AUF DIESER SEITE
Beispiel: Konfigurieren der Geräteprofilerstellung mit Switches der EX-Serie und Aruba ClearPass Policy Manager
Dieses Konfigurationsbeispiel veranschaulicht, wie Sie die Funktionen der Switches der EX-Serie und des Aruba ClearPass Policy Manager verwenden, um Geräteprofilerstellung als Teil des Endpunktauthentifizierungsprozesses durchzuführen.
In diesem Beispiel verfügt eine Organisation über vier Arten von Endpunkten in ihrer kabelgebundenen Infrastruktur, für die sie Zugriffsrichtlinien definiert hat:
Access Points - Endpunkte, die als Access Points profiliert sind, erhalten Zugriff auf das Netzwerk und werden dem AP_VLAN-VLAN dynamisch zugewiesen.
IP-Telefone: Endpunkte, die als IP-Telefone profiliert sind, erhalten Zugriff auf das Netzwerk. Das IPPhone_VLAN wird dynamisch als VoIP-VLAN zugewiesen.
Unternehmens-Laptops – Endpunkte, die über einen 802.1X-Supplicant verfügen, werden anhand der Benutzeranmeldeinformationen authentifiziert. Nachdem sich der Benutzer erfolgreich authentifiziert hat, erhält der Laptop Zugriff auf das Netzwerk und wird in das Windows_VLAN-VLAN aufgenommen.
Unternehmensfremde Laptops – Endpunkte, die nicht über einen 802.1X-Supplicant verfügen und die als Windows-Geräte profiliert sind, wird der Zugriff auf das Netzwerk verweigert.
Dieses Thema umfasst:
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten für die Richtlinieninfrastruktur verwendet:
Ein EX4300-Switch mit Junos OS Version 15.1R3 oder höher
Eine Aruba ClearPass Policy Manager-Plattform mit Version 6.3.3.63748 oder höher
Übersicht und Topologie
Um die Endpunktzugriffsrichtlinien zu implementieren, wird die Richtlinieninfrastruktur wie folgt konfiguriert:
Alle Zugriffsschnittstellen auf dem Switch sind zunächst so konfiguriert, dass sie sich in VLAN 100 befinden, das als Korrektur-VLAN dient. Wenn ein Endpunkt nicht erfolgreich authentifiziert oder nicht erfolgreich als einer der unterstützten Endpunkte profiliert wurde, verbleibt er im Wartungs-VLAN.
Endpunkte, die über einen 802.1X-Supplicant verfügen, werden mithilfe der 802.1X-PEAP-Authentifizierung authentifiziert. Weitere Informationen zur 802.1X PEAP-Authentifizierung finden Sie unter Konfigurieren der 802.1X PEAP- und MAC RADIUS-Authentifizierung mit Switches der EX-Serie und Aruba ClearPass Policy Manager.
Endpunkte, die nicht über einen 802.1X-Supplicant verfügen, werden mit der MAC RADIUS-Authentifizierung authentifiziert und mit einem Profil versehen, um festzustellen, um welchen Gerätetyp es sich handelt. Diese Endgeräte durchlaufen einen zweistufigen Authentifizierungsprozess:
Der erste Schritt erfolgt, nachdem ein Endpunkt zum ersten Mal eine Verbindung mit dem Switch hergestellt hat, aber bevor er von Aruba ClearPass Profile profiliert wurde. Nach dem Herstellen der Verbindung wird der Endpunkt mithilfe der MAC RADIUS-Authentifizierung authentifiziert. Aruba ClearPass wendet eine Durchsetzungsrichtlinie an, die den Switch anweist, dem Endpunkt Zugriff auf das Internet zu gewähren, ihn jedoch am Zugriff auf das interne Netzwerk hindert.
Der zweite Schritt erfolgt, nachdem für einen Endpunkt erfolgreich ein Profil erstellt wurde. Nach der Authentifizierung im ersten Schritt kontaktiert der Endpunkt einen DHCP-Server, um eine IP-Adresse anzufordern. Der Switch leitet die DHCP-Nachrichten, die vom Endpunkt an den DHCP-Server gesendet werden, ebenfalls an Aruba ClearPass weiter, sodass ClearPass ein Profil des Endpunkts erstellen kann. Nachdem das Profil des Endpunkts erstellt und dem Endpunkt-Repository hinzugefügt wurde, sendet ClearPass eine RADIUS-CoA-Nachricht (Change of Authorization) an den Switch, in der er aufgefordert wird, die Sitzung zu beenden. Der Switch versucht dann, sich im Namen des Endpunkts erneut zu authentifizieren. Da der Endpunkt jetzt im Endpunkt-Repository vorhanden ist, kann Aruba ClearPass bei der Authentifizierung des Endpunkts eine für den Gerätetyp geeignete Durchsetzungsrichtlinie anwenden. Wenn es sich bei dem Endpunkt beispielsweise um einen Access Point handelt, wendet ClearPass die Durchsetzungsrichtlinie an, die den Access Point dynamisch dem AP_VLAN VLAN zuweist.
Abbildung 1 zeigt die in diesem Beispiel verwendete Topologie.
verwendete Topologie
Konfiguration
In diesem Abschnitt finden Sie Schritt-für-Schritt-Anleitungen für:
Konfigurieren des EX4300-Switches
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie auf Hierarchieebene in die CLI ein, und geben Sie dann Commit aus dem [edit] Konfigurationsmodus ein.
