电脑部离职交接文档

工作交接文档L.T信息科技部工程师2017.6.20堆场光纤铺设部分-汇信通信部分第二期光纤铺设(前沿灯塔和通信杆）主要由汇信通信承包完成,共铺设光纤约18000余米，铺设的基础架构如下：HM1HM2HM3新办公楼一楼光纤接入机房(NO)SK63光交箱联合查验台光交箱(CK)铺设介绍：HM1,HM2,HM3分别利用24新光纤互联；HM1,HM2,HM3分别利用24芯光纤连接到CK；CK有3条48芯光纤与NO光交箱连接;SK63光交箱有2条48芯光纤与NO光交箱连接；SK63一条48芯与CT光交箱连接。基础架构详细连接图堆场光纤铺设部分-汇信通信部分光纤线标介绍光纤线标采用相对位置标示法进行标示：根据左侧的线标方法举例如下：例如：在HM03号塔想寻找到一楼通信机房的某条纤芯，则有如下标示：NO01-01-01-29则使用者在仨号塔可知道要查找的纤芯位于一楼通信机房的一号机柜一号机架号的第29块纤盘上，纤盘的纤芯序号则一一对应。堆场光纤铺设部分-汇信通信部分工程进度该工程自2015年6月30日进场施工，于同年11月30日完成所有施工和测试工作，并相继投入使用，目前海关，国检，边检在前沿、堆场的视频监控信号传输均通过该工程光纤线路传输，截止目前，所有信号传输正常，能很好满足联检单位对视频流畅度、清晰度、实时性的要求。未尽事宜：采购单

PO1412075

共计142,786.00元，全部发票已抵扣、待支付7,139.3质保押金采购单

PO1412073共计176,690.00元，全部发票已抵扣，待承包商提供验收材料后支付113,548.5元采购单

PO15011029(机柜订单）共计5,850.00元，需送货商提供发票和送货签收单。增补清单：海关临时围网光纤铺设44300元，新查验台监控光纤铺设10450元,新办公楼一楼通信机房到SK63电信机柜光纤铺设9810元,此增补部分已补填采购订单并转交紫云跟进处理。堆场光纤铺设部分-汇信通信部分堆场光纤铺设部分-富尼科技部分富尼科技主要承接二阶段海关固定围网光纤铺设任务，并铺设相关的配套光纤，例如二期2016.7月后新增加的堆场通信塔，通信杆光纤铺设。,共铺设光纤约10530余米，铺设的基础架构如下：HM7HM8HM11新办公楼一楼光纤接入机房(NO)司机等候室侯工楼机房光交箱(WK)铺设介绍：HM7,HM8,HM11分别利用24新光纤互联；HM7,HM8,HM11分别利用24芯光纤连接到WK；WK有一条48芯光纤与NO光交箱连接;WK另一条48芯光纤与前沿HM3连接;司机等候室有12芯光纤连接NO光交箱连接。基础架构HM3详细连接图堆场光纤铺设部分-富尼科技部分光纤线标介绍光纤线标采用相对位置标示法进行标示：根据左侧的线标方法举例如下：例如：在HM03号塔想寻找到一楼通信机房的某条纤芯，则有如下标示：NO01-01-01-29则使用者在仨号塔可知道要查找的纤芯位于一楼通信机房的一号机柜一号机架号的第29块纤盘上，纤盘的纤芯序号则一一对应。堆场光纤铺设部分-富尼科技部分工程进度该工程自2017年1月4日进场施工，于同年5月25日完成所有施工和测试工作，并相继投入使用，目前海关，国检，边检在该承包商区域的视频监控信号传输均通过该工程光纤线路传输，截止目前，所有信号传输正常，能很好满足联检单位对视频流畅度、清晰度、实时性的要求。未尽事宜：采购单

PO16012011共计107,449.00元，全部发票已提交、已验收，待支付42,979.6尾款；增补清单：HM11到侯工楼光纤，司机等候室到1楼通信机房,海关新围网光纤增铺设

