H3C EAD工程实施方案模板.doc

XXEAD项目工程实施方案XXXEAD项目工程实施方案V1.0杭州华三通信技术有限公司2009年9月注： “必选”为必须包含的章节，内容自定，“可选”为不需要时可删除的章节。蓝色字体为举例，正式方案中不应出现“必选”、“可选”等字样和蓝色字体。1 客户网络情况调查（可选）1.1 概述此处用于对客户的网络情况进行简要的描述，如局点名称，多少用户，有哪些设备等。1.2 账号情况此处请检查EAD的license是否够用客户网络中的帐号数iMC EAD的license数目n 账号数不是指在线用户数，而是在iMCEAD中开户的数量n 如果账号是从LDAP服务器中同步过来的，需要确保同步的LDAP服务器中的用户数小于iMC EAD的license数。n iMC EAD的license数目以客户实际购买数量为准。1.3 网络设备情况此处仅统计与EAD相关做身份认证的设备情况厂家设备型号版本备注H3C3100EI3.10-R2108P01约50台1.4 组网信息1. 组网说明2. 组网图1.5 终端操作系统情况此处仅统计需要安装iNode客户端做EAD认证的用户。操作系统版本备注WindowsXPSP2LinuxRedhat ES 3.0n 常见的操作系统有：widnows,linux,MacOS等1.6 终端操作系统杀毒软件情况厂家产品型号版本备注NortonSymantec Antivirus V000金山金山毒霸网络版2.01.7 服务器情况编号厂家CPU内存磁盘空间Raid备注服务器服务器N如果有多个服务器，请添加多行Raid请填写该服务器是否有Raid卡，radi卡大小是多少。1.8 操作系统及数据库情况项目内容备注操作系统版本及补丁操作系统是否正版本数据库版本及补丁数据库是否正版产品是否安装在虚拟机上产品是否专机专用n 为了保障业务软件产品的正常运行，请确保现场的操作系统及数据库为正版n 常见的虚拟机有Vmware等n 为了保障业务软件产品的正常运行，要求服务器服务器专机专用，除了业务软件产品及必要杀毒软件外，不能安排其它厂家的软件产品。2 EAD组网方案选择（必选）根据客户的网络情况，选择合适的EAD组网方案。2.1 802.1xEAD典型组网2.1.1 推荐的组网：1. 接入层交换机二次acl下发方式组网说明：n 802.1x认证起在接入层交换机上n 采用二次ACL下发的方式（隔离acl,安全acl）来实现对安全检查不合格的用户进行隔离，对安全检查合格的用户放行n 由于是二次acl下发的方式，要求接入层交换机为H3C交换机（具体的交换机型号请参考EAD的产品版本配套表）n 控制点低，控制严格（采用802.1x认证方式，接入用户未通过认证前无法访问任何网络资源）n 由于802.1x控制非常严格，非通过认证的用户无法访问任何网络资源，但有些场景下用户需要用户未认证前能访问一些服务器，如DHCP,DNS,AD(active directory域控)，此时可以通过H3C交换机的EAD快速部署物性来实现，关于该特性的具体描述请参考：/kms/kms/search/view.html?id=14452n 为确保性能，iMC EAD一般要求分布式部署2. 客户端acl方式对于不支持二次acl下发的交换机（我司部分设备及所有第三方厂家交换机），可以通过使用iNode的客户端acl功能来实现隔离区的构造，即将原本下发到设备上的acl下发到iNode客户端上。组网说明：n 802.1x认证起在接入层交换机上（要求接入层交换机对802.1x协议有很好的支持），控制点低，控制严格n 终端用户DHCP或静态IP地址均可n 二次acl下发到iNode客户端上，隔离区构造方便。n 二次acl下发需要iNode定制“客户端acl特性”，该特性需要iNode安装额外的驱动，对终端操作系统的稳定性有较高的要求。n 对于802.1x起在第三方厂家交换机上的场景，要求客户能提供或协调提供第三方厂家能的技术支持。3. 下线不安全提示阈值方式在接入层设备不是H3C交换机的情况下，由于设备不支持二次acl下发无法采用二次acl下发的方式来构造隔离区，此时可以通过下线不安全提示阈值的方式来模拟构造隔离区，实现EAD功能。