主页 > 客户故事 > IT运维外包 >
瑞为智能:问君究竟几多愁,绿层IT来解忧
瑞为专注于图像智能感知技术的研究,核心研发团队由多名资深的人工智能与计算机视觉领域专家组成,在智慧安防、智慧零售、智能车载、智能家电等领域均有规模产品应用,并与阿里、京东、美的、华为、分众传媒、中航信、绿地、佳兆业、岁宝百货等全球知名企业均建立了紧密合作关系。
Close
案例背景
 
11月开初,客户在百度搜索“IT外包服务”在我们官网找到了一篇关于异地VPN访问的解决方案,恰好满足客户需求。于是联系了业务老王,老王对接后火速找到项目经理张工-壕哥。壕哥介绍了相关技术以及方案解答,并约现场了解IT环境,听取客户真实需求。
 
项目时间轴概览
 
2019.11.08  客户咨询了解
2019.11.11  项目方案V1.0
2019.11.20  项目方案V2.0
2019.12.03   确认万兆需求
2019.12.04   确认WIFI需求
2019.12.05   确认NAS需求
2019.12.10   确认方案细节
2019.12.14   确认合同清单
2019.12.16   NAS问题排障
2019.12.19   外部网络问题
2019.12.25   本地网络问题
2019.12.30   VPN对接问题
2020.01.05   项目收尾阶段

 
一、现状,“千疮百孔”,百堪忧。:

图一:初步设计拓扑
1.目前客户使用软路由,并使用软路由划分虚拟网段。路由器作为网关主要用于路由转发,当划分虚拟网段的时候,内网数据将全部在软路由进行交换,导致路由背板带宽不足,转发效率不高或者失败,往往造成网络拥堵。其次,软路由对于安全策略的支持力度不大。
2.随着局域网的终端增加,目前局域网网络的数据传输量极大。且公司1楼与5楼网络分开,ROS作为主路由带动1楼网络,AR2204作为二级路由带动5楼网络,级联方式互通。需对局域网网络核心交换机,升级万兆互联,光模块传输。
3.需要采购一台NAS存储作为备份服务器,用于备份公司一些版本服务器的数据,以及日常员工文件备份用途,结合AD域控认证,实现统一账号认证登录。
 
二、方案,“千修百改”,若等闲。
 

图二:方案设计拓扑
1.早前的网络环境为创客空间,存在布线与设备选型不合理的情况,对于并发接近500终端的网络环境而言,ROS无法满足行为策略和安全策略的设计,且存在后续业务发展并发终端会有上升的可能,综合因素选型采纳了中高端的华为USG防火墙。
2.早期创客空间对于网络的要求不高,沿用下来的华为S5720和部分弱三层交换机全部未做任何配置,充当普通交换机使用。本次案例设计中,将启用管理型交换机的VLAN划分子网功能,对业务部门网段和高风险的访客网段隔离。同时,将dhcp服务角色从ROS和AR2204路由逐步转移到核心汇聚S5720,内网数据统一在三层设备交换。
图三:VLAN规划表
项目初步工作评估(调试优先级):
  • 备份现有网络设备配置
  • 三层交换机VLAN划分
  • 三层交换机DHCP配置
  • 防火墙SSLVPN客户端的账号建立
  • 防火墙外网限速,暂定8M下行,4M上行
  • 1楼宽带拉好后,再做三层交换机的NQA联动存活检测
  • 防火墙与厦门办公室华为路由器IPsec VPN对接测试
从方案沟通以及客户要求,经过技术部门整理讨论,方案预计实施需要1~2天。

三、实施,“千辛万苦”,有点痛!
 
1.设备库存不足
12月14日:遇到突发情况,供应商因为库存出现统计错误导致库存不足,核心交换机三层。启用紧急预案,调货产品小林取货运输。地方调货,需要加大成本,只能自身消化。
 
 
图四:设备送货图

2.网段局部不通
12月16日:100网段出现无法访问NAS服务器情况。经排查,是NAS服务器地址在网络调整后,未修改为最新的网段,导致无法通讯,修正后恢复正常。
 
3.外部网络中断
12月19日:客户IT在上午11点重启USG防火墙后,外部网络一直中断,造成严重业务中断。经过排查,发现是新款USG的固件存在丢失配置问题,华为售后处理后恢复。(很无奈,USG此前从未出现过)

图五:网络中断处理图

4.局域网问题不断
12月25日:从19日开始,因为此前客户没有专职IT,对于局域网终端接入以及私接小交换机等情况未做相关管控制度等工作,导致局域网存在ARP攻击、环路、IP地址冲突等情况。
图六:网络IP地址冲突
图七:终端中毒发包
5.IPSEC对接失败

图八:USG IPSEC隧道图
图九:USG防火墙 SA隧道状态

图十:分部AR路由 IPSEC SA状态
12月30日:深圳总部USG防火墙与厦门AR路由进行IPsec VPN对接,存在隧道建立,但是双方数据无法接收。具体表现在,都存在各自发出,无法得到回应的现象。从绿层项目经验来看,极大可能是运营商的端口协议屏蔽导致。这种“不可抗拒”的因素,现在也偶尔会遇到了,在大政策面前我们是无力的,只能绕道而行。


四、收尾,这顿饭,还别说,真香!!
记得12月14日周六早上,梧桐山登山ing,小憩时看了微信,看到壕哥竟在凌晨3点钟的微信请求支援消息。大好的心情凉了一截,火速下山,从下午调试到凌晨5点。还有其他通宵达旦协助的日子,至今历历在目。

图十一:加班到凌晨,致敬!
这顿饭,我们选择了鸳鸯锅。参与项目的技术同事,选择了清汤锅细嚼慢咽品味。项目经理壕哥喜欢吃辣,才吃没一会,我就看到他吃得泪流满面。不知道确实是汤锅很辣的原因,还是他此刻的情绪表现。我们谁都没有去问,因为我们都能感受得到,他很是乐在其中,这种“辣”给他带来的“享受”。

图十二:项目餐桌总结
五、结语:每个坎都是一个向上的阶梯。
    IT基础架构项目错综复杂,特别是在现有的IT架构上去操刀,需要时间去规划分解工作。这次的IT架构整改,遇到两个极为重要的困难:一是把网络架构彻底变动,从一个路由分配DHCP连接“傻瓜”交换机的最简模式,升级为防火墙-三层VLAN-业务隔离-无线隔离-内网防护的规范性架构;二是实施调试的时间非常简短,改造环境中有业务在运行,真正改造时间仅可在12月14日一天,后续的一切调试都仅能在晚上9点后。有时候和客户的系统发版时间冲突,需要暂停3小时到凌晨3点后才能继续操作。种种困难,在本次案例的改造中都一一遇到。

图十三:彻夜排查调试,辛苦

 最近听到一首姜玉阳的断肠曲“回忆总想哭,一个人太孤独”,回想这个项目,不是孤独而是痛苦。但再细想,也不是“一个人”,绿层IT是一个团队!所以,项目回忆是一种喜极而泣的感动。











 


 


服务咨询 Close