配置设备分析以通过 EX 系列交换机和 Aruba ClearPass Policy Manager 提供动态分段
动态分段使您能够灵活地在具有动态 VLAN 和策略的 EX 交换机上分配有线端口,以对物联网 (IOT)、接入点流量和有线用户流量进行分段。Aruba ClearPass 可以集中管理和实施有线和无线控制的网络接入策略。
一旦我们成功对设备进行身份验证,就可以通过对有线端口应用动态防火墙过滤器来获得微分段,从而控制东西向流量。使用动态过滤器,我们可以在摄像机网络中进行控制,使其仅与安全摄像机录制服务器或安全人员使用的少数专用终端通信。同样,我们可以在 IP 电话网络上应用防火墙过滤器,以允许 IP 电话和网络中的呼叫管理器服务器之间进行通信。
此配置示例说明了如何使用 EX 系列交换机和 Aruba ClearPass Policy Manager 的功能在端点身份验证过程中执行设备性能分析。
在此示例中,组织在其有线基础架构中有四种类型的端点,并为其定义了访问策略:
-
Access points- 允许分析为接入点的端点访问网络,并动态分配给AP_VLAN VLAN。
-
IP phones—允许配置为 IP 电话的端点访问网络。该IPPhone_VLAN被动态分配为 VoIP VLAN。
-
Corporate laptops—具有 802.1X 请求方的端点由用户凭据进行身份验证。用户成功通过身份验证后,笔记本电脑将被授予网络访问权限并放置在Employee_VLAN VLAN 中。
-
Camera /IOT Devices—可以将具有或不具有 802.1x 请求方的摄像头和物联网设备添加到网络中,并授予对Camera_IOT_VLAN VLAN 的访问权限。
-
Noncorporate laptops/Tablets- 没有 802.1X 请求方且被描述为非公司设备的端点仅提供互联网访问
表 1 显示了有线、无线和授权访问策略的定义值。
| 访问策略 |
有线 |
无线电 |
授权 |
|---|---|---|---|
| 接入点 VLAN |
130(原生) |
允许的 VLAN = 121,131,151,102 |
- |
| IP 电话 |
120 |
121 |
在电话和呼叫管理器服务器之间 |
| 员工 |
150 |
151 |
全部访问 |
| 修复 |
101 |
102 |
检疫 |
| 物联网摄像头 |
130 |
131 |
DHCP、NTP 和 NVR |
要求
此示例为策略基础架构的以下硬件和软件组件:
-
运行 Junos OS 20.2R1 或更低版本的 EX4300、EX2300、EX3400 交换机
-
运行 6.9.0.130064 的 Aruba ClearPass 策略管理器
概述和拓扑
要实施端点访问策略,策略基础架构配置如下:
-
交换机上的所有接入接口最初都配置为 VLAN 100 中,该 VLAN 用作补救 VLAN。如果端点未成功通过身份验证或未成功将其分析为受支持的端点之一,它将保留在修复 VLAN 中。
注意:当端点使用 DHCP 时,请避免更改 VLAN。在现有租约到期或发生端口反弹之前,端点不会发送另一个 DHCPRequest。
-
具有 802.1X 请求方的端点将使用 802.1X PEAP 身份验证进行身份验证。有关 802.1X PEAP 身份验证的更多信息,请参阅 使用 EX 系列交换机和 Aruba ClearPass Policy Manager 配置 802.1X PEAP 和 MAC RADIUS 身份验证。
-
没有 802.1X 请求方的端点将使用 MAC RADIUS 身份验证进行身份验证,并对其进行分析以确定其设备类型。这些端点会经历两步身份验证过程:
-
第一步发生在端点首次连接到交换机之后,但在 Aruba ClearPass 配置文件对其进行分析之前。连接后,将使用 MAC RADIUS 身份验证对端点进行身份验证。Aruba ClearPass 应用强制策略,指示交换机授予端点访问互联网的权限,但阻止其访问内部网络。
-
第二步发生在成功分析端点之后。在第一步进行身份验证后,端点会联系 DHCP 服务器以请求 IP 地址。交换机将端点发送到 DHCP 服务器的 DHCP 消息同时中继到 Aruba ClearPass,以便 ClearPass 对端点进行性能分析。在对端点进行剖析并将端点添加到其端点存储库后,ClearPass 会向交换机发送 RADIUS 授权变更 (CoA) 消息,告知其终止会话。然后交换机会代表端点尝试重新验证。由于端点现在存在于端点存储库中,因此 Aruba ClearPass 能够在对端点进行身份验证时应用适合设备类型的实施策略。例如,如果端点是接入点,则 ClearPass 会应用将接入点动态分配给AP_VLAN VLAN 的强制策略。
-
图 1 显示了此示例中使用的拓扑。
拓扑
配置
本部分提供以下方面的分步说明:
配置 EX 交换机
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层 [edit] 级的 CLI 中,然后从配置模式进入提交。
[edit] set access radius-server 10.25.22.11 dynamic-request-port 3799 set access radius-server 10.25.22.11 secret "$9$tqCW01hevLVwgSrwgoJHkp0BISrKM87db" set access radius-server 10.25.22.11 source-address 10.25.99.11 set access profile ACCESS_PROF_RADIUS accounting-order radius set access profile ACCESS_PROF_RADIUS authentication-order radius set access profile ACCESS_PROF_RADIUS radius authentication-server 10.25.22.11 set access profile ACCESS_PROF_RADIUS radius accounting-server 10.25.22.11 set protocols dot1x authenticator authentication-profile-name ACCESS_PROF_RADIUS set protocols dot1x authenticator