Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Konfiguration farbloser Ports auf Switches der EX-Serie mit Aruba ClearPass Policy Manager und Cisco ISE

Ab Junos OS Version 20.4R1 unterstützen EX-Switches farblose Ports. Farblose Ports werden in Verbindung mit der Geräteprofilerstellung mit beliebigen standardbasierten RADIUS-Servern verwendet und wandeln einen Zugriffsport in einen Trunk-Port um und ermöglichen die erforderlichen VLANs mit dem erforderlichen Tagging. Für den Fall, dass einige der VLANs auf dem Switch fehlen, hilft diese Funktion bei der dynamischen Erstellung dieser fehlenden VLANs auf dem Switch.

MAC Auth Bypass (MAB) wird häufig als Failthrough für Headless-, nicht 802.1X-fähige und ältere Geräte sowie für Gastbenutzer verwendet. MAB wird oft mit 802.1X und Captive Portal als Teil einer farblosen Portkonfiguration kombiniert, die jeden Benutzer und Gerätetyp mit einer einzigen Portkonfiguration unterstützt.

Aruba ClearPass ist ein herstellerübergreifendes Produkt, das standardbasierte Protokolle und Technologien sowie die Flexibilität nutzt, anbieterspezifische Switch-Funktionen für die Durchsetzung von Richtlinien zu unterstützen.

Radius IETF-Attribut Egress-VLANID wird für VLANs mit Tag-Funktionalität verwendet. Jeder standardbasierte Radius-Server kann mehrere getaggte VLANs mit dem Radius-Attribut Egress-VLANID oder Egress-VLAN-Name für getaggte Pakete gemäß RFC 4675 senden.

Das Attribut Egress-VLANID oder Egress-VLAN-Name besteht aus zwei Teilen. Der erste Teil gibt an, ob Frames auf dem VLAN für diesen Port im Tagged oder Untagged Format dargestellt werden sollen, der zweite Teil ist der VLAN-Name. Zum Beispiel:

Hinweis:

Egress-VLAN-Name ähnelt dem Attribut Egress-VLANID , mit der Ausnahme, dass die VLAN-ID selbst nicht angegeben oder bekannt ist. Vielmehr wird der VLAN-Name verwendet, um das VLAN innerhalb des Systems zu identifizieren.

Beispiele:

  • Für das Attribut Egress-VLANID:

  • Für das Attribut Egress-VLAN-Name:

  • Für ein Beispielradiusprofil:

Mit Junos OS Version 20.3R1 haben wir den neuen VSA Supplicant-Mode-Single oder Supplicant-Mode-Single-secure mit dem Attribut Juniper-AV-Pair hinzugefügt. Dies wird verwendet, um den Supplicant-Modus von dot1x einzustellen.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten für die Richtlinieninfrastruktur verwendet:

  • EX4300-, EX2300-, EX3400-Switch mit Junos OS Version 20.4R1 oder früher

  • Aruba ClearPass Policy Manager mit 6.9.0.130064

Übersicht und Topologie

Der VLAN-Name wird in einer farblosen Port-Bereitstellung dringend empfohlen, da er die Notwendigkeit für den Radius-Server beseitigt, für jeden Switch eine VLAN-zu-Funktions-Zuordnung zu verwalten. Dies vereinfacht die Erstellung, Verwaltung und Fehlerbehebung von Richtlinien.

Beispielsweise kann jeder Switch eine andere VLAN-ID für den "sicheren Zugriff" verwenden. Anstatt eine komplexe Richtlinie im Radius schreiben zu müssen, um die richtige VLAN-ID für jeden Switch zurückzugeben, geben wir einfach der entsprechenden VLAN-ID auf jedem Switch einen Namen. zum Beispiel "SECURE". Auf Ihrem Radius-Server geben Sie einfach eine VLAN-Erzwingung mit "SECURE" als VLAN-ID zurück, und jeder Switch verwendet die entsprechende VLAN-ID, die lokal auf dem Switch zugeordnet ist.

Hinweis:

In ClearPass 6.6.X und früheren Versionen müssen die vordefinierten dynamischen Autorisierungsprofile von Juniper mit Juniper-Switches verwendet werden.

Abbildung 1 zeigt die in diesem Beispiel verwendete Topologie.

