AUF DIESER SEITE
Konfigurieren der Geräteprofilerstellung für eine dynamische Segmentierung mit Switches der EX-Serie und Aruba ClearPass Policy Manager
Die dynamische Segmentierung bietet die Flexibilität der Zuweisung kabelgebundener Ports auf EX-Switches mit dynamischen VLANs und Richtlinien zur Segmentierung des Internets der Dinge (IoT), des Access Point-Datenverkehrs und des kabelgebundenen Benutzerdatenverkehrs. Aruba ClearPass kann Netzwerkzugriffsrichtlinien für die kabelgebundene und drahtlose Steuerung zentral verwalten und durchsetzen.
Die Mikrosegmentierung wird erreicht, indem dynamische Firewall-Filter auf die kabelgebundenen Ports angewendet werden, sobald wir das Gerät erfolgreich authentifiziert haben, um den Ost-West-Datenverkehr zu steuern. Mit dynamischen Filtern können wir ein Kameranetzwerk so steuern, dass es nur mit dem gesicherten Kameraaufzeichnungsserver oder einigen dedizierten Terminals kommuniziert, die von Sicherheitspersonal verwendet werden. In ähnlicher Weise können wir Firewall-Filter auf das IP-Telefonnetzwerk anwenden, um die Kommunikation zwischen IP-Telefonen und dem Anrufmanager-Server im Netzwerk zu ermöglichen.
Dieses Konfigurationsbeispiel veranschaulicht, wie Sie die Funktionen der Switches der EX-Serie und des Aruba ClearPass Policy Manager verwenden, um Geräteprofilerstellung als Teil des Endpunktauthentifizierungsprozesses durchzuführen.
In diesem Beispiel verfügt eine Organisation über vier Arten von Endpunkten in ihrer kabelgebundenen Infrastruktur, für die sie Zugriffsrichtlinien definiert hat:
-
Access points- Endpunkte, die als Access Points profiliert sind, erhalten Zugriff auf das Netzwerk und werden dynamisch dem AP_VLAN VLAN zugewiesen.
-
IP phones– Endpunkte, die als IP-Telefone profiliert sind, erhalten Zugriff auf das Netzwerk. Das IPPhone_VLAN wird dynamisch als VoIP-VLAN zugewiesen.
-
Corporate laptops– Endpunkte, die über einen 802.1X-Supplicant verfügen, werden durch die Benutzeranmeldeinformationen authentifiziert. Nachdem sich der Benutzer erfolgreich authentifiziert hat, erhält der Laptop Zugriff auf das Netzwerk und wird in das Employee_VLAN VLAN aufgenommen.
-
Camera /IOT Devices—Kamera- und IOT-Geräte, die über oder ohne 802.1x-Supplicants verfügen, können dem Netzwerk hinzugefügt und Zugriff auf das Camera_IOT_VLAN-VLAN gewährt werden.
-
Noncorporate laptops/Tablets– Endpunkte, die nicht über einen 802.1X-Supplicant verfügen und die als unternehmensfremde Geräte profiliert sind, erhalten nur Internetzugang
Tabelle 1 zeigt die definierten Werte der Zugriffsrichtlinien für kabelgebundene, drahtlose und Autorisierung.
| Zugriffsrichtlinien |
Wired |
Wireless |
Autorisierung |
|---|---|---|---|
| AP-VLAN |
130 (NATIV) |
ZULÄSSIGES VLAN = 121.131.151.102 |
- |
| IP-Telefon |
120 |
121 |
Zwischen Telefonen und Anrufmanager-Server |
| Mitarbeiter |
150 |
151 |
Zugriff auf alle |
| Sanierung |
101 |
102 |
Quarantäne |
| IOT-Kamera |
130 |
131 |
DHCP, NTP und NVR |
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten für die Richtlinieninfrastruktur verwendet:
-
Switch EX4300, EX2300, EX3400 mit Junos OS Version 20.2R1 oder früher
-
Aruba ClearPass Policy Manager mit Version 6.9.0.130064
Übersicht und Topologie
Um die Endpunktzugriffsrichtlinien zu implementieren, wird die Richtlinieninfrastruktur wie folgt konfiguriert:
-
Alle Zugriffsschnittstellen auf dem Switch sind zunächst so konfiguriert, dass sie sich in VLAN 100 befinden, das als Korrektur-VLAN dient. Wenn ein Endpunkt nicht erfolgreich authentifiziert oder nicht erfolgreich als einer der unterstützten Endpunkte profiliert wurde, verbleibt er im Wartungs-VLAN.
Hinweis:Wenn die Endgeräte DHCP verwenden, vermeiden Sie es, die VLANs zu ändern. Der Endpunkt sendet erst dann eine weitere DHCPRequest, wenn die vorhandene Lease abläuft oder ein Port-Bounce auftritt.
-
Endpunkte, die über einen 802.1X-Supplicant verfügen, werden mithilfe der 802.1X-PEAP-Authentifizierung authentifiziert. Weitere Informationen zur 802.1X PEAP-Authentifizierung finden Sie unter Konfigurieren der 802.1X PEAP- und MAC RADIUS-Authentifizierung mit Switches der EX-Serie und Aruba ClearPass Policy Manager.
-
Endpunkte, die nicht über einen 802.1X-Supplicant verfügen, werden mit der MAC RADIUS-Authentifizierung authentifiziert und mit einem Profil versehen, um festzustellen, um welchen Gerätetyp es sich handelt. Diese Endgeräte durchlaufen einen zweistufigen Authentifizierungsprozess:
-
Der erste Schritt erfolgt, nachdem ein Endpunkt zum ersten Mal eine Verbindung mit dem Switch hergestellt hat, aber bevor er von Aruba ClearPass Profile profiliert wurde. Nach dem Herstellen der Verbindung wird der Endpunkt mithilfe der MAC RADIUS-Authentifizierung authentifiziert. Aruba ClearPass wendet eine Durchsetzungsrichtlinie an, die den Switch anweist, dem Endpunkt Zugriff auf das Internet zu gewähren, ihn jedoch am Zugriff auf das interne Netzwerk hindert.
