中小企業(yè)PC客戶(hù)端及網(wǎng)絡(luò)運(yùn)維技術(shù)的發(fā)展與實(shí)踐

□范雅娟 張 銳

一、傳統(tǒng)運(yùn)維方式——本地單機(jī)部署+IP手動(dòng)指定

伴隨著現(xiàn)代化及信息化的大潮，PC客戶(hù)端數(shù)量不斷增加，網(wǎng)絡(luò)規(guī)模逐步擴(kuò)大。隨之而來(lái)的是PC客戶(hù)端系統(tǒng)的部署和IP地址的手動(dòng)分配成了網(wǎng)絡(luò)運(yùn)維人員沉重的負(fù)擔(dān)和揮之不去的夢(mèng)魘。

當(dāng)前，有不少企業(yè)計(jì)算機(jī)操作系統(tǒng)及應(yīng)用程序采用的是本地單機(jī)部署方式。這種傳統(tǒng)運(yùn)維方式的缺點(diǎn)如下：操作系統(tǒng)及應(yīng)用程序的部署，只能是一臺(tái)一臺(tái)的安裝，做系統(tǒng)、裝驅(qū)動(dòng)、安裝各種應(yīng)用軟件，而且絕大部分系統(tǒng)及軟件都需要配置，整個(gè)過(guò)程費(fèi)時(shí)費(fèi)力，常規(guī)做一臺(tái)計(jì)算機(jī)需半天的時(shí)間，有時(shí)更多。IP地址因?yàn)閱T工都可以手工指定，導(dǎo)致網(wǎng)絡(luò)運(yùn)維人員很難掌控整個(gè)企業(yè)IP地址的分配情況，造成IP地址管理混亂。如果有新的計(jì)算機(jī)加入網(wǎng)絡(luò)，IP地址的分配是個(gè)頭痛的問(wèn)題，經(jīng)常產(chǎn)生IP地址沖突，造成計(jì)算機(jī)無(wú)法上網(wǎng)，排查過(guò)程困難重重。并且有一部分計(jì)算機(jī)操作系統(tǒng)及應(yīng)用程序是員工自己安裝，軟件的來(lái)源及系統(tǒng)的配置千差萬(wàn)別，造成系統(tǒng)各種各樣的問(wèn)題，運(yùn)維人員疲于應(yīng)付，這種狀況只能是治標(biāo)不治本。當(dāng)聯(lián)網(wǎng)計(jì)算機(jī)數(shù)量成百上千時(shí)，網(wǎng)絡(luò)子網(wǎng)越來(lái)越多，如何面對(duì)？顯而易見(jiàn)，傳統(tǒng)運(yùn)維方式亟需改進(jìn)。

二、改進(jìn)運(yùn)維方式——封裝PE部署+IP自動(dòng)分配

針對(duì)早期網(wǎng)絡(luò)運(yùn)維過(guò)程中出現(xiàn)的最令人頭疼的兩個(gè)問(wèn)題，應(yīng)研究新技術(shù)并采用新技術(shù)。

當(dāng)前，將系統(tǒng)進(jìn)行封裝并結(jié)合WIN PE(Upan啟動(dòng))進(jìn)行部署是一種最佳實(shí)踐。封裝技術(shù)的優(yōu)點(diǎn)如下：第一，運(yùn)維人員對(duì)整個(gè)系統(tǒng)及應(yīng)用程序做了大量的測(cè)試，保證了系統(tǒng)的健壯性和穩(wěn)定性。第二，軟件的兼容性，各種系統(tǒng)運(yùn)行庫(kù)，補(bǔ)丁程序，驅(qū)動(dòng)程序，不同應(yīng)用程序的配置，都通過(guò)運(yùn)維人員封裝定制，避免了員工由于計(jì)算機(jī)水平層次不一造成的各種問(wèn)題的產(chǎn)生。第三，在測(cè)試過(guò)后進(jìn)行封裝，針對(duì)不同的應(yīng)用群體，部署相應(yīng)的計(jì)算機(jī)操作系統(tǒng)及應(yīng)用程序，做到了規(guī)格化與個(gè)性需求的統(tǒng)一。同時(shí)大大減少了封裝系統(tǒng)的部署時(shí)間，一般10～20分鐘即可部署完畢。

