Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Beispiel: Konfigurieren der 802.1X-PEAP- und MAC RADIUS-Authentifizierung mit Switches der EX-Serie und Aruba ClearPass Policy Manager

In diesem Konfigurationsbeispiel wird Folgendes veranschaulicht:

  • Konfigurieren Sie einen Switch der EX-Serie, Aruba ClearPass Policy Manager und einen Laptop mit Windows 7 für die 802.1X PEAP-Authentifizierung

  • Konfigurieren eines Switches der EX-Serie und von Aruba ClearPass für MAC RADIUS-Authentifizierung

  • Konfigurieren Sie einen Switch der EX-Serie und Aruba ClearPass zur Implementierung dynamischer VLANs und Firewall-Filter

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten für die Richtlinieninfrastruktur verwendet:

  • Ein EX4300-Switch mit Junos OS Version 14.1X53-D30 oder höher

  • Eine Aruba ClearPass Policy Manager-Plattform mit Version 6.3.3.63748 oder höher

  • Laptops mit Microsoft Windows 7 Enterprise

Übersicht und Topologie

In diesem Beispiel sind die Komponenten der Richtlinieninfrastruktur so konfiguriert, dass sie die folgenden Endpunkte authentifizieren:

  • Ein Mitarbeiter-Laptop, der für die 802.1X PEAP-Authentifizierung konfiguriert ist.

    In der Beispielkonfiguration ist Aruba ClearPass Policy Manager so konfiguriert, dass 802.1X-Benutzer über seine lokale Benutzerdatenbank authentifiziert werden. Wenn der authentifizierte Mitarbeiter in der Datenbank als zur Finanzabteilung gehörend aufgeführt ist, gibt Aruba ClearPass die VLAN-ID 201 in einem RADIUS-Attribut an den Switch zurück. Der Switch konfiguriert dann dynamisch den Laptop-Zugriffsport so, dass er sich in VLAN 201 befindet.

  • Ein Gast-Laptop, der nicht für die 802.1X-Authentifizierung konfiguriert ist.

    In diesem Fall erkennt der Switch, dass der Endpunkt nicht über einen 802.1X-Supplicant verfügt. Da die MAC RADIUS-Authentifizierung auch auf der Schnittstelle aktiviert ist, versucht der Switch dann, die MAC RADIUS-Authentifizierung durchzuführen. Wenn die MAC-Adresse des Laptops nicht in der Aruba ClearPass-MAC-Adressdatenbank enthalten ist – wie es bei einem Gast-Laptop der Fall wäre – ist Aruba ClearPass so konfiguriert, dass der Name des Firewall-Filters zurückgegeben wird, den der Switch auf dem Zugriffsport erzwingen soll. Dieser Firewallfilter, der auf dem Switch konfiguriert ist, ermöglicht dem Gast den Zugriff auf das gesamte Netzwerk mit Ausnahme des Subnetzes 192.168.0.0/16.

Abbildung 1 zeigt die in diesem Beispiel verwendete Topologie.

Abbildung 1: In diesem Beispiel Topology Used in this Example verwendete Topologie

Konfiguration

In diesem Abschnitt finden Sie Schritt-für-Schritt-Anleitungen für:

Konfigurieren des EX4300-Switches

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf der Hierarchieebene [edit] ein, und geben Sie dann commit aus dem Konfigurationsmodus ein.

Schritt-für-Schritt-Anleitung

Die allgemeinen Schritte zur Konfiguration eines EX4300-Switches sind:

  • Konfigurieren Sie die Verbindung zum Aruba ClearPass Policy Manager.

  • Erstellen Sie das Zugriffsprofil, das vom 802.1X-Protokoll verwendet wird. Das Zugriffsprofil teilt dem 802.1X-Protokoll mit, welcher Authentifizierungsserver verwendet werden soll und welche Authentifizierungsmethoden und -reihenfolge verwendet werden sollen.

  • Konfigurieren Sie das 802.1X-Protokoll.

