Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

示例:使用 EX 系列交换机和 Aruba ClearPass 配置中央 Web 身份验证

此配置示例说明如何使用 EX 系列交换机和 Aruba ClearPass 实施访客用户的集中 Web 身份验证。具体而言,它说明了如何将以下 EX 系列交换机功能与 Aruba ClearPass 结合使用:

  • 内置防火墙过滤器JNPR_RSVD_FILTER_CWA,允许尚未经过身份验证的来宾端点访问中央 Web 身份验证所需的服务,同时阻止对网络其余部分的访问。

  • Juniper-CWA-Redirect-URL RADIUS VSA,允许 Aruba ClearPass 在身份验证过程中将重定向 URL 传递给交换机。

  • RADIUS CoA 支持,允许 EX 系列交换机在对来宾终端点进行身份验证后动态更改该终端有效的防火墙过滤器。

本主题将介绍:

要求

此示例将以下硬件和软件组件用于策略基础结构:

  • 运行 Junos OS 15.1R3 或更高版本的 EX4300 交换机

  • 运行 6.3.3.63748 或更高版本的 Aruba ClearPass Policy Manager 平台

概述和拓扑

此网络配置示例使用 图 1 所示的拓扑。访客笔记本电脑连接到 EX4300 交换机的端口 ge-0/0/22。Aruba ClearPass 服务器同时提供 ClearPass Guest 和 ClearPass 策略管理服务。

图 1:此示例中使用的 Simplified network diagram with Aruba ClearPass server IP 10.105.5.153, internal network cloud, EX4300 Switch IP 10.105.5.91 port ge-0/0/22, and guest laptop connection flow.拓扑

802.1X 和 MAC RADIUS 身份验证均在端口 ge-0/0/22 上启用。由于访客笔记本电脑没有 802.1X 客户端,因此交换机不会从笔记本电脑接收任何 EAPoL 数据包,并且 802.1X 身份验证将失败。接下来,EX4300 交换机会自动尝试 MAC RADIUS 身份验证。Aruba ClearPass 中的 MAC RADIUS 实施策略配置为为为向尝试进行 MAC RADIUS 身份验证的未知客户端发送 RADIUS 访问接受消息,以及 JNPR_RSVD_FILTER_CWA 内置过滤器的名称和 Aruba ClearPass 客户机登录页面的重定向 URL。

当访客用户打开浏览器并尝试访问网页时,EX4300 交换机会将浏览器重定向到 Aruba ClearPass 访客登录页面,访客将在其中输入访客凭据。Aruba ClearPass 中的 Web 身份验证实施策略配置为将客户机端点添加到端点存储库,并向交换机发送 RADIUS CoA 消息。此消息告知交换机将与端点关联的防火墙过滤器更改为交换机上配置的 guest_access_policy_1。此过滤器允许来宾访问除内部网络以外的所有内容。

配置

本部分提供以下方面的分步说明:

配置 EX4300 交换机

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层 [edit] 级的 CLI 中,然后从配置模式进入提交。

分步过程

配置 EX4300 交换机的常规步骤如下:

  • 配置与 Aruba ClearPass 策略管理器的连接。

  • 创建 802.1X 协议使用的访问配置文件。访问配置文件告诉 802.1X 协议要使用的身份验证服务器以及身份验证方法和顺序。

  • 启用 HTTP 和 HTTPS 服务。

  • 配置 802.1X 协议。

  • 配置来宾端点使用的 VLAN。

  • 在接入端口上配置以太网交换。

  • 创建阻止访问内部网络的防火墙策略。

要配置 EX4300 交换机,请执行以下作:

  1. 提供 RADIUS 服务器连接信息。

  2. 配置访问配置文件。

  3. 启用 HTTP 和 HTTPS 服务。必须为 URL 重定向启用这些服务。

  4. 将 802.1X 协议配置为使用 CP-Test-Profile,并在每个接入接口上启用该协议。此外,将接口配置为支持 MAC RADIUS 身份验证并允许多个请求方,每个请求方都必须单独进行身份验证。

    默认情况下,交换机将首先尝试 802.1X 身份验证。如果未收到来自端点的 EAP 数据包(表明端点没有 802.1X 请求方),或者 802.1X 身份验证失败,则会尝试 MAC RADIUS 身份验证。

