利用网络准入把好企业网入网第一道关

       最近完成了公司的准入项目，项目历时3个多月，部署点位将近上千个。在部署的过程当中，也曾踩过各类各样的坑。公司采用某第三方软件系统做为准入控制平台。该套系统采用双机热备的方式部署。该系统功能丰富，除了采用802.1x认证外，该套系统还支持桌面管理、进程管理、非受权外连等功能。 802.1x协议的主要目的是为了解决局域网用户的接入认证问题。802.1x就是IEEE为了解决基于端口的接入控制而定义的一个标准。本文仅对此项目部署dot1x部分作一个详细的总结。

一、项目流程安排

       在项目调研阶段，咱们联系了原厂售前，进行软件平台、公司需求等信息的交流，在简单了解了该软件平台各模块功能后，咱们选择了几个模块提出了测试需求。通过一到两周的搭建和测试后，厂商输出了如下测试表单。

       在测试功能的过程当中，咱们感受该厂商的产品性能稳定、功能丰富，知足公司的需求。所以，咱们很快完成了立项、招投标等工做。在一次供应商的项目交流启动会后，该项目拉开了帷幕。于此同时，我担任该项目项目经理一职，负责整个项目的进度安排、资源协调和技术支持工做。

       我司总部位于上海，有近二三十个分公司，各分公司遍及全国各个省市。在项目安排上，咱们先部署的是总公司，由于办公点就在总公司，在项目实施的过程当中，若是出现问题，能够尽快的解决。并且总部的部署，可以让咱们尽快熟悉供应商的产品。同时，也便于我司与供应商人力上的交流和协同。在专业程度上，咱们信任供应商；在公司架构熟悉程度上，供应商也信任咱们。正是在这种相互信任的状况下，咱们才能按时高效的完成项目施工。

       总部在部署的过程当中，遇到了话机、视频监控、打印机、扫描仪的功能失常问题，有些是在部署前没有考虑到，还有部分是终端自身的问题。通过2周左右的时间，咱们把总部的有线无线准入都完成了。后绪咱们选择了上海的一个营业部做为分公司的第一个站点。总部的架构毕竟与分公司不一样。上海营业部做为分公司第一个站点，在咱们部署准入项目的过程当中，也是一个重点关注对象。只要可以顺利完成上海分部的项目部署，对于咱们而言，其余分公司的部署只是上海分部的一个拷贝。

       在上海分部，咱们测试和部署大概花了2周时间，在踩了不少坑并确认系统运行正常后，咱们对分公司的部署树立了极大的信心。在安排分公司的部署时，我以上海为核心，以上海分部为起点，从江浙地区辐射出去，由近及远的安排部署工做。主要是考虑到两方面，一是若是出现问题，我方技术人员可以第一时间赶赴现场。另一个是设备调配的问题，准入的部署是基于交换机的，不是全部的交换机都能彻底适配准入系统，须要前期对设备进行升级，升级的过程当中可能会出现故障，分公司本地没有备机也没有专业的技术人员，所以从总部调配设备和人力就要求越快越好。

     

      经统计，我司大概有30多台设备须要升级，这些设备被安排分为6个批次进行升级，一次升级多台，在升级过程当中，若是有一台出现不可回退的故障，那么就终止整个升级流程。升级设备从网络接入层设备开始，防止汇聚设备在实施过程当中产生的故障影响未实施的接入设备。从目前看来，这种策略仍是挺明智的选择。

      在实施的过程当中，咱们将遇到的问题集中起来，造成了一份表格文档。同时，也对一些没法解决的问题，作了记录，精确到各个设备和全部者。这些文档是咱们之后排查故障的依据和经验，也是供应商最后须要提供的交付文档的一部分。

二、项目技术支持

• 安装客户端

  由于客户端安装后，会生效一些终端软件策略，所以部署的时候，我采用的是按分站点部署，每安装一个站点，完成整个网络准入部署后，再进行下一个站点的部署。通常一个站点部署须要1周左右的时间准备，多个站点交叉并行部署，可以节省不少时间。因为没有使用策略推送，而是安排分公司当地IT人员手动下发安装，所以在后绪部署的时候，常常会遇到有没有安装的电脑无法上网。此外还有个别电脑由于系统自己的缘由没有安装上，只能经过重装系统的方式从新部署。

  
  

• 升级交换机

  使用命令copy结合tftp传送IOS，须要注意的是IOS的版本，还有交换机Flash的剩余空间，传送IOS完成后检查文件大小是否完整传送，升级完成后须要检查下客户端是否能够正常上网。

• 交换机准入配置

1. 接口自动恢复

   errdisable recovery cause all                      自动恢复errdisable接口

   errdisable recovery interval 30                   每30秒执行自动恢复操做

2. 启用 AAA

   aaa new-model                 开启AAA认证

   aaa authentication login default line local none            配置AAA登录策略

   aaa authentication dot1x default group radius none     配置dot1x认证策略

   aaa authorization network default group radius            配置dot1x受权策略

   radius-server host 10.188.64.158 auth-port 1812 acct-port 1813 key abc123    配置radius认证服务器

   radius-server retransmit 3                           服务器尝试链接次数为3次 

   radius-server vsa send authentication        配置交换机发送厂商特别属性到AAA服务器，目的是要获取用户的VLAN信息

   dot1x system-auth-control                         全局开启dot1x认证

3. 在端口下启用 802.1x

   interface fastethernet 0/13

   switchport mode access

   switchport access vlan 10

   authentication port-control auto

   dot1x pae authenticator     

   spanning-tree portfast

   authentication host-mode multi-auth    新版本功能多客户端认证，老版本若是交换机下面接了小交换机，其中一个客户端经过了，那其余客户端就不须要认证，这个功能就是可让全部小交换机上的客户端都须要认证

   mab eap

• 踩过的“坑”

