XX网络改造项目工程实施方案Word文档下载推荐.docx
《XX网络改造项目工程实施方案Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《XX网络改造项目工程实施方案Word文档下载推荐.docx(17页珍藏版)》请在冰豆网上搜索。
XPSP2
Windsows
7.0
常见的操作系统有:
widnows,linux,MacOS等
厂家产品型号
卡巴斯基
卡巴斯基(网络版)
V6.0加强
编号
CPU
内存
磁盘空间
Raid
服务器1
IBM3650
E5520
2.27G
4G
300G
RAID1
如果有多个服务器,请添加多行
1.7
操作系统及数据库情况
Raid请填写该服务器是否有Raid卡,radi卡大小是多少。
项目
内容
操作系统版本及补丁
Windowsserver2008
操作系统是否正版本
正版
数据库版本及补丁
SQLserver2008
数据库是否正版
产品是否安装在虚拟机上
否
产品是否专机专用
是
凶说明
为了保障业务软件产品的正常运行,请确保现场的操作系统及数据库为正版常见的虚拟机有Vmware等为了保障业务软件产品的正常运行,要求服务器服务器专机专用,除了业务软件产品及必要杀毒软件外,不能安排其它厂家的软件产品。
2EAD组网方案选择
根据客户的网络情况,选择合适的EAD组网方案。
2.1802.1XEAD典型组网
2.1.1推荐的组网:
iNODES户第
1.接入层交换机二次acl下发方式
R藹IZ.
r
Internet
坤户龄诸
iMODE客户箱
SOO.IXEAD网亠今
”J一聖二方空痢1SCL丄金
■第三方京飛机
组网说明:
为确保性能,iMCEAD一般要求分布式部署
2.客户端acl方式
对于不支持二次acl下发的交换机(我司部分设备及所有第三方厂家交换机),可以通过使用iNode
的客户端acl功能来实现隔离区的构造,即将原本下发到设备上的acl下发到iNode客户端上。
802.1X协议有很好的支持),控制点低,控
802.1X认证起在接入层交换机上(要求接入层交换机对制严格
终端用户DHCP或静态IP地址均可
二次acl下发到iNode客户端上,隔离区构造方便。
二次acl下发需要iNode定制“客户端acl特性”,该特性需要iNode安装额外的驱动,对终端操作系统的稳定性有较高的要求。
对于802.1X起在第三方厂家交换机上的场景,要求客户能提供或协调提供第三方厂家能的技术支持。
3.下线+不安全提示阈值方式
在接入层设备不是H3C交换机的情况下,由于设备不支持二次acl下发无法采用二次acl下发的方式来构
造隔离区,此时可以通过下线+不安全提示阈值的方式来模拟构造隔离区,实现EAD功能。
具体实现为:
用户安全检查不合格时,EAD不立即将终端用户下线而是给出一定的修复时间(不安全提示阈值),终端用户可以如果在该时间内完成的安全策略修复则可以正常通过EAD认证访问网络,如果在该时间内未完
成安全策略修复则被下线。
SOO.IX
EAD网
-令
聖二店空痢1SCL丄金Jhad刚
令
■第三方上籟机
采用下线+不安全提示阈值方式认证过程简单,稳定。
由于终端用户在不安全时在“不安全提示阈值”时间内与安全用户访问网络的权限是一样的,安全性上不如二次acl下发方式好。
2.1.2不推荐的组网
1.汇聚层802.1XEAD
在下面的场景中,由于网络中的接入层交换机不支持802.1X认证,而H3C交换机又是基于MAC来认证
的,于是容易产生如下图所示的将一台支持802.1XEAD的H3C交换机放到汇聚层,下面接不支持802.1x认证的交换机或hub的方案,这种方案在实际使用中是不推荐的,主要原因如下:
802.1X本身是一个接入层的概念,H3C交换机做EAD的acl资源多是基于接入层设计的,如果把交
换机放在汇聚层,下面接的用户过多,很容易出现acl资源不足导致用户无法上线的问题
终端用户认证通过后需要与认证交换机维护802.1X握手(eap报文),由交换机在汇聚层与终端用户
隔了一层或几层的第三方厂家交换机,这些厂家的交换机不支持802.1X,容易将eap报文过滤掉从而
造成终端用户认证后掉线
认证交换机放在汇聚层,终端用户与认证交换机之间是共享域,在其中往往充斥着大量的广播报文,