具体实现为：用户安全检查不合格时，EAD不立即将终端用户下线而是给出一定的修复时间（不安全提示阈值），终端用户可以如果在该时间内完成的安全策略修复则可以正常通过EAD认证访问网络，如果在该时间内未完成安全策略修复则被下线。组网说明：n 802.1x认证起在接入层交换机上（要求接入层交换机对802.1x协议有很好的支持），控制点低，控制严格n 终端用户DHCP或静态IP地址均可n 采用下线不安全提示阈值方式认证过程简单，稳定。n 由于终端用户在不安全时在“不安全提示阈值”时间内与安全用户访问网络的权限是一样的，安全性上不如二次acl下发方式好。2.1.2 不推荐的组网1. 汇聚层802.1xEAD在下面的场景中，由于网络中的接入层交换机不支持802.1x认证，而H3C交换机又是基于MAC来认证的，于是容易产生如下图所示的将一台支持802.1xEAD的H3C交换机放到汇聚层，下面接不支持802.1x认证的交换机或hub的方案，这种方案在实际使用中是不推荐的，主要原因如下：n 802.1x本身是一个接入层的概念，H3C交换机做EAD的acl资源多是基于接入层设计的，如果把交换机放在汇聚层，下面接的用户过多，很容易出现acl资源不足导致用户无法上线的问题n 终端用户认证通过后需要与认证交换机维护802.1x握手（eap报文），由交换机在汇聚层与终端用户隔了一层或几层的第三方厂家交换机， 这些厂家的交换机不支持802.1x,容易将eap报文过滤掉从而造成终端用户认证后掉线n 认证交换机放在汇聚层，终端用户与认证交换机之间是共享域，在其中往往充斥着大量的广播报文，802.1x是eap报文，无论是PC的网卡还是交换机对其处理的优先级都不高，在流量大的时候容易被网卡或交换机丢弃从而造成用户认证后掉线。下面的场景建议使用portal EAD方式.(需要增加portal设备)2. guest-vlan方式guest-vlan技术简介：由于802.1x协议控制非常严格，用户认证前无法访问任何网络资源。如果客户在未通过802.1x认证前也需要访问一些网络资源，可以通过guest-vlan来实现。端口配置了guest-vlan后，用户默认属于guest-vlan，可以访问guest-vlan的资源，用户802.1x认证后用户切换到正常vlan,可以访问正常vlan的资源，一般情况下在guest-vlan下会放置文件服务器，DHCP服务器等提供基本的网络服务。由于guest-vlan是一个天然的隔离区，技术上可以通过guest-vlan下线的方式来实现EAD，即用户安全检查合格后切换到正常vlan,如果安全检查不合格则将用户下线，用户切换回guest-vlan,只能访问guest-vlan能的相关病毒、补丁服务器来修复安全策略。guest-vlan一个突出的优点是用户认证前即可以访问部分网络资源，可以完成下载认证客户端等操作.但限制也较大，实际使用中建议优先采用portal方式或下线不安全提示阈值的方式来实现EAD。n 由于用户认证前属于guest-vlan,认证后需要切换到正常vlan,要求终端用户地址采用DHCP方式，不能采用静态IPn 用户认证属要从guest-vlan切换到正常vlan,下线后又要从正常vlan切换到guest-vlan.整个过程涉及到两次IP地址的release及renew,比较复杂，容易出现地址获取不正确等不稳定问题。n guest-vlan要求第三方厂家设备对guest-vlan有很好的支持，由于guest-vlan应用不多，各个厂家各个版本实现不一致，实施过程中出了问题很难得到有效技术支持。2.2 Portal EAD典型组网Portal本身就是一个天然的隔离区,即未通过认证的用户访问的网络资源是受限的，通过认证的用户可以正常的访问网络。同于portal的这种特性，实际使用中往往采用下线不安全提示阈值的方案，对于安全检查不合格的用户通过下线将其放入“隔离区”。下面介绍一下portal EAD的常用组网。