文档来源为 :从网络收集整理 .word 版本可编辑 .欢迎下载支持 .
网络改造项目
工程实施方案
V1.0
2010年7月
1-1
文档来源为 :从网络收集整理 .word 版本可编辑 .欢迎下载支持 .
1 客户网络情况调查(可选)
1.1 概述
青海黄河鑫业水电网络项目( EAD 部分)实施,本次主要实施为 IMC 平台部署、客户端安装、双
机备份部署,以及对用户方的培训工作。
1.2 账号情况
此处请检查 EAD 的 license 是否够用
客户网络中的帐号数 iMC EAD 的 license 数目
350 (一期) 700
账号数不是指在线用户数,而是在 iMC EAD 中开户的数量
如果账号是从 LDAP 服务器中同步过来的, 需要确保同步的 LDAP 服务器中的用户数小于 iMC
EAD 的 license 数。
iMC EAD 的 license 数目以客户实际购买数量为准。
1.3 网络设备情况
此处仅统计与 EAD 相关做身份认证的设备情况
厂家 设备型号 版本 备注
H3C 5120EI 5.20 2202P06 24 台 (一期 )
1.4 终端操作系统情况
此处仅统计需要安装 iNode 客户端做 EAD 认证的用户。
操作系统 版本 备注
1-2
文档来源为 :从网络收集整理 .word 版本可编辑 .欢迎下载支持 .
Windows XPSP2
Windsows 7.0
常见的操作系统有: widnows,linux,MacOS 等
1.5 终端操作系统杀毒软件情况
厂家 产品型号 版本 备注
卡巴斯基 卡巴斯基(网络版) V6.0 加强
1.6 服务器情况
编号
厂家
CPU
内存
磁盘空间
Raid
备注
服务器1
IBM3650
E5520
4G
300G
RAID 1
2.27G
如果有多个服务器,请添加多行
Raid 请填写该服务器是否有 Raid 卡, radi 卡大小是多少。
1.7 操作系统及数据库情况
项目 内容 备注
操作系统版本及补丁 Windows server 2008
1-3
文档来源为 :从网络收集整理 .word 版本可编辑 .欢迎下载支持 .
操作系统是否正版本 正版
数据库版本及补丁 SQLserver 2008
数据库是否正版 正版
产品是否安装在虚拟机上 否
产品是否专机专用 是
为了保障业务软件产品的正常运行,请确保现场的操作系统及数据库为正版
常见的虚拟机有 Vmware 等
为了保障业务软件产品的正常运行,要求服务器服务器专机专用,除了业务软件产品及必要杀
毒软件外,不能安排其它厂家的软件产品。
2 EAD 组网方案选择
根据客户的网络情况,选择合适的 EAD 组网方案。
2-4
文档来源为 :从网络收集整理 .word 版本可编辑 .欢迎下载支持 .
2.1 802.1xEAD 典型组网
2.1.1 推荐的组网:
接入层交换机二次 acl 下发方式
组网说明:
802.1x 认证起在接入层交换机上
采用二次 ACL 下发的方式(隔离 acl, 安全 acl )来实现对安全检查不合格的用户进行隔离,对安全检查合格的用户放行
由于是二次 acl 下发的方式,要求接入层交换机为 H3C 交换机(具体的交换机型号请参考 EAD 的产
品版本配套表)
控制点低,控制严格(采用 802.1x 认证方式,接入用户未通过认证前无法访问任何网络资源)
由于 802.1x 控制非常严格,非通过认证的用户无法访问任何网络资源,但有些场景下用户需要用户
未认证前能访问一些服务器, 如 DHCP,DNS,AD(active directory 域控 ),此时可以通过 H3C 交换机的
EAD 快速部署物性来实现,关于该特性的具体描述请参考:
/kms/search/view.html?id=14452
为确保性能, iMC EAD 一般要求分布式部署
2. 客户端 acl 方式
对于不支持二次 acl 下发的交换机 (我司部分设备及所有第三方厂家交换机) ,可以通过使用 iNode
的客户端 acl 功能来实现隔离区的构造,即将原本下发到设备上的 acl 下发到 iNode 客户端上。
2-5
文档来源为 :从网络收集整理 .word 版本可编辑 .欢迎下载支持 .