[edit] set access radius-server 10.105.5.153 dynamic-request-port 3799 set access radius-server 10.105.5.153 secret password set access radius-server 10.105.5.153 source-address 10.105.5.91 set access profile CP-Test-Profile accounting-order radius set access profile CP-Test-Profile authentication-order radius set access profile CP-Test-Profile radius authentication-server 10.105.5.153 set access profile CP-Test-Profile radius accounting-server 10.105.5.153 set access profile CP-Test-Profile radius options nas-identifier 10.105.5.91 set protocols dot1x authenticator authentication-profile-name CP-Test-Profile set protocols dot1x authenticator interface ge-0/0/6.0 mac-radius set protocols dot1x authenticator interface ge-0/0/6.0 supplicant multiple set protocols dot1x authenticator interface ge-0/0/8.0 mac-radius set protocols dot1x authenticator interface ge-0/0/8.0 supplicant multiple set protocols dot1x authenticator interface ge-0/0/22.0 mac-radius set protocols dot1x authenticator interface ge-0/0/22.0 supplicant multiple set vlans AP_VLAN vlan-id 130 set vlans IPPhone_VLAN vlan-id 120 set vlans Windows_VLAN vlan-id 150 set vlans v100 description "Remediation VLAN" set vlans v100 vlan-id 100 set interfaces ge-0/0/6 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/6 unit 0 family ethernet-switching vlan members v100 set interfaces ge-0/0/8 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/8 unit 0 family ethernet-switching vlan members v100 set interfaces ge-0/0/22 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/22 unit 0 family ethernet-switching vlan members v100 set interfaces irb unit 100 family inet address 10.10.100.1/24 set interfaces irb unit 120 family inet address 10.10.120.1/24 set interfaces irb unit 130 family inet address 10.10.130.1/24 set interfaces irb unit 150 family inet address 10.10.150.1/24 set vlans AP_VLAN l3-interface irb.130 set vlans IPPhone_VLAN l3-interface irb.120 set vlans Windows_VLAN l3-interface irb.150 set vlans v100 l3-interface irb.100 set forwarding-options dhcp-relay server-group dhcp-dot1x 10.10.10.10 set forwarding-options dhcp-relay server-group dhcp-dot1x 10.105.5.153 set forwarding-options dhcp-relay active-server-group dhcp-dot1x set forwarding-options dhcp-relay group all interface irb.100 set forwarding-options dhcp-relay group all interface irb.120 set forwarding-options dhcp-relay group all interface irb.130 set forwarding-options dhcp-relay group all interface irb.150 set firewall family ethernet-switching filter Internet_Only_Access term Allow_DHCP from destination-port 67 set firewall family ethernet-switching filter Internet_Only_Access term Allow_DHCP from destination-port 68 set firewall family ethernet-switching filter Internet_Only_Access term Allow_DHCP from ip-protocol udp set firewall family ethernet-switching filter Internet_Only_Access term Allow_DHCP then accept set firewall family ethernet-switching filter Internet_Only_Access term Allow_DNS from destination-port 53 set firewall family ethernet-switching filter Internet_Only_Access term Allow_DNS from ip-protocol udp set firewall family ethernet-switching filter Internet_Only_Access term Allow_DNS from ip-protocol tcp set firewall family ethernet-switching filter Internet_Only_Access term Block_Internal from ip-destination-address 192.168.0.0/16 set firewall family ethernet-switching filter Internet_Only_Access term Block_Internal then discard set firewall family ethernet-switching filter Internet_Only_Access term Allow_All then accept
Schritt-für-Schritt-Anleitung
Die allgemeinen Schritte zur Konfiguration des EX4300-Switches sind:
Konfigurieren Sie die Verbindung zum Aruba ClearPass Policy Manager.
Erstellen Sie das Zugriffsprofil, das vom 802.1X-Protokoll verwendet wird. Das Zugriffsprofil teilt dem 802.1X-Protokoll mit, welcher Authentifizierungsserver und welche Authentifizierungsmethoden verwendet werden sollen, sowie die Reihenfolge der Authentifizierungsmethoden.
Konfigurieren Sie das 802.1X-Protokoll.
Konfigurieren Sie die VLANs.
Konfigurieren Sie das Ethernet-Switching an den Zugriffsports.
Konfigurieren Sie integrierte Routing- und Bridging-Schnittstellen (IRB) und weisen Sie sie den VLANs zu.
Konfigurieren Sie DHCP-Relay so, dass DHCP-Pakete an Aruba ClearPass gesendet werden, damit dieses eine Geräteprofilerstellung durchführen kann.
Erstellen Sie die Firewallrichtlinie, die den Zugriff auf das interne Netzwerk blockiert.
So konfigurieren Sie den EX4300-Switch:
Geben Sie die Verbindungsinformationen des RADIUS-Servers an.
[edit access] user@Policy-EX4300-01# set radius-server 10.105.5.153 dynamic-request-port 3799 user@Policy-EX4300-01# set radius-server 10.105.5.153 secret password user@Policy-EX4300-01# set radius-server 10.105.5.153 source-address 10.105.5.91
Konfigurieren Sie das Zugriffsprofil.
