H3C-EAD工程实施方案模板

XXXEAD项目工程实施方案V1.0杭州华三通信技术有限公司2009年9月XXEAD项目工程实施方案杭州华三通信技术有限公司页,共21页注：“必选”为必须包含的章节，内容自定，“可选”为不需要时可删除的章节。蓝色字体为举例，正式方案中不应出现“必选”、“可选”等字样和蓝色字体。1客户网络情况调查（可选）1.1概述此处用于对客户的网络情况进行简要的描述，如局点名称，多少用户，有哪些设备等。1.2账号情况此处请检查EAD的license是否够用客户网络中的帐号数iMCEAD的license数目账号数不是指在线用户数，而是在iMCEAD中开户的数量如果账号是从LDAP服务器中同步过来的，需要确保同步的LDAP服务器中的用户数小于iMCEAD的license数。iMCEAD的license数目以客户实际购买数量为准。1.3网络设备情况此处仅统计与EAD相关做身份认证的设备情况厂家设备型号版本备注H3C3100EI3.10-R2108P01约50台1.4组网信息1.组网说明XXEAD项目工程实施方案杭州华三通信技术有限公司页,共21页2.组网图1.5终端操作系统情况此处仅统计需要安装iNode客户端做EAD认证的用户。操作系统版本备注WindowsXPSP2LinuxRedhatES3.0常见的操作系统有：widnows,linux,MacOS等1.6终端操作系统杀毒软件情况厂家产品型号版本备注NortonSymantecAntivirusV10.1.7.7000金山金山毒霸网络版2.01.7服务器情况编号厂家CPU内存磁盘空间Raid备注服务器１服务器N如果有多个服务器，请添加多行Raid请填写该服务器是否有Raid卡，radi卡大小是多少。XXEAD项目工程实施方案杭州华三通信技术有限公司页,共21页1.8操作系统及数据库情况项目内容备注操作系统版本及补丁操作系统是否正版本数据库版本及补丁数据库是否正版产品是否安装在虚拟机上产品是否专机专用为了保障业务软件产品的正常运行，请确保现场的操作系统及数据库为正版常见的虚拟机有Vmware等为了保障业务软件产品的正常运行，要求服务器服务器专机专用，除了业务软件产品及必要杀毒软件外，不能安排其它厂家的软件产品。2EAD组网方案选择（必选）根据客户的网络情况，选择合适的EAD组网方案。XXEAD项目工程实施方案杭州华三通信技术有限公司页,共21页2.1802.1xEAD典型组网2.1.1推荐的组网：1.接入层交换机二次acl下发方式组网说明：802.1x认证起在接入层交换机上采用二次ACL下发的方式（隔离acl,安全acl）来实现对安全检查不合格的用户进行隔离，对安全检查合格的用户放行由于是二次acl下发的方式，要求接入层交换机为H3C交换机（具体的交换机型号请参考EAD的产品版本配套表）控制点低，控制严格（采用802.1x认证方式，接入用户未通过认证前无法访问任何网络资源）由于802.1x控制非常严格，非通过认证的用户无法访问任何网络资源，但有些场景下用户需要用户未认证前能访问一些服务器，如DHCP,DNS,AD(activedirectory域控)，此时可以通过H3C交换机的EAD快速部署物性来实现，关于该特性的具体描述请参考：=14452为确保性能，iMCEAD一般要求分布式部署2.客户端acl方式对于不支持二次acl下发的交换机（我司部分设备及所有第三方厂家交换机），可以通过使用iNode的客户端acl功能来实现隔离区的构造，即将原本下发到设备上的acl下发到iNode客户端上。XXEAD项目工程实施方案杭州华三通信技术有限公司页,共21页组网说明：802.1x认证起在接入层交换机上（要求接入层交换机对802.1x协议有很好的支持），控制点低，控制严格终端用户DHCP或静态IP地址均可二次acl下发到iNode客户端上，隔离区构造方便。二次acl下发需要iNode定制“客户端acl特性”，该特性需要iNode安装额外的驱动，对终端操作系统的稳定性有较高的要求。对于802.1x起在第三方厂家交换机上的场景，要求客户能提供或协调提供第三方厂家能的技术支持。3.下线＋不安全提示阈值方式在接入层设备不是H3C交换机的情况下，由于设备不支持二次acl下发无法采用二次acl下发的方式来构造隔离区，此时可以通过下线＋不安全提示阈值的方式来模拟构造隔离区，实现EAD功能。具体实现为：用户安全检查不合格时，EAD不立即将终端用户下线而是给出一定的修复时间（不安全提示阈值），终端用户可以如果在该时间内完成的安全策略修复则可以正常通过EAD认证访问网络，如果在该时间内未完成安全策略修复则被下线。XXEAD项目工程实施方案杭州华三通信技术有限公司页,共21页组网说明：802.1x认证起在接入层交换机上（要求接入层交换机对802.1x协议有很好的支持），控制点低，控制严格终端用户DHCP或静态IP地址均可采用下线＋不安全提示阈值方式认证过程简单，稳定。由于终端用户在不安全时在“不安全提示阈值”时间内与安全用户访问网络的权限是一样的，安全性上不如二次acl下发方式好。2.1.2不推荐的组网1.