大型公司的网络规划(论坛笔记).docx

rhett 发短消息 加为好友 rhett UID92472帖子382主题0精华2积分10其他积分1 阅读权限150在线时间459 小时注册时间2008-5-26最后登录2010-7-8技术积分9 论坛资产940 wb10# 发表于 2008-8-6 09:43 | 只看该作者 嗯，我现在的公司在全球的十几个国家都有工厂或分公司。用Cisco Router做Lan TO Lan实现互通。总部在美国。做的域树。每个国家三个DC（其中一个GC，一个Exchange,一个DC）。网络硬件方面，都是Cisco的产品，其它辅助的也很牛B。lucas 发短消息 加为好友 lucas UID36163帖子1350主题18精华2积分12其他积分1 阅读权限100在线时间293 小时注册时间2007-7-16最后登录2010-7-15技术积分11 论坛资产2082 wb19# 发表于 2008-8-7 16:48 | 只看该作者 这个问题首先是没办法实质性回答的，只能大概说下，而且大公司的IT架构某一个人是无法详细了解的，最多到知道这个级别。对于跨国大型公司的IT结构来说，追求的是稳定性，因此整体架构相对简单，说下我知道的。1.网络连接方面就是硬件VPN保证每个site的连接，通常是CISCO，有的会在距离较远城市间加载网络加速器设备。每个site接入层一般就划VLAN（高级点的配置802.1x)，3层（router）做一些ACL，外网接入路由做热备，firewall部分采用cisco和nokia的较多。网络故障管理都是软件的，采用HP NNM的较多。2.系统管理通常是AD做Tree结构，做2级域结构，子域按国家来定义。只要AD实现了统一规划和管理，其它的例如Exchange,SPS等应用都会按照AD的规划架构来进行相应设置。为了保证内部系统的安全性，当用户在外部时邮件（EXCHANGE模式）和访问共享资料全部都要通过VPN来拨入后才可以，VPN采用动态密钥方式。有的公司也会做Citrix以保证一些特殊应用可以让用户及时可以使用，这个取决于公司的安全策略。对于网络来说只要做到结构清晰，可管理性强，遇到故障可以及时发现并快速修复就可以了。关爱生命，科技先行sandiy 发短消息 加为好友 sandiy (淡水) UID5722帖子145主题0精华0积分2其他积分1 阅读权限15性别男来自洛阳在线时间222 小时注册时间2006-9-18最后登录2010-7-8技术积分1 论坛资产80 wb27# 发表于 2008-8-13 21:06 | 只看该作者 原帖由 chaohui2008 于 2008-8-9 09:37 发表 其实不要把大公司的网络环境想得太复杂，其实再复杂的网络框架都是由最基础的技术（交换、路由、服务器、vpn配置等）来实现的，越是复杂的环境稳定性就相对越差，所以还是简单点好。 恩,我们公司在国内很多地方有分公司，一般互联采取的都是双线路,一个SDH线路,一个硬件VPN(备用),网络设备都是CSICO,活动目录也是单目录,也是集中管理,摊子一大，主要宗旨只保证稳定可靠,升级很谨慎，要充分论证和实验后才敢做,越往后发展我看越是要集中管理了.虚拟化也是个趋势.光说不做的人,吃的不少;光做不说的人,吃亏不少. 讨论 大公司的网络架构是什么样的呢rhett 发短消息 加为好友 rhett UID92472帖子382主题0精华2积分10其他积分1 阅读权限150在线时间459 小时注册时间2008-5-26最后登录2010-7-8技术积分9 论坛资产940 wb31# 跳转到 发表于 2008-8-14 12:59 | 只看该作者 WinOS远程培训介绍 | WinOS已开通的远程培训课程列表 | WinOS企业护航服务 | 面授培训课程我把自己的公司在基于结构上说明如下1，域结构：域树，如.各国域服务器信任并通过路由器的VPN实现互通。总部委派各国的管理员管理自己的域。2，Exchange服务器，各国或分支的exchange服务器属于总部的一个域，或者说各分支的exchange服务器都是总部的备份域服务器。所有分支的exchange服务器组成一个路由组。它们也是通过VPN实现的。3，网络硬件，各分支使用了Cisco 28的路由器和cisco 45或65的核心交换，29的二层交换。