[edit access] user@Policy-EX4300-01# set profile CP-Test-Profile accounting-order radius user@Policy-EX4300-01# set profile CP-Test-Profile authentication-order radius user@Policy-EX4300-01# set profile CP-Test-Profile radius authentication-server 10.105.5.153 user@Policy-EX4300-01# set profile CP-Test-Profile radius accounting-server 10.105.5.153 user@Policy-EX4300-01# set profile CP-Test-Profile radius options nas-identifier 10.105.5.91
Konfigurieren Sie 802.1X für die Verwendung von CP-Test-Profile und aktivieren Sie das Protokoll auf jeder Zugriffsschnittstelle. Konfigurieren Sie außerdem die Schnittstellen so, dass sie die MAC RADIUS-Authentifizierung unterstützen und mehr als einen Supplicant zulassen, von denen jeder einzeln authentifiziert werden muss.
Standardmäßig versucht der Switch zuerst, sich 802.1X zu authentifizieren. Wenn er keine EAP-Pakete vom Endpunkt empfängt, was darauf hinweist, dass der Endpunkt nicht über einen 802.1X-Supplicant verfügt, versucht er es mit der MAC RADIUS-Authentifizierung.
[edit protocols] user@Policy-EX4300-01# set dot1x authenticator authentication-profile-name CP-Test-Profile user@Policy-EX4300-01# set dot1x authenticator interface ge-0/0/6.0 mac-radius user@Policy-EX4300-01# set dot1x authenticator interface ge-0/0/6.0 supplicant multiple user@Policy-EX4300-01# set dot1x authenticator interface ge-0/0/8.0 mac-radius user@Policy-EX4300-01# set dot1x authenticator interface ge-0/0/8.0 supplicant multiple user@Policy-EX4300-01# set dot1x authenticator interface ge-0/0/22.0 mac-radius user@Policy-EX4300-01# set dot1x authenticator interface ge-0/0/22.0 supplicant multiple
Konfigurieren Sie die VLANs, die in diesem Beispiel verwendet werden.
[edit vlans] user@Policy-EX4300-01# set AP_VLAN vlan-id 130 user@Policy-EX4300-01# set IPPhone_VLAN vlan-id 120 user@Policy-EX4300-01# set Windows_VLAN vlan-id 150 user@Policy-EX4300-01# set v100 description "Remediation VLAN" user@Policy-EX4300-01# set v100 vlan-id 100
Beachten Sie, dass das VLAN auf dem Switch vorhanden sein muss, bevor die Authentifizierung versucht wird, damit die dynamische VLAN-Zuweisung funktioniert. Wenn das VLAN nicht vorhanden ist, schlägt die Authentifizierung fehl.
Konfigurieren Sie die Zugriffsports.
Jeder Zugriffsport ist so konfiguriert, dass er sich im VLAN v100, dem Wiederherstellungs-VLAN, befindet. Dieses VLAN wird vom Endpunkt verwendet, wenn Aruba ClearPass bei der Authentifizierung des Endpunkts keine dynamischen VLAN-Informationen sendet.
[edit interfaces] user@Policy-EX4300-01# set ge-0/0/6 unit 0 family ethernet-switching interface-mode access user@Policy-EX4300-01# set ge-0/0/6 unit 0 family ethernet-switching vlan members v100 user@Policy-EX4300-01# set ge-0/0/8 unit 0 family ethernet-switching interface-mode access user@Policy-EX4300-01# set ge-0/0/8 unit 0 family ethernet-switching vlan members v100 user@Policy-EX4300-01# set ge-0/0/22 unit 0 family ethernet-switching interface-mode access user@Policy-EX4300-01# set ge-0/0/22 unit 0 family ethernet-switching vlan members v100
Konfigurieren Sie IRB-Schnittstellen, und weisen Sie sie den VLANs zu.
[edit interfaces] user@Policy-EX4300-01# set irb unit 100 family inet address 10.10.100.1/24 user@Policy-EX4300-01# set irb unit 120 family inet address 10.10.120.1/24 user@Policy-EX4300-01# set irb unit 130 family inet address 10.10.130.1/24 user@Policy-EX4300-01# set irb unit 150 family inet address 10.10.150.1/24
[edit vlans] user@Policy-EX4300-01# set v100 l3-interface irb.100 user@Policy-EX4300-01# set IPPhone_VLAN l3-interface irb.120 user@Policy-EX4300-01# set AP_VLAN l3-interface irb.130 user@Policy-EX4300-01# set Windows_VLAN l3-interface irb.150
Konfigurieren Sie DHCP-Relay so, dass DHCP-Anforderungspakete an Aruba ClearPass weitergeleitet werden.
[edit forwarding-options] user@Policy-EX4300-01# set dhcp-relay server-group dhcp-dot1x 10.10.10.10 user@Policy-EX4300-01# set dhcp-relay server-group dhcp-dot1x 10.105.5.153 user@Policy-EX4300-01# set dhcp-relay active-server-group dhcp-dot1x user@Policy-EX4300-01# set dhcp-relay group all interface irb.100 user@Policy-EX4300-01# set dhcp-relay group all interface irb.120 user@Policy-EX4300-01# set dhcp-relay group all interface irb.130 user@Policy-EX4300-01# set dhcp-relay group all interface irb.150
Hinweis:In diesem Konfigurationsbeispiel werden Layer-3-Schnittstellen für die Endpunkt-VLANs auf dem Zugriffs-Switch konfiguriert, um die DHCP-Relay-Konfiguration zu demonstrieren. In einer typischen Unternehmensbereitstellung werden die Layer-3-Schnittstellen für die Endpunkt-VLANs jedoch auf einem Aggregations- oder Core-Layer-Switch konfiguriert. In einer solchen Bereitstellung sollte das DHCP-Relay auf dem Aggregations- oder Core-Switch so konfiguriert werden, dass die DHCP-Anforderungen von den Endpunkten an Aruba ClearPass weitergeleitet werden.
