利用網(wǎng)絡(luò)準(zhǔn)入把好企業(yè)網(wǎng)入網(wǎng)第一道關(guān)

? ? ? ?最近完成了公司的準(zhǔn)入項(xiàng)目，項(xiàng)目歷時(shí)3個(gè)多月，部署點(diǎn)位將近上千個(gè)。在部署的過(guò)程中，也曾踩過(guò)各種各樣的坑。公司采用某第三方軟件系統(tǒng)作為準(zhǔn)入控制平臺(tái)。該套系統(tǒng)采用雙機(jī)熱備的方式部署。該系統(tǒng)功能豐富，除了采用802.1x認(rèn)證外，該套系統(tǒng)還支持桌面管理、進(jìn)程管理、非授權(quán)外連等功能。?802.1x協(xié)議的主要目的是為了解決局域網(wǎng)用戶的接入認(rèn)證問(wèn)題。802.1x就是IEEE為了解決基于端口的接入控制而定義的一個(gè)標(biāo)準(zhǔn)。本文僅對(duì)此項(xiàng)目部署dot1x部分做一個(gè)詳細(xì)的總結(jié)。

1、項(xiàng)目流程安排

? ? ? ?在項(xiàng)目調(diào)研階段，我們聯(lián)系了原廠售前，進(jìn)行軟件平臺(tái)、公司需求等信息的交流，在簡(jiǎn)單了解了該軟件平臺(tái)各模塊功能后，我們選擇了幾個(gè)模塊提出了測(cè)試需求。經(jīng)過(guò)一到兩周的搭建和測(cè)試后，廠商輸出了以下測(cè)試表單。

? ? ? ?在測(cè)試功能的過(guò)程中，我們感覺(jué)該廠商的產(chǎn)品性能穩(wěn)定、功能豐富，滿足公司的需求。因此，我們很快完成了立項(xiàng)、招投標(biāo)等工作。在一次供應(yīng)商的項(xiàng)目交流啟動(dòng)會(huì)后，該項(xiàng)目拉開(kāi)了帷幕。于此同時(shí)，我擔(dān)任該項(xiàng)目項(xiàng)目經(jīng)理一職，負(fù)責(zé)整個(gè)項(xiàng)目的進(jìn)度安排、資源協(xié)調(diào)和技術(shù)支持工作。

? ? ? ?我司總部位于上海，有近二三十個(gè)分公司，各分公司遍布全國(guó)各個(gè)省市。在項(xiàng)目安排上，我們先部署的是總公司，因?yàn)檗k公點(diǎn)就在總公司，在項(xiàng)目實(shí)施的過(guò)程中，如果出現(xiàn)問(wèn)題，可以盡快的解決。而且總部的部署，能夠讓我們盡快熟悉供應(yīng)商的產(chǎn)品。同時(shí)，也便于我司與供應(yīng)商人力上的交流和協(xié)同。在專業(yè)程度上，我們信任供應(yīng)商；在公司架構(gòu)熟悉程度上，供應(yīng)商也信任我們。正是在這種相互信任的情況下，我們才能按時(shí)高效的完成項(xiàng)目施工。

? ? ? ?總部在部署的過(guò)程中，遇到了話機(jī)、視頻監(jiān)控、打印機(jī)、掃描儀的功能失常問(wèn)題，有些是在部署前沒(méi)有考慮到，還有部分是終端自身的問(wèn)題。經(jīng)過(guò)2周左右的時(shí)間，我們把總部的有線無(wú)線準(zhǔn)入都完成了。后緒我們選擇了上海的一個(gè)營(yíng)業(yè)部作為分公司的第一個(gè)站點(diǎn)。總部的架構(gòu)畢竟與分公司不同。上海營(yíng)業(yè)部作為分公司第一個(gè)站點(diǎn)，在我們部署準(zhǔn)入項(xiàng)目的過(guò)程中，也是一個(gè)重點(diǎn)關(guān)注對(duì)象。只要能夠順利完成上海分部的項(xiàng)目部署，對(duì)于我們而言，其他分公司的部署只是上海分部的一個(gè)拷貝。

