SUR CETTE PAGE
Exemple : configuration du profilage de périphérique avec des commutateurs EX Series et Aruba ClearPass Policy Manager
Cet exemple de configuration illustre comment utiliser les fonctionnalités des commutateurs EX Series et d’Aruba ClearPass Policy Manager pour effectuer le profilage des équipements dans le cadre du processus d’authentification des points de terminaison.
Dans cet exemple, une organisation dispose de quatre types de points de terminaison dans son infrastructure filaire pour lesquels elle a défini des stratégies d’accès :
Points d’accès : les points de terminaison profilés en tant que points d’accès sont autorisés à accéder au réseau et sont attribués dynamiquement au VLAN AP_VLAN.
Téléphones IP : les points de terminaison profilés en tant que téléphones IP sont autorisés à accéder au réseau. Le IPPhone_VLAN est attribué dynamiquement en tant que VLAN VoIP.
Ordinateurs portables d’entreprise : les points de terminaison dotés d’un demandeur 802.1X sont authentifiés par les informations d’identification de l’utilisateur. Une fois l’utilisateur authentifié, l’ordinateur portable est autorisé à accéder au réseau et placé dans le VLAN Windows_VLAN.
Ordinateurs portables ne faisant pas partie de l’entreprise : les points de terminaison qui n’ont pas de demandeur 802.1X et qui sont profilés en tant qu’appareils Windows se voient refuser l’accès au réseau.
Cette rubrique aborde les sujets suivants :
Exigences
Cet exemple utilise les composants matériels et logiciels suivants pour l’infrastructure de stratégie :
un commutateur EX4300 exécutant Junos OS version 15.1R3 ou ultérieure
Une plate-forme Aruba ClearPass Policy Manager exécutant la version 6.3.3.63748 ou ultérieure
Vue d’ensemble et topologie
Pour implémenter les stratégies d’accès aux points de terminaison, l’infrastructure de stratégies est configurée comme suit :
Toutes les interfaces d’accès du commutateur sont initialement configurées pour être dans le VLAN 100, qui sert de VLAN de correction. Si un point de terminaison n’est pas authentifié ou s’il n’est pas correctement profilé en tant que l’un des points de terminaison pris en charge, il reste dans le VLAN de correction.
Les points de terminaison dotés d’un demandeur 802.1X sont authentifiés à l’aide de l’authentification PEAP 802.1X. Pour plus d’informations sur l’authentification PEAP 802.1X, consultez Configuration de l’authentification PEAP 802.1X et MAC RADIUS avec des commutateurs EX Series et Aruba ClearPass Policy Manager.
Les points de terminaison qui n’ont pas de demandeur 802.1X sont authentifiés à l’aide de l’authentification MAC RADIUS et sont profilés pour déterminer de quel type d’appareil il s’agit. Ces points de terminaison sont soumis à un processus d’authentification en deux étapes :
La première étape a lieu après qu’un point de terminaison s’est connecté pour la première fois au commutateur, mais avant qu’il n’ait été profilé par Aruba ClearPass Profile. Une fois connecté, le point de terminaison est authentifié à l’aide de l’authentification MAC RADIUS. Aruba ClearPass applique une stratégie d’application qui demande au commutateur d’accorder au point de terminaison l’accès à Internet, mais l’empêche d’accéder au réseau interne.
La deuxième étape se produit une fois qu’un point de terminaison a été profilé avec succès. Après avoir été authentifié dans la première étape, le point de terminaison contacte un serveur DHCP pour demander une adresse IP. Le commutateur relaie les messages DHCP envoyés par le point de terminaison au serveur DHCP à Aruba ClearPass, ce qui permet à ClearPass de profiler le point de terminaison. Une fois qu’il a profilé le point de terminaison et ajouté le point de terminaison à son référentiel de points de terminaison, ClearPass envoie un message de changement d’autorisation (CoA) RADIUS au commutateur, lui demandant de mettre fin à la session. Le commutateur tente ensuite de se réauthentifier pour le compte du point de terminaison. Étant donné que le point de terminaison existe désormais dans le référentiel de points de terminaison, Aruba ClearPass est en mesure d’appliquer une stratégie d’application appropriée au type d’appareil lorsqu’il authentifie le point de terminaison. Par exemple, si le point de terminaison est un point d’accès, ClearPass applique la stratégie d’application qui attribue dynamiquement le point d’accès au VLAN AP_VLAN.
