XX网络改造项目工程实施方案
校园网络改造方案
校园网络改造方案一、背景分析随着信息技术的迅猛发展,校园网络在学生学习和教学中起着越来越重要的作用。
然而,目前仍有很多学校的校园网络存在着一些问题,如带宽不足、网络安全性差、网络覆盖不全面等。
为了适应现代教育的要求,提高学生学习和教师教学的效果,有必要对校园网络进行改造。
二、目标设定1.提高带宽:增加校园网络的带宽,保证学生和教师在同时使用网络时能够得到稳定和快速的网络连接。
2.提升网络安全性:加强网络安全设施,保护校园网络不受到恶意攻击和病毒侵害,保障学校网络的信息安全。
3.扩大网络覆盖范围:确保学校的每个角落都能够接入到稳定的网络,为学生和教师提供更多便利的网络服务。
4.提高网络服务质量:优化网络管理机制,提高网络响应速度,提供稳定和高效的网络服务。
三、实施方案1.提高带宽(1)升级网络设备:将校园网络设备进行升级,增加网络的带宽能力,确保网络连接的流畅性和稳定性。
(2)增加网络出口带宽:与当地运营商合作,增加网络出口带宽,提高网络连接速度,满足学生和教师的网络需求。
2.提升网络安全性(1)建设防火墙系统:在校园网络中建立完善的防火墙系统,监控学校网络中的安全威胁并及时阻止,保护校园网络的安全。
(2)增加网络安全设备:购置入侵检测系统和防病毒软件等网络安全设备,对学校网络进行实时监控和保护,防止病毒和恶意攻击。
3.扩大网络覆盖范围(1)增设无线网络设备:在学校每个教学楼、图书馆、宿舍楼等必要的场所增设无线网络设备,提供无线网络服务,方便学生和教师的移动办公和学习。
(2)加强校园WiFi信号覆盖:使用信号增强设备,扩大校园WiFi 信号覆盖范围,解决校园WiFi信号覆盖不全面的问题,提供更好的网络服务。
4.提高网络服务质量(1)完善网络管理机制:建立专业的网络管理团队,负责监控、管理和维护校园网络设备,保障网络正常运行。
(2)优化带宽分配:根据学生和教师的网络需求,进行带宽分配优化,保障网络的稳定性和良好的使用体验。
网络改造项目实施方案
网络改造项目实施方案项目背景随着科技的不断发展,网络已经成为人们生活和工作中不可或缺的一部分。
然而,许多组织在网络基础设施方面存在着各种各样的问题,这导致了网络性能的下降、安全隐患的增加以及对新技术的适应能力不足。
为了解决这些问题,进行网络改造项目已经成为许多组织的首要任务。
本文档旨在提供一个网络改造项目实施方案,以帮助组织在进行网络改造项目时能够高效地规划和实施各项任务。
项目目标本网络改造项目的主要目标是提升组织的网络性能、安全性和可靠性,同时满足未来业务发展和新技术应用的需要。
具体地,项目的目标包括:1.提升网络带宽和速度,以满足日益增长的网络流量需求。
2.加强网络安全,防范网络攻击和数据泄露。
3.提高网络可靠性,减少网络故障和停机时间。
4.提高网络管理和监控的能力,以实时掌握网络运行状态和故障信息。
项目范围本网络改造项目的范围包括以下几个方面:1.网络设备升级:包括路由器、交换机、防火墙等网络设备的升级和替换,以提升网络性能和安全性。
2.网络拓扑优化:对现有网络拓扑结构进行评估和优化,以提高网络的灵活性和可扩展性。
3.网络安全加固:对现有的网络安全策略和措施进行评估和加固,包括防火墙规则、入侵检测系统等。
4.网络性能优化:对网络带宽和速度进行评估和优化,以满足日益增长的网络流量需求。
5.网络管理和监控系统的建设:建立和完善网络管理和监控系统,实时掌握网络运行状态和故障信息。
项目计划本网络改造项目将采用以下的项目计划:1.项目启动阶段:进行项目的启动会议,明确项目目标、范围和计划。
制定项目交付物和里程碑。
2.需求调研与分析阶段:对现有网络进行调研和分析,确定项目的详细需求,并编制需求规格说明书。
3.解决方案设计阶段:基于需求规格说明书,设计网络改造的解决方案,包括网络设备升级、拓扑优化、安全加固等。
4.实施阶段:根据解决方案,进行网络设备升级、拓扑优化和安全加固等实施工作。
同时,建设网络管理和监控系统。
网络改造项目实施方案
网络改造项目实施方案第1章项目概况随着各种业务系统的不断开展,网络规模也逐渐扩大,现有网络组网方式已经逐渐不适应未来网络的发展,随着新办公大楼的建成,新办公楼的组网,系统部署建设,是发展的基础,也是对外服务的技术基础。
这次网络改造,要适应未来发展的目标,将现有网络升级成为一个高可靠性,安全性,易管理性的新型基础网络架构,并对未来业务拓展提供技术支持平台。