Konfigurieren Sie Internet_Only_Access einen Firewallfilter, der für Geräte verwendet werden soll, die durch die MAC RADIUS-Authentifizierung authentifiziert, aber noch kein Profil erstellt wurden.
Dieser Filter blockiert den Zugriff eines Endpunkts auf das interne Netzwerk (192.168.0.0/16).
[edit firewall] user@Policy-EX4300-01# set family ethernet-switching filter Internet_Only_Access term Allow_DHCP from destination-port 67 user@Policy-EX4300-01# set family ethernet-switching filter Internet_Only_Access term Allow_DHCP from destination-port 68 user@Policy-EX4300-01# set family ethernet-switching filter Internet_Only_Access term Allow_DHCP from ip-protocol udp user@Policy-EX4300-01# set family ethernet-switching filter Internet_Only_Access term Allow_DHCP then accept user@Policy-EX4300-01# set family ethernet-switching filter Internet_Only_Access term Allow_DNS from destination-port 53 user@Policy-EX4300-01# set family ethernet-switching filter Internet_Only_Access term Allow_DNS from ip-protocol udp user@Policy-EX4300-01# set family ethernet-switching filter Internet_Only_Access term Allow_DNS from ip-protocol tcp user@Policy-EX4300-01# set family ethernet-switching filter Internet_Only_Access term Block_Internal from ip-destination-address 192.168.0.0/16 user@Policy-EX4300-01# set family ethernet-switching filter Internet_Only_Access term Block_Internal then discard user@Policy-EX4300-01# set family ethernet-switching filter Internet_Only_Access term Allow_All then accept
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die folgenden show Befehle eingeben.
user@Policy-EX4300-01# show access
radius-server {
10.105.5.153 {
dynamic-request-port 3799;
secret "$9$FYxf3A0Ehrv87yl7Vs4DjfTz3Ct0BIcre"; ## SECRET-DATA
source-address 10.105.5.91;
}
}
profile CP-Test-Profile {
accounting-order radius;
authentication-order radius;
radius {
authentication-server 10.105.5.153;
accounting-server 10.105.5.153;
options {
nas-identifier 10.105.5.91;
}
}
}
user@Policy-EX4300-01# show protocols
dot1x {
authenticator {
authentication-profile-name CP-Test-Profile;
interface {
ge-0/0/6.0 {
supplicant multiple;
mac-radius;
}
ge-0/0/8.0 {
supplicant multiple;
mac-radius;
}
ge-0/0/22.0 {
supplicant multiple;
mac-radius;
}
}
}
}
user@Policy-EX4300-01# show interfaces
ge-0/0/6 {
unit 0 {
family ethernet-switching {
vlan {
members v100;
}
}
}
}
ge-0/0/8 {
unit 0 {
family ethernet-switching;
vlan {
members v100;
}
}
}
}
ge-0/0/22 {
unit 0 {
family ethernet-switching {
vlan {
members v100;
}
}
}
}
irb {
unit 100 {
family inet {
address 10.10.100.1/24;
}
}
unit 120 {
family inet {
address 10.10.120.1/24;
}
}
unit 130 {
family inet {
address 10.10.130.1/24;
}
}
unit 150 {
family inet {
address 10.10.150.1/24;
}
}
}
user@Policy-EX4300-01# show vlans
AP_VLAN {
vlan-id 130;
l3-interface irb.130;
}
IPPhone_VLAN {
vlan-id 120;
l3-interface irb.120;
}
Windows_VLAN {
vlan-id 150;
l3-interface irb.150;
}
v100 {
description "Remediation VLAN";
vlan-id 100;
l3-interface irb.100;
}
user@Policy-EX4300-01# show forwarding-options
dhcp-relay {
server-group {
dhcp-dot1x {
10.10.10.10;
10.105.5.153;
}
}
active-server-group dhcp-dot1x;
group all {
interface irb.100;
interface irb.120;
interface irb.130;
interface irb.150;
}
}
user@Policy-EX4300-01# show firewall
family ethernet-switching {
filter Internet_Only_Access {
term Allow_DHCP {
from {
destination-port [ 67 68 ];
ip-protocol udp;
}
then accept;
}
term Allow_DNS {
from {
destination-port 53;
ip-protocol [ udp tcp ];
}
}
term Block_Internal {
from {
ip-destination-address {
192.168.0.0/16;
}
}
then discard;
}
term Allow_All {
then accept;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Konfigurieren von Aruba ClearPass Policy Manager
Schritt-für-Schritt-Anleitung
Die allgemeinen Schritte zur Konfiguration von Aruba ClearPass sind:
Aktivieren Sie die Geräteprofilerstellung.
Ändern Sie die RADIUS-Wörterbuchdatei von Juniper Networks so, dass sie einige zusätzliche Juniper Networks RADIUS-Attribute enthält, die in diesem Konfigurationsbeispiel verwendet werden.
Fügen Sie den EX4300 als Netzwerkgerät hinzu.