汇聚层802.1xEAD在下面的场景中，由于网络中的接入层交换机不支持802.1x认证，而H3C交换机又是基于MAC来认证的，于是容易产生如下图所示的将一台支持802.1xEAD的H3C交换机放到汇聚层，下面接不支持802.1x认证的交换机或hub的方案，这种方案在实际使用中是不推荐的，主要原因如下：802.1x本身是一个接入层的概念，H3C交换机做EAD的acl资源多是基于接入层设计的，如果把交换机放在汇聚层，下面接的用户过多，很容易出现acl资源不足导致用户无法上线的问题终端用户认证通过后需要与认证交换机维护802.1x握手（eap报文），由交换机在汇聚层与终端用户隔了一层或几层的第三方厂家交换机，这些厂家的交换机不支持802.1x,容易将eap报文过滤掉从而造成终端用户认证后掉线认证交换机放在汇聚层，终端用户与认证交换机之间是共享域，在其中往往充斥着大量的广播报文，802.1x是eap报文，无论是PC的网卡还是交换机对其处理的优先级都不高，在流量大的时候容易被网卡或交换机丢弃从而造成用户认证后掉线。XXEAD项目工程实施方案杭州华三通信技术有限公司页,共21页下面的场景建议使用portalEAD方式.(需要增加portal设备)2.guest-vlan方式guest-vlan技术简介：由于802.1x协议控制非常严格，用户认证前无法访问任何网络资源。如果客户在未通过802.1x认证前也需要访问一些网络资源，可以通过guest-vlan来实现。端口配置了guest-vlan后，用户默认属于guest-vlan，可以访问guest-vlan的资源，用户802.1x认证后用户切换到正常vlan,可以访问正常vlan的资源，一般情况下在guest-vlan下会放置文件服务器，DHCP服务器等提供基本的网络服务。由于guest-vlan是一个天然的隔离区，技术上可以通过guest-vlan＋下线的方式来实现EAD，即用户安全检查合格后切换到正常vlan,如果安全检查不合格则将用户下线，用户切换回guest-vlan,只能访问guest-vlan能的相关病毒、补丁服务器来修复安全策略。guest-vlan一个突出的优点是用户认证前即可以访问部分网络资源，可以完成下载认证客户端等操作.但限制也较大，实际使用中建议优先采用portal方式或下线＋不安全提示阈值的方式来实现EAD。由于用户认证前属于guest-vlan,认证后需要切换到正常vlan,要求终端用户地址采用DHCP方式，不能采用静态IP用户认证属要从guest-vlan切换到正常vlan,下线后又要从正常vlan切换到guest-vlan.整个过程涉及到两次IP地址的release及renew,比较复杂，容易出现地址获取不正确等不稳定问题。guest-vlan要求第三方厂家设备对guest-vlan有很好的支持，由于guest-vlan应用不多，各个厂家各个版本实现不一致，实施过程中出了问题很难得到有效技术支持。XXEAD项目工程实施方案杭州华三通信技术有限公司页,共21页2.2PortalEAD典型组网Portal本身就是一个天然的隔离区,即未通过认证的用户访问的网络资源是受限的，通过认证的用户可以正常的访问网络。同于portal的这种特性，实际使用中往往采用下线＋不安全提示阈值的方案，对于安全检查不合格的用户通过下线将其放入“隔离区”。下面介绍一下portalEAD的常用组网。2.2.1二层portalEAD如图所示，所谓二层portal即到portal设备的报文为带vlan-tag的二层报文。XXEAD项目工程实施方案杭州华三通信技术有限公司页,共21页身份认证采用portal认证一般采用下线的方式即可实现将终端用户放入隔离区来实现EADPortal设备的具体型号请参考EAD的版本说明书2.2.2三层PortalEAD三层Portal即到Portal设备做认证的流量是IP报文，三层portal主要有如下两种组网：1.策略路由方式如下图所示，Portal设备侧挂在网关上，由网关将需要portalEAD认证的流量策略路由到Portal设备上做EAD认证，这种组网方式对现场改动小，策略灵活（仅将需要认证的流量策略路由到portal设备上，不需要认证的流量可以正常通过网关转发）XXEAD项目工程实施方案杭州华三通信技术有限公司页,共21页组网说明身份认证采用portal认证一般采用下线的方式即可实现将终端用户放入隔离区来实现EADPortal设备的具体型号请参考EAD的版本说明书网关设备需要支持策略路由终端用户与iMC之间不能有NAT终端用户到iMC的流量一定要经过portal设备，不能出现终端用户不经过portal设备直接访问iMC的情况，否则portal认证会异常。2.串接方式如果网关设备不支持策略路由，可以将Portal设备串接在网关与出口路由器之间。XXEAD项目工程实施方案杭州华三通信技术有限公司页,共21页组网说明：身份认证采用portal认证一般采用下线的方式即可实现将终端用户放入隔离区来实现EADPortal设备的具体型号请参考EAD的版本说明书终端用户与iMC之间不能有NAT终端用户到iMC的流量一定要经过portal设备，不能出现终端用户不经过portal设备直接访问iMC的情况，否则portal认证会异常。2.3L2TPVPNEAD终端用户身份认证采用l2tp方式,EAD通过二次acl下发到安全联动网关来实现EAD。XXEAD项目工程实施方案杭州华三通信技术有限公司页,共21页组网说明：终端用户采用l2tp方式做身份认证如果需要安全性防护可以采用l2tpoverIPSec的方案二次acl下发均下发到安全联动VPN网关上，网关的具体型号请参考EAD版本说明书2.4无线EAD无线EAD目前只支持Portal方式的EAD，不支持基于802.1x认证方式的EAD。XXEAD项目工程实施方案杭州华三通信技术有限公司页,共21页组网说明：AC除了完成AP的注册及控制外，同时起用portal认证一般采用下线的方式即可实现将终端用户放入隔离区来实现EAD