应用系统的安全重点在于防范于未然,即在安全事故发生之前就给予充分的重视,制定综合的安全管理策略,并建立起一套行之有效的可操作控制和集中管理的信息安全保障系统,对安全风险做到可知、可控、可防。
因此尽早建立和实施一套先进高效并基于风险控制与管理理论的完整的信息安全保障系统势在必行。
本方案主要为网络改造提供参考,并实现如下目标:1、参考中心的网络规划指导,结合现有网络,规划新网络架构;2、根据运营商提供线路情况,保证应用带宽需求,选择合理完善的线路;3、通过部门职能的不同进行VLAN划分;4、在各个网络出入口部合理署安全设备,提网络高安全性;5、原有机房线路以及设备的迁移。
公司能为承建网络改造工程非常荣幸,该网络结构简洁清晰,使用技术先进,承载着包括OA系统、财务系统、视频会议系统等最核心的业务数据。
网络改造项目涉及新办公网络的建设以及原有网络的搬迁。
本次项目涉及到的新增设备主要有:第2章原有设备组网情况中心机房核心路由器模块上联至中心核心路由器,到中心有两条PVC虚电路通道,两条PVC虚电路互不影响,分别承载中心与分中心的数据和语音业务。
通过100M以太网口分别连接语音网关和内核心交换机,启用静态路由协议实现各设备之间的业务互访。
广域网链路主要是100M线路,通过联通线路划分PVC线路实现与省局的数据互联,带宽主要为1.5M(数据)、512K(语音)。
视频会议通过联通100M线路连接。
分中心通过100线路互联,互联网通过1000M接入。
原有机房拓扑图2.1 原机房设备分析:2.1.1 核心路由器2.1.2 核心交换机第3章新建工程的组网要求3.1 网络结构网络项目改造分两个阶段,第一个阶段首先完成新网络的建设以及设备的部署,包括新采购外网网络设备调试安装,以及互联线路的开通。
XX网络优化改造方案
XX网络优化改造方案xx网络优化项目建设方案XX网络优化项目技术方案XX有限公司20XX年XX月xx网络优化项目建设方案目录第一章项目范围与建设原则 ..................................................................... ..................... 3 1.1 优化任务 ..................................................................... .......................................... 3 1.2 项目范围 ..................................................................... .......................................... 3 1.3 建设原则 ..................................................................... ........................................ 3 第二章原有网络总体结构 ..................................................................... .......................... 5 2.1 网络体系结构 ..................................................................... ................................... 5 2.2 总体网络结构 ..................................................................... ................................... 5 第三章优化后网络架构 ..................................................................... ............................ 8 3.1 网络优化设计原则 ..................................................................... .......................... 8 3.2 优化后总体网络架构...................................................................... ........................ 