電腦部離職交接文檔

工作交接文檔L.T信息科技部工程師2017.6.20堆場光纖鋪設部分-匯信通信部分第二期光纖鋪設(前沿燈塔和通信桿）主要由匯信通信承包完成,共鋪設光纖約18000余米，鋪設的基礎架構如下：HM1HM2HM3新辦公樓一樓光纖接入機房(NO)SK63光交箱聯合查驗臺光交箱(CK)鋪設介紹：HM1,HM2,HM3分別利用24新光纖互聯；HM1,HM2,HM3分別利用24芯光纖連接到CK；CK有3條48芯光纖與NO光交箱連接;SK63光交箱有2條48芯光纖與NO光交箱連接；SK63一條48芯與CT光交箱連接?；A架構詳細連接圖堆場光纖鋪設部分-匯信通信部分光纖線標介紹光纖線標采用相對位置標示法進行標示：根據左側的線標方法舉例如下：例如：在HM03號塔想尋找到一樓通信機房的某條纖芯，則有如下標示：NO01-01-01-29則使用者在仨號塔可知道要查找的纖芯位于一樓通信機房的一號機柜一號機架號的第29塊纖盤上，纖盤的纖芯序號則一一對應。堆場光纖鋪設部分-匯信通信部分工程進度該工程自2015年6月30日進場施工，于同年11月30日完成所有施工和測試工作，并相繼投入使用，目前海關，國檢，邊檢在前沿、堆場的視頻監(jiān)控信號傳輸均通過該工程光纖線路傳輸，截止目前，所有信號傳輸正常，能很好滿足聯檢單位對視頻流暢度、清晰度、實時性的要求。未盡事宜：采購單

PO1412075

共計142,786.00元，全部發(fā)票已抵扣、待支付7,139.3質保押金采購單

PO1412073共計176,690.00元，全部發(fā)票已抵扣，待承包商提供驗收材料后支付113,548.5元采購單

PO15011029(機柜訂單）共計5,850.00元，需送貨商提供發(fā)票和送貨簽收單。增補清單：海關臨時圍網光纖鋪設44300元，新查驗臺監(jiān)控光纖鋪設10450元,新辦公樓一樓通信機房到SK63電信機柜光纖鋪設9810元,此增補部分已補填采購訂單并轉交紫云跟進處理。堆場光纖鋪設部分-匯信通信部分堆場光纖鋪設部分-富尼科技部分富尼科技主要承接二階段海關固定圍網光纖鋪設任務，并鋪設相關的配套光纖，例如二期2016.7月后新增加的堆場通信塔，通信桿光纖鋪設。,共鋪設光纖約10530余米，鋪設的基礎架構如下：HM7HM8HM11新辦公樓一樓光纖接入機房(NO)司機等候室侯工樓機房光交箱(WK)鋪設介紹：HM7,HM8,HM11分別利用24新光纖互聯；HM7,HM8,HM11分別利用24芯光纖連接到WK；WK有一條48芯光纖與NO光交箱連接;WK另一條48芯光纖與前沿HM3連接;司機等候室有12芯光纖連接NO光交箱連接?；A架構HM3詳細連接圖堆場光纖鋪設部分-富尼科技部分光纖線標介紹光纖線標采用相對位置標示法進行標示：根據左側的線標方法舉例如下：例如：在HM03號塔想尋找到一樓通信機房的某條纖芯，則有如下標示：NO01-01-01-29則使用者在仨號塔可知道要查找的纖芯位于一樓通信機房的一號機柜一號機架號的第29塊纖盤上，纖盤的纖芯序號則一一對應。堆場光纖鋪設部分-富尼科技部分工程進度該工程自2017年1月4日進場施工，于同年5月25日完成所有施工和測試工作，并相繼投入使用，目前海關，國檢，邊檢在該承包商區(qū)域的視頻監(jiān)控信號傳輸均通過該工程光纖線路傳輸，截止目前，所有信號傳輸正常，能很好滿足聯檢單位對視頻流暢度、清晰度、實時性的要求。未盡事宜：采購單