  5. 配置此示例中使用的 VLAN。

  6. 配置接入端口。

    访问端口配置为 VLAN v100,隔离 VLAN。如果 Aruba ClearPass 在对端点进行身份验证时未发送动态 VLAN 信息,则端点将使用此 VLAN。

  7. 配置防火墙过滤器 guest_access_policy_1,以便在 Aruba ClearPass Guest 对访客凭据进行身份验证后用于终端节点。

    此过滤器阻止端点访问内部网络 (192.168.0.0/16),同时允许访问 Internet。

结果

在配置模式下,输入以下 show 命令以确认您的配置。

如果完成设备配置,请从配置模式输入 commit

配置 Aruba ClearPass Guest

分步过程

配置 Aruba ClearPass Guest 的常规步骤如下:

  • 设置来宾用户帐户。

  • 配置访客登录页面。

要配置 Aruba ClearPass Guest,请执行以下作:

  1. 登录 ClearPass Guest。例如:

  2. 设置来宾用户帐户。

    分步过程

    1. 单击 创建新的访客帐户

      Aruba Networks ClearPass Guest Manager interface for managing guest Wi-Fi accounts with navigation and account creation options

    2. 提供来宾用户帐户的详细信息,如下所示。请务必记下自动生成的密码。

      Create Guest Account form with fields: Guest's Name guest2, Company Name guestcompany, Email guest2@guestcompany.com, Activation Now, Expiration 30 days, Role Guest, Password 25938257. Terms of Use checked. Create Account button present.

    3. 点击 创建帐户

  3. 配置访客访问登录页面。

    分步过程

    1. 选择 “配置>“Web 登录”

      注意:

      如果您使用的是最新版本的 Aruba ClearPass Guest,则可能需要选择“ 配置 ”> “页面>“Web 登录”

      Software interface menu for configuration settings with sections: Guest, Onboard + WorkSpace, and Configuration.

    2. “Web 登录 ”页面中,单击 “创建新的 Web 登录”页面

    3. 在 Web 登录编辑器中,为要创建的 Web 登录页提供一个名称,指定 URL 中显示的登录页面名称,并将“登录方法”设置为 “服务器启动 - 授权更改 (RFC 3576) 发送至控制器”。

      Configuration interface for creating a new web login page with fields for Name, Page Name, Description, Vendor Settings, Login Method, and Security Hash.

    4. 在 Web 登录页面的“登录表单”部分中,设置为Pre-Auth Check“无”,不会进行额外的检查

      Configuration interface for login form in a network setup with options for authentication, custom forms, and pre-auth checks.

    5. 在“默认目标”部分中,输入一个默认 URL,成功身份验证后来宾将重定向到该 URL。在此示例中,访客在身份验证后将重定向至瞻博网络主页。

      Configuration interface for setting Default Destination with text field for URL entry and checkbox to force override to http://www.juniper.net.

配置 Aruba ClearPass Policy Manager

分步过程

配置 Aruba ClearPass 的常规步骤如下:

  • 修改瞻博网络 RADIUS 字典文件,使其包含新的瞻博网络 RADIUS 属性。

  • 将 EX4300 添加为网络设备。

  • 创建以下强制配置文件:

    • MAC RADIUS 身份验证后强制实施的配置文件。

    • 在中央 Web 身份验证后强制执行的配置文件。

  • 创建两个实施策略:

    • 使用 MAC RADIUS 身份验证时调用的策略。

    • 使用中心 Web 认证时调用的策略。

  • 定义 MAC RADIUS 身份验证服务和 Web 身份验证服务。

要配置 Aruba ClearPass,请执行以下作:

  1. 更新瞻博网络 RADIUS 字典文件。

    瞻博网络 RADIUS 字典文件预装在 Aruba ClearPass 上。适用于 EX 系列交换机的 Junos OS 15.1R3 版增加了对三个新的瞻博网络 VSA 的支持,需要将这两个 VSA 添加到字典文件中。

    分步过程

    1. 在 Aruba ClearPass 中,导航到 RADIUS >管理>词典。

    2. 在“RADIUS 词典”窗口中,使用“筛选器”字段在“供应商名称”下搜索 “瞻博网络 ”。

    3. 单击“瞻博网络词典名称”,然后单击 “导出”RadiusDictionary.xml 文件保存到桌面。

      Screenshot of Aruba ClearPass Policy Manager showing RADIUS Dictionaries under Administration. Vendor filter set to contains juniper displaying Juniper with Vendor ID 2636. RADIUS Attributes table lists attributes like Juniper-Allow-Commands with ID and Type details. Navigation menu on the left includes options like ClearPass Portal and Users. Buttons at the bottom offer Disable, Export, or Close options.