1. error-disable状态的接口

   第一次在总部测试部署时，没有配置error-disable命令。在部署后，发现绝大部分话机出现问题，取消接口准入配置也没有恢复，检查接口状态，发现接口处于error-disable状态。这个状态是思科交换机的自我保护机制，主要是为了防止问题的扩大，如接口反复的翻动消耗设备大量的资源等状况。解决这个问题有两种方式，一是手工重启下接口，这是临时的一种作法；另外一种是经过命令配置自动恢复，当接口处于error-disable时，每过一段时间间隔，交换机自动重置接口，解除error-disable状态。由于在总部的准入部署经验，咱们在后期部署时，都配置上了该命令。

   
   

2. 遗漏的免检设备

   项目的顺利与否每每取决于前期准备工做。准备的越充分，后面填的坑也就越小。网络做为七层模型的低层，每每涉及到不少业务系统。就像马路同样，上面来往的不止是小汽车、货车、大巴等，还有多是滑板车、自行车、马车等千奇百怪的交通工具。在整个准入项目最前期须要作的就是统计资源。所谓的资源，不仅是电脑和服务器，还有话机、AP、监控、门禁、视讯设备等。由于各分公司有各自的IT人员，但因为某些缘由，统计设备不彻底，致使一些设备在准入系统上线后无法正常使用。这时候就须要填坑了。

   
   

3. 没有加域的电脑

   我司的准入策略要求有两个，首先电脑要加域，其次电脑上要有准入客户端。同时知足这两个条件，那么设备才被容许入网。在部署完成后，咱们发现有好多终端电脑都没有加域。主要缘由仍是因为某些分公司IT人员我的问题，作事敷衍了事致使的。在没法上网后，责令当地IT人员安装完客户端后，准入系统部署成功。

   
   

4. 不兼容的IP话机

   网络准入系统上线后，全部的有线无线接口都能受管控了，这是一个美好的理想状态。固然，这是不可能的。咱们在部署的过程当中，发现有部分型号的话机在接入交换机配置准入后，根本没法完成话机注册。除了换设备，没有特别好的方法。换设备的话，首先要考虑的是成本，包括时间和金钱。在考虑到成本后，咱们决定退一步，解除了该上连设备的接口准入配置，并将设备记录在册。再下一次设备汰换时，这部分设备处于优先序列。

   
   

5. 升不了级的交换机

   除了以上问题，在升级交换机的过程当中，咱们也遇到了坑。升级的过程是成功的，结果是失败的。升级完成后，咱们检查了接口都是正常的。设备运行也是稳定的，也成功运行了新版本。而后，咱们美滋滋的下班了。次日，就接到用户报障，检查后，在交换机上发现了如下日志信息：

   日志信息显示思科不认为该设备是合法设备。目测该设备是之前维修过的，相似“组装机”同样。新版本的IOS可能有检查机制，所以不能正常使用。网上查阅后，找到一个解决方法，经过断电重启可以恢复。咱们网内有两台设备遇到这个问题，其中只有一台经过这种操做恢复了正常。另一台，只能经过换设备的方式完成部署。

三、一些项目心得

• 不要所有相信用户的话

  在部署中，咱们前一晚部署完成后，检查都是正常的。次日早上，每每会有用户报障说整个站点所有故障。但仔细了解后，才会发现受影响范围没有那么夸张。从用户的角度看，故意夸大故障范围，提高故障等级，可以获得运维人员的重视和优先处理。做为一个专业的运维人员，首先不要由于用户的夸大而慌乱，而后像老医生同样，经过“望闻问切”的专业手法，本身判断缩小、定位、处理故障。

  
  

• 变革是须要流血的

  经过历史，咱们知道每次改朝换代都是须要流血的。一样，作项目也是这样的。一次次的失败迭代出了后来的成功。不要由于惧怕流血而不去变革，变革流的血是暂时的，全部的一切都是为了将来的更好。只是在变革前，要作好充足的准备工做。

  
  

  见过太多的IT职场员工，在工做中遇到了不少问题，这些问题都是能够反馈上去的，或者处理掉后能够提高一两倍的工做效率。但他们就是不会去作。在某些公司，提出问题的人，会被上级赋予额外的工做量。你们都没问题，就你有问题，那你本身解决，也就是说成功是你的，失败更是你的。最后，由于要担责任，致使了不少问题你们都在“忍”，而不是去处理。做为运维人员要明白“变革“和”流血”是伴生的，为了一劳永逸的付出是值得的。为了到达远方，行路中磕磕碰碰流点血擦破点皮，都是正常的。

  
  

• 让步也是前进

  在人的一辈子中，总会遇到一些没法解决的问题。多年后，再次回想，当初纠结一时的问题，也就这样而已。全部的问题都是可以解决的。后退是为了跳的更远。暂时的退让，不死磕小问题，可以让项目更好更顺利的按计划推动。