802.1X是eap报文,无论是PC的网卡还是交换机对其处理的优先级都不高,在流量大的时候容易被
网卡或交换机丢弃从而造成用户认证后掉线。
F面的场景建议使用PortalEAD方式•(需要增加portal设备)
峽EAt>
DHCP册务器〔可送、病毒康务熬可选)
2.guest-vlan方式
由于guest-vlan是一个天然的隔离区,
检查合格后切换到正常vlan,如果安全检查不合格则将用户下线,用户切换回
guest-vlan能的相关病毒、补丁服务器来修复安全策略。
EAD。
guest-vlan一个突出的优点是用户认证前即可以访问部分网络资源,可以完成下载认证客户端等操作.但限
制也较大,实际使用中建议优先采用portal方式或下线+不安全提示阈值的方式来实现
由于用户认证前属于guest-vlan,认证后需要切换到正常vlan,要求终端用户地址采用DHCP方式,不
能采用静态IP
用户认证属要从guest-vlan切换到正常vlan,下线后又要从正常vlan切换到guest-vlan.整个过程涉及
到两次IP地址的release及renew,比较复杂,容易出现地址获取不正确等不稳定问题。
guest-vlan要求第三方厂家设备对guest-vlan有很好的支持,由于guest-vlan应用不多,各个厂家各
个版本实现不一致,实施过程中出了问题很难得到有效技术支持。
/htf砒祇器
fmI/I
、一
y八-:
=
1
己认证用户人//..
笃■務认征適过e選入曲
ifiVUkN.更新获取另
外一*网段的IP地址,
.lllll'
IIIII
-..^auE用
「隔窗区:
广7"
*
、身份认隹前母于
文轎机上的耳CL住制
上-—
L
2.2PortalEAD典型组网
Portal本身就是一个天然的隔离区,即未通过认证的用户访问的网络资源是受限的,通过认证的用户可以正
常的访问网络。
同于Portal的这种特性,实际使用中往往采用下线+不安全提示阈值的方案,对于安全检查不合格的用户通过下线将其放入“隔离区”。
F面介绍一下portalEAD的常用组网。
2.2.1二层portalEAD
如图所示,所谓二层Portal即到Portal设备的报文为带vlan-tag的二层报文。
户线话
身份认证采用portal认证
般采用下线的方式即可实现将终端用户放入隔离区来实现
Portal设备的具体型•号请参考EAD的版本说明书
222三层PortalEAD
三层Portal即到Portal设备做认证的流量是IP报文,三层
EAD
portal主要有如下两种组网:
1.策略路由方式
如下图所示,Portal设备侧挂在网关上,由网关将需要PortalEAD认证的流量策略路由到Portal设备上做EAD认证,这种组网方式对现场改动小,策略灵活(仅将需要认证的流量策略路由到portal设备上,不需
要认证的流量可以正常通过网关转发)
隅S&
Internet]
PolWf嘗
皿E容户轴
口、丰-fy.
'
丁航势SDhIS/DHCP尿务SC可進)橋*匪务蛊〔可施)
组网说明
一般采用下线的方式即可实现将终端用户放入隔离区来实现
Portal设备的具体型「号请参考EAD的版本说明书
网关设备需要支持策略路由
终端用户与iMC之间不能有NAT
终端用户到iMC的流量一定要经过portal设备,不能出现终端用户不经过portal设备直接访问iMC
的情况,否则portal认证会异常。
2.串接方式
Internet'
、
I[迪I谡着
宀
iNODE客户辅
T駅SSDNS/加亡砸黑器冋m
隅葛區
身份认证采用
Portal认证
终端用户到iMC的流量一定要经过portal设备,不能出现终端用户不经过
portal设备直接访问iMC
2.3L2TPVPNEAD
终端用户身份认证采用l2tp方式,EAD通过二次acl下发到安全联动网关来实现
内割阖
LSTP-VPN
用户缪第
j昨客
户话
终端用户采用
nterne^
L2IPOz
罔户彗鞘
I2tP方式做身份认证
rEAD
DHCP乘芻誥C可建)扃工眼务慕(可选)
如果需要安全性防护可以采用I2tpoverIPSec的方案
二次acl下发均下发到安全联动VPN网关上,网关的具体型号请参考EAD版本说明书