组网说明:
802.1x 认证起在接入层交换机上(要求接入层交换机对 802.1x 协议有很好的支持),控制点低,控
制严格
终端用户 DHCP 或静态 IP 地址均可
二次 acl 下发到 iNode 客户端上,隔离区构造方便。
二次 acl 下发需要 iNode 定制“客户端 acl 特性”,该特性需要 iNode 安装额外的驱动,对终端操作系统的稳定性有较高的要求。
对于 802.1x 起在第三方厂家交换机上的场景,要求客户能提供或协调提供第三方厂家能的技术支持。
3. 下线+不安全提示阈值方式
在接入层设备不是 H3C 交换机的情况下,由于设备不支持二次 acl 下发无法采用二次 acl 下发的方式来构
造隔离区,此时可以通过下线+不安全提示阈值的方式来模拟构造隔离区,实现 EAD 功能。具体实现为:
用户安全检查不合格时, EAD 不立即将终端用户下线而是给出一定的修复时间(不安全提示阈值),终端
用户可以如果在该时间内完成的安全策略修复则可以正常通过 EAD 认证访问网络,如果在该时间内未完
成安全策略修复则被下线。
2-6
文档来源为 :从网络收集整理 .word 版本可编辑 .欢迎下载支持 .
组网说明:
802.1x 认证起在接入层交换机上(要求接入层交换机对 802.1x 协议有很好的支持),控制点低,控
制严格
终端用户 DHCP 或静态 IP 地址均可
采用下线+不安全提示阈值方式认证过程简单,稳定。
由于终端用户在不安全时在“不安全提示阈值”时间内与安全用户访问网络的权限是一样的,安全性上不如二次 acl 下发方式好。
2.1.2 不推荐的组网
1. 汇聚层 802.1xEAD
在下面的场景中,由于网络中的接入层交换机不支持 802.1x 认证,而 H3C 交换机又是基于 MAC 来认证
的,于是容易产生如下图所示的将一台支持 802.1xEAD 的 H3C 交换机放到汇聚层, 下面接不支持 802.1x
认证的交换机或 hub 的方案,这种方案在实际使用中是不推荐的,主要原因如下:
802.1x 本身是一个接入层的概念, H3C 交换机做 EAD 的 acl 资源多是基于接入层设计的,如果把交
换机放在汇聚层,下面接的用户过多,很容易出现 acl 资源不足导致用户无法上线的问题
终端用户认证通过后需要与认证交换机维护 802.1x 握手( eap 报文),由交换机在汇聚层与终端用户
隔了一层或几层的第三方厂家交换机, 这些厂家的交换机不支持 802.1x, 容易将 eap 报文过滤掉从而
造成终端用户认证后掉线
认证交换机放在汇聚层,终端用户与认证交换机之间是共享域,在其中往往充斥着大量的广播报文,
802.1x 是 eap 报文, 无论是 PC 的网卡还是交换机对其处理的优先级都不高, 在流量大的时候容易被
网卡或交换机丢弃从而造成用户认证后掉线。
2-7
文档来源为 :从网络收集整理 .word 版本可编辑 .欢迎下载支持 .
下面的场景建议使用 portal EAD 方式 .(需要增加 portal 设备 )
2. guest-vlan 方式
guest-vlan
技术简介: 由于 802.1x
协议控制非常严格, 用户认证前无法访问任何网络资源。
如果客户在未
通过 802.1x 认证前也需要访问一些网络资源,可以通过
guest-vlan
来实现。端口配置了 guest-vlan
后,
用户默认属于 guest-vlan
,可以访问 guest-vlan
的资源,用户 802.1x 认证后用户切换到正常
vlan, 可以访
问正常 vlan 的资源,一般情况下在
guest-vlan
下会放置文件服务器,
DHCP 服务器等提供基本的网络服
务。
由于 guest-vlan 是一个天然的隔离区, 技术上可以通过
guest-vlan +下线的方式来实现 EAD ,即用户安全
检查合格后切换到正常
vlan, 如果安全检查不合格则将用户下线,用户切换回
guest-vlan, 只能访问
guest-vlan
能的相关病毒、补丁服务器来修复安全策略。
guest-vlan
一个突出的优点是用户认证前即可以访问部分网络资源,
可以完成下载认证客户端等操作
.但限
制也较大,实际使用中建议优先采用 portal 方式或下线+不安全提示阈值的方式来实现 EAD 。
由于用户认证前属于 guest-vlan, 认证后需要切换到正常 vlan, 要求终端用户地址采用 DHCP 方式,不能采用静态 IP
用户认证属要从 guest-vlan 切换到正常 vlan, 下线后又要从正常 vlan 切换到 guest-vlan. 整个过程涉及到两次 IP 地址的 release 及 renew, 比较复杂,容易出现地址获取不正确等不稳定问题。
guest-vlan 要求第三方厂家设备对 guest-vlan 有很好的支持,由于 guest-vlan 应用不多,各个厂家各个版本实现不一致,实施过程中出了问题很难得到有效技术支持。
2-8
文档来源为 :从网络收集整理 .word 版本可编辑 .欢迎下载支持 .
