最近完成了公司的准入項目,項目歷時3個多月,部署點位將近上千個。在部署的過程中,也曾踩過各種各樣的坑。公司採用某第三方軟件系統作爲準入控制平臺。該套系統採用雙機熱備的方式部署。該系統功能豐富,除了採用802.1x認證外,該套系統還支持桌面管理、進程管理、非授權外連等功能。 802.1x協議的主要目的是爲了解決局域網用戶的接入認證問題。802.1x就是IEEE爲了解決基於端口的接入控制而定義的一個標準。本文僅對此項目部署dot1x部分做一個詳細的總結。
1、項目流程安排
在項目調研階段,我們聯繫了原廠售前,進行軟件平臺、公司需求等信息的交流,在簡單瞭解了該軟件平臺各模塊功能後,我們選擇了幾個模塊提出了測試需求。經過一到兩週的搭建和測試後,廠商輸出了以下測試表單。
在測試功能的過程中,我們感覺該廠商的產品性能穩定、功能豐富,滿足公司的需求。因此,我們很快完成了立項、招投標等工作。在一次供應商的項目交流啓動會後,該項目拉開了帷幕。於此同時,我擔任該項目項目經理一職,負責整個項目的進度安排、資源協調和技術支持工作。
我司總部位於上海,有近二三十個分公司,各分公司遍佈全國各個省市。在項目安排上,我們先部署的是總公司,因爲辦公點就在總公司,在項目實施的過程中,如果出現問題,可以儘快的解決。而且總部的部署,能夠讓我們儘快熟悉供應商的產品。同時,也便於我司與供應商人力上的交流和協同。在專業程度上,我們信任供應商;在公司架構熟悉程度上,供應商也信任我們。正是在這種相互信任的情況下,我們才能按時高效的完成項目施工。
總部在部署的過程中,遇到了話機、視頻監控、打印機、掃描儀的功能失常問題,有些是在部署前沒有考慮到,還有部分是終端自身的問題。經過2周左右的時間,我們把總部的有線無線准入都完成了。後緒我們選擇了上海的一個營業部作爲分公司的第一個站點。總部的架構畢竟與分公司不同。上海營業部作爲分公司第一個站點,在我們部署准入項目的過程中,也是一個重點關注對象。只要能夠順利完成上海分部的項目部署,對於我們而言,其他分公司的部署只是上海分部的一個拷貝。
在上海分部,我們測試和部署大概花了2周時間,在踩了很多坑並確認系統運行正常後,我們對分公司的部署樹立了極大的信心。在安排分公司的部署時,我以上海爲核心,以上海分部爲起點,從江浙地區輻射出去,由近及遠的安排部署工作。主要是考慮到兩方面,一是如果出現問題,我方技術人員能夠第一時間趕赴現場。另外一個是設備調配的問題,准入的部署是基於交換機的,不是所有的交換機都能完全適配准入系統,需要前期對設備進行升級,升級的過程中可能會出現故障,分公司本地沒有備機也沒有專業的技術人員,因此從總部調配設備和人力就要求越快越好。
經統計,我司大概有30多臺設備需要升級,這些設備被安排分爲6個批次進行升級,一次升級多臺,在升級過程中,如果有一臺出現不可回退的故障,那麼就終止整個升級流程。升級設備從網絡接入層設備開始,防止匯聚設備在實施過程中產生的故障影響未實施的接入設備。從目前看來,這種策略還是挺明智的選擇。
在實施的過程中,我們將遇到的問題集中起來,形成了一份表格文檔。同時,也對一些無法解決的問題,做了記錄,精確到各個設備和所有者。這些文檔是我們以後排查故障的依據和經驗,也是供應商最後需要提供的交付文檔的一部分。
2、項目技術支持
安裝客戶端
因爲客戶端安裝後,會生效一些終端軟件策略,因此部署的時候,我採用的是按分站點部署,每安裝一個站點,完成整個網絡准入部署後,再進行下一個站點的部署。一般一個站點部署需要1周左右的時間準備,多個站點交叉並行部署,能夠節省很多時間。由於沒有使用策略推送,而是安排分公司當地IT人員手動下發安裝,因此在後緒部署的時候,經常會遇到有沒有安裝的電腦沒法上網。此外還有個別電腦因爲系統本身的原因沒有安裝上,只能通過重裝系統的方式重新部署。
升級交換機
使用命令copy結合tftp傳送IOS,需要注意的是IOS的版本,還有交換機Flash的剩餘空間,傳送IOS完成後檢查文件大小是否完整傳送,升級完成後需要檢查下客戶端是否可以正常上網。
交換機准入配置
接口自動恢復
errdisable recovery cause all 自動恢復errdisable接口
errdisable recovery interval 30 每30秒執行自動恢復操作
啓用 AAA
aaa new-model 開啓AAA認證
aaa authentication login default line local none 配置AAA登陸策略
aaa authentication dot1x default group radius none 配置dot1x認證策略
aaa authorization network default group radius 配置dot1x授權策略
radius-server host 10.188.64.158 auth-port 1812 acct-port 1813 key abc123 配置radius認證服務器
radius-server retransmit 3 服務器嘗試連接次數爲3次
radius-server vsa send authentication 配置交換機發送廠商特別屬性到AAA服務器,目的是要獲取用戶的VLAN信息
