服务器;除此之外就是连接下级汇聚层交换机了。核心层交换机是网络中性能最好好的,通常具有最高的链路带宽,因为它要为网络中所有用户访问关键服务器,访问外部网络,工作负荷是非常大。
汇聚层交换机其实就是对各个接入层交换机进行汇聚,也就是把各个接入层交换机连接在一起,实现连接在各个接入层交换机中的用户之间的数据交换(可以通过一系列的访问控制策略来控制不同用户、不同VLAN间的访问)。有人认为汇聚层没有意义,认为可以直接把这些接入层交换机都连接在核心层交换机上,这对于稍有一定规模的网络来说,绝对是不可取的,因为如果这样的话,核心交换机的工作负荷就更大了,很容易出现核心层交换机的性能瓶颈。中间加了汇聚层后,接入层中连接的用户只有在访问关键服务器和外部网络时才需要经过核心层交换机,与连接在同等其他接入层交换机中的用户之间的通信就完全不要经过核心层交换机了,大减轻了核心交换机的工作负荷。另外,汇聚层交换机在性能要求上可以不必像核心层交换机那样高,可以通过像交换机堆叠、交换机集群来技术把多个性能稍低的交换机集成在一起提供更高的性能支持,同时又节省了设备投资。
接入层交换机大家比较容易理解了,就是用来连接各终端用户PC或其他办公设备的交换机。接入层交换机是网络中最多的一层交换机,但由于一台接入层交换机只负责极少数用户的连接,所以在性能和功能要求上都是最低的(大多数交换机功能都可以通过汇聚层交换机来实现),单台接入层交换机的价格又是最低的。
在结构方面,除了新加入了中间的汇聚层外,此时一般的中小型企业还会涉及到子网划分和VLAN划分。把不同部门分配不同的子网IP地址,或者把不同的部门划分到不同的VLAN中。
2. 引入企业级网络设备
我们在介绍小型企业网络管理中已说到,小型企业中通常是一台宽带路由器,加若干台二层非网管交换机或者WALN AP,在设备管理方面非常简单,根本没有企业级网络设备管理要求。但在中小型企业网络中,已开始引入部分企业级网络设备了,通常是开始使用网管型二层交换机,甚至三层交换机,路由器方面也可能使用企业级路由器来替代以前的宽带路由器。
有了这些企业级网络设备,当然就必须应用上这些企业级网络设备的一些主要功能,否则老板肯定不会高兴的。在中小型企业中主要应用的交换机功能包括交换机堆叠(主要用来解决单一交换机性能不足和容易出现单点故障两方面问题)、以太网通道(用于解决单链路带宽不足的问题)、VLAN(用于解决单一网段容易出现广播风暴和不便于用户管理等方面的不足)、STP(用于解决二层环路问题)、ACL(用于控制用户网络访问和过滤包等)、静态路由、RIP路由等相对较为基础的功能,以及包括像交换机系统映像、配置文件、本地用户等基本管理工作。这方面都可以在笔者编著的《Cisco/H3C交换机配置与管理完全手册》一书中得到系统地学习。以上这些基本技能的学习,至少要花3个月时间。
在企业级路由器方面,则基本上包括一些WAN接入配置、DHCP服务器、DNS客户端配置、ACL、NAT、端口镜像、静态路由、RIP路由等基本功能及路由器系统映像、配置文件等基本管理工作。通常不会应用到像OSPF、IS-IS、EIGRP、BGP这样的复杂的动态路由。这方面都可以在笔者编著的《路由器配置与管理完全手册——Cisco篇》和《路由器配置与管理完全手册——H3C篇》这两本图书中得到系统地学习。以上这些基本技能的学习,至少要花3个月时间。
3.主要采用Windows域管理模式
在小型企业中,由于用户数比较少,加上对安全管理方面的要求也不会很高,所以通常是采用工作组管理模式。但在中小型企业中,已开始使用更加方便用户访问控制、安策略管理的Windows域管理模式,也就是我们通常所说的AD(活动目录)。
千万别小看这个AD,它所包含的内容就非常多了。如它涉及到Windows域的概念,而域又包括域根、域树、父域、子域等多个概念,一定要先弄清楚它们之间的关系。还有子域与父域之间、域与域之间、域树与域树之间的信任关系,不同域(子域)中的FSMO角色管理和迁移,不同域(子域)中的DC、额外DC之间的关系,DC的降级、删除等配置与管理任务都是必须要掌握的。
在Windows域管理中,最难的可能还是其中的DNS服务器的配置与管理了,Windows域网络中的绝大部分故障都可能与DNS服务器的配置有关,如用户加入不了域、得不到正确的域名解析、访问不了DC、用户账户不能正常使用等。它涉及到Windows域管理的各个方面,如主要/辅助DNS服务器区域及同步配置、各级DC的配置、正/反向查找区域的配置、各种DNS资源记录的配置及应用等。与DNS关系比较密切的DHCP服务器配置也是我们网管员必须掌握的一项技能,特别是像利用DHCP器来实现静态IP地址与MAC地址的静态绑定,DHCP中继配置等都是经常要用到的。
在Windows域管理中,还有一个重点,那就是组策略(包括IP安全策略)的配置与管理了。这又是一个涉及面非常广的领域,但同时又是一项非常重要的Windows域管理任务。在组策略配置与管理中,分为“用户配置”和“计算机配置”两部分,分别应用于用户账户和计算机账户。所以如果你配置的策略是要应用于用户账户,则需要在“用户配置”栏下配置,相反如果你配置的策略要应用到计算机上,则要在“计算机配置”栏下配置。
