XX网络改造项目工程实施方案Word文档下载推荐.docx

1、XPSP2Win dsows7.0常见的操作系统有： wid nows,li nux,MacOS 等厂家 产品型号卡巴斯基卡巴斯基（网络版）V6.0加强编号CPU内存磁盘空间Raid服务器1IBM3650E55202.27G4G300GRAID 1如果有多个服务器，请添加多行1.7操作系统及数据库情况Raid请填写该服务器是否有 Raid卡，radi卡大小是多少。项目内容操作系统版本及补丁Win dows server 2008操作系统是否正版本正版数据库版本及补丁SQLserver 2008数据库是否正版产品是否安装在虚拟机上否产品是否专机专用是凶说明为了保障业务软件产品的正常运行，请确保现

2、场的操作系统及数据库为正版 常见的虚拟机有 Vmware等 为了保障业务软件产品的正常运行，要求服务器服务器专机专用，除了业务软件产品及必要杀 毒软件外，不能安排其它厂家的软件产品。2 EAD组网方案选择根据客户的网络情况，选择合适的 EAD组网方案。2.1802.1XEAD典型组网2.1.1推荐的组网:i NODES户第1.接入层交换机二次 acl下发方式R 藹 IZ.rInternet坤户龄诸i MODE客户箱SOO. IX EAD网 亠今” J 一聖二方空痢1 SCL丄金 第三方京飛机组网说明:为确保性能，iMC EAD 一般要求分布式部署2.客户端acl方式对于不支持二次acl下发的交

3、换机（我司部分设备及所有第三方厂家交换机） ，可以通过使用iNode的客户端acl功能来实现隔离区的构造，即将原本下发到设备上的 acl下发到iNode客户端上。802.1X协议有很好的支持），控制点低，控802.1X认证起在接入层交换机上（要求接入层交换机对 制严格终端用户DHCP或静态IP地址均可二次acl下发到iNode客户端上，隔离区构造方便。二次acl下发需要iNode定制“客户端 acl特性”，该特性需要iNode安装额外的驱动，对终端操作 系统的稳定性有较高的要求。对于802.1X起在第三方厂家交换机上的场景，要求客户能提供或协调提供第三方厂家能的技术支持。3.下线+不安全提示阈

4、值方式在接入层设备不是 H3C交换机的情况下，由于设备不支持二次 acl下发无法采用二次 acl下发的方式来构造隔离区，此时可以通过下线+不安全提示阈值的方式来模拟构造隔离区，实现 EAD功能。具体实现为：用户安全检查不合格时，EAD不立即将终端用户下线而是给出一定的修复时间（不安全提示阈值），终端 用户可以如果在该时间内完成的安全策略修复则可以正常通过 EAD认证访问网络，如果在该时间内未完成安全策略修复则被下线。SOO. IXEAD网-令聖二店空痢1 SCL丄金 J had刚令 第三方上籟机采用下线+不安全提示阈值方式认证过程简单，稳定。由于终端用户在不安全时在“不安全提示阈值”时间内与安

5、全用户访问网络的权限是一样的，安全性 上不如二次acl下发方式好。2.1.2不推荐的组网1.汇聚层 802.1XEAD在下面的场景中，由于网络中的接入层交换机不支持 802.1X认证，而H3C交换机又是基于 MAC来认证的，于是容易产生如下图所示的将一台支持 802.1XEAD的H3C交换机放到汇聚层， 下面接不支持802.1x 认证的交换机或hub的方案，这种方案在实际使用中是不推荐的，主要原因如下：802.1X本身是一个接入层的概念， H3C交换机做EAD的acl资源多是基于接入层设计的，如果把交换机放在汇聚层，下面接的用户过多，很容易出现 acl资源不足导致用户无法上线的问题终端用户认证

6、通过后需要与认证交换机维护 802.1X握手（eap报文），由交换机在汇聚层与终端用户隔了一层或几层的第三方厂家交换机， 这些厂家的交换机不支持 802.1X,容易将eap报文过滤掉从而造成终端用户认证后掉线认证交换机放在汇聚层，终端用户与认证交换机之间是共享域，在其中往往充斥着大量的广播报文，802.1X是eap报文，无论是PC的网卡还是交换机对其处理的优先级都不高， 在流量大的时候容易被网卡或交换机丢弃从而造成用户认证后掉线。F面的场景建议使用 Portal EAD方式（需要增加portal设备）峽 EAtDHCP册务器可送、 病毒康务熬可选）2. guest-vlan 方式由于guest