-
Der zweite Schritt erfolgt, nachdem für einen Endpunkt erfolgreich ein Profil erstellt wurde. Nach der Authentifizierung im ersten Schritt kontaktiert der Endpunkt einen DHCP-Server, um eine IP-Adresse anzufordern. Der Switch leitet die DHCP-Nachrichten, die vom Endpunkt an den DHCP-Server gesendet werden, ebenfalls an Aruba ClearPass weiter, sodass ClearPass ein Profil des Endpunkts erstellen kann. Nachdem das Profil des Endpunkts erstellt und dem Endpunkt-Repository hinzugefügt wurde, sendet ClearPass eine RADIUS-CoA-Nachricht (Change of Authorization) an den Switch, in der er aufgefordert wird, die Sitzung zu beenden. Der Switch versucht dann, sich im Namen des Endpunkts erneut zu authentifizieren. Da der Endpunkt jetzt im Endpunkt-Repository vorhanden ist, kann Aruba ClearPass bei der Authentifizierung des Endpunkts eine für den Gerätetyp geeignete Durchsetzungsrichtlinie anwenden. Wenn es sich bei dem Endpunkt beispielsweise um einen Access Point handelt, wendet ClearPass die Durchsetzungsrichtlinie an, die den Access Point dynamisch dem AP_VLAN VLAN zuweist.
-
Abbildung 1 zeigt die in diesem Beispiel verwendete Topologie.
verwendete Topologie
Konfiguration
In diesem Abschnitt finden Sie Schritt-für-Schritt-Anleitungen für:
- Konfigurieren des EX-Switches
- Konfigurieren von Aruba ClearPass Policy Manager
- Überprüfung
- Überwachen der Geräteprofilerstellung
- Fehlerbehebung bei der Authentifizierung
Konfigurieren des EX-Switches
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie auf Hierarchieebene in die CLI ein, und geben Sie dann Commit aus dem [edit] Konfigurationsmodus ein.
[edit] set access radius-server 10.25.22.11 dynamic-request-port 3799 set access radius-server 10.25.22.11 secret "$9$tqCW01hevLVwgSrwgoJHkp0BISrKM87db" set access radius-server 10.25.22.11 source-address 10.25.99.11 set access profile ACCESS_PROF_RADIUS accounting-order radius set access profile ACCESS_PROF_RADIUS authentication-order radius set access profile ACCESS_PROF_RADIUS radius authentication-server 10.25.22.11 set access profile ACCESS_PROF_RADIUS radius accounting-server 10.25.22.11 set protocols dot1x authenticator authentication-profile-name ACCESS_PROF_RADIUS set protocols dot1x authenticator interface AUTHC supplicant multiple set protocols dot1x authenticator interface AUTHC transmit-period 3 set protocols dot1x authenticator interface AUTHC mac-radius set vlans AP vlan-id 130 set vlans EMPLOYEE-WIRED vlan-id 150 set vlans EMPLOYEE-WIRELESS vlan-id 151 set vlans IOT-WIRED vlan-id 111 set vlans IOT-WIRELESS vlan-id 112 set vlans IP-PHONE-WIRED vlan-id 120 set vlans IP-PHONE-WIRELESS vlan-id 121 set vlans MANAGEMENT vlan-id 99 set vlans MANAGEMENT l3-interface irb.99 set vlans REMEDIATION-WIRED vlan-id 101 set vlans REMEDIATION-WIRELESS vlan-id 102 set interfaces interface-range AP member ge-0/0/0 set interfaces interface-range AP native-vlan-id 130 set interfaces interface-range AP unit 0 family ethernet-switching interface-mode trunk set interfaces interface-range AP unit 0 family ethernet-switching vlan members AP set interfaces interface-range AP unit 0 family ethernet-switching vlan members EMPLOYEE-WIRELESS set interfaces interface-range AUTHC member ge-0/0/6 set interfaces interface-range AUTHC member ge-0/0/3 set interfaces interface-range AUTHC member ge-0/0/2 set interfaces interface-range AUTHC member ge-0/0/4 set interfaces interface-range AUTHC member ge-0/0/7 set interfaces interface-range AUTHC member ge-0/0/8 set interfaces interface-range AUTHC member ge-0/0/9 set interfaces interface-range AUTHC member ge-0/0/5 set interfaces interface-range AUTHC unit 0 family ethernet-switching interface-mode access set interfaces interface-range AUTHC unit 0 family ethernet-switching vlan members REMEDIATION-WIRED set firewall family ethernet-switching filter Internet_Only_Access term Allow_DHCP from destination-port 67 set firewall family ethernet-switching filter Internet_Only_Access term Allow_DHCP from destination-port 68 set firewall family ethernet-switching filter Internet_Only_Access term Allow_DHCP from ip-protocol udp set firewall family ethernet-switching filter Internet_Only_Access term Allow_DHCP then accept set firewall family ethernet-switching filter Internet_Only_Access term Allow_DNS from destination-port 53 set firewall family ethernet-switching filter Internet_Only_Access term Allow_DNS from ip-protocol udp set firewall family ethernet-switching filter Internet_Only_Access term Allow_DNS from ip-protocol tcp set firewall family ethernet-switching filter Internet_Only_Access term Block_Internal from ip-destination-address 192.168.0.0/16 set firewall family ethernet-switching filter Internet_Only_Access term Block_Internal then discard set firewall family ethernet-switching filter Internet_Only_Access term Allow_All then accept
Schritt-für-Schritt-Anleitung
Die allgemeinen Schritte zur Konfiguration des EX-Switches sind:
-
Konfigurieren Sie die Verbindung zum Aruba ClearPass Policy Manager.
-
Erstellen Sie das Zugriffsprofil, das vom 802.1X-Protokoll verwendet wird. Das Zugriffsprofil teilt dem 802.1X-Protokoll mit, welcher Authentifizierungsserver und welche Authentifizierungsmethoden verwendet werden sollen, sowie die Reihenfolge der Authentifizierungsmethoden.
-
Konfigurieren Sie das 802.1X-Protokoll.
-
Konfigurieren Sie die VLANs.
