【关爱攻城狮，人人有责】第二期

【关爱攻城狮，人人有责】活动专栏贴

第二期：活动时间 5月16日-5月24日

点击进入活动系统

第二期又来啦！

目前存在的问题：用户上网问题、业务系统安全问题、业务系统访问质量问题，不同厂商设备维护问题
两种解决方案：
1、解决眼前问题
解决方案：1）用户上网问题的话建议采购上网行为管理设备，通过AC的上网质量检测，当用户上网出问题的时候，通过检测机制，获取用户上网慢的原因，并提出解决方法。2）业务系统安全问题，建议采购下一代防火墙设备，通过防火墙的报表系统，可以清晰的看出业务系统的安全情况，并按照提示架构。3）业务系统访问质量，建议采购应用负载设备，实时监测业务系统质量以及应用情况，智能调度用户访问请求。4）不同厂商设备维护问题，建议采购APM设备，对全网设备进行监测，实时反映网络设备、服务器的使用状态，帮助你定位问题，解决问题。
2、一站式问题解决
解决方案：目前业务系统比较多，机房规模比较大，建议现在规划将业务系统开始往云端迁移。使用超融合架构，一站式解决服务器虚拟化、网络虚拟化、存储虚拟化、网络功能虚拟化。通过大二层的网络架构（交换机+X86服务器），将数据中心极简化，通过WEB界面的管理方式以及各种排错机制，大大减低运维人员的工作强度

上一套某公司的超融合，一个厂商的设备，软件定义网络，快速部署！！！哈哈

用某公司云桌面方案来解决终端问题。
用某公司负载均衡方案解决线路负载问题。
用上网行为管理方案来优化内网应用。

针对图2：个人觉得这个问题很常见也十分难，情况不好判定。我认为可以自己做一张表格，分析这些常见的问题，列一个时间点表格，看哪个时间段容易出现这些问题，这样我们也可以及时的解决或者预防。针对网站突然被黑这种问题，就应该列为突发事件，应该也做一个相应的应急方案。
针对图4：多个运营商接口这个就只有买台AD来管理了。

针对很多相同的问题制作一份解决文档，例如访问系统慢，上不了网做个简单的排错方法文档，放到共享里面。然后让遇到类似问题就去找文档解决。解决不了在电话您！

针对这些问题，建议搭建一个适合的网络环境，可以从下面方面去考虑：
多个运营商进来可以用负载均衡解决；
负载后面可以接防火墙，来解决被黑的故事；
用多层交换机，上网行为管理，把内外网分开，解决用户上网异常。

一、首先看客户的背景：
教育连锁机构：站点多且分散，服务器数据集中在总部，总部有一个IT，分支很可能没有IT人员。
二、目前遇到的实际问题：
1、系统访问慢；
2、投诉网站被黑；
3、电脑上不了网；
4、租用多个运营商，多线路维护麻烦；
5、机房设备多，不同厂商，维护复杂；
三、问题分析和解决方案：
1、基本情况摸底：首先跟客户了解基本的业务状况和网络拓扑情况。比如出口运营商和带宽，分支总部互联方式。如果条件足够，再详细了解核心网络设备的型号，使用年限；
2、分析现有问题：
（1）系统访问慢：首先确认系统是放在哪里的，是哪些人员访问慢？如果是本地系统，本地人员访问慢，那是否是内部交换网络问题？如果是分支人员访问总部业务系统慢，那是否有可能是互联网出口带宽被其他应用所占，导致没有足够的带宽跑业务了。可以通过AC来解决
（2）投诉网站被黑：了解下是被挂马了还是被篡改了。目前了解很明显内部缺乏WAF设备。或者说是缺乏应用层防护。可通过AF来解决
（3）电脑上不了网：这个原因多了。只能具体问题具体分析了，更有甚者，用户会只是因为网线松动而已就叫不能上网。。后期管理多PC繁琐，成本高，可考虑采用桌面虚拟化方案，逐步推进。
（4）租用多个运营商，多线路维护麻烦：为什么麻烦呢？租用多个运营商的线路，出口加个负载均衡完美解决。后期既可实现多线路负载，充分利用资源，又可做互相准备，单条线路临时故障还是可以忍受的，管理员也有时间去解决。出口上一台AD即可。
（5）机房设备多，不同厂商维护复杂：这个简单，尽可能选择同品牌设备，而且这个厂商要有足够实力保证自己的设备功能、性能好。某公司在业务优化和业务安全领域，不二之选。另外，可以搞一个设备性能监测平台，比如某公司APM。
四、整体解决方案：
1、某公司整体解决方案：AD+AF+AC+WOC+桌面虚拟化+超融合+APM。
扩充可选：SSL VPN解决方案（目前教育机构，移动办公场景，是否需要看实际情况）
AF解决出口安全防护问题；
AC解决流量管理问题。至于行为管理限制和审计，看客户实际需求；
WOC做多分支vpn组网；
桌面虚拟化，解决桌面运维繁琐工作，同时数据安全又多了一重保护；
超融合，解决数据中心维护复杂、扩充成本高、新业务上线慢等问题，同时可解决数据备份问题；
APM，解决全网设备性能检测问题；
2、现在算是一个网络整改项目，一次性投入那么多，除非老板非常重视IT，肯花钱。建议做整体规划，分步实施，优先保证核心业务。
一期先重点解决网络安全和上网优化问题，可通过AF+AC+WOC来做；
二期可考虑出口多链路负载均衡+数据中心超融合+APM；
三期考虑桌面虚拟化方案。分支站点较多，逐步实施，现有的PC机器一下子淘汰也需要一个周期。这个可逐步改进
3、IT制度管理
3分技术，7分管理。IT管理制度必须跟得上，这块可以说的东西很多，IT自己的事情就内部消化解决，不多阐述了。对于外部，如员工电脑不能上网的问题，类似是网线松动导致不能上网的原因，最好是员工自己就能排查掉的。什么事都麻烦IT，真的要忙疯掉。

针对图片2的情况，上网慢可以通过sangfor的AC的网络质量检测发现问题，访问系统卡可以将系统服务器放在sangfor设备的其他口，观察流量，部门网站被黑可以上sangfor下一代防火墙，上不了网页可以通过的sangfor设备的直通或者全局排除地址来检测。图片4需要用户sangfor设备的外网多线路授权来实现智能流量控制。