使用 Aruba ClearPass 策略管理器和思科 ISE 在 EX 系列交换机上配置无色端口
从 Junos OS 20.4R1 版开始,EX 交换机支持无色端口。无色端口可与任何基于标准的 RADIUS 服务器的设备分析结合使用,并将接入端口转换为中继端口,并允许使用具有必要标记的必要 VLAN。如果交换机上缺少某些 VLAN,此功能有助于在交换机上动态创建缺少的 VLAN。
MAC 身份验证旁路 (MAB) 通常用作无外设、不支持 802.1X 的旧设备以及访客用户的故障通过。MAB 通常与 802.1X 和强制门户结合使用,作为无色端口配置的一部分,支持使用单个端口配置支持每个用户和设备类型。
Aruba ClearPass 是一款多供应商产品,它利用基于标准的协议和技术以及支持供应商特定交换机功能实施策略的灵活性。
Radius IETF 属性 出口 VLANID 用于具有标记功能的 VLAN。根据 RFC 4675,任何基于标准的 Radius 服务器都可以使用标记数据包的 RADIUS 属性出口 VLANID 或 出口 VLAN 名称 发送多个标记的 VLAN。
出口 VLANID 或出口 VLAN 名称属性包含两部分;第一部分指示此端口的 VLAN 上的帧是以标记格式还是未标记格式表示,第二部分是 VLAN 名称。 例如:
Egress-VLANID = 0x3100012D, here 0x31 represents tagged.
Egress-VLANID = 0x3200012D, here 0x32 represents untagged.
出口 VLAN 名称类似于 出口 VLANID 属性,只是未指定或不知道 VLAN ID 本身;相反,VLAN 名称用于标识系统内的 VLAN。
例子:
对于属性出口 VLANID:
001094001177 Cleartext-Password := "001094001177“ Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Egress-VLANID += 0x3100033, <<= Here 0x31 for tagged vlan Egress-VLANID += 0x3200034, <<= Here 0x32 for untagged vlan对于属性出口 VLAN 名称:
001094001144 Cleartext-Password := "001094001144“ Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Egress-VLAN-Name += 1vlan-2, <<= Here 1 for tagged vlan Egress-VLAN-Name += 2vlan-3, <<= Here 2 for untagged vlan Egress-VLAN-Name += 1vlan-4, Egress-VLAN-Name += 1vlan-5,对于示例半径剖面:
001094001177 Auth-Type = EAP, Cleartext-Password := "001094001177 “ Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Juniper-AV-Pair = Supplicant-Mode-Single-Secure, Egress-VLANID += 0x3100065, Egress-VLANID += 0x3100066
在 Junos OS 20.3R1 版中,我们添加了新的 VSA 请求方模式-单一或请求方模式-单一安全,属性为瞻博网络 AV-Pair。这将用于设置 dot1x 的请求模式。
要求
此示例对策略基础结构使用以下硬件和软件组件:
运行 Junos OS 20.4R1 或更低版本的 EX4300、EX2300、EX3400 交换机
运行 6.9.0.130064 的 Aruba ClearPass 策略管理器
概述和拓扑
强烈建议在无色端口部署中使用 VLAN 名称,因为 RADIUS 服务器无需维护每台交换机的 VLAN 到功能映射。这简化了策略创建、管理和故障排除。
例如,每台交换机可能使用不同的 VLAN-ID 进行“安全访问”。我们不必在半径内编写复杂的策略来为每台交换机返回正确的 VLAN-ID,只需在每台交换机上为适当的 VLAN-ID 命名即可;例如“安全”。现在,在 RADIUS 服务器中,您只需返回一个以“SECURE”作为 VLAN ID 的 VLAN 实施,每台交换机都将使用交换机本地映射的相应 VLAN-ID。
在 ClearPass 6.6.X 及更早版本中,预定义的瞻博网络动态授权实施配置文件需要与瞻博网络交换机配合使用。
图 1 显示了此示例中使用的拓扑。
中使用的拓扑
下面是 RADIUS 服务器中的示例配置文件,用于在启用设备分析后转换端口,并且我们检测到 MIST AP 到将 VLAN 130 作为本机 VLAN 的中继端口,并允许其余 VLAN (121,131,151,102)。
程序
分步过程
要使用 Aruba ClearPass 策略管理器和思科 ISE 在 EX 系列交换机上配置无色端口,请执行以下步骤:
-
Example of an Enforcement Profile in Aruba ClearPass / ISE— 使用出口 VLANID 属性时,ClearPass 要求为出口 VLANID 值输入十进制值,因此您必须将所需的十六进制值转换为十进制值。例如,请参阅 强制配置文件中的条目 4,了解要取消标记的 VLAN 130。此值的十六进制值为 0x3200082。将十六进制值转换为十进制值可52428930。
注意:若要快速将十六进制值转换为十进制值,请使用网站上提供的转换应用程序工具。
