网管到底要学什么
3. 200~500用户中型企业
前两篇分别分析了50用户以下的小型企业和50~200用户的中小型企业的网管需要学些什么,本篇要接着介绍200~500用户的中型企业的网管需要学习什么。同样,因为个人能力有限,有些方面研究得并不是很深,甚至没有涉及,所以下面的介绍中可能还有许多遗漏,希望大家进行补充。
许多人一说到的“网管”就认为肯定是中小型企业中的,其实任何规模级别的企业都有“网管”,只不过因为这些较大公司中的“网管”技能要求比较高,从事的管理工作难度比较大,当然收入也比较高,所以大家都为这些同样主要从事网络管理工作的“网管”们起了一个更好听的名字——“网络工程师”。或许有人马上会提出反驳,认为“网络工程师”和“网络管理员”有着本质区别,认为网络工程师主要是从事网络工程设计的,而网络管理员则主要是从事网络管理的。其实这根本不是它们之间的本质区别,网络工程师的这种网络工程设计能力只不过是网络管理员工作能力的拓展,是一种技能水平上的划分,就像职称中的技术员、助理工程师、工程师、与高级工程师之间的差异一样,绝不是职业上的划分。绝大多数企业中网络工程师日常主要的工作就是网络管理,除非专门从事网络工程设计的公司,或电信级运营商公司。同时,一个不懂网络管理的网络工程师绝对不是一个合格的网络工程师,因为工程师设计的网络最终还是要交给他的用户——网络管理员来管理。所以我们通常要求是从基层的初级络管理员做起,慢慢提升自己,达到现在所说的网络工程师,甚至所谓的网络规划设计层次。通常我们是把网络工程师等同网络管理员来看的,网络工程师是专业技能在水平更高的高级网络管理员,这在我国的职业大典中同样是这样划分的。
明白了网络管理员与网络工程师的本质区别与联系后,我们接下来同样要根据中型企业网络的特点分析一下中型企业中网管到底要学些什么。
1)高级设备功能开始得到应用
在200~500用户的中型企业中,不仅接入用户更多,而且部门和管理层次结构会更多、更为复杂,这就决定了公司的网络拓扑结构会更为复杂。虽然整体上网络拓扑结构还是核心层、汇聚层和接入层,但各层中所用的设备数量更多,设备档次更高,也就决定了对网络设备功能的应用配置与管理更加复杂。如这类企业网络的核心层交换机肯定是三层的,因为一方面,三层交换机的功能更加强大,可以满足这类企业中的广泛的应用需求,另一方面,三层交换机的交换性能通常比二层的更高,不仅各端口带宽会比较高(通常达到了10Gbps),而且交换机的背板带宽、吞吐量会更高,以便可以满足如此众多用户与外部网络进行数据交换和路由的需求。路由器和防火墙肯定是企业级的,而且也要比中小型企业中所用的档次更高,功能和性能都更强,同样是为了满足众多用户的互联网访问和远程接入的性能需求。
在这类较大型的企业网络中,核心层往往不会只放一台交换机或路由器/网关,而通常是至少两台,甚至更多交换机或路由器/网关,或者构建交换机集群,或者虚拟路由器组以解决单台交换机性能不足,同时解决单一交换机的单点故障的问题。这里就涉及到在小型企业和中小型企业中基本上不可能涉及到的几个比较重要的设备高性能解决方案,如交换机集群,交换机/路由器的VRRP(虚拟路由器冗余协议)、HSRP(主机备份路由器协议)、GLBP(网关负载均衡)等。
在汇聚层交换机中除了性能本身有较大提高外,还通常要应用于各种端口汇聚功能(如手动汇聚配置、PAgP和LACP自动汇聚),以解决单一端口链路带宽不足和单点故障问题。还可能采用交换机堆叠功能来解决单一交换机性能不足和端口不够的问题。中型企业网络接入层交换机在功能上与中小型企业网络中的接入层交换机总体没有太大的区别,仅可能因为接入用户多,交换机的性能要求更高些,通常也采用交换机堆叠来实现。
除了高性能解决方案外,在中型企业网络中还会应用到许多较高级的网络设备技术,如在中小型企业网络中都比较少用到的基于协议、基IP子网、或者基于MAC地址这类VLAN划分方式,Supper VLAN(或者称VLAN聚合)、隔离用户VLAN(或称PVLAN),以满足灵活VLAN划分和用户管理的需求;还需配置Rapid-PVST+(或RSTP)、MSTP这些高级STP协议功能,以解决大而复杂的交换机网络二层环路,提高交换网络性能的问题;对于需要进行远程音/视频通信和企业信息广播的企业,则还可能要配置IP组播功能;对于ACL的应用也不再仅限于以前基于用户访问控制的考虑,还将广泛开展应用于像QoS策略、路由策略这些更高级的应用。