其中关键就是各国的VPN带宽控制，我们是通过PacketShanger来保证VPN带宽和公司访问internet的等带宽分开，并且通过Cisco ASA做一些访问策略4，交换机划分VLAN管理，访问Internet的用户采用AD和Bluecoat认证。IT是基于公司业务需要的，一切为了业务。管理标准在努力向ITIL标准进行。还有要问的发话吧上面的只是两个拓扑图，应该说是蛮简单的。但是，我想也有一定的代表性的，只是根据公司的不同，业务需求的不同，可能会有些公司担心星形拓扑没有冗余性，而用网状拓扑或者其他的备份线路什么的，或者在加些Internet线路做VPN什么的，还有一些其他的应用，但是大体如此，而且如果你需要从全局来管理的话，那么你肯定希望这个拓扑在满足公司业务需求的前提下，越简单越好，网络如此，AD也是如此，所以的业务系统也是如此。纪海 发短消息 加为好友 纪海 UID45389帖子365主题0精华0积分1其他积分1 阅读权限15在线时间110 小时注册时间2007-9-4最后登录2010-7-5技术积分0 论坛资产480 wb47# 发表于 2008-8-29 13:45 | 只看该作者 系统维护工程师(备份服务)角色描述一、 角色概述角色名称(Role Title) 系统维护工程师（备份服务） 角色所有人(Role Owner) 专用系统维护主管所属部门(Department) 技术运营部 所属团队(Team) 系统维护团队角色概要(Role Summary):系统维护工程师（备份服务）是保障备份服务器及其相关软件保持正常运营状态的维护人员，需要关注备份服务器以及相关程序的运行状态，跟踪备份服务器从上线、生产、下线的整个过程，并对出现的异常状态按照公司策略进行维护、维修、报修等操作。职责范围(Scope):1. 所负责的备份服务器的运行情况。2.备份服务器所承载的程序运行。汇报机制(Reporting Relationship): 第一级 第二级 第三级 第四级直接汇报(Direct Report) 专用系统维护主管 系统维护经理 运营维护经理 运营负责人间接汇报(Dotted Line Report) 系统维护经理 N/A N/A N/A相关联络(Relevant Liaison):联络类型 联络对象 联络目的公司内部联络(Internally) 网络维护工程师 维护备份服务器网络状态 系统维护工程师(服务器) 维护备份服务器 技术支持工程师 维护备份服务器公司外部联络(Externally) 中国银行 磁带保险箱事宜 二、 主要职责1. 日常工作1.1 每日(Daily):1.1.1 登录所负责的备份服务器，查看备份状态，关注硬盘、内存等使用情况，检查相关服务/程序的运行是否正常，若有异常情况立即汇报并跟踪/负责解决过程。1.1.2 处理备份系统相关的日常事件与变更。1.1.3 观察服务器监控系统（BB），发现异常情况，遵照相关流程处理。1.1.4 填写每日IT工作记录单。1.1.5 其他备份客户端管理日常事宜。1.1.6 撰写备份记录单，磁带送取记录单1.2 每周(Weekly): 1.2.1 ISA备份操作1.2.2 FAX备份操作1.2.3 数据恢复测试1.3 每月(Monthly): 1.3.1 源代码数据备份1.4 每季(Quarterly):1.4.1 IMAGE备份1.4.2 季度考核自评；1.4.3 接受季度考评。1.5 每半年:1.6 每年(Annually):1.6.1 IIS日志备份1.6.2 设定年度职业规划；1.6.3 年度考核自评；1.6.4 接受年度考核。1.7 其它间隔时间(Other Intervals): 1.7.1 度假产品数据备份2. 其它职责2.1 加强团队合作，按照公司相关流程的规定，提醒或帮助处理其他同事的未完成工作。3. 工作环境和条件3.1 环境：服务器机房、控制室3.2 条件：预先得到的授权三、决策和问题解决机制1. 汇报给应用系统主管，在得到应用系统主管授权后处理。2. 汇报给系统维护经理和技术支持工程师，若生成变更，则必须经过变更经理批准后再实施；3. 汇报给系统维护经理和技术支持工程师，若不生成变更，在得到技术支持工程师指令并知会并经应用系统主管同意后在实施。四、职位要求1. 良好的文档撰写能力2. 完全赞同并奉行公司的IT管理流程与策略。