Stellen Sie sicher, dass das für die 802.1X-PEAP-Authentifizierung verwendete Serverzertifikat installiert wurde.
Fügen Sie den lokalen Benutzer hinzu, der in diesem Beispiel für die 802.1X-Authentifizierung verwendet wird.
Erstellen Sie die folgenden Durchsetzungsprofile:
Employee_Windows_Profile, das die Endgeräte in VLAN 150 platziert.
IPPhone_Profile, das VLAN 120 als VoIP-VLAN definiert.
AccessPoint_Profile, der die Endgeräte in VLAN 130 platziert.
Internet_Access_Only_Profile, die angibt, dass der Firewallfilter für Geräte verwendet werden Internet_Only_Access, für die noch kein Profil erstellt wurde.
Erstellen Sie zwei Durchsetzungsrichtlinien:
Eine Richtlinie, die aufgerufen wird, wenn die MAC RADIUS-Authentifizierung verwendet wird.
Eine Richtlinie, die aufgerufen wird, wenn die 802.1X-Authentifizierung verwendet wird.
Definieren Sie den MAC RADIUS-Authentifizierungsdienst und den 802.1X-Authentifizierungsdienst.
Stellen Sie sicher, dass der MAC RADIUS-Authentifizierungsdienst vor dem 802.1X-Authentifizierungsdienst ausgewertet wird.
So konfigurieren Sie Aruba ClearPass:
Aktivieren Sie die Geräteprofilerstellung.
Schritt-für-Schritt-Anleitung
Klicken Sie unter Administration > Server Manager > Serverkonfiguration auf den Namen des Aruba ClearPass-Servers.
Klicken Sie auf der Registerkarte System auf Diesen Server für die Endpunktklassifizierung aktivieren.
Aktualisieren Sie die RADIUS-Wörterbuchdatei von Juniper Networks.
Eine RADIUS-Wörterbuchdatei von Juniper Network ist auf Aruba ClearPass vorinstalliert. Junos OS Version 15.1R3 für Switches der EX-Serie bietet Unterstützung für drei neue VSAs von Juniper Networks, die der Wörterbuchdatei hinzugefügt werden müssen.
Schritt-für-Schritt-Anleitung
Navigieren Sie in Aruba ClearPass zu Administration > Dictionaries > RADIUS.
Verwenden Sie im Fenster RADIUS-Wörterbücher das Feld Filter, um unter Herstellername nach Juniper zu suchen.
Klicken Sie auf den Namen des Juniper-Wörterbuchs und dann auf Exportieren , und speichern Sie die RadiusDictionary.xml Datei auf Ihrem Desktop.
Kopieren Sie die folgenden drei Attribute, fügen Sie sie in RadiusDictionary.xmlein, und speichern Sie die Datei.
<Attribute profile="in out" type="String" name="Juniper-CWA-Redirect-URL" id="50" /> <Attribute profile="in out" type="String" name="Juniper-Switching-Filter" id="48" /> <Attribute profile="in out" type="String" name="Juniper-VoIP-Vlan" id="49" />
Die Wörterbuchdatei sollte nach Abschluss des Einfügens wie folgt aussehen:
Importieren Sie die Datei in Aruba ClearPass, indem Sie RadiusDictionary.xml in das Fenster RADIUS-Wörterbücher klicken
und zu der Datei navigieren.
Nachdem Sie die Datei importiert haben, sollte die Juniper-Wörterbuchdatei wie folgt aussehen:
Fügen Sie den Switch EX4300 als Netzwerkgerät hinzu.
Schritt-für-Schritt-Anleitung
Klicken Sie unter Configuration > Network > Devices (Konfiguration Netzwerk- Geräte auf Hinzufügen.
Geben Sie auf der Registerkarte Gerät den Hostnamen und die IP-Adresse des Switches sowie den gemeinsamen geheimen RADIUS-Schlüssel ein, den Sie auf dem Switch konfiguriert haben. Legen Sie das Feld "Name des Anbieters" auf " Juniper" fest.
Stellen Sie sicher, dass ein Serverzertifikat für die 802.1X PEAP-Authentifizierung vorhanden ist.
Vergewissern Sie sich unter Administration > Certificates > Server Certificate, dass auf Aruba ClearPass ein gültiges Serverzertifikat installiert ist. Wenn dies nicht der Fall ist, fügen Sie ein gültiges Serverzertifikat hinzu. In der Aruba ClearPass-Dokumentation und bei Ihrer Zertifizierungsstelle finden Sie weitere Informationen zum Abrufen von Zertifikaten und zum Importieren in ClearPass.
Fügen Sie dem lokalen Benutzer-Repository einen Testbenutzer hinzu.
Dieser Benutzer wird verwendet, um die 802.1X-Authentifizierung zu überprüfen.
Schritt-für-Schritt-Anleitung
Klicken Sie unter Konfiguration > Identität > lokale Benutzer auf Hinzufügen.
Geben Sie im Fenster "Lokalen Benutzer hinzufügen" die Benutzer-ID (usertest1), den Benutzernamen (Testbenutzer) und das Kennwort ein. Wählen Sie dann Mitarbeiter als Benutzerrolle aus. Wählen Sie unter Attribute das Attribut " Abteilung " aus, und geben Sie unter "Wert" den Text " Finanzen" ein.
Konfigurieren Sie ein Erzwingungsprofil für Windows-Laptops oder -Desktops von Mitarbeitern, die sich mit 802.1X authentifizieren.