另外,组策略又分多种,有仅应用于本地计算机上的组策略(称之为本地组策略),有应用于某个组织单位(OU)中的组策略(称之为OU组策略),还有仅应用于DC的组策略(称之为域控制器组策略),和应用于整个Windows域的组策略(称之为“域组策略”)。不同组策略的打开方式和应用范围不同,在配置时一定要注意,否则你配置的策略可能不能达到你的预期。
无论是哪种组策略,所包括的策略项大体上差不多,主要涉及到像账户策略、用户权利指派策略、安全选项策略、管理模板策略、IP安全策略等几大项。自Windows Server 2003 R2版本开始,组策略可以用专门的组策略管理器来管理。在应用组策略时,一定要对应用的对象进行筛选,但要注意你配置的策略是在“用户配置”栏下配置的,还是在“计算机配置”栏下配置的,要正确选择对应筛选的对象。
以上这些,笔者在《金牌网管师——中小型企业网络组建、配置与管理》一书中都有详细介绍。有关多DC、多域、多级域的Windows域网络管理中的不同服务器角色的指定和同步,不同域之间的信任关系的配置在《金牌网管师——大中型企业网络组建、配置与管理》一书中有详细介绍。
【说明】在中小型企业中有些企业也可能使用Linux系统,但不是很普遍,所以有关Linux部分将在下篇进行介绍。
4. 应用服务器类型多样化、功能复杂化
在中小型企业中,各种应用服务器就比小型企业中要多许多,也可能要复杂许多,主要是为了满足更多用户的并发访问和一些个性化的管理需求。
在中小型企业中,应用服务器类型主要虽然主要也是Web、FTP、E-mail和Database,但是所采用的服务器系统可能各种各样,功能也更加强大。如Web/FTP服务器中有采用Windows Server 2003/2008服务器系统中的IIS来配置,也有采用Apache Web服务器,采用Serv-u作为FTP服务器,或者采用Linux系统中的vsFTP服务器;邮件服务器中有采用微软的Exchange Server 2003/2007,也有采用Linux系统下的Sendmail、Postfix、Qmail等,还有采用像CMAIL、Winmail等第三方邮件服务器软件;数据库服务器在中小型企业中通常是选用MS SQL或者MySQL,功能远比小型企业中所用的Access系统强大、复杂。这就要求我们根据公司的要求掌握对应的服务器系统配置。
总体上来说,以上这四类服务器系统,在中小型企业中应用的最多的基本有以下这些:Web(IIS、Apache)、FTP(IIS、Serv-u)、E-mail(Exchange、Sendmail)、Database(MS SQL、MySQL)。以上这些服务器中大部分已在我的《金牌网管师——中小型企业网络组建、配置与管理》一书中有介绍。
5. 工作重点总结
在中小型企业中的工作重点主要体现在以下几个方面:
l Windows域网络管理:重点包括DC、DNS服务器、DHCP服务器、组策略的配置与管理。还有,用户的文件访问权限配置与管理、系统备份与恢复等基本技能。
l 应用服务器的管理:重点包括Web、FTP和E-Mail服务器的管理,数据库服务器在中小型企业中仍还不是重点,应用也比较简单。
l 网络设备管理:虽然在中小型企业中,所用的企业级网络设备通常也比较低端,所应用的功能也比较有限,但对于一个没有太多网络设备配置与管理经验的初级网管员来说,还是会面临不小的挑战。
综上所述,我们来总结一下中小型企业中的网管我们到底要学什么(可能有一时没有想到,遗漏的,欢迎大家补充):
l 充分了解子网划分及聚合相关知识,为以后网络中划分子网或者进行路由聚合打下基础;
l 掌握Windows Server 2003/2008域控制器的安装与配置、删除和迁移;
l 掌握Windows Server 2003/2008 DNS/DHCP服务器配置与管理方法,特别是DNS服务器结构、不同区域中的信息同步配置和各种DNS资源记录的配置和应用;
l 详细了解并掌握Windows Server 2003/2008组策略(包括IP安全策略)中各项安全策略及应用配置;
l 系统学习Cisco、H3C以太网交换机的基础功能配置与管理,如交换机映像文件和配置文件的管理、交换机堆叠、各种端口类型(包括子端口)及属性配置,各种配置方式(主要包括CLI和Telnet这两种)的配置,VLAN(包括各种VLAN划分和VLAN间路由配置)、STP、ACL等;
l 系统学习Cisco、H3C路由器的基础功能配置与管理,如路由器的映像文件和配置文件的管理,各种主流WAN接入配置,各种类型端口及子端口配置,各种配置方式(主要包括CLI和Telnet这两种)的配置,DHCP服务器配置、NAT、ACL、静态路由、RIP路由的配置与管理等;
l 主流Web服务器、FTP服务器和E-Mail服务器的配置与管理;
l Linux系统的基本使用、配置与管理(根据必要性选学);
l SQL、MySQL数据库系统的基本使用、配置与管理(根据必要性选学)。