  • Konfigurieren Sie Ethernet-Switching auf den Zugriffsports ge-0/0/10 und ge-0/0/22.

  • Erstellen Sie die Firewallrichtlinie, die verwendet werden soll, wenn ein Gast-Laptop eine Verbindung zu einem Port herstellt.

So konfigurieren Sie den EX4300-Switch:

  1. Geben Sie die Verbindungsinformationen des RADIUS-Servers an.

  2. Konfigurieren Sie das Zugriffsprofil.

  3. Konfigurieren Sie das 802.1X-Protokoll so, dass es Aruba-Test-Profile verwendet und auf jeder Zugriffsschnittstelle ausgeführt wird. Konfigurieren Sie außerdem die Schnittstellen so, dass sie die MAC RADIUS-Authentifizierung verwenden und mehr als einen Supplicant zulassen, von denen jeder einzeln authentifiziert werden muss.

  4. Konfigurieren Sie die Zugriffsports.

  5. Konfigurieren Sie VLAN 201, das für Mitarbeiter verwendet wird, die Mitglieder der Finanzabteilung sind.

    Beachten Sie, dass das VLAN auf dem Switch vorhanden sein muss, bevor die Authentifizierung versucht wird, damit die dynamische VLAN-Zuweisung funktioniert. Wenn das VLAN nicht vorhanden ist, schlägt die Authentifizierung fehl.

  6. Konfigurieren Sie den Firewall-Filter, der verwendet werden soll, wenn ein Gast-Laptop eine Verbindung zu einem Port herstellt.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die folgenden show Befehle eingeben.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Konfigurieren von Aruba ClearPass Policy Manager

Schritt-für-Schritt-Anleitung

Die allgemeinen Schritte zur Konfiguration von Aruba ClearPass sind:

  • Fügen Sie die RADIUS-Wörterbuchdatei von Juniper Networks hinzu.

  • Fügen Sie den EX4300 als Netzwerkgerät hinzu.

  • Stellen Sie sicher, dass das für die 802.1X-PEAP-Authentifizierung verwendete Serverzertifikat installiert wurde.

  • Fügen Sie den in diesem Beispiel verwendeten lokalen Benutzer hinzu, und weisen Sie ihn der Gruppe Finanzen zu.

  • Erstellen Sie zwei Erzwingungsprofile:

    • Ein Profil, das die RADIUS-Attribute für den dynamischen Firewallfilter definiert.

    • Ein Profil, das die RADIUS-Attribute für das dynamische VLAN definiert.

  • Erstellen Sie zwei Durchsetzungsrichtlinien:

    • Eine Richtlinie, die aufgerufen wird, wenn die MAC RADIUS-Authentifizierung verwendet wird.

    • Eine Richtlinie, die aufgerufen wird, wenn die 802.1X-Authentifizierung verwendet wird.

  • Definieren Sie den MAC RADIUS-Authentifizierungsdienst und den 802.1X-Authentifizierungsdienst.

  • Stellen Sie sicher, dass der MAC RADIUS-Authentifizierungsdienst vor dem 802.1X-Authentifizierungsdienst ausgewertet wird.

So konfigurieren Sie Aruba ClearPass:

  1. Fügen Sie die RADIUS-Wörterbuchdatei von Juniper Networks hinzu.

    Schritt-für-Schritt-Anleitung

    1. Kopieren Sie den folgenden Inhalt in eine Datei mit dem Namen Juniper.dct auf Ihrem Desktop.

    2. Navigieren Sie in Aruba ClearPass zu Administration > Dictionaries > RADIUS und klicken Sie auf Importieren , um die Datei Juniper.dct zu importieren.

