EAD解决方案实施方案指导书V1.1

EAD解决方案实施方案指导书V1.1

1 客户网络情况调查............................................................................................................................ 1-2

1.1 概述 ....................................................................................................................................... 1-2

1.2 账号情况................................................................................................................................. 1-2

1.3 网络设备情况.......................................................................................................................... 1-2

1.4 组网信息................................................................................................................................. 1-2

1.5 终端操作系统情况 ................................................................................................................... 1-3

1.6 终端操作系统杀毒软件情况...................................................................................................... 1-3

1.7 服务器情况 ............................................................................................................................. 1-3

1.8 操作系统及数据库情况............................................................................................................. 1-3

2 EAD组网方案选择........................................................................................................................... 2-4

2.1 802.1xEAD典型组网............................................................................................................... 2-4

2.1.1 推荐的组网： ................................................................................................................ 2-4

2.1.2 不推荐的组网 ................................................................................................................ 2-6

2.2 Portal EAD典型组网 ............................................................................................................... 2-8

2.2.1 二层portal EAD............................................................................................................. 2-8

2.2.2 三层Portal EAD ............................................................................................................ 2-9

2.3 L2TP VPN EAD.................................................................................................................... 2-11

2.4 无线EAD.............................................................................................................................. 2-12

3 与组网相关的EAD特性制订.......................................................................................................... 3-13

3.1 设备支持身份认证协议能力检查 ............................................................................................. 3-13

3.2 设备acl资源是否够用检查..................................................................................................... 3-14

3.3 与第三方LDAP服务器对接检查............................................................................................. 3-14

3.4 iNode安装环境检查............................................................................................................... 3-14

3.5 iNode与防病毒软件适配情况检查........................................................................................... 3-15

3.6 业务软件产品部署方式确认.................................................................................................... 3-15

3.7 inode管理中心部署方案确认.................................................................................................. 3-15

3.8 iNode客户端部署方案确认..................................................................................................... 3-16

4 工程界面说明................................................................................................................................. 4-16

4.1 实施方负责完成的工作： ....................................................................................................... 4-17

4.2 客户方负责完成的工作........................................................................................................... 4-17

1 客户网络情况调查

1.1 概述

此处用于对客户的网络情况进行简要的描述，如局点名称，多少用户，有哪些设备等。

1.2 账号情况

此处请检查EAD的license是否够用

?账号数不是指在线用户数，而是在iMC EAD中开户的数量

?如果账号是从LDAP服务器中同步过来的，需要确保同步的LDAP服务器中的用户数小于iMC

EAD的license数。

?iMC EAD的license数目以客户实际购买数量为准。

1.3 网络设备情况

此处仅统计与EAD相关做身份认证的设备情况

1.4 组网信息

1. 组网说明

2. 组网图

1.5 终端操作系统情况

此处仅统计需要安装iNode客户端做EAD认证的用户。

常见的操作系统有：widnows,linux,MacOS等

1.6 终端操作系统杀毒软件情况

1.7 服务器情况

如果有多个服务器，请添加多行

Raid请填写该服务器是否有Raid卡，radi卡大小是多少。

1.8 操作系统及数据库情况

?为了保障业务软件产品的正常运行，请确保现场的操作系统及数据库为正版

?常见的虚拟机有Vmware等

?为了保障业务软件产品的正常运行，要求服务器服务器专机专用，除了业务软件产品及必要杀

毒软件外，不能安排其它厂家的软件产品。

2 EAD组网方案选择

根据客户的网络情况，选择合适的EAD组网方案。

2.1 802.1xEAD典型组网

2.1.1 推荐的组网：

1. 接入层交换机二次acl下发方式

组网说明：

?802.1x认证起在接入层交换机上

?采用二次ACL下发的方式（隔离acl,安全acl）来实现对安全检查不合格的用户进行隔离，对安全检

查合格的用户放行

?由于是二次acl下发的方式，要求接入层交换机为H3C交换机（具体的交换机型号请参考EAD的产

品版本配套表）

?控制点低，控制严格（采用802.1x认证方式，接入用户未通过认证前无法访问任何网络资源）

?由于802.1x控制非常严格，非通过认证的用户无法访问任何网络资源，但有些场景下用户需要用户

未认证前能访问一些服务器，如DHCP,DNS,AD(active directory域控)，此时可以通过H3C交换机的EAD快速部署物性来实现，关于该特性的具体描述请参考：

https://www.wendangku.net/doc/6c3619866.html,/kms/kms/search/view.html?id=14452

?为确保性能，iMC EAD一般要求分布式部署

2. 客户端acl方式

对于不支持二次acl下发的交换机（我司部分设备及所有第三方厂家交换机），可以通过使用iNode 的客户端acl功能来实现隔离区的构造，即将原本下发到设备上的acl下发到iNode客户端上。