在路由器方面,以前在中小型企业中基本不用的OSPF、IS-IS、BGP动态路由协议可能随时要用到了。另外在三层交换机、路由器和防火墙中像L2TP VPN、DVPN(或DMVPN)、Easy-VPN和IPSec VPN等的部署对于有分支机会的中型企业集团来说都可能是必须要配置的设备功能,因为这类企业中需要经常与分支机构、合作伙伴和供应商网络的互联。
在中型企业网络中,除了应用层面上的设备配置与管理外,还会特别注重设备自身和网络应用安全方面的管理,主要体现在用户访问控制方面。这时就可能要用到端口安全功能,IEEE 802.1x认证、Portal认证、MAC地址认证和Radius/TACACS+/HWTACACS AAA访问控制功能等。防火墙中的各种互联网访问认证和包过滤策略也将得到广泛的应用。
从以上所介绍的设备功能中可以看出,这些大以前的中小型企业中是很少,甚至根本不会用到的,但在中型企业中,这些功能可能是你进行设备配置与管理的重点,在你想进入中型企业从事网管工作之前就必须对这些技能有较好地掌握。这些较高级功能的配置与管理在笔者编著的《Cisco/H3C交换机配置与管理完全手册》(第2版)、《Cisco/H3C高级交换机配置与管理技术手册》(此两本分别将于明年1月和3月上市)、《路由器配置与管理完全手册——Cisco篇》和《路由器配置与管理完全手册——H3C》这四本书中有详细的介绍。
2)操作系统平台多样化
如果小型企业和中小型企业都主要是采用微软的Windows操作系统平台的话,那么在中型企业,以及大型企业中,网络中的操作系统平台呈现的多样化,按需所选的部署。尽管由于Windows操作系统的易用性在普通用户终端仍是主流之选,但是在主要由网络管理员管理的各种应用服务器中,以及一些专业工程人员终端所安装的,则更多考虑的是更加稳定、性价比更加优越的Linux和Unix操作系统。
在Windows操作系统平台中,目前主流的是Windows Server 2003 R2/2008/2008 R2版本,特别是最新的64位Windows Server 2008 R2版本中,不仅各种网络服务器功能得到了加强,而且集中了功能非常强大的各种应用服务器功能,是中型企业,甚至大型企业中网络服务器和应用服务器平台的首选之一。在这样一个中型企业中,域网络呈现的是多级、多域、甚至多域树的复杂结构,而且在Windows Server 2008以后版本的域网络中还可以配置不同的DC类型(如核心服务器DC、只读DC和完全功能DC),还可使用Powershell功能就像Linux、Unix系统那样通过命令行管理几乎全部的服务器功能;通过Hyper-v功能还可以部署强大的虚拟服务器网络,把公司网络中多个,甚至所有服务器进行集中管理。
在Linux和Unix系统管理中,不仅要掌握各主流发行版本的Linux系统的基本使用和管理,更重要的是要掌握各种网络服务器,如DNS、DHCP、SAMBAS等服务器和Iptable防火墙的配置与管理,各种VPN解决方案的配置。
3)应用服务器功能更加强大,平台更加多样化
在中型企业中,各种各样的应用服务器可能是你原来没有想到的。这不仅体现在服务器的数量多,而且服务器平台操作系统也呈现多样化。以前在中小型企业通常是采用的Windows操作系统平台下的各种应用服务器系统,而在中型企业和大型企业中,应用服务器可能更主要是Linux和Unix操作系统平台了。如基于Linux/Unix操作系统平台下的MySQ+PHP +Apache动态Web服务器方案,还有同时支持Windows/Linux和Unix系统平台的Lighttpd、Nginx、LiteSpeed、Hiawatha等几款典型的Web服务器方案。
