利用網絡準入把好企業網入網第一道關

? ? ? ?最近完成了公司的準入項目，項目歷時3個多月，部署點位將近上千個。在部署的過程中，也曾踩過各種各樣的坑。公司采用某第三方軟件系統作為準入控制平臺。該套系統采用雙機熱備的方式部署。該系統功能豐富，除了采用802.1x認證外，該套系統還支持桌面管理、進程管理、非授權外連等功能。?802.1x協議的主要目的是為了解決局域網用戶的接入認證問題。802.1x就是IEEE為了解決基于端口的接入控制而定義的一個標準。本文僅對此項目部署dot1x部分做一個詳細的總結。

1、項目流程安排

? ? ? ?在項目調研階段，我們聯系了原廠售前，進行軟件平臺、公司需求等信息的交流，在簡單了解了該軟件平臺各模塊功能后，我們選擇了幾個模塊提出了測試需求。經過一到兩周的搭建和測試后，廠商輸出了以下測試表單。

? ? ? ?在測試功能的過程中，我們感覺該廠商的產品性能穩定、功能豐富，滿足公司的需求。因此，我們很快完成了立項、招投標等工作。在一次供應商的項目交流啟動會后，該項目拉開了帷幕。于此同時，我擔任該項目項目經理一職，負責整個項目的進度安排、資源協調和技術支持工作。

? ? ? ?我司總部位于上海，有近二三十個分公司，各分公司遍布全國各個省市。在項目安排上，我們先部署的是總公司，因為辦公點就在總公司，在項目實施的過程中，如果出現問題，可以盡快的解決。而且總部的部署，能夠讓我們盡快熟悉供應商的產品。同時，也便于我司與供應商人力上的交流和協同。在專業程度上，我們信任供應商；在公司架構熟悉程度上，供應商也信任我們。正是在這種相互信任的情況下，我們才能按時高效的完成項目施工。

? ? ? ?總部在部署的過程中，遇到了話機、視頻監控、打印機、掃描儀的功能失常問題，有些是在部署前沒有考慮到，還有部分是終端自身的問題。經過2周左右的時間，我們把總部的有線無線準入都完成了。后緒我們選擇了上海的一個營業部作為分公司的第一個站點。總部的架構畢竟與分公司不同。上海營業部作為分公司第一個站點，在我們部署準入項目的過程中，也是一個重點關注對象。只要能夠順利完成上海分部的項目部署，對于我們而言，其他分公司的部署只是上海分部的一個拷貝。

? ? ? ?在上海分部，我們測試和部署大概花了2周時間，在踩了很多坑并確認系統運行正常后，我們對分公司的部署樹立了極大的信心。在安排分公司的部署時，我以上海為核心，以上海分部為起點，從江浙地區輻射出去，由近及遠的安排部署工作。主要是考慮到兩方面，一是如果出現問題，我方技術人員能夠第一時間趕赴現場。另外一個是設備調配的問題，準入的部署是基于交換機的，不是所有的交換機都能完全適配準入系統，需要前期對設備進行升級，升級的過程中可能會出現故障，分公司本地沒有備機也沒有專業的技術人員，因此從總部調配設備和人力就要求越快越好。

? ? ?

? ? ? 經統計，我司大概有30多臺設備需要升級，這些設備被安排分為6個批次進行升級，一次升級多臺，在升級過程中，如果有一臺出現不可回退的故障，那么就終止整個升級流程。升級設備從網絡接入層設備開始，防止匯聚設備在實施過程中產生的故障影響未實施的接入設備。從目前看來，這種策略還是挺明智的選擇。

? ? ? 在實施的過程中，我們將遇到的問題集中起來，形成了一份表格文檔。同時，也對一些無法解決的問題，做了記錄，精確到各個設備和所有者。這些文檔是我們以后排查故障的依據和經驗，也是供應商最后需要提供的交付文檔的一部分。

2、項目技術支持

• 安裝客戶端

  因為客戶端安裝后，會生效一些終端軟件策略，因此部署的時候，我采用的是按分站點部署，每安裝一個站點，完成整個網絡準入部署后，再進行下一個站點的部署。一般一個站點部署需要1周左右的時間準備，多個站點交叉并行部署，能夠節省很多時間。由于沒有使用策略推送，而是安排分公司當地IT人員手動下發安裝，因此在后緒部署的時候，經常會遇到有沒有安裝的電腦沒法上網。此外還有個別電腦因為系統本身的原因沒有安裝上，只能通過重裝系統的方式重新部署。

  
  

• 升級交換機

  使用命令copy結合tftp傳送IOS，需要注意的是IOS的版本，還有交換機Flash的剩余空間，傳送IOS完成后檢查文件大小是否完整傳送，升級完成后需要檢查下客戶端是否可以正常上網。

• 交換機準入配置

1. 接口自動恢復

   errdisable recovery cause all? ? ? ? ? ? ? ? ? ? ? 自動恢復errdisable接口

   errdisable recovery interval 30? ? ? ? ? ? ? ? ? ?每30秒執行自動恢復操作

2. 啟用 AAA

   aaa new-model? ? ? ? ? ? ? ? ?開啟AAA認證

   aaa authentication login default line local none? ? ? ? ? ? 配置AAA登陸策略

   aaa authentication dot1x default group radius none? ? ?配置dot1x認證策略

   aaa authorization network default group radius? ? ? ? ? ? 配置dot1x授權策略

   radius-server host 10.188.64.158 auth-port 1812 acct-port 1813 key?abc123? ? 配置radius認證服務器

   radius-server retransmit 3? ? ? ? ? ? ? ? ? ? ? ? ? ?服務器嘗試連接次數為3次?