组网说明：

?802.1x认证起在接入层交换机上（要求接入层交换机对802.1x协议有很好的支持），控制点低，控

制严格

?终端用户DHCP或静态IP地址均可

?二次acl下发到iNode客户端上，隔离区构造方便。

?二次acl下发需要iNode定制“客户端acl特性”，该特性需要iNode安装额外的驱动，对终端操作

系统的稳定性有较高的要求。

?对于802.1x起在第三方厂家交换机上的场景，要求客户能提供或协调提供第三方厂家能的技术支持。

3. 下线＋不安全提示阈值方式

在接入层设备不是H3C交换机的情况下，由于设备不支持二次acl下发无法采用二次acl下发的方式来构造隔离区，此时可以通过下线＋不安全提示阈值的方式来模拟构造隔离区，实现EAD功能。具体实现为：用户安全检查不合格时，EAD不立即将终端用户下线而是给出一定的修复时间（不安全提示阈值），终端用户可以如果在该时间内完成的安全策略修复则可以正常通过EAD认证访问网络，如果在该时间内未完成安全策略修复则被下线。

组网说明：

?802.1x认证起在接入层交换机上（要求接入层交换机对802.1x协议有很好的支持），控制点低，控

制严格

?终端用户DHCP或静态IP地址均可

?采用下线＋不安全提示阈值方式认证过程简单，稳定。

?由于终端用户在不安全时在“不安全提示阈值”时间内与安全用户访问网络的权限是一样的，安全性

上不如二次acl下发方式好。

2.1.2 不推荐的组网

1. 汇聚层80

2.1xEAD

在下面的场景中，由于网络中的接入层交换机不支持802.1x认证，而H3C交换机又是基于MAC来认证的，于是容易产生如下图所示的将一台支持802.1xEAD的H3C交换机放到汇聚层，下面接不支持802.1x 认证的交换机或hub的方案，这种方案在实际使用中是不推荐的，主要原因如下：

?802.1x本身是一个接入层的概念，H3C交换机做EAD的acl资源多是基于接入层设计的，如果把交

换机放在汇聚层，下面接的用户过多，很容易出现acl资源不足导致用户无法上线的问题

?终端用户认证通过后需要与认证交换机维护802.1x握手（eap报文），由交换机在汇聚层与终端用户

隔了一层或几层的第三方厂家交换机，这些厂家的交换机不支持802.1x,容易将eap报文过滤掉从而造成终端用户认证后掉线

?认证交换机放在汇聚层，终端用户与认证交换机之间是共享域，在其中往往充斥着大量的广播报文，

802.1x是eap报文，无论是PC的网卡还是交换机对其处理的优先级都不高，在流量大的时候容易被网卡或交换机丢弃从而造成用户认证后掉线。

下面的场景建议使用portal EAD方式.(需要增加portal设备)

2. guest-vlan方式

guest-vlan技术简介：由于802.1x协议控制非常严格，用户认证前无法访问任何网络资源。如果客户在未通过802.1x认证前也需要访问一些网络资源，可以通过guest-vlan来实现。端口配置了guest-vlan后，用户默认属于guest-vlan，可以访问guest-vlan的资源，用户802.1x认证后用户切换到正常vlan,可以访问正常vlan的资源，一般情况下在guest-vlan下会放置文件服务器，DHCP服务器等提供基本的网络服务。

由于guest-vlan是一个天然的隔离区，技术上可以通过guest-vlan＋下线的方式来实现EAD，即用户安全检查合格后切换到正常vlan,如果安全检查不合格则将用户下线，用户切换回guest-vlan,只能访问guest-vlan能的相关病毒、补丁服务器来修复安全策略。

guest-vlan一个突出的优点是用户认证前即可以访问部分网络资源，可以完成下载认证客户端等操作.但限制也较大，实际使用中建议优先采用portal方式或下线＋不安全提示阈值的方式来实现EAD。