9 3.3 优化网络设备选型 ..................................................................... ...........................11 3.4 组网的特点...................................................................... .....................................11 第四章路由及IP地址规划 ..................................................................... ....................... 14 4.1 路由协议选择 ..................................................................... ............................... 14 4.2 OSPF及NE路由器的实现...................................................................... ............. 18 4.3 OSPF的区域划分的基本原则 ..................................................................... .......... 19 4.4 XX网路由设计 ..................................................................... ............................. 19 4.5 IP地址规划概述 ..................................................................... ........................... 20 4.6 XX网络IP地址规划 ..................................................................... ...................... 21 第五章 QOS解决方案组网设计...................................................................... .............. 22 5.1 业务分类及优先级分析 ..................................................................... ................... 22 5.2 服务质量,QoS,保证实施 ..................................................................... . (24)xx网络优化项目建设方案第一章项目范围与建设原则 1.1 优化任务在原有XX网络系统上,建设冗余设备和冗余链路,实现分业务高速传输,并可解决现有网络系统存在单点故障、单条链路隐患。
网络改造项目实施方案
网络改造项目实施方案网络改造项目实施方案一、背景分析随着互联网技术的不断发展,网络已经成为人们生活和工作中不可或缺的一部分。
然而,随之而来的网络安全问题也日益严重,企业内部网络出现了一系列问题,包括网络速度慢、数据泄露等。
为了解决这些问题,本公司决定进行网络改造项目,提升网络安全和效率。
二、项目目标1. 提升网络安全性能:建立完善的网络安全防护体系,确保企业内部网络的安全。
2. 提高网络速度:设立网络性能优化方案,提升网络传输速度,提高员工工作效率。
3. 防止数据泄露:建立数据加密和备份机制,保护公司重要数据不被泄露。
三、项目实施方案1. 网络安全防护体系建设a. 安装防火墙系统:采购符合企业安全需求的高性能防火墙设备,设置访问控制规则,限制内外网流量。
b. 建立入侵检测系统:安装入侵检测系统,对内外网流量进行实时监控,及时发现并阻止网络攻击。
c. 培训员工网络安全意识:开展网络安全教育培训,加强员工对网络安全的认识,提高信息安全防范能力。
