XXXXXXXXX网络改造项目工程实施方案
V1.0
2010年7月
1 客户网络情况调查(可选)
1.1 概述
青海黄河鑫业水电网络项目(EAD部分)实施,本次主要实施为IMC平台部署、客户端安装、双机备份部署,以及对用户方的培训工作。
1.2 账号情况
此处请检查EAD的license是否够用
⏹账号数不是指在线用户数,而是在iMC EAD中开户的数量
⏹如果账号是从LDAP服务器中同步过来的,需要确保同步的LDAP服务器中的用户数小于iMC
EAD的license数。
⏹iMC EAD的license数目以客户实际购买数量为准。
1.3 网络设备情况
此处仅统计与EAD相关做身份认证的设备情况
1.4 终端操作系统情况
此处仅统计需要安装iNode客户端做EAD认证的用户。
常见的操作系统有:widnows,linux,MacOS等
1.5 终端操作系统杀毒软件情况
1.6 服务器情况
如果有多个服务器,请添加多行
Raid请填写该服务器是否有Raid卡,radi卡大小是多少。
1.7 操作系统及数据库情况
数据库是否正版正版
产品是否安装在虚拟机上否
产品是否专机专用是
⏹为了保障业务软件产品的正常运行,请确保现场的操作系统及数据库为正版
⏹常见的虚拟机有Vmware等
⏹为了保障业务软件产品的正常运行,要求服务器服务器专机专用,除了业务软件产品及必要杀
毒软件外,不能安排其它厂家的软件产品。
2 EAD组网方案选择
根据客户的网络情况,选择合适的EAD组网方案。
2.1 802.1xEAD典型组网
2.1.1 推荐的组网:
1. 接入层交换机二次acl下发方式
组网说明:
⏹802.1x认证起在接入层交换机上
⏹采用二次ACL下发的方式(隔离acl,安全acl)来实现对安全检查不合格的用户进行隔离,对安全检
查合格的用户放行
⏹由于是二次acl下发的方式,要求接入层交换机为H3C交换机(具体的交换机型号请参考EAD的产
品版本配套表)
⏹控制点低,控制严格(采用802.1x认证方式,接入用户未通过认证前无法访问任何网络资源)
⏹由于802.1x控制非常严格,非通过认证的用户无法访问任何网络资源,但有些场景下用户需要用户
未认证前能访问一些服务器,如DHCP,DNS,AD(active directory域控),此时可以通过H3C交换机的EAD快速部署物性来实现,关于该特性的具体描述请参考:
⏹为确保性能,iMC EAD一般要求分布式部署
2. 客户端acl方式
对于不支持二次acl下发的交换机(我司部分设备及所有第三方厂家交换机),可以通过使用iNode 的客户端acl功能来实现隔离区的构造,即将原本下发到设备上的acl下发到iNode客户端上。
组网说明:
⏹802.1x认证起在接入层交换机上(要求接入层交换机对802.1x协议有很好的支持),控制点低,控
制严格
⏹终端用户DHCP或静态IP地址均可
⏹二次acl下发到iNode客户端上,隔离区构造方便。
⏹二次acl下发需要iNode定制“客户端acl特性”,该特性需要iNode安装额外的驱动,对终端操作
系统的稳定性有较高的要求。
⏹对于802.1x起在第三方厂家交换机上的场景,要求客户能提供或协调提供第三方厂家能的技术支持。
3. 下线+不安全提示阈值方式
在接入层设备不是H3C交换机的情况下,由于设备不支持二次acl下发无法采用二次acl下发的方式来构造隔离区,此时可以通过下线+不安全提示阈值的方式来模拟构造隔离区,实现EAD功能。具体实现为:用户安全检查不合格时,EAD不立即将终端用户下线而是给出一定的修复时间(不安全提示阈值),终端用户可以如果在该时间内完成的安全策略修复则可以正常通过EAD认证访问网络,如果在该时间内未完成安全策略修复则被下线。
组网说明:
⏹802.1x认证起在接入层交换机上(要求接入层交换机对802.1x协议有很好的支持),控制点低,控
制严格
⏹终端用户DHCP或静态IP地址均可
⏹采用下线+不安全提示阈值方式认证过程简单,稳定。
⏹由于终端用户在不安全时在“不安全提示阈值”时间内与安全用户访问网络的权限是一样的,安全性
上不如二次acl下发方式好。
2.1.2 不推荐的组网
1. 汇聚层80
2.1xEAD
在下面的场景中,由于网络中的接入层交换机不支持802.1x认证,而H3C交换机又是基于MAC来认证的,于是容易产生如下图所示的将一台支持802.1xEAD的H3C交换机放到汇聚层,下面接不支持802.1x 认证的交换机或hub的方案,这种方案在实际使用中是不推荐的,主要原因如下:
⏹802.1x本身是一个接入层的概念,H3C交换机做EAD的acl资源多是基于接入层设计的,如果把交
换机放在汇聚层,下面接的用户过多,很容易出现acl资源不足导致用户无法上线的问题
⏹终端用户认证通过后需要与认证交换机维护802.1x握手(eap报文),由交换机在汇聚层与终端用户
隔了一层或几层的第三方厂家交换机,这些厂家的交换机不支持802.1x,容易将eap报文过滤掉从而造成终端用户认证后掉线
⏹认证交换机放在汇聚层,终端用户与认证交换机之间是共享域,在其中往往充斥着大量的广播报文,
802.1x是eap报文,无论是PC的网卡还是交换机对其处理的优先级都不高,在流量大的时候容易被网卡或交换机丢弃从而造成用户认证后掉线。
下面的场景建议使用portal EAD方式.(需要增加portal设备)
2. guest-vlan方式
guest-vlan技术简介:由于802.1x协议控制非常严格,用户认证前无法访问任何网络资源。如果客户在未通过802.1x认证前也需要访问一些网络资源,可以通过guest-vlan来实现。端口配置了guest-vlan后,用户默认属于guest-vlan,可以访问guest-vlan的资源,用户802.1x认证后用户切换到正常vlan,可以访问正常vlan的资源,一般情况下在guest-vlan下会放置文件服务器,DHCP服务器等提供基本的网络服务。
由于guest-vlan是一个天然的隔离区,技术上可以通过guest-vlan+下线的方式来实现EAD,即用户安全检查合格后切换到正常vlan,如果安全检查不合格则将用户下线,用户切换回guest-vlan,只能访问guest-vlan能的相关病毒、补丁服务器来修复安全策略。