-
Konfigurieren Sie das Ethernet-Switching an den Zugriffsports.
-
Konfigurieren Sie integrierte Routing- und Bridging-Schnittstellen (IRB) und weisen Sie sie den VLANs zu.
-
Konfigurieren Sie DHCP-Relay so, dass DHCP-Pakete an Aruba ClearPass gesendet werden, damit dieses eine Geräteprofilerstellung durchführen kann.
-
Erstellen Sie die Firewallrichtlinie, die den Zugriff auf das interne Netzwerk blockiert.
So konfigurieren Sie den EX-Switch:
-
Geben Sie die Verbindungsinformationen zum RADIUS-Server an.
[edit] user@Policy-EX-switch# set access radius-server 10.25.22.11 dynamic-request-port 3799 user@Policy-EX-switch# set access radius-server 10.25.22.11 secret password user@Policy-EX-switch# set access radius-server 10.25.22.11 source-address 10.25.99.11
-
Konfigurieren Sie das Zugriffsprofil.
[edit access] user@Policy-EX-switch# set access profile ACCESS_PROF_RADIUS accounting-order radius user@Policy-EX-switch# set access profile ACCESS_PROF_RADIUS authentication-order radius user@Policy-EX-switch# set access profile ACCESS_PROF_RADIUS radius authentication-server 10.25.22.11 user@Policy-EX-switch# set access profile ACCESS_PROF_RADIUS radius accounting-server 10.25.22.11
-
Konfigurieren Sie 802.1X für die Verwendung von ACCESS_PROF_RADIUS und aktivieren Sie das Protokoll auf jeder Zugriffsschnittstelle. Konfigurieren Sie außerdem die Schnittstellen so, dass sie die MAC RADIUS-Authentifizierung unterstützen und mehr als einen Supplicant zulassen, von denen jeder einzeln authentifiziert werden muss.
Standardmäßig versucht der Switch zuerst, sich 802.1X zu authentifizieren. Wenn er keine EAP-Pakete vom Endpunkt empfängt, was darauf hinweist, dass der Endpunkt nicht über einen 802.1X-Supplicant verfügt, versucht er es mit der MAC RADIUS-Authentifizierung.
[edit] user@Policy-EX-switch# set protocols dot1x authenticator authentication-profile-name ACCESS_PROF_RADIUS user@Policy-EX-switch# set protocols dot1x authenticator interface AUTHC supplicant multiple user@Policy-EX-switch# set protocols dot1x authenticator interface AUTHC transmit-period 3 user@Policy-EX-switch# set protocols dot1x authenticator interface AUTHC mac-radius user@Policy-EX-switch# set interfaces interface-range AP member ge-0/0/0 user@Policy-EX-switch# set interfaces interface-range AP native-vlan-id 130 user@Policy-EX-switch# set interfaces interface-range AP unit 0 family ethernet-switching interface-mode trunk user@Policy-EX-switch# set interfaces interface-range AP unit 0 family ethernet-switching vlan members AP user@Policy-EX-switch# set interfaces interface-range AP unit 0 family ethernet-switching vlan members EMPLOYEE-WIRELESS user@Policy-EX-switch# set interfaces interface-range AUTHC member ge-0/0/6 user@Policy-EX-switch# set interfaces interface-range AUTHC member ge-0/0/3 user@Policy-EX-switch# set interfaces interface-range AUTHC member ge-0/0/2 user@Policy-EX-switch# set interfaces interface-range AUTHC member ge-0/0/4 user@Policy-EX-switch# set interfaces interface-range AUTHC member ge-0/0/7 user@Policy-EX-switch# set interfaces interface-range AUTHC member ge-0/0/8 user@Policy-EX-switch# set interfaces interface-range AUTHC member ge-0/0/9 user@Policy-EX-switch# set interfaces interface-range AUTHC member ge-0/0/5
-
Konfigurieren Sie die VLANs, die in diesem Beispiel verwendet werden.
[edit] user@Policy-EX-switch# set vlans AP vlan-id 130 user@Policy-EX-switch# set vlans EMPLOYEE-WIRED vlan-id 150 user@Policy-EX-switch# set vlans EMPLOYEE-WIRELESS vlan-id 151 user@Policy-EX-switch# set vlans IOT-WIRED vlan-id 111 user@Policy-EX-switch# set vlans IOT-WIRELESS vlan-id 112 user@Policy-EX-switch# set vlans IP-PHONE-WIRED vlan-id 120 user@Policy-EX-switch# set vlans IP-PHONE-WIRELESS vlan-id 121 user@Policy-EX-switch# set vlans MANAGEMENT vlan-id 99 user@Policy-EX-switch# set vlans MANAGEMENT l3-interface irb.99 user@Policy-EX-switch# set vlans REMEDIATION-WIRED vlan-id 101 user@Policy-EX-switch# set vlans REMEDIATION-WIRELESS vlan-id 102
Beachten Sie, dass das VLAN auf dem Switch vorhanden sein muss, bevor die Authentifizierung versucht wird, damit die dynamische VLAN-Zuweisung funktioniert. Wenn das VLAN nicht vorhanden ist, schlägt die Authentifizierung fehl.
-
Konfigurieren Sie DHCP-Relay so, dass DHCP-Anforderungspakete an Aruba ClearPass weitergeleitet werden.
[edit] user@Policy-EX-switch# set dhcp-relay server-group dhcp-dot1x 10.25.22.11 user@Policy-EX-switch# set dhcp-relay active-server-group dhcp-dot1x
-
Konfigurieren Sie Internet_Only_Access einen Firewallfilter, der für Geräte verwendet werden soll, die durch die MAC RADIUS-Authentifizierung authentifiziert, aber noch kein Profil erstellt wurden.
Dieser Filter blockiert den Zugriff eines Endpunkts auf das interne Netzwerk (192.168.0.0/16).