2. 网络性能优化方案a. 更新网络设备:对旧有的网络设备进行升级,提高网络处理能力,缓解网络拥堵情况。
b. 网络带宽扩容:对网络带宽进行扩容,提高网络传输速度,满足员工的日常工作需求。
c. 弱信号处理:排查弱信号区域,采取相应的措施加强信号覆盖,确保网络信号稳定。
3. 数据加密和备份机制建立a. 数据加密:对重要数据进行加密,确保数据在传输和存储过程中不易被窃取和篡改。
b. 数据备份:建立数据备份机制,定期将重要数据备份至云存储或外部硬盘,以防止数据丢失。
四、项目实施步骤1. 项目启动:成立网络改造项目组,明确项目目标和执行计划。
2. 需求分析:与各部门合作,了解各部门对网络改造的需求,并制定详细的实施方案。
3. 采购设备:根据实施方案,采购符合需求的防火墙设备、入侵检测系统和其他所需设备。
4. 设备安装和配置:将采购的设备进行安装和配置,确保设备正常工作。
内网改造工程施工方案
项目名称:内网改造工程项目地点:XX公司项目背景:随着公司业务的发展和技术的进步,原有的内网系统已无法满足公司日常运营的需求。
为了提高公司内部信息传输的效率,确保数据安全,特进行内网改造工程。
二、工程目标1. 提高内网传输速率,确保公司内部信息传输的高效、稳定;2. 加强网络安全防护,防止外部攻击和数据泄露;3. 优化网络拓扑结构,提高网络的可扩展性和可维护性;4. 实现网络设备的统一管理和维护。
三、工程范围1. 内网交换机、路由器等网络设备的升级和更换;2. 内网光纤、网线等线缆的铺设和连接;3. 网络安全设备的部署和配置;4. 网络管理软件的安装和配置。
四、施工方案1. 施工准备(1)成立项目组,明确项目负责人、技术负责人和施工负责人;(2)编制施工方案,明确施工流程、施工步骤、技术要求等;(3)准备施工所需设备和材料,包括交换机、路由器、光纤、网线、安全设备等;(4)对施工人员进行技术培训和安全教育。
2. 施工步骤(1)现场勘察:了解现有网络设备、线缆布局和安全隐患,为施工提供依据;(2)设备安装:按照设计要求,将新的网络设备安装到指定位置;(3)线缆铺设:按照施工方案,铺设光纤、网线等线缆,确保连接可靠;(4)设备配置:对网络设备进行配置,包括IP地址、路由、安全策略等;(5)安全设备部署:安装网络安全设备,如防火墙、入侵检测系统等,确保网络安全;(6)网络测试:对网络进行测试,确保网络传输速率、稳定性、安全性等指标达到要求;(7)网络管理软件安装:安装网络管理软件,实现网络设备的统一管理和维护。
3. 施工质量控制(1)严格按照施工方案执行,确保施工质量;(2)对施工人员进行定期检查,确保施工人员掌握施工技能;(3)对施工材料和设备进行验收,确保其符合质量要求;(4)对施工过程进行全程监控,及时发现并解决问题。
4. 施工安全(1)施工现场设置安全警示标志,提醒施工人员注意安全;(2)施工人员必须佩戴安全帽、手套等防护用品;(3)对高空作业、电焊作业等危险作业进行严格的安全管理;(4)确保施工现场的消防设施齐全,并定期检查。
教室网络改造实施方案
教室网络改造实施方案一、背景介绍随着信息技术的快速发展,教育领域也逐渐迎来了数字化转型的浪潮。
教室网络改造作为其中的重要一环,对于提升教学质量、拓展教学手段、促进教育信息化具有重要意义。
因此,本文将就教室网络改造实施方案进行详细阐述,以期为相关教育机构提供可行的指导方案。
二、目标设定1. 提升教学效率:通过网络改造,实现教师与学生之间的互动更加便捷,提高教学效率。
2. 拓展教学手段:利用网络资源,丰富教学内容,提供多样化的学习方式,满足学生个性化学习需求。
3. 促进信息化教育:构建数字化教室,为未来教育信息化发展打下基础。
三、实施方案1. 硬件设施更新:更新教室内部的网络设备,包括投影设备、电脑、网络路由器等,确保硬件设施的先进性和稳定性。
2. 网络带宽提升:升级网络带宽,确保教室内的网络连接流畅稳定,满足多用户同时在线的需求。
3. 教学资源整合:整合各类优质的教学资源,包括教学视频、电子书籍、在线课程等,为教师和学生提供更多的学习选择。
4. 教学平台建设:搭建专属的教学平台,实现教师在线布置作业、学生在线提交作业、课堂互动等功能,提升教学效率。
5. 安全防护加固:加强网络安全防护措施,确保教室网络系统的安全稳定,防止网络攻击和数据泄露。
6. 培训与支持:为教师和学生提供相关的网络教学培训和技术支持,帮助他们更好地利用教室网络资源进行教学和学习。
四、实施步骤1. 确定改造计划:根据实际情况,制定教室网络改造的详细计划,包括硬件更新、网络带宽提升、教学资源整合等内容。