2.2.1 二层portal EAD如图所示，所谓二层portal即到portal设备的报文为带vlan-tag的二层报文。n 身份认证采用portal认证n 一般采用下线的方式即可实现将终端用户放入隔离区来实现EAD n Portal设备的具体型号请参考EAD的版本说明书2.2.2 三层Portal EAD三层Portal即到Portal设备做认证的流量是IP报文，三层portal主要有如下两种组网：1. 策略路由方式如下图所示，Portal设备侧挂在网关上，由网关将需要portal EAD认证的流量策略路由到Portal设备上做EAD认证，这种组网方式对现场改动小，策略灵活（仅将需要认证的流量策略路由到portal设备上，不需要认证的流量可以正常通过网关转发）组网说明n 身份认证采用portal认证n 一般采用下线的方式即可实现将终端用户放入隔离区来实现EAD n Portal设备的具体型号请参考EAD的版本说明书n 网关设备需要支持策略路由n 终端用户与iMC之间不能有NATn 终端用户到iMC的流量一定要经过portal设备，不能出现终端用户不经过portal设备直接访问iMC的情况，否则portal认证会异常。2. 串接方式如果网关设备不支持策略路由，可以将Portal设备串接在网关与出口路由器之间。组网说明：n 身份认证采用portal认证n 一般采用下线的方式即可实现将终端用户放入隔离区来实现EAD n Portal设备的具体型号请参考EAD的版本说明书n 终端用户与iMC之间不能有NATn 终端用户到iMC的流量一定要经过portal设备，不能出现终端用户不经过portal设备直接访问iMC的情况，否则portal认证会异常。2.3 L2TP VPN EAD终端用户身份认证采用l2tp方式,EAD通过二次acl下发到安全联动网关来实现EAD。组网说明：n 终端用户采用l2tp方式做身份认证n 如果需要安全性防护可以采用l2tp over IPSec的方案n 二次acl下发均下发到安全联动VPN网关上，网关的具体型号请参考EAD版本说明书2.4 无线EAD无线EAD目前只支持Portal方式的EAD，不支持基于802.1x认证方式的EAD。组网说明：n AC除了完成AP的注册及控制外，同时起用portal认证n 一般采用下线的方式即可实现将终端用户放入隔离区来实现EAD n 支持EADAC的具体型号请参考EAD的版本说明书n 终端用户与iMC之间不能有NATn 终端用户到iMC的流量一定要经过portal设备，不能出现终端用户不经过portal设备直接访问iMC的情况，否则portal认证会异常。n 由于AC转发性能的考虑，用户的网关不要设在AC上3 与组网相关的EAD特性制订（可选）3.1 设备支持身份认证协议能力检查EAD认证过程分为身份认证与安全认证两部分，目前支持的身份认证协议有802.1x,portal,l2tp三种。同时设备与iMC UAM要交互raidus。这四种协议与设备相关，需要设备对这些协调有良好的支持才能保证EAD解决方案的稳定运行。portal是我司私有协议，目前只有我司设备支持，所以不存在稳定性问题。l2tp是标准协议，但l2tp下的EAD目前也只有我司设备可以实现，所以也不存在稳定性问题。802.1x下的EAD只需要设备支持802.1x及radius就可以实现EAD的大部分功能，由于802.1x协议及radius协议均是标准协议，大部分厂家都支持，所以这部分要重点关注。目前经过验证与EAD配合较好的交换机有我司，cisco及锐捷的部分交换机产品，其它产品还未配套过。配套过的产品型号及版本情况请查看iMC EAD的产品版本配套表。在与未配套过的交换机产品做802.1x EAD及请重点关注设备对802.1x协议及radius的支持，建议这种场景最好改为Portal认证，如果无法更改，则请联系二线以便推动研发做适配测试，同时要求客户能提供对这些交换机的技术支持，以便在实施时能及时解决问题。