[edit] user@Policy-EX-switch# set firewall family ethernet-switching filter INTERNET_ACCESS_ONLY term ALLOW_DHCP from destination-port 67 user@Policy-EX-switch# set firewall family ethernet-switching filter INTERNET_ACCESS_ONLY term ALLOW_DHCP from destination-port 68 user@Policy-EX-switch# set firewall family ethernet-switching filter INTERNET_ACCESS_ONLY term ALLOW_DHCP from ip-protocol udp user@Policy-EX-switch# set firewall family ethernet-switching filter INTERNET_ACCESS_ONLY term ALLOW_DHCP then accept user@Policy-EX-switch# set firewall family ethernet-switching filter INTERNET_ACCESS_ONLY term ALLOW_DNS from destination-port 53 user@Policy-EX-switch# set firewall family ethernet-switching filter INTERNET_ACCESS_ONLY term ALLOW_DNS from ip-protocol udp user@Policy-EX-switch# set firewall family ethernet-switching filter INTERNET_ACCESS_ONLY term ALLOW_DNS from ip-protocol tcp user@Policy-EX-switch# set firewall family ethernet-switching filter INTERNET_ACCESS_ONLY term BLOCK_RFC_1918 from ip-destination-address 10.0.0.0/8 user@Policy-EX-switch# set firewall family ethernet-switching filter INTERNET_ACCESS_ONLY term BLOCK_RFC_1918 from ip-destination-address 172.16.0.0/12 user@Policy-EX-switch# set firewall family ethernet-switching filter INTERNET_ACCESS_ONLY term BLOCK_RFC_1918 from ip-destination-address 192.168.0.0/16 user@Policy-EX-switch# set firewall family ethernet-switching filter INTERNET_ACCESS_ONLY term BLOCK_RFC_1918 then discard user@Policy-EX-switch# set firewall family ethernet-switching filter INTERNET_ACCESS_ONLY term ALLOW_ALL then accept
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die folgenden show Befehle eingeben.
user@Policy-EX-switch# show access
radius-server {
10.25.22.11 {
dynamic-request-port 3799;
secret "$9$tqCW01hevLVwgSrwgoJHkp0BISrKM87db"; ## SECRET-DATA
source-address 10.25.99.11;
}
}
profile ACCESS_PROF_RADIUS {
accounting-order radius;
authentication-order radius;
radius {
authentication-server 10.25.22.11;
accounting-server 10.25.22.11;
}
}
}
user@Policy-EX-switch# show protocols
dot1x {
authenticator {
authentication-profile-name ACCESS_PROF_RADIUS;
interface {
AUTHC {
supplicant multiple;
transmit-period 3;
mac-radius;
}
}
}
}
user@Policy-EX-switch# show interfaces
interface-range AP {
member ge-0/0/0;
native-vlan-id 130;
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members [ AP EMPLOYEE-WIRELESS ];
}
}
}
}
interface-range AUTHC {
member ge-0/0/6;
member ge-0/0/3;
member ge-0/0/2;
member ge-0/0/4;
member ge-0/0/7;
member ge-0/0/8;
member ge-0/0/9;
member ge-0/0/5;
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members REMEDIATION-WIRED;
}
}
}
}
user@Policy-EX-switch# show vlans
AP {
vlan-id 130;
}
EMPLOYEE-WIRED {
vlan-id 150;
}
EMPLOYEE-WIRELESS {
vlan-id 151;
}
IOT-WIRED {
vlan-id 111;
}
IOT-WIRELESS {
vlan-id 112;
}
IP-PHONE-WIRED {
vlan-id 120;
}
IP-PHONE-WIRELESS {
vlan-id 121;
}
MANAGEMENT {
vlan-id 99;
l3-interface irb.99;
}
REMEDIATION-WIRED {
vlan-id 101;
}
REMEDIATION-WIRELESS {
vlan-id 102;
}
}
}
user@Policy-EX-switch# show forwarding-options
dhcp-relay {
server-group {
dhcp-dot1x {
10.25.22.11;
}
}
helpers {
bootp {
server 10.25.22.11;
}
}
user@Policy-EX-switch# show firewall
family ethernet-switching {
filter INTERNET_ACCESS_ONLY {
term ALLOW_DHCP {
from {
destination-port [ 67 68 ];
ip-protocol udp;
}
then accept;
}
term ALLOW_DNS {
from {
destination-port 53;
ip-protocol [ udp tcp ];
}
}
term BLOCK_RFC_1918 {
from {
ip-destination-address {
10.0.0.0/8;
172.16.0.0/12;
192.168.0.0/16;
}
}
then discard;
}
term ALLOW_ALL {
then accept;
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Konfigurieren von Aruba ClearPass Policy Manager
Schritt-für-Schritt-Anleitung
Die allgemeinen Schritte zur Konfiguration von Aruba ClearPass sind:
-
Vergewissern Sie sich, dass das Attribut Juniper-AV-Pair in Ihrem RADIUS-Wörterbuch vorhanden ist.
-
Fügen Sie den EX-Switch als Netzwerkgerät hinzu.
-
Stellen Sie sicher, dass das für die 802.1X-PEAP-Authentifizierung verwendete Serverzertifikat installiert wurde.
-
Fügen Sie den lokalen Benutzer hinzu, der in diesem Beispiel für die 802.1X-Authentifizierung verwendet wird.
-
Erstellen Sie die folgenden Durchsetzungsprofile:
-
VLAN 150 ENF PROF, das Endpunkte in VLAN 150 platziert.
-
JUNIPER VOIP VLAN 120 ENF PROF, der VLAN 120 als VoIP-VLAN definiert.
-
VLAN 130 ENF PROF, das Endpunkte in VLAN 130 platziert.
-
Internet_Only_Access_Fliter_ID_ENF_Prof, die angibt, dass der Firewallfilter für Geräte verwendet werden Internet_Only_Access, für die noch kein Profil erstellt wurde.
-
-
Erstellen Sie zwei Durchsetzungsrichtlinien:
-
Eine Richtlinie, die aufgerufen wird, wenn die MAC RADIUS-Authentifizierung verwendet wird.
-
Eine Richtlinie, die aufgerufen wird, wenn die 802.1X-Authentifizierung verwendet wird.
-
-
Definieren Sie den MAC RADIUS-Authentifizierungsdienst und den 802.1X-Authentifizierungsdienst.