2. 采购设备与资源:根据改造计划,采购所需的硬件设备和教学资源,确保设备和资源的质量和合理性。
3. 设备安装与调试:对新设备进行安装和调试,确保设备的正常运行和稳定性。
4. 教学平台搭建:搭建教学平台,进行功能测试和优化,确保平台的稳定性和易用性。
5. 师生培训与支持:对教师和学生进行网络教学培训,提供技术支持,帮助他们熟练使用教室网络资源进行教学和学习。
2024中小企业网络改造实施方案及流程
2024中小企业网络改造实施方案及流程摘要:随着互联网的迅猛发展,网络已经成为中小企业运营的重要基础设施。
然而,由于网络技术的快速更新和企业规模的快速发展,许多中小企业的网络设施已经陈旧,并且无法满足日益增长的业务需求。
因此,网络改造已经成为中小企业发展的重要一环。
本文将针对中小企业网络改造进行深入研究,提出了一套完整的实施方案及流程,旨在帮助中小企业通过网络改造,提升业务效率和降低成本,实现更加可持续的发展。
目录一、网络改造的背景与意义1.1 网络改造的背景1.2 网络改造的意义二、网络改造的现状与问题分析2.1 中小企业网络现状分析2.2 中小企业网络存在的问题三、网络改造的目标与原则3.1 网络改造的目标3.2 网络改造的原则四、网络改造实施方案4.1 网络规划与设计4.2 网络基础设施改造4.3 网络安全防护4.4 网络性能优化4.5 网络监控与管理五、网络改造实施流程5.1 网络改造前的准备工作5.2 网络改造方案的制定5.3 网络改造实施的具体步骤5.4 网络改造后的维护和管理六、网络改造实施的风险与对策6.1 网络改造实施的风险分析6.2 网络改造实施的风险对策七、网络改造实施案例分析7.1 某中小企业网络改造实施案例7.2 案例分析与总结八、网络改造实施策略的评价八、结论一、网络改造的背景与意义1.1 网络改造的背景随着信息技术的不断发展,网络已经成为中小企业运营的重要基础设施。
然而,由于网络技术的快速更新和企业规模的快速发展,许多中小企业的网络设施已经陈旧,并且无法满足日益增长的业务需求。
因此,网络改造已经成为中小企业发展的重要一环。
1.2 网络改造的意义网络改造可以大大提升中小企业的业务效率,降低成本。
通过网络改造,中小企业可以实现以下目标:1) 优化网络性能,提升网络带宽,加快数据传输速度,提高网络可用性和稳定性;2) 改善网络安全,规避外部攻击,保护企业数据安全;3) 降低网络运维成本,提高网络管理效率;4) 支持企业业务的拓展和创新,提高企业竞争力。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
XXXXXXXXX网络改造项目工程实施方案V1.02010年7月1 客户网络情况调查(可选)1.1 概述青海黄河鑫业水电网络项目(EAD部分)实施,本次主要实施为IMC平台部署、客户端安装、双机备份部署,以及对用户方的培训工作。
1.2 账号情况此处请检查EAD的license是否够用⏹账号数不是指在线用户数,而是在iMC EAD中开户的数量⏹如果账号是从LDAP服务器中同步过来的,需要确保同步的LDAP服务器中的用户数小于iMCEAD的license数。
⏹iMC EAD的license数目以客户实际购买数量为准。
1.3 网络设备情况此处仅统计与EAD相关做身份认证的设备情况1.4 终端操作系统情况此处仅统计需要安装iNode客户端做EAD认证的用户。
常见的操作系统有:widnows,linux,MacOS等1.5 终端操作系统杀毒软件情况1.6 服务器情况如果有多个服务器,请添加多行Raid请填写该服务器是否有Raid卡,radi卡大小是多少。
1.7 操作系统及数据库情况⏹为了保障业务软件产品的正常运行,请确保现场的操作系统及数据库为正版⏹常见的虚拟机有Vmware等⏹为了保障业务软件产品的正常运行,要求服务器服务器专机专用,除了业务软件产品及必要杀毒软件外,不能安排其它厂家的软件产品。
2 EAD组网方案选择根据客户的网络情况,选择合适的EAD组网方案。