IP地址自動(dòng)分配最佳實(shí)踐如下：第一，IP地址與MAC地址統(tǒng)計(jì)。為了應(yīng)對(duì)傳統(tǒng)運(yùn)維方式IP地址手動(dòng)分配帶來(lái)的弊端，需加強(qiáng)IP地址管理。目前，部分企業(yè)采用的常見(jiàn)策略是將IP地址與MAC地址，在DHCP服務(wù)器中進(jìn)行綁定。為此需對(duì)企業(yè)計(jì)算機(jī)IP地址、MAC地址以及使用單位和人員逐一進(jìn)行統(tǒng)計(jì)，為實(shí)現(xiàn)DHCP服務(wù)器搭建做好前期的準(zhǔn)備工作。第二，DHCP服務(wù)器搭建。DHCP是動(dòng)態(tài)主機(jī)協(xié)議的縮寫(xiě)，是一個(gè)簡(jiǎn)化主機(jī)IP地址配置管理的TCP/IP標(biāo)準(zhǔn)協(xié)議，它可以自動(dòng)為網(wǎng)絡(luò)客戶(hù)機(jī)配置一個(gè)動(dòng)態(tài)IP地址并提供安全、可靠、簡(jiǎn)單的TCP/IP網(wǎng)絡(luò)配置，確保不發(fā)生地址沖突。在統(tǒng)計(jì)企業(yè)IP地址與MAC地址的過(guò)程中，推薦利用遠(yuǎn)程桌面服務(wù)(RDP)將每個(gè)用戶(hù)終端的IP地址與MAC地址，在DHCP服務(wù)器中登記造冊(cè)。通俗的講，這樣每塊網(wǎng)卡就鎖定一個(gè)固定的IP地址，經(jīng)過(guò)這樣的登記之后我們就采用DHCP服務(wù)器自動(dòng)分發(fā)IP地址，只要登記在冊(cè)，用戶(hù)不需要自己指定生疏難記的IP地址、子網(wǎng)掩碼、DNS等復(fù)雜的網(wǎng)絡(luò)參數(shù)，DHCP服務(wù)器都會(huì)自動(dòng)推送至每個(gè)終端用戶(hù)，保證了IP地址的唯一性并且解決了IP地址沖突的棘手問(wèn)題。若企業(yè)網(wǎng)絡(luò)劃分了多個(gè)子網(wǎng)，還需構(gòu)建一臺(tái)DHCP中繼服務(wù)器，這樣多個(gè)網(wǎng)絡(luò)都可以自動(dòng)分配到不同子網(wǎng)段的IP地址。第三，其它基礎(chǔ)網(wǎng)絡(luò)服務(wù)搭建。通過(guò)以上幾個(gè)階段，初步完成了DHCP服務(wù)器的搭建，為了使遠(yuǎn)程部署更加完美，我們還可以搭建其它基礎(chǔ)服務(wù)器角色，比如DNS域名解析服務(wù)器和微軟WSUS補(bǔ)丁更新服務(wù)器。這樣就具備了為遠(yuǎn)程PC端客戶(hù)自動(dòng)推送分發(fā)系統(tǒng)補(bǔ)丁的能力，一定程度上避免了由于系統(tǒng)漏洞帶來(lái)的網(wǎng)絡(luò)安全問(wèn)題。

三、升級(jí)運(yùn)維方式——遠(yuǎn)程封裝部署+IP硬件綁定

在上述改進(jìn)的運(yùn)維方式下，依舊存在一些不足。封裝好的系統(tǒng)通過(guò)WinPE引導(dǎo)安裝，雖然省時(shí)，但仍不省力，當(dāng)大規(guī)模批量部署系統(tǒng)時(shí)這種不足尤為突出。

