【第三十七期】坐在云端管网络
发布时间: 2019-08-02

分支办公之于互联网

根据网信办对外发布的《数字中国建设发展报告(2018年)》,截至2018年底,我国网民规模达8.29亿,互联网普及率达59.6%。近十亿的互联网用户不均匀的分布在我国不同的省、自治区和直辖市,而互联网公司为了更快速地拓展业务和响应用户需求,最常见的做法就是在各地建立分支办公机构。

那么这些分支机构有什么样的特点呢?从业务上来说,总部的人员规模一般比较大,主要承担大部分的研发和运维任务。而每个分支机构人员规模一般比较小,主要承担地方市场拓展或服务工作,对于分支机构的IT设施也没有很强的运维能力。另外,由于分支机构分布在全国各个地方,所以它的另一个特点就是数量多、位置分散。形象的来说,如果我们把总部比作章鱼的一个头,那么数量繁多的分支机构就是章鱼的各个触角。

分支办公遇到的困难

分支机构的设立对于业务层面的意义很大,通过分支机构,对业务可以做到及时响应,帮助业务快速发展。但是从IT运维管理的角度,分支机构通常缺乏IT支撑能力,同时又跨越地域,所以经常遇到很多困难。比如某用户数达到亿级的互联网公司为了更好地覆盖开展业务,在全国设立了近百个分支机构。虽然业务开展的顺利了,但是由于分支机构多且本地没有运维能力,总部的运维人员经常要出差去外地处理故障。这就导致了故障既不能得到及时的处理,还增加了运维成本。当然用户遇到的困难不仅在运维方面,还包括网络的安全性和网络的稳定性,在作者看来主要分为以下三个方面:

第一个面临的困难是如何保障网络的稳定可靠。首先我们要明白造成网络不可靠的原因有很多,总结起来大致有以下几个方面:

● 出口链路的稳定性及可靠性低,可能影响业务持续运营;

● 低优先级流量抢占带宽,关键业务应用无法保证;

● 设备单点部署,造成故障影响范围广;

● 高密办公并发要求高,Wi-Fi体验较差。

第二个面临的困难是如何对分支机构网络进行统一的运维管理。它具体表现在以下几个方面:

● 分支机构网络交付成本高,且部署上线周期长;

● 无线故障无法快速定位具体原因;

● 网络故障后运维人员到位慢,无法及时恢复业务;

● 设备种类和品牌繁多,难以统一管理。

第三个面临的困难是如何保障安全合规的业务运营。分支机构由于人员的流动性较强,所以容易产生安全漏洞,影响业务的合规运行。它具体表现在以下几个方面:

● 内部人员入网后权限分配难以控制;

● 来访人员的入网难以朔源;

● 网络攻击多种多样,网络安全难以保障;

● 新网络安全法和新网监规范的出台,给运营者提出了更高的要求。


▲图1  分支办公面临的困难


 它腾"云"驾雾而来

为了更好的解决上面描述的这些问题,雷电竞网络的分支云管办公网解决方案在传统解决方案的基础上引入云的概念。通过RG-MACC诺客云平台对所有分支机构的网络设备进行统一的管理和维护,提升运维效率,降低运维成本,帮助客户在分支机构没有专业IT人员的情况下也能快速交付、敏捷运维。同时,在组网架构上,从核心、出口、广域网连接等多个维度实现冗余可靠组网,保证整体业务可靠、持续的稳定运营。


▲ 图2 分支云管办公网解决方案结构拓扑图

为了保障网络的稳定运行,方案从架构可靠和业务可靠两个维度进行了设计和实现。其中在出口处采用雷电竞最新的RG-RSR10-01G系列4G路由器和RG-EG3000CE高性能网关,核心采用RG-S5750-H系列交换机,接入采用RG-S2910-H系列交换机,无线采用的是最新一代的Wi-Fi 6 AP。

