H3CiMCEAD升级实施方案

发布 2022-02-08 04:50:28 阅读 2790

技术文档。

h3c imc ead系统。

升级实施方案。

修改记录。一、项目概述。

1.1项目背景。

网络是园区的信息传输管道,目前园区的业务数据、管理数据传输主要依赖网络传输。随着园区业务的不断增加和调整、网络技术的不断发展,网络安全面临着更多的挑战。传统的单纯认证接入已经不能满足日益发展的网络安全需求。

如果在认证的基础上,增加准入机制,通过对终端的准入检查,提高了网络接入的门槛,大大增强了网络的安全性。网络准入检查包含了终端的杀毒软件、可控软件等桌面应用检查。

旧版本v5 ead服务器在功能上有限,存在功能缺陷,不能满足园区安全管理要求。新版本v7 ead服务器实现了“可控软件组”、“支持mac地址作为资产编号”、“支持禁用手机等非标准移动设备”等一系列功能。通过升级部署h3c公司新版本ead系统,配合inode客户端实现对终端的安全访问控制,为办公提供更高的安全网络保障。

1.2目标及范围。

本次项目实施针对园区办公环境,适用于所有用户群体。本项目是园区准入升级实施方案,为了保质保量如期完成项目实施工作,为用户技术人员提供日后维护参考依据。

1.3定义及术语

h3c凭借多年网络管理产品的研发经验以及对网络管理的深刻理解,推出了面向下一代的网络管理产品:imc智能管理中心(intelligent management center,以下简称:imc)。

imc从根本上颠覆了传统网络管理软件的设计思想,以业务管理和业务流程模型为核心,采用面向服务架构(soa)的设计思想,提供按需装配的组件化结构,为客户提供网络业务、资源和用户的融合管理解决方案,帮助客户实现网络业务的端到端管理。通过imc可以灵活组织功能组件,形成直接面向客户需求的业务流解决方案,从根本上解决多业务融合管理的复杂性。imc ead 组件是一个集事前认证、事中监控、事后审计和业务管理为一体的多业务安全接入管理平台。

该组件能够满足不同应用场景的身份识别、权限控制、安全准入和桌面管理的需求。inode是ead系统配套的客户端软件,用于pc等终端认证及安全检查。

1.4项目原则。

根据园区建设项目定位, 办公网ead准入项目方案设计原则需遵循高安全、易使用、易管理性的设计原则,为全园区网络提供一体化的接入管理运维平台。与此同时,升级过程要求平稳可控,尽可能避免对办公的影响。

二、项目分析。

2.1需求分析。

目前园区基础网络设施已经具备。现阶段计划结合的实际情况升级现网准入系统。目前v5版本主要使用用户认证、加域检查、防病毒软件检查、防内网外联、可控软件等方面功能。

此外需要v7版本支持“混合可控软件组”、“支持mac地址作为资产编号”、“支持禁用手机等非标准移动设备”、“支持usb设备白名单功能”等功能。

要求从v5版本平稳迁移到v7版本,保持账户不变,原有功能不变,架构不变,新的资产管理、桌面控制等功能能够应用到现有环境。

2.2现网架构。

2.2.1组网架构。

本系统认证流程主要涉及ad系统、imc系统、有线接入交换机、认证终端等几大组成部分。如下图:

2.2.2用户结构。

imc系统用户功能结构图如下:

用户:人的名称,一个用户只能属于一个用户分组,一个用户可以拥有几个帐户,但是一个帐户不能属于多个用户。目前设计一个用户只有唯一的一个域账户;

帐户:帐户对应唯一的一个密码, imc不同步ad域账户密码;

接入服务:主要由接入策略和安全策略两部分组成,一个用户服务只能隶属唯一业务分组。服务后缀也在用户服务中设置,可以为空;

接入策略:主要功能为配置用户认证类型、终端mac等信息绑定、限制终端登录软件;

安全策略:该处为配置用户的安全策略,要求终端检查哪些内容,绑定相关的安全级别;

安全级别:主要为设置不合规项目的处理办法,对应有下线、隔离、监控、提醒等模式。本项目所有内容为下线模式;

检查项目:此处涵盖范围较广,包含终端安全软件、补丁程序、黑白软件等诸多功能。本项目主要涉及杀毒软件部分。

2.2.3认证流程。

ead系统功能完善、可靠性高。认证流程如下:

imc服务器为主备两台,如若主服务器出现故障,则自动切换到备服务器进行认证。确保认证系统的可靠性及业务的持续性。

三、解决方案。

3.1整体方案。

3.1.1可选方案。

ead升级是工作量大的重量工程,要求细心、严谨方能确保项目平稳实施。升级方案主要有如下两种,推荐“借用逃生方案”:

3.1.2推荐方案。

借用方案描述:

使用一台双核4g配置pc机作为逃生服务器,替换备机并使用备机ip。

该pc服务器同时也作为新ead服务器备机。

原有ead备机作为新的ead主服务器并使用新ip。

将所有用户逐步切换到新ead服务器,直至完成。

将原有ead服务器下线并安装新版本ead软件,然后替换逃生pc。

借用方案实施过程:

