□范雅娟 张 锐

一、传统运维方式——本地单机部署+IP手动指定

伴随着现代化及信息化的大潮，PC客户端数量不断增加，网络规模逐步扩大。随之而来的是PC客户端系统的部署和IP地址的手动分配成了网络运维人员沉重的负担和挥之不去的梦魇。

当前，有不少企业计算机操作系统及应用程序采用的是本地单机部署方式。这种传统运维方式的缺点如下：操作系统及应用程序的部署，只能是一台一台的安装，做系统、装驱动、安装各种应用软件，而且绝大部分系统及软件都需要配置，整个过程费时费力，常规做一台计算机需半天的时间，有时更多。IP地址因为员工都可以手工指定，导致网络运维人员很难掌控整个企业IP地址的分配情况，造成IP地址管理混乱。如果有新的计算机加入网络，IP地址的分配是个头痛的问题，经常产生IP地址冲突，造成计算机无法上网，排查过程困难重重。并且有一部分计算机操作系统及应用程序是员工自己安装，软件的来源及系统的配置千差万别，造成系统各种各样的问题，运维人员疲于应付，这种状况只能是治标不治本。当联网计算机数量成百上千时，网络子网越来越多，如何面对？显而易见，传统运维方式亟需改进。

二、改进运维方式——封装PE部署+IP自动分配

针对早期网络运维过程中出现的最令人头疼的两个问题，应研究新技术并采用新技术。

当前，将系统进行封装并结合WIN PE(Upan启动)进行部署是一种最佳实践。封装技术的优点如下：第一，运维人员对整个系统及应用程序做了大量的测试，保证了系统的健壮性和稳定性。第二，软件的兼容性，各种系统运行库，补丁程序，驱动程序，不同应用程序的配置，都通过运维人员封装定制，避免了员工由于计算机水平层次不一造成的各种问题的产生。第三，在测试过后进行封装，针对不同的应用群体，部署相应的计算机操作系统及应用程序，做到了规格化与个性需求的统一。同时大大减少了封装系统的部署时间，一般10～20分钟即可部署完毕。

IP地址自动分配最佳实践如下：第一，IP地址与MAC地址统计。为了应对传统运维方式IP地址手动分配带来的弊端，需加强IP地址管理。目前，部分企业采用的常见策略是将IP地址与MAC地址，在DHCP服务器中进行绑定。为此需对企业计算机IP地址、MAC地址以及使用单位和人员逐一进行统计，为实现DHCP服务器搭建做好前期的准备工作。第二，DHCP服务器搭建。DHCP是动态主机协议的缩写，是一个简化主机IP地址配置管理的TCP/IP标准协议，它可以自动为网络客户机配置一个动态IP地址并提供安全、可靠、简单的TCP/IP网络配置，确保不发生地址冲突。在统计企业IP地址与MAC地址的过程中，推荐利用远程桌面服务(RDP)将每个用户终端的IP地址与MAC地址，在DHCP服务器中登记造册。通俗的讲，这样每块网卡就锁定一个固定的IP地址，经过这样的登记之后我们就采用DHCP服务器自动分发IP地址，只要登记在册，用户不需要自己指定生疏难记的IP地址、子网掩码、DNS等复杂的网络参数，DHCP服务器都会自动推送至每个终端用户，保证了IP地址的唯一性并且解决了IP地址冲突的棘手问题。若企业网络划分了多个子网，还需构建一台DHCP中继服务器，这样多个网络都可以自动分配到不同子网段的IP地址。第三，其它基础网络服务搭建。通过以上几个阶段，初步完成了DHCP服务器的搭建，为了使远程部署更加完美，我们还可以搭建其它基础服务器角色，比如DNS域名解析服务器和微软WSUS补丁更新服务器。这样就具备了为远程PC端客户自动推送分发系统补丁的能力，一定程度上避免了由于系统漏洞带来的网络安全问题。

三、升级运维方式——远程封装部署+IP硬件绑定

在上述改进的运维方式下，依旧存在一些不足。封装好的系统通过WinPE引导安装，虽然省时，但仍不省力，当大规模批量部署系统时这种不足尤为突出。

实现大规模批量部署封装系统，可以再部署网络克隆服务器，将WinPE系统放到服务器上，通过网络克隆服务器提供的服务，PC客户机远程网卡(现在网卡不能远程引导的计算机少之又少)启动即可一次性独立完成系统的自动化部署，不需网络运维人员亲跑用户现场进行安装。在某些企业，最近几年更新的PC，还可以部署Intel AMT技术进行远程控制安装。图1、图2为搭建好的网络克隆服务器进行远程部署的示意图。

图1 网络克隆服务器

图2 从网卡启动winpe进行远程PC客户端系统部署

在企业IP地址自动分配使用的过程中，网络部署有可能遇上新问题。随着网络设备尤其是家用路由器的普及，员工有时会私自接入路由设备(目前大多数路由设备都具有DHCP功能)造成部分PC客户端不能获取合法DHCP服务器(如上所述企业自己搭建的DHCP服务器)分配的IP地址，造成部分员工无法使用网络，而且这种故障很难追踪和排查，只能采用人工手段查找。网络运维人员排查工作量大，查找原因费时费力，还不能从根源上改变这种问题。为了避免此种现象发生，应改进新的IP地址部署方式—IP地址硬件绑定。

以前，高端网络设备价格昂贵，实施部署IP硬件绑定成本过高。现在，随着高端网络设备价格的降低，企业有条件进行运维方式的升级。简单来说，就是通过架设可管理型三层以太网交换机，开启ACL控制，进行MAC地址过滤，只允许登记过的MAC-IP地址对进行网络连接，为登记造册的全部阻止访问；同时开启DHCP Snooping功能，可阻止非法DHCP对网络核心设备产生的数据入侵；这样还能有效地控制私自指定IP地址、来访客人随意接入企业网络、控制网络活动和权限，提高了企业网络接入的安全性。

四、结语

在企业生产环境所使用的计算机与一般家用计算机的用途有很大的不同之处。通过系统封装与远程部署技术，能够解决IP地址分配冲突和自动化问题，可便捷地实现封装系统网络部署，从而实现企业网络的良好应用，方便员工使用计算机，降低计算机故障率，提高计算机管理维护水平，减轻运维人员的工作强度，并且使企业的计算机管理水平迈上一个新的台阶。