亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

利用網絡準入把好企業網入網第一道關

發布時間:2020-06-26 16:34:12 來源:網絡 閱讀:4277 作者:Grodd 欄目:安全技術

? ? ? ?最近完成了公司的準入項目,項目歷時3個多月,部署點位將近上千個。在部署的過程中,也曾踩過各種各樣的坑。公司采用某第三方軟件系統作為準入控制平臺。該套系統采用雙機熱備的方式部署。該系統功能豐富,除了采用802.1x認證外,該套系統還支持桌面管理、進程管理、非授權外連等功能。?802.1x協議的主要目的是為了解決局域網用戶的接入認證問題。802.1x就是IEEE為了解決基于端口的接入控制而定義的一個標準。本文僅對此項目部署dot1x部分做一個詳細的總結。


1、項目流程安排

? ? ? ?在項目調研階段,我們聯系了原廠售前,進行軟件平臺、公司需求等信息的交流,在簡單了解了該軟件平臺各模塊功能后,我們選擇了幾個模塊提出了測試需求。經過一到兩周的搭建和測試后,廠商輸出了以下測試表單。

利用網絡準入把好企業網入網第一道關

? ? ? ?在測試功能的過程中,我們感覺該廠商的產品性能穩定、功能豐富,滿足公司的需求。因此,我們很快完成了立項、招投標等工作。在一次供應商的項目交流啟動會后,該項目拉開了帷幕。于此同時,我擔任該項目項目經理一職,負責整個項目的進度安排、資源協調和技術支持工作。


? ? ? ?我司總部位于上海,有近二三十個分公司,各分公司遍布全國各個省市。在項目安排上,我們先部署的是總公司,因為辦公點就在總公司,在項目實施的過程中,如果出現問題,可以盡快的解決。而且總部的部署,能夠讓我們盡快熟悉供應商的產品。同時,也便于我司與供應商人力上的交流和協同。在專業程度上,我們信任供應商;在公司架構熟悉程度上,供應商也信任我們。正是在這種相互信任的情況下,我們才能按時高效的完成項目施工。


? ? ? ?總部在部署的過程中,遇到了話機、視頻監控、打印機、掃描儀的功能失常問題,有些是在部署前沒有考慮到,還有部分是終端自身的問題。經過2周左右的時間,我們把總部的有線無線準入都完成了。后緒我們選擇了上海的一個營業部作為分公司的第一個站點。總部的架構畢竟與分公司不同。上海營業部作為分公司第一個站點,在我們部署準入項目的過程中,也是一個重點關注對象。只要能夠順利完成上海分部的項目部署,對于我們而言,其他分公司的部署只是上海分部的一個拷貝。


? ? ? ?在上海分部,我們測試和部署大概花了2周時間,在踩了很多坑并確認系統運行正常后,我們對分公司的部署樹立了極大的信心。在安排分公司的部署時,我以上海為核心,以上海分部為起點,從江浙地區輻射出去,由近及遠的安排部署工作。主要是考慮到兩方面,一是如果出現問題,我方技術人員能夠第一時間趕赴現場。另外一個是設備調配的問題,準入的部署是基于交換機的,不是所有的交換機都能完全適配準入系統,需要前期對設備進行升級,升級的過程中可能會出現故障,分公司本地沒有備機也沒有專業的技術人員,因此從總部調配設備和人力就要求越快越好。

? ? ?

? ? ? 經統計,我司大概有30多臺設備需要升級,這些設備被安排分為6個批次進行升級,一次升級多臺,在升級過程中,如果有一臺出現不可回退的故障,那么就終止整個升級流程。升級設備從網絡接入層設備開始,防止匯聚設備在實施過程中產生的故障影響未實施的接入設備。從目前看來,這種策略還是挺明智的選擇。


? ? ? 在實施的過程中,我們將遇到的問題集中起來,形成了一份表格文檔。同時,也對一些無法解決的問題,做了記錄,精確到各個設備和所有者。這些文檔是我們以后排查故障的依據和經驗,也是供應商最后需要提供的交付文檔的一部分。