interface AUTHC supplicant multiple set protocols dot1x authenticator interface AUTHC transmit-period 3 set protocols dot1x authenticator interface AUTHC mac-radius set vlans AP vlan-id 130 set vlans EMPLOYEE-WIRED vlan-id 150 set vlans EMPLOYEE-WIRELESS vlan-id 151 set vlans IOT-WIRED vlan-id 111 set vlans IOT-WIRELESS vlan-id 112 set vlans IP-PHONE-WIRED vlan-id 120 set vlans IP-PHONE-WIRELESS vlan-id 121 set vlans MANAGEMENT vlan-id 99 set vlans MANAGEMENT l3-interface irb.99 set vlans REMEDIATION-WIRED vlan-id 101 set vlans REMEDIATION-WIRELESS vlan-id 102 set interfaces interface-range AP member ge-0/0/0 set interfaces interface-range AP native-vlan-id 130 set interfaces interface-range AP unit 0 family ethernet-switching interface-mode trunk set interfaces interface-range AP unit 0 family ethernet-switching vlan members AP set interfaces interface-range AP unit 0 family ethernet-switching vlan members EMPLOYEE-WIRELESS set interfaces interface-range AUTHC member ge-0/0/6 set interfaces interface-range AUTHC member ge-0/0/3 set interfaces interface-range AUTHC member ge-0/0/2 set interfaces interface-range AUTHC member ge-0/0/4 set interfaces interface-range AUTHC member ge-0/0/7 set interfaces interface-range AUTHC member ge-0/0/8 set interfaces interface-range AUTHC member ge-0/0/9 set interfaces interface-range AUTHC member ge-0/0/5 set interfaces interface-range AUTHC unit 0 family ethernet-switching interface-mode access set interfaces interface-range AUTHC unit 0 family ethernet-switching vlan members REMEDIATION-WIRED set firewall family ethernet-switching filter Internet_Only_Access term Allow_DHCP from destination-port 67 set firewall family ethernet-switching filter Internet_Only_Access term Allow_DHCP from destination-port 68 set firewall family ethernet-switching filter Internet_Only_Access term Allow_DHCP from ip-protocol udp set firewall family ethernet-switching filter Internet_Only_Access term Allow_DHCP then accept set firewall family ethernet-switching filter Internet_Only_Access term Allow_DNS from destination-port 53 set firewall family ethernet-switching filter Internet_Only_Access term Allow_DNS from ip-protocol udp set firewall family ethernet-switching filter Internet_Only_Access term Allow_DNS from ip-protocol tcp set firewall family ethernet-switching filter Internet_Only_Access term Block_Internal from ip-destination-address 192.168.0.0/16 set firewall family ethernet-switching filter Internet_Only_Access term Block_Internal then discard set firewall family ethernet-switching filter Internet_Only_Access term Allow_All then accept
分步过程
配置 EX 交换机的常规步骤如下:
-
配置与 Aruba ClearPass 策略管理器的连接。
-
创建 802.1X 协议使用的访问配置文件。访问配置文件告诉 802.1X 协议要使用的身份验证服务器和身份验证方法以及身份验证方法的顺序。
-
配置 802.1X 协议。
-
配置 VLAN。
-
在接入端口上配置以太网交换。
-
配置集成路由和桥接 (IRB) 接口并将其分配给 VLAN。
-