3.2 设备acl资源是否够用检查EAD的精髓在于能隔离不安全的用户，前面EAD的典型组网中也有介绍，EAD隔离区的构造主要有以下几种方案： n 二次acl下发到设备构造隔离区n 二次acl下发到iNode客户端构造隔离区n portal的天然隔离区n guest-vlan构造隔离区二次acl下发到设备构造隔离区是比较常用的方式，这种方案需要设备支持acl同时支持二次acl下发（即支持EAD的交换机），关于设备是否支持二次ACL下发可以查看iMC EAD的产品版本配套表。这时需要重点检查客户的所需的隔离acl条数，安全acl条数，检查这此acl条数乘以设备的最大在线用户数是否会超过设备的acl资源（关于不同设备的acl资源请参考设备的相关资料），否则会因为acl资源不足导致客户端不能上线。3.3 与第三方LDAP服务器对接检查如果iMC需要与第三方LDAP服务器如（微软的AD）对接以便同步用户名。则需要检查以下两项n 该LDAP服务器是否与EAD配套过。与EAD配套的LDAP服务器可以从iMC EAD的版本说明书中查询到。n iMC EAD同步LDAP服务器上某个OU下的用户，则用户需要提供该OU下具有管理员权限的管理员DN及密码。n 如果该LDAP服务器未与EAD配套，由于LDAP是标准协议，只要该服务器对LDAPV3版本有良好的支持，一般情况下也可以对接成功，这需要实际测试，或者联系二线组织验证。3.4 iNode安装环境检查iNode的版本说明书中有最新的对操作系统的支持情况，请对照iNode的版本说明书同时对照1.5节统计的操作系统情况，检查是否符合iNode的安装要求。iNode目前已经明确不支持windows 98的环境，如果客户网络中有windows98的环境，目前的处理方式有如下几种：n 将这部分windows 98改为windows XPn 这部分PC配置为不认证或免认证n 安装早期版本的inode客户端，只做身份认证。linux客户端目前还不支持EAD，但支持802.1x身份认证.目前linux客户端适配的操作系统版本有限，如果现场的操作系统未适配过请提前联系二线确认是否支持。关于与iNode适配过的linux操作系统详细情况请参考iNode的产品版本配套表。同时Linux客户端目前使用上存在一些限制，如不支持DHCP环境等，详见iNode的版本说明书MAC OS客户端目前还不支持EAD，但支持802.1x身份认证,3.5 iNode与防病毒软件适配情况检查iNode与防病毒软件的联动功能对防病毒软件的版本有要求，具体支持的防病毒软件厂家、产品及版本请见iNode的版本说明书请对照1.6节检查客户网络中的防病毒软件版本是否与iNode配套，如未配套请及时提交需求电子流推动研发进行适配或采用可控软件的方式时行规避。3.6 业务软件产品部署方式确认请对照H3C智能管理中心部署和硬件配置方案确认部署方案，关于H3C智能管理中心部署和硬件配置方案可以从如下位置下载。/01-IP网络产品/30-业务软件/iMC/文档中心/开局篇/服务器编号配置操作系统数据库业务软件产品版本IP地址备注3.7 inode管理中心部署方案确认iNode管理中心目前只支持安装在windows操作系统上。具体的操作系统版本请参考iNode最新的版本说明书理论上iNode管理中心只要安装在终端用户可访问的服务器上即可，实际部署为了节省服务器往往与iMC 服务器安装在一起，具体分为如下几种情况：如果iMC EAD服务器为单机，iNode管理中心可以与EAD服务器安装在一起以节省服务器资源。如果iMC EAD为dbman冷备，推荐安装在冷备机上，因为iNode管理中心升级往往会重启服务器，安装在EAD备机可以最大程度上减少因服务器重启对终端用户认证的影响。如果iMC EAD为双机热备，请将iNode管理中心安装在节点1及节点2的本地（即两个节点都安装）而不要安装在存储资源上。如果iMC EAD为linux或solaris版本，iNode管理中心只能安装在其它的windows服务器上。3.8 iNode客户端部署方案确认iNode客户端安装简单，同时支持静默安装，客户完全有能力自行安装同时iNode客户端部署工作量巨大，为了降低EAD服务的成本，EAD解决方案服务产品中不包括iNode客户端安装的工作量。