PO16012011共計107,449.00元，全部發(fā)票已提交、已驗收，待支付42,979.6尾款；增補清單：HM11到侯工樓光纖，司機等候室到1樓通信機房,海關新圍網光纖增鋪設

共計20,980.00元,此增補部分已補填采購訂單并轉交紫云跟進處理。堆場光纖鋪設部分-富尼科技部分光纖由于初始設計原因，90%的光纖終點采用FC耦合器和FC光纖條線；采用這類接口保障了連接的可靠性但也影響了光纖連接頭的壽命，例如金屬銹等問題。堆場光纖鋪設工作總結工程采用了大量的非標機箱和機柜，不利于傳輸設備的整齊擺放，對供電和扇熱造成較大影響，從而影響到設備壽命和穩(wěn)定性，由于成本原因，非標機柜整體上質量不達標，可靠性未完全滿足設計要求，特別是門鎖，活動裝置，進出線的處理，電源連接等。工程中轉箱全部采用FC跳線，但中轉箱之間的跳線屏蔽措施處理不夠完善，導致很多引起跳線彎折角度過小第地方出現，出現傳輸衰減過大，部分光交箱采用過長的跳線，看起來跳線的布局較為混亂。關鍵節(jié)點的光交箱安裝基座地基過小，不利于箱體的穩(wěn)定，光纖進入光交箱纖盤后，單芯光纖剝離保護需要經常檢修處理。問題點光纖的路由設計較為充分，在主干的光交箱之間，至少有兩條光纖提供高達24芯的備用鏈路應急使用，在機房回路中，提供了兩條不同路由和方向的線路冗余，最大備用48芯；通過環(huán)路和多路徑設計，保障了堆場的光纖傳輸的穩(wěn)定性和可靠性。堆場光纖鋪設工作總結所有光纖的入口在大樓一樓的中心配線機房，通過與聯檢單位，電信通信公司，協(xié)作單位等統(tǒng)一布線入口，能非常靈活的跳接出或入大樓的各類視頻信號，網絡型號，電話等，減少了大樓內部的重復布線導致的混亂。光纖采用相對標識法標識光纖的鋪設位置，采用相對標識法即使一個人調試光纖線路時，也能迅速找到另端的精確位置。亮點光纖終端采用密度較高的國標ODF配線盤，保障了在非標機柜內的固定和容納率，在一個1200mm的非標機柜中能容納超過192芯光纖。堆場光纖鋪設路由24芯單模光纖48芯單模光纖鏈接架構交換機防火墻部分服務器A服務器BCisco2960SCisco2960S西側8樓東側8樓西側1樓Cisco2960東側7樓EBIS防火墻Internet防火墻WiFi控制器WiFi控制器交換機防火墻部分鏈接架構-局域網交換機防火墻部分HICT內部網絡采用兩層架構鏈接方式：即接入層和核心層核心層采用cisco4507交換機，上行雙鏈路Channel-ports到服務器接入交換機（紅色多模光纖連接），下鏈路采用單鏈路到各弱電間接入層交換機（黃色為單模光纖連接）；接入層普遍采用2960系列可堆疊思科交換機,具體連接方式為：

接入層配置情況

7樓西側弱電間：堆疊線堆疊4臺cisco2960交換機，IP地址為2；提供IT、商務部接入；8樓西側弱電間：兩組堆疊5臺cisco2960交換機，IP地址為8,16；提供操作部、安保部接入；8樓東側弱電間：級聯線3臺cisco2960交換機，IP地址為3,82,84；提供行政、外協(xié)、總經辦、財務接入；1樓東側弱電間：級聯線1臺cisco2960交換機，提供財務計費組接入；侯工樓弱電間：級聯線2臺cisco2960交換機，提供工程部、操作部、土建、供電組接入；

服務器端配置情況

服務器接入利用兩臺cisco2960交換機提供負載均衡接入；服務器接入交換機上行端口采用channel-port雙鏈路多模光纖接入核心交換機；服務器接入交換機下行端口采用雙鏈路UTP超5類線接入服務器雙網卡；鏈接架構-WiFi交換機防火墻部分

