所謂的“硬件信息綁定”是指將一臺終端的CPU序列號、硬盤序列號、網(wǎng)卡MAC地址這三項信息作為準(zhǔn)入控制的條件，這個條件幾乎不能被仿冒，MAC可以改但CPU、硬盤的序列號要修改并不容易。開始老金還懷疑，啟明星辰又不是交換機硬件廠商，有何能耐完成這樣的定制。但李想?yún)s信心滿滿，客戶端和Radius服務(wù)器都是自己的，只要交換機支持802.1X，遵守標(biāo)準(zhǔn)協(xié)議肯定沒問題，不遵守標(biāo)準(zhǔn)協(xié)議那我們改自己的東西讓它沒問題。

“來電話了，來電話了……”，自從趙三常被迫換手機之后，這個新手機的鈴聲已經(jīng)成為整個運維區(qū)最有標(biāo)志性的聲音，以至于聲音一起大家伙都知道是什么產(chǎn)品出了問題。趙三常，某國內(nèi)著名信息與通訊企業(yè)Q公司常駐南粵移動網(wǎng)維中心的工程師，技術(shù)狂人，外號“半個鐘”，就是一般的問題半個小時解決。

三常習(xí)慣性的“喂”了一聲，然后是十幾秒的沉默，臉色一點點嚴(yán)肅起來，“我馬上去查。”三常扔下電話趕緊往操作室跑。原來是信號傳輸出現(xiàn)了問題，這是較嚴(yán)重的故障。

不一會，老金趕到了操作室。老金實際上是個難得的技術(shù)型美女，她是三常甲方的直接領(lǐng)導(dǎo)，脾氣耿直，凡事愛刨根問底。

“怎么回事？”老金問。

“Oracle的一個表被刪了，估計是故意，按預(yù)案7，現(xiàn)在正在恢復(fù)，要半個小時。”

“誰干的？”

“只有IP，公共用戶名，咱這兒是DHCP，查不到人。”

老金皺了皺眉，這種故障要一個小時內(nèi)解決，她又打了幾通電話把各個使用Oracle數(shù)據(jù)庫的廠商代維召集過來開會。

開完會已經(jīng)過了晚飯的點兒了，結(jié)論是Q公司主要負(fù)責(zé)查責(zé)任人，其他廠商代維全力配合，但這次三常心里是有底的，交換機端口都開了準(zhǔn)入，要聯(lián)進(jìn)來就得裝啟明星辰的天珣客戶端，有了天珣查個IP應(yīng)該是很容易的事。

往食堂走的時候信號的問題已經(jīng)解決了，在響應(yīng)時間以內(nèi)，老金算是無功無過，但緊接著是另一個問題，查人。老金一邊走一邊撥通了李想的電話。李想是啟明星辰終端管理產(chǎn)品——天珣的產(chǎn)品經(jīng)理，技術(shù)銷售混合型人才，當(dāng)初產(chǎn)品能進(jìn)來李想提了不少建議做了不少定制，這些建議中就有關(guān)于DHCP下IP地址管理的。最終滿足用戶要求并上線運行花了大半年的時間，搞了一個業(yè)界首創(chuàng)的基于硬件信息的802.1X準(zhǔn)入，號稱身份標(biāo)識不能仿冒。上線這么長時間倒是沒出過大問題，唯一的問題是在某型交換機上做準(zhǔn)入時Radius服務(wù)器不能自動切換，最終發(fā)現(xiàn)是低版本交換機VRP的一個Bug。但平時一切都好，不表明關(guān)鍵時候中用。

“李想，明天找個技術(shù)好點的過來，定位個IP。”老金開門見山地說到。

“怎么回事？天珣的問題？”李想也不含糊，打了兩年交道，雙方對彼此的脾氣算是知根知底，都是直奔主題。

“不是天珣的問題你就不過來了？”

“那哪兒能，但總得知道是啥事吧。”

老金把事兒一說，李想就明白了怎么回事，答應(yīng)明天一大早人就到。但吃完飯老金就改主意了，明天太晚，馬上就過來。

其實這事用不著技術(shù)好點的，只要裝了天珣，要查個IP是很簡單的事，即使DHCP也一樣。最后責(zé)任終端的定位異常簡單，點幾下鼠標(biāo)就OK，把趙三常給看愣了。