2.4无线EAD
无线EAD目前只支持Portal方式的EAD,不支持基于802.1x认证方式的EAD。
同时启fflportal认证
AC
FITAP
局域H
-Iff*旧M亠
AC除了完成AP的注册及控制外,同时起用Portal认证
支持EADAC的具体型号请参考EAD的版本说明书
由于AC转发性能的考虑,用户的网关不要设在AC上
3工程界面说明
一个典型的EAD解决方案实施包含如下四部分内容,由于涉及到客户的具体业务及第三方的产品,有些内容需要客户配合完成。
此处对EAD各部分内容部署时的工程分工界面说明如下:
iMC服务器安装及调试
安全联动设备调试
EAD第三方厂家产品对接解决方案
iNode客户端部署
3.1实施方负责完成的工作:
1.服务器操作系统及数据库安装
2.iMC平台及各组件的安装及部署
3.账号方案建议
4.EAD解决方案安全策略建议
5.与第三方厂家产品对接时iMC侧调试工作
6.安全联动设备EAD相关的配置及调试
7.iNode部署方案建议
8.部署过程中问题解决
9.EAD解决方案业务培训
3.2客户方负责完成的工作
1.提供符合EAD要求的服务器
2.提供正版的操作系统及数据库软件
3.提供开通EAD业务相关的资料,如账号信息,桌面资产编号。
4.在与非H3C设备配合实现EAD时,对非H3C设备能协调提供必要的技术支持
5.在与第三方厂家产品如LDAP服务器对接时,提供这些产品的技术支持
6.配合完成iNode客户端的安装
7.具体业务(如开户,桌面资产管理、可控软件定义、软件补丁定义)的执行。
4测试方案
为了保证业务软件产品安装后正常稳定的运行,需要进行相关的测试,测试的内容包括:
4.1iMC进程情况
测试目的
验证H3CiMC各进程启动后是否正常
遵循标准
无
测试设计
通过iMC部署监控代理各进程的运行情况
测试条件
1、iMC服务器平台及相关组件已正常安装并部署;
测试过程
1、登陆iMC服务器
2、在“开始”-“程序”-“H3C智能管理中心”-“H3C部署监控代理”中启动
H3C部署监控代理
3、在“监控”tab页面上点击“启动iMC”
4、在进程而面观察所有进程是否都正常启动
预期结果
1、所有进程启动正常
其它说明和注意事项
实测结果
0KPOKNGNT
4.2iMC配置管理台
验证H3CiMC配置管理台能否正常登陆
通过web网页能否正常访问iMC配置管理台并进行相关配置
1、iMC服务器平台及相关组件已正常安装并部署
2、web浏览器所在的PC机与iMC服务器路由可达
1、在web浏览器中输入
2、使用默认的admin/admin用户名及密码进行登陆
1、可以正常的登陆iMC的配置管理台
2、可以配置相关的功能,无报错。
1、iMC默认的前台登陆端口为8080,此端口可以在安装时更改,请以实际的端口为准。
2、如果该web浏览器第一次登陆,部分功能需要安装javaTM才能实现。
OKPOKNGNT
4.3iMC版本及license情况
验证H3CiMC版本及license数量是否正确
在系统的“帮助”一“关于”中已正确显示iMC的版本及license数量
1、使用管理员(默认为admin/admin)用户名及密码登陆iMC
2、点击“帮助”—“关于”察看iMC的版本及license情况
1、已安装了正确的iMC版本
2、已注册了正确的license及数量、有效期。
以下测试例仅EAD使用
4.4EAD身份认证
验证EAD身份认证是否正常
EAD身份认证功能正常使用
1、iMC服务器平台及UAM,EAD组件已正常安装并部署
2、iMC中创建了相关的账号并申请了服务
3、设备身份认证协议(802.1X/portal/l2tp)相关配置正确
4、iNode客户端已安装
1、在iNode客户端中创建相关的认证连接并认证
1、身份认证成功
4.5EAD安全检查
验证EAD安全检查是否正常
EAD安全检查功能正常使用
2、iMC中创建了相关的账号并申请了服务,服务中含有安全策略
1、身份认证成功
2、身份认证后iNode开始按iMC服务器上是策略进行安全检查。
注:
验收结论说明:
0K:
验收结果全部正确
POK
:
验收结果大部分正确
NG:
验收结果有较大的错误
NT:
由于各种原因本次无法验收
升级会员 