dot1x system-auth-control 全局開啓dot1x認證
在端口下啓用 802.1x
interface fastethernet 0/13
switchport mode access
switchport access vlan 10
authentication port-control auto
dot1x pae authenticator
spanning-tree portfast
authentication host-mode multi-auth 新版本功能多客戶端認證,老版本如果交換機下面接了小交換機,其中一個客戶端通過了,那其他客戶端就不需要認證,這個功能就是可以讓所有小交換機上的客戶端都需要認證
mab eap
踩過的“坑”
error-disable狀態的接口
第一次在總部測試部署時,沒有配置error-disable命令。在部署後,發現絕大部分話機出現問題,取消接口准入配置也沒有恢復,檢查接口狀態,發現接口處於error-disable狀態。這個狀態是思科交換機的自我保護機制,主要是爲了防止問題的擴大,如接口反覆的翻動消耗設備大量的資源等情況。解決這個問題有兩種方式,一是手工重啓下接口,這是臨時的一種做法;另一種是通過命令配置自動恢復,當接口處於error-disable時,每過一段時間間隔,交換機自動重置接口,解除error-disable狀態。因爲在總部的准入部署經驗,我們在後期部署時,都配置上了該命令。
遺漏的免檢設備
項目的順利與否往往取決於前期準備工作。準備的越充分,後面填的坑也就越小。網絡作爲七層模型的低層,往往涉及到很多業務系統。就像馬路一樣,上面來往的不止是小汽車、貨車、大巴等,還有可能是滑板車、自行車、馬車等千奇百怪的交通工具。在整個准入項目最前期需要做的就是統計資源。所謂的資源,不只是電腦和服務器,還有話機、AP、監控、門禁、視訊設備等。因爲各分公司有各自的IT人員,但由於某些原因,統計設備不完全,導致一些設備在准入系統上線後沒法正常使用。這時候就需要填坑了。
沒有加域的電腦
我司的准入策略要求有兩個,首先電腦要加域,其次電腦上要有準入客戶端。同時滿足這兩個條件,那麼設備才被允許入網。在部署完成後,我們發現有好多終端電腦都沒有加域。主要原因還是由於某些分公司IT人員個人問題,做事敷衍了事導致的。在無法上網後,責令當地IT人員安裝完客戶端後,准入系統部署成功。
不兼容的IP話機
網絡准入系統上線後,所有的有線無線接口都能受管控了,這是一個美好的理想狀態。當然,這是不可能的。我們在部署的過程中,發現有部分型號的話機在接入交換機配置准入後,根本無法完成話機註冊。除了換設備,沒有特別好的方法。換設備的話,首先要考慮的是成本,包括時間和金錢。在考慮到成本後,我們決定退一步,解除了該上連設備的接口准入配置,並將設備記錄在冊。再下一次設備汰換時,這部分設備處於優先序列。
升不了級的交換機
除了以上問題,在升級交換機的過程中,我們也遇到了坑。升級的過程是成功的,結果是失敗的。升級完成後,我們檢查了接口都是正常的。設備運行也是穩定的,也成功運行了新版本。然後,我們美滋滋的下班了。第二天,就接到用戶報障,檢查後,在交換機上發現了以下日誌信息:
![image.png]( "1540178842545053.png")
日誌信息顯示思科不認爲該設備是合法設備。目測該設備是以前維修過的,類似“組裝機”一樣。新版本的IOS可能有檢查機制,因爲不能正常使用。網上查閱後,找到一個解決方法,通過斷電重啓能夠恢復。我們網內有兩臺設備遇到這個問題,其中只有一臺通過這種操作恢復了正常。另外一臺,只能通過換設備的方式完成部署。
3、一些項目心得
不要全部相信用戶的話
在部署中,我們前一晚部署完成後,檢查都是正常的。第二天早上,往往會有用戶報障說整個站點全部故障。但仔細瞭解後,纔會發現受影響範圍沒有那麼誇張。從用戶的角度看,故意誇大故障範圍,提升故障等級,能夠得到運維人員的重視和優先處理。作爲一個專業的運維人員,首先不要因爲用戶的誇大而慌亂,然後像老醫生一樣,通過“望聞問切”的專業手法,自己判斷縮小、定位、處理故障。
變革是需要流血的
通過歷史,我們知道每次改朝換代都是需要流血的。同樣,做項目也是這樣的。一次次的失敗迭代出了後來的成功。不要因爲害怕流血而不去變革,變革流的血是暫時的,所有的一切都是爲了未來的更好。只是在變革前,要做好充足的準備工作。
見過太多的IT職場員工,在工作中遇到了很多問題,這些問題都是可以反饋上去的,或者處理掉後可以提升一兩倍的工作效率。但他們就是不會去做。在某些公司,提出問題的人,會被上級賦予額外的工作量。大家都沒問題,就你有問題,那你自己解決,也就是說成功是你的,失敗更是你的。最後,因爲要擔責任,導致了很多問題大家都在“忍”,而不是去處理。作爲運維人員要明白“變革“和”流血”是伴生的,爲了一勞永逸的付出是值得的。爲了到達遠方,行路中磕磕碰碰流點血擦破點皮,都是正常的。
讓步也是前進
在人的一生中,總會遇到一些無法解決的問題。多年後,再次回想,當初糾結一時的問題,也就這樣而已。所有的問題都是能夠解決的。後退是爲了跳的更遠。暫時的退讓,不死磕小問題,能夠讓項目更好更順利的按計劃推進。