? ? ? ?在上海分部，我們測(cè)試和部署大概花了2周時(shí)間，在踩了很多坑并確認(rèn)系統(tǒng)運(yùn)行正常后，我們對(duì)分公司的部署樹(shù)立了極大的信心。在安排分公司的部署時(shí)，我以上海為核心，以上海分部為起點(diǎn)，從江浙地區(qū)輻射出去，由近及遠(yuǎn)的安排部署工作。主要是考慮到兩方面，一是如果出現(xiàn)問(wèn)題，我方技術(shù)人員能夠第一時(shí)間趕赴現(xiàn)場(chǎng)。另外一個(gè)是設(shè)備調(diào)配的問(wèn)題，準(zhǔn)入的部署是基于交換機(jī)的，不是所有的交換機(jī)都能完全適配準(zhǔn)入系統(tǒng)，需要前期對(duì)設(shè)備進(jìn)行升級(jí)，升級(jí)的過(guò)程中可能會(huì)出現(xiàn)故障，分公司本地沒(méi)有備機(jī)也沒(méi)有專業(yè)的技術(shù)人員，因此從總部調(diào)配設(shè)備和人力就要求越快越好。

? ? ?

? ? ? 經(jīng)統(tǒng)計(jì)，我司大概有30多臺(tái)設(shè)備需要升級(jí)，這些設(shè)備被安排分為6個(gè)批次進(jìn)行升級(jí)，一次升級(jí)多臺(tái)，在升級(jí)過(guò)程中，如果有一臺(tái)出現(xiàn)不可回退的故障，那么就終止整個(gè)升級(jí)流程。升級(jí)設(shè)備從網(wǎng)絡(luò)接入層設(shè)備開(kāi)始，防止匯聚設(shè)備在實(shí)施過(guò)程中產(chǎn)生的故障影響未實(shí)施的接入設(shè)備。從目前看來(lái)，這種策略還是挺明智的選擇。

? ? ? 在實(shí)施的過(guò)程中，我們將遇到的問(wèn)題集中起來(lái)，形成了一份表格文檔。同時(shí)，也對(duì)一些無(wú)法解決的問(wèn)題，做了記錄，精確到各個(gè)設(shè)備和所有者。這些文檔是我們以后排查故障的依據(jù)和經(jīng)驗(yàn)，也是供應(yīng)商最后需要提供的交付文檔的一部分。

2、項(xiàng)目技術(shù)支持

• 安裝客戶端

  因?yàn)榭蛻舳税惭b后，會(huì)生效一些終端軟件策略，因此部署的時(shí)候，我采用的是按分站點(diǎn)部署，每安裝一個(gè)站點(diǎn)，完成整個(gè)網(wǎng)絡(luò)準(zhǔn)入部署后，再進(jìn)行下一個(gè)站點(diǎn)的部署。一般一個(gè)站點(diǎn)部署需要1周左右的時(shí)間準(zhǔn)備，多個(gè)站點(diǎn)交叉并行部署，能夠節(jié)省很多時(shí)間。由于沒(méi)有使用策略推送，而是安排分公司當(dāng)?shù)豂T人員手動(dòng)下發(fā)安裝，因此在后緒部署的時(shí)候，經(jīng)常會(huì)遇到有沒(méi)有安裝的電腦沒(méi)法上網(wǎng)。此外還有個(gè)別電腦因?yàn)橄到y(tǒng)本身的原因沒(méi)有安裝上，只能通過(guò)重裝系統(tǒng)的方式重新部署。

  
  

• 升級(jí)交換機(jī)

  使用命令copy結(jié)合tftp傳送IOS，需要注意的是IOS的版本，還有交換機(jī)Flash的剩余空間，傳送IOS完成后檢查文件大小是否完整傳送，升級(jí)完成后需要檢查下客戶端是否可以正常上網(wǎng)。

• 交換機(jī)準(zhǔn)入配置

1. 接口自動(dòng)恢復(fù)

   errdisable recovery cause all? ? ? ? ? ? ? ? ? ? ? 自動(dòng)恢復(fù)errdisable接口

   errdisable recovery interval 30? ? ? ? ? ? ? ? ? ?每30秒執(zhí)行自動(dòng)恢復(fù)操作

2. 啟用 AAA

   aaa new-model? ? ? ? ? ? ? ? ?開(kāi)啟AAA認(rèn)證

   aaa authentication login default line local none? ? ? ? ? ? 配置AAA登陸策略

   aaa authentication dot1x default group radius none? ? ?配置dot1x認(rèn)證策略

   aaa authorization network default group radius? ? ? ? ? ? 配置dot1x授權(quán)策略

   radius-server host 10.188.64.158 auth-port 1812 acct-port 1813 key?abc123? ? 配置radius認(rèn)證服務(wù)器

   radius-server retransmit 3? ? ? ? ? ? ? ? ? ? ? ? ? ?服務(wù)器嘗試連接次數(shù)為3次?

