利用網絡准入把好企業網入網第一道關

       最近完成了公司的准入項目，項目歷時3個多月，部署點位將近上千個。在部署的過程當中，也曾踩過各類各樣的坑。公司採用某第三方軟件系統做爲準入控制平臺。該套系統採用雙機熱備的方式部署。該系統功能豐富，除了採用802.1x認證外，該套系統還支持桌面管理、進程管理、非受權外連等功能。 802.1x協議的主要目的是爲了解決局域網用戶的接入認證問題。802.1x就是IEEE爲了解決基於端口的接入控制而定義的一個標準。本文僅對此項目部署dot1x部分作一個詳細的總結。

一、項目流程安排

       在項目調研階段，咱們聯繫了原廠售前，進行軟件平臺、公司需求等信息的交流，在簡單瞭解了該軟件平臺各模塊功能後，咱們選擇了幾個模塊提出了測試需求。通過一到兩週的搭建和測試後，廠商輸出瞭如下測試表單。

       在測試功能的過程當中，咱們感受該廠商的產品性能穩定、功能豐富，知足公司的需求。所以，咱們很快完成了立項、招投標等工做。在一次供應商的項目交流啓動會後，該項目拉開了帷幕。於此同時，我擔任該項目項目經理一職，負責整個項目的進度安排、資源協調和技術支持工做。

       我司總部位於上海，有近二三十個分公司，各分公司遍及全國各個省市。在項目安排上，咱們先部署的是總公司，由於辦公點就在總公司，在項目實施的過程當中，若是出現問題，能夠儘快的解決。並且總部的部署，可以讓咱們儘快熟悉供應商的產品。同時，也便於我司與供應商人力上的交流和協同。在專業程度上，咱們信任供應商；在公司架構熟悉程度上，供應商也信任咱們。正是在這種相互信任的狀況下，咱們才能按時高效的完成項目施工。

       總部在部署的過程當中，遇到了話機、視頻監控、打印機、掃描儀的功能失常問題，有些是在部署前沒有考慮到，還有部分是終端自身的問題。通過2周左右的時間，咱們把總部的有線無線准入都完成了。後緒咱們選擇了上海的一個營業部做爲分公司的第一個站點。總部的架構畢竟與分公司不一樣。上海營業部做爲分公司第一個站點，在咱們部署准入項目的過程當中，也是一個重點關注對象。只要可以順利完成上海分部的項目部署，對於咱們而言，其餘分公司的部署只是上海分部的一個拷貝。

       在上海分部，咱們測試和部署大概花了2周時間，在踩了不少坑並確認系統運行正常後，咱們對分公司的部署樹立了極大的信心。在安排分公司的部署時，我以上海爲核心，以上海分部爲起點，從江浙地區輻射出去，由近及遠的安排部署工做。主要是考慮到兩方面，一是若是出現問題，我方技術人員可以第一時間趕赴現場。另一個是設備調配的問題，准入的部署是基於交換機的，不是全部的交換機都能徹底適配准入系統，須要前期對設備進行升級，升級的過程當中可能會出現故障，分公司本地沒有備機也沒有專業的技術人員，所以從總部調配設備和人力就要求越快越好。

     

      經統計，我司大概有30多臺設備須要升級，這些設備被安排分爲6個批次進行升級，一次升級多臺，在升級過程當中，若是有一臺出現不可回退的故障，那麼就終止整個升級流程。升級設備從網絡接入層設備開始，防止匯聚設備在實施過程當中產生的故障影響未實施的接入設備。從目前看來，這種策略仍是挺明智的選擇。

      在實施的過程當中，咱們將遇到的問題集中起來，造成了一份表格文檔。同時，也對一些沒法解決的問題，作了記錄，精確到各個設備和全部者。這些文檔是咱們之後排查故障的依據和經驗，也是供應商最後須要提供的交付文檔的一部分。

二、項目技術支持

• 安裝客戶端

  由於客戶端安裝後，會生效一些終端軟件策略，所以部署的時候，我採用的是按分站點部署，每安裝一個站點，完成整個網絡准入部署後，再進行下一個站點的部署。通常一個站點部署須要1周左右的時間準備，多個站點交叉並行部署，可以節省不少時間。因爲沒有使用策略推送，而是安排分公司當地IT人員手動下發安裝，所以在後緒部署的時候，常常會遇到有沒有安裝的電腦無法上網。此外還有個別電腦由於系統自己的緣由沒有安裝上，只能經過重裝系統的方式從新部署。

  
  

• 升級交換機

  使用命令copy結合tftp傳送IOS，須要注意的是IOS的版本，還有交換機Flash的剩餘空間，傳送IOS完成後檢查文件大小是否完整傳送，升級完成後須要檢查下客戶端是否能夠正常上網。

• 交換機准入配置

1. 接口自動恢復

   errdisable recovery cause all                      自動恢復errdisable接口

   errdisable recovery interval 30                   每30秒執行自動恢復操做

2. 啓用 AAA

   aaa new-model                 開啓AAA認證

   aaa authentication login default line local none            配置AAA登錄策略

   aaa authentication dot1x default group radius none     配置dot1x認證策略

   aaa authorization network default group radius            配置dot1x受權策略

   radius-server host 10.188.64.158 auth-port 1812 acct-port 1813 key abc123    配置radius認證服務器

   radius-server retransmit 3                           服務器嘗試鏈接次數爲3次 

   radius-server vsa send authentication        配置交換機發送廠商特別屬性到AAA服務器，目的是要獲取用戶的VLAN信息

