XX网络改造项目工程实施方案.docx
- 文档编号:14484267
- 上传时间:2023-06-23
- 格式:DOCX
- 页数:20
- 大小:593.30KB
XX网络改造项目工程实施方案.docx
《XX网络改造项目工程实施方案.docx》由会员分享,可在线阅读,更多相关《XX网络改造项目工程实施方案.docx(20页珍藏版)》请在冰点文库上搜索。
XX网络改造项目工程实施方案
XXXXXXXXX网络改造项目
工程实施方案
V1.0
2010年7月
1客户网络情况调查(可选)
1.1概述
青海黄河鑫业水电网络项目(EAD部分)实施,本次主要实施为IMC平台部署、客户端安装、双机备份部署,以及对用户方的培训工作。
1.2账号情况
此处请检查EAD的license是否够用
客户网络中的帐号数
iMCEAD的license数目
350(一期)
700
⏹账号数不是指在线用户数,而是在iMC EAD中开户的数量
⏹如果账号是从LDAP服务器中同步过来的,需要确保同步的LDAP服务器中的用户数小于iMCEAD的license数。
⏹iMCEAD的license数目以客户实际购买数量为准。
1.3网络设备情况
此处仅统计与EAD相关做身份认证的设备情况
厂家
设备型号
版本
备注
H3C
5120EI
5.202202P06
24台(一期)
1.4终端操作系统情况
此处仅统计需要安装iNode客户端做EAD认证的用户。
操作系统
版本
备注
Windows
XPSP2
Windsows
7.0
⏹常见的操作系统有:
widnows,linux,MacOS等
1.5终端操作系统杀毒软件情况
厂家
产品型号
版本
备注
卡巴斯基
卡巴斯基(网络版)
V6.0加强
1.6服务器情况
编号
厂家
CPU
内存
磁盘空间
Raid
备注
服务器1
IBM3650
E55202.27G
4G
300G
RAID1
如果有多个服务器,请添加多行
Raid请填写该服务器是否有Raid卡,radi卡大小是多少。
1.7操作系统及数据库情况
项目
内容
备注
操作系统版本及补丁
Windowsserver2008
操作系统是否正版本
正版
数据库版本及补丁
SQLserver2008
数据库是否正版
正版
产品是否安装在虚拟机上
否
产品是否专机专用
是
⏹为了保障业务软件产品的正常运行,请确保现场的操作系统及数据库为正版
⏹常见的虚拟机有Vmware等
⏹为了保障业务软件产品的正常运行,要求服务器服务器专机专用,除了业务软件产品及必要杀毒软件外,不能安排其它厂家的软件产品。
2EAD组网方案选择
根据客户的网络情况,选择合适的EAD组网方案。
2.1802.1xEAD典型组网
2.1.1推荐的组网:
1.接入层交换机二次acl下发方式
组网说明:
⏹802.1x认证起在接入层交换机上
⏹采用二次ACL下发的方式(隔离acl,安全acl)来实现对安全检查不合格的用户进行隔离,对安全检查合格的用户放行
⏹由于是二次acl下发的方式,要求接入层交换机为H3C交换机(具体的交换机型号请参考EAD的产品版本配套表)
⏹控制点低,控制严格(采用802.1x认证方式,接入用户未通过认证前无法访问任何网络资源)
⏹由于802.1x控制非常严格,非通过认证的用户无法访问任何网络资源,但有些场景下用户需要用户未认证前能访问一些服务器,如DHCP,DNS,AD(activedirectory域控),此时可以通过H3C交换机的EAD快速部署物性来实现,关于该特性的具体描述请参考:
/kms/search/view.html?