Abbildung 1: In diesem Beispiel Basic network setup diagram with a Network Access Server connected to an EX Series Switch, which links a security camera, desktop computer, and VoIP phone. The switch connects via a trunk line to a device and a Wireless Access Point, providing wireless access to laptops. verwendete Topologie

Hier ist das Beispielprofil in einem RADIUS-Server, um den Port zu konvertieren, sobald die Geräteprofilerstellung aktiviert ist und wir einen MIST-AP in einen Trunk-Port mit VLAN 130 als nativem VLAN erkennen und die restlichen VLANs (121.131.151.102) zulassen.

Network configuration for VLAN assignments with EAP authentication and cleartext password. Includes VLAN IDs 130 unassigned, 121 tagged, 131, 151, and 102 using hexadecimal values.

Vorgehensweise

Schritt-für-Schritt-Anleitung

Gehen Sie wie folgt vor, um farblose Ports auf Switches der EX-Serie mit dem Aruba ClearPass-Richtlinienmanager und Cisco ISE zu konfigurieren:

  1. Example of an Enforcement Profile in Aruba ClearPass / ISE– Wenn Sie das Attribut Egress-VLANID verwenden, erfordert ClearPass die Eingabe eines Dezimalwerts für den Wert Egress-VLANID, sodass Sie die gewünschten Hexadezimalwerte in Dezimalwerte konvertieren müssen. Siehe z. B. Eintrag 4 in den Durchsetzungsprofilen, für VLAN 130, um die Markierung aufzuheben. Der Hexadezimalwert hierfür ist 0x3200082. Das Konvertieren des Hexadezimalwerts in einen Dezimalwert ergibt 52428930.

    Hinweis:

    Um den Hexadezimalwert schnell in einen Dezimalwert umzuwandeln, verwenden Sie das auf Websites verfügbare Konvertierungsanwendungstool.
    Abbildung 2: Durchsetzungsprofile RADIUS attributes table with columns for Type, Name, and Value. Shows attributes like Tunnel-Type VLAN 13, Tunnel-Medium-Type IEEE-802 6, Juniper-AV-Pair Supplicant-Mode-Single, and multiple Egress-VLANIDs.

    Wenn der Switchport für Supplicant Mode Multiple konfiguriert ist, müssen Sie auch das Juniper-AV-Pair Supplicant-Mode-Single oder Supplicant-Mode-Single-Secure in Ihrer RADIUS-Antwort zurückgeben. Die Attribute Egress-VLANID und Egress-VLAN-NAME können nicht mit dem Supplicant-Modus von Multiple verwendet werden.

  2. Unter Durchsetzungsprofile - Egress-VLAN-NAME können Sie sehen, wie Sie das Attribut Egress-VLAN-NAME anstelle des Attributs Egress-VLANID verwenden.

    Abbildung 3: Durchsetzungsprofile – Egress-VLAN-NAME RADIUS configuration table with columns: Type, Name, Value. Attributes include Tunnel-Type, Juniper-AV-Pair, VLAN names like 2AP, 1IP-PHONE-WIRELESS.
    Hinweis:

    Sie müssen dem VLAN-Namen 1 zuweisen, um "markiert" anzuzeigen, oder 2, um anzuzeigen, dass er nicht markiert ist. Bei den Werten wird zwischen Groß- und Kleinschreibung unterschieden.

  3. Example for Cisco ISE

    Abbildung 4: Cisco ISE Cisco ISE interface showing Authorization Profile ex-port-test with ACCESS_ACCEPT and Juniper_Wired profile. Egress-VLANID and Tunnel attributes configured.
    Abbildung 5: Aruba ClearPass-Profilerstellung Network management interface showing RADIUS server response details with VLANID values, Tunnel-Type 13, and Supplicant-Mode-Single.
    Abbildung 6: Konfigurieren von VLANs und Port Network access control interface showing session details including session identifier, timestamp, device MAC address, username, device IP port, authentication method and role.

Verifizierung

Überprüfung am Switch-Port

Zweck

Verwenden Sie den show dot1x interface ge-0/0/6 detail Befehl, um die Konfiguration am Switch-Port zu überprüfen.

Aktion

Überprüfung der am Switch-Port erstellten VLANs

Zweck

Verwenden Sie den show vlans folgenden Befehl, um die am Switch-Port erstellten VLANs zu überprüfen.

Aktion

Ethernet-Switching für Ausgangs-VLAN

Zweck

Verwenden Sie den folgenden Befehl show ethernet-switching interface ge-0/0/6.0 , um die Ethernet-Switching-Tabelle für die Liste des Ausgangs-VLAN zu überprüfen.

Aktion