我们的网络从最开始的200多台机器,逐渐的随着业务发展不断的,没有长远规划的扩展到现在,最高总数接近2000台,分散在整个生产厂区内。光缆总数40多公里,大体结构是核心设备cisco6513,由主干的光缆连接到汇聚层机房,汇聚层机房采用CISCO 3750或2960.vlan结构。
由汇聚层在向下分散。由光电收发器串联各个车间,班组,及零散的单位。汇聚层下采用的全都为非智能h智能交换机。8口。16口。24口,48口 HUB串接了下面的所有终端,由于
1,网络对外网的访问采用IP验证方式。
2上网行为管理针对IT进行管理。
3,建网之初大部分网络设备不支持DHCP,在加上机器少,所以没有考虑DHCP。
4网络发展缺少规划。信息化部门更多的是被企业发展牵着,今天发展一个厂,建一个车间,几天之内便要求信息化网络调通,一切都以能用为标准。
5,企业内部改革,多次的部门变动。厂区合并,电脑搬来搬去,人员不断的调整,导致基础资料混乱。IP .MAC地址统计困难(大部分的厂区操作人员是不会看自己IP 的。更别提什么是MAC了)
基于这些原因。网络现在一直采用的是静态地址,也导致了经常会有人私接电脑。造成网络冲突。考虑了多家的准入方案。大概得到的结果是如果不对整个网络中所有设备,网络结构进行全面的改造。以目前的结构难以控制到在接入末端的电脑私接问题。
目前所了解到的大部分准入方案包括集中。
1.架设在出口。用来控制用户对互联网的访问的准入系统。
2假设在核心设备段,实现可网关的网络设备下的接入准入。
3.采用ARP实现IPmac绑定。但产生的数据量较大。不宜全网采用。
而我们的结构。因为从汇聚层下串接了多层。多为非智能的设备,我不只一次的在下面看到过10M的hub。经过hub的MAC地址变成同一个。经过无线路由的设备 ip mac地址统计不详细。而无法采用上述的方式来进行全网的准入改造。
问题是由于网络缺少规划造成的。但根本的原因是很多企业面临的尴尬。资金紧张,缺少技术能力,无奈之下而一步步的走到了这样的进退两难的结构上。
我们这边要说规模的话可能比你大,之前也很乱,这两年在it方面投了一些钱,基本整理清楚了。
基本面上还是要有规章制度,规范标准。如私自接入设备罚款,重罚。
mac地址统计必须有,这个对每个部门让助理去干完全没问题,我们几千主机也能统计出来,然后对每个地址做相应的权限。
大的规划是建立在上面那些杂乱无章之后才能干,之后我们干了几百家店铺从2层升级到3层。(所有店铺上路由),这一步就全部可控了
下面就是大规划,比如全部双活,双线等等
再下来就可以有就是网络容灾
收起