请在实施前向客户明确iNode客户端的具体安装由客户负责，我司负责安装过程中问题的解决及安装方案建议。具体的iNode部署有如下几种方案portal EAD的场景下，由于客户身份认证前即可以获取IP并访问一定的网络资源，可以将iNode版本放在终端用户身份认证前即可以访问的网络资源上供终端用户下载，同时通过用户已有的IT系统将inode的下载方式通知到终端用户。无线EAD目前只支持Portal方式，所以无线EAD下的部署方案同Portal EAD802.1xEAD的环境中，如果是我司设备且支持EAD快速部署特性，可以通过在接入层交换机上配置dot1x free ip来使用终端用户在通过802.1x认证前即可以获得IP地址并访问一定的网络资源。可以将iNode版本放在终端用户身份认证前即可以访问的网络资源上供终端用户下载，同时通过用户已有的IT系统将inode的下载方式通知到终端用户。关于EAD是否支持快速部署特性请参考交换机的相关资料。关于EAD快速部署特性可以参考如下案例/kms/kms/search/view.html?id=14452/kms/kms/search/view.html?id=14454/kms/kms/search/view.html?id=15324对于不支持EAD快速部署特性的交换机（我司老型号交换机及所有第三方厂家交换机）,在交换机上启动802.1x认证后，终端用户802.1x认证前无法访问任何网络资源，同样无法下载客户端。通用的方式是先不起802.1x认证，提前通过用户的IT系统通知终端用户下载安装iNode,后续统一开启认证。开启认证后新用户的iNode客户端安装通过介质拷贝给客户。4 工程界面说明（必选）一个典型的EAD解决方案实施包含如下四部分内容，由于涉及到客户的具体业务及第三方的产品，有些内容需要客户配合完成。此处对EAD各部分内容部署时的工程分工界面说明如下：iMC服务器安装及调试第三方厂家产品对接安全联动设备调试iNode客户端部署EAD解决方案4.1 实施方负责完成的工作：1. 服务器操作系统及数据库安装2. iMC平台及各组件的安装及部署3. 账号方案建议4. EAD解决方案安全策略建议5. 与第三方厂家产品对接时iMC侧调试工作6. 安全联动设备EAD相关的配置及调试7. iNode部署方案建议8. 部署过程中问题解决9. EAD解决方案业务培训4.2 客户方负责完成的工作1. 提供符合EAD要求的服务器2. 提供正版的操作系统及数据库软件3. 提供开通EAD业务相关的资料，如账号信息，桌面资产编号。4. 在与非H3C设备配合实现EAD时，对非H3C设备能协调提供必要的技术支持5. 在与第三方厂家产品如LDAP服务器对接时，提供这些产品的技术支持6. 配合完成iNode客户端的安装7. 具体业务（如开户，桌面资产管理、可控软件定义、软件补丁定义）的执行。5 测试方案（必选）为了保证业务软件产品安装后正常稳定的运行，需要进行相关的测试，测试的内容包括：5.1 iMC进程情况测试目的验证H3C iMC各进程启动后是否正常遵循标准无测试设计通过iMC部署监控代理各进程的运行情况测试条件1、 iMC服务器平台及相关组件已正常安装并部署；测试过程1、 登陆iMC服务器2、 在“开始”“程序”“H3C智能管理中心”“H3C部署监控代理”中启动H3C部署监控代理3、 在“监控”tab页面上点击“启动iMC”4、 在进程而面观察所有进程是否都正常启动预期结果1、 所有进程启动正常其它说明和注意事项无实测结果qOK qPOK qNG qNT5.2 iMC配置管理台测试目的验证H3C iMC配置管理台能否正常登陆遵循标准无测试设计通过web网页能否正常访问iMC配置管理台并进行相关配置测试条件1、 iMC服务器平台及相关组件已正常安装并部署2、 web浏览器所在的PC机与iMC服务器路由可达测试过程1、 在web浏览器中输入http:/iMC_iP:80802、 使用默认的admin/admin用户名及密码进行登陆预期结果1、 可以正常的登陆iMC的配置管理台2、 可以配置相关的功能，无报错。其它说明和注意事项1、 iMC默认的前台登陆端口