2.1 802.1xEAD典型组网2.1.1 推荐的组网:1. 接入层交换机二次acl下发方式组网说明:⏹802.1x认证起在接入层交换机上⏹采用二次ACL下发的方式(隔离acl,安全acl)来实现对安全检查不合格的用户进行隔离,对安全检查合格的用户放行⏹由于是二次acl下发的方式,要求接入层交换机为H3C交换机(具体的交换机型号请参考EAD的产品版本配套表)⏹控制点低,控制严格(采用802.1x认证方式,接入用户未通过认证前无法访问任何网络资源)⏹由于802.1x控制非常严格,非通过认证的用户无法访问任何网络资源,但有些场景下用户需要用户未认证前能访问一些服务器,如DHCP,DNS,AD(active directory域控),此时可以通过H3C交换机的EAD快速部署物性来实现,关于该特性的具体描述请参考:/kms/search/view.html?id=14452⏹为确保性能,iMC EAD一般要求分布式部署2. 客户端acl方式对于不支持二次acl下发的交换机(我司部分设备及所有第三方厂家交换机),可以通过使用iNode 的客户端acl功能来实现隔离区的构造,即将原本下发到设备上的acl下发到iNode客户端上。
组网说明:⏹802.1x认证起在接入层交换机上(要求接入层交换机对802.1x协议有很好的支持),控制点低,控制严格⏹终端用户DHCP或静态IP地址均可⏹二次acl下发到iNode客户端上,隔离区构造方便。
⏹二次acl下发需要iNode定制“客户端acl特性”,该特性需要iNode安装额外的驱动,对终端操作系统的稳定性有较高的要求。
⏹对于802.1x起在第三方厂家交换机上的场景,要求客户能提供或协调提供第三方厂家能的技术支持。
3. 下线+不安全提示阈值方式在接入层设备不是H3C交换机的情况下,由于设备不支持二次acl下发无法采用二次acl下发的方式来构造隔离区,此时可以通过下线+不安全提示阈值的方式来模拟构造隔离区,实现EAD功能。
具体实现为:用户安全检查不合格时,EAD不立即将终端用户下线而是给出一定的修复时间(不安全提示阈值),终端用户可以如果在该时间内完成的安全策略修复则可以正常通过EAD认证访问网络,如果在该时间内未完成安全策略修复则被下线。
组网说明:⏹802.1x认证起在接入层交换机上(要求接入层交换机对802.1x协议有很好的支持),控制点低,控制严格⏹终端用户DHCP或静态IP地址均可⏹采用下线+不安全提示阈值方式认证过程简单,稳定。
⏹由于终端用户在不安全时在“不安全提示阈值”时间内与安全用户访问网络的权限是一样的,安全性上不如二次acl下发方式好。
2.1.2 不推荐的组网1. 汇聚层802.1xEAD在下面的场景中,由于网络中的接入层交换机不支持802.1x认证,而H3C交换机又是基于MAC来认证的,于是容易产生如下图所示的将一台支持802.1xEAD的H3C交换机放到汇聚层,下面接不支持802.1x 认证的交换机或hub的方案,这种方案在实际使用中是不推荐的,主要原因如下:⏹802.1x本身是一个接入层的概念,H3C交换机做EAD的acl资源多是基于接入层设计的,如果把交换机放在汇聚层,下面接的用户过多,很容易出现acl资源不足导致用户无法上线的问题⏹终端用户认证通过后需要与认证交换机维护802.1x握手(eap报文),由交换机在汇聚层与终端用户隔了一层或几层的第三方厂家交换机,这些厂家的交换机不支持802.1x,容易将eap报文过滤掉从而造成终端用户认证后掉线⏹认证交换机放在汇聚层,终端用户与认证交换机之间是共享域,在其中往往充斥着大量的广播报文,802.1x是eap报文,无论是PC的网卡还是交换机对其处理的优先级都不高,在流量大的时候容易被网卡或交换机丢弃从而造成用户认证后掉线。
下面的场景建议使用portal EAD方式.(需要增加portal设备)2. guest-vlan方式guest-vlan技术简介:由于802.1x协议控制非常严格,用户认证前无法访问任何网络资源。
如果客户在未通过802.1x认证前也需要访问一些网络资源,可以通过guest-vlan来实现。
端口配置了guest-vlan后,用户默认属于guest-vlan,可以访问guest-vlan的资源,用户802.1x认证后用户切换到正常vlan,可以访问正常vlan的资源,一般情况下在guest-vlan下会放置文件服务器,DHCP服务器等提供基本的网络服务。
由于guest-vlan是一个天然的隔离区,技术上可以通过guest-vlan+下线的方式来实现EAD,即用户安全检查合格后切换到正常vlan,如果安全检查不合格则将用户下线,用户切换回guest-vlan,只能访问guest-vlan能的相关病毒、补丁服务器来修复安全策略。
guest-vlan一个突出的优点是用户认证前即可以访问部分网络资源,可以完成下载认证客户端等操作.但限制也较大,实际使用中建议优先采用portal方式或下线+不安全提示阈值的方式来实现EAD。