2.2 Portal EAD 典型组网
Portal 本身就是一个天然的隔离区 ,即未通过认证的用户访问的网络资源是受限的, 通过认证的用户可以正
常的访问网络。同于 portal 的这种特性,实际使用中往往采用下线+不安全提示阈值的方案,对于安全检查不合格的用户通过下线将其放入“隔离区”。
下面介绍一下 portal EAD 的常用组网。
2.2.1 二层 portal EAD
如图所示,所谓二层 portal 即到 portal 设备的报文为带 vlan-tag 的二层报文。
2-9
文档来源为 :从网络收集整理 .word 版本可编辑 .欢迎下载支持 .
身份认证采用 portal 认证
一般采用下线的方式即可实现将终端用户放入隔离区来实现 EAD
Portal 设备的具体型号请参考 EAD 的版本说明书
2.2.2 三层 Portal EAD
三层 Portal 即到 Portal 设备做认证的流量是 IP 报文,三层 portal 主要有如下两种组网:
1. 策略路由方式
如下图所示, Portal 设备侧挂在网关上, 由网关将需要 portal EAD 认证的流量策略路由到 Portal 设备上做
EAD 认证,这种组网方式对现场改动小,策略灵活(仅将需要认证的流量策略路由到 portal 设备上,不需
要认证的流量可以正常通过网关转发)
2-10
文档来源为 :从网络收集整理 .word 版本可编辑 .欢迎下载支持 .
组网说明
身份认证采用 portal 认证
一般采用下线的方式即可实现将终端用户放入隔离区来实现 EAD
Portal 设备的具体型号请参考 EAD 的版本说明书
网关设备需要支持策略路由
终端用户与 iMC 之间不能有 NAT
终端用户到 iMC 的流量一定要经过 portal 设备,不能出现终端用户不经过 portal 设备直接访问 iMC
的情况,否则 portal 认证会异常。
串接方式
如果网关设备不支持策略路由,可以将 Portal 设备串接在网关与出口路由器之间。
2-11
文档来源为 :从网络收集整理 .word 版本可编辑 .欢迎下载支持 .
组网说明:
身份认证采用 portal 认证
一般采用下线的方式即可实现将终端用户放入隔离区来实现 EAD
Portal 设备的具体型号请参考 EAD 的版本说明书
终端用户与 iMC 之间不能有 NAT
终端用户到 iMC 的流量一定要经过 portal 设备,不能出现终端用户不经过 portal 设备直接访问 iMC
的情况,否则 portal 认证会异常。
2.3 L2TP VPN EAD
终端用户身份认证采用 l2tp 方式 ,EAD 通过二次 acl 下发到安全联动网关来实现 EAD 。
2-12
文档来源为 :从网络收集整理 .word 版本可编辑 .欢迎下载支持 .
组网说明:
终端用户采用 l2tp 方式做身份认证
如果需要安全性防护可以采用 l2tp over IPSec 的方案
二次 acl 下发均下发到安全联动 VPN 网关上,网关的具体型号请参考 EAD 版本说明书
2.4 无线 EAD
无线 EAD 目前只支持 Portal 方式的 EAD ,不支持基于 802.1x 认证方式的 EAD 。
2-13
文档来源为 :从网络收集整理 .word 版本可编辑 .欢迎下载支持 .
组网说明:
AC 除了完成 AP 的注册及控制外,同时起用 portal 认证
一般采用下线的方式即可实现将终端用户放入隔离区来实现 EAD
支持 EAD AC 的具体型号请参考 EAD 的版本说明书
终端用户与 iMC 之间不能有 NAT
终端用户到 iMC 的流量一定要经过 portal 设备,不能出现终端用户不经过 portal 设备直接访问 iMC
的情况,否则 portal 认证会异常。
由于 AC 转发性能的考虑,用户的网关不要设在 AC 上
3 工程界面说明
一个典型的 EAD 解决方案实施包含如下四部分内容,由于涉及到客户的具体业务及第三方的产品,
有些内容需要客户配合完成。此处对 EAD 各部分内容部署时的工程分工界面说明如下:
3-14
文档来源为 :从网络收集整理 .word 版本可编辑 .欢迎下载支持 .
iMC 服务器安装及调试
第三方厂家产品对接
安全联动设备调试
iNode 客户端部署
3.1 实施方负责完成的工作:
服务器操作系统及数据库安装
iMC 平台及各组件的安装及部署
账号方案建议
EAD 解决方案安全策略建议
与第三方厂家产品对接时 iMC 侧调试工作
安全联动设备 EAD 相关的配置及调试
iNode 部署方案建议
部署过程中问题解决
EAD 解决方案业务培训
3-15
文档来源为 :从网络收集整理 .word 版本可编辑 .欢迎下载支持 .