id=14452
⏹为确保性能,iMCEAD一般要求分布式部署
2.客户端acl方式
对于不支持二次acl下发的交换机(我司部分设备及所有第三方厂家交换机),可以通过使用iNode的客户端acl功能来实现隔离区的构造,即将原本下发到设备上的acl下发到iNode客户端上。
组网说明:
⏹802.1x认证起在接入层交换机上(要求接入层交换机对802.1x协议有很好的支持),控制点低,控制严格
⏹终端用户DHCP或静态IP地址均可
⏹二次acl下发到iNode客户端上,隔离区构造方便。
⏹二次acl下发需要iNode定制“客户端acl特性”,该特性需要iNode安装额外的驱动,对终端操作系统的稳定性有较高的要求。
⏹对于802.1x起在第三方厂家交换机上的场景,要求客户能提供或协调提供第三方厂家能的技术支持。
3.下线+不安全提示阈值方式
在接入层设备不是H3C交换机的情况下,由于设备不支持二次acl下发无法采用二次acl下发的方式来构造隔离区,此时可以通过下线+不安全提示阈值的方式来模拟构造隔离区,实现EAD功能。
具体实现为:
用户安全检查不合格时,EAD不立即将终端用户下线而是给出一定的修复时间(不安全提示阈值),终端用户可以如果在该时间内完成的安全策略修复则可以正常通过EAD认证访问网络,如果在该时间内未完成安全策略修复则被下线。
组网说明:
⏹802.1x认证起在接入层交换机上(要求接入层交换机对802.1x协议有很好的支持),控制点低,控制严格
⏹终端用户DHCP或静态IP地址均可
⏹采用下线+不安全提示阈值方式认证过程简单,稳定。
⏹由于终端用户在不安全时在“不安全提示阈值”时间内与安全用户访问网络的权限是一样的,安全性上不如二次acl下发方式好。
2.1.2不推荐的组网
1.汇聚层802.1xEAD
在下面的场景中,由于网络中的接入层交换机不支持802.1x认证,而H3C交换机又是基于MAC来认证的,于是容易产生如下图所示的将一台支持802.1xEAD的H3C交换机放到汇聚层,下面接不支持802.1x认证的交换机或hub的方案,这种方案在实际使用中是不推荐的,主要原因如下:
⏹802.1x本身是一个接入层的概念,H3C交换机做EAD的acl资源多是基于接入层设计的,如果把交换机放在汇聚层,下面接的用户过多,很容易出现acl资源不足导致用户无法上线的问题
⏹终端用户认证通过后需要与认证交换机维护802.1x握手(eap报文),由交换机在汇聚层与终端用户隔了一层或几层的第三方厂家交换机,这些厂家的交换机不支持802.1x,容易将eap报文过滤掉从而造成终端用户认证后掉线
⏹认证交换机放在汇聚层,终端用户与认证交换机之间是共享域,在其中往往充斥着大量的广播报文,802.1x是eap报文,无论是PC的网卡还是交换机对其处理的优先级都不高,在流量大的时候容易被网卡或交换机丢弃从而造成用户认证后掉线。
下面的场景建议使用portalEAD方式.(需要增加portal设备)
2.guest-vlan方式
guest-vlan技术简介:
由于802.1x协议控制非常严格,用户认证前无法访问任何网络资源。
如果客户在未通过802.1x认证前也需要访问一些网络资源,可以通过guest-vlan来实现。
端口配置了guest-vlan后,用户默认属于guest-vlan,可以访问guest-vlan的资源,用户802.1x认证后用户切换到正常vlan,可以访问正常vlan的资源,一般情况下在guest-vlan下会放置文件服务器,DHCP服务器等提供基本的网络服务。
由于guest-vlan是一个天然的隔离区,技术上可以通过guest-vlan+下线的方式来实现EAD,即用户安全检查合格后切换到正常vlan,如果安全检查不合格则将用户下线,用户切换回guest-vlan,只能访问guest-vlan能的相关病毒、补丁服务器来修复安全策略。
guest-vlan一个突出的优点是用户认证前即可以访问部分网络资源,可以完成下载认证客户端等操作.但限制也较大,实际使用中建议优先采用portal方式或下线+不安全提示阈值的方式来实现EAD。
⏹由于用户认证前属于guest-vlan,认证后需要切换到正常vlan,要求终端用户地址采用DHCP方式,不能采用静态IP