配置 DHCP 中继以将 DHCP 数据包发送到 Aruba ClearPass,以便它可以执行设备分析。
-
创建阻止访问内部网络的防火墙策略。
要配置 EX 交换机,请执行以下作:
-
提供 RADIUS 服务器连接信息。
[edit] user@Policy-EX-switch# set access radius-server 10.25.22.11 dynamic-request-port 3799 user@Policy-EX-switch# set access radius-server 10.25.22.11 secret password user@Policy-EX-switch# set access radius-server 10.25.22.11 source-address 10.25.99.11
-
配置访问配置文件。
[edit access] user@Policy-EX-switch# set access profile ACCESS_PROF_RADIUS accounting-order radius user@Policy-EX-switch# set access profile ACCESS_PROF_RADIUS authentication-order radius user@Policy-EX-switch# set access profile ACCESS_PROF_RADIUS radius authentication-server 10.25.22.11 user@Policy-EX-switch# set access profile ACCESS_PROF_RADIUS radius accounting-server 10.25.22.11
-
将 802.1X 配置为使用ACCESS_PROF_RADIUS并在每个接入接口上启用该协议。此外,将接口配置为支持 MAC RADIUS 身份验证并允许多个请求方,每个请求方都必须单独进行身份验证。
默认情况下,交换机将首先尝试 802.1X 身份验证。如果未收到来自端点的 EAP 数据包,表明端点没有 802.1X 请求方,则会尝试 MAC RADIUS 身份验证。
[edit] user@Policy-EX-switch# set protocols dot1x authenticator authentication-profile-name ACCESS_PROF_RADIUS user@Policy-EX-switch# set protocols dot1x authenticator interface AUTHC supplicant multiple user@Policy-EX-switch# set protocols dot1x authenticator interface AUTHC transmit-period 3 user@Policy-EX-switch# set protocols dot1x authenticator interface AUTHC mac-radius user@Policy-EX-switch# set interfaces interface-range AP member ge-0/0/0 user@Policy-EX-switch# set interfaces interface-range AP native-vlan-id 130 user@Policy-EX-switch# set interfaces interface-range AP unit 0 family ethernet-switching interface-mode trunk user@Policy-EX-switch# set interfaces interface-range AP unit 0 family ethernet-switching vlan members AP user@Policy-EX-switch# set interfaces interface-range AP unit 0 family ethernet-switching vlan members EMPLOYEE-WIRELESS user@Policy-EX-switch# set interfaces interface-range AUTHC member ge-0/0/6 user@Policy-EX-switch# set interfaces interface-range AUTHC member ge-0/0/3 user@Policy-EX-switch# set interfaces interface-range AUTHC member ge-0/0/2 user@Policy-EX-switch# set interfaces interface-range AUTHC member ge-0/0/4 user@Policy-EX-switch# set interfaces interface-range AUTHC member ge-0/0/7 user@Policy-EX-switch# set interfaces interface-range AUTHC member ge-0/0/8 user@Policy-EX-switch# set interfaces interface-range AUTHC member ge-0/0/9 user@Policy-EX-switch# set interfaces interface-range AUTHC member ge-0/0/5
-
配置此示例中使用的 VLAN。
[edit] user@Policy-EX-switch# set vlans AP vlan-id 130 user@Policy-EX-switch# set vlans EMPLOYEE-WIRED vlan-id 150 user@Policy-EX-switch# set vlans EMPLOYEE-WIRELESS vlan-id 151 user@Policy-EX-switch# set vlans IOT-WIRED vlan-id 111 user@Policy-EX-switch# set vlans IOT-WIRELESS vlan-id 112 user@Policy-EX-switch# set vlans IP-PHONE-WIRED vlan-id 120 user@Policy-EX-switch# set vlans IP-PHONE-WIRELESS vlan-id 121 user@Policy-EX-switch# set vlans MANAGEMENT vlan-id 99 user@Policy-EX-switch# set vlans MANAGEMENT l3-interface irb.99 user@Policy-EX-switch# set vlans REMEDIATION-WIRED vlan-id 101 user@Policy-EX-switch# set vlans REMEDIATION-WIRELESS vlan-id 102
