#原创分享#统一身份认证idTrust系统部署——第二章idTrust初始化网络和高可用

序言：

        随着aTrust零信任产品和idTrust统一身份认证系统的不断更新迭代，并逐渐承载客户的网络访问和业务应用，大家在日常的工作中也会经常遇到aTrust和idTrust的使用场景，如何高效快速的进行安全部署和功能应用上线呢？本着学习交流的心态，在此立贴记录，将逐步更新aTrust和idTrust新产品相关知识，从入门级安装部署，到基础功能业务配置，再到常见问题排错。欢迎大家发帖交流。

——————————————————第二章idTrust初始化网络和高可用———————————————

idTrust部署——idTrust初始化网络和高可用

一、IDTrust产品简介

1.1产品背景功能

      随着网络信息化的发展，国家把网络可信身份作为核心战略，身份鉴别和双因素认证也成为等保合规要求。目前标准企事业单位的应用系统越来越多，规模越来越大，不仅面临日益严峻的外部威胁和严格的监管要求，同时还需要应对员工身份信息管理带来的业务挑战，基于传统的账号管理方式已经不能满足IT运维的工作要求。

       在此业务背景下，IDtrust统一身份安全管理系统应孕而生的，以人为中心应用访问控制，提供统一身份管理、统一身份认证、统一门户/单点登录(SSO)、集中应用授权、审计与分析等功能，让认证更简易、身份更安全、应用访问更可控。并实现身份全生命周期管理，降低管理员账号开户、变更、销户等带来的运维复杂度，让管理更高效 。

二、设备参数简介

1.1设备网口属性说明

1.2默认端口说明

备注：截止IDtrust2.0.10版本，设备管理端口和用户认证的https端口均可自定义，默认的http用户认证端口100不可修改

三、IDtrust网络初始化部署

3.1硬件设备部署

某公司 IDTrust设备，网口默认的出厂IP为：eth1(管理口)：10.*.*.251/24      

3.1.1、使用一根交叉线连接设备和电脑

如果电脑连接的是设备的eth1口，需先在电脑上配置一个10.*.*.0/24网段的地址（10.*.*.251除外），打开浏览器输入https://10.*.*.251 登录设备网关控制台（默认账号密码**/**）。

3.1.2、登入设备后，注意先新增路由，否则在配置IP后会重启网络导致后台路由恢复默认，在系统配置网络配置中选择路由页面，按下图所示，新增路由信息

3.1.3、部署模式配置，在【系统配置】-【网络配置】-【部署模式】按默认引导配置

3.2虚拟化平台部署

3.2.1、在虚拟化平台上配置临时IP地址，通过ip addr命令配置IP地址

例如通过如下：124的步骤，配置eth1口的IP地址和网关

1）、添加接口IP命令：ip addr add 172.*.*.1/24 dev eth1

2）、删除接口IP命令：ip addr del 172.*.*.1/24 dev eth1

3）、添加路由命令：route add –host 172.*.*.254 dev eth1

4）、添加默认路由：route add default gw 172.*.*.254

配置过程截图可以参考如下

3.2.2、网络部署模式配置

通过2.1步骤配置的IP地址登录设备，按硬件部署的指导，先添加路由，后配置网口IP地址即可，此次不再赘述。

四、双机高可用配置

4.1主备双机部署模式

4.1.1、网口规划

双机部署条件：两台IDTrust设备，在软件版本相同，硬件型号相近，使用网口相同条件下，支持主备模式部署。

认证口规划：一般使用eth0口，设备默认路由走认证口

管理口规划：一般使用eth1口，注意管理口需要配置单独的路由（主备场景下，备机认证口路由不通）

HA口规划：设备管理口可选做为HA口，一般使用其他空闲网口即可。

4.1.2、双机配置步骤

配置前提：在配置认证模式初始化时，就需要把规划好的HA口和管理口填写进去，在双机处直接对应网口。

例如如下配置

主机配置：选择双机主备模式

主机配置：选举主机优先级为高，配置主备HA网口和共享密钥，检测网口选择认证口即可

主机配置：根据网络环境，选择心跳超时时间，ARP探测和ICMP探测参数和条件

主机配置：切换行为部分，主要用于down备机网口，可以保持默认

备机配置：参考主机配置即可，在选举主机优先级是，勾选低优先级即可

主备状态：

4.2主主高可用部署模式

4.2.1网口规划

主主模式部署条件：两台IDTrust设备，在软件版本相同，硬件型号相近，使用网口相同条件下，支持主备模式部署。

网口规划只需配置：认证口（默认eth0），管理口（默认eth1）即可。

主主模式下，只有主节点可以修改和同步配置，从节点可以有多个。

4.2.2主主配置步骤

主节点配置步骤：选择主主模式部署

主节点配置步骤：选择设备角色为主控即可，配置共享密钥

从节点配置：选择主主部署模式，配置设备角色为节点，配置主节点地址和共享密钥即可

高可用状态：

感谢楼主的分享，将idTrust初始化网络部署配置讲解很详细，并且还说明了主备双机配置的具体步骤，为新人学习提供了很大帮助，期待楼主下次分享:感恩:

楼主分析的很详细，不错的实战经验，小白用户一看就懂，非常好的技术干货帖，顶一个！

谢谢！  非常有用

楼主，是你让我深深地理解了‘人外有人，天外有天’这句话。谢谢你!在看完这帖子以后，我没有立即回复，因为我生怕我庸俗不堪的回复会玷污了这社区少有的帖子。但是我还是回复了，因为觉得如果不能在如此精彩的帖子后面留下自己的网名，那我会遗憾终生的!

感谢博主分享                        

感谢博主分享                        

楼主，是你让我深深地理解了‘人外有人，天外有天’这句话。谢谢你!在看完这帖子以后，我没有立即回复，因为我生怕我庸俗不堪的回复会玷污了这社区少有的帖子。但是我还是回复了，因为觉得如果不能在如此精彩的帖子后面留下自己的网名，那我会遗憾终生的!

内容比较基础，希望楼主补充更多实际应用方面的知识！

楼主分析的很详细，不错的实战经验，小白用户一看就懂，非常好的技术干货帖，顶一个！