La figure 1 illustre la topologie utilisée dans cet exemple.
Configuration
Cette section fournit des instructions détaillées pour :
Configuration du commutateur EX4300
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la hiérarchie, puis entrez valider à partir du mode de [edit] configuration.
[edit] set access radius-server 10.105.5.153 dynamic-request-port 3799 set access radius-server 10.105.5.153 secret password set access radius-server 10.105.5.153 source-address 10.105.5.91 set access profile CP-Test-Profile accounting-order radius set access profile CP-Test-Profile authentication-order radius set access profile CP-Test-Profile radius authentication-server 10.105.5.153 set access profile CP-Test-Profile radius accounting-server 10.105.5.153 set access profile CP-Test-Profile radius options nas-identifier 10.105.5.91 set protocols dot1x authenticator authentication-profile-name CP-Test-Profile set protocols dot1x authenticator interface ge-0/0/6.0 mac-radius set protocols dot1x authenticator interface ge-0/0/6.0 supplicant multiple set protocols dot1x authenticator interface ge-0/0/8.0 mac-radius set protocols dot1x authenticator interface ge-0/0/8.0 supplicant multiple set protocols dot1x authenticator interface ge-0/0/22.0 mac-radius set protocols dot1x authenticator interface ge-0/0/22.0 supplicant multiple set vlans AP_VLAN vlan-id 130 set vlans IPPhone_VLAN vlan-id 120 set vlans Windows_VLAN vlan-id 150 set vlans v100 description "Remediation VLAN" set vlans v100 vlan-id 100 set interfaces ge-0/0/6 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/6 unit 0 family ethernet-switching vlan members v100 set interfaces ge-0/0/8 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/8 unit 0 family ethernet-switching vlan members v100 set interfaces ge-0/0/22 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/22 unit 0 family ethernet-switching vlan members v100 set interfaces irb unit 100 family inet address 10.10.100.1/24 set interfaces irb unit 120 family inet address 10.10.120.1/24 set interfaces irb unit 130 family inet address 10.10.130.1/24 set interfaces irb unit 150 family inet address 10.10.150.1/24 set vlans AP_VLAN l3-interface irb.130 set vlans IPPhone_VLAN l3-interface irb.120 set vlans Windows_VLAN l3-interface irb.150 set vlans v100 l3-interface irb.100 set forwarding-options dhcp-relay server-group dhcp-dot1x 10.10.10.10 set forwarding-options dhcp-relay server-group dhcp-dot1x 10.105.5.153 set forwarding-options dhcp-relay active-server-group dhcp-dot1x set forwarding-options dhcp-relay group all interface irb.100 set forwarding-options dhcp-relay group all interface irb.120 set forwarding-options dhcp-relay group all interface irb.130 set forwarding-options dhcp-relay group all interface irb.150 set firewall family ethernet-switching filter Internet_Only_Access term Allow_DHCP from destination-port 67 set firewall family ethernet-switching filter Internet_Only_Access term Allow_DHCP from destination-port 68 set firewall family ethernet-switching filter Internet_Only_Access term Allow_DHCP from ip-protocol udp set firewall family ethernet-switching filter Internet_Only_Access term Allow_DHCP then accept set firewall family ethernet-switching filter Internet_Only_Access term Allow_DNS from destination-port 53 set firewall family ethernet-switching filter Internet_Only_Access term Allow_DNS from ip-protocol udp set firewall family ethernet-switching filter Internet_Only_Access term Allow_DNS from ip-protocol tcp set firewall family ethernet-switching filter Internet_Only_Access term Block_Internal from ip-destination-address 192.168.0.0/16 set firewall family ethernet-switching filter Internet_Only_Access term Block_Internal then discard set firewall family ethernet-switching filter Internet_Only_Access term Allow_All then accept
Procédure étape par étape
Les étapes générales de configuration du commutateur EX4300 sont les suivantes :
Configurez la connexion à Aruba ClearPass Policy Manager.