请注意,要使动态 VLAN 分配正常工作,VLAN 必须存在于交换机上,然后才能尝试身份验证。如果 VLAN 不存在,身份验证将失败。
-
配置 DHCP 中继以将 DHCP 请求数据包转发到 Aruba ClearPass。
[edit] user@Policy-EX-switch# set dhcp-relay server-group dhcp-dot1x 10.25.22.11 user@Policy-EX-switch# set dhcp-relay active-server-group dhcp-dot1x
-
配置防火墙过滤器 Internet_Only_Access,用于已通过 MAC RADIUS 身份验证但尚未对其进行分析的设备。
此过滤器阻止端点访问内部网络 (192.168.0.0/16)。
[edit] user@Policy-EX-switch# set firewall family ethernet-switching filter INTERNET_ACCESS_ONLY term ALLOW_DHCP from destination-port 67 user@Policy-EX-switch# set firewall family ethernet-switching filter INTERNET_ACCESS_ONLY term ALLOW_DHCP from destination-port 68 user@Policy-EX-switch# set firewall family ethernet-switching filter INTERNET_ACCESS_ONLY term ALLOW_DHCP from ip-protocol udp user@Policy-EX-switch# set firewall family ethernet-switching filter INTERNET_ACCESS_ONLY term ALLOW_DHCP then accept user@Policy-EX-switch# set firewall family ethernet-switching filter INTERNET_ACCESS_ONLY term ALLOW_DNS from destination-port 53 user@Policy-EX-switch# set firewall family ethernet-switching filter INTERNET_ACCESS_ONLY term ALLOW_DNS from ip-protocol udp user@Policy-EX-switch# set firewall family ethernet-switching filter INTERNET_ACCESS_ONLY term ALLOW_DNS from ip-protocol tcp user@Policy-EX-switch# set firewall family ethernet-switching filter INTERNET_ACCESS_ONLY term BLOCK_RFC_1918 from ip-destination-address 10.0.0.0/8 user@Policy-EX-switch# set firewall family ethernet-switching filter INTERNET_ACCESS_ONLY term BLOCK_RFC_1918 from ip-destination-address 172.16.0.0/12 user@Policy-EX-switch# set firewall family ethernet-switching filter INTERNET_ACCESS_ONLY term BLOCK_RFC_1918 from ip-destination-address 192.168.0.0/16 user@Policy-EX-switch# set firewall family ethernet-switching filter INTERNET_ACCESS_ONLY term BLOCK_RFC_1918 then discard user@Policy-EX-switch# set firewall family ethernet-switching filter INTERNET_ACCESS_ONLY term ALLOW_ALL then accept
结果
在配置模式下,输入以下 show 命令以确认您的配置。
user@Policy-EX-switch# show access
radius-server {
10.25.22.11 {
dynamic-request-port 3799;
secret "$9$tqCW01hevLVwgSrwgoJHkp0BISrKM87db"; ## SECRET-DATA
source-address 10.25.99.11;
}
}
profile ACCESS_PROF_RADIUS {
accounting-order radius;
authentication-order radius;
radius {
authentication-server 10.25.22.11;
accounting-server 10.25.22.11;
}
}
}
user@Policy-EX-switch# show protocols
dot1x {
authenticator {
authentication-profile-name ACCESS_PROF_RADIUS;
interface {
AUTHC {
supplicant multiple;
transmit-period 3;
mac-radius;
}
}
}
}
user@Policy-EX-switch# show interfaces