2、項目技術支持

  • 安裝客戶端

    因為客戶端安裝后,會生效一些終端軟件策略,因此部署的時候,我采用的是按分站點部署,每安裝一個站點,完成整個網絡準入部署后,再進行下一個站點的部署。一般一個站點部署需要1周左右的時間準備,多個站點交叉并行部署,能夠節省很多時間。由于沒有使用策略推送,而是安排分公司當地IT人員手動下發安裝,因此在后緒部署的時候,經常會遇到有沒有安裝的電腦沒法上網。此外還有個別電腦因為系統本身的原因沒有安裝上,只能通過重裝系統的方式重新部署。


  • 升級交換機

    使用命令copy結合tftp傳送IOS,需要注意的是IOS的版本,還有交換機Flash的剩余空間,傳送IOS完成后檢查文件大小是否完整傳送,升級完成后需要檢查下客戶端是否可以正常上網。


  • 交換機準入配置

  1. 接口自動恢復

    errdisable recovery cause all? ? ? ? ? ? ? ? ? ? ? 自動恢復errdisable接口

    errdisable recovery interval 30? ? ? ? ? ? ? ? ? ?每30秒執行自動恢復操作

  2. 啟用 AAA

    aaa new-model? ? ? ? ? ? ? ? ?開啟AAA認證

    aaa authentication login default line local none? ? ? ? ? ? 配置AAA登陸策略

    aaa authentication dot1x default group radius none? ? ?配置dot1x認證策略

    aaa authorization network default group radius? ? ? ? ? ? 配置dot1x授權策略

    radius-server host 10.188.64.158 auth-port 1812 acct-port 1813 key?abc123? ? 配置radius認證服務器

    radius-server retransmit 3? ? ? ? ? ? ? ? ? ? ? ? ? ?服務器嘗試連接次數為3次?

    radius-server vsa send authentication? ? ? ??配置交換機發送廠商特別屬性到AAA服務器,目的是要獲取用戶的VLAN信息

    dot1x system-auth-control? ? ? ? ? ? ? ? ? ? ? ? ?全局開啟dot1x認證

  3. 在端口下啟用 802.1x

    interface fastethernet 0/13

    switchport mode access

    switchport access?vlan 10

    authentication port-control auto

    dot1x pae authenticator? ? ?

    spanning-tree portfast

    authentication host-mode multi-auth? ??新版本功能多客戶端認證,老版本如果交換機下面接了小交換機,其中一個客戶端通過了,那其他客戶端就不需要認證,這個功能就是可以讓所有小交換機上的客戶端都需要認證

    mab eap


  • 踩過的“坑”

  1. error-disable狀態的接口

    第一次在總部測試部署時,沒有配置error-disable命令。在部署后,發現絕大部分話機出現問題,取消接口準入配置也沒有恢復,檢查接口狀態,發現接口處于error-disable狀態。這個狀態是思科交換機的自我保護機制,主要是為了防止問題的擴大,如接口反復的翻動消耗設備大量的資源等情況。解決這個問題有兩種方式,一是手工重啟下接口,這是臨時的一種做法;另一種是通過命令配置自動恢復,當接口處于error-disable時,每過一段時間間隔,交換機自動重置接口,解除error-disable狀態。因為在總部的準入部署經驗,我們在后期部署時,都配置上了該命令。


  2. 遺漏的免檢設備

    項目的順利與否往往取決于前期準備工作。準備的越充分,后面填的坑也就越小。網絡作為七層模型的低層,往往涉及到很多業務系統。就像馬路一樣,上面來往的不止是小汽車、貨車、大巴等,還有可能是滑板車、自行車、馬車等千奇百怪的交通工具。在整個準入項目最前期需要做的就是統計資源。所謂的資源,不只是電腦和服務器,還有話機、AP、監控、門禁、視訊設備等。因為各分公司有各自的IT人員,但由于某些原因,統計設備不完全,導致一些設備在準入系統上線后沒法正常使用。這時候就需要填坑了。


