XXXXXXXXX网络改造项目工程实施方案V1.02010年7月1 客户网络情况调查（可选）1.1 概述青海黄河鑫业水电网络项目（EAD部分）实施，本次主要实施为IMC平台部署、客户端安装、双机备份部署，以及对用户方的培训工作。

1.2 账号情况此处请检查EAD的license是否够用⏹账号数不是指在线用户数，而是在iMC EAD中开户的数量⏹如果账号是从LDAP服务器中同步过来的，需要确保同步的LDAP服务器中的用户数小于iMCEAD的license数。

⏹iMC EAD的license数目以客户实际购买数量为准。

1.3 网络设备情况此处仅统计与EAD相关做身份认证的设备情况1.4 终端操作系统情况此处仅统计需要安装iNode客户端做EAD认证的用户。

常见的操作系统有：widnows,linux,MacOS等1.5 终端操作系统杀毒软件情况1.6 服务器情况如果有多个服务器，请添加多行Raid请填写该服务器是否有Raid卡，radi卡大小是多少。

1.7 操作系统及数据库情况⏹为了保障业务软件产品的正常运行，请确保现场的操作系统及数据库为正版⏹常见的虚拟机有Vmware等⏹为了保障业务软件产品的正常运行，要求服务器服务器专机专用，除了业务软件产品及必要杀毒软件外，不能安排其它厂家的软件产品。

2 EAD组网方案选择根据客户的网络情况，选择合适的EAD组网方案。

2.1 802.1xEAD典型组网2.1.1 推荐的组网：1. 接入层交换机二次acl下发方式组网说明：⏹802.1x认证起在接入层交换机上⏹采用二次ACL下发的方式（隔离acl,安全acl）来实现对安全检查不合格的用户进行隔离，对安全检查合格的用户放行⏹由于是二次acl下发的方式，要求接入层交换机为H3C交换机（具体的交换机型号请参考EAD的产品版本配套表）⏹控制点低，控制严格（采用802.1x认证方式，接入用户未通过认证前无法访问任何网络资源）⏹由于802.1x控制非常严格，非通过认证的用户无法访问任何网络资源，但有些场景下用户需要用户未认证前能访问一些服务器，如DHCP,DNS,AD(active directory域控)，此时可以通过H3C交换机的EAD快速部署物性来实现，关于该特性的具体描述请参考：/kms/search/view.html?id=14452⏹为确保性能，iMC EAD一般要求分布式部署2. 客户端acl方式对于不支持二次acl下发的交换机（我司部分设备及所有第三方厂家交换机），可以通过使用iNode 的客户端acl功能来实现隔离区的构造，即将原本下发到设备上的acl下发到iNode客户端上。

组网说明：⏹802.1x认证起在接入层交换机上（要求接入层交换机对802.1x协议有很好的支持），控制点低，控制严格⏹终端用户DHCP或静态IP地址均可⏹二次acl下发到iNode客户端上，隔离区构造方便。

⏹二次acl下发需要iNode定制“客户端acl特性”，该特性需要iNode安装额外的驱动，对终端操作系统的稳定性有较高的要求。

⏹对于802.1x起在第三方厂家交换机上的场景，要求客户能提供或协调提供第三方厂家能的技术支持。

3. 下线＋不安全提示阈值方式在接入层设备不是H3C交换机的情况下，由于设备不支持二次acl下发无法采用二次acl下发的方式来构造隔离区，此时可以通过下线＋不安全提示阈值的方式来模拟构造隔离区，实现EAD功能。

具体实现为：用户安全检查不合格时，EAD不立即将终端用户下线而是给出一定的修复时间（不安全提示阈值），终端用户可以如果在该时间内完成的安全策略修复则可以正常通过EAD认证访问网络，如果在该时间内未完成安全策略修复则被下线。

组网说明：⏹802.1x认证起在接入层交换机上（要求接入层交换机对802.1x协议有很好的支持），控制点低，控制严格⏹终端用户DHCP或静态IP地址均可⏹采用下线＋不安全提示阈值方式认证过程简单，稳定。

⏹由于终端用户在不安全时在“不安全提示阈值”时间内与安全用户访问网络的权限是一样的，安全性上不如二次acl下发方式好。

2.1.2 不推荐的组网1. 汇聚层802.1xEAD在下面的场景中，由于网络中的接入层交换机不支持802.1x认证，而H3C交换机又是基于MAC来认证的，于是容易产生如下图所示的将一台支持802.1xEAD的H3C交换机放到汇聚层，下面接不支持802.1x 认证的交换机或hub的方案，这种方案在实际使用中是不推荐的，主要原因如下：⏹802.1x本身是一个接入层的概念，H3C交换机做EAD的acl资源多是基于接入层设计的，如果把交换机放在汇聚层，下面接的用户过多，很容易出现acl资源不足导致用户无法上线的问题⏹终端用户认证通过后需要与认证交换机维护802.1x握手（eap报文），由交换机在汇聚层与终端用户隔了一层或几层的第三方厂家交换机，这些厂家的交换机不支持802.1x,容易将eap报文过滤掉从而造成终端用户认证后掉线⏹认证交换机放在汇聚层，终端用户与认证交换机之间是共享域，在其中往往充斥着大量的广播报文，802.1x是eap报文，无论是PC的网卡还是交换机对其处理的优先级都不高，在流量大的时候容易被网卡或交换机丢弃从而造成用户认证后掉线。

下面的场景建议使用portal EAD方式.(需要增加portal设备)2. guest-vlan方式guest-vlan技术简介：由于802.1x协议控制非常严格，用户认证前无法访问任何网络资源。