图 2:实施配置文件
如果交换机端口配置为请求方模式多,则还必须在 RADIUS 响应中返回请求 方模式单一或请求方模式单一安全的瞻博网络 AV 对 。 出口 VLANID 和 出口 VLAN 名称 属性不能与请求方模式“多个”一起使用。
-
在 实施配置文件 - 出口 VLAN 名称 中,您可以看到如何使用出口 VLAN 名称属性而不是出口 VLANID 属性。
图 3:实施配置文件 - 出口 VLAN 名称
注意:您必须为 VLAN 名称分配 1 以指示已标记,或为 2 分配以指示未标记。这些值区分大小写。
-
Example for Cisco ISE
图 4:思科 ISE
图 5: Aruba ClearPass 分析
图 6:配置 VLAN 和端口
验证
交换机端口验证
目的
要验证交换机端口上的配置,请使用 show dot1x interface ge-0/0/6 detail 命令。
行动
root@EX2300-1> show dot1x interface ge-0/0/6 detail
ge-0/0/6.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: not configured
Number of connected supplicants: 1
Supplicant: sujitghosh, AC:87:A3:12:E3:A8
Operational state: Authenticated
Backend Authentication state: Idle
Authentication method: Radius
Authenticated VLAN: __dynamic_vlan-0130__
Session Reauth interval: 3600 seconds
Reauthentication due in 3593 seconds
Egress Vlan: 102, 121, 130, 131, 151
Eapol-Block: Not In Effect
Domain: Data
验证在交换机端口上创建的 VLAN
目的
要验证在交换机端口上创建的 VLAN,请使用 show vlans 命令。
行动
root@EX2300-1> show vlans
Routing instance VLAN name Tag Interfaces
default-switch __dynamic_vlan-0102__ 102
ae0.0*
ge-0/0/6.0*
default-switch __dynamic_vlan-0121__ 121
ae0.0*
ge-0/0/6.0*
default-switch __dynamic_vlan-0130__ 130
ae0.0*
ge-0/0/6.0*
default-switch __dynamic_vlan-0131__ 131
ae0.0*
ge-0/0/6.0*
default-switch __dynamic_vlan-0151__ 151
ae0.0*
ge-0/0/6.0*
default-switch default 1
ae0.0*
ge-0/0/0.0
ge-0/0/1.0*
ge-0/0/11.0
ge-0/0/2.0*
ge-0/0/3.0
ge-0/0/8.0
default-switch vlan10 10
ae0.0*
ge-0/0/4.0
default-switch vlan11 11
ae0.0*
ge-0/0/4.0
default-switch vlan12 12
ae0.0*
ge-0/0/4.0
default-switch vlan20 20
ae0.0*
ge-0/0/5.0
default-switch vlan30 30
ae0.0*
ge-0/0/7.0
default-switch vlan40 40
ae0.0*
出口 VLAN 的以太网交换
目的
要验证出口 VLAN 列表的以太网交换表,请使用 show ethernet-switching interface ge-0/0/6.0 命令。
行动
root@EX2300-1> show ethernet-switching interface ge-0/0/6.0
Routing Instance Name : default-switch
Logical Interface flags (DL - disable learning, AD - packet action drop,
LH - MAC limit hit, DN - interface down,
MMAS - Mac-move action shutdown, AS - Autostate-exclude enabled,
SCTL - shutdown by Storm-control, MI - MAC+IP limit hit)
Logical Vlan TAG MAC MAC+IP STP Logical Tagging
interface members limit limit state interface flags
ge-0/0/6.0 16384 0 tagged,untagged
__dynamic_vlan-0130__ 130 16384 0 Forwarding untagged
__dynamic_vlan-0102__ 102 16384 0 Forwarding tagged
__dynamic_vlan-0121__ 121 16384 0 Forwarding tagged
__dynamic_vlan-0131__ 131 16384 0 Forwarding tagged
__dynamic_vlan-0151__ 151 16384 0 Forwarding tagged