⏹用户认证属要从guest-vlan切换到正常vlan,下线后又要从正常vlan切换到guest-vlan.整个过程涉及到两次IP地址的release及renew,比较复杂,容易出现地址获取不正确等不稳定问题。
⏹guest-vlan要求第三方厂家设备对guest-vlan有很好的支持,由于guest-vlan应用不多,各个厂家各个版本实现不一致,实施过程中出了问题很难得到有效技术支持。
2.2PortalEAD典型组网
Portal本身就是一个天然的隔离区,即未通过认证的用户访问的网络资源是受限的,通过认证的用户可以正常的访问网络。
同于portal的这种特性,实际使用中往往采用下线+不安全提示阈值的方案,对于安全检查不合格的用户通过下线将其放入“隔离区”。
下面介绍一下portalEAD的常用组网。
2.2.1二层portalEAD
如图所示,所谓二层portal即到portal设备的报文为带vlan-tag的二层报文。
⏹身份认证采用portal认证
⏹一般采用下线的方式即可实现将终端用户放入隔离区来实现EAD
⏹Portal设备的具体型号请参考EAD的版本说明书
2.2.2三层PortalEAD
三层Portal即到Portal设备做认证的流量是IP报文,三层portal主要有如下两种组网:
1.策略路由方式
如下图所示,Portal设备侧挂在网关上,由网关将需要portalEAD认证的流量策略路由到Portal设备上做EAD认证,这种组网方式对现场改动小,策略灵活(仅将需要认证的流量策略路由到portal设备上,不需要认证的流量可以正常通过网关转发)
组网说明
⏹身份认证采用portal认证
⏹一般采用下线的方式即可实现将终端用户放入隔离区来实现EAD
⏹Portal设备的具体型号请参考EAD的版本说明书
⏹网关设备需要支持策略路由
⏹终端用户与iMC之间不能有NAT
⏹终端用户到iMC的流量一定要经过portal设备,不能出现终端用户不经过portal设备直接访问iMC的情况,否则portal认证会异常。
2.串接方式
如果网关设备不支持策略路由,可以将Portal设备串接在网关与出口路由器之间。
组网说明:
⏹身份认证采用portal认证
⏹一般采用下线的方式即可实现将终端用户放入隔离区来实现EAD
⏹Portal设备的具体型号请参考EAD的版本说明书
⏹终端用户与iMC之间不能有NAT
⏹终端用户到iMC的流量一定要经过portal设备,不能出现终端用户不经过portal设备直接访问iMC的情况,否则portal认证会异常。
2.3L2TPVPNEAD
终端用户身份认证采用l2tp方式,EAD通过二次acl下发到安全联动网关来实现EAD。
组网说明:
⏹终端用户采用l2tp方式做身份认证
⏹如果需要安全性防护可以采用l2tpoverIPSec的方案
⏹二次acl下发均下发到安全联动VPN网关上,网关的具体型号请参考EAD版本说明书
2.4无线EAD
无线EAD目前只支持Portal方式的EAD,不支持基于802.1x认证方式的EAD。
组网说明:
⏹AC除了完成AP的注册及控制外,同时起用portal认证
⏹一般采用下线的方式即可实现将终端用户放入隔离区来实现EAD
⏹支持EAD AC的具体型号请参考EAD的版本说明书
⏹终端用户与iMC之间不能有NAT
⏹终端用户到iMC的流量一定要经过portal设备,不能出现终端用户不经过portal设备直接访问iMC的情况,否则portal认证会异常。
⏹由于AC转发性能的考虑,用户的网关不要设在AC上
3工程界面说明
一个典型的EAD解决方案实施包含如下四部分内容,由于涉及到客户的具体业务及第三方的产品,有些内容需要客户配合完成。
此处对EAD各部分内容部署时的工程分工界面说明如下:
3.1实施方负责完成的工作:
1.服务器操作系统及数据库安装
2.iMC平台及各组件的安装及部署
3.账号方案建议
4.EAD解决方案安全策略建议
5.与第三方厂家产品对接时iMC侧调试工作
6.安全联动设备EAD相关的配置及调试
7.iNode部署方案建议
8.部署过程中问题解决
9.EAD解决方案业务培训
3.2客户方负责完成的工作
1.提供符合EAD要求的服务器
2.提供正版的操作系统及数据库软件
3.提供开通EAD业务相关的资料,如账号信息,桌面资产编号。