norris_vip 发短消息 加为好友 norris_vip (Exchange MVP ) UID11159帖子137主题0精华4积分10其他积分1 阅读权限100性别男来自苏州在线时间84 小时注册时间2007-1-16最后登录2010-2-21技术积分9 论坛资产72 wb65# 发表于 2008-9-12 16:46 | 只看该作者 我最近开始做类似的项目.公司结构有三层:集团总部(US)-子公司a(US)-子公司b(China)都是需要通过VPN的方式来连接a和b域名不同,做信任.Exchange 在集团总部,现在通过RPC Over HTTP连接.回去整理一下.My Blog : http:/norris83.BlogBus.Com回复 引用 报告 使用道具 TOP dajafada 发短消息 加为好友 dajafada UID128363帖子2主题0精华0积分1其他积分1 阅读权限15在线时间1 小时注册时间2008-9-15最后登录2009-11-9技术积分0 论坛资产27 wb66# 发表于 2008-9-15 19:31 | 只看该作者 本人正好在两个外企干过，虽然现在干的离IT越来越远，不过对IT还是比较感兴趣。感觉各个大公司基本上都是采用的专线网络把全球分公司网络连接起来，各地分公司都在同一个内网里。第一个公司属于国际性的工程公司，在全球有好几个工程设计中心，是采用的MCI的专线把各分公司联系起来的，各个分公司通过MCI在各国的本地接口接上MCI的全球骨干网上。AD域按照分公司划分，主要还是按照行政关系划分，美国、英国、欧洲、亚太各一个。各个域都是集中管理，各个国家的Local管理员手里的权限其实并不多。另外一家公司的典型的美国公司，500强，通过AT&T的专线连接个分公司，公司内网和外网隔离，亚太的员工上外网的出口同一在新加坡。域机构原来看过，好像也是比较简单的（这点同意楼上，越是大公司越简单）不过现在还没时间研究过，回头有时间再补课。另外，感觉外企一般都是采用的Cisco的东西，感觉倒不是东西有多好，而是产品线齐全，功能齐全，更重要的是将来提供的服务长期稳定，要知道国际大公司的一般都是存在几十年的公司。总体感觉，越大的外企，本地管理员手里的权限越小，能看到的东西越少。不过好处是担的责任也小，出了事情你总可以找上面的人管。所以对于刚入行的人来说，外企并不是个学技术的好地方，不过如果能够经过一段时间的积累，再来外企，就能帮你理顺知识。同时更重要的是能够学习大公司的标准化的流程，而这其实是比技术更重要的。要知道大公司里一般都有一大帮IT，他们分工明确，责任清晰，如果没有严格的分工、文档的话，肯定乱套。并且来外企还把注意力放在技术上就太浪费了，在这应该多利用公司了的各种资源，提高自己的管理能力，往老板的方向发展。要知道，这两年各个大公司都流行把IT外包出去，我所在的这两家公司都是，前一家公司在美国的Exchange管理员就是外包的。而现在这家更是把Level1的support全部外包，这样所有用户的支持首先都要打电话到分别在马来西亚、美国、英国的三个Support Center。更极端的听在Autodesk的同学说，他们好像整个上海就没有几个人，而且只负责新IT项目管理，桌面支持全部外包，Server支持全部有美国人Remote完成。回复 引用 报告 使用道具 TOP 1 .6789101112131415. 36下一页返回列表 回复 发帖 讨论 大公司的网络架构是什么样的呢age99 发短消息 加为好友 age99 UID59270帖子33主题0精华0积分1其他积分1 阅读权限15在线时间56 小时注册时间2008-3-4最后登录2010-6-10技术积分0 论坛资产37 wb71# 跳转到 发表于 2008-9-18 06:37 | 只看该作者 WinOS远程培训介绍 | WinOS已开通的远程培训课程列表 | WinOS企业护航服务 | 面授培训课程介绍一下我所任职过的2个公司。台湾光宝集团，他的IT很强势，AD设计是单一域。泰国、墨西哥、内地的工厂只是AD中一个组织单元。对每个工厂的组织单元做委派控制给LOCAL管理员。他每个工厂都分配了客户机命名规则，加入域后的PC账户移动到属于自己工厂下的computers组织单元下。总部有各方面的IT工程师，每个工程师都很专业，负责某一领域，比如有专人负责EXCHANGE服务器，有专人负责ISA服务器。 各地工厂新进IT，台北总部IT会安排时间做各种培训。服务器的一般都开有远程管理。服务器、客户机有统一的策略，各工厂只要执行就OK。有任何问题CALL总部IT，他们会远程连到服务器上搞定。