  3. 沒有加域的電腦

    我司的準入策略要求有兩個,首先電腦要加域,其次電腦上要有準入客戶端。同時滿足這兩個條件,那么設備才被允許入網。在部署完成后,我們發現有好多終端電腦都沒有加域。主要原因還是由于某些分公司IT人員個人問題,做事敷衍了事導致的。在無法上網后,責令當地IT人員安裝完客戶端后,準入系統部署成功。


  4. 不兼容的IP話機

    網絡準入系統上線后,所有的有線無線接口都能受管控了,這是一個美好的理想狀態。當然,這是不可能的。我們在部署的過程中,發現有部分型號的話機在接入交換機配置準入后,根本無法完成話機注冊。除了換設備,沒有特別好的方法。換設備的話,首先要考慮的是成本,包括時間和金錢。在考慮到成本后,我們決定退一步,解除了該上連設備的接口準入配置,并將設備記錄在冊。再下一次設備汰換時,這部分設備處于優先序列。


  5. 升不了級的交換機

    除了以上問題,在升級交換機的過程中,我們也遇到了坑。升級的過程是成功的,結果是失敗的。升級完成后,我們檢查了接口都是正常的。設備運行也是穩定的,也成功運行了新版本。然后,我們美滋滋的下班了。第二天,就接到用戶報障,檢查后,在交換機上發現了以下日志信息:

    利用網絡準入把好企業網入網第一道關

    日志信息顯示思科不認為該設備是合法設備。目測該設備是以前維修過的,類似“組裝機”一樣。新版本的IOS可能有檢查機制,因此不能正常使用。網上查閱后,找到一個解決方法,通過斷電重啟能夠恢復。我們網內有兩臺設備遇到這個問題,其中只有一臺通過這種操作恢復了正常。另外一臺,只能通過換設備的方式完成部署。


3、一些項目心得

  • 不要全部相信用戶的話

    在部署中,我們前一晚部署完成后,檢查都是正常的。第二天早上,往往會有用戶報障說整個站點全部故障。但仔細了解后,才會發現受影響范圍沒有那么夸張。從用戶的角度看,故意夸大故障范圍,提升故障等級,能夠得到運維人員的重視和優先處理。作為一個專業的運維人員,首先不要因為用戶的夸大而慌亂,然后像老醫生一樣,通過“望聞問切”的專業手法,自己判斷縮小、定位、處理故障。


  • 變革是需要流血的

    通過歷史,我們知道每次改朝換代都是需要流血的。同樣,做項目也是這樣的。一次次的失敗迭代出了后來的成功。不要因為害怕流血而不去變革,變革流的血是暫時的,所有的一切都是為了未來的更好。只是在變革前,要做好充足的準備工作。


    見過太多的IT職場員工,在工作中遇到了很多問題,這些問題都是可以反饋上去的,或者處理掉后可以提升一兩倍的工作效率。但他們就是不會去做。在某些公司,提出問題的人,會被上級賦予額外的工作量。大家都沒問題,就你有問題,那你自己解決,也就是說成功是你的,失敗更是你的。最后,因為要擔責任,導致了很多問題大家都在“忍”,而不是去處理。作為運維人員要明白“變革“和”流血”是伴生的,為了一勞永逸的付出是值得的。為了到達遠方,行路中磕磕碰碰流點血擦破點皮,都是正常的。


  • 讓步也是前進

    在人的一生中,總會遇到一些無法解決的問題。多年后,再次回想,當初糾結一時的問題,也就這樣而已。所有的問題都是能夠解決的。后退是為了跳的更遠。暫時的退讓,不死磕小問題,能夠讓項目更好更順利的按計劃推進。



向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

聂拉木县| 东莞市| 怀宁县| 三亚市| 仪征市| 苍南县| 台东市| 新化县| 深州市| 北海市| 德惠市| 崇阳县| 长白| 武夷山市| 望谟县| 甘德县| 太和县| 丽江市| 南皮县| 游戏| 澳门| 扎囊县| 客服| 太和县| 额尔古纳市| 定州市| 关岭| 墨脱县| 丰顺县| 望奎县| 吕梁市| 温泉县| 麟游县| 即墨市| 体育| 浦县| 海盐县| 云安县| 庆城县| 永泰县| 丹江口市|