  2. Fügen Sie den Switch EX4300 als Netzwerkgerät hinzu.

    Schritt-für-Schritt-Anleitung

    1. Klicken Sie unter Configuration > Network > Devices (Konfiguration Netzwerk- Geräte auf Hinzufügen.

    2. Geben Sie auf der Registerkarte Gerät den Hostnamen und die IP-Adresse des Switches sowie den gemeinsamen geheimen RADIUS-Schlüssel ein, den Sie auf dem Switch konfiguriert haben. Legen Sie das Feld "Name des Anbieters" auf " Juniper" fest.

  3. Stellen Sie sicher, dass ein Serverzertifikat für die 802.1X PEAP-Authentifizierung vorhanden ist.

    Vergewissern Sie sich unter Administration > Certificates > Server Certificate, dass auf Aruba ClearPass ein gültiges Serverzertifikat installiert ist. Wenn dies nicht der Fall ist, fügen Sie ein gültiges Serverzertifikat hinzu. In der Aruba ClearPass-Dokumentation und bei Ihrer Zertifizierungsstelle finden Sie weitere Informationen zum Abrufen von Zertifikaten und zum Importieren in ClearPass.

  4. Fügen Sie dem lokalen Benutzer-Repository einen Testbenutzer hinzu.

    Dieser Benutzer wird verwendet, um die 802.1X-Authentifizierung zu überprüfen.

    Schritt-für-Schritt-Anleitung

    1. Klicken Sie unter Konfiguration -> Identität -> lokale Benutzer auf Hinzufügen.

    2. Geben Sie im Fenster "Lokalen Benutzer hinzufügen" die Benutzer-ID (usertest1), den Benutzernamen (Testbenutzer) und das Kennwort ein, und wählen Sie " Mitarbeiter" als Benutzerrolle aus. Wählen Sie unter Attribute das Attribut " Abteilung " aus, und geben Sie unter "Wert" den Text " Finanzen" ein.

  5. Konfigurieren Sie ein dynamisches Filtererzwingungsprofil.

    Dieses Profil definiert das RADIUS-Filter-ID-Attribut und weist ihm den Namen des Firewall-Filters zu, den Sie auf dem Switch konfiguriert haben. Das Attribut wird an den Switch gesendet, wenn die MAC-Adresse des Endpunkts nicht in der MAC-Datenbank enthalten ist, sodass der Switch den Firewall-Filter dynamisch dem Zugriffsport zuweisen kann.

    Schritt-für-Schritt-Anleitung

    1. Klicken Sie unter Configuration > Enforcement > Profiles auf Add.

    2. Legen Sie auf der Registerkarte Profil die Option Vorlage auf RADIUS-basierte Erzwingung fest, und geben Sie den Profilnamen Juniper_DACL_1 in das Feld Name ein.

    3. Legen Sie auf der Registerkarte Attribute den Typ auf Radius:IETF, den Namen auf Filter-Id (11) fest, und geben Sie den Namen des Firewallfilters mac_auth_policy_1 in das Feld Wert ein.

  6. Konfigurieren Sie ein dynamisches VLAN-Durchsetzungsprofil.

    Dieses Profil definiert die RADIUS-Attribute für die Spezifikation von VLAN 201. Diese RADIUS-Attribute werden an den Switch gesendet, wenn sich ein Benutzer, der zur Finanzabteilung gehört, mit 802.1X authentifiziert, sodass der Switch dem Zugriffsport dynamisch VLAN 201 zuweisen kann.

    Schritt-für-Schritt-Anleitung
    1. Klicken Sie unter Configuration > Enforcement > Profiles auf Add.

    2. Legen Sie auf der Registerkarte Profil Vorlage auf RADIUS-basierte Erzwingung fest, und geben Sie den Namen des Profils Juniper_Vlan_201 in das Feld Name ein.

    3. Definieren Sie auf der Registerkarte Attribute die RADIUS-Attribute wie gezeigt.

  7. Konfigurieren Sie die Richtlinie zur Durchsetzung der MAC RADIUS-Authentifizierung.

    Diese Richtlinie weist Aruba ClearPass an, eine der folgenden Aktionen auszuführen, je nachdem, ob sich die MAC-Adresse des Endpunkts in der RADIUS-Datenbank befindet:

    • Wenn sich die Adresse in der RADIUS-Datenbank befindet, senden Sie eine Access Accept-Nachricht an den Switch.