4.在与非H3C设备配合实现EAD时,对非H3C设备能协调提供必要的技术支持
5.在与第三方厂家产品如LDAP服务器对接时,提供这些产品的技术支持
6.配合完成iNode客户端的安装
7.具体业务(如开户,桌面资产管理、可控软件定义、软件补丁定义)的执行。
4测试方案
为了保证业务软件产品安装后正常稳定的运行,需要进行相关的测试,测试的内容包括:
4.1iMC进程情况
测试目的
验证H3CiMC各进程启动后是否正常
遵循标准
无
测试设计
通过iMC部署监控代理各进程的运行情况
测试条件
1、iMC服务器平台及相关组件已正常安装并部署;
测试过程
1、登陆iMC服务器
2、在“开始”-“程序”-“H3C智能管理中心”-“H3C部署监控代理”中启动H3C部署监控代理
3、在“监控”tab页面上点击“启动iMC”
4、在进程而面观察所有进程是否都正常启动
预期结果
1、所有进程启动正常
其它说明和注意事项
无
实测结果
❑OK❑POK❑NG❑NT
4.2iMC配置管理台
测试目的
验证H3CiMC配置管理台能否正常登陆
遵循标准
无
测试设计
通过web网页能否正常访问iMC配置管理台并进行相关配置
测试条件
1、iMC服务器平台及相关组件已正常安装并部署
2、web浏览器所在的PC机与iMC服务器路由可达
测试过程
1、在web浏览器中输入http:
//iMC_iP:
8080
2、使用默认的admin/admin用户名及密码进行登陆
预期结果
1、可以正常的登陆iMC的配置管理台
2、可以配置相关的功能,无报错。
其它说明和注意事项
1、iMC默认的前台登陆端口为8080,此端口可以在安装时更改,请以实际的端口为准。
2、如果该web浏览器第一次登陆,部分功能需要安装javaTM才能实现。
实测结果
❑OK❑POK❑NG❑NT
4.3iMC版本及license情况
测试目的
验证H3CiMC版本及license数量是否正确
遵循标准
无
测试设计
在系统的“帮助”-“关于”中已正确显示iMC的版本及license数量
测试条件
1、iMC服务器平台及相关组件已正常安装并部署
2、web浏览器所在的PC机与iMC服务器路由可达
测试过程
1、使用管理员(默认为admin/admin)用户名及密码登陆iMC
2、点击“帮助”-“关于”察看iMC的版本及license情况
预期结果
1、已安装了正确的iMC版本
2、已注册了正确的license及数量、有效期。
其它说明和注意事项
无
实测结果
❑OK❑POK❑NG❑NT
以下测试例仅EAD使用
4.4EAD身份认证
测试目的
验证EAD身份认证是否正常
遵循标准
无
测试设计
EAD身份认证功能正常使用
测试条件
1、iMC服务器平台及UAM,EAD组件已正常安装并部署
2、iMC中创建了相关的账号并申请了服务
3、设备身份认证协议(802.1x/portal/l2tp)相关配置正确
4、iNode客户端已安装
测试过程
1、在iNode客户端中创建相关的认证连接并认证
预期结果
1、身份认证成功
其它说明和注意事项
无
实测结果
❑OK❑POK❑NG❑NT
4.5EAD安全检查
测试目的
验证EAD安全检查是否正常
遵循标准
无
测试设计
EAD安全检查功能正常使用
测试条件
1、iMC服务器平台及UAM,EAD组件已正常安装并部署
2、iMC中创建了相关的账号并申请了服务,服务中含有安全策略
3、设备身份认证协议(802.1x/portal/l2tp)相关配置正确
4、iNode客户端已安装
测试过程
1、在iNode客户端中创建相关的认证连接并认证
预期结果
1、身份认证成功
2、身份认证后iNode开始按iMC服务器上是策略进行安全检查。
其它说明和注意事项
无
实测结果
❑OK❑POK❑NG❑NT
注:
验收结论说明:
OK:
验收结果全部正确
POK:
验收结果大部分正确
NG:
验收结果有较大的错误
NT:
由于各种原因本次无法验收
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- XX 网络 改造 项目 工程 实施方案
![提示](https://static.bingdoc.com/images/bang_tan.gif)