    4. 复制以下三个属性,将它们粘贴到 RadiusDictionary.xml,然后保存文件。

      完成粘贴时,字典文件应如下所示:

      XML snippet defining RADIUS configuration for Juniper: includes vendor details and various RADIUS attributes like Juniper-Allow-Commands and Juniper-VoIP-Vlan.

    5. 在 RADIUS 词典 (RADIUS Dictionaries) 窗口中单击 Green downward arrow above yellow tray with Import text indicating Import button or feature.并浏览至该文件,将字典文件导入 Aruba ClearPass 中。

      Import dialog for RADIUS dictionary file with fields for file selection and optional secret input, and Import and Cancel buttons.

    6. 导入文件后,瞻博网络词典文件应如下所示:

      Web interface displaying RADIUS attributes for Juniper vendor 2636 with options to disable, export, or close.

  2. 将 EX4300 交换机添加为网络设备。

    分步过程

    1. 在“配置>网络>设备”下,单击 “添加”。

      Network configuration interface with options: Add, Import, and Export All. Cursor points to Add option.

    2. 在设备选项卡上,输入交换机的主机名和 IP 地址以及您在交换机上配置的 RADIUS 共享密钥。将“供应商名称”字段设置为 “瞻博网络”。

      Configuration interface for adding a network device with fields for name, IP address, RADIUS and TACACS+ secrets, vendor name, and options for RADIUS CoA. Includes Add and Cancel buttons.

  3. 创建用于 MAC RADIUS 身份验证的强制配置文件。

    此配置文件为交换机提供内置防火墙过滤器JNPR_RSVD_FILTER_CWA的名称以及 Aruba ClearPass Guest 的重定向 URL。

    分步过程

    1. 在“配置>实施>配置文件”下,单击 “添加”。

    2. 在“配置文件”选项卡上,将“模板”设置为 “基于 RADIUS 的强制” ,然后在“名称”字段中键入配置文件名称 Guest_Access_Portal_Enforcement

      Configuration interface for RADIUS-based Enforcement Profile: Template is RADIUS Based Enforcement; Name is Guest_Access_Portal_Enforcement; Action is Accept.

    3. 在“属性”选项卡上,配置以下属性:

      • Juniper-CWA-Redirect-URL- 键入以下 URL:

        此 URL 必须包含 Aruba ClearPass 客户机服务器的 IP 地址。它还会将端点的 MAC 地址传递给 ClearPass 客户机 (Radius:IETF:Calling-Station-Id)。

      • Filter-Id- 键入以下过滤器名称:

      Configuration interface for adding an Enforcement Profile in a network management system under Attributes tab, defining RADIUS attributes.

  4. 配置用于中央 Web 身份验证的强制配置文件。

    此配置文件配置为 RADIUS 授权变更 (CoA) 配置文件。它会告诉 Aruba ClearPass 向交换机发送 RADIUS CoA,通知其将对端点有效的防火墙过滤器从 JNPR_RSVD_FILTER_CWA 更改为 guest_access_policy_1。

    分步过程

    1. 在“配置>实施>配置文件”下,单击 “添加”。

    2. 在“配置文件”选项卡上,将“模板”设置为“ RADIUS 授权更改 (CoA)” ,然后在“名称”字段中键入配置文件名称 Guest_Access_CoA_Profile

      Configuration interface for editing RADIUS Change of Authorization profile named Guest_Access_CoA_Profile. Action set to Accept.

    3. 在属性选项卡上,将 选择 RADIUS CoA 模板 设置为 IETF - Generic-CoA-IETF ,然后输入如下所示的属性。所有值都必须键入或复制并粘贴到此文档中。这些值不会显示在选择列表中。

    Configuration interface for adding an enforcement profile in a network management system. Attributes tab shows RADIUS CoA template set to IETF - Generic-CoA-IETF and a table with RADIUS attributes: Calling-Station-Id, User-Name, and Filter-Id.