interface-range AP {
member ge-0/0/0;
native-vlan-id 130;
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members [ AP EMPLOYEE-WIRELESS ];
}
}
}
}
interface-range AUTHC {
member ge-0/0/6;
member ge-0/0/3;
member ge-0/0/2;
member ge-0/0/4;
member ge-0/0/7;
member ge-0/0/8;
member ge-0/0/9;
member ge-0/0/5;
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members REMEDIATION-WIRED;
}
}
}
}
user@Policy-EX-switch# show vlans
AP {
vlan-id 130;
}
EMPLOYEE-WIRED {
vlan-id 150;
}
EMPLOYEE-WIRELESS {
vlan-id 151;
}
IOT-WIRED {
vlan-id 111;
}
IOT-WIRELESS {
vlan-id 112;
}
IP-PHONE-WIRED {
vlan-id 120;
}
IP-PHONE-WIRELESS {
vlan-id 121;
}
MANAGEMENT {
vlan-id 99;
l3-interface irb.99;
}
REMEDIATION-WIRED {
vlan-id 101;
}
REMEDIATION-WIRELESS {
vlan-id 102;
}
}
}
user@Policy-EX-switch# show forwarding-options
dhcp-relay {
server-group {
dhcp-dot1x {
10.25.22.11;
}
}
helpers {
bootp {
server 10.25.22.11;
}
}
user@Policy-EX-switch# show firewall
family ethernet-switching {
filter INTERNET_ACCESS_ONLY {
term ALLOW_DHCP {
from {
destination-port [ 67 68 ];
ip-protocol udp;
}
then accept;
}
term ALLOW_DNS {
from {
destination-port 53;
ip-protocol [ udp tcp ];
}
}
term BLOCK_RFC_1918 {
from {
ip-destination-address {
10.0.0.0/8;
172.16.0.0/12;
192.168.0.0/16;
}
}
then discard;
}
term ALLOW_ALL {
then accept;
}
}
}
}
如果完成设备配置,请从配置模式输入 commit 。
配置 Aruba ClearPass Policy Manager
分步过程
配置 Aruba ClearPass 的常规步骤如下:
-
验证 RADIUS 字典中是否存在 Juniper-AV-Pair 属性。
-
将 EX 交换机添加为网络设备。
-
确保已安装用于 802.1X PEAP 身份验证的服务器证书。
-
添加此示例中用于 802.1X 身份验证的本地用户。
-
创建以下强制配置文件:
-
VLAN 150 在 VLAN 150 中放置端点的 ENF PROF。
-
瞻博网络 VOIP VLAN 120 ENF PROF,将 VLAN 120 定义为 VoIP VLAN。
-
VLAN 130 在 VLAN 130 中放置端点的 ENF PROF。
-
Internet_Only_Access_Fliter_ID_ENF_Prof指定防火墙过滤器Internet_Only_Access用于尚未分析的设备。
-
-
创建两个实施策略:
-
使用 MAC RADIUS 身份验证时调用的策略。
-
使用 802.1X 身份验证时调用的策略。
-
-
定义 MAC RADIUS 身份验证服务和 802.1X 身份验证服务。
-
确保在 802.1X 身份验证服务之前评估 MAC RADIUS 身份验证服务。
要配置 Aruba ClearPass,请执行以下作:
-
验证 RADIUS 字典中是否存在 Juniper-AV-Pair 属性。
转到 RADIUS >管理>词典,然后打开瞻博网络词典。
注意:如果瞻博网络词典显示为红色,请打开“瞻博网络词典”页面启用该词典,然后单击启用按钮。
如果 Juniper-AV-Pair 属性不存在,请按照以下步骤添加它:
-
单击“导出”按钮。
-
将 RadiusDictionary.xml 文件保存到计算机,然后使用文本编辑器打开它。
-
在 “RadiusAttributes ”部分下,添加以下行:
<Attribute profile=“in out” type=“String” name=“Juniper-AV-Pair” id=“52”/>
-
保存 XML 文件。
-
返回到 ClearPass 会话,然后单击 RadiusDictionary 页面右上角的 Import 按钮。
-
单击 “浏览 ”按钮并找到刚刚保存的 RadiusDictionary.xml 文件
-
单击导入。
-
现在打开 Juniper RADIUS 字典 ,验证 Juniper-AV-Pair 属性是否存在
-
-
将 EX 交换机添加为网络设备。
分步过程
-
在“配置>网络>设备”下,单击 “添加”。
-
在设备选项卡上,输入交换机的主机名和 IP 地址以及您在交换机上配置的 RADIUS 共享密钥。将“供应商名称”字段设置为 “瞻博网络”。
-
确保存在用于 802.1X PEAP 身份验证的受信任服务器证书。
-
在 Administration > Certificates > Certificate Store(证书存储)下,验证每个 Aruba ClearPass 服务器是否安装了有效的 RADIUS/EAP 服务器证书。如果没有,请添加有效的服务器证书。Aruba ClearPass 文档和您的证书颁发机构可以提供有关如何获取证书并将其导入 ClearPass 的更多详细信息。
-
-
将测试用户添加到本地用户存储库。此用户将用于验证 802.1X 身份验证。
-
