XX网络改造项目工程实施方案.doc

XXXXXXXXX网络改造项目 V1.0 2010年7月 客户网络情况调查（可选） 概述 青海黄河鑫业水电网络项目（EAD部分）实施，本次主要实施为IMC平台部署、客户端安装、双机备份部署，以及对用户方的培训工作。 账号情况 此处请检查EAD的license是否够用 客户网络中的帐号数 iMC EAD的license数目 350（一期） 700 账号数不是指在线用户数，而是在iMC　EAD中开户的数量 如果账号是从LDAP服务器中同步过来的，需要确保同步的LDAP服务器中的用户数小于iMC EAD的license数。 iMC EAD的license数目以客户实际购买数量为准。 网络设备情况 此处仅统计与EAD相关做身份认证的设备情况 厂家 设备型号 版本 备注 H3C 5120EI 5.20 2202P06 24台(一期) 终端操作系统情况 此处仅统计需要安装iNode客户端做EAD认证的用户。 操作系统 版本 备注 Windows XPSP2 Windsows 7.0 常见的操作系统有：widnows,linux,MacOS等 终端操作系统杀毒软件情况 厂家 产品型号 版本 备注 卡巴斯基 卡巴斯基（网络版） V6.0加强 服务器情况 编号 厂家 CPU 内存 磁盘空间 Raid 备注 服务器１ IBM3650 E5520 2.27G 4G 300G RAID 1 如果有多个服务器，请添加多行 Raid请填写该服务器是否有Raid卡，radi卡大小是多少。 操作系统及数据库情况 项目 内容 备注 操作系统版本及补丁 Windows server 2008 操作系统是否正版本 正版 数据库版本及补丁 SQLserver 2008 数据库是否正版 正版 产品是否安装在虚拟机上 否 产品是否专机专用 是 为了保障业务软件产品的正常运行，请确保现场的操作系统及数据库为正版 常见的虚拟机有Vmware等 为了保障业务软件产品的正常运行，要求服务器服务器专机专用，除了业务软件产品及必要杀毒软件外，不能安排其它厂家的软件产品。 EAD组网方案选择 根据客户的网络情况，选择合适的EAD组网方案。 802.1xEAD典型组网 推荐的组网： 接入层交换机二次acl下发方式 组网说明： 802.1x认证起在接入层交换机上 采用二次ACL下发的方式（隔离acl,安全acl）来实现对安全检查不合格的用户进行隔离，对安全检查合格的用户放行 由于是二次acl下发的方式，要求接入层交换机为H3C交换机（具体的交换机型号请参考EAD的产品版本配套表） 控制点低，控制严格（采用802.1x认证方式，接入用户未通过认证前无法访问任何网络资源） 由于802.1x控制非常严格，非通过认证的用户无法访问任何网络资源，但有些场景下用户需要用户未认证前能访问一些服务器，如DHCP,DNS,AD(active directory域控)，此时可以通过H3C交换机的EAD快速部署物性来实现，关于该特性的具体描述请参考： /kms/kms/search/view.html?id=14452 为确保性能，iMC EAD一般要求分布式部署 客户端acl方式 对于不支持二次acl下发的交换机（我司部分设备及所有第三方厂家交换机），可以通过使用iNode的客户端acl功能来实现隔离区的构造，即将原本下发到设备上的acl下发到iNode客户端上。 组网说明： 802.1x认证起在接入层交换机上（要求接入层交换机对802.1x协议有很好的支持），控制点低，控制严格 终端用户DHCP或静态IP地址均可 二次acl下发到iNode客户端上，隔离区构造方便。 二次acl下发需要iNode定制“客户端acl特性”，该特性需要iNode安装额外的驱动，对终端操作系统的稳定性有较高的要求。 对于802.1x起在第三方厂家交换机上的场景，要求客户能提供或协调提供第三方厂家能的技术支持。 下线＋不安全提示阈值方式 在接入层设备不是H3C交换机的情况下，由于设备不支持二次acl下发无法采用二次acl下发的方式来构造隔离区，此时可以通过下线＋不安全提示阈值的方式来模拟构造隔离区，实现EAD功能。具体实现为：用户安全检查不合格时，EAD不立即将终端用户下线而是给出一定的修复时间（不安全提示阈值），终端用户可以如果在该时间内完成的安全策略修复则可以正常通过EAD认证访问网络，如果在该时间内未完成安全策略修复则被下线。 组网说明： 802.1x认证起在接入层交换机上（要求接入层交换机对802.1x协议有很好的支持），控制点低，控制严格 终端用户DHCP或静态IP地址均可 采用下