分支辦公之于互聯(lián)網(wǎng)

根據(jù)網(wǎng)信辦對外發(fā)布的《數(shù)字中國建設發(fā)展報告（2018年）》，截至2018年底，我國網(wǎng)民規(guī)模達8.29億，互聯(lián)網(wǎng)普及率達59.6%。近十億的互聯(lián)網(wǎng)用戶不均勻的分布在我國不同的省、自治區(qū)和直轄市，而互聯(lián)網(wǎng)公司為了更快速地拓展業(yè)務和響應用戶需求，最常見的做法就是在各地建立分支辦公機構。

那么這些分支機構有什么樣的特點呢？從業(yè)務上來說，總部的人員規(guī)模一般比較大，主要承擔大部分的研發(fā)和運維任務。而每個分支機構人員規(guī)模一般比較小，主要承擔地方市場拓展或服務工作，對于分支機構的IT設施也沒有很強的運維能力。另外，由于分支機構分布在全國各個地方，所以它的另一個特點就是數(shù)量多、位置分散。形象的來說，如果我們把總部比作章魚的一個頭，那么數(shù)量繁多的分支機構就是章魚的各個觸角。

分支辦公遇到的困難

分支機構的設立對于業(yè)務層面的意義很大，通過分支機構，對業(yè)務可以做到及時響應，幫助業(yè)務快速發(fā)展。但是從IT運維管理的角度，分支機構通常缺乏IT支撐能力，同時又跨越地域，所以經(jīng)常遇到很多困難。比如某用戶數(shù)達到億級的互聯(lián)網(wǎng)公司為了更好地覆蓋開展業(yè)務，在全國設立了近百個分支機構。雖然業(yè)務開展的順利了，但是由于分支機構多且本地沒有運維能力，總部的運維人員經(jīng)常要出差去外地處理故障。這就導致了故障既不能得到及時的處理，還增加了運維成本。當然用戶遇到的困難不僅在運維方面，還包括網(wǎng)絡的安全性和網(wǎng)絡的穩(wěn)定性，在作者看來主要分為以下三個方面:

第一個面臨的困難是如何保障網(wǎng)絡的穩(wěn)定可靠。首先我們要明白造成網(wǎng)絡不可靠的原因有很多，總結起來大致有以下幾個方面：

● 出口鏈路的穩(wěn)定性及可靠性低，可能影響業(yè)務持續(xù)運營；

● 低優(yōu)先級流量搶占帶寬，關鍵業(yè)務應用無法保證；

● 設備單點部署，造成故障影響范圍廣；

● 高密辦公并發(fā)要求高，Wi-Fi體驗較差。

第二個面臨的困難是如何對分支機構網(wǎng)絡進行統(tǒng)一的運維管理。它具體表現(xiàn)在以下幾個方面：

● 分支機構網(wǎng)絡交付成本高，且部署上線周期長；

● 無線故障無法快速定位具體原因；

● 網(wǎng)絡故障后運維人員到位慢，無法及時恢復業(yè)務；

● 設備種類和品牌繁多，難以統(tǒng)一管理。

第三個面臨的困難是如何保障安全合規(guī)的業(yè)務運營。分支機構由于人員的流動性較強，所以容易產(chǎn)生安全漏洞，影響業(yè)務的合規(guī)運行。它具體表現(xiàn)在以下幾個方面：

● 內部人員入網(wǎng)后權限分配難以控制；

● 來訪人員的入網(wǎng)難以朔源；

● 網(wǎng)絡攻擊多種多樣，網(wǎng)絡安全難以保障；

● 新網(wǎng)絡安全法和新網(wǎng)監(jiān)規(guī)范的出臺，給運營者提出了更高的要求。

▲圖1  分支辦公面臨的困難

 它騰"云"駕霧而來

為了更好的解決上面描述的這些問題，銳捷網(wǎng)絡的分支云管辦公網(wǎng)解決方案在傳統(tǒng)解決方案的基礎上引入云的概念。通過RG-MACC諾客云平臺對所有分支機構的網(wǎng)絡設備進行統(tǒng)一的管理和維護，提升運維效率，降低運維成本，幫助客戶在分支機構沒有專業(yè)IT人員的情況下也能快速交付、敏捷運維。同時，在組網(wǎng)架構上，從核心、出口、廣域網(wǎng)連接等多個維度實現(xiàn)冗余可靠組網(wǎng)，保證整體業(yè)務可靠、持續(xù)的穩(wěn)定運營。

▲ 圖2 分支云管辦公網(wǎng)解決方案結構拓撲圖

為了保障網(wǎng)絡的穩(wěn)定運行，方案從架構可靠和業(yè)務可靠兩個維度進行了設計和實現(xiàn)。其中在出口處采用銳捷最新的RG-RSR10-01G系列4G路由器和RG-EG3000CE高性能網(wǎng)關，核心采用RG-S5750-H系列交換機，接入采用RG-S2910-H系列交換機，無線采用的是最新一代的Wi-Fi 6 AP。