Dieses Profil platziert die Endpunkte in VLAN 150.
Schritt-für-Schritt-Anleitung
Klicken Sie unter Configuration > Enforcement > Profiles auf Add.
Legen Sie auf der Registerkarte Profil Vorlage auf RADIUS-basierte Erzwingung fest, und geben Sie den Profilnamen Employee_Windows_Profile in das Feld Name ein.
Konfigurieren Sie auf der Registerkarte Attribute die Attribute wie gezeigt.
Konfigurieren Sie ein Access Point-Erzwingungsprofil, das Access Points in VLAN 130 platziert.
Verwenden Sie zum Erstellen dieses Profils die gleiche grundlegende Vorgehensweise wie im vorherigen Schritt. Nachdem Sie das Profil ausgefüllt haben, werden die Informationen auf der Registerkarte Zusammenfassung wie gezeigt angezeigt.
Konfigurieren Sie ein Erzwingungsprofil für IP-Telefone.
Dieses Profil weist Aruba ClearPass an, VLAN 120 als VLAN zurückzugeben, das als VoIP-VLAN verwendet werden soll. Das RADIUS-Wörterbuch von Juniper Networks definiert ein spezielles RADIUS-Attribut, das für diesen Zweck verwendet werden soll. Wählen Sie RADIUS-Juniper als Attributtyp und Juniper-VoIP-VLAN als Attributnamen aus.
Nachdem Sie das Profil ausgefüllt haben, werden die Informationen auf der Registerkarte Zusammenfassung wie gezeigt angezeigt.
Konfigurieren Sie ein Durchsetzungsprofil nur für den Internetzugriff.
Dieses Durchsetzungsprofil weist Aruba ClearPass an, den Namen des Firewall-Filters Internet_Only_Access zurückzugeben, d. h. den Firewall-Filter, den Sie auf dem Switch konfiguriert haben, der den Zugriff auf das interne Netzwerk blockiert. Nachdem Sie dieses Profil ausgefüllt haben, werden die Informationen auf der Registerkarte Zusammenfassung wie gezeigt angezeigt.
Konfigurieren Sie die Richtlinie zur Durchsetzung der MAC RADIUS-Authentifizierung.
Für Endgeräte, die durch MAC RADIUS-Authentifizierung authentifiziert werden, weist diese Richtlinie Aruba ClearPass an, Durchsetzungsrichtlinien entsprechend dem Geräteprofil anzuwenden. Die AccessPoint_Profile wird auf Endpunkte angewendet, die als Access Points profiliert sind, und die IPPhone_Profile wird auf Endpunkte angewendet, die als VoIP-Telefone profiliert sind. Die vordefinierte Durchsetzungsrichtlinie "Zugriffsprofil verweigern" wird auf Endpunkte angewendet, die als Windows-Geräte profiliert sind. Dadurch wird die Zugriffsrichtlinie der Organisation erzwungen, dass nur Laptops mit einem 802.1X-Supplicant Zugriff auf das Netzwerk erhalten. Für alle anderen Endpunkte, einschließlich Endpunkten, für die noch kein Profil erstellt wurde, wird das Internet_Access_Only Profil angewendet.
Schritt-für-Schritt-Anleitung
Klicken Sie unter Configuration > Enforcement > Policies auf Add.
Geben Sie auf der Registerkarte Erzwingung den Namen der Richtlinie (Juniper-MAC-Auth-Policy) ein, und legen Sie Standardprofil auf Internet_Access_Only fest.
Klicken Sie auf der Registerkarte Regeln auf Regel hinzufügen , und fügen Sie die angezeigten Regeln hinzu.
Sie müssen die Regeln nacheinander hinzufügen, indem Sie auf Speichern klicken, bevor Sie die nächste Regel erstellen.
Konfigurieren Sie die 802.1X-Erzwingungsrichtlinie.
Diese Richtlinie weist Aruba ClearPass an, das Employee_Windows_Profile Durchsetzungsprofil zu verwenden, wenn ein Benutzer erfolgreich als Mitglied der Finanzabteilung authentifiziert wurde.
Schritt-für-Schritt-Anleitung
Klicken Sie unter Configuration > Enforcement > Policies auf Add.
Geben Sie auf der Registerkarte Erzwingung den Namen der Richtlinie (Juniper_Dot1X_Policy) ein, und legen Sie Standardprofil auf [Zugriffsprofil zulassen] fest. (Dies ist ein vordefiniertes Profil.)
Klicken Sie auf der Registerkarte Regeln auf Regel hinzufügen, und fügen Sie die angezeigte Regel hinzu.
Konfigurieren Sie den MAC RADIUS-Authentifizierungsdienst.
Die Konfiguration für diesen Dienst führt dazu, dass die MAC RADIUS-Authentifizierung ausgeführt wird, wenn das empfangene Attribut "RADIUS-Benutzername" und das empfangene Attribut "Client-MAC-Adresse" denselben Wert aufweisen.
Schritt-für-Schritt-Anleitung
Klicken Sie unter Configuration > Services (Konfiguration Dienste) auf Add (Hinzufügen).
Füllen Sie auf der Registerkarte Dienste die Felder wie gezeigt aus. Stellen Sie sicher, dass Sie die Option Profilendpunkte auswählen.