强化了总部的IT控制，对各地IT的要求也不算太高。总部的IT很强势，他可以调配任何工厂的IT去支持其他工厂。比如新建一个工厂，就可以从附近工厂调配IT过去负责机房建设、电信线路申请之类的工作，等服务器上架，他们会丢过来一份文档，按要求分区，安装操作系统，按规定服务器命名。等服务器开启远程后，总部IT远程后续安装配置工作。第二个公司，半导体企业域设计同样是单一域，在深圳、北京、上海有多处工厂或分公司。通过VPN与总部连接。各地部署2台DC，多站点。每个公司同样做成一个组织单元，区别是为每个公司分配一个DOMAIN ADMINS账户，个人觉得权限过大，有风险。目前新公司AD设计思路，同样采用光宝模式。单一域、每个工厂做组织单元、委派控制。不同园区做AD站点，放置2个DC。但内部有反对声音，认为这样不安全，总部DC挂了，会影响全集团域。想部署成父子域模式。个人认为如果有10几个工厂或分公司那就要建立10几个子域，不仅耗费服务器资源，也要增加N多系统管理员岗位。弱化了总部集中管理。这个请大家看看父子域跟单一域都有啥优缺点，单一域是否总部的DC挂了，就全完蛋了？（个人觉得不会，但大型企业AD设计，还是安全第一为好)gjc741010 发短消息 加为好友 gjc741010 UID20554帖子26主题1精华0积分1其他积分1 阅读权限15在线时间14 小时注册时间2007-4-28最后登录2010-4-14技术积分0 论坛资产81 wb134# 发表于 2008-11-20 16:35 | 只看该作者 快速浏览了一些贴子，也顺便说说我的经历我也是在一家跨国公司里做网管，不过是城市级分公司，在整个集团里算是比较小规模的分公司了。去过一次香港分部参观机房，当然只是隔着防爆玻璃看的（进去的话要经IT本部长的批准），门禁用的是指纹识别（这东西也很普通，几千块一套），机柜很整齐地一字排在整个机房的中央，中间的柜子放服务器，两边的柜子装的是路由器和交换机，自动消防设备用的是干粉型的装置，有视频监控、温度和湿度监控报警器。VPN、路由器和交换机用的是思科的，防火墙品牌看不清楚，有点象SonicWall的。没看到有UPS，估计UPS是放在电房里，方便统一管理。硬件基本就只有了解到这么多，软件方面主要使用SAP来录入公司各部门员工的工作时间、营业和成本消耗情况，总部外派人员使用HTTPS方式登录公司内网，走IP-VPN，并且绑定公网IP。如果使用没有绑定的IP接入，则会自动转接到另外一个界面，这个界面只提供邮件服务，而其它功能都不可使用。至于分公司的内部网络，就由各分公司自行管理。（有家分公司600多台机，居然没有用域管理，汗一个）xghostzhao 发短消息 加为好友 xghostzhao UID49556帖子9主题0精华0积分1其他积分1 阅读权限15在线时间12 小时注册时间2007-10-18最后登录2010-6-28技术积分0 论坛资产156 wb162# 发表于 2008-12-17 22:17 | 只看该作者 WinOS之Exchange邮件系统规划与部署服务，助力企业建立自己强大的消息传递和协同工作平台！为什么大家一定要看大公司的网络架构呢？其实透过现在现象看本质，我们需要看到的是大公司IT是如何来管理规模日趋庞大复杂的系统。当你拿到一个复杂的网络拓扑图的时候，第一眼时候你会感觉到很复杂，但是接下来相信你从某一块慢慢着手看起，最终读懂整个拓扑。所以说再怎么大的公司，我们都有机会在别的小公司看到大公司的网络拓扑缩影，大公司的之所以大，就是把很多小的糅合在了一起。声明一下：在这里我只说网络规模大的，而不说公司规模大现在复杂的网络，要么通过纯硬件，要么软件，要么软硬结合构造起来的，很多人都说有钱的公司功能的实现上倾向于使用硬件，为什么呢？其实不外乎从安全成本考虑，采用了硬件后，我可以买2个相同的放在那里做备源，一旦出现硬件故障，可以立马更换，如果出现配置故障，也可以请厂商过来，厂商毕竟来的专业，这样就分摊了风险（以我们公司为例，存放在机房的设备，根据重要性的不同都会和厂商签署备件服务，最紧急的一个备件是2个小时必须到货，我们不是购买，是做MA）；大家平时很少看到用纯软件做的网络，不是说软件不好用，而是需要很专业的技术人才（大家有看过熟悉很多M$产品的MVP吗），而这样的技术人才的维护也许会比购置硬件还贵，而且企业还会受制于人，一个完善的公司运作，他将不依赖于人，而是一个公司的制度，大家如果目前在目前的岗位上，如果发觉这个公司很依赖于你，就说明你在这家的前景一般，你所能学到的也不多（一家之言）。 