7、-vlan是一个天然的隔离区，检查合格后切换到正常 vlan,如果安全检查不合格则将用户下线，用户切换回guest-vlan能的相关病毒、补丁服务器来修复安全策略。EAD。guest-vlan 一个突出的优点是用户认证前即可以访问部分网络资源， 可以完成下载认证客户端等操作.但限制也较大，实际使用中建议优先采用 portal方式或下线+不安全提示阈值的方式来实现由于用户认证前属于 guest-vlan,认证后需要切换到正常 vlan,要求终端用户地址采用 DHCP方式，不能采用静态IP用户认证属要从guest-vlan切换到正常vlan,下线后又要从正常 vlan切换到guest-vlan.整

8、个过程涉及到两次IP地址的release及renew,比较复杂，容易出现地址获取不正确等不稳定问题。guest-vlan要求第三方厂家设备对 guest-vlan有很好的支持，由于 guest-vlan应用不多，各个厂家各个版本实现不一致，实施过程中出了问题很难得到有效技术支持。/ htf 砒祇器f mI /I、一y 八 -：=1己认证用户人 / .笃務认征適过e選入曲ifiVUkN.更新获取另外一*网段的IP地址，.lllll I III I-.auE 用隔窗区:广 7 *、身份认隹前母于文轎机上的耳CL住制上- L2.2Portal EAD典型组网Portal本身就是一个天然的隔离区，即未

9、通过认证的用户访问的网络资源是受限的， 通过认证的用户可以正常的访问网络。同于 Portal的这种特性，实际使用中往往采用下线+不安全提示阈值的方案，对于安全检 查不合格的用户通过下线将其放入“隔离区”。F面介绍一下portal EAD的常用组网。2.2.1 二层 portal EAD如图所示，所谓二层 Portal即到Portal设备的报文为带 vlan-tag的二层报文。户线话身份认证采用portal认证般采用下线的方式即可实现将终端用户放入隔离区来实现Portal设备的具体型 号请参考 EAD的版本说明书222 三层 Portal EAD三层Portal即到Portal设备做认证的流量是

10、 IP报文，三层EADportal主要有如下两种组网:1.策略路由方式如下图所示，Portal设备侧挂在网关上，由网关将需要Portal EAD认证的流量策略路由到 Portal设备上做 EAD认证，这种组网方式对现场改动小，策略灵活（仅将需要认证的流量策略路由到 portal设备上，不需要认证的流量可以正常通过网关转发）隅S&InternetPolWf 嘗皿E容户轴口 、丰 -fy.丁航势 SDhIS/ DHCP尿务S C可進） 橋*匪务蛊可施）组网说明一般采用下线的方式即可实现将终端用户放入隔离区来实现Portal设备的具体型 号请参考 EAD的版本说明书网关设备需要支持策略路由终端用户与

11、iMC之间不能有NAT终端用户到iMC的流量一定要经过 portal设备，不能出现终端用户不经过 portal设备直接访问iMC的情况，否则portal认证会异常。2.串接方式Internet 、I迪I谡着宀i NODE客户辅T 駅 SSDNS/ 加亡砸黑器冋m隅葛區身份认证采用Portal认证终端用户到iMC的流量一定要经过 portal设备，不能出现终端用户不经过portal设备直接访问iMC2.3 L2T P VPN EAD终端用户身份认证采用l2tp方式,EAD通过二次acl下发到安全联动网关来实现内割阖LSTP-VPN用户缪第j昨客户话终端用户采用nterneL2IP Oz罔户彗鞘I

12、2tP方式做身份认证r EADDHCP乘芻誥C可建） 扃工眼务慕（可选）如果需要安全性防护可以采用 I2tp over IP Sec的方案二次acl下发均下发到安全联动 VPN网关上，网关的具体型号请参考 EAD版本说明书2.4无线EAD无线EAD目前只支持 Portal方式的EAD，不支持基于 802.1x认证方式的EAD。同时启fflportal认证ACFIT AP局域H-Iff*旧M 亠AC除了完成AP的注册及控制外，同时起用 Portal认证支持EAD AC的具体型号请参考 EAD的版本说明书由于AC转发性能的考虑，用户的网关不要设在 AC上3工程界面说明一个典型的EAD解决方案实施包