   dot1x system-auth-control                         全局開啓dot1x認證

3. 在端口下啓用 802.1x

   interface fastethernet 0/13

   switchport mode access

   switchport access vlan 10

   authentication port-control auto

   dot1x pae authenticator     

   spanning-tree portfast

   authentication host-mode multi-auth    新版本功能多客戶端認證，老版本若是交換機下面接了小交換機，其中一個客戶端經過了，那其餘客戶端就不須要認證，這個功能就是可讓全部小交換機上的客戶端都須要認證

   mab eap

• 踩過的「坑」

1. error-disable狀態的接口

   第一次在總部測試部署時，沒有配置error-disable命令。在部署後，發現絕大部分話機出現問題，取消接口准入配置也沒有恢復，檢查接口狀態，發現接口處於error-disable狀態。這個狀態是思科交換機的自我保護機制，主要是爲了防止問題的擴大，如接口反覆的翻動消耗設備大量的資源等狀況。解決這個問題有兩種方式，一是手工重啓下接口，這是臨時的一種作法；另外一種是經過命令配置自動恢復，當接口處於error-disable時，每過一段時間間隔，交換機自動重置接口，解除error-disable狀態。由於在總部的准入部署經驗，咱們在後期部署時，都配置上了該命令。

   
   

2. 遺漏的免檢設備

   項目的順利與否每每取決於前期準備工做。準備的越充分，後面填的坑也就越小。網絡做爲七層模型的低層，每每涉及到不少業務系統。就像馬路同樣，上面來往的不止是小汽車、貨車、大巴等，還有多是滑板車、自行車、馬車等千奇百怪的交通工具。在整個准入項目最前期須要作的就是統計資源。所謂的資源，不僅是電腦和服務器，還有話機、AP、監控、門禁、視訊設備等。由於各分公司有各自的IT人員，但因爲某些緣由，統計設備不徹底，致使一些設備在准入系統上線後無法正常使用。這時候就須要填坑了。

   
   

3. 沒有加域的電腦

   我司的准入策略要求有兩個，首先電腦要加域，其次電腦上要有準入客戶端。同時知足這兩個條件，那麼設備才被容許入網。在部署完成後，咱們發現有好多終端電腦都沒有加域。主要緣由仍是因爲某些分公司IT人員我的問題，作事敷衍了事致使的。在沒法上網後，責令當地IT人員安裝完客戶端後，准入系統部署成功。

   
   

4. 不兼容的IP話機

   網絡准入系統上線後，全部的有線無線接口都能受管控了，這是一個美好的理想狀態。固然，這是不可能的。咱們在部署的過程當中，發現有部分型號的話機在接入交換機配置准入後，根本沒法完成話機註冊。除了換設備，沒有特別好的方法。換設備的話，首先要考慮的是成本，包括時間和金錢。在考慮到成本後，咱們決定退一步，解除了該上連設備的接口准入配置，並將設備記錄在冊。再下一次設備汰換時，這部分設備處於優先序列。

   
   

5. 升不了級的交換機

   除了以上問題，在升級交換機的過程當中，咱們也遇到了坑。升級的過程是成功的，結果是失敗的。升級完成後，咱們檢查了接口都是正常的。設備運行也是穩定的，也成功運行了新版本。而後，咱們美滋滋的下班了。次日，就接到用戶報障，檢查後，在交換機上發現瞭如下日誌信息：

   日誌信息顯示思科不認爲該設備是合法設備。目測該設備是之前維修過的，相似「組裝機」同樣。新版本的IOS可能有檢查機制，所以不能正常使用。網上查閱後，找到一個解決方法，經過斷電重啓可以恢復。咱們網內有兩臺設備遇到這個問題，其中只有一臺經過這種操做恢復了正常。另一臺，只能經過換設備的方式完成部署。

三、一些項目心得

• 不要所有相信用戶的話

  在部署中，咱們前一晚部署完成後，檢查都是正常的。次日早上，每每會有用戶報障說整個站點所有故障。但仔細瞭解後，纔會發現受影響範圍沒有那麼誇張。從用戶的角度看，故意誇大故障範圍，提高故障等級，可以獲得運維人員的重視和優先處理。做爲一個專業的運維人員，首先不要由於用戶的誇大而慌亂，而後像老醫生同樣，經過「望聞問切」的專業手法，本身判斷縮小、定位、處理故障。

  
  

• 變革是須要流血的

  經過歷史，咱們知道每次改朝換代都是須要流血的。一樣，作項目也是這樣的。一次次的失敗迭代出了後來的成功。不要由於懼怕流血而不去變革，變革流的血是暫時的，全部的一切都是爲了將來的更好。只是在變革前，要作好充足的準備工做。

  
  

  見過太多的IT職場員工，在工做中遇到了不少問題，這些問題都是能夠反饋上去的，或者處理掉後能夠提高一兩倍的工做效率。但他們就是不會去作。在某些公司，提出問題的人，會被上級賦予額外的工做量。你們都沒問題，就你有問題，那你本身解決，也就是說成功是你的，失敗更是你的。最後，由於要擔責任，致使了不少問題你們都在「忍」，而不是去處理。做爲運維人員要明白「變革「和」流血」是伴生的，爲了一勞永逸的付出是值得的。爲了到達遠方，行路中磕磕碰碰流點血擦破點皮，都是正常的。

  
  

• 讓步也是前進

  在人的一輩子中，總會遇到一些沒法解決的問題。多年後，再次回想，當初糾結一時的問題，也就這樣而已。全部的問題都是可以解決的。後退是爲了跳的更遠。暫時的退讓，不死磕小問題，可以讓項目更好更順利的按計劃推動。