   radius-server vsa send authentication? ? ? ??配置交換機發送廠商特別屬性到AAA服務器，目的是要獲取用戶的VLAN信息

   dot1x system-auth-control? ? ? ? ? ? ? ? ? ? ? ? ?全局開啟dot1x認證

3. 在端口下啟用 802.1x

   interface fastethernet 0/13

   switchport mode access

   switchport access?vlan 10

   authentication port-control auto

   dot1x pae authenticator? ? ?

   spanning-tree portfast

   authentication host-mode multi-auth? ??新版本功能多客戶端認證，老版本如果交換機下面接了小交換機，其中一個客戶端通過了，那其他客戶端就不需要認證，這個功能就是可以讓所有小交換機上的客戶端都需要認證

   mab eap

• 踩過的“坑”

1. error-disable狀態的接口

   第一次在總部測試部署時，沒有配置error-disable命令。在部署后，發現絕大部分話機出現問題，取消接口準入配置也沒有恢復，檢查接口狀態，發現接口處于error-disable狀態。這個狀態是思科交換機的自我保護機制，主要是為了防止問題的擴大，如接口反復的翻動消耗設備大量的資源等情況。解決這個問題有兩種方式，一是手工重啟下接口，這是臨時的一種做法；另一種是通過命令配置自動恢復，當接口處于error-disable時，每過一段時間間隔，交換機自動重置接口，解除error-disable狀態。因為在總部的準入部署經驗，我們在后期部署時，都配置上了該命令。

   
   

2. 遺漏的免檢設備

   項目的順利與否往往取決于前期準備工作。準備的越充分，后面填的坑也就越小。網絡作為七層模型的低層，往往涉及到很多業務系統。就像馬路一樣，上面來往的不止是小汽車、貨車、大巴等，還有可能是滑板車、自行車、馬車等千奇百怪的交通工具。在整個準入項目最前期需要做的就是統計資源。所謂的資源，不只是電腦和服務器，還有話機、AP、監控、門禁、視訊設備等。因為各分公司有各自的IT人員，但由于某些原因，統計設備不完全，導致一些設備在準入系統上線后沒法正常使用。這時候就需要填坑了。

   
   

3. 沒有加域的電腦

   我司的準入策略要求有兩個，首先電腦要加域，其次電腦上要有準入客戶端。同時滿足這兩個條件，那么設備才被允許入網。在部署完成后，我們發現有好多終端電腦都沒有加域。主要原因還是由于某些分公司IT人員個人問題，做事敷衍了事導致的。在無法上網后，責令當地IT人員安裝完客戶端后，準入系統部署成功。

   
   

4. 不兼容的IP話機

   網絡準入系統上線后，所有的有線無線接口都能受管控了，這是一個美好的理想狀態。當然，這是不可能的。我們在部署的過程中，發現有部分型號的話機在接入交換機配置準入后，根本無法完成話機注冊。除了換設備，沒有特別好的方法。換設備的話，首先要考慮的是成本，包括時間和金錢。在考慮到成本后，我們決定退一步，解除了該上連設備的接口準入配置，并將設備記錄在冊。再下一次設備汰換時，這部分設備處于優先序列。

   
   

5. 升不了級的交換機

   除了以上問題，在升級交換機的過程中，我們也遇到了坑。升級的過程是成功的，結果是失敗的。升級完成后，我們檢查了接口都是正常的。設備運行也是穩定的，也成功運行了新版本。然后，我們美滋滋的下班了。第二天，就接到用戶報障，檢查后，在交換機上發現了以下日志信息：

   

   日志信息顯示思科不認為該設備是合法設備。目測該設備是以前維修過的，類似“組裝機”一樣。新版本的IOS可能有檢查機制，因此不能正常使用。網上查閱后，找到一個解決方法，通過斷電重啟能夠恢復。我們網內有兩臺設備遇到這個問題，其中只有一臺通過這種操作恢復了正常。另外一臺，只能通過換設備的方式完成部署。

3、一些項目心得

• 不要全部相信用戶的話

  在部署中，我們前一晚部署完成后，檢查都是正常的。第二天早上，往往會有用戶報障說整個站點全部故障。但仔細了解后，才會發現受影響范圍沒有那么夸張。從用戶的角度看，故意夸大故障范圍，提升故障等級，能夠得到運維人員的重視和優先處理。作為一個專業的運維人員，首先不要因為用戶的夸大而慌亂，然后像老醫生一樣，通過“望聞問切”的專業手法，自己判斷縮小、定位、處理故障。

  
  

• 變革是需要流血的

  通過歷史，我們知道每次改朝換代都是需要流血的。同樣，做項目也是這樣的。一次次的失敗迭代出了后來的成功。不要因為害怕流血而不去變革，變革流的血是暫時的，所有的一切都是為了未來的更好。只是在變革前，要做好充足的準備工作。

  
  

  見過太多的IT職場員工，在工作中遇到了很多問題，這些問題都是可以反饋上去的，或者處理掉后可以提升一兩倍的工作效率。但他們就是不會去做。在某些公司，提出問題的人，會被上級賦予額外的工作量。大家都沒問題，就你有問題，那你自己解決，也就是說成功是你的，失敗更是你的。最后，因為要擔責任，導致了很多問題大家都在“忍”，而不是去處理。作為運維人員要明白“變革“和”流血”是伴生的，為了一勞永逸的付出是值得的。為了到達遠方，行路中磕磕碰碰流點血擦破點皮，都是正常的。

  
  

• 讓步也是前進

  在人的一生中，總會遇到一些無法解決的問題。多年后，再次回想，當初糾結一時的問題，也就這樣而已。所有的問題都是能夠解決的。后退是為了跳的更遠。暫時的退讓，不死磕小問題，能夠讓項目更好更順利的按計劃推進。