堆場WIFI接入左側是基本的鏈接方式，具體介紹為：兩臺cisco5508無線控制器經多模光纖接入到核心交換，AP單模光纖，收發(fā)器轉為以太口后接入交換機cisco2960Wifi控制器和接入交換機均通過單模光纖與核心交換機連接，但沒有配置冗余鏈路。

堆場WIFI下一步工作要點1）將臨時機房的WIFI接入遷移到7樓機房；2）配置控制器到交換機的冗余鏈路；3）改變控制器與核心交換機的鏈接方式；4）劃分新的ＶＬＡＮ，修改所有AP的IP地址；5）將WiFi的接入與內部網絡利用VLAN的ACL進行隔離；鏈接架構–核心交換與接入層交換機防火墻部分

核心交換機與接入層介紹左側是基本的鏈接方式，虛線部分為計劃實施部分：7樓核心交換機cisco4507與各樓層弱電間通過單模光纖連接，提供1GB的SFP上行鏈路，VLAN的配置在核心交換機完成，工作模式為VTPmodeServer,接入層交換機的VTP工作模式為Client,無DHCP中繼功能，所有設備端地址均使用靜態(tài)指定，具體的VLAN信息為：下一步工作要點1）配置兩臺交換機的熱冗余功能；2）連接上圖虛線部分；3）配置弱電間到核心交換機的冗余鏈路；4）配置核心和接入層交換機的日志收集分析功能；IDNamed2server10dmzooe11MQ12ngensrv132_office14firewall167F_WIFI17hougonglouIDNamed20servers218FEAST22devices23fwinsite247fwest-it257fwest-husiness268fwest27citrix鏈接架構–防火墻交換機防火墻部分

防火墻介紹HICT防火墻處于獨立的工作ＶＬＡＮ，網段為172.168.14.x/24,當前帶寬20M；上行接入電信協(xié)轉器，下行接入交換機VLAN14；

防火墻規(guī)則共23條，其中入站規(guī)則5條，出站規(guī)則18條，其規(guī)則應用規(guī)律是：針對特定端口開放的出站流量，指定了源地址和目標地址；針對通用端口開放的出站流量，指定了源地址；針對特定地址的入站流量，指定了目標地址和目標端口；針對通用服務的出站流量，指定了目標地址和目標端口。下一步工作要點1）由于近期的ＩＰ地址變動，清理多余的IP地址和非必須的流量策略；2）增加配置日志服務器和NTP服務；3）從臨時機房遷移Internet線路到7樓機房；4）重新配置LAN的IP地址，以便符合新的IP分段規(guī)則。鏈接架構–EBISVPN防火墻交換機防火墻部分EBIS防火墻介紹

1）EBIS防火墻主要供財務部分同事使用HIT得EBIS系統(tǒng)；

2）國碼高管使用HIT的一些應用系統(tǒng)；

3）左圖是具體的連接方式下一步工作要點1）約定時間修改三位高管的IP地址，以便符合HICT地址管理規(guī)則EBIS防火墻使用

1）財務部有以下同事使用：

廖志康、李明杰、鐘志英、王婷婷、余建旋2）高管應用系統(tǒng)

操作部:

陳經理

商務部：黃經理

總經理：譚經理EBIS防火墻一般設置方式1）接收香港的配置需求和配置信息文件；2）與使用部門約定停機時間；3）備份配置文件并逐條應用配置文件；4）測試VPN的連接情況確保連接正常；5）配置DNS的相關記錄PCs4507CoreHICTNetworkYICTNetworkASA5515FirewallYICTFirewallMSTP2MNAT基礎架構-主要是依賴WindowsAD的服務器服務器管理部分DC01DC02DNS01NTP01DNS02NTP02WSUSFiles交換機PCsDevicesWindowsserver2012主域控服務器05Windowsserver2012輔域控服務器RHEL6.3主DNS服務器輔NTP服務器RHEL6.3輔DNS服務器主NTP服務器Windowsserver2012WSUS服務器Windowsserver2012文件服務器07Windows版本：WindowsServer2012Standardx64Linux版本：RHEL6.3x64基礎架構-主要是依賴WindowsAD的服務器服務器管理部分DC01OS:WindowsServer2012Standard;主要應用：WindowsAD,DNS服務；提供用戶域驗證，文件服務器權限分配控制等;安裝在刀片機箱的第15塊刀片上；當前運行良好。DC02OS:WindowsServer2012Standard;主要應用：WindowsAD備用控制器,DNS服務；提供用戶域驗證，文件服務器權限分配控制等;安裝在DELL9020PC機,放置于7號機柜；當前運行良好。DNS01&NTP01OS:RHEL6.3主要應用：首要的DNS服務器和輔助的NTP服務器；提供用戶DNS查詢和各設備的時間同步服務。安裝在DELL9020PC機,放置于7號機柜；當前運行良好。DNS02&NTP02OS:RHEL6.3主要應用：輔助的DNS服務器和首要的NTP服務器；提供用戶DNS查詢和各設備的時間同步服務。放置于刀片機箱第11塊刀片上，運行良好WSUSOS:WndowsServer2012std主要應用：Windows補丁服務器，為所有WindowsPC端提供補丁下載，更新管理。安裝在7號機柜DELL9020PC機,運行良好FilesOS:WndowsServer2012std主要應用：公共盤文件管理服務器，為所有用戶提供文件集中存儲，備份的磁盤空間。安裝在刀片機箱的第2塊刀片上,運行良好?；A架構-WindowsAD命名和存放規(guī)則服務器管理部分

域OU根據其功能進行命名域用戶顯示名根據命名規(guī)則是：部門簡寫-姓名

例如：IT-羅濤域用戶的登陸名命名規(guī)則是：

姓加點加名的拼音

例如：luo.tao

用戶和組的存放

全局組存放在HICT_Group內;

有郵箱的用戶存放在HICT_USER->

EMAIL_USER

禁用賬號存放在DisableOU內;

服務器賬號存放在HICT_Server內；一般管理員賬號存在ITOU內；下一步工作要點1）清理離職用戶賬號；2）清理長期離線的計算機賬號；3）重新規(guī)劃組的成員，簡便化組的使用;4)域災難的演習；基礎架構-DNS運作方式服務器管理部分DNS運作方式

DNS01和DNS02分別從DC01和DC02將內部域名信息復制到本地DNSZone

DNS01和DNS02提供內部域名解析和Internet域名解析服務，

防火墻僅開放DNS服務器的服務端口下一步工作要點1）DNS內部域名解析分區(qū)；2）無效DNS記錄清理；3）反向DNS記錄的創(chuàng)建；DC01DC02DNS01NTP02DNS02NTP01PCsInternetaccessFWfortigate基礎架構-DNS運作方式服務器管理部分DNS運作方式1)紅色外部對內部主機的訪問

例如www,roffice,cctv等2)綠色內部對外部主機的訪問

例如mail,,等3)DNS分區(qū)：

只有特定用戶訪問

hph,hutcheson網站會通過內部DNS服務器解析得到內部地址，而其他用戶則得到的是外部地址，但所有解析在內部DNS完成下一步工作要點1）完善DNS內部域名解析分區(qū)；內部PCs或用戶DNS01DNS02HHict.doH.hkHN域名提供商頂級域名提供商基礎架構-NTP運作方式服務器管理部分NTP運作方式

HICT網絡有兩臺NTP服務器，分別是：NTP01:

NTP02:

防火墻僅開放TIME服務端口下一步工作要點1）逐步分批將內部設備時鐘與NTP時鐘同步；DC01DC02DNS01NTP02DNS02NTP01PCsInternetaccessFWfortigate基礎架構-wsus運作方式服務器管理部分