Gehen Sie auf der Registerkarte Authentifizierung wie folgt vor:
Löschen Sie [ MAC AUTH ] aus der Liste der Authentifizierungsmethoden, und fügen Sie der Liste [EAP MD5] hinzu.
Wählen Sie [ Endpunkt-Repository] [Lokale SQL-Datenbank] in der Liste Authentifizierungsquellen aus.
Wählen Sie auf der Registerkarte Erzwingung die Option Juniper-MAC-Auth-Policy aus.
Gehen Sie auf der Registerkarte Profiler wie folgt vor:
Fügen Sie Computer, VoIP-Telefon, Access Points zur Liste der Endpunktklassifizierungen hinzu.
Wählen Sie [Juniper Sitzung beenden] aus der Liste RADIUS-CoA-Aktion aus.
Diese Konfiguration bewirkt, dass Endpunkte eine erneute Authentifizierung durchlaufen, nachdem sie ein Profil erstellt und dem Endpunkt-Repository hinzugefügt wurden. Bevor für einen Endpunkt ein Profil erstellt wird, ist das Internet_Access_Only_Profile Erzwingungsprofil für die authentifizierte Benutzersitzung wirksam. (Dieses Profil ist das Standardprofil für die MAC-Authentifizierungsrichtlinie, die in Schritt 10 konfiguriert wurde.) Nachdem Aruba ClearPass ein Gerät erfolgreich klassifiziert hat, sendet es ein RADIUS-CoA an den Switch, wodurch der Switch die Sitzung beendet. Der Switch versucht dann, den Endpunkt erneut zu authentifizieren. Da sich das Geräteprofil des Endpunkts jetzt im Endpunkt-Repository befindet, wird bei der Authentifizierung des Endpunkts das entsprechende Geräteerzwingungsprofil angewendet.
Konfigurieren Sie den 802.1X-Authentifizierungsdienst.
Schritt-für-Schritt-Anleitung
Klicken Sie unter Configuration > Services (Konfiguration Dienste) auf Add (Hinzufügen).
Füllen Sie auf der Registerkarte Service die Felder wie gezeigt aus.
Legen Sie auf der Registerkarte Authentifizierung Authentifizierungsquellen auf [ Lokales Benutzerrepository][Lokale SQL-Datenbank] fest.
Legen Sie auf der Registerkarte Erzwingung die Erzwingungsrichtlinie auf Juniper_Dot1X_Policy fest.
Stellen Sie sicher, dass die MAC RADIUS-Authentifizierungsdienstrichtlinie vor der 802.1X-Authentifizierungsdienstrichtlinie ausgewertet wird.
Da Aruba ClearPass so konfiguriert ist, dass MAC RADIUS-Authentifizierungsanforderungen erkannt werden, indem das Attribut "RADIUS-Benutzername" und das Attribut "Client-MAC-Adresse" denselben Wert haben, ist es effizienter, zuerst die MAC RADIUS-Dienstrichtlinie auswerten zu lassen.
Vergewissern Sie sich im Hauptfenster Services, dass Juniper-MAC-Auth-Policy in der Liste der Services vor Juniper-MAC_Dot1X_Policy angezeigt wird, wie gezeigt. Ist dies nicht der Fall, klicken Sie auf Neu anordnen und Juniper-MAC-Auth-Policy über Juniper-MAC_Dot1X_Policy verschieben.
Überprüfung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Verifizieren der 802.1X-Authentifizierung auf dem EX4300-Switch
- Überprüfen der Access Point-Authentifizierung auf dem EX4300-Switch
- Überprüfen der VoIP-Telefon- und Nicht-Unternehmens-Laptop-Authentifizierung auf dem EX4300-Switch
- Überprüfen des Status von Authentifizierungsanforderungen in Aruba ClearPass Policy Manager
Verifizieren der 802.1X-Authentifizierung auf dem EX4300-Switch
Zweck
Stellen Sie sicher, dass der Testbenutzer usertest1 authentifiziert und im richtigen VLAN platziert wird.
Um dieses Verfahren ausführen zu können, benötigen Sie ein Windows-Gerät mit einem aktiven 802.1X-Supplicant, der die Authentifizierungsinformationen für usertest1 übergibt. Informationen zum Konfigurieren eines Windows 7-Supplicants für die 802.1X PEAP-Authentifizierung finden Sie unter Konfigurieren der 802.1X PEAP- und MAC RADIUS-Authentifizierung mit Switches der EX-Serie und Aruba ClearPass Policy Manager.
Aktion
Verbinden Sie den Windows 7-Laptop mit ge-0/0/22 auf dem EX4300-Switch.
Geben Sie auf dem Switch den folgenden Befehl ein:
user@Policy-EX4300-01> show dot1x interface ge-0/0/22.0 802.1X Information: Interface Role State MAC address User ge-0/0/22.0 Authenticator Authenticated 00:50:56:9B:03:7F usertest1Für weitere Details, einschließlich der dynamischen VLAN-Zuweisung, geben Sie Folgendes ein:
user@Policy-EX4300-01> show dot1x interface ge-0/0/22.0 detail ge-0/0/22.0 Role: Authenticator Administrative state: Auto Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: not configured Number of connected supplicants: 1 Supplicant: usertest1, 00:50:56:9B:03:7F Operational state: Authenticated Backend Authentication state: Idle Authentication method: Radius Authenticated VLAN: Windows_VLAN Session Reauth interval: 3600 seconds Reauthentication due in 2682 seconds Session Accounting Interim Interval: 600 seconds Accounting Update due in 282 secondsDie Ausgabe zeigt, dass usertest1 erfolgreich authentifiziert und in Windows_VLAN VLAN platziert wurde.