在FTP服务器方案中,Windows系统平台下主要是以IIS FTP和第三方的Serv-U FTP服务器方案为主,现在的Windows Server 2003/2008服务器系统下的应用服务器功能也非常强大,特别是最新的64位Windows Server 2008 R2服务器系统下的IIS 7.5下的Web\FTP服务器功能较以前的IIS 6.0时代有了长足的改进和增强;在Linux FTP服务器方案中,则可以采用vsFtfpd服务器方案、Wu-Ftpd服务器方案,Unix系统平台下的FTP服务器基本上是采用对应Unix操作系统自带的FTP服务器功能来配置的。
除了Web/FTP服务器外,另一个重要的应用服务器就是邮件服务器。在Windows操作系统平台下,中型企业一般是选用微软的Exchange Server 2003/2007/2010,而在Linux/Unix系统平台下,中型企业一般选择的是postfix、Lotus Notes(它不仅是一款邮件服务器系统,更是一款全功能的OA系统)。在Windows服务器系统中,还有一种非常重要的服务器,那就是WSUS(Windows服务器更新服务),以前在Windows Server 2003系统中它是需要单独安装的,在Windows Server 2008/2008 R2系统中,它已在操作系统之中自带了。
最后在应用服务器方面就是数据库服务器的配置与管理了。其实在中型以上企业中,数据库系统通常是有专门的DBA进行维护和管理的,而不是需要由我们网络管理员来负责。这与中小型企业是不同的,因为中型以上企业中的数据库服务器系统往往非常庞大,管理任务也非常重,所以往往需要专人来管理。当然如果你是CTO,则你就必须懂得这些数据库系统的管理,否则你可能难以服众。
在中型以上企业中的数据库系统基本上都是MS SQL、MySQL、Oracle和DB2这么几种。要全面掌握这么多服务器系统的管理并非易事,一开始你可以有选择性地学习一种或者两种,如果你打算今后专业从事DBA工作,则可以专门学习这些数据库服务器系统的管理了。
本部分可参见笔者编著的《金牌网管师——大中型企业网络组建、配置与管理》一书。
4)无处不在的WLAN
在中型企业中,WLAN这种无线局域网技术的应用真可谓无处不在。它可以作为现有有线局域网的补充在各种不便于构建有线局域网的环境(如不便于布线的老建筑、酒店中),也可以存在于一些临时的局域网应用环境(如会议室中),还可存在于一些公司公共服务环境(如酒店大堂、社区热点中)。
在目前的WLAN设备中基本上都支持最新的,速率达到600Mbps的IEEE 802.11n标准,所以掌握IEEE 802.11n标准技术(如MIMO、OFDM、FEC、Short GI和帧聚合等),以及基于这一技术标准下的WLAN网络构建,各种类型WLAN设备(如IEEE 802.11n WLAN AP、WLAN路由器、WLAN天线等)的配置与使用,WLAN安全配置与管理等方面的技能就成了我们网络管理员的必需。
5)更加注重安全管理
在中型企业网络中,各方面的安全管理得到了高度重视了,毕竟这类企业的网络应用率和对网络的信赖性都非常高,一旦出现网络故障,将对整个公司造成重大的损失。另一方面,在这类公司中,每天所产生的网络数据非常大,而这些数据又可以说是公司懒以持续运作的重要基础,所以如何保护好这些庞大的数据就成了我们网络管理人员日常的重要工作之一。
说到网络安全管理,其实它是一个系统工程,涉及到许多方面,如网络链路或数据加密、网络/用户隔离、用户文件共享或计算机的访问权限控制、用户认证、数据存储与备份等。同时,安全管理遵循的是“木桶理论”,最终的安全性能取决于最弱的一个领域的安全管理水平,任何一个方面没有做好,都可能最终导致整个安全体系的崩溃。如我们已在设备上配置好非常严格的网络访问控制策略,但是如何我们对服务器系统或者用户帐户的安全管理不到位,非法用户很容易得到合法用户的帐户信息,然后登录到网络中,如果所截取的是高级权限用户帐户,那他就可以“为所欲为”了,这样再严格的访问控制策略也是无济于事的。再有,仅管我们每天按规定做好了各级的系统,或者数据备份,但是如果没有容灾方案,对备份媒体的保管,或者使用权限的管理不到位,最终可能会因为备份媒体的丢失,或者数据的破坏而前功尽弃。
