H3CiMCEAD升级实施方案

技术文档。

h3c imc ead系统。

升级实施方案。

修改记录。一、项目概述。

1.1项目背景。

网络是园区的信息传输管道，目前园区的业务数据、管理数据传输主要依赖网络传输。随着园区业务的不断增加和调整、网络技术的不断发展，网络安全面临着更多的挑战。传统的单纯认证接入已经不能满足日益发展的网络安全需求。

如果在认证的基础上，增加准入机制，通过对终端的准入检查，提高了网络接入的门槛，大大增强了网络的安全性。网络准入检查包含了终端的杀毒软件、可控软件等桌面应用检查。

旧版本v5 ead服务器在功能上有限，存在功能缺陷，不能满足园区安全管理要求。新版本v7 ead服务器实现了“可控软件组”、“支持mac地址作为资产编号”、“支持禁用手机等非标准移动设备”等一系列功能。通过升级部署h3c公司新版本ead系统，配合inode客户端实现对终端的安全访问控制，为办公提供更高的安全网络保障。

1.2目标及范围。

本次项目实施针对园区办公环境，适用于所有用户群体。本项目是园区准入升级实施方案，为了保质保量如期完成项目实施工作，为用户技术人员提供日后维护参考依据。

1.3定义及术语

h3c凭借多年网络管理产品的研发经验以及对网络管理的深刻理解，推出了面向下一代的网络管理产品：imc智能管理中心（intelligent management center，以下简称：imc）。

imc从根本上颠覆了传统网络管理软件的设计思想，以业务管理和业务流程模型为核心，采用面向服务架构（soa）的设计思想，提供按需装配的组件化结构，为客户提供网络业务、资源和用户的融合管理解决方案，帮助客户实现网络业务的端到端管理。通过imc可以灵活组织功能组件，形成直接面向客户需求的业务流解决方案，从根本上解决多业务融合管理的复杂性。imc ead 组件是一个集事前认证、事中监控、事后审计和业务管理为一体的多业务安全接入管理平台。

该组件能够满足不同应用场景的身份识别、权限控制、安全准入和桌面管理的需求。inode是ead系统配套的客户端软件，用于pc等终端认证及安全检查。

1.4项目原则。

根据园区建设项目定位，办公网ead准入项目方案设计原则需遵循高安全、易使用、易管理性的设计原则，为全园区网络提供一体化的接入管理运维平台。与此同时，升级过程要求平稳可控，尽可能避免对办公的影响。