    • Wenn sich die Adresse nicht in der RADIUS-Datenbank befindet, senden Sie eine Acess Accept-Nachricht zusammen mit dem Namen des Firewallfilters, der im MAC RADIUS-Authentifizierungsprofil definiert ist, an den Switch.

    Schritt-für-Schritt-Anleitung

    1. Klicken Sie unter Configuration > Enforcement > Policies auf Add.

    2. Geben Sie auf der Registerkarte Erzwingung den Namen der Richtlinie (Juniper-MAC-Auth-Policy) ein, und legen Sie Standardprofil auf Juniper_DACL_1 (das Profil, das Sie in Schritt 5 definiert haben) fest.

    3. Klicken Sie auf der Registerkarte Regeln auf Regel hinzufügen , und fügen Sie die beiden angezeigten Regeln hinzu.

      Sie müssen die Regeln nacheinander hinzufügen, indem Sie die erste Regel im Regeleditor erstellen und auf Speichern klicken, bevor Sie die zweite Regel erstellen.

  8. Konfigurieren Sie die 802.1X-Erzwingungsrichtlinie.

    Diese Richtlinie weist Aruba ClearPass an, eine der folgenden Aktionen auszuführen, je nachdem, ob der Benutzer der Finanzabteilung angehört oder nicht:

    • Wenn der Benutzer zur Finanzabteilung gehört, senden Sie eine Access Accept-Nachricht an den Switch und die VLAN 201-Informationen, die im 802.1X-Durchsetzungsprofil definiert sind.

    • Wenn der Benutzer nicht zur Finanzabteilung gehört, senden Sie eine Access Accept-Nachricht an den Switch.

    Schritt-für-Schritt-Anleitung

    1. Klicken Sie unter Configuration > Enforcement > Policies auf Add.

    2. Geben Sie auf der Registerkarte Erzwingung den Namen der Richtlinie (Juniper_Dot1X_Policy) ein, und legen Sie Standardprofil auf [Zugriffsprofil zulassen] fest. (Dies ist ein vorgefertigtes Profil, das im Lieferumfang von Aruba ClearPass enthalten ist.)

    3. Klicken Sie auf der Registerkarte Regeln auf Regel hinzufügen, und fügen Sie die angezeigte Regel hinzu.

  9. Konfigurieren Sie den MAC RADIUS-Authentifizierungsdienst.

    Die Konfiguration für diesen Dienst führt dazu, dass die MAC RADIUS-Authentifizierung ausgeführt wird, wenn das empfangene Attribut "RADIUS-Benutzername" und das empfangene Attribut "Client-MAC-Adresse" denselben Wert aufweisen.

    Schritt-für-Schritt-Anleitung

    1. Klicken Sie unter Configuration > Services (Konfiguration Dienste) auf Add (Hinzufügen).

    2. Füllen Sie auf der Registerkarte Dienste die Felder wie gezeigt aus.

    3. Entfernen Sie auf der Registerkarte Authentifizierung [MAC AUTH ] aus der Liste Authentifizierungsmethoden, und fügen Sie der Liste [EAP MD5] hinzu.

    4. Wählen Sie auf der Registerkarte Erzwingung die Option Juniper-MAC-Auth-Policy aus.

  10. Konfigurieren Sie den 802.1X-Authentifizierungsdienst.

    Schritt-für-Schritt-Anleitung

    1. Klicken Sie unter Configuration > Services (Konfiguration Dienste) auf Add (Hinzufügen).

    2. Füllen Sie auf der Registerkarte Service die Felder wie gezeigt aus.

    3. Legen Sie auf der Registerkarte Authentifizierung Authentifizierungsquellen auf [ Lokales Benutzerrepository][Lokale SQL-Datenbank] fest.