  5. 配置MAC RADIUS身份验证实施策略。

    MAC RADIUS 策略要求 Aruba ClearPass 将 Guest_Access_Portal_Enforcement 配置文件应用于所有正在进行 MAC RADIUS 身份验证的端点,这些端点尚不为ClearPass 所知,即不在端点存储库中。

    分步过程

    1. 在“配置>实施>策略”下,单击 “添加”。

    2. 在“实施”选项卡上,键入策略名称 (Juniper-MAC-Auth-Policy),并将默认配置文件设置为预定义配置文件 [拒绝访问配置文件]。

      Configuration interface for editing network enforcement policies, fields include Name set to Juniper-MAC-Auth-Policy, empty Description, Enforcement Type with options like RADIUS, and Default Profile set to Deny Access Profile.

    3. 在“规则”选项卡上,单击 “添加规则” ,然后添加显示的规则。

      此规则允许 Guest_Access_Portal_Enforcement 配置文件对 Aruba ClearPass 未知的端点生效。

      Rules Editor interface showing conditions and enforcement profiles for network access control. Conditions match ALL: Authentication type MacAuth equals UnknownClient. Selected enforcement profile is RADIUS Guest_Access_Portal_Enforcement.

  6. 配置 Web 认证实施策略。

    在客户机重定向到 Aruba ClearPass 客户机且 ClearPass 客户机对客人进行身份验证后,此策略生效。它会告诉 Aruba ClearPass 将端点添加到端点存储库并应用Guest_Access_CoA_Profile。

    分步过程

    1. 在“配置>实施>策略”下,单击 “添加”。

    2. 在“实施”选项卡上,键入策略名称 (Guest_Auth_Enforcement_Policy),并将“默认配置文件”设置为 “[身份验证后][更新已知端点]。这是一个预定义的配置文件,它会导致终端节点被添加为终端节点存储库中的已知终端节点。

      Configuration interface for network access control policies with fields for policy name, description, enforcement type, and default profile. Highlighted option: Post Authentication Update Endpoint Known.

    3. 在“规则”选项卡上,单击 “添加规则” ,然后添加显示的规则。

      此规则告知 Aruba ClearPass 将Guest_Access_CoA_Profile实施配置文件应用于 ClearPass Guest 分配给角色 Guest 的任何端点。

      Rules Editor interface for defining network access conditions and enforcement profiles. Conditions require Role equals Guest. Enforcement profile selected is RADIUS_CoA Guest_Access_CoA_Profile.

  7. 配置 MAC RADIUS 身份验证服务。

    此服务的配置会导致在接收的 RADIUS User-Name 属性和 Client-MAC-Address 属性具有相同的值时执行 MAC RADIUS 身份验证。

    分步过程

    1. 在“配置>服务”下,单击 “添加”。

    2. 在“服务”选项卡上,填写如图所示的字段。

      JUNOS MAC AUTH configuration screen with MAC Authentication enabled, showing conditions for NAS-Port-Type Ethernet 15, Service-Type Call-Check 10, and Client-Mac-Address equals Radius IETF User-Name. Tabs include Summary, Service, Authentication, Roles, and Enforcement.

    3. 在“身份验证”选项卡上:

      • 从身份验证方法列表中删除 [MAC AUTH] ,并将 [EAP MD5] 添加到列表中。

      • 在“身份验证源”列表中选择 [Endpoints Repository] [Local SQL DB]。

      Configuration interface focused on Authentication tab to set authentication methods and sources. EAP MD5 method and Endpoints Repository Local SQL DB source selected.

    4. 在“实施”选项卡上,选择 “Juniper-MAC-Auth-Policy”

      Configuration interface for network management with tabs for Service, Authentication, Roles, Enforcement, and Summary. Enforcement policy dropdown with Juniper-MAC-Auth-Policy selected. Conditions allow access every day with Allow Access Profile.