在“本地用户>配置>身份”下,单击 “添加”。
-
在 “Add Local User”(添加本地用户)窗口中,输入用户 ID (usertest1)、用户名 (Test User)和密码。然后选择 “员工” 作为用户角色。在“属性”下,选择 “部门 ”属性,然后在“值”下键入 “财务 ”。
注意:在此配置示例中,ClearPass Local User Repository 用作身份验证源。但是,在典型的企业部署中,Microsoft Active Directory 被用作身份验证源。有关如何将 Active Directory 配置为身份验证源的更多详细信息,请搜索位于 Administration » Support » Documentation 中的 ClearPass 文档。
-
-
-
为使用 802.1X 进行身份验证的员工笔记本电脑或台式机配置强制配置文件。
-
此配置文件将端点放置在 VLAN 150 中。
分步过程
在“配置>实施>配置文件”下,单击 “添加”。
-
在配置文件选项卡上,将模板设置为 VLAN 实施,然后在名称字段中键入配置文件名称 VLAN 150 ENF PROF。
-
在“属性”选项卡上,按所示配置属性。
-
-
配置接入点实施配置文件,用于将接入点置于 VLAN 130 中。
-
使用与上一步相同的基本过程创建此配置文件。完成配置文件后,“摘要”选项卡上的信息将如图所示显示。
-
-
配置 IP 电话实施配置文件。
-
此配置文件指示 Aruba ClearPass 将 VLAN 120 作为应用作 VoIP VLAN 的 VLAN 返回。瞻博网络 RADIUS 字典定义了用于此目的的特殊 RADIUS 属性。选择 RADIUS-Juniper 作为属性类型,选择 Juniper-VoIP-VLAN 作为属性名称。
-
完成配置文件后,“ 摘要 ”选项卡上的信息将如图所示显示。
-
-
配置仅 Internet 访问强制配置文件。
-
此实施配置文件会告知 Aruba ClearPass 返回防火墙过滤器Internet_Only_Access的名称,即您在交换机上配置的防火墙过滤器,用于阻止对内部网络的访问。完成此配置文件后,“摘要”选项卡上的信息将如图所示显示。
-
配置MAC RADIUS身份验证实施策略。
-
对于通过 MAC RADIUS 身份验证进行身份验证的端点,此策略会通知 Aruba ClearPass 根据设备配置文件应用强制策略。VLAN 130 ENF PROF 适用于分析为接入点的端点,而瞻博网络 VOIP VLAN 120 ENF PROF 适用于分析为 VoIP 电话的端点。预定义的强制策略 [拒绝访问配置文件] 应用于分析为 Windows 设备的终结点。这将强制实施组织访问策略,即只有具有 802.1X 请求方的笔记本电脑才允许访问网络。对于所有其他终结点,包括尚未分析的终结点,将应用 INTERNET ONLY ACCESS FILTER ID ENF PROF 描述。
-
在“配置>实施>策略”下,单击“ 添加”。
-
在“实施”选项卡上,键入策略的名称 (JUNOS MAC AUTH ENF POL) ,并将“默认配置文件”设置为 “仅限 INTERNET 访问过滤器 ID ENF PROF”。
-
在“规则”选项卡上,单击 “添加规则” ,然后添加显示的规则。
在创建下一个规则之前,必须通过单击 “保存 ”按顺序添加规则。
-
-
配置 802.1X 实施策略。
如果用户成功通过财务部门成员身份验证,此策略将告知 Aruba ClearPass 使用 VLAN 150 ENF PROF 实施配置文件。任何其他用户身份验证都将与默认配置文件匹配,并且交换机将收到 RADIUS 接受,并将端点置于补救 VLAN 100 中。
-
在“配置”»“实施”»“策略”下,单击 “添加”。
-
在“实施”选项卡上,键入策略名称 (JUNOS DOT1X ENF POL),并将默认配置文件设置为 [允许访问配置文件]。
-
在“规则”选项卡上,单击“添加规则”,然后添加显示的规则。
-
-
配置 JUNOS MAC AUTH 身份验证服务。
此服务的配置会导致在接收的 RADIUS User-Name 属性和 Client-MAC-Address 属性具有相同的值时执行 MAC RADIUS 身份验证。
-
在“配置”»“服务”下,单击 “添加”。
-
在“服务”选项卡上,填写如图所示的字段。请务必选择 “授权 ”和 “配置文件端点 ”选项。
-
在身份验证选项卡上,从身份验证方法列表中删除 [允许所有 MAC 身份验证] ,并将 [EAP MD5] 添加到列表中。
在“身份验证源”列表中选择 [Endpoints Repository] [Local SQL DB]。
-
在“实施”选项卡上,选择 “JUNOS MAC AUTH ENF POL”。
-
在“探查器”选项卡上,将“计算机”、“VoIP 电话”、“接入点”添加到“终结点分类”列表。
从 RADIUS CoA作列表中选择 [瞻博网络终止会话]。此配置会导致端点在被分析并添加到端点存储库后进行重新身份验证。在分析终结点之前,INTERNET ONLY ACCESS FILTER ID ENF PROF 强制配置文件对经过身份验证的用户会话有效。(此配置文件是在步骤 7 中配置的 MAC 身份验证策略的默认配置文件。Aruba ClearPass 成功对设备进行分类后,会向交换机发送 RADIUS CoA,这会导致交换机终止会话。然后交换机会尝试重新验证端点。由于端点的设备配置文件现在位于端点存储库中,因此在对端点进行身份验证时,将应用相应的设备强制配置文件。
-
点击保存。
-
-
配置 802.1X 身份验证服务。
-
在“配置>服务”下,单击 “添加”。
-
在“服务”选项卡上,填写如图所示的字段。
-
在“身份验证”选项卡上:
-
将认证源设置为[本地用户存储库][本地SQL DB]。
-
删除 [EAP FAST]、[EAP-TLS] 和 [EAP-TTLS] 身份验证方法。
-
-
在“实施”选项卡上,将“实施策略”设置为 “Juniper_Dot1X_Policy。
-
验证是否在评估 MAC RADIUS 身份验证服务策略之前评估了 802.1X 身份验证服务策略。
-
由于 Aruba ClearPass 配置为通过具有相同值的 RADIUS User-Name 属性和客户端 MAC-Address 属性识别 MAC RADIUS 身份验证请求,因此首先评估 MAC RADIUS 服务策略会更有效。
-