?由于用户认证前属于guest-vlan,认证后需要切换到正常vlan,要求终端用户地址采用DHCP方式，不

能采用静态IP

?用户认证属要从guest-vlan切换到正常vlan,下线后又要从正常vlan切换到guest-vlan.整个过程涉及

到两次IP地址的release及renew,比较复杂，容易出现地址获取不正确等不稳定问题。

?guest-vlan要求第三方厂家设备对guest-vlan有很好的支持，由于guest-vlan应用不多，各个厂家各

个版本实现不一致，实施过程中出了问题很难得到有效技术支持。

2.2 Portal EAD典型组网

Portal本身就是一个天然的隔离区,即未通过认证的用户访问的网络资源是受限的，通过认证的用户可以正常的访问网络。同于portal的这种特性，实际使用中往往采用下线＋不安全提示阈值的方案，对于安全检查不合格的用户通过下线将其放入“隔离区”。

下面介绍一下portal EAD的常用组网。

2.2.1 二层portal EAD

如图所示，所谓二层portal即到portal设备的报文为带vlan-tag的二层报文。

?身份认证采用portal认证

?一般采用下线的方式即可实现将终端用户放入隔离区来实现EAD

?Portal设备的具体型号请参考EAD的版本说明书

2.2.2 三层Portal EAD

三层Portal即到Portal设备做认证的流量是IP报文，三层portal主要有如下两种组网：

1. 策略路由方式

如下图所示，Portal设备侧挂在网关上，由网关将需要portal EAD认证的流量策略路由到Portal设备上做EAD认证，这种组网方式对现场改动小，策略灵活（仅将需要认证的流量策略路由到portal设备上，不需要认证的流量可以正常通过网关转发）

组网说明

?身份认证采用portal认证

?一般采用下线的方式即可实现将终端用户放入隔离区来实现EAD

?Portal设备的具体型号请参考EAD的版本说明书

?网关设备需要支持策略路由

?终端用户与iMC之间不能有NAT

?终端用户到iMC的流量一定要经过portal设备，不能出现终端用户不经过portal设备直接访问iMC

的情况，否则portal认证会异常。

2. 串接方式

如果网关设备不支持策略路由，可以将Portal设备串接在网关与出口路由器之间。

组网说明：

?身份认证采用portal认证

?一般采用下线的方式即可实现将终端用户放入隔离区来实现EAD

?Portal设备的具体型号请参考EAD的版本说明书

?终端用户与iMC之间不能有NAT

?终端用户到iMC的流量一定要经过portal设备，不能出现终端用户不经过portal设备直接访问iMC

的情况，否则portal认证会异常。

2.3 L2TP VPN EAD

终端用户身份认证采用l2tp方式,EAD通过二次acl下发到安全联动网关来实现EAD。

组网说明：

?终端用户采用l2tp方式做身份认证

?如果需要安全性防护可以采用l2tp over IPSec的方案

?二次acl下发均下发到安全联动VPN网关上，网关的具体型号请参考EAD版本说明书

2.4 无线EAD

无线EAD目前只支持Portal方式的EAD，不支持基于802.1x认证方式的EAD。

组网说明：

?AC除了完成AP的注册及控制外，同时起用portal认证

?一般采用下线的方式即可实现将终端用户放入隔离区来实现EAD

?支持EAD AC的具体型号请参考EAD的版本说明书

?终端用户与iMC之间不能有NAT

?终端用户到iMC的流量一定要经过portal设备，不能出现终端用户不经过portal设备直接访问iMC

的情况，否则portal认证会异常。

?由于AC转发性能的考虑，用户的网关不要设在AC上

3 与组网相关的EAD特性制订

3.1 设备支持身份认证协议能力检查

EAD认证过程分为身份认证与安全认证两部分，目前支持的身份认证协议有802.1x,portal,l2tp三种。同时设备与iMC UAM要交互raidus。这四种协议与设备相关，需要设备对这些协调有良好的支持才能保证EAD解决方案的稳定运行。

