利用网络准入把好企业网入网第一道关(集团入网主要事项)

网友投稿 258 2022-10-09


利用网络准入把好企业网入网第一道关(集团入网主要事项)

最近完成了公司的准入项目,项目历时3个多月,部署点位将近上千个。在部署的过程中,也曾踩过各种各样的坑。公司采用某第三方软件系统作为准入控制平台。该套系统采用双机热备的方式部署。该系统功能丰富,除了采用802.1x认证外,该套系统还支持桌面管理、进程管理、非授权外连等功能。 802.1x协议的主要目的是为了解决局域网用户的接入认证问题。802.1x就是IEEE为了解决基于端口的接入控制而定义的一个标准。本文仅对此项目部署dot1x部分做一个详细的总结。

1、项目流程安排

在项目调研阶段,我们联系了原厂售前,进行软件平台、公司需求等信息的交流,在简单了解了该软件平台各模块功能后,我们选择了几个模块提出了测试需求。经过一到两周的搭建和测试后,厂商输出了以下测试表单。

在测试功能的过程中,我们感觉该厂商的产品性能稳定、功能丰富,满足公司的需求。因此,我们很快完成了立项、招投标等工作。在一次供应商的项目交流启动会后,该项目拉开了帷幕。于此同时,我担任该项目项目经理一职,负责整个项目的进度安排、资源协调和技术支持工作。

我司总部位于上海,有近二三十个分公司,各分公司遍布全国各个省市。在项目安排上,我们先部署的是总公司,因为办公点就在总公司,在项目实施的过程中,如果出现问题,可以尽快的解决。而且总部的部署,能够让我们尽快熟悉供应商的产品。同时,也便于我司与供应商人力上的交流和协同。在专业程度上,我们信任供应商;在公司架构熟悉程度上,供应商也信任我们。正是在这种相互信任的情况下,我们才能按时高效的完成项目施工。

总部在部署的过程中,遇到了话机、视频监控、打印机、扫描仪的功能失常问题,有些是在部署前没有考虑到,还有部分是终端自身的问题。经过2周左右的时间,我们把总部的有线无线准入都完成了。后绪我们选择了上海的一个营业部作为分公司的第一个站点。总部的架构毕竟与分公司不同。上海营业部作为分公司第一个站点,在我们部署准入项目的过程中,也是一个重点关注对象。只要能够顺利完成上海分部的项目部署,对于我们而言,其他分公司的部署只是上海分部的一个拷贝。

在上海分部,我们测试和部署大概花了2周时间,在踩了很多坑并确认系统运行正常后,我们对分公司的部署树立了极大的信心。在安排分公司的部署时,我以上海为核心,以上海分部为起点,从江浙地区辐射出去,由近及远的安排部署工作。主要是考虑到两方面,一是如果出现问题,我方技术人员能够第一时间赶赴现场。另外一个是设备调配的问题,准入的部署是基于交换机的,不是所有的交换机都能完全适配准入系统,需要前期对设备进行升级,升级的过程中可能会出现故障,分公司本地没有备机也没有专业的技术人员,因此从总部调配设备和人力就要求越快越好。

经统计,我司大概有30多台设备需要升级,这些设备被安排分为6个批次进行升级,一次升级多台,在升级过程中,如果有一台出现不可回退的故障,那么就终止整个升级流程。升级设备从网络接入层设备开始,防止汇聚设备在实施过程中产生的故障影响未实施的接入设备。从目前看来,这种策略还是挺明智的选择。

在实施的过程中,我们将遇到的问题集中起来,形成了一份表格文档。同时,也对一些无法解决的问题,做了记录,精确到各个设备和所有者。这些文档是我们以后排查故障的依据和经验,也是供应商最后需要提供的交付文档的一部分。

2、项目技术支持

安装客户端因为客户端安装后,会生效一些终端软件策略,因此部署的时候,我采用的是按分站点部署,每安装一个站点,完成整个网络准入部署后,再进行下一个站点的部署。一般一个站点部署需要1周左右的时间准备,多个站点交叉并行部署,能够节省很多时间。由于没有使用策略推送,而是安排分公司当地IT人员手动下发安装,因此在后绪部署的时候,经常会遇到有没有安装的电脑没法上网。此外还有个别电脑因为系统本身的原因没有安装上,只能通过重装系统的方式重新部署。升级交换机使用命令copy结合tftp传送IOS,需要注意的是IOS的版本,还有交换机Flash的剩余空间,传送IOS完成后检查文件大小是否完整传送,升级完成后需要检查下客户端是否可以正常上网。

交换机准入配置

接口自动恢复errdisable recovery cause all                      自动恢复errdisable接口errdisable recovery interval 30                   每30秒执行自动恢复操作启用 AAAaaa new-model                 开启AAA认证aaa authentication login default line local none            配置AAA登陆策略aaa authentication dot1x default group radius none     配置dot1x认证策略aaa authorization network default group radius            配置dot1x授权策略radius-server host 10.188.64.158 auth-port 1812 acct-port 1813 key abc123    配置radius认证服务器radius-server retransmit 3                           服务器尝试连接次数为3次 radius-server vsa send authentication        配置交换机发送厂商特别属性到AAA服务器,目的是要获取用户的VLAN信息dot1x system-auth-control                         全局开启dot1x认证在端口下启用 802.1xinterface fastethernet 0/13switchport mode accessswitchport access vlan 10authentication port-control autodot1x pae authenticator     spanning-tree portfastauthentication host-mode multi-auth    新版本功能多客户端认证,老版本如果交换机下面接了小交换机,其中一个客户端通过了,那其他客户端就不需要认证,这个功能就是可以让所有小交换机上的客户端都需要认证mab eap

踩过的“坑”

3、一些项目心得

不要全部相信用户的话在部署中,我们前一晚部署完成后,检查都是正常的。第二天早上,往往会有用户报障说整个站点全部故障。但仔细了解后,才会发现受影响范围没有那么夸张。从用户的角度看,故意夸大故障范围,提升故障等级,能够得到运维人员的重视和优先处理。作为一个专业的运维人员,首先不要因为用户的夸大而慌乱,然后像老医生一样,通过“望闻问切”的专业手法,自己判断缩小、定位、处理故障。变革是需要流血的通过历史,我们知道每次改朝换代都是需要流血的。同样,做项目也是这样的。一次次的失败迭代出了后来的成功。不要因为害怕流血而不去变革,变革流的血是暂时的,所有的一切都是为了未来的更好。只是在变革前,要做好充足的准备工作。见过太多的IT职场员工,在工作中遇到了很多问题,这些问题都是可以反馈上去的,或者处理掉后可以提升一两倍的工作效率。但他们就是不会去做。在某些公司,提出问题的人,会被上级赋予额外的工作量。大家都没问题,就你有问题,那你自己解决,也就是说成功是你的,失败更是你的。最后,因为要担责任,导致了很多问题大家都在“忍”,而不是去处理。作为运维人员要明白“变革“和”流血”是伴生的,为了一劳永逸的付出是值得的。为了到达远方,行路中磕磕碰碰流点血擦破点皮,都是正常的。让步也是前进在人的一生中,总会遇到一些无法解决的问题。多年后,再次回想,当初纠结一时的问题,也就这样而已。所有的问题都是能够解决的。后退是为了跳的更远。暂时的退让,不死磕小问题,能够让项目更好更顺利的按计划推进。


版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:硬盘接口进化简史(早期硬盘使用的接口)
下一篇:springboot 日志彩色消失的2种解决方案
相关文章

 发表评论

暂时没有评论,来抢沙发吧~