1、备份原主服务器安装程序、授权、数据;

2、测试逃生服务器可用性;

3、下线原备服务器(断开网络);

4、逃生服务器替换原备服务器,即更改逃生服务器ip地址为原备服务器ip地址;

5、原备服务器更换新ip地址、格式化重新安装系统数据库、安装新版本ead软件;

6、通过步骤5,原备服务器通过安装软件成为新ead主服务器;

7、新ead系统与旧ead系统共用逃生服务器;

8、将认证用户逐步迁移到新ead系统直至完成;

9、观察新ead稳定一周后,下线旧ead主服务器;

10、离线环境下,格式化重装操作系统数据库、安装新版本ead软件、设置ip为逃生ip;

11、通过10步骤,原ead主服务器成为新ead服务器备机;

12、备份新ead服务器数据库并手工导入新备ead服务器;

13、下线逃生服务器;

14、上线新备ead服务器并验证;

15、实施工作完毕;

注:实施过程建议非工作时间完成,需要申请临时ead license配合迁移。

3.2总体架构。

3.2.1系统中间架构。

本系统认证流程主要涉及ldap系统、ead系统、有线接入交换机、认证终端等几大组成部分。迁移中的中间架构如下:

注:该新ead服务器为原备ead服务器。

3.2.2新系统目标架构。

ead系统升级实施完毕后,如下图:

3.3.3新系统用户结构。

新系统整体用户结构保持不变。其中变化地方如下:

1、接入规则改名为接入策略;

2、接入服务和安全策略从原有业务栏调整到用户一栏;

ead新系统用户功能结构图如下:

用户:人的名称,一个用户只能属于一个用户分组,一个用户可以拥有几个帐户,但是一个帐户不能属于多个用户。

帐户:帐户对应唯一的一个密码,一个帐户的所有功能特性都是有用户服务决定。

用户服务:主要由接入规则和安全策略两部分组成,一个用户服务只能隶属唯一业务分组。服务后缀也在用户服务中设置,可以为空。

接入策略:主要功能为配置用户认证类型、下发vlan、终端mac等信息绑定、限制终端登录软件。

安全策略:该处为配置用户的安全策略,要求终端检查哪些内容,绑定相关的安全级别。

安全级别:主要为设置不合规项目的处理办法,对应有下线、隔离、监控、提醒等模式。本项目所有内容为下线模式。

检查项目:此处涵盖范围较广,包含终端安全软件、补丁程序、黑白软件等诸多功能。本项目主要涉及杀毒软件部分。

3.2.4新系统的认证流程。

ead系统功能完善、可靠性高。升级后的流程不变,上中心保持一致。详细如下:

imc服务器为主备两台,如若主服务器出现故障,则自动切换到备服务器进行认证。确保认证系统的可靠性及业务的持续性。

3.3新系统规格要求。

3.3.1服务器硬件要求。

每天最大**人数不超过10000人的情况下,现有用户数xxx人,推荐配置如下:

1、服务器两台(支持虚拟机,推荐实机);

2、服务器cpu推荐≥两个cpu、双核、主频大于2.0ghz;

3、服务器内存推荐≥64gb;

4、服务器硬盘空间推荐c盘≥100gb,d盘≥500gb;

3.3.2服务器软件要求。

系列。操作系统推荐windows server 2008 r2 with service pack 1 (64 bit) ;

数据库推荐sql server 2008 r2 sp2;

系列。操作系统推荐windows server 2012 r2 ;

数据库推荐sql server 2012 sp2;

注:以上安装完毕后建议打上最新补丁,然后取消dns配置。

3.4账户迁移。

3.5策略迁移。

3实施方案

农村小学信息技术与学科课程整合 实施方案。一课题名称 农村小学信息技术与学科课程整合 二 课题的提出 本课题的研究是探索构建符合时代教育特征的新型教与学理论体系,丰富教与学的内涵,推动学校教育改革与发展的进程。课题 了各科教师在教学中如何使用信息技术提高教学的有效性,共同研究适合学生的教学方法。怎样...

3实施方案zhang

课题实施方案。课题名称 体育教学中激发学生学习兴趣的研究 课题编号 编号 课题类型 教师课题。单位 秦皇岛市海港区青少年活动中心。学校 姓名 刘玉芬。一 本课题的预期目标 课题研究的预期目标是通过一年的研究及体育教学实践提高学生及其家长对体育锻炼重要性的认识,通过体育教学提高学生体育锻炼兴趣,90 ...

3 总体实施方案

贯彻执行 工程建设标准强制性条例 严格加强项目管理。我们将充分利用我们公司在生产经营 技术管理 工程设计中的各种优势,使工程在管理 质量 文明施工 工作作风上均创一流水平。1 质量目标。设计符合相关规范 国家政策 法规和本项目设计要点的要求,施工满足设计及有关规范要求,验收达到合格工程 施工阶段要求...