portal是我司私有协议，目前只有我司设备支持，所以不存在稳定性问题。

l2tp是标准协议，但l2tp下的EAD目前也只有我司设备可以实现，所以也不存在稳定性问题。

802.1x下的EAD只需要设备支持802.1x及radius就可以实现EAD的大部分功能，由于802.1x协议及radius协议均是标准协议，大部分厂家都支持，所以这部分要重点关注。目前经过验证与EAD配合较好的交换机有我司，cisco及锐捷的部分交换机产品，其它产品还未配套过。配套过的产品型号及版本情况请查看iMC EAD的《产品版本配套表》。

在与未配套过的交换机产品做802.1x EAD及请重点关注设备对802.1x协议及radius的支持，建议这种场景最好改为Portal认证，如果无法更改，则请联系二线以便推动研发做适配测试，同时要求客户能提供对这些交换机的技术支持，以便在实施时能及时解决问题。

3.2 设备acl资源是否够用检查

EAD的精髓在于能隔离不安全的用户，前面EAD的典型组网中也有介绍，EAD隔离区的构造主要有以下几种方案：

?二次acl下发到设备构造隔离区

?二次acl下发到iNode客户端构造隔离区

?portal的天然隔离区

?guest-vlan构造隔离区

二次acl下发到设备构造隔离区是比较常用的方式，这种方案需要设备支持acl同时支持二次acl下发（即支持EAD的交换机），关于设备是否支持二次ACL下发可以查看iMC EAD的产品版本配套表。这时需要重点检查客户的所需的隔离acl条数，安全acl条数，检查这此acl条数乘以设备的最大在线用户数是否会超过设备的acl资源（关于不同设备的acl资源请参考设备的相关资料），否则会因为acl资源不足导致客户端不能上线。

3.3 与第三方LDAP服务器对接检查

如果iMC需要与第三方LDAP服务器如（微软的AD）对接以便同步用户名。则需要检查以下两项

?该LDAP服务器是否与EAD配套过。与EAD配套的LDAP服务器可以从iMC EAD的版本说明书中

查询到。

?iMC EAD同步LDAP服务器上某个OU下的用户，则用户需要提供该OU下具有管理员权限的管理员

DN及密码。

?如果该LDAP服务器未与EAD配套，由于LDAP是标准协议，只要该服务器对LDAPV3版本有良好

的支持，一般情况下也可以对接成功，这需要实际测试，或者联系二线组织验证。

3.4 iNode安装环境检查

iNode的版本说明书中有最新的对操作系统的支持情况，请对照iNode的版本说明书同时对照1.5节统计的操作系统情况，检查是否符合iNode的安装要求。

iNode目前已经明确不支持windows 98的环境，如果客户网络中有windows98的环境，目前的处理方式有如下几种：

?将这部分windows 98改为windows XP

?这部分PC配置为不认证或免认证

?安装早期版本的inode客户端，只做身份认证。

linux客户端目前还不支持EAD，但支持802.1x身份认证.目前linux客户端适配的操作系统版本有限，如果现场的操作系统未适配过请提前联系二线确认是否支持。关于与iNode适配过的linux操作系统详细情况请参考iNode的产品版本配套表。同时Linux客户端目前使用上存在一些限制，如不支持DHCP环境等，详见iNode的《版本说明书》

MAC OS客户端目前还不支持EAD，但支持802.1x身份认证,

3.5 iNode与防病毒软件适配情况检查

iNode与防病毒软件的联动功能对防病毒软件的版本有要求，具体支持的防病毒软件厂家、产品及版本请见iNode的《版本说明书》

请对照1.6节检查客户网络中的防病毒软件版本是否与iNode配套，如未配套请及时提交需求电子流推动研发进行适配或采用可控软件的方式时行规避。

3.6 业务软件产品部署方式确认

请对照《H3C智能管理中心部署和硬件配置方案》确认部署方案，关于《H3C智能管理中心部署和硬件配置方案》可以从如下位置下载。

/01-IP网络产品/30-业务软件/iMC/文档中心/开局篇/

3.7 inode管理中心部署方案确认

iNode管理中心目前只支持安装在windows操作系统上。具体的操作系统版本请参考iNode最新的《版本说明书》

理论上iNode管理中心只要安装在终端用户可访问的服务器上即可，实际部署为了节省服务器往往与iMC 服务器安装在一起，具体分为如下几种情况：

如果iMC EAD服务器为单机，iNode管理中心可以与EAD服务器安装在一起以节省服务器资源。

如果iMC EAD为dbman冷备，推荐安装在冷备机上，因为iNode管理中心升级往往会重启服务器，安装在EAD备机可以最大程度上减少因服务器重启对终端用户认证的影响。