二、项目分析。

2.1需求分析。

目前园区基础网络设施已经具备。现阶段计划结合的实际情况升级现网准入系统。目前v5版本主要使用用户认证、加域检查、防病毒软件检查、防内网外联、可控软件等方面功能。

此外需要v7版本支持“混合可控软件组”、“支持mac地址作为资产编号”、“支持禁用手机等非标准移动设备”、“支持usb设备白名单功能”等功能。

要求从v5版本平稳迁移到v7版本，保持账户不变，原有功能不变，架构不变，新的资产管理、桌面控制等功能能够应用到现有环境。

2.2现网架构。

2.2.1组网架构。

本系统认证流程主要涉及ad系统、imc系统、有线接入交换机、认证终端等几大组成部分。如下图：

2.2.2用户结构。

imc系统用户功能结构图如下：

用户：人的名称，一个用户只能属于一个用户分组，一个用户可以拥有几个帐户，但是一个帐户不能属于多个用户。目前设计一个用户只有唯一的一个域账户；

帐户：帐户对应唯一的一个密码， imc不同步ad域账户密码；

接入服务：主要由接入策略和安全策略两部分组成，一个用户服务只能隶属唯一业务分组。服务后缀也在用户服务中设置，可以为空；

接入策略：主要功能为配置用户认证类型、终端mac等信息绑定、限制终端登录软件；

安全策略：该处为配置用户的安全策略，要求终端检查哪些内容，绑定相关的安全级别；

安全级别：主要为设置不合规项目的处理办法，对应有下线、隔离、监控、提醒等模式。本项目所有内容为下线模式；

检查项目：此处涵盖范围较广，包含终端安全软件、补丁程序、黑白软件等诸多功能。本项目主要涉及杀毒软件部分。

2.2.3认证流程。

ead系统功能完善、可靠性高。认证流程如下：

imc服务器为主备两台，如若主服务器出现故障，则自动切换到备服务器进行认证。确保认证系统的可靠性及业务的持续性。

三、解决方案。

3.1整体方案。

3.1.1可选方案。

ead升级是工作量大的重量工程，要求细心、严谨方能确保项目平稳实施。升级方案主要有如下两种，推荐“借用逃生方案”：

3.1.2推荐方案。

借用方案描述：

使用一台双核4g配置pc机作为逃生服务器，替换备机并使用备机ip。

该pc服务器同时也作为新ead服务器备机。

原有ead备机作为新的ead主服务器并使用新ip。

将所有用户逐步切换到新ead服务器，直至完成。

将原有ead服务器下线并安装新版本ead软件，然后替换逃生pc。

借用方案实施过程：

1、备份原主服务器安装程序、授权、数据；

2、测试逃生服务器可用性；

3、下线原备服务器（断开网络）；

4、逃生服务器替换原备服务器，即更改逃生服务器ip地址为原备服务器ip地址；

5、原备服务器更换新ip地址、格式化重新安装系统数据库、安装新版本ead软件；

6、通过步骤5，原备服务器通过安装软件成为新ead主服务器；

7、新ead系统与旧ead系统共用逃生服务器；

8、将认证用户逐步迁移到新ead系统直至完成；

9、观察新ead稳定一周后，下线旧ead主服务器；

10、离线环境下，格式化重装操作系统数据库、安装新版本ead软件、设置ip为逃生ip；

11、通过10步骤，原ead主服务器成为新ead服务器备机；

12、备份新ead服务器数据库并手工导入新备ead服务器；

13、下线逃生服务器；

14、上线新备ead服务器并验证；

15、实施工作完毕；

注：实施过程建议非工作时间完成，需要申请临时ead license配合迁移。

3.2总体架构。

3.2.1系统中间架构。

本系统认证流程主要涉及ldap系统、ead系统、有线接入交换机、认证终端等几大组成部分。迁移中的中间架构如下：

注：该新ead服务器为原备ead服务器。

3.2.2新系统目标架构。

ead系统升级实施完毕后，如下图：

3.3.3新系统用户结构。

新系统整体用户结构保持不变。其中变化地方如下：

1、接入规则改名为接入策略；

2、接入服务和安全策略从原有业务栏调整到用户一栏；

ead新系统用户功能结构图如下：

用户：人的名称，一个用户只能属于一个用户分组，一个用户可以拥有几个帐户，但是一个帐户不能属于多个用户。

帐户：帐户对应唯一的一个密码，一个帐户的所有功能特性都是有用户服务决定。

用户服务：主要由接入规则和安全策略两部分组成，一个用户服务只能隶属唯一业务分组。服务后缀也在用户服务中设置，可以为空。

接入策略：主要功能为配置用户认证类型、下发vlan、终端mac等信息绑定、限制终端登录软件。

安全策略：该处为配置用户的安全策略，要求终端检查哪些内容，绑定相关的安全级别。

安全级别：主要为设置不合规项目的处理办法，对应有下线、隔离、监控、提醒等模式。本项目所有内容为下线模式。

检查项目：此处涵盖范围较广，包含终端安全软件、补丁程序、黑白软件等诸多功能。本项目主要涉及杀毒软件部分。

3.2.4新系统的认证流程。

ead系统功能完善、可靠性高。升级后的流程不变，上中心保持一致。详细如下：

imc服务器为主备两台，如若主服务器出现故障，则自动切换到备服务器进行认证。确保认证系统的可靠性及业务的持续性。

3.3新系统规格要求。

3.3.1服务器硬件要求。

每天最大**人数不超过10000人的情况下，现有用户数xxx人，推荐配置如下：

1、服务器两台（支持虚拟机，推荐实机）；

2、服务器cpu推荐≥两个cpu、双核、主频大于2.0ghz；

3、服务器内存推荐≥64gb；

4、服务器硬盘空间推荐c盘≥100gb，d盘≥500gb；

3.3.2服务器软件要求。

系列。操作系统推荐windows server 2008 r2 with service pack 1 (64 bit) ；

数据库推荐sql server 2008 r2 sp2；

系列。操作系统推荐windows server 2012 r2 ；

数据库推荐sql server 2012 sp2；

注：以上安装完毕后建议打上最新补丁，然后取消dns配置。

3.4账户迁移。

3.5策略迁移。

H3CiMCEAD升级实施方案

3实施方案

3实施方案zhang

3 总体实施方案

其他用户还读了