   radius-server vsa send authentication? ? ? ??配置交換機(jī)發(fā)送廠商特別屬性到AAA服務(wù)器，目的是要獲取用戶的VLAN信息

   dot1x system-auth-control? ? ? ? ? ? ? ? ? ? ? ? ?全局開(kāi)啟dot1x認(rèn)證

3. 在端口下啟用 802.1x

   interface fastethernet 0/13

   switchport mode access

   switchport access?vlan 10

   authentication port-control auto

   dot1x pae authenticator? ? ?

   spanning-tree portfast

   authentication host-mode multi-auth? ??新版本功能多客戶端認(rèn)證，老版本如果交換機(jī)下面接了小交換機(jī)，其中一個(gè)客戶端通過(guò)了，那其他客戶端就不需要認(rèn)證，這個(gè)功能就是可以讓所有小交換機(jī)上的客戶端都需要認(rèn)證

   mab eap

• 踩過(guò)的“坑”

1. error-disable狀態(tài)的接口

   第一次在總部測(cè)試部署時(shí)，沒(méi)有配置error-disable命令。在部署后，發(fā)現(xiàn)絕大部分話機(jī)出現(xiàn)問(wèn)題，取消接口準(zhǔn)入配置也沒(méi)有恢復(fù)，檢查接口狀態(tài)，發(fā)現(xiàn)接口處于error-disable狀態(tài)。這個(gè)狀態(tài)是思科交換機(jī)的自我保護(hù)機(jī)制，主要是為了防止問(wèn)題的擴(kuò)大，如接口反復(fù)的翻動(dòng)消耗設(shè)備大量的資源等情況。解決這個(gè)問(wèn)題有兩種方式，一是手工重啟下接口，這是臨時(shí)的一種做法；另一種是通過(guò)命令配置自動(dòng)恢復(fù)，當(dāng)接口處于error-disable時(shí)，每過(guò)一段時(shí)間間隔，交換機(jī)自動(dòng)重置接口，解除error-disable狀態(tài)。因?yàn)樵诳偛康臏?zhǔn)入部署經(jīng)驗(yàn)，我們?cè)诤笃诓渴饡r(shí)，都配置上了該命令。

   
   

2. 遺漏的免檢設(shè)備

   項(xiàng)目的順利與否往往取決于前期準(zhǔn)備工作。準(zhǔn)備的越充分，后面填的坑也就越小。網(wǎng)絡(luò)作為七層模型的低層，往往涉及到很多業(yè)務(wù)系統(tǒng)。就像馬路一樣，上面來(lái)往的不止是小汽車、貨車、大巴等，還有可能是滑板車、自行車、馬車等千奇百怪的交通工具。在整個(gè)準(zhǔn)入項(xiàng)目最前期需要做的就是統(tǒng)計(jì)資源。所謂的資源，不只是電腦和服務(wù)器，還有話機(jī)、AP、監(jiān)控、門(mén)禁、視訊設(shè)備等。因?yàn)楦鞣止居懈髯缘腎T人員，但由于某些原因，統(tǒng)計(jì)設(shè)備不完全，導(dǎo)致一些設(shè)備在準(zhǔn)入系統(tǒng)上線后沒(méi)法正常使用。這時(shí)候就需要填坑了。

   
   

3. 沒(méi)有加域的電腦

   我司的準(zhǔn)入策略要求有兩個(gè)，首先電腦要加域，其次電腦上要有準(zhǔn)入客戶端。同時(shí)滿足這兩個(gè)條件，那么設(shè)備才被允許入網(wǎng)。在部署完成后，我們發(fā)現(xiàn)有好多終端電腦都沒(méi)有加域。主要原因還是由于某些分公司IT人員個(gè)人問(wèn)題，做事敷衍了事導(dǎo)致的。在無(wú)法上網(wǎng)后，責(zé)令當(dāng)?shù)豂T人員安裝完客戶端后，準(zhǔn)入系統(tǒng)部署成功。

   
   

4. 不兼容的IP話機(jī)