如果iMC EAD为双机热备，请将iNode管理中心安装在节点1及节点2的本地（即两个节点都安装）而不要安装在存储资源上。

如果iMC EAD为linux或solaris版本，iNode管理中心只能安装在其它的windows服务器上。

3.8 iNode 客户端部署方案确认

iNode 客户端安装简单，同时支持静默安装，客户完全有能力自行安装同时iNode 客户端部署工作量巨大，为了降低EAD 服务的成本，EAD 解决方案服务产品中不包括iNode 客户端安装的工作量。请在实施前向客户明确iNode 客户端的具体安装由客户负责，我司负责安装过程中问题的解决及安装方案建议。

具体的iNode 部署有如下几种方案

portal EAD 的场景下，由于客户身份认证前即可以获取IP 并访问一定的网络资源，可以将iNode 版本放在终端用户身份认证前即可以访问的网络资源上供终端用户下载，同时通过用户已有的IT 系统将inode 的下载方式通知到终端用户。无线EAD 目前只支持Portal 方式，所以无线EAD 下的部署方案同Portal EAD

802.1xEAD 的环境中，如果是我司设备且支持EAD 快速部署特性，可以通过在接入层交换机上配置dot1x free ip 来使用终端用户在通过802.1x 认证前即可以获得IP 地址并访问一定的网络资源。可以将iNode 版本放在终端用户身份认证前即可以访问的网络资源上供终端用户下载，同时通过用户已有的IT 系统将inode 的下载方式通知到终端用户。

关于EAD 是否支持快速部署特性请参考交换机的相关资料。 关于EAD 快速部署特性可以参考如下案例

https://www.wendangku.net/doc/6c3619866.html,/kms/kms/search/view.html?id=14452 https://www.wendangku.net/doc/6c3619866.html,/kms/kms/search/view.html?id=14454 https://www.wendangku.net/doc/6c3619866.html,/kms/kms/search/view.html?id=15324

对于不支持EAD 快速部署特性的交换机（我司老型号交换机及所有第三方厂家交换机）,在交换机上启动802.1x 认证后，终端用户802.1x 认证前无法访问任何网络资源，同样无法下载客户端。通用的方式是先不起802.1x 认证，提前通过用户的IT 系统通知终端用户下载安装iNode,后续统一开启认证。开启认证后新用户的iNode 客户端安装通过介质拷贝给客户。

4 工程界面说明

一个典型的EAD 解决方案实施包含如下四部分内容，由于涉及到客户的具体业务及第三方的产品，有些内容需要客户配合完成。此处对EAD 各部分内容部署时的工程分工界面说明如下：

iMC 服务器安装及调试

第三方厂家产品对接

安全联动设备调试

iNode 客户端部署

EAD

解

决方案

4.1 实施方负责完成的工作：

1. 服务器操作系统及数据库安装

2. iMC平台及各组件的安装及部署

3. 账号方案建议

4. EAD解决方案安全策略建议

5. 与第三方厂家产品对接时iMC侧调试工作

6. 安全联动设备EAD相关的配置及调试

7. iNode部署方案建议

8. 部署过程中问题解决

9. EAD解决方案业务培训

4.2 客户方负责完成的工作

1. 提供符合EAD要求的服务器

2. 提供正版的操作系统及数据库软件

3. 提供开通EAD业务相关的资料，如账号信息，桌面资产编号。

4. 在与非H3C设备配合实现EAD时，对非H3C设备能协调提供必要的技术支持

5. 在与第三方厂家产品如LDAP服务器对接时，提供这些产品的技术支持

6. 配合完成iNode客户端的安装

7. 具体业务（如开户，桌面资产管理、可控软件定义、软件补丁定义）的执行。