實(shí)現(xiàn)大規(guī)模批量部署封裝系統(tǒng)，可以再部署網(wǎng)絡(luò)克隆服務(wù)器，將WinPE系統(tǒng)放到服務(wù)器上，通過(guò)網(wǎng)絡(luò)克隆服務(wù)器提供的服務(wù)，PC客戶(hù)機(jī)遠(yuǎn)程網(wǎng)卡(現(xiàn)在網(wǎng)卡不能遠(yuǎn)程引導(dǎo)的計(jì)算機(jī)少之又少)啟動(dòng)即可一次性獨(dú)立完成系統(tǒng)的自動(dòng)化部署，不需網(wǎng)絡(luò)運(yùn)維人員親跑用戶(hù)現(xiàn)場(chǎng)進(jìn)行安裝。在某些企業(yè)，最近幾年更新的PC，還可以部署Intel AMT技術(shù)進(jìn)行遠(yuǎn)程控制安裝。圖1、圖2為搭建好的網(wǎng)絡(luò)克隆服務(wù)器進(jìn)行遠(yuǎn)程部署的示意圖。

圖1 網(wǎng)絡(luò)克隆服務(wù)器

圖2 從網(wǎng)卡啟動(dòng)winpe進(jìn)行遠(yuǎn)程PC客戶(hù)端系統(tǒng)部署

在企業(yè)IP地址自動(dòng)分配使用的過(guò)程中，網(wǎng)絡(luò)部署有可能遇上新問(wèn)題。隨著網(wǎng)絡(luò)設(shè)備尤其是家用路由器的普及，員工有時(shí)會(huì)私自接入路由設(shè)備(目前大多數(shù)路由設(shè)備都具有DHCP功能)造成部分PC客戶(hù)端不能獲取合法DHCP服務(wù)器(如上所述企業(yè)自己搭建的DHCP服務(wù)器)分配的IP地址，造成部分員工無(wú)法使用網(wǎng)絡(luò)，而且這種故障很難追蹤和排查，只能采用人工手段查找。網(wǎng)絡(luò)運(yùn)維人員排查工作量大，查找原因費(fèi)時(shí)費(fèi)力，還不能從根源上改變這種問(wèn)題。為了避免此種現(xiàn)象發(fā)生，應(yīng)改進(jìn)新的IP地址部署方式—IP地址硬件綁定。

以前，高端網(wǎng)絡(luò)設(shè)備價(jià)格昂貴，實(shí)施部署IP硬件綁定成本過(guò)高?，F(xiàn)在，隨著高端網(wǎng)絡(luò)設(shè)備價(jià)格的降低，企業(yè)有條件進(jìn)行運(yùn)維方式的升級(jí)。簡(jiǎn)單來(lái)說(shuō)，就是通過(guò)架設(shè)可管理型三層以太網(wǎng)交換機(jī)，開(kāi)啟ACL控制，進(jìn)行MAC地址過(guò)濾，只允許登記過(guò)的MAC-IP地址對(duì)進(jìn)行網(wǎng)絡(luò)連接，為登記造冊(cè)的全部阻止訪(fǎng)問(wèn)；同時(shí)開(kāi)啟DHCP Snooping功能，可阻止非法DHCP對(duì)網(wǎng)絡(luò)核心設(shè)備產(chǎn)生的數(shù)據(jù)入侵；這樣還能有效地控制私自指定IP地址、來(lái)訪(fǎng)客人隨意接入企業(yè)網(wǎng)絡(luò)、控制網(wǎng)絡(luò)活動(dòng)和權(quán)限，提高了企業(yè)網(wǎng)絡(luò)接入的安全性。

四、結(jié)語(yǔ)

在企業(yè)生產(chǎn)環(huán)境所使用的計(jì)算機(jī)與一般家用計(jì)算機(jī)的用途有很大的不同之處。通過(guò)系統(tǒng)封裝與遠(yuǎn)程部署技術(shù)，能夠解決IP地址分配沖突和自動(dòng)化問(wèn)題，可便捷地實(shí)現(xiàn)封裝系統(tǒng)網(wǎng)絡(luò)部署，從而實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)的良好應(yīng)用，方便員工使用計(jì)算機(jī)，降低計(jì)算機(jī)故障率，提高計(jì)算機(jī)管理維護(hù)水平，減輕運(yùn)維人員的工作強(qiáng)度，并且使企業(yè)的計(jì)算機(jī)管理水平邁上一個(gè)新的臺(tái)階。