-
Stellen Sie sicher, dass der MAC RADIUS-Authentifizierungsdienst vor dem 802.1X-Authentifizierungsdienst ausgewertet wird.
So konfigurieren Sie Aruba ClearPass:
-
Vergewissern Sie sich, dass das Attribut Juniper-AV-Pair in Ihrem RADIUS-Wörterbuch vorhanden ist.
Wechseln Sie zu Administration > Dictionaries > RADIUS und öffnen Sie das Juniper-Wörterbuch.
Hinweis:Wenn das Juniper-Wörterbuch rot angezeigt wird, öffnen Sie die Juniper-Wörterbuchseite, um das Wörterbuch zu aktivieren, und klicken Sie auf die Schaltfläche "Aktivieren".
Wenn das Attribut Juniper-AV-Pair nicht vorhanden ist, führen Sie die folgenden Schritte aus, um es hinzuzufügen:
-
Klicken Sie auf die Schaltfläche Exportieren.
-
Speichern Sie die RadiusDictionary.xml Datei auf Ihrem Computer und öffnen Sie sie dann mit einem Texteditor.
-
Fügen Sie im Abschnitt RadiusAttributes die folgende Zeile hinzu:
<Attribute profile="in out" type="String" name="Juniper-AV-Pair" id="52"/>
-
Speichern Sie die XML-Datei.
-
Kehren Sie zu Ihrer ClearPass-Sitzung zurück und klicken Sie auf die Schaltfläche Importieren in der oberen rechten Ecke der RadiusDictionary-Seite .
-
Klicken Sie auf die Schaltfläche Durchsuchen und suchen Sie die RadiusDictionary.xml Datei, die Sie gerade gespeichert haben
-
Klicken Sie auf Importieren.
-
Öffnen Sie nun das Juniper RADIUS-Wörterbuch und überprüfen Sie, ob das Attribut Juniper-AV-Pair vorhanden ist
-
-
Fügen Sie den EX-Switch als Netzwerkgerät hinzu.
Schritt-für-Schritt-Anleitung
-
Klicken Sie unter Configuration > Network > Devices (Konfiguration Netzwerk- Geräte auf Hinzufügen.
-
Geben Sie auf der Registerkarte Gerät den Hostnamen und die IP-Adresse des Switches sowie den gemeinsamen geheimen RADIUS-Schlüssel ein, den Sie auf dem Switch konfiguriert haben. Legen Sie das Feld "Name des Anbieters" auf "Juniper" fest.
-
Stellen Sie sicher, dass ein vertrauenswürdiges Serverzertifikat für die 802.1X PEAP-Authentifizierung vorhanden ist.
-
Vergewissern Sie sich unter Administration > Certificates > Certificate Store, dass auf jedem Aruba ClearPass-Server ein gültiges RADIUS/EAP-Serverzertifikat installiert ist. Wenn dies nicht der Fall ist, fügen Sie ein gültiges Serverzertifikat hinzu. In der Aruba ClearPass-Dokumentation und bei Ihrer Zertifizierungsstelle finden Sie weitere Informationen zum Abrufen von Zertifikaten und zum Importieren in ClearPass.
-
-
Fügen Sie dem lokalen Benutzer-Repository einen Testbenutzer hinzu. Dieser Benutzer wird verwendet, um die 802.1X-Authentifizierung zu überprüfen.
-
Klicken Sie unter Konfiguration > Identität > lokale Benutzer auf Hinzufügen.
-
Geben Sie im Fenster "Lokalen Benutzer hinzufügen" die Benutzer-ID (usertest1), den Benutzernamen (Testbenutzer) und das Kennwort ein. Wählen Sie dann Mitarbeiter als Benutzerrolle aus. Wählen Sie unter Attribute das Attribut "Abteilung " aus, und geben Sie unter "Wert" den Text "Finanzen " ein.
Hinweis:In diesem Konfigurationsbeispiel wird das lokale Benutzer-Repository von ClearPass als Authentifizierungsquelle verwendet. In einer typischen Unternehmensbereitstellung wird jedoch Microsoft Active Directory als Authentifizierungsquelle verwendet. Weitere Informationen zur Konfiguration von Active Directory als Authentifizierungsquelle finden Sie in der ClearPass-Dokumentation unter Administration » Support » Dokumentation.
-
-
-
Konfigurieren Sie ein Durchsetzungsprofil für Mitarbeiter-Laptops oder -Desktops, die sich mit 802.1X authentifizieren.
-
Dieses Profil platziert die Endpunkte in VLAN 150.
Schritt-für-Schritt-Anleitung
Klicken Sie unter Configuration > Enforcement > Profiles auf Add.
-
Legen Sie auf der Registerkarte Profil die Vorlage auf VLAN-Erzwingung fest, und geben Sie den Profilnamen VLAN 150 ENF PROF in das Feld Name ein.
-
Konfigurieren Sie auf der Registerkarte Attribute die Attribute wie gezeigt.
-
-
Konfigurieren Sie ein Access Point-Erzwingungsprofil, das Access Points in VLAN 130 platziert.
-
Verwenden Sie zum Erstellen dieses Profils die gleiche grundlegende Vorgehensweise wie im vorherigen Schritt. Nachdem Sie das Profil ausgefüllt haben, werden die Informationen auf der Registerkarte Zusammenfassung wie gezeigt angezeigt.
-
-
Konfigurieren Sie ein Erzwingungsprofil für IP-Telefone.
-
Dieses Profil weist Aruba ClearPass an, VLAN 120 als VLAN zurückzugeben, das als VoIP-VLAN verwendet werden soll. Das RADIUS-Wörterbuch von Juniper Networks definiert ein spezielles RADIUS-Attribut, das für diesen Zweck verwendet werden soll. Wählen Sie RADIUS-Juniper als Attributtyp und Juniper-VoIP-VLAN als Attributnamen aus.
-
Nachdem Sie das Profil ausgefüllt haben, werden die Informationen auf der Registerkarte Zusammenfassung wie gezeigt angezeigt.
-
-
Konfigurieren Sie ein Durchsetzungsprofil nur für den Internetzugriff.