Créez le profil d’accès utilisé par le protocole 802.1X. Le profil d’accès indique au protocole 802.1X le serveur d’authentification et les méthodes d’authentification à utiliser, ainsi que l’ordre des méthodes d’authentification.
Configurez le protocole 802.1X.
Configurez les VLAN.
Configurez la commutation Ethernet sur les ports d’accès.
Configurez les interfaces de routage et de pontage intégrées (IRB) et attribuez-les aux VLAN.
Configurez le relais DHCP pour qu’il envoie des paquets DHCP à Aruba ClearPass afin qu’il puisse effectuer le profilage des périphériques.
Créez la stratégie de pare-feu qui bloque l’accès au réseau interne.
Pour configurer le commutateur EX4300 :
Fournissez les informations de connexion au serveur RADIUS.
[edit access] user@Policy-EX4300-01# set radius-server 10.105.5.153 dynamic-request-port 3799 user@Policy-EX4300-01# set radius-server 10.105.5.153 secret password user@Policy-EX4300-01# set radius-server 10.105.5.153 source-address 10.105.5.91
Configurez le profil d’accès.
[edit access] user@Policy-EX4300-01# set profile CP-Test-Profile accounting-order radius user@Policy-EX4300-01# set profile CP-Test-Profile authentication-order radius user@Policy-EX4300-01# set profile CP-Test-Profile radius authentication-server 10.105.5.153 user@Policy-EX4300-01# set profile CP-Test-Profile radius accounting-server 10.105.5.153 user@Policy-EX4300-01# set profile CP-Test-Profile radius options nas-identifier 10.105.5.91
Configurez 802.1X pour utiliser CP-Test-Profile et activez le protocole sur chaque interface d’accès. En outre, configurez les interfaces pour prendre en charge l’authentification MAC RADIUS et pour autoriser plusieurs demandeurs, chacun d’entre eux devant être authentifié individuellement.
Par défaut, le commutateur tente d’abord l’authentification 802.1X. S’il ne reçoit aucun paquet EAP du point de terminaison, ce qui indique que le point de terminaison n’a pas de demandeur 802.1X, il tente alors l’authentification MAC RADIUS.
[edit protocols] user@Policy-EX4300-01# set dot1x authenticator authentication-profile-name CP-Test-Profile user@Policy-EX4300-01# set dot1x authenticator interface ge-0/0/6.0 mac-radius user@Policy-EX4300-01# set dot1x authenticator interface ge-0/0/6.0 supplicant multiple user@Policy-EX4300-01# set dot1x authenticator interface ge-0/0/8.0 mac-radius user@Policy-EX4300-01# set dot1x authenticator interface ge-0/0/8.0 supplicant multiple user@Policy-EX4300-01# set dot1x authenticator interface ge-0/0/22.0 mac-radius user@Policy-EX4300-01# set dot1x authenticator interface ge-0/0/22.0 supplicant multiple
Configurez les VLAN utilisés dans cet exemple.
[edit vlans] user@Policy-EX4300-01# set AP_VLAN vlan-id 130 user@Policy-EX4300-01# set IPPhone_VLAN vlan-id 120 user@Policy-EX4300-01# set Windows_VLAN vlan-id 150 user@Policy-EX4300-01# set v100 description "Remediation VLAN" user@Policy-EX4300-01# set v100 vlan-id 100
Notez que pour que l’attribution dynamique de VLAN fonctionne, le VLAN doit exister sur le commutateur avant que l’authentification ne soit tentée. Si le VLAN n’existe pas, l’authentification échoue.
Configurez les ports d’accès.