共计20,980.00元,此增补部分已补填采购订单并转交紫云跟进处理。堆场光纤铺设部分-富尼科技部分光纤由于初始设计原因，90%的光纤终点采用FC耦合器和FC光纤条线；采用这类接口保障了连接的可靠性但也影响了光纤连接头的寿命，例如金属锈等问题。堆场光纤铺设工作总结工程采用了大量的非标机箱和机柜，不利于传输设备的整齐摆放，对供电和扇热造成较大影响，从而影响到设备寿命和稳定性，由于成本原因，非标机柜整体上质量不达标，可靠性未完全满足设计要求，特别是门锁，活动装置，进出线的处理，电源连接等。工程中转箱全部采用FC跳线，但中转箱之间的跳线屏蔽措施处理不够完善，导致很多引起跳线弯折角度过小第地方出现，出现传输衰减过大，部分光交箱采用过长的跳线，看起来跳线的布局较为混乱。关键节点的光交箱安装基座地基过小，不利于箱体的稳定，光纤进入光交箱纤盘后，单芯光纤剥离保护需要经常检修处理。问题点光纤的路由设计较为充分，在主干的光交箱之间，至少有两条光纤提供高达24芯的备用链路应急使用，在机房回路中，提供了两条不同路由和方向的线路冗余，最大备用48芯；通过环路和多路径设计，保障了堆场的光纤传输的稳定性和可靠性。堆场光纤铺设工作总结所有光纤的入口在大楼一楼的中心配线机房，通过与联检单位，电信通信公司，协作单位等统一布线入口，能非常灵活的跳接出或入大楼的各类视频信号，网络型号，电话等，减少了大楼内部的重复布线导致的混乱。光纤采用相对标识法标识光纤的铺设位置，采用相对标识法即使一个人调试光纤线路时，也能迅速找到另端的精确位置。亮点光纤终端采用密度较高的国标ODF配线盘，保障了在非标机柜内的固定和容纳率，在一个1200mm的非标机柜中能容纳超过192芯光纤。堆场光纤铺设路由24芯单模光纤48芯单模光纤链接架构交换机防火墙部分服务器A服务器BCisco2960SCisco2960S西侧8楼东侧8楼西侧1楼Cisco2960东侧7楼EBIS防火墙Internet防火墙WiFi控制器WiFi控制器交换机防火墙部分链接架构-局域网交换机防火墙部分HICT内部网络采用两层架构链接方式：即接入层和核心层核心层采用cisco4507交换机，上行双链路Channel-ports到服务器接入交换机（红色多模光纤连接），下链路采用单链路到各弱电间接入层交换机（黄色为单模光纤连接）；接入层普遍采用2960系列可堆叠思科交换机,具体连接方式为：

接入层配置情况

7楼西侧弱电间：堆叠线堆叠4台cisco2960交换机，IP地址为2；提供IT、商务部接入；8楼西侧弱电间：两组堆叠5台cisco2960交换机，IP地址为8,16；提供操作部、安保部接入；8楼东侧弱电间：级联线3台cisco2960交换机，IP地址为3,82,84；提供行政、外协、总经办、财务接入；1楼东侧弱电间：级联线1台cisco2960交换机，提供财务计费组接入；侯工楼弱电间：级联线2台cisco2960交换机，提供工程部、操作部、土建、供电组接入；

服务器端配置情况

服务器接入利用两台cisco2960交换机提供负载均衡接入；服务器接入交换机上行端口采用channel-port双链路多模光纤接入核心交换机；服务器接入交换机下行端口采用双链路UTP超5类线接入服务器双网卡；链接架构-WiFi交换机防火墙部分

堆场WIFI接入左侧是基本的链接方式，具体介绍为：两台cisco5508无线控制器经多模光纤接入到核心交换，AP单模光纤，收发器转为以太口后接入交换机cisco2960Wifi控制器和接入交换机均通过单模光纤与核心交换机连接，但没有配置冗余链路。

堆场WIFI下一步工作要点1）将临时机房的WIFI接入迁移到7楼机房；2）配置控制器到交换机的冗余链路；3）改变控制器与核心交换机的链接方式；4）划分新的ＶＬＡＮ，修改所有AP的IP地址；5）将WiFi的接入与内部网络利用VLAN的ACL进行隔离；链接架构–核心交换与接入层交换机防火墙部分

核心交换机与接入层介绍左侧是基本的链接方式，虚线部分为计划实施部分：7楼核心交换机cisco4507与各楼层弱电间通过单模光纤连接，提供1GB的SFP上行链路，VLAN的配置在核心交换机完成，工作模式为VTPmodeServer,接入层交换机的VTP工作模式为Client,无DHCP中继功能，所有设备端地址均使用静态指定，具体的VLAN信息为：下一步工作要点1）配置两台交换机的热冗余功能；2）连接上图虚线部分；3）配置弱电间到核心交换机的冗余链路；4）配置核心和接入层交换机的日志收集分析功能；IDNamed2server10dmzooe11MQ12ngensrv132_office14firewall167F_WIFI17hougonglouIDNamed20servers218FEAST22devices23fwinsite247fwest-it257fwest-husiness268fwest27citrix链接架构–防火墙交换机防火墙部分