Überprüfen der Access Point-Authentifizierung auf dem EX4300-Switch
Zweck
Stellen Sie sicher, dass der Access Point erfolgreich authentifiziert und im richtigen VLAN platziert wurde.
Aktion
Verbinden Sie einen Access Point mit ge-0/0/6 auf dem EX4300-Switch.
Geben Sie auf dem Switch den folgenden Befehl ein:
user@Policy-EX4300-01> show dot1x interface ge-0/0/6 ge-0/0/6.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Enabled Mac Radius Restrict: Disabled Mac Radius Authentication Protocol: EAP-MD5 Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: not configured Number of connected supplicants: 1 Supplicant: c46413c07cda, C4:64:13:C0:7C:DA Operational state: Authenticated Backend Authentication state: Idle Authentication method: Mac Radius Authenticated VLAN: AP_VLAN Session Reauth interval: 3600 seconds Reauthentication due in 1669 seconds Session Accounting Interim Interval: 600 seconds Accounting Update due in 379 secondsDie Ausgabe zeigt, dass der Access Point authentifiziert und im AP_VLAN-VLAN platziert wurde.
Überprüfen der VoIP-Telefon- und Nicht-Unternehmens-Laptop-Authentifizierung auf dem EX4300-Switch
Zweck
Vergewissern Sie sich, dass das VoIP-Telefon erfolgreich authentifiziert wurde und dass der unternehmensfremde Laptop nicht authentifiziert wurde.
Aktion
Verbinden Sie ein VoIP-Telefon mit ge-0/0/8 auf dem EX4300-Switch und verbinden Sie einen Laptop ohne aktivierten 802.1X-Supplicant mit dem Ethernet-Port des Telefons.
Um den Authentifizierungsstatus der Geräte zu überprüfen, geben Sie den folgenden Befehl auf dem Switch ein:
user@Policy-EX4300-01> show dot1x interface ge-0/0/8 ge-0/0/8.0 Role: Authenticator Administrative state: Auto Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Enabled Mac Radius Restrict: Disabled Mac Radius Authentication Protocol: EAP-MD5 Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: not configured Number of connected supplicants: 2 Supplicant: 08173515ec53, 08:17:35:15:EC:53 Operational state: Authenticated Backend Authentication state: Idle Authentication method: Mac Radius Authenticated VLAN: IPPhone_VLAN Session Reauth interval: 3600 seconds Reauthentication due in 3591 seconds Session Accounting Interim Interval: 600 seconds Accounting Update due in 591 seconds Supplicant: No User, D0:67:E5:50:E3:DD Operational state: Connecting Backend Authentication state: Idle Authentication method: None Session Reauth interval: 0 seconds Reauthentication due in 0 seconds Session Accounting Interim Interval: 600 seconds Accounting Update due in 0 secondsDie Ausgabe zeigt, dass zwei Supplicants an den Port angeschlossen sind, die jeweils durch die MAC-Adresse identifiziert werden. Das VoIP-Telefon wurde erfolgreich authentifiziert und in IPPhone_VLAN platziert. Der Laptop befindet sich in einem Verbindungszustand, nicht in einem authentifizierten Zustand, was darauf hinweist, dass die Authentifizierung fehlgeschlagen ist.
Geben Sie den folgenden Befehl ein, um zu überprüfen, ob IPPhone_VLAN VLAN als VoIP-VLAN zugewiesen wurde:
user@Policy-EX4300-01> show ethernet-switching interface ge-0/0/8 Routing Instance Name : default-switch Logical Interface flags (DL - disable learning, AD - packet action drop, LH - MAC limit hit, DN - interface down, MMAS - Mac-move action shutdown, SCTL - shutdown by Storm-control ) Logical Vlan TAG MAC STP Logical Tagging interface members limit state interface flags ge-0/0/8.0 65535 tagged,untagged default 1 65535 Forwarding untagged IPPhone_VLAN 120 65535 Forwarding tagged
IPPhone_VLAN wird als getaggtes VLAN angezeigt, was darauf hinweist, dass es sich um das VoIP-VLAN handelt.
Überprüfen des Status von Authentifizierungsanforderungen in Aruba ClearPass Policy Manager
Zweck
Stellen Sie sicher, dass die Endgeräte korrekt authentifiziert werden und dass die richtigen RADIUS-Attribute zwischen dem Switch und Aruba ClearPass ausgetauscht werden.
Aktion
Gehen Sie zu Monitoring > Live Monitoring > Access Tracker, um den Status der Authentifizierungsanforderungen anzuzeigen.
Der Access Tracker überwacht Authentifizierungsanfragen, sobald sie auftreten, und berichtet über ihren Status.
Um weitere Details zu einer bestimmten Authentifizierungsanfrage zu erhalten, klicken Sie auf die Anfrage.
Klicken Sie auf die Registerkarte Ausgabe , um die RADIUS-Attribute zu überprüfen, die Aruba ClearPass für diese Anforderung an den Switch zurückgesendet hat.
Bedeutung
Die Authentifizierungsanforderung vom IP-Telefon war erfolgreich und die korrekten Informationen über das VoIP-VLAN wurden an den Switch zurückgegeben.