架構可靠

我們在出口網(wǎng)關EG設備上采用主備的形式，主設備出了問題以后，流量可以自動切換到備用設備； 其次利用EG的鏈路逃生技術可以最大化利用寬帶鏈路資源，當一條線路不通或者網(wǎng)絡質量不好的時候，流量可以自動切換到另外一條線路上； 同時我們知道分支與總部之間的互聯(lián)都是走的VPN隧道，為了保障這些通信隧道的安全可靠，分支出口主設備和備份設備均和總部多臺出口建立多條VPN隧道，實現(xiàn)主備冗余鏈路的故障自動切換； 對于核心設備，方案采用交換機虛擬化技術，把兩臺設備虛擬成一臺設備，這樣一臺設備壞了，整網(wǎng)的業(yè)務不受影響。

業(yè)務可靠

我們在網(wǎng)關EG上為關鍵生產(chǎn)業(yè)務設置保底帶寬，防止帶寬資源的搶占； 同時銳捷網(wǎng)絡最新Wi-Fi 6產(chǎn)品具有高速率、多用戶、抗干擾的特性，能很好地滿足高密無線場景需求。

針對分支沒有運維的情況，通過RG-MACC諾客云平臺可以對所有分支機構的網(wǎng)絡設備進行統(tǒng)一的管理。

快速交付

通過RG-MACC諾客云平臺可以實現(xiàn)配置自動下發(fā)。即設備上電連網(wǎng)后，通過微信小程序"小螺號"掃描設備上的二維碼，就可以將設備注冊到RG-MACC諾客云平臺； 同時，云平臺能進行網(wǎng)絡拓撲的自動生成，識別有哪些設備、設備間通過哪個接口連接，全網(wǎng)設備互聯(lián)情況一目了然，徹底解決了管理員人工查網(wǎng)線、畫拓撲的困難。

高效監(jiān)控

運維人員可以通過"小螺號"可以做到隨時隨地監(jiān)控整網(wǎng)的運行情況，不用跑現(xiàn)場； 同時當網(wǎng)絡發(fā)生故障時，可以通過郵件和微信進行告警。

統(tǒng)一管理

可以很清晰地呈現(xiàn)端口、用戶、帶寬等重要信息。做到對整網(wǎng)了如指掌； 所有設備在RG-MACC諾客云平臺上可統(tǒng)一進行版本的自動推薦，并可統(tǒng)一進行升級和定時升級。徹底擺脫查找版本、下載版本、搭建升級環(huán)境、一臺臺升級、熬夜升級等窘境；RG-MACC諾客云平臺還可以對不同人員實行分級分權的靈活管理。對于不同的分支設置不同的管理級別，保障了管理的安全性。

針對網(wǎng)絡的安全運營，我們需要考慮的是全方位的安全，包括認證安全，網(wǎng)絡安全和行為安全。

認證安全

RG-MACC諾客云平臺上開啟無感知認證功能后，可以與指定的分組共享認證信息（用戶名、密碼），不同的分支在RG-MACC諾客云平臺上就是不同的分組，這樣跨分支聯(lián)網(wǎng)不用進行二次認證； 同時員工通過二維碼接待訪客，實現(xiàn)訪客與員工的認證關聯(lián)，保證信息的安全可溯源。

網(wǎng)絡安全

在交換機部署安全策略確保大二層安全。可以實現(xiàn)的功能包括端口隔離、ARP防護、IP防私設、DHCP防護等基礎的防護； 在EG上部署防攻擊策略保障辦公業(yè)務不受攻擊，可以實現(xiàn)的功能包括防ARP攻擊、防止流量型攻擊、查看攻擊流日志、禁止遠程管理等。當然也可以設置一些管理IP不受這些策略的約束。

行為安全

通過EG部署行為策略確保人員用網(wǎng)合規(guī)。比如可以禁止員工登陸不良網(wǎng)站、禁止員工使用聊天工具等，這樣可以對員工做到一個較強的管控；同時EG可以對接網(wǎng)監(jiān)平臺，全面符合新網(wǎng)絡安全法和新網(wǎng)監(jiān)規(guī)范。

▲圖3 分支云管辦公網(wǎng)解決方案價值總結

這種深入客戶場景的解決方案能很好解決用戶面臨的實際困難，比如上文提到的互聯(lián)網(wǎng)公司，通過銳捷網(wǎng)絡的分支云管辦公網(wǎng)解決方案使得運維時間縮短了近十倍，運維成本下降了近兩倍。很好地實現(xiàn)了總部對分支機構的統(tǒng)一管理和運維。

寫在最后

近幾年來云業(yè)務呈現(xiàn)一個爆發(fā)性的增長，表明業(yè)務上云將是大勢所趨。在這種情況下，為了使網(wǎng)絡更好的服務于業(yè)務，管理上云將是未來一個大的發(fā)展方向。

目前廣大用戶已經(jīng)通過銳捷網(wǎng)絡RG-MACC諾客云平臺納管了全國近百萬個無線接入點，十幾萬個網(wǎng)關設備和交換機，很好滿足了分支辦公對于遠程運維和統(tǒng)一運維的需求。銳捷網(wǎng)絡希望未來與大家一起更深入的探索分支辦公場景，讓網(wǎng)絡更好地服務于業(yè)務。

相關推薦：

基于Rogue AP反制的無線安全技術探討