  8. 配置基于 Web 的身份验证服务。

    分步过程

    1. 在“配置>服务”下,单击 “添加”。

    2. 在“服务”选项卡上,填写如图所示的字段。

      当您选择 基于 Web 的身份验证时,服务规则是默认服务规则。它允许来自任何客户端的基于 Web 的身份验证请求。

      Configuration interface for Guest_WebAuth_Service, a Web-based Authentication service. Fields: Type Web-based Authentication, Name Guest_WebAuth_Service. Service Rule matches ALL conditions: Type Host, Name CheckType, Operator MATCHES_ANY, Value Authentication. Monitor Mode unchecked, More Options unchecked.

    3. 在“身份验证”选项卡上,将“身份验证源”设置为 “[Guest User Repository][Local SQL DB]

      Configuration interface with tabs: Service, Authentication, Roles, Enforcement, Summary. Authentication tab displayed. Authentication Sources lists Guest User Repository and Local SQL DB. Buttons: Move Up, Move Down, Remove, View Details, Modify.

    4. 在“实施”选项卡上,将“实施策略”设置为 “Guest_Auth_Enforcement_Policy

      Enforcement tab in network access control system showing Guest_Auth_Enforcement_Policy with first-applicable rules and Guest_Access_Profile for guest role.

验证

确认配置工作正常。

验证中央 Web 身份验证

目的

输入访客凭据后,验证访客用户的浏览器是否已重定向到 Aruba ClearPass Guest 进行身份验证,以及访客是否已成功通过身份验证。

行动

  1. 将笔记本电脑连接到 EX4300 交换机上的端口 ge-0/0/22。

  2. 在笔记本电脑上打开 Web 浏览器并尝试访问网页。

    ClearPass Guest 登录页面应如图所示。

    ClearPass Guest login page for Aruba Networks with fields for username and password; contact staff for login issues.

  3. 在 EX 系列交换机上,输入以下 show 命令:

    输出显示终结点已通过身份验证,当前有效的身份验证方法是中央 Web 身份验证 (CWA Authentication),并且JNPR_RSVD_FILTER_CWA防火墙过滤器和重定向 URL 也有效。

  4. 在 ClearPass Guest 登录页面中,输入您在配置 Aruba ClearPass Guest 时记下的访客电子邮件地址和自动生成的密码。

    Login page for Aruba Networks ClearPass Guest system with filled username guest2 at guestcompany dot com, password field obscured. Contact staff if login issues.

  5. 登录后,浏览器应重定向至瞻博网络主页,如 Aruba ClearPass Guest 中所配置。

  6. 在 EX 系列交换机上,输入以下 show 命令:

    输出显示guest_access_policy_1防火墙过滤器现已生效。在端点通过中央 Web 身份验证进行身份验证后,交换机从 Aruba ClearPass 接收到 RADIUS CoA,告知其要使用的防火墙过滤器。

在 Aruba ClearPass Policy Manager 上验证身份验证请求的状态

目的

验证是否对端点进行了正确的身份验证,以及交换机和 Aruba ClearPass 之间是否交换了正确的 RADIUS 属性。

行动

  1. 转到“监控”>“实时监控”>“访问跟踪器”以显示身份验证请求的状态。

    访问跟踪器在身份验证请求发生时对其进行监控并报告其状态。

    Access Tracker displays authentication requests for server cp-campus.englab.juniper.net with IP 10.105.5.153 on February 1, 2016, at 18:59:49 PST.

  2. 要从端点获取有关初始 MAC RADIUS 身份验证请求的更多详细信息,请单击该请求(Access Tracker 请求表的第 2 行)。

    Screenshot of a NAC system interface showing session ID R00002db6-01-56b01a85 with MAC 00-50-56-9b-03-7f, timestamp Feb 01 2016 18:55:01 PST, username 0050569b037f, and IP 10.105.5.91:555. System posture UNKNOWN 100, service Juniper_MAC_Auth_Service, EAP-MD5 authentication, User Authenticated role, Guest_Access_Portal_Enforcement profile. Options: Change Status, Export, Show Logs, Close.

  3. 要从端点获取有关 Web 身份验证请求的更多详细信息,请单击该请求(Access Tracker 请求表的第 1 行)。

    Request Details interface with session identifier, date, time, end-host ID, username, posture status, policies, service mode, online status, and action buttons.

相关主题