在服务主窗口中,验证 JUNOS MAC AUTH 是否显示在服务列表中的 JUNOS DOT1X 之前,如图所示。如果没有,请单击 重新排序 ,然后将 JUNOS MAC AUTH 移至 JUNOS DOT1X 上方。
-
-
验证
确认配置工作正常。
- 验证 EX 交换机上的 802.1X 身份验证
- 验证 EX 交换机上的接入点身份验证
- 验证 EX 交换机上的 VoIP 电话和非企业笔记本电脑身份验证
- 在 Aruba ClearPass Policy Manager 上验证身份验证请求的状态
验证 EX 交换机上的 802.1X 身份验证
目的
验证测试用户 usertest1 是否已通过身份验证,以及是否将其放置在正确的 VLAN 中。
若要执行此过程,您必须有一个具有活动 802.1X 请求方的 Windows 设备,该请求方传递 usertest1 的身份验证信息。有关如何为 Windows 7 请求方配置 802.1X PEAP 身份验证的信息,请参阅 使用 EX 系列交换机和 Aruba ClearPass Policy Manager 配置 802.1X PEAP 和 MAC RADIUS 身份验证
行动
-
将 Windows 7 笔记本电脑连接到 EX 交换机上的 ge-0/0/22。
-
在交换机上,键入以下命令:
user@Policy-EX-switch-01> show dot1x interface ge-0/0/8 802.1X Information: Interface Role State MAC address User ge-0/0/8.0 Authenticator Authenticated 98:90:96:D8:70:19 usertest1 -
有关更多详细信息(包括动态 VLAN 分配),请键入:
user@Policy-EX-switch-01> show dot1x interface ge-0/0/8 detail ge-0/0/8.0 Role: Authenticator Administrative state: Auto Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Transmit period: 3 seconds Mac Radius: Enabled Mac Radius Restrict: Disabled Mac Radius Authentication Protocol: EAP-MD5 Reauthentication: Enabled Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: not configured Number of connected supplicants: 1 Supplicant: usertest1, 98:90:96:D8:70:19 Operational state: Authenticated Backend Authentication state: Idle Authentication method: Radius Authenticated VLAN: EMPLOYEE-WIRED Session Reauth interval: 10800 seconds Reauthentication due in 10772 seconds Eapol-Block: Not In Effect Domain: Data输出显示 usertest1 已成功通过身份验证并放置在 EMPLOYEE-WIRED VLAN 中。
验证 EX 交换机上的接入点身份验证
目的
验证接入点是否已成功通过身份验证并放置在正确的 VLAN 中。
行动
-
将接入点连接到 EX 交换机上的 ge-0/0/6。
-
在交换机上,键入以下命令:
user@Policy-EX-switch-01> show dot1x interface ge-0/0/6 ge-0/0/6.0 Role: Authenticator Administrative state: Auto Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Transmit period: 3 seconds Mac Radius: Enabled Mac Radius Restrict: Disabled Mac Radius Authentication Protocol: EAP-MD5 Reauthentication: Enabled Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: not configured Number of connected supplicants: 1 Supplicant: 5c5b352e2d19, 5C:5B:35:2E:2D:19 Operational state: Authenticated Backend Authentication state: Idle Authentication method: Mac Radius Authenticated VLAN: AP Session Reauth interval: 3600 seconds Reauthentication due in 3549 seconds Egress Vlan: 102, 121, 130, 131, 151 Operational supplicant mode: Single Eapol-Block: Not In Effect Domain: Data输出显示接入点已通过身份验证并放置在AP_VLAN VLAN 中。
验证 EX 交换机上的 VoIP 电话和非企业笔记本电脑身份验证
目的
验证 VoIP 电话是否已成功通过身份验证,以及非公司笔记本电脑是否尚未经过身份验证。
行动
-
将 VoIP 电话连接到 EX 交换机上的 ge-0/0/8,然后将未启用 802.1X 请求方的笔记本电脑连接到电话上的以太网端口。
-
要验证设备的身份验证状态,请在交换机上键入以下命令:
user@Policy-EX-switch-01> show dot1x interface ge-0/0/8 ge-0/0/8.0 Role: Authenticator Administrative state: Auto Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Enabled Mac Radius Restrict: Disabled Mac Radius Authentication Protocol: EAP-MD5 Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: not configured Number of connected supplicants: 2 Supplicant: 08173515ec53, 08:17:35:15:EC:53 Operational state: Authenticated Backend Authentication state: Idle Authentication method: Mac Radius Authenticated VLAN: IPPhone_VLAN Session Reauth interval: 3600 seconds Reauthentication due in 3591 seconds Session Accounting Interim Interval: 600 seconds Accounting Update due in 591 seconds Supplicant: No User, D0:67:E5:50:E3:DD Operational state: Connecting Backend Authentication state: Idle Authentication method: None Session Reauth interval: 0 seconds Reauthentication due in 0 seconds Session Accounting Interim Interval: 600 seconds Accounting Update due in 0 seconds输出显示两个请求方连接到端口,每个请求方都由 MAC 地址标识。VoIP 电话已成功通过身份验证并置于IPPhone_VLAN。笔记本电脑处于连接状态,未经过身份验证,表示它未能通过身份验证。
-
要验证IPPhone_VLAN VLAN 是否已分配为 VoIP VLAN,请键入以下命令:
user@Policy-EX-switch-01> show ethernet-switching interface ge-0/0/8 Routing Instance Name : default-switch Logical Interface flags (DL - disable learning, AD - packet action drop, LH - MAC limit hit, DN - interface down, MMAS - Mac-move action shutdown, SCTL - shutdown by Storm-control ) Logical Vlan TAG MAC STP Logical Tagging interface members limit state interface flags ge-0/0/8.0 65535 tagged,untagged default 1 65535 Forwarding untagged IPPhone_VLAN 120 65535 Forwarding tagged
IPPhone_VLAN显示为已标记的 VLAN,表示它是 VoIP VLAN。
在 Aruba ClearPass Policy Manager 上验证身份验证请求的状态
目的
验证是否对端点进行了正确的身份验证,以及交换机和 Aruba ClearPass 之间是否交换了正确的 RADIUS 属性。
行动
-
转到“监控”>“实时监控”>“访问跟踪器”以显示身份验证请求的状态。
访问跟踪器在身份验证请求发生时对其进行监控并报告其状态。
-
要获取有关特定身份验证请求的更多详细信息,请单击该请求。
-
要验证 Aruba ClearPass 为此请求发回交换机的 RADIUS 属性,请单击 输出 选项卡。
意义
来自物联网设备(摄像头)的身份验证请求已成功,并且有关物联网 VLAN 的正确信息已返回给交换机。
监控设备分析
分步过程
您可以查看 Aruba ClearPass 配置文件在其端点存储库中发现和维护的设备,获取有关分析的设备总数、设备类型和设备特定数据(例如设备供应商、设备主机名和设备添加到存储库的时间戳)的信息。
-
在 Aruba ClearPass 中,选择 Monitoring » Profiler and Network Scan » Endpoint Profiler 。初始 Endpoint Profiler 窗口提供其存储库中端点的概述,并在设备类别、设备族和设备名称层次结构中对设备进行分组。窗口底部的表格列出了当前选定设备名称组中的终结点。
-
要显示有关单个终结点的更多信息,请单击表中的终结点。
在 “View Endpoint”(查看端点)窗口中,您可以通过单击“Device Fingerprints”(设备指纹)选项卡来显示用于分析设备的 ClearPass 配置文件信息。在以下示例中,ClearPass 配置文件使用从 DHCP 消息中的各种 DHCP 选项获得的信息来分析设备。
身份验证故障排除
分步过程
本主题介绍如何通过在 EX 系列交换机上启用身份验证作跟踪来获取详细的诊断信息。
Aruba ClearPass Policy Manager 提供了其他详细的诊断信息。
您可以为 802.1X 协议启用追踪选项。
-
以下命令集支持将跟踪日志写入名为 do1x 的文件。
root@EX-switch-1# set protocols dot1x traceoptions file dot1x root@EX-switch-1# set protocols dot1x traceoptions file size 5m root@EX-switch-1# set protocols dot1x traceoptions flag all
-
使用 show log CLI 命令显示跟踪日志文件的内容。例如:
root@EX-switch-1> show log dot1x root@EX-switch-1> set protocols dot1x traceoptions file size 5m
-
还可以显示 UNIX 级别 shell 中的跟踪日志文件的内容。例如:
root@EX-switch-1> start shell root@EX-switch-1: RE:0% tail -f /var/log/dot1x