⏹由于用户认证前属于guest-vlan,认证后需要切换到正常vlan,要求终端用户地址采用DHCP方式,不能采用静态IP⏹用户认证属要从guest-vlan切换到正常vlan,下线后又要从正常vlan切换到guest-vlan.整个过程涉及到两次IP地址的release及renew,比较复杂,容易出现地址获取不正确等不稳定问题。
⏹guest-vlan要求第三方厂家设备对guest-vlan有很好的支持,由于guest-vlan应用不多,各个厂家各个版本实现不一致,实施过程中出了问题很难得到有效技术支持。
2.2 Portal EAD典型组网Portal本身就是一个天然的隔离区,即未通过认证的用户访问的网络资源是受限的,通过认证的用户可以正常的访问网络。
同于portal的这种特性,实际使用中往往采用下线+不安全提示阈值的方案,对于安全检查不合格的用户通过下线将其放入“隔离区”。
下面介绍一下portal EAD的常用组网。
2.2.1 二层portal EAD如图所示,所谓二层portal即到portal设备的报文为带vlan-tag的二层报文。
⏹身份认证采用portal认证⏹一般采用下线的方式即可实现将终端用户放入隔离区来实现EAD⏹Portal设备的具体型号请参考EAD的版本说明书2.2.2 三层Portal EAD三层Portal即到Portal设备做认证的流量是IP报文,三层portal主要有如下两种组网:1. 策略路由方式如下图所示,Portal设备侧挂在网关上,由网关将需要portal EAD认证的流量策略路由到Portal设备上做EAD认证,这种组网方式对现场改动小,策略灵活(仅将需要认证的流量策略路由到portal设备上,不需要认证的流量可以正常通过网关转发)组网说明⏹身份认证采用portal认证⏹一般采用下线的方式即可实现将终端用户放入隔离区来实现EAD⏹Portal设备的具体型号请参考EAD的版本说明书⏹网关设备需要支持策略路由⏹终端用户与iMC之间不能有NAT⏹终端用户到iMC的流量一定要经过portal设备,不能出现终端用户不经过portal设备直接访问iMC的情况,否则portal认证会异常。
2. 串接方式如果网关设备不支持策略路由,可以将Portal设备串接在网关与出口路由器之间。
组网说明:⏹身份认证采用portal认证⏹一般采用下线的方式即可实现将终端用户放入隔离区来实现EAD⏹Portal设备的具体型号请参考EAD的版本说明书⏹终端用户与iMC之间不能有NAT⏹终端用户到iMC的流量一定要经过portal设备,不能出现终端用户不经过portal设备直接访问iMC的情况,否则portal认证会异常。
2.3 L2TP VPN EAD终端用户身份认证采用l2tp方式,EAD通过二次acl下发到安全联动网关来实现EAD。
组网说明:⏹终端用户采用l2tp方式做身份认证⏹如果需要安全性防护可以采用l2tp over IPSec的方案⏹二次acl下发均下发到安全联动VPN网关上,网关的具体型号请参考EAD版本说明书2.4 无线EAD无线EAD目前只支持Portal方式的EAD,不支持基于802.1x认证方式的EAD。
组网说明:⏹AC除了完成AP的注册及控制外,同时起用portal认证⏹一般采用下线的方式即可实现将终端用户放入隔离区来实现EAD⏹支持EAD AC的具体型号请参考EAD的版本说明书⏹终端用户与iMC之间不能有NAT⏹终端用户到iMC的流量一定要经过portal设备,不能出现终端用户不经过portal设备直接访问iMC的情况,否则portal认证会异常。
⏹由于AC转发性能的考虑,用户的网关不要设在AC上3 工程界面说明一个典型的EAD解决方案实施包含如下四部分内容,由于涉及到客户的具体业务及第三方的产品,有些内容需要客户配合完成。
此处对EAD各部分内容部署时的工程分工界面说明如下:iMC服务器安装及调试第三方厂家产品对接安全联动设备调试iNode客户端部署3.1 实施方负责完成的工作:1. 服务器操作系统及数据库安装2. iMC平台及各组件的安装及部署3. 账号方案建议4. EAD解决方案安全策略建议5. 与第三方厂家产品对接时iMC侧调试工作6. 安全联动设备EAD相关的配置及调试7. iNode部署方案建议8. 部署过程中问题解决9. EAD解决方案业务培训3.2 客户方负责完成的工作1. 提供符合EAD要求的服务器2. 提供正版的操作系统及数据库软件3. 提供开通EAD业务相关的资料,如账号信息,桌面资产编号。