架构可靠

我们在出口网关EG设备上采用主备的形式,主设备出了问题以后,流量可以自动切换到备用设备; 其次利用EG的链路逃生技术可以最大化利用宽带链路资源,当一条线路不通或者网络质量不好的时候,流量可以自动切换到另外一条线路上; 同时我们知道分支与总部之间的互联都是走的VPN隧道,为了保障这些通信隧道的安全可靠,分支出口主设备和备份设备均和总部多台出口建立多条VPN隧道,实现主备冗余链路的故障自动切换; 对于核心设备,方案采用交换机虚拟化技术,把两台设备虚拟成一台设备,这样一台设备坏了,整网的业务不受影响。

业务可靠

我们在网关EG上为关键生产业务设置保底带宽,防止带宽资源的抢占; 同时雷电竞网络最新Wi-Fi 6产品具有高速率、多用户、抗干扰的特性,能很好地满足高密无线场景需求。

针对分支没有运维的情况,通过RG-MACC诺客云平台可以对所有分支机构的网络设备进行统一的管理。

快速交付

通过RG-MACC诺客云平台可以实现配置自动下发。即设备上电连网后,通过微信小程序"小螺号"扫描设备上的二维码,就可以将设备注册到RG-MACC诺客云平台; 同时,云平台能进行网络拓扑的自动生成,识别有哪些设备、设备间通过哪个接口连接,全网设备互联情况一目了然,彻底解决了管理员人工查网线、画拓扑的困难。

高效监控

运维人员可以通过"小螺号"可以做到随时随地监控整网的运行情况,不用跑现场; 同时当网络发生故障时,可以通过邮件和微信进行告警。

统一管理

可以很清晰地呈现端口、用户、带宽等重要信息。做到对整网了如指掌; 所有设备在RG-MACC诺客云平台上可统一进行版本的自动推荐,并可统一进行升级和定时升级。彻底摆脱查找版本、下载版本、搭建升级环境、一台台升级、熬夜升级等窘境;RG-MACC诺客云平台还可以对不同人员实行分级分权的灵活管理。对于不同的分支设置不同的管理级别,保障了管理的安全性。

针对网络的安全运营,我们需要考虑的是全方位的安全,包括认证安全,网络安全和行为安全。

认证安全

RG-MACC诺客云平台上开启无感知认证功能后,可以与指定的分组共享认证信息(用户名、密码),不同的分支在RG-MACC诺客云平台上就是不同的分组,这样跨分支联网不用进行二次认证; 同时员工通过二维码接待访客,实现访客与员工的认证关联,保证信息的安全可溯源。

网络安全

在交换机部署安全策略确保大二层安全。可以实现的功能包括端口隔离、ARP防护、IP防私设、DHCP防护等基础的防护; 在EG上部署防攻击策略保障办公业务不受攻击,可以实现的功能包括防ARP攻击、防止流量型攻击、查看攻击流日志、禁止远程管理等。当然也可以设置一些管理IP不受这些策略的约束。

行为安全

通过EG部署行为策略确保人员用网合规。比如可以禁止员工登陆不良网站、禁止员工使用聊天工具等,这样可以对员工做到一个较强的管控;同时EG可以对接网监平台,全面符合新网络安全法和新网监规范。


▲图3 分支云管办公网解决方案价值总结


这种深入客户场景的解决方案能很好解决用户面临的实际困难,比如上文提到的互联网公司,通过雷电竞网络的分支云管办公网解决方案使得运维时间缩短了近十倍,运维成本下降了近两倍。很好地实现了总部对分支机构的统一管理和运维。

写在最后

近几年来云业务呈现一个爆发性的增长,表明业务上云将是大势所趋。在这种情况下,为了使网络更好的服务于业务,管理上云将是未来一个大的发展方向。

目前广大用户已经通过雷电竞网络RG-MACC诺客云平台纳管了全国近百万个无线接入点,十几万个网关设备和交换机,很好满足了分支办公对于远程运维和统一运维的需求。雷电竞网络希望未来与大家一起更深入的探索分支办公场景,让网络更好地服务于业务。