原來，南粵移動網(wǎng)維中心早在一年前就已經(jīng)開始部署準(zhǔn)入控制，并且采用的是最嚴(yán)格的802.1X，之所以這樣做是基于這樣一個常識，要想接入的終端都受控必須起準(zhǔn)入，起了準(zhǔn)入所有的電腦都得裝客戶端，有了客戶端終端的一切幾乎都會了如指掌。因為早前發(fā)生過類似的事故，問題解決很順利就是最后找不到人沒法定責(zé)。產(chǎn)品多，代維人員多，又經(jīng)常換人，靜態(tài)IP地址可以改，動態(tài)IP可能隨時在變，交換機端口綁定MAC地址又有端口下接HUB，MAC地址可以手工變的常識問題。關(guān)于如何避免憑證被仿冒的問題老金和李想沒少探討，最后李想提出了一個基于主機硬件信息綁定的802.1X準(zhǔn)入讓老金終于放了心。

所謂的“硬件信息綁定”是指將一臺終端的CPU序列號、硬盤序列號、網(wǎng)卡MAC地址這三項信息作為準(zhǔn)入控制的條件，這個條件幾乎不能被仿冒，MAC可以改但CPU、硬盤的序列號要修改并不容易。開始老金還懷疑，啟明星辰又不是交換機硬件廠商，有何能耐完成這樣的定制。但李想?yún)s信心滿滿，客戶端和Radius服務(wù)器都是自己的，只要交換機支持802.1X，遵守標(biāo)準(zhǔn)協(xié)議肯定沒問題，不遵守標(biāo)準(zhǔn)協(xié)議那我們改自己的東西讓它沒問題。

話雖簡單，執(zhí)行起來卻并不容易，在定制的過程中先后遇到了信息長度超過交換機限制不得不拆包的問題和之前提到的Radius服務(wù)器不能正常切換的問題。整個系統(tǒng)穩(wěn)定下來是半年之后的事。不過效果非常理想，網(wǎng)維中心隨即在所有交換機上開啟了802.1X準(zhǔn)入，要求所有代維人員不得私帶電腦聯(lián)網(wǎng)，所有電腦必須安裝天珣客戶端。其實第一項都不用要求，即使帶了電腦進(jìn)來裝了客戶端也聯(lián)不了網(wǎng)，并且天珣服務(wù)器上還會記錄MAC、交換機IP地址、端口、時間等信息備查。

裝了天珣客戶端之后，天珣會記錄終端的各種信息，控制非授權(quán)網(wǎng)卡的使用，打補丁以及審計終端的各種變化。在上述故障處理中，使用的是天珣IP地址變更審計功能。終端操作系統(tǒng)的登錄用戶，曾經(jīng)使用過的IP地址及時間段，甚至連網(wǎng)絡(luò)訪問都?xì)v歷在目。

點評：

準(zhǔn)入控制雖然不是終端管理產(chǎn)品保證自身存在的唯一法寶，但卻是最行之有效的手段。業(yè)界不少產(chǎn)品都會強調(diào)自己的產(chǎn)品只要裝上便可以如何不能被卸載，但這卻是有限的方法，它不能防止操作系統(tǒng)重裝以及新電腦接入等問題，管理范圍存在漏洞。啟明星辰天珣致力于網(wǎng)絡(luò)準(zhǔn)入的推廣，在各個行業(yè)用戶中積累了大量的實戰(zhàn)案例，雖然不是網(wǎng)絡(luò)設(shè)備廠商，但其兼容性以及靈活的可定制性已經(jīng)成為業(yè)界的典范。

　　推薦閱讀

　　AMD大中國區(qū)總裁鄧元鋆出席東戴河新區(qū)投資環(huán)境說明會

3月9日，北京國貿(mào)大酒店群賢齊聚，高朋滿座。由遼寧省政府主辦，省科技廳和葫蘆島市政府協(xié)辦，綏中縣政府和遼寧東戴河新區(qū)管委會、《IT時代周刊》承辦的遼寧東戴河新區(qū)投資環(huán)境說明會在這里隆重舉行。AMD全球高級副總>>>詳細(xì)閱讀

本文標(biāo)題：精確準(zhǔn)入控制 天珣瞬間揪出問題終端

地址：http://m.sdlzkt.com/a/xie/20111230/157790.html

 1/2    1  2 下一頁