防火墙介绍HICT防火墙处于独立的工作ＶＬＡＮ，网段为172.168.14.x/24,当前带宽20M；上行接入电信协转器，下行接入交换机VLAN14；

防火墙规则共23条，其中入站规则5条，出站规则18条，其规则应用规律是：针对特定端口开放的出站流量，指定了源地址和目标地址；针对通用端口开放的出站流量，指定了源地址；针对特定地址的入站流量，指定了目标地址和目标端口；针对通用服务的出站流量，指定了目标地址和目标端口。下一步工作要点1）由于近期的ＩＰ地址变动，清理多余的IP地址和非必须的流量策略；2）增加配置日志服务器和NTP服务；3）从临时机房迁移Internet线路到7楼机房；4）重新配置LAN的IP地址，以便符合新的IP分段规则。链接架构–EBISVPN防火墙交换机防火墙部分EBIS防火墙介绍

1）EBIS防火墙主要供财务部分同事使用HIT得EBIS系统；

2）国码高管使用HIT的一些应用系统；

3）左图是具体的连接方式下一步工作要点1）约定时间修改三位高管的IP地址，以便符合HICT地址管理规则EBIS防火墙使用

1）财务部有以下同事使用：

廖志康、李明杰、钟志英、王婷婷、余建旋2）高管应用系统

操作部:

陈经理

商务部：黄经理

总经理：谭经理EBIS防火墙一般设置方式1）接收香港的配置需求和配置信息文件；2）与使用部门约定停机时间；3）备份配置文件并逐条应用配置文件；4）测试VPN的连接情况确保连接正常；5）配置DNS的相关记录PCs4507CoreHICTNetworkYICTNetworkASA5515FirewallYICTFirewallMSTP2MNAT基础架构-主要是依赖WindowsAD的服务器服务器管理部分DC01DC02DNS01NTP01DNS02NTP02WSUSFiles交换机PCsDevicesWindowsserver2012主域控服务器05Windowsserver2012辅域控服务器RHEL6.3主DNS服务器辅NTP服务器RHEL6.3辅DNS服务器主NTP服务器Windowsserver2012WSUS服务器Windowsserver2012文件服务器07Windows版本：WindowsServer2012Standardx64Linux版本：RHEL6.3x64基础架构-主要是依赖WindowsAD的服务器服务器管理部分DC01OS:WindowsServer2012Standard;主要应用：WindowsAD,DNS服务；提供用户域验证，文件服务器权限分配控制等;安装在刀片机箱的第15块刀片上；当前运行良好。DC02OS:WindowsServer2012Standard;主要应用：WindowsAD备用控制器,DNS服务；提供用户域验证，文件服务器权限分配控制等;安装在DELL9020PC机,放置于7号机柜；当前运行良好。DNS01&NTP01OS:RHEL6.3主要应用：首要的DNS服务器和辅助的NTP服务器；提供用户DNS查询和各设备的时间同步服务。安装在DELL9020PC机,放置于7号机柜；当前运行良好。DNS02&NTP02OS:RHEL6.3主要应用：辅助的DNS服务器和首要的NTP服务器；提供用户DNS查询和各设备的时间同步服务。放置于刀片机箱第11块刀片上，运行良好WSUSOS:WndowsServer2012std主要应用：Windows补丁服务器，为所有WindowsPC端提供补丁下载，更新管理。安装在7号机柜DELL9020PC机,运行良好FilesOS:WndowsServer2012std主要应用：公共盘文件管理服务器，为所有用户提供文件集中存储，备份的磁盘空间。安装在刀片机箱的第2块刀片上,运行良好。基础架构-WindowsAD命名和存放规则服务器管理部分

域OU根据其功能进行命名域用户显示名根据命名规则是：部门简写-姓名

例如：IT-罗涛域用户的登陆名命名规则是：

姓加点加名的拼音

例如：luo.tao

用户和组的存放

全局组存放在HICT_Group内;

有邮箱的用户存放在HICT_USER->

EMAIL_USER

禁用账号存放在DisableOU内;

服务器账号存放在HICT_Server内；一般管理员账号存在ITOU内；下一步工作要点1）清理离职用户账号；2）清理长期离线的计算机账号；3）重新规划组的成员，简便化组的使用;4)域灾难的演习；基础架构-DNS运作方式服务器管理部分DNS运作方式

DNS01和DNS02分别从DC01和DC02将内部域名信息复制到本地DNSZone

DNS01和DNS02提供内部域名解析和Internet域名解析服务，

防火墙仅开放DNS服务器的服务端口下一步工作要点1）DNS内部域名解析分区；2）无效DNS记录清理；3）反向DNS记录的创建；DC01DC02DNS01NTP02DNS02NTP01PCsInternetaccessFWfortigate基础架构-DNS运作方式服务器管理部分DNS运作方式1)红色外部对内部主机的访问

