1、XX网络改造项目工程实施方案XXXXXXXXX网络改造项目工程实施方案V1.02010年7月1 客户网络情况调查(可选)1.1 概述青海黄河鑫业水电网络项目(EAD部分)实施,本次主要实施为IMC平台部署、客户端安装、双机备份部署,以及对用户方的培训工作。1.2 账号情况此处请检查EAD的license是否够用客户网络中的帐号数iMC EAD的license数目350(一期)700账号数不是指在线用户数,而是在iMCEAD中开户的数量如果账号是从LDAP服务器中同步过来的,需要确保同步的LDAP服务器中的用户数小于iMC EAD的license数。iMC EAD的license数目以客户实际购
2、买数量为准。1.3 网络设备情况此处仅统计与EAD相关做身份认证的设备情况厂家设备型号版本备注H3C5120EI5.20 2202P0624台(一期)1.4 终端操作系统情况此处仅统计需要安装iNode客户端做EAD认证的用户。操作系统版本备注WindowsXPSP2Windsows7.0常见的操作系统有:widnows,linux,MacOS等1.5 终端操作系统杀毒软件情况厂家产品型号版本备注卡巴斯基卡巴斯基(网络版)V6.0加强1.6 服务器情况编号厂家CPU内存磁盘空间Raid备注服务器IBM3650E5520 2.27G4G300GRAID 1如果有多个服务器,请添加多行Raid请填
3、写该服务器是否有Raid卡,radi卡大小是多少。1.7 操作系统及数据库情况项目内容备注操作系统版本及补丁Windows server 2008 操作系统是否正版本正版数据库版本及补丁SQLserver 2008数据库是否正版正版产品是否安装在虚拟机上否产品是否专机专用是为了保障业务软件产品的正常运行,请确保现场的操作系统及数据库为正版常见的虚拟机有Vmware等为了保障业务软件产品的正常运行,要求服务器服务器专机专用,除了业务软件产品及必要杀毒软件外,不能安排其它厂家的软件产品。2 EAD组网方案选择根据客户的网络情况,选择合适的EAD组网方案。2.1 802.1xEAD典型组网2.1.1
4、 推荐的组网:1. 接入层交换机二次acl下发方式组网说明:802.1x认证起在接入层交换机上采用二次ACL下发的方式(隔离acl,安全acl)来实现对安全检查不合格的用户进行隔离,对安全检查合格的用户放行由于是二次acl下发的方式,要求接入层交换机为H3C交换机(具体的交换机型号请参考EAD的产品版本配套表)控制点低,控制严格(采用802.1x认证方式,接入用户未通过认证前无法访问任何网络资源)由于802.1x控制非常严格,非通过认证的用户无法访问任何网络资源,但有些场景下用户需要用户未认证前能访问一些服务器,如DHCP,DNS,AD(active directory域控),此时可以通过H3
5、C交换机的EAD快速部署物性来实现,关于该特性的具体描述请参考:/kms/search/view.html?id=14452为确保性能,iMC EAD一般要求分布式部署2. 客户端acl方式对于不支持二次acl下发的交换机(我司部分设备及所有第三方厂家交换机),可以通过使用iNode的客户端acl功能来实现隔离区的构造,即将原本下发到设备上的acl下发到iNode客户端上。组网说明:802.1x认证起在接入层交换机上(要求接入层交换机对802.1x协议有很好的支持),控制点低,控制严格终端用户DHCP或静态IP地址均可二次acl下发到iNode客户端上,隔离区构造方便。二次acl下发需要iNo
6、de定制“客户端acl特性”,该特性需要iNode安装额外的驱动,对终端操作系统的稳定性有较高的要求。对于802.1x起在第三方厂家交换机上的场景,要求客户能提供或协调提供第三方厂家能的技术支持。3. 下线不安全提示阈值方式在接入层设备不是H3C交换机的情况下,由于设备不支持二次acl下发无法采用二次acl下发的方式来构造隔离区,此时可以通过下线不安全提示阈值的方式来模拟构造隔离区,实现EAD功能。具体实现为:用户安全检查不合格时,EAD不立即将终端用户下线而是给出一定的修复时间(不安全提示阈值),终端用户可以如果在该时间内完成的安全策略修复则可以正常通过EAD认证访问网络,如果在该时间内未完
7、成安全策略修复则被下线。组网说明:802.1x认证起在接入层交换机上(要求接入层交换机对802.1x协议有很好的支持),控制点低,控制严格终端用户DHCP或静态IP地址均可采用下线不安全提示阈值方式认证过程简单,稳定。由于终端用户在不安全时在“不安全提示阈值”时间内与安全用户访问网络的权限是一样的,安全性上不如二次acl下发方式好。2.1.2 不推荐的组网1. 汇聚层802.1xEAD在下面的场景中,由于网络中的接入层交换机不支持802.1x认证,而H3C交换机又是基于MAC来认证的,于是容易产生如下图所示的将一台支持802.1xEAD的H3C交换机放到汇聚层,下面接不支持802.1x认证的交