Chaque port d’accès est configuré pour être dans le VLAN v100, le VLAN de correction. Ce VLAN sera utilisé par le point de terminaison si Aruba ClearPass n’envoie pas d’informations de VLAN dynamique lorsqu’il authentifie le point de terminaison.
[edit interfaces] user@Policy-EX4300-01# set ge-0/0/6 unit 0 family ethernet-switching interface-mode access user@Policy-EX4300-01# set ge-0/0/6 unit 0 family ethernet-switching vlan members v100 user@Policy-EX4300-01# set ge-0/0/8 unit 0 family ethernet-switching interface-mode access user@Policy-EX4300-01# set ge-0/0/8 unit 0 family ethernet-switching vlan members v100 user@Policy-EX4300-01# set ge-0/0/22 unit 0 family ethernet-switching interface-mode access user@Policy-EX4300-01# set ge-0/0/22 unit 0 family ethernet-switching vlan members v100
Configurez les interfaces IRB et attribuez-les aux VLAN.
[edit interfaces] user@Policy-EX4300-01# set irb unit 100 family inet address 10.10.100.1/24 user@Policy-EX4300-01# set irb unit 120 family inet address 10.10.120.1/24 user@Policy-EX4300-01# set irb unit 130 family inet address 10.10.130.1/24 user@Policy-EX4300-01# set irb unit 150 family inet address 10.10.150.1/24
[edit vlans] user@Policy-EX4300-01# set v100 l3-interface irb.100 user@Policy-EX4300-01# set IPPhone_VLAN l3-interface irb.120 user@Policy-EX4300-01# set AP_VLAN l3-interface irb.130 user@Policy-EX4300-01# set Windows_VLAN l3-interface irb.150
Configurez le relais DHCP pour qu’il transmette les paquets de requêtes DHCP à Aruba ClearPass.
[edit forwarding-options] user@Policy-EX4300-01# set dhcp-relay server-group dhcp-dot1x 10.10.10.10 user@Policy-EX4300-01# set dhcp-relay server-group dhcp-dot1x 10.105.5.153 user@Policy-EX4300-01# set dhcp-relay active-server-group dhcp-dot1x user@Policy-EX4300-01# set dhcp-relay group all interface irb.100 user@Policy-EX4300-01# set dhcp-relay group all interface irb.120 user@Policy-EX4300-01# set dhcp-relay group all interface irb.130 user@Policy-EX4300-01# set dhcp-relay group all interface irb.150
Note:Dans cet exemple de configuration, les interfaces de couche 3 pour les VLAN de point de terminaison sont configurées sur le commutateur d’accès afin de démontrer la configuration du relais DHCP. Toutefois, dans un déploiement d’entreprise classique, les interfaces de couche 3 des VLAN de point de terminaison sont configurées sur un commutateur d’agrégation ou de couche centrale. Dans un tel déploiement, le relais DHCP du commutateur central ou d’agrégation doit être configuré pour transférer les requêtes DHCP des points de terminaison vers Aruba ClearPass.
Configurez un filtre de pare-feu, Internet_Only_Access, à utiliser pour les périphériques qui ont été authentifiés par l’authentification MAC RADIUS, mais qui n’ont pas encore été profilés.
Ce filtre empêche un point de terminaison d’accéder au réseau interne (192.168.0.0/16).
[edit firewall] user@Policy-EX4300-01# set family ethernet-switching filter Internet_Only_Access term Allow_DHCP from destination-port 67 user@Policy-EX4300-01# set family ethernet-switching filter Internet_Only_Access term Allow_DHCP from destination-port 68 user@Policy-EX4300-01# set family ethernet-switching filter Internet_Only_Access term Allow_DHCP from ip-protocol udp user@Policy-EX4300-01# set family ethernet-switching filter Internet_Only_Access term Allow_DHCP then accept user@Policy-EX4300-01# set family ethernet-switching filter Internet_Only_Access term Allow_DNS from destination-port 53 user@Policy-EX4300-01# set family ethernet-switching filter Internet_Only_Access term Allow_DNS from ip-protocol udp user@Policy-EX4300-01# set family ethernet-switching