    4. Legen Sie auf der Registerkarte Erzwingung die Erzwingungsrichtlinie auf Juniper_Dot1X_Policy fest.

  11. Stellen Sie sicher, dass die MAC RADIUS-Authentifizierungsdienstrichtlinie vor der 802.1X-Authentifizierungsdienstrichtlinie ausgewertet wird.

    Da Aruba ClearPass so konfiguriert ist, dass MAC RADIUS-Authentifizierungsanforderungen erkannt werden, indem das Attribut "RADIUS-Benutzername" und das Attribut "Client-MAC-Adresse" denselben Wert haben, ist es effizienter, zuerst die MAC RADIUS-Dienstrichtlinie auswerten zu lassen.

    Vergewissern Sie sich im Hauptfenster Services, dass Juniper-MAC-Auth-Policy in der Liste der Services vor Juniper-MAC_Dot1X_Policy angezeigt wird, wie gezeigt. Ist dies nicht der Fall, klicken Sie auf Neu anordnen und Juniper-MAC-Auth-Policy über Juniper-MAC_Dot1X_Policy verschieben.

Konfigurieren des Windows 7-Supplicants auf dem Laptop

Schritt-für-Schritt-Anleitung

In diesem Beispiel für die Netzwerkkonfiguration wird der native 802.1X-Supplicant auf dem Windows 7-Laptop verwendet. Dieser Supplicant muss für die 802.1X PEAP-Authentifizierung konfiguriert sein.

Die allgemeinen Schritte zum Konfigurieren des Windows 7-Supplicants sind:

  • Stellen Sie sicher, dass der kabelgebundene AutoConfig-Dienst gestartet ist.

  • Aktivieren Sie die 802.1X PEAP-Authentifizierung für die LAN-Verbindung.

  • Konfigurieren Sie die Einstellungen für die Serverzertifikatüberprüfung.

  • Konfigurieren Sie die Einstellungen für die Benutzeranmeldeinformationen.

  1. Stellen Sie sicher, dass der Wired AutoConfig-Dienst auf dem Laptop gestartet ist.

    Wählen Sie Systemsteuerung > Verwaltung > Dienste aus. Gestartet sollte im Feld "Wired AutoConfig Status" angezeigt werden.

  2. Aktivieren Sie die 802.1X PEAP-Authentifizierung für die LAN-Verbindung.

    Schritt-für-Schritt-Anleitung
    1. Klicken Sie unter Systemsteuerung > Netzwerk- und Freigabecenter > Adaptereinstellungen ändern mit der rechten Maustaste auf LAN-Verbindung , und klicken Sie dann auf Eigenschaften.

    2. Konfigurieren Sie auf der Registerkarte Authentifizierung des Fensters Eigenschaften der LAN-Verbindung die Eigenschaften wie gezeigt.

  3. Konfigurieren Sie, ob der Laptop das Aruba ClearPass-Serverzertifikat validieren soll oder nicht.

    Klicken Sie auf Einstellungen , um das Fenster "Geschützte EAP-Eigenschaften" anzuzeigen.

    • Wenn Sie nicht möchten, dass der Laptop das ClearPass-Serverzertifikat validiert, deaktivieren Sie das Kontrollkästchen Serverzertifikat validieren.

    • Wenn Sie möchten, dass der Laptop das ClearPass-Serverzertifikat validiert, aktivieren Sie Serverzertifikat validieren, geben Sie den Namen des ClearPass-Servers ein und wählen Sie die vertrauenswürdige Stammzertifizierungsstelle für das ClearPass-Serverzertifikat aus. Der Servername muss mit dem CN im Serverzertifikat übereinstimmen.

  4. Konfigurieren Sie die Einstellungen für die Benutzeranmeldeinformationen.

    In diesem Konfigurationsbeispiel werden die Windows Active Directory-Anmeldeinformationen nicht für die Benutzerauthentifizierung verwendet. Stattdessen werden die Anmeldeinformationen des lokalen Benutzers verwendet, der auf dem Aruba ClearPass-Server definiert ist.