8、换机或hub的方案,这种方案在实际使用中是不推荐的,主要原因如下:802.1x本身是一个接入层的概念,H3C交换机做EAD的acl资源多是基于接入层设计的,如果把交换机放在汇聚层,下面接的用户过多,很容易出现acl资源不足导致用户无法上线的问题终端用户认证通过后需要与认证交换机维护802.1x握手(eap报文),由交换机在汇聚层与终端用户隔了一层或几层的第三方厂家交换机, 这些厂家的交换机不支持802.1x,容易将eap报文过滤掉从而造成终端用户认证后掉线认证交换机放在汇聚层,终端用户与认证交换机之间是共享域,在其中往往充斥着大量的广播报文,802.1x是eap报文,无论是PC的网卡还是交换机
9、对其处理的优先级都不高,在流量大的时候容易被网卡或交换机丢弃从而造成用户认证后掉线。下面的场景建议使用portal EAD方式.(需要增加portal设备)2. guest-vlan方式guest-vlan技术简介:由于802.1x协议控制非常严格,用户认证前无法访问任何网络资源。如果客户在未通过802.1x认证前也需要访问一些网络资源,可以通过guest-vlan来实现。端口配置了guest-vlan后,用户默认属于guest-vlan,可以访问guest-vlan的资源,用户802.1x认证后用户切换到正常vlan,可以访问正常vlan的资源,一般情况下在guest-vlan下会放置文件服
10、务器,DHCP服务器等提供基本的网络服务。由于guest-vlan是一个天然的隔离区,技术上可以通过guest-vlan下线的方式来实现EAD,即用户安全检查合格后切换到正常vlan,如果安全检查不合格则将用户下线,用户切换回guest-vlan,只能访问guest-vlan能的相关病毒、补丁服务器来修复安全策略。guest-vlan一个突出的优点是用户认证前即可以访问部分网络资源,可以完成下载认证客户端等操作.但限制也较大,实际使用中建议优先采用portal方式或下线不安全提示阈值的方式来实现EAD。由于用户认证前属于guest-vlan,认证后需要切换到正常vlan,要求终端用户地址采用D
11、HCP方式,不能采用静态IP用户认证属要从guest-vlan切换到正常vlan,下线后又要从正常vlan切换到guest-vlan.整个过程涉及到两次IP地址的release及renew,比较复杂,容易出现地址获取不正确等不稳定问题。guest-vlan要求第三方厂家设备对guest-vlan有很好的支持,由于guest-vlan应用不多,各个厂家各个版本实现不一致,实施过程中出了问题很难得到有效技术支持。2.2 Portal EAD典型组网Portal本身就是一个天然的隔离区,即未通过认证的用户访问的网络资源是受限的,通过认证的用户可以正常的访问网络。同于portal的这种特性,实际使用中
12、往往采用下线不安全提示阈值的方案,对于安全检查不合格的用户通过下线将其放入“隔离区”。下面介绍一下portal EAD的常用组网。2.2.1 二层portal EAD如图所示,所谓二层portal即到portal设备的报文为带vlan-tag的二层报文。身份认证采用portal认证一般采用下线的方式即可实现将终端用户放入隔离区来实现EAD Portal设备的具体型号请参考EAD的版本说明书2.2.2 三层Portal EAD三层Portal即到Portal设备做认证的流量是IP报文,三层portal主要有如下两种组网:1. 策略路由方式如下图所示,Portal设备侧挂在网关上,由网关将需要po
13、rtal EAD认证的流量策略路由到Portal设备上做EAD认证,这种组网方式对现场改动小,策略灵活(仅将需要认证的流量策略路由到portal设备上,不需要认证的流量可以正常通过网关转发)组网说明身份认证采用portal认证一般采用下线的方式即可实现将终端用户放入隔离区来实现EAD Portal设备的具体型号请参考EAD的版本说明书网关设备需要支持策略路由终端用户与iMC之间不能有NAT终端用户到iMC的流量一定要经过portal设备,不能出现终端用户不经过portal设备直接访问iMC的情况,否则portal认证会异常。2. 串接方式如果网关设备不支持策略路由,可以将Portal设备串接在
14、网关与出口路由器之间。组网说明:身份认证采用portal认证一般采用下线的方式即可实现将终端用户放入隔离区来实现EAD Portal设备的具体型号请参考EAD的版本说明书终端用户与iMC之间不能有NAT终端用户到iMC的流量一定要经过portal设备,不能出现终端用户不经过portal设备直接访问iMC的情况,否则portal认证会异常。2.3 L2TP VPN EAD终端用户身份认证采用l2tp方式,EAD通过二次acl下发到安全联动网关来实现EAD。组网说明:终端用户采用l2tp方式做身份认证如果需要安全性防护可以采用l2tp over IPSec的方案二次acl下发均下发到安全联动VPN