例如www,roffice,cctv等2)绿色内部对外部主机的访问

例如mail,,等3)DNS分区：

只有特定用户访问

hph,hutcheson网站会通过内部DNS服务器解析得到内部地址，而其他用户则得到的是外部地址，但所有解析在内部DNS完成下一步工作要点1）完善DNS内部域名解析分区；内部PCs或用户DNS01DNS02HHict.doH.hkHN域名提供商顶级域名提供商基础架构-NTP运作方式服务器管理部分NTP运作方式

HICT网络有两台NTP服务器，分别是：NTP01:

NTP02:

防火墙仅开放TIME服务端口下一步工作要点1）逐步分批将内部设备时钟与NTP时钟同步；DC01DC02DNS01NTP02DNS02NTP01PCsInternetaccessFWfortigate基础架构-wsus运作方式服务器管理部分

WSUS运作方式

WSUS从microsoft下载选定的补丁程序

每月将月度安全补丁应用到UAT

然后按照顺序分配运用到PC和服务器补丁应用方式

PC端：自动下载，11.30分静默安装，

5分钟重启提示；

SRV端：自动下载，手动安装和重启

服务器；下一步工作要点1）定期清理离线PC并修复；WSUSSrvPCsPCsInternetaccessFWfortigate基础架构-wsus运作方式服务器管理部分WSUSSrvPCsPCsInternetaccessFWfortigate基础架构-Files运作方式服务器管理部分

文件服务器运作方式

IP地址：07

对用户映射G、H、O

总的磁盘空间为2000GB策略应用：

1)屏蔽可执行文件,系统文件等存放

2)启用基于权限枚举遮盖

3)每日三次卷影备份

4

)每日磁带库备份一次

5)启用用户配额限制下一步工作要点1）分离G、H、O到不同的磁盘分区；2）进一步细化文件访问权限；3）进一步细化用户文件存取的配额。WSUSSrvPCsInternetaccessFWfortigate映射磁盘功能G盘：部门内部共享文件使用；H盘：部门之间以只读形式分享文档；O盘：部门用户临时存放文档。基础架构-Vmware运作方式服务器管理部分

vmware运作方式刀片机箱第3、4、5刀片服务器运行在VmwareCluster模式下，第16刀片运行VC服务，管理三台主机群集。

Vmware主机提供HA和Vmonitor功能，由于license原因，未提供DRS功能.

三台群集主机共享DELL3660F存储2T的磁盘空间，

所有的虚拟服务文件存放在该磁盘空间。

当需要备份虚拟机时，利用脚本挂接文件服务器的Vmware卷（2T空间），脚本利用虚拟机的镜像功能制作备份，

特别注意：脚本制作的虚拟机备份不能用作日常的数据备份，只能备份操作系统和应用程序重大的，有危害的改动后的还原后备措施。没有应用级别的数据还原能力。

该备份类似PC机的GHOST功能。下一步工作要点1）增加虚拟群集的磁盘空间；2）迁移2台虚拟单机中的主机到群集；管理端VCSRVVmwareCluster3hostsVmwareVsphere2singlehosts基础架构-Vmware运作方式服务器管理部分基础架构-Vmware运作方式服务器管理部分基础架构-Vmware运作方式服务器管理部分基础架构-Vmware运作方式服务器管理部分基础架构-Citrix运作方式服务器管理部分基础架构-Citrix运作方式服务器管理部分

服务器端如何增加一个Citrix用户

1)在AD服务器CitrixOU内增加一个用户2)在CitrixDDC的citirxstudio交付组添加该用户3）打开RAS用户管理器，新增加一个用户

(注意，该用户的登录ID应保持与AD中的ID一致)4)在RAS中为用户分配一个软令牌；5）为用户指定使用得手机类型

（IphoneorAndroid）6)保存后复制URL激活码，7）在任意的二维码网站利用复制的URL码生成二维图片；8）利用新创建的RAS用户ID登录到RAS服务器，修改自身密码和Pin码；用户端如何使用citrix1）在用户手机安装RASAPP，然后扫描QR码（在第7步生成的二维码图片）2）输入用户的PIN码，获取动态口令（每个口令生命周期一分钟）进入https:///vpn/index.html,

输入AD用户名和密码，输入动态口令（必须在有效生命周期内的口令）4)登录citrix，安装citrixreceiver插件5）可正常使用通过交付组授予的应用程序。基础架构-Citrix运作方式服务器管理部分登录地址:https:///vpn/index.htmlRASServer:https://rsaam8.hict.localRASUser:https://rsaam8.hict.local:7004/console-selfservice/服务器管理部分总结DC服务器的迁移

由于旧域存在