-
Dieses Durchsetzungsprofil weist Aruba ClearPass an, den Namen des Firewall-Filters Internet_Only_Access zurückzugeben, d. h. den Firewall-Filter, den Sie auf dem Switch konfiguriert haben, der den Zugriff auf das interne Netzwerk blockiert. Nachdem Sie dieses Profil ausgefüllt haben, werden die Informationen auf der Registerkarte Zusammenfassung wie gezeigt angezeigt.
-
Konfigurieren Sie die Richtlinie zur Durchsetzung der MAC RADIUS-Authentifizierung.
-
Für Endgeräte, die durch MAC RADIUS-Authentifizierung authentifiziert werden, weist diese Richtlinie Aruba ClearPass an, Durchsetzungsrichtlinien entsprechend dem Geräteprofil anzuwenden. Das VLAN 130 ENF PROF wird auf Endgeräte angewendet, die als Access Points profiliert sind, und das JUNIPER VOIP VLAN 120 ENF PROF wird auf Endgeräte angewendet, die als VoIP-Telefone profiliert sind. Die vordefinierte Durchsetzungsrichtlinie [Zugriffsprofil verweigern] wird auf Endpunkte angewendet, die als Windows-Geräte profiliert sind. Dadurch wird die Zugriffsrichtlinie der Organisation erzwungen, dass nur Laptops mit einem 802.1X-Supplicant Zugriff auf das Netzwerk erhalten. Für alle anderen Endpunkte, einschließlich Endpunkten, für die noch kein Profil erstellt wurde, wird das Profil INTERNET ONLY ACCESS FILTER ID ENF PROF angewendet.
-
Klicken Sie unter "Configuration > Enforcement > Policies" auf "Add".
-
Geben Sie auf der Registerkarte "Erzwingung" den Namen der Richtlinie ein (JUNOS MAC AUTH ENF POL), und legen Sie das Standardprofil auf "INTERNET ONLY ACCESS FILTER ID ENF PROF" FEST.
-
Klicken Sie auf der Registerkarte Regeln auf Regel hinzufügen , und fügen Sie die angezeigten Regeln hinzu.
Sie müssen die Regeln nacheinander hinzufügen, indem Sie auf Speichern klicken, bevor Sie die nächste Regel erstellen.
-
-
Konfigurieren Sie die 802.1X-Erzwingungsrichtlinie.
Diese Richtlinie weist Aruba ClearPass an, das VLAN 150 ENF PROF-Durchsetzungsprofil zu verwenden, wenn ein Benutzer erfolgreich als Mitglied der Finanzabteilung authentifiziert wurde. Jede andere Benutzerauthentifizierung stimmt mit dem Standardprofil überein, und der Switch erhält eine RADIUS-Annahme und platziert den Endpunkt im Korrektur-VLAN 100.
-
Klicken Sie unter "Konfiguration" » "Erzwingung" » "Richtlinien" auf "Hinzufügen".
-
Geben Sie auf der Registerkarte Durchsetzung den Namen der Richtlinie ein (JUNOS DOT1X ENF POL), und legen Sie Standardprofil auf [Zugriffsprofil zulassen] fest.
-
Klicken Sie auf der Registerkarte Regeln auf Regel hinzufügen, und fügen Sie die angezeigte Regel hinzu.
-
-
Konfigurieren Sie den JUNOS MAC AUTH-Authentifizierungsdienst.
Die Konfiguration für diesen Dienst führt dazu, dass die MAC RADIUS-Authentifizierung ausgeführt wird, wenn das empfangene Attribut "RADIUS-Benutzername" und das empfangene Attribut "Client-MAC-Adresse" denselben Wert aufweisen.
-
Klicken Sie unter Konfiguration » Dienste auf Hinzufügen.
-
Füllen Sie auf der Registerkarte Dienste die Felder wie gezeigt aus. Stellen Sie sicher, dass Sie die Optionen Autorisierung und Profilendpunkte auswählen.
-
Löschen Sie auf der Registerkarte Authentifizierung [Alle MAC-Authentifizierung zulassen] aus der Liste Authentifizierungsmethoden, und fügen Sie der Liste [EAP MD5] hinzu.
Wählen Sie [Endpunkt-Repository] [Lokale SQL-Datenbank] in der Liste Authentifizierungsquellen aus.
-
Wählen Sie auf der Registerkarte "Erzwingung" die Option JUNOS MAC AUTH ENF POL AUS.
-
Fügen Sie auf der Registerkarte Profiler der Liste Endpunktklassifizierung Computer, VoIP-Telefon, Access Points hinzu.
Wählen Sie [Juniper Sitzung beenden] aus der Liste RADIUS-CoA-Aktion aus. Diese Konfiguration bewirkt, dass Endpunkte eine erneute Authentifizierung durchlaufen, nachdem sie ein Profil erstellt und dem Endpunkt-Repository hinzugefügt wurden. Bevor für einen Endpunkt ein Profil erstellt wird, ist das Erzwingungsprofil NUR INTERNETZUGRIFFSFILTER-ID ENF PROF für die authentifizierte Benutzersitzung wirksam. (Dieses Profil ist das Standardprofil für die MAC-Authentifizierungsrichtlinie, die in Schritt 7 konfiguriert wurde.) Nachdem Aruba ClearPass ein Gerät erfolgreich klassifiziert hat, sendet es ein RADIUS-CoA an den Switch, wodurch der Switch die Sitzung beendet. Der Switch versucht dann, den Endpunkt erneut zu authentifizieren. Da sich das Geräteprofil des Endpunkts jetzt im Endpunkt-Repository befindet, wird bei der Authentifizierung des Endpunkts das entsprechende Geräteerzwingungsprofil angewendet.
-
Klicken Sie auf Speichern.
-
-
Konfigurieren Sie den 802.1X-Authentifizierungsdienst.
-
Klicken Sie unter Configuration > Services (Konfiguration Dienste) auf Add (Hinzufügen).
-
Füllen Sie auf der Registerkarte Service die Felder wie gezeigt aus.