WSUS運作方式

WSUS從microsoft下載選定的補丁程序

每月將月度安全補丁應用到UAT

然后按照順序分配運用到PC和服務器補丁應用方式

PC端：自動下載，11.30分靜默安裝，

5分鐘重啟提示；

SRV端：自動下載，手動安裝和重啟

服務器；下一步工作要點1）定期清理離線PC并修復；WSUSSrvPCsPCsInternetaccessFWfortigate基礎架構-wsus運作方式服務器管理部分WSUSSrvPCsPCsInternetaccessFWfortigate基礎架構-Files運作方式服務器管理部分

文件服務器運作方式

IP地址：07

對用戶映射G、H、O

總的磁盤空間為2000GB策略應用：

1)屏蔽可執(zhí)行文件,系統(tǒng)文件等存放

2)啟用基于權限枚舉遮蓋

3)每日三次卷影備份

4

)每日磁帶庫備份一次

5)啟用用戶配額限制下一步工作要點1）分離G、H、O到不同的磁盤分區(qū)；2）進一步細化文件訪問權限；3）進一步細化用戶文件存取的配額。WSUSSrvPCsInternetaccessFWfortigate映射磁盤功能G盤：部門內部共享文件使用；H盤：部門之間以只讀形式分享文檔；O盤：部門用戶臨時存放文檔?；A架構-Vmware運作方式服務器管理部分

vmware運作方式刀片機箱第3、4、5刀片服務器運行在VmwareCluster模式下，第16刀片運行VC服務，管理三臺主機群集。

Vmware主機提供HA和Vmonitor功能，由于license原因，未提供DRS功能.

三臺群集主機共享DELL3660F存儲2T的磁盤空間，

所有的虛擬服務文件存放在該磁盤空間。

當需要備份虛擬機時，利用腳本掛接文件服務器的Vmware卷（2T空間），腳本利用虛擬機的鏡像功能制作備份，

特別注意：腳本制作的虛擬機備份不能用作日常的數據備份，只能備份操作系統(tǒng)和應用程序重大的，有危害的改動后的還原后備措施。沒有應用級別的數據還原能力。

該備份類似PC機的GHOST功能。下一步工作要點1）增加虛擬群集的磁盤空間；2）遷移2臺虛擬單機中的主機到群集；管理端VCSRVVmwareCluster3hostsVmwareVsphere2singlehosts基礎架構-Vmware運作方式服務器管理部分基礎架構-Vmware運作方式服務器管理部分基礎架構-Vmware運作方式服務器管理部分基礎架構-Vmware運作方式服務器管理部分基礎架構-Citrix運作方式服務器管理部分基礎架構-Citrix運作方式服務器管理部分

服務器端如何增加一個Citrix用戶

1)在AD服務器CitrixOU內增加一個用戶2)在CitrixDDC的citirxstudio交付組添加該用戶3）打開RAS用戶管理器，新增加一個用戶

(注意，該用戶的登錄ID應保持與AD中的ID一致)4)在RAS中為用戶分配一個軟令牌；5）為用戶指定使用得手機類型

（IphoneorAndroid）6)保存后復制URL激活碼，7）在任意的二維碼網站利用復制的URL碼生成二維圖片；8）利用新創(chuàng)建的RAS用戶ID登錄到RAS服務器，修改自身密碼和Pin碼；用戶端如何使用citrix1）在用戶手機安裝RASAPP，然后掃描QR碼（在第7步生成的二維碼圖片）2）輸入用戶的PIN碼，獲取動態(tài)口令（每個口令生命周期一分鐘）進入https:///vpn/index.html,

輸入AD用戶名和密碼，輸入動態(tài)口令（必須在有效生命周期內的口令）4)登錄citrix，安裝citrixreceiver插件5）可正常使用通過交付組授予的應用程序?；A架構-Citrix運作方式服務器管理部分登錄地址:https:///vpn/index.htmlRASServer:https://rsaam8.hict.localRASUser:https://rsaam8.hict.local:7004/console-selfservice/服務器管理部分總結DC服務器的遷移

由于舊域存在