3.2 客户方负责完成的工作
提供符合 EAD 要求的服务器
提供正版的操作系统及数据库软件
提供开通 EAD 业务相关的资料,如账号信息,桌面资产编号。
在与非 H3C 设备配合实现 EAD 时,对非 H3C 设备能协调提供必要的技术支持
在与第三方厂家产品如 LDAP 服务器对接时,提供这些产品的技术支持
配合完成 iNode 客户端的安装
具体业务(如开户,桌面资产管理、可控软件定义、软件补丁定义)的执行。
4 测试方案
为了保证业务软件产品安装后正常稳定的运行,需要进行相关的测试,测试的内容包括:
4.1 iMC 进程情况
测试目的
验证 H3C iMC 各进程启动后是否正常
遵循标准
无
测试设计
通过 iMC 部署监控代理各进程的运行情况
测试条件
1
、 iMC 服务器平台及相关组件已正常安装并部署;
测试过程
1
、 登陆 iMC 服务器
2、 在“开始”-“程序”-“ H3C 智能管理中心”-“ H3C 部署监控代理”中启动
H3C 部署监控代理
3
、 在“监控” tab 页面上点击“启动 iMC ”
4
、 在进程而面观察所有进程是否都正常启动
预期结果
1
、 所有进程启动正常
其它说明和注意事项
无
实测结果
OK POK NG NT
4.2 iMC 配置管理台
测试目的 验证 H3C iMC 配置管理台能否正常登陆
遵循标准 无
测试设计 通过 web 网页能否正常访问 iMC 配置管理台并进行相关配置
测试条件 1、 iMC 服务器平台及相关组件已正常安装并部署
2、 web 浏览器所在的 PC 机与 iMC 服务器路由可达
测试过程 1、 在 web 浏览器中输入 http://iMC_iP:8080
4-16
文档来源为 :从网络收集整理 .word 版本可编辑 .欢迎下载支持 .
2
、 使用默认的 admin/admin 用户名及密码进行登陆
预期结果
1、 可以正常的登陆 iMC 的配置管理台
2
、 可以配置相关的功能,无报错。
其它说明和注意事项
1、 iMC 默认的前台登陆端口为 8080, 此端口可以在安装时更改,请以实际的端口为
准。
2
、 如果该 web 浏览器第一次登陆,部分功能需要安装
javaTM 才能实现。
实测结果
OK POK NG NT
4.3 iMC 版本及 license 情况
测试目的
验证 H3C iMC 版本及 license 数量是否正确
遵循标准
无
测试设计
在系统的“帮助”-“关于”中已正确显示
iMC 的版本及 license 数量
测试条件
1
、 iMC 服务器平台及相关组件已正常安装并部署
2、 web 浏览器所在的
PC 机与 iMC 服务器路由可达
测试过程
1
、 使用管理员(默认为
admin/admin )用户名及密码登陆 iMC
2
、 点击“帮助”-“关于”察看
iMC 的版本及 license 情况
预期结果
1
、 已安装了正确的
iMC 版本
2
、 已注册了正确的
license 及数量、有效期。
其它说明和注意事项
无
实测结果
OK POK NG NT
以下测试例仅 EAD 使用
4.4 EAD 身份认证
测试目的
验证 EAD 身份认证是否正常
遵循标准
无
测试设计
EAD 身份认证功能正常使用
测试条件
1、 iMC 服务器平台及
UAM,EAD 组件已正常安装并部署
2
、 iMC 中创建了相关的账号并申请了服务
3
、 设备身份认证协议(
802.1x/portal/l2tp )相关配置正确
4
、 iNode 客户端已安装
测试过程
1
、 在 iNode 客户端中创建相关的认证连接并认证
预期结果
1
、 身份认证成功
其它说明和注意事项
无
实测结果
OK POK NG NT
4-17
文档来源为 :从网络收集整理 .word 版本可编辑 .欢迎下载支持 .
4.5 EAD 安全检查
测试目的
验证 EAD 安全检查是否正常
遵循标准
无
测试设计
EAD 安全检查功能正常使用
测试条件
1、 iMC 服务器平台及 UAM,EAD 组件已正常安装并部署
2
、 iMC 中创建了相关的账号并申请了服务,服务中含有安全策略
3
、 设备身份认证协议( 802.1x/portal/l2tp )相关配置正确
4
、 iNode 客户端已安装
测试过程
1
、 在 iNode 客户端中创建相关的认证连接并认证
预期结果
1
、 身份认证成功
2
、 身份认证后 iNode 开始按 iMC 服务器上是策略进行安全检查。
其它说明和注意事项
无
实测结果
OK POK NG NT
注:验收结论说明:
OK :验收结果全部正确
POK :验收结果大部分正确
NG :验收结果有较大的错误
NT :由于各种原因本次无法验收
4-18
- 下载文档
- 收藏
- 0
推荐访问:实施方案 实施方案 改造项目 实施 XX网络改造项目工程实施实施方案