-
Gehen Sie auf der Registerkarte Authentifizierung wie folgt vor:
-
Legen Sie Authentifizierungsquellen auf [Lokales Benutzer-Repository][Lokale SQL-Datenbank] fest.
-
Entfernen Sie die Authentifizierungsmethoden [EAP FAST], [EAP-TLS] und [EAP-TTLS].
-
-
Legen Sie auf der Registerkarte Erzwingung die Erzwingungsrichtlinie auf Juniper_Dot1X_Policy fest.
-
Stellen Sie sicher, dass die MAC RADIUS-Authentifizierungsdienstrichtlinie vor der 802.1X-Authentifizierungsdienstrichtlinie ausgewertet wird.
-
Da Aruba ClearPass so konfiguriert ist, dass MAC RADIUS-Authentifizierungsanforderungen erkannt werden, indem das Attribut "RADIUS-Benutzername" und das Attribut "Client-MAC-Adresse" denselben Wert haben, ist es effizienter, zuerst die MAC RADIUS-Dienstrichtlinie auswerten zu lassen.
-
Vergewissern Sie sich, dass JUNOS MAC AUTH im Hauptfenster "Services" wie abgebildet vor JUNOS DOT1X in der Liste "Services" angezeigt wird. Wenn dies nicht der Fall ist, klicken Sie auf Neu anordnen und JUNOS MAC AUTH über JUNOS DOT1X verschieben.
-
-
Überprüfung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Verifizieren der 802.1X-Authentifizierung auf dem EX-Switch
- Überprüfen der Access Point-Authentifizierung auf dem EX-Switch
- Überprüfen der VoIP-Telefon- und Nicht-Unternehmens-Laptop-Authentifizierung auf dem EX-Switch
- Überprüfen des Status von Authentifizierungsanforderungen in Aruba ClearPass Policy Manager
Verifizieren der 802.1X-Authentifizierung auf dem EX-Switch
Zweck
Stellen Sie sicher, dass der Testbenutzer usertest1 authentifiziert und im richtigen VLAN platziert wird.
Um dieses Verfahren ausführen zu können, benötigen Sie ein Windows-Gerät mit einem aktiven 802.1X-Supplicant, der die Authentifizierungsinformationen für usertest1 übergibt. Informationen zum Konfigurieren eines Windows 7-Supplicants für die 802.1X PEAP-Authentifizierung finden Sie unter Konfigurieren der 802.1X PEAP- und MAC RADIUS-Authentifizierung mit Switches der EX-Serie und Aruba ClearPass Policy Manager
Aktion
-
Verbinden Sie den Windows 7-Laptop mit ge-0/0/22 auf dem EX-Switch.
-
Geben Sie auf dem Switch den folgenden Befehl ein:
user@Policy-EX-switch-01> show dot1x interface ge-0/0/8 802.1X Information: Interface Role State MAC address User ge-0/0/8.0 Authenticator Authenticated 98:90:96:D8:70:19 usertest1 -
Für weitere Details, einschließlich der dynamischen VLAN-Zuweisung, geben Sie Folgendes ein:
user@Policy-EX-switch-01> show dot1x interface ge-0/0/8 detail ge-0/0/8.0 Role: Authenticator Administrative state: Auto Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Transmit period: 3 seconds Mac Radius: Enabled Mac Radius Restrict: Disabled Mac Radius Authentication Protocol: EAP-MD5 Reauthentication: Enabled Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: not configured Number of connected supplicants: 1 Supplicant: usertest1, 98:90:96:D8:70:19 Operational state: Authenticated Backend Authentication state: Idle Authentication method: Radius Authenticated VLAN: EMPLOYEE-WIRED Session Reauth interval: 10800 seconds Reauthentication due in 10772 seconds Eapol-Block: Not In Effect Domain: DataDie Ausgabe zeigt, dass usertest1 erfolgreich authentifiziert und im EMPLOYEE-WIRED VLAN platziert wurde.
Überprüfen der Access Point-Authentifizierung auf dem EX-Switch
Zweck
Stellen Sie sicher, dass der Access Point erfolgreich authentifiziert und im richtigen VLAN platziert wurde.
Aktion
-
Verbinden Sie einen Access Point mit ge-0/0/6 am EX-Switch.
-
Geben Sie auf dem Switch den folgenden Befehl ein:
user@Policy-EX-switch-01> show dot1x interface ge-0/0/6 ge-0/0/6.0 Role: Authenticator Administrative state: Auto Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Transmit period: 3 seconds Mac Radius: Enabled Mac Radius Restrict: Disabled Mac Radius Authentication Protocol: EAP-MD5 Reauthentication: Enabled Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: not configured Number of connected supplicants: 1 Supplicant: 5c5b352e2d19, 5C:5B:35:2E:2D:19 Operational state: Authenticated Backend Authentication state: Idle Authentication method: Mac Radius Authenticated VLAN: AP Session Reauth interval: 3600 seconds Reauthentication due in 3549 seconds Egress Vlan: 102, 121, 130, 131, 151 Operational supplicant mode: Single Eapol-Block: Not In Effect Domain: DataDie Ausgabe zeigt, dass der Access Point authentifiziert und im AP_VLAN-VLAN platziert wurde.
Überprüfen der VoIP-Telefon- und Nicht-Unternehmens-Laptop-Authentifizierung auf dem EX-Switch
Zweck
Vergewissern Sie sich, dass das VoIP-Telefon erfolgreich authentifiziert wurde und dass der unternehmensfremde Laptop nicht authentifiziert wurde.
Aktion
-
Verbinden Sie ein VoIP-Telefon mit ge-0/0/8 auf dem EX-Switch und verbinden Sie einen Laptop ohne aktivierten 802.1X-Supplicant mit dem Ethernet-Port des Telefons.