13、含如下四部分内容，由于涉及到客户的具体业务及第三方的产品, 有些内容需要客户配合完成。此处对 EAD各部分内容部署时的工程分工界面说明如下：iMC服务器安装及调试安全联动设备调试EAD第三方厂家产品对接 解 决 方 案iNode客户端部署3.1实施方负责完成的工作:1.服务器操作系统及数据库安装2.iMC平台及各组件的安装及部署3.账号方案建议4.EAD解决方案安全策略建议5.与第三方厂家产品对接时 iMC侧调试工作6.安全联动设备EAD相关的配置及调试7.iNode部署方案建议8.部署过程中问题解决9.EAD解决方案业务培训3.2客户方负责完成的工作1.提供符合EAD要求的服务器2.提供正版

14、的操作系统及数据库软件3.提供开通EAD业务相关的资料，如账号信息，桌面资产编号。4.在与非H3C设备配合实现EAD时，对非H3C设备能协调提供必要的技术支持5.在与第三方厂家产品如 LDAP服务器对接时，提供这些产品的技术支持6.配合完成iNode客户端的安装7.具体业务（如开户，桌面资产管理、可控软件定义、软件补丁定义）的执行。4测试方案为了保证业务软件产品安装后正常稳定的运行，需要进行相关的测试，测试的内容包括:4.1 iMC进程情况测试目的验证H3C iMC各进程启动后是否正常遵循标准无测试设计通过iMC部署监控代理各进程的运行情况测试条件1、 iMC服务器平台及相关组件已正常安装并部

15、署；测试过程1、 登陆iMC服务器2、 在“开始”-“程序”-“ H3C智能管理中心”-“ H3C部署监控代理”中启动H3C部署监控代理3、 在“监控” tab页面上点击“启动iMC”4、 在进程而面观察所有进程是否都正常启动预期结果1、所有进程启动正常其它说明和注意事项实测结果0K POK NG NT4.2iMC配置管理台验证H3C iMC配置管理台能否正常登陆通过web网页能否正常访问iMC配置管理台并进行相关配置1、 iMC服务器平台及相关组件已正常安装并部署2、 web浏览器所在的PC机与iMC服务器路由可达1、 在web浏览器中输入2、 使用默认的admin/admin用户名及密码进

16、行登陆1、 可以正常的登陆iMC的配置管理台2、 可以配置相关的功能，无报错。1、 iMC默认的前台登陆端口为 8080,此端口可以在安装时更改，请以实际的端口为 准。2、 如果该web浏览器第一次登陆，部分功能需要安装 javaTM才能实现。OK POK NG NT4.3iMC版本及license情况验证H3C iMC版本及license数量是否正确在系统的“帮助”一“关于”中已正确显示 iMC的版本及license数量1、 使用管理员（默认为 admin/admin ）用户名及密码登陆iMC2、 点击“帮助”“关于”察看 iMC的版本及license情况1、 已安装了正确的iMC版本2、

17、已注册了正确的license及数量、有效期。以下测试例仅EAD使用4.4EAD身份认证验证EAD身份认证是否正常EAD身份认证功能正常使用1、 iMC服务器平台及UAM,EAD组件已正常安装并部署2、 iMC中创建了相关的账号并申请了服务3、 设备身份认证协议（802.1X/ portal/l2tp ）相关配置正确4、 iNode客户端已安装1、在iNode客户端中创建相关的认证连接并认证1、身份认证成功4.5EAD安全检查验证EAD安全检查是否正常EAD安全检查功能正常使用2、 iMC中创建了相关的账号并申请了服务，服务中含有安全策略1、 身份认证成功2、 身份认证后iNode开始按iMC服务器上是策略进行安全检查。注：验收结论说明:0K:验收结果全部正确POK:验收结果大部分正确NG :验收结果有较大的错误NT :由于各种原因本次无法验收