15、网关上,网关的具体型号请参考EAD版本说明书2.4 无线EAD无线EAD目前只支持Portal方式的EAD,不支持基于802.1x认证方式的EAD。组网说明:AC除了完成AP的注册及控制外,同时起用portal认证一般采用下线的方式即可实现将终端用户放入隔离区来实现EAD 支持EADAC的具体型号请参考EAD的版本说明书终端用户与iMC之间不能有NAT终端用户到iMC的流量一定要经过portal设备,不能出现终端用户不经过portal设备直接访问iMC的情况,否则portal认证会异常。由于AC转发性能的考虑,用户的网关不要设在AC上3 工程界面说明一个典型的EAD解决方案实施包含如下四部分内
16、容,由于涉及到客户的具体业务及第三方的产品,有些内容需要客户配合完成。此处对EAD各部分内容部署时的工程分工界面说明如下:3.1 实施方负责完成的工作:1. 服务器操作系统及数据库安装2. iMC平台及各组件的安装及部署3. 账号方案建议4. EAD解决方案安全策略建议5. 与第三方厂家产品对接时iMC侧调试工作6. 安全联动设备EAD相关的配置及调试7. iNode部署方案建议8. 部署过程中问题解决9. EAD解决方案业务培训3.2 客户方负责完成的工作1. 提供符合EAD要求的服务器2. 提供正版的操作系统及数据库软件3. 提供开通EAD业务相关的资料,如账号信息,桌面资产编号。4. 在
17、与非H3C设备配合实现EAD时,对非H3C设备能协调提供必要的技术支持5. 在与第三方厂家产品如LDAP服务器对接时,提供这些产品的技术支持6. 配合完成iNode客户端的安装7. 具体业务(如开户,桌面资产管理、可控软件定义、软件补丁定义)的执行。4 测试方案为了保证业务软件产品安装后正常稳定的运行,需要进行相关的测试,测试的内容包括:4.1 iMC进程情况测试目的验证H3C iMC各进程启动后是否正常遵循标准无测试设计通过iMC部署监控代理各进程的运行情况测试条件1、 iMC服务器平台及相关组件已正常安装并部署;测试过程1、登陆iMC服务器2、在“开始”“程序”“H3C智能管理中心”“H3
18、C部署监控代理”中启动H3C部署监控代理3、在“监控”tab页面上点击“启动iMC”4、在进程而面观察所有进程是否都正常启动预期结果1、 所有进程启动正常其它说明和注意事项无实测结果OK POK NG NT4.2 iMC配置管理台测试目的验证H3C iMC配置管理台能否正常登陆遵循标准无测试设计通过web网页能否正常访问iMC配置管理台并进行相关配置测试条件1、iMC服务器平台及相关组件已正常安装并部署2、web浏览器所在的PC机与iMC服务器路由可达测试过程1、在web浏览器中输入http:/iMC_iP:80802、使用默认的admin/admin用户名及密码进行登陆预期结果1、可以正常的
19、登陆iMC的配置管理台2、可以配置相关的功能,无报错。其它说明和注意事项1、iMC默认的前台登陆端口为8080,此端口可以在安装时更改,请以实际的端口为准。2、如果该web浏览器第一次登陆,部分功能需要安装javaTM才能实现。实测结果OK POK NG NT4.3 iMC版本及license情况测试目的验证H3C iMC版本及license数量是否正确遵循标准无测试设计在系统的“帮助”“关于”中已正确显示iMC的版本及license数量测试条件1、iMC服务器平台及相关组件已正常安装并部署2、web浏览器所在的PC机与iMC服务器路由可达测试过程1、使用管理员(默认为admin/admin)
20、用户名及密码登陆iMC2、点击“帮助”“关于”察看iMC的版本及license情况预期结果1、已安装了正确的iMC版本2、已注册了正确的license及数量、有效期。其它说明和注意事项无实测结果OK POK NG NT以下测试例仅EAD使用4.4 EAD身份认证测试目的验证EAD身份认证是否正常遵循标准无测试设计EAD身份认证功能正常使用测试条件1、iMC服务器平台及UAM,EAD组件已正常安装并部署2、iMC中创建了相关的账号并申请了服务3、设备身份认证协议(802.1x/portal/l2tp)相关配置正确4、iNode客户端已安装测试过程1、在iNode客户端中创建相关的认证连接并认证预
21、期结果1、身份认证成功其它说明和注意事项无实测结果OK POK NG NT4.5 EAD安全检查测试目的验证EAD安全检查是否正常遵循标准无测试设计EAD安全检查功能正常使用测试条件1、iMC服务器平台及UAM,EAD组件已正常安装并部署2、iMC中创建了相关的账号并申请了服务,服务中含有安全策略3、设备身份认证协议(802.1x/portal/l2tp)相关配置正确4、iNode客户端已安装测试过程1、在iNode客户端中创建相关的认证连接并认证预期结果1、身份认证成功2、身份认证后iNode开始按iMC服务器上是策略进行安全检查。其它说明和注意事项无实测结果OK POK NG NT注:验收结论说明:OK:验收结果全部正确POK:验收结果大部分正确NG:验收结果有较大的错误NT:由于各种原因本次无法验收