如果客户在未通过802.1x认证前也需要访问一些网络资源，可以通过guest-vlan来实现。

端口配置了guest-vlan后，用户默认属于guest-vlan，可以访问guest-vlan的资源，用户802.1x认证后用户切换到正常vlan,可以访问正常vlan的资源，一般情况下在guest-vlan下会放置文件服务器，DHCP服务器等提供基本的网络服务。

由于guest-vlan是一个天然的隔离区，技术上可以通过guest-vlan＋下线的方式来实现EAD，即用户安全检查合格后切换到正常vlan,如果安全检查不合格则将用户下线，用户切换回guest-vlan,只能访问guest-vlan能的相关病毒、补丁服务器来修复安全策略。

guest-vlan一个突出的优点是用户认证前即可以访问部分网络资源，可以完成下载认证客户端等操作.但限制也较大，实际使用中建议优先采用portal方式或下线＋不安全提示阈值的方式来实现EAD。

⏹由于用户认证前属于guest-vlan,认证后需要切换到正常vlan,要求终端用户地址采用DHCP方式，不能采用静态IP⏹用户认证属要从guest-vlan切换到正常vlan,下线后又要从正常vlan切换到guest-vlan.整个过程涉及到两次IP地址的release及renew,比较复杂，容易出现地址获取不正确等不稳定问题。

⏹guest-vlan要求第三方厂家设备对guest-vlan有很好的支持，由于guest-vlan应用不多，各个厂家各个版本实现不一致，实施过程中出了问题很难得到有效技术支持。

2.2 Portal EAD典型组网Portal本身就是一个天然的隔离区,即未通过认证的用户访问的网络资源是受限的，通过认证的用户可以正常的访问网络。

同于portal的这种特性，实际使用中往往采用下线＋不安全提示阈值的方案，对于安全检查不合格的用户通过下线将其放入“隔离区”。

下面介绍一下portal EAD的常用组网。

2.2.1 二层portal EAD如图所示，所谓二层portal即到portal设备的报文为带vlan-tag的二层报文。

⏹身份认证采用portal认证⏹一般采用下线的方式即可实现将终端用户放入隔离区来实现EAD⏹Portal设备的具体型号请参考EAD的版本说明书2.2.2 三层Portal EAD三层Portal即到Portal设备做认证的流量是IP报文，三层portal主要有如下两种组网：1. 策略路由方式如下图所示，Portal设备侧挂在网关上，由网关将需要portal EAD认证的流量策略路由到Portal设备上做EAD认证，这种组网方式对现场改动小，策略灵活（仅将需要认证的流量策略路由到portal设备上，不需要认证的流量可以正常通过网关转发）组网说明⏹身份认证采用portal认证⏹一般采用下线的方式即可实现将终端用户放入隔离区来实现EAD⏹Portal设备的具体型号请参考EAD的版本说明书⏹网关设备需要支持策略路由⏹终端用户与iMC之间不能有NAT⏹终端用户到iMC的流量一定要经过portal设备，不能出现终端用户不经过portal设备直接访问iMC的情况，否则portal认证会异常。

2. 串接方式如果网关设备不支持策略路由，可以将Portal设备串接在网关与出口路由器之间。

组网说明：⏹身份认证采用portal认证⏹一般采用下线的方式即可实现将终端用户放入隔离区来实现EAD⏹Portal设备的具体型号请参考EAD的版本说明书⏹终端用户与iMC之间不能有NAT⏹终端用户到iMC的流量一定要经过portal设备，不能出现终端用户不经过portal设备直接访问iMC的情况，否则portal认证会异常。

2.3 L2TP VPN EAD终端用户身份认证采用l2tp方式,EAD通过二次acl下发到安全联动网关来实现EAD。

组网说明：⏹终端用户采用l2tp方式做身份认证⏹如果需要安全性防护可以采用l2tp over IPSec的方案⏹二次acl下发均下发到安全联动VPN网关上，网关的具体型号请参考EAD版本说明书2.4 无线EAD无线EAD目前只支持Portal方式的EAD，不支持基于802.1x认证方式的EAD。

组网说明：⏹AC除了完成AP的注册及控制外，同时起用portal认证⏹一般采用下线的方式即可实现将终端用户放入隔离区来实现EAD⏹支持EAD AC的具体型号请参考EAD的版本说明书⏹终端用户与iMC之间不能有NAT⏹终端用户到iMC的流量一定要经过portal设备，不能出现终端用户不经过portal设备直接访问iMC的情况，否则portal认证会异常。

⏹由于AC转发性能的考虑，用户的网关不要设在AC上3 工程界面说明一个典型的EAD解决方案实施包含如下四部分内容，由于涉及到客户的具体业务及第三方的产品，有些内容需要客户配合完成。

此处对EAD各部分内容部署时的工程分工界面说明如下：iMC服务器安装及调试第三方厂家产品对接安全联动设备调试iNode客户端部署3.1 实施方负责完成的工作：1. 服务器操作系统及数据库安装2. iMC平台及各组件的安装及部署3. 账号方案建议4. EAD解决方案安全策略建议5. 与第三方厂家产品对接时iMC侧调试工作6. 安全联动设备EAD相关的配置及调试7. iNode部署方案建议8. 部署过程中问题解决9. EAD解决方案业务培训3.2 客户方负责完成的工作1. 提供符合EAD要求的服务器2. 提供正版的操作系统及数据库软件3. 提供开通EAD业务相关的资料，如账号信息，桌面资产编号。