    Schritt-für-Schritt-Anleitung

    1. Klicken Sie im Fenster Geschützte EAP-Eigenschaften auf Konfigurieren , um das gesicherte Kennwort (EAP-MSCHAP v2) zu konfigurieren. Deaktivieren Sie das Kontrollkästchen Meinen Windows-Anmeldenamen und mein Kennwort automatisch verwenden .

      Wenn Ihr Aurba ClearPass-Server so konfiguriert wäre, dass er Windows Active Directory zur Authentifizierung von Benutzern verwendet, lassen Sie diese Option aktiviert.

    2. Beenden Sie die Konfiguration der geschützten PEAP-Eigenschaften, indem Sie auf OK klicken.

    3. Klicken Sie in den Eigenschaften der LAN-Verbindung auf der Registerkarte Authentifizierung auf Zusätzliche Einstellungen.

    4. Wählen Sie in den erweiterten Einstellungen die Option Benutzerauthentifizierung für den Authentifizierungsmodus aus und klicken Sie auf Anmeldeinformationen ersetzen.

    5. Geben Sie die Benutzer-ID (usertest1) und das Kennwort des lokalen Benutzers ein, den Sie der lokalen Benutzerdatenbank auf dem Aruba ClearPass-Server hinzugefügt haben.

Überprüfung

Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen der Authentifizierung auf dem EX4300-Switch

Zweck

Stellen Sie sicher, dass der Testbenutzer usertest1 authentifiziert und im richtigen VLAN platziert wird.

Aktion

  1. Verbinden Sie den Windows 7-Laptop, der wie unter Konfigurieren des Windows 7-Supplicants auf dem Laptop beschrieben konfiguriert ist, mit ge-0/0/22 auf dem EX4300-Switch.

  2. Geben Sie auf dem Switch den folgenden Befehl ein:

  3. Für weitere Details, einschließlich der dynamischen VLAN-Zuweisung, geben Sie Folgendes ein:

Bedeutung

Die 802.1X-Authentifizierung funktioniert wie konfiguriert – usertest1 wurde erfolgreich authentifiziert und in VLAN 201 platziert.

Sie können den Befehl show dot1x auch verwenden, um zu überprüfen, ob der Gast-Laptop ordnungsgemäß mithilfe der MAC RADIUS-Authentifizierung authentifiziert wird.

Überprüfen des Status von Authentifizierungsanforderungen in Aruba ClearPass Policy Manager

Zweck

Stellen Sie sicher, dass die Endgeräte korrekt authentifiziert werden und dass die richtigen RADIUS-Attribute zwischen dem Switch und Aruba ClearPass ausgetauscht werden.

Aktion

  1. Gehen Sie zu Monitoring > Live Monitoring > Access Tracker, um den Status der Authentifizierungsanforderungen anzuzeigen.

    Der Access Tracker überwacht Authentifizierungsanfragen, sobald sie auftreten, und berichtet über ihren Status.

  2. Um die RADIUS-Attribute zu überprüfen, die vom Switch für eine bestimmte Anforderung an Aruba ClearPass gesendet werden, klicken Sie auf die Anforderung und dann im Fenster "Anforderungsdetails" auf die Registerkarte "Eingabe".

  3. Klicken Sie auf die Registerkarte Ausgabe, um die RADIUS-Attribute zu überprüfen, die Aruba ClearPass für diese Anforderung an den Switch zurückgesendet hat.

Bedeutung

Das Feld "Anmeldestatus" des Access Trackers zeigt an, dass der Laptop des Mitarbeiters und der Gast-Laptop erfolgreich authentifiziert werden. Die Anforderungsdetails für die Authentifizierungsanforderung von usertest1 zeigen, dass der Switch die richtigen RADIUS-Attribute an Aruba ClearPass sendet und dass ClearPass die richtigen RADIUS-Attribute mit VLAN 201 an den Switch zurückgibt.