网络的安全管理涉及到各个领域,甚至可以说是涉及到各个软件,特别是网络服务器和应用系统软件,还有网络设备。在进行安全管理中,我们最好是先要全局宏观地设计、部署一整套相对完善的网络安全系统,而不是想到什么部署什么,这样很容易遗漏的。关于网络安全系统设计,笔者在《金牌网管师——网络工程方案规划与设计》一书中按照OIS/RM七层模式逐层进行了剖析,网络设备方面的一些主要安全功能配置与管理在明年3月即将出版的《Cisco/H3C交换机高级配置与管理技术手册》一书中有详细、全面的介绍。
6)随时而需的方案设计
由于中型企业和大型企业中用户类型和业务众多,各种应用和安全管理需求也是随时可能增加或修改的,这就决定了,在这类企业中的网络管理人员具备相当的网络系统设计能力。小到一个具体应用方案的设计,一个分支网络拓扑的设计,大到整个网络系统的设计或者改造都是随时都可能发生的。这就是在中型以上企业中做网络管理人员与中小型企业中的网络管理员在工作性质上的本质区别。
要能具备网络系统设计的能力,不是件简单的事,不仅需要至少5年以上的实际网络管理经验,更需要你对各种网络技术标准和协议的工作原理,或具体的应用服务器系统有非常全面、深入的掌握,只要这样,你才可能在进行具体的网络系统,或应用方案设计时考虑到方方面面,才能高效地设计出一个各个领域实际网络应用和管理需求的网络系统或应用方案。设计一个网络系统,必须从全局来考虑,建议按照OSI/RM七层模式来逐层剖析,分析具体网络系统中各层所需应用到的具体技术和应用系统。如采用什么拓扑结构,各VLAN的划分策略,拓扑结构中可采用的环路消除方法,各拓扑层中要用到哪些主要的设备技术,各拓扑层间可采用的消除性能瓶颈的方法,整个网络,或者各IP子网中的IP地址规划,各主要端口需要用到哪些访问控制方案等。
不仅如此,在进行网络系统设计时还要充分考虑各层之间相同需求的方案兼容性及相互支持性,特别是各层所采用的安全系统方案,而不能孤立地考虑某一个方面。如在网络设备中配置用户的网络访问控制策略,在链路层配置了端口安全功能后,就不能再在相同链路上配置基于端口的IEEE 802.1x认证;同时端口安全功能还与端口汇聚功能是相互排斥的。再如,如果你在设备端口上授权了某用户的网络访问权限,而你在服务器系统的文件访问权限中则要授权相应的权限,否则最终的用户权限可能达不到你的预期。
有关网络系统设计的方法在笔者的《金牌网管师——网络工程方案规划与设计》一书中有详细的介绍。
综上所述,在中型企业从事网管工作,除了需要具备以前中小型企业网管所需掌握的知识和技能外,还需要特别加强以下几个方面的知识和技能储备:
l 全面、深入地理解计算机网络原理,包括OSI/RM模型、TCP/IP协议模型、局域网模型中所涉及的主要标准、协议,以及所对应的功能工作原理。这是进行网络系统设计所必须掌握的。可以参见笔者所编著的《网络工程师必读——网络工程基础》和《金牌网管师——职业指南和网络基础》两书。
l 熟练掌握Windows Server 2003 R2/2008/2008 R2系统中多域、多级、多域树域网络的组建、配置与管理,多域、多级、多域树域环境下的Exchange Server 2003/2007/2010邮件服务器配置与管理。
l 熟练掌握Windows Server 2003 R2/2008/2008 R2系统中IIS Web/FTP服务器配置与管理;Linux/Unix系统下的各种主流大型Web/FTP/E-Mail服务器系统配置与管理。
l 熟练掌握各种主流发行版本Linux客户端/服务器系统的使用与管理,以及Linux/Unix服务器系统下的各种网络服务器配置与管理。
l 熟悉基于最新的IEEE 802.11n标准下的WLAN网络构建、配置与管理。
l 熟悉基于OSI/RM七层结构下的各层主流安全技术的配置与管理。
l 熟悉三层交换机、路由器和防火墙的一些高级功能配置与管理,如基于协议/IP子网/MAC地址的VLAN划分,ACL/QoS应用配置与管理,各种类型的以太网通道(也称端口聚合)的配置与管理,IP组播的配置与管理,端口安全/基于端口的IEEE 802.1x认证/MAC地址认证/AAA访问控制策略的配置与管理,OSPF、IS-IS、BGP路由的配置与管理,防火墙包过滤配置,以及交换机/路由器/防火墙的主流VPN方案配置与管理等。
l 熟悉网络系统和应用方案的设计方法和思路,能熟练、高效地规划、设计出符合用户需求的网络系统(包括安全系统)和应用方案。