   網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)上線后，所有的有線無(wú)線接口都能受管控了，這是一個(gè)美好的理想狀態(tài)。當(dāng)然，這是不可能的。我們?cè)诓渴鸬倪^(guò)程中，發(fā)現(xiàn)有部分型號(hào)的話機(jī)在接入交換機(jī)配置準(zhǔn)入后，根本無(wú)法完成話機(jī)注冊(cè)。除了換設(shè)備，沒(méi)有特別好的方法。換設(shè)備的話，首先要考慮的是成本，包括時(shí)間和金錢。在考慮到成本后，我們決定退一步，解除了該上連設(shè)備的接口準(zhǔn)入配置，并將設(shè)備記錄在冊(cè)。再下一次設(shè)備汰換時(shí)，這部分設(shè)備處于優(yōu)先序列。

   
   

5. 升不了級(jí)的交換機(jī)

   除了以上問(wèn)題，在升級(jí)交換機(jī)的過(guò)程中，我們也遇到了坑。升級(jí)的過(guò)程是成功的，結(jié)果是失敗的。升級(jí)完成后，我們檢查了接口都是正常的。設(shè)備運(yùn)行也是穩(wěn)定的，也成功運(yùn)行了新版本。然后，我們美滋滋的下班了。第二天，就接到用戶報(bào)障，檢查后，在交換機(jī)上發(fā)現(xiàn)了以下日志信息：

   

   日志信息顯示思科不認(rèn)為該設(shè)備是合法設(shè)備。目測(cè)該設(shè)備是以前維修過(guò)的，類似“組裝機(jī)”一樣。新版本的IOS可能有檢查機(jī)制，因此不能正常使用。網(wǎng)上查閱后，找到一個(gè)解決方法，通過(guò)斷電重啟能夠恢復(fù)。我們網(wǎng)內(nèi)有兩臺(tái)設(shè)備遇到這個(gè)問(wèn)題，其中只有一臺(tái)通過(guò)這種操作恢復(fù)了正常。另外一臺(tái)，只能通過(guò)換設(shè)備的方式完成部署。

3、一些項(xiàng)目心得

• 不要全部相信用戶的話

  在部署中，我們前一晚部署完成后，檢查都是正常的。第二天早上，往往會(huì)有用戶報(bào)障說(shuō)整個(gè)站點(diǎn)全部故障。但仔細(xì)了解后，才會(huì)發(fā)現(xiàn)受影響范圍沒(méi)有那么夸張。從用戶的角度看，故意夸大故障范圍，提升故障等級(jí)，能夠得到運(yùn)維人員的重視和優(yōu)先處理。作為一個(gè)專業(yè)的運(yùn)維人員，首先不要因?yàn)橛脩舻目浯蠖艁y，然后像老醫(yī)生一樣，通過(guò)“望聞問(wèn)切”的專業(yè)手法，自己判斷縮小、定位、處理故障。

  
  

• 變革是需要流血的

  通過(guò)歷史，我們知道每次改朝換代都是需要流血的。同樣，做項(xiàng)目也是這樣的。一次次的失敗迭代出了后來(lái)的成功。不要因?yàn)楹ε铝餮蝗プ兏铮兏锪鞯难菚簳r(shí)的，所有的一切都是為了未來(lái)的更好。只是在變革前，要做好充足的準(zhǔn)備工作。

  
  

  見(jiàn)過(guò)太多的IT職場(chǎng)員工，在工作中遇到了很多問(wèn)題，這些問(wèn)題都是可以反饋上去的，或者處理掉后可以提升一兩倍的工作效率。但他們就是不會(huì)去做。在某些公司，提出問(wèn)題的人，會(huì)被上級(jí)賦予額外的工作量。大家都沒(méi)問(wèn)題，就你有問(wèn)題，那你自己解決，也就是說(shuō)成功是你的，失敗更是你的。最后，因?yàn)橐獡?dān)責(zé)任，導(dǎo)致了很多問(wèn)題大家都在“忍”，而不是去處理。作為運(yùn)維人員要明白“變革“和”流血”是伴生的，為了一勞永逸的付出是值得的。為了到達(dá)遠(yuǎn)方，行路中磕磕碰碰流點(diǎn)血擦破點(diǎn)皮，都是正常的。

  
  

• 讓步也是前進(jìn)

  在人的一生中，總會(huì)遇到一些無(wú)法解決的問(wèn)題。多年后，再次回想，當(dāng)初糾結(jié)一時(shí)的問(wèn)題，也就這樣而已。所有的問(wèn)題都是能夠解決的。后退是為了跳的更遠(yuǎn)。暫時(shí)的退讓，不死磕小問(wèn)題，能夠讓項(xiàng)目更好更順利的按計(jì)劃推進(jìn)。