其实我不知道大家就是看到了大公司的制度又能怎样，这些制度之所以能够执行，和公司的规模制度是紧密相连的，很多东西是很好，可真正搬过来用 也许你就会觉得很难实现。说了一些废话，归正题吧。:lol 我们公司使用域森林架构，所有的的应用都以AD架构展开，总部的为那分公司的是以001.,002.,分公司每个点都有2台规格一样的server互为备源，一旦一台出现硬件故障，立即可以抽出HD换到另外一台，当然辅域也是要建的，总公司在这基础上有做HA。OS 刚升级到windows2008 企业版，目前正准备分散模块，以降低风险，分公司现在用的是windows 2003 R2版本。公司拥有独立的公网DNS，所有的解析都靠总部DNS，冗余架构。邮件部分使用Exchange,前端使用5台IMSS做负载均衡，进行垃圾邮件的扫描，然后进入maillog,以做备档查询，最后分散到各地mail server,总部目前升级完exchange2007，总共9台组成整个mail system,所有邮件 保存一年，存到磁带上，对于重要人员邮件保存2-5年不等，正常情况下，邮件都收到本地，这个备份动作知道的人不多。对于分公司使用scanmail+exchange2003,都设成后台模式。邮件也收到本地。各点使用CISCO的设备做VPN，并使用QOS(packteer) 设备进行带宽管理，确保各服务使用的带宽的优先级，每个公司使用使用交换机逐渐更换为可管理的交换机，用CACTI来管理整个网络节点的流量，一旦某个节点出现大量封包发送，很快就能发现，公司上网使用 Junifer+isa,不经过允许，不能下载任何东西。所有service 一旦出现故障，立马会以短信方式通知相关人员。杀毒方面目前使用norton 企业版，不同级别的子公司对应有不同级别SSC，对于异动频繁的文件夹，每天扫描2次，根据norton自带的report tool.每周向总部提交中毒历史纪录。每个公司的内部资产管理都有软件控制，补丁也一样，文档管理部分目前使用MOSS2007，workflow也有独立的系统，没有在moss上建制。好了，就大概说到这里吧，备份，安全，权限，制度部分有空再说了回复 引用 报告 使用道具 TOP lei_zhang 发短消息 加为好友 lei_zhang UID88167帖子9主题0精华0积分1其他积分1 阅读权限15性别男在线时间19 小时注册时间2008-5-12最后登录2010-6-12技术积分0 论坛资产27 wb163# 发表于 2008-12-18 09:19 | 只看该作者 #71呵呵你说的和我们这里很一样，我们是HTC就是做那个智能手机Windows mobile ！china的各个公司firewall都是jumper的，router是cisco，switch是3COM的，有台3COM8814的coreswitch听厂商说，china里没有多少台，不知是不是真的，呵呵IT 管理总部很的很细，可以remote也会发文档来有local administrations管理！caong 发短消息 加为好友 caong UID125114帖子2主题0精华0积分1其他积分1 阅读权限15在线时间1 小时注册时间2008-8-22最后登录2008-12-31技术积分0 论坛资产23 wb186# 发表于 2008-12-30 12:58 | 只看该作者 想看一下管理文档文档可以看出企业的管理方法，不单在方面像楼上一位所说，企业之所以用各种各样的规范文档，最终的目的还是节省成本，只是成本不能单指帐面上的因为在企业里是一个管理部门，而不是生产部门，更不是决策部门，所以一切都以费用节省为目标，当然首先得稳定高效的服务企业，所以在会出现很多大企业的是集中化管理，而分部及分公司的只作简单支撑，目的就是费用的节省我不知道我在企业上能走多远，但知道世界大企业的管理还是很让人兴奋的（虽然中是管中窥豹），必境业界的标准和潮流都是他们的需求在引领的，当然也是我们未来工作所向往的，只是人的能力高低有不同，只要认真做好本职的事，假若你有这个能力，自然会有接触那个平台的机会了我也讲一下我们公司的情况公司规模不大，左右的电脑，单域，各分厂离得不远，真接用电信光纤直连域的策略管理，安全管理，权限管理还相当不规范，也可以说没有纸上的东西，当然也许是需求不够，还不够重视不过今年几起硬件和软件故障已经让人领教了管理不规范的后果，最严重的一次是公司瘫痪个小时，好在公司对的要求没有达到实时的程度，否则这个责任还真不好背，当然的不规范也使这个责任不好划分，总之信息的标准化可以看出一个公司的管理水平了也在等那们年底离职的兄弟，希望是一份相当好的新年礼物ynli 