-
Um den Authentifizierungsstatus der Geräte zu überprüfen, geben Sie den folgenden Befehl auf dem Switch ein:
user@Policy-EX-switch-01> show dot1x interface ge-0/0/8 ge-0/0/8.0 Role: Authenticator Administrative state: Auto Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Enabled Mac Radius Restrict: Disabled Mac Radius Authentication Protocol: EAP-MD5 Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: not configured Number of connected supplicants: 2 Supplicant: 08173515ec53, 08:17:35:15:EC:53 Operational state: Authenticated Backend Authentication state: Idle Authentication method: Mac Radius Authenticated VLAN: IPPhone_VLAN Session Reauth interval: 3600 seconds Reauthentication due in 3591 seconds Session Accounting Interim Interval: 600 seconds Accounting Update due in 591 seconds Supplicant: No User, D0:67:E5:50:E3:DD Operational state: Connecting Backend Authentication state: Idle Authentication method: None Session Reauth interval: 0 seconds Reauthentication due in 0 seconds Session Accounting Interim Interval: 600 seconds Accounting Update due in 0 secondsDie Ausgabe zeigt, dass zwei Supplicants an den Port angeschlossen sind, die jeweils durch die MAC-Adresse identifiziert werden. Das VoIP-Telefon wurde erfolgreich authentifiziert und in IPPhone_VLAN platziert. Der Laptop befindet sich in einem Verbindungszustand, nicht in einem authentifizierten Zustand, was darauf hinweist, dass die Authentifizierung fehlgeschlagen ist.
-
Geben Sie den folgenden Befehl ein, um zu überprüfen, ob IPPhone_VLAN VLAN als VoIP-VLAN zugewiesen wurde:
user@Policy-EX-switch-01> show ethernet-switching interface ge-0/0/8 Routing Instance Name : default-switch Logical Interface flags (DL - disable learning, AD - packet action drop, LH - MAC limit hit, DN - interface down, MMAS - Mac-move action shutdown, SCTL - shutdown by Storm-control ) Logical Vlan TAG MAC STP Logical Tagging interface members limit state interface flags ge-0/0/8.0 65535 tagged,untagged default 1 65535 Forwarding untagged IPPhone_VLAN 120 65535 Forwarding tagged
IPPhone_VLAN wird als getaggtes VLAN angezeigt, was darauf hinweist, dass es sich um das VoIP-VLAN handelt.
Überprüfen des Status von Authentifizierungsanforderungen in Aruba ClearPass Policy Manager
Zweck
Stellen Sie sicher, dass die Endgeräte korrekt authentifiziert werden und dass die richtigen RADIUS-Attribute zwischen dem Switch und Aruba ClearPass ausgetauscht werden.
Aktion
-
Gehen Sie zu Monitoring > Live Monitoring > Access Tracker, um den Status der Authentifizierungsanforderungen anzuzeigen.
Der Access Tracker überwacht Authentifizierungsanfragen, sobald sie auftreten, und berichtet über ihren Status.
-
Um weitere Details zu einer bestimmten Authentifizierungsanfrage zu erhalten, klicken Sie auf die Anfrage.
-
Klicken Sie auf die Registerkarte Ausgabe , um die RADIUS-Attribute zu überprüfen, die Aruba ClearPass für diese Anforderung an den Switch zurückgesendet hat.
Bedeutung
Die Authentifizierungsanfrage vom IOT-Gerät (Kamera) war erfolgreich und die richtigen Informationen über das IOT-VLAN wurden an den Switch zurückgegeben.
Überwachen der Geräteprofilerstellung
Schritt-für-Schritt-Anleitung
Sie können die Geräte, die Aruba ClearPass Profile erkannt hat und verwaltet, in seinem Endpunkt-Repository anzeigen und Informationen über die Gesamtzahl der profilierten Geräte, die Gerätetypen und gerätespezifische Daten wie den Gerätehersteller, den Gerätehostnamen und den Zeitstempel erhalten, zu dem das Gerät zum Repository hinzugefügt wurde.
-
Wählen Sie in Aruba ClearPass Überwachung » Profiler und Netzwerkscan » Endpoint Profiler aus. Das anfängliche Endpoint Profiler-Fenster bietet eine Übersicht über die Endpunkte im Repository und gruppiert Geräte innerhalb der Hierarchien Gerätekategorie, Gerätefamilie und Gerätenamen. In der Tabelle am unteren Rand des Fensters sind die Endpunkte aufgeführt, die sich in der aktuell ausgewählten Gerätenamengruppe befinden.
-
Um weitere Informationen zu einem einzelnen Endpunkt anzuzeigen, klicken Sie auf den Endpunkt in der Tabelle.
Im Fenster "Endpunkt anzeigen" können Sie die Informationen anzeigen, die das ClearPass-Profil zum Profilieren des Geräts verwendet hat, indem Sie auf die Registerkarte "Gerätefingerabdrücke" klicken. Im folgenden Beispiel verwendete ClearPass Profile Informationen, die von verschiedenen DHCP-Optionen in den DHCP-Nachrichten abgerufen wurden, um ein Profil für das Gerät zu erstellen.
Fehlerbehebung bei der Authentifizierung
Schritt-für-Schritt-Anleitung
In diesem Thema wird beschrieben, wie Sie detaillierte Diagnoseinformationen erhalten, indem Sie die Ablaufverfolgung von Authentifizierungsvorgängen auf dem Switch der EX-Serie aktivieren.
Aruba ClearPass Policy Manager bietet zusätzliche detaillierte Diagnoseinformationen.
Sie können Trace-Optionen für das 802.1X-Protokoll aktivieren.
-
Mit den folgenden Befehlen können Ablaufverfolgungsprotokolle in eine Datei mit dem Namen do1x geschrieben werden.
root@EX-switch-1# set protocols dot1x traceoptions file dot1x root@EX-switch-1# set protocols dot1x traceoptions file size 5m root@EX-switch-1# set protocols dot1x traceoptions flag all
-
Verwenden Sie den CLI-Befehl show log, um den Inhalt der Ablaufverfolgungsprotokolldatei anzuzeigen. Zum Beispiel:
root@EX-switch-1> show log dot1x root@EX-switch-1> set protocols dot1x traceoptions file size 5m
-
Sie können den Inhalt der Ablaufverfolgungsprotokolldatei auch über die UNIX-Shell anzeigen. Zum Beispiel:
root@EX-switch-1> start shell root@EX-switch-1: RE:0% tail -f /var/log/dot1x