发短消息 加为好友 ynli UID119186帖子192主题0精华0积分1其他积分1 阅读权限15性别男来自天水在线时间182 小时注册时间2008-7-31最后登录2010-7-13技术积分0 论坛资产490 wb193# 发表于 2009-1-3 15:05 | 只看该作者 这是由论坛系统自动发送的通知短消息。以下您所发表的帖子被 kingstar 评分。引用:公司不大，有一个分公司，单域多站点模式模式，每个地方两台DC，两个公司VPN进行互联，华为路由器，思科的三层交换机，公司内部做VLAN。邮件系统用exchange2003,OS是win2003.500多台机器，两个人维护。这都不算什么，郁闷的就是，还是义务的家属区的计算机维护员。今天这个同事打电话，明天那个同事打电话，周末就被这样无情的剥夺了。发表时间: 2008-12-29 20:39所在论坛: Windows Server所在主题: 大公司的网络架构是什么样的呢评分分数: 资产 +12 wb操作理由: 不错，平台是自己搭建的？机器是品牌还是组装。工作有无难度？期待分享！回复：平台是自己搭建的，一边看资料，一边虚拟机做实验，慢慢坐起来的。机器是品牌的，最初领导选的方正，后来方正的显示器实在是烂，差不多每周有两台坏的。在建议之下，现在换联想了。刚开始做，就是摸着石头过河，感觉很是空难。现在好多了，遇到空难，论坛里找找，微软知识库里找找，基本都能找到解决的办法。呵呵，也许是没有遇到真正的空难吧。非常感谢这里的朋友们，学习到了好多东西。 本帖最后由 ynli 于 2009-1-3 15:07 编辑 天擎 发短消息 加为好友 天擎 UID96386帖子1511主题1精华2积分11其他积分8 阅读权限100在线时间502 小时注册时间2008-6-5最后登录2010-7-15技术积分3 论坛资产2099 wb199# 发表于 2009-1-9 14:55 | 只看该作者 183# xxxman2007 这位兄弟的很多说法都很值得商榷。可能这位兄弟真的没有接触过大型的跨国企业网，所以你的很多想法可能在一些小公司的局域网内可行，但是到了全球性的局域网，是肯定行不通的。首先，AD的管理，并不是因为企业内部人员流动频繁才用AD，而是为了管理的方便，对于一个只有十几个人，百十号人的公司，不管怎么管，大家沟通交流都是很方便的，但是人多了，有几千，上万，十几万人的时候，沟通交流就不是光靠嚎的事情了，就会有邮件，及时消息，各种OA，各种应用系统，那么这个时候，每个人都会有一个电子ID，怎么把这些电子ID统一的，有序的管理起来，而AD是一个很好的解决方案，当然这样的解决方案也有，不能说AD是最好的，但是它确实是一个比较好，而且大家比较容易实施的方案。对于你所说的地区全部独立，各自管理各自的，临时开通帐号，一个有十几万用户的公司，怎么管理，特别对于跨国公司，一个人周一在美国，周三在日本，周四却在中国，周末又回欧洲是很正常的事情，这样的事情怎么处理？其次，关于域策略，当然是越简单越好，因为安全是要从整体考虑到，不是一个组策略就可以实现的。这个只能说因地制宜，一般来说，总部会在全局策略设置的，然后每个地区或者子域等在根据自己的实际情况修改一下东西，但是对于一个IT管理比较正规的企业，所有的自己制定的策略，都要通过总部的审查的，甚至总部会有一个专门的安全部门审查IT系统的。第三点：对于存储，我只能说，你对于现在技术发展认识不够，各种资料，文档，是一个公司的资源，公司任何员工，不管他是美国分公司的，还是日本分公司的，只要有相应的授权，就应该很方便的访问到他们，对于用户来说，他不需要知道自己访问的这个文档，是在中国的服务器上面，还是在美国的服务器上面，这些是IT需要考虑到，也是可以实现的。关于上网的问题，“每个员工都要上网”，从CEO，CIO的角度考虑这个问题，答案是，不是每个员工都要上网，而且，很多业务不需要上网，也是可以解决的，而且，Internet出口，应该是能够统一管理到，或者是很容易管理的，每个工厂或者地区一个出口，不是一个好的方案，相反，一个集团公司就一个Internet出口（逻辑上，物理线路可多条）倒是很多500强公司所采用的方法，比如某德国化工集团，全球上网都是从德国出去，某美国公司，亚洲上网，都是从日本出去，VPN，亚洲的就是拨在日本的VPN服务器的。大处着眼，小处着手。回复 引用 报告 使用道具 TOP 天擎 发短消息 加为好友 天擎 UID96386帖子1511主题1精华2积分11其他积分8 阅读权限100在线时间502 小时注册时间2008-6-5最后登录2010-7-15技术积分3 论坛资产2099 wb200# 发表于 2009-1-9 15:08 | 只看该作者 本帖最后由 天擎 于 2009-1-9 15:12 编辑 上个帖子是针对上半部分的一些建议。帖子太长了，所以分成两部分。“VPN很重要，但是，不一定要用硬件来解决。 500强之所以使用 硬件 解决。是基于一个稳定性考虑。还有，比较省事。你也可以用 10部 3000元的 兼容服务器 来做群集，实现 VPN。相对于CISCO 的一部VPN。我相信。方案便宜很多。不用考虑 WINDOWS授权费用，可以直接采用LINUX 做VPN。至于什么 负载均衡、内容缓冲。呵呵。为什么要这么干呢？GOOGle 可以用 十几万部 PC服务器撑起 庞大的王国，你们为什么就不能用 几十部 PC 服务器来实现缓冲呢？ 500强企业，通常很少加班，因为加班要付钱的撒，晚上的时间，完全可以利用起来做内容同步。在我看来，花钱在 F5 这种均衡器和内容缓冲上面，还不如包租更大带宽的专线。至于企业的数据什么的，其实都是有专用软件来解决的，不是 OS 层面的。完全可以在系统设计的时候 考虑进去。再考虑的山寨一点。每人发一个U盘。PGP加密。什么问题都没有了。 企业可以防止被动机密外泄，可是永远都防止不了主动机密外泄。一个U盘 40块， 10W人的企业，花费才400W，其实还不用，因为生产人员可以不要，不出差的人可以不发。厂家还可以提供一点折扣。山寨手机，之所以能够成功，是因为他们用最小的代价，完成了品牌手机所有的功能。当然，也出现一些 知识产权的问题。可是在 IT 管理上面，我觉得完全可以模仿 山寨的思路。用最小的钱，作出最牛B的网络，实现最舒服的功能。”-华丽的分割线-关于VPN设备的选择，选择哪种方案，CIO是不会考虑技术的，他只考虑一点TCO(总体拥有成本），因为很多企业的IT部门，人员很少，你可以考虑十台服务器的管理成本，和一个硬件设备的管理成本，到底哪个高？至于兼容服务器，这个词不会出现在一个管理正规的企业采购目录里面。“至于什么 负载均衡、内容缓冲。呵呵。为什么要这么干呢？”为什么，因为应用，因为公司业务需要。几十台PC服务器，TCO的多高呀，又要往机房塞几十台服务器，想想就头疼。至于更大更宽的专线，记住，没有有效的管理，再大的带宽也会很快被塞满。其他的不解释了。至于你下面说的，让我想到了一个词形容你的IT管理思路“山寨IT”，看到发U盘，我真是无语以上言论，只是就事论事，我没有任何针对xxxman2007 兄人身攻击的意思，如果您认为带有人身攻击，那么是您自己的误解。大处着眼，小处着手。 1500人，3人IT管理，去掉了一些秘密内容上图只是一个事业部的ou。真正的企业IT管理，是相当复杂的，一定是站在一个高度的把握的。我们目前采用的是ITIL3 和cobit来做的管理。但是离我们的目标还有很大的差距。再来一个，让大家看一下组织结构是什么样的。如果你要做到一把手如下：pc支持-工程师-资深工程师-主管-经理-国家-地区-总部地区就是里面的一个方框。到了总部之后副总裁-。不想说了，自己去考虑。vanrn 发短消息 加为好友 vanrn UID96276帖子19主题0精华0积分1其他积分1 阅读权限15在线时间50 小时注册时间2008-6-5最后登录2010-3-18技术积分0 论坛资产62 wb248# 发表于 2009-3-19 11:14 | 只看该作者 看来很多人对审计比较关心，我就抛砖引玉下吧，文档了就不发了，毕竟每个公司的业务情况是不一样的。就像大家说的一样，大公司一般IT要由几个分支组成的，我们这里是由四个分支组成，分别是：Infrastructure services，Application support/development，Information security，以及Desktop support，对于审计这一块儿，也是每个分支负责一块，我本人是Infrastructure services team的，所以只能和大家聊一下这块相关的流程了，大致分几块吧数据备份，业务连续性，权限管理，机房操作指南数据备份：我们要定期与业务部门沟通，更新需要备份的关键数据，每天会有Daily backup，overwrite期限为1个月，每月第一个工作日有Monthly backup，overwrite期限为1年，每年的最后一个工作日会有Yearly backup，overwrite期限为10年，磁带进行异地存储，我们是在银行开了个保险柜，同时会有相应的备份指南，并保持更新，这些都要有相关的文字说明，要给审计看的，对于数据恢复，也要遵循相关流程，简单说就是要层层审批，最后有IT部门来执行。业务连续性：就是保证一些critical system有相应的灾难恢复计划，保证业务不能中断超过多久，比如对于邮件系统，中断不能超过4个小时，对于BAAN系统，因为和生产相关，所以不能中断，这些标准都是有Group统一来定制，并编写文档模板，由各个Site根据具体情况来补充，所有的文档也都要有Hard Copy并存放在银行的保险柜中。由MOM来监控关键服务器的性能，并专门定制了一套报警系统，但出现系统中断后相关人员会收到报警短信，所以原则上我们需要保持24小时开机，并以最快速度赶到现场，哪怕你在放假或者在睡觉权限管理：其实差不多也是靠文档来规范，权限统一有我们Team来分配，但不同的系统权限开放标准由各个Team来审核，比如应用系统权限会有App team负责，File server由Desktop support来审核等。机房管理：机房由门禁控制进出，进入权限由中控室控制，门上会有具有权限的人员列表，并每半年更新一次，进出机房要有记录，机房里有温湿度计来监控机房环境的变化，UPS能支持4小时左右的断电呵呵 写起来发现很是有很多可写的麽 先写这么多吧 由于财力有限 公司并没有灾备中心 所以赶上火灾啥的千古不遇的情况也完蛋czq.sh 发短消息 加为好友 czq.sh (Josh) UID49000帖子389主题0精华1积分4其他积分3 阅读权限50性别男来自上海在线时间343 小时注册时间2007-10-8最后登录2010-7-14技术积分1 论坛资产285 wb251# 跳转到 发表于 2009-3-23 15:18 | 只看该作者 WinOS远程培训介绍 | WinOS已开通的远程培训课程列表 | WinOS企业护航服务 | 面授培训课程本帖最后由 jackass 于 2009-3-30 17:11 编辑 来晚了,最近由于金融危机没有离职成功,不过为了表示歉意和我的期待,我为大家分享些我看到的和经历的。大公司的IT,对各自子部门的划分很细,就是为了做到责任到人.管理流程做的也很细，所有的流程都依据ITIL，SOX中所制定，然后根据公司实际状况进行修改。以下是各个责任的团队：Wintel Team；UNIX Team；IBM Team；IT Infrastructure services；Application development，App Support等,还有一些都是做商业流程，和资产类管理的团队。这里为大家介绍一下，AD的架构，全球6个Child Domain.我们亚太区是一个Child Domain，亚太区15台DC，其中中国8台，（其中4台GC）GC根据具体流量进行部署。中国区各类服务器400台左右，（邮件服务器6台，），有CLUSTER，相关的服务放到存储中。用户数量7000+，COMPUTER数量10000+，由于有相关的IT Services作为桌面支持，因此相关的GPO也没有做的很细致，给USER的基本都是 local admin.对服务器的相应时间都需要99.99%。就是一年停一个小时。这是微软标准。其实当一个AD做到这么大规模的时候，我们就会发现，其实我们根本不需要做什么设置，平时多观察LOG就可以了。但在这样的企业备份是相当的关键，因为有XXX1，XX2，等许多应用都和钱直接挂钩的，因此灾难恢复比较重要。对于不是很重要的服务器采用的是NBU做常规备份，然后COPY到SUN的带库里，而一些重要的服务器直接上EMC存储。快照等。相关的工作。一个字，稳！数据一定要保证！感觉离题了.有空再写.大家想了解哪方面也可以交流下.wangli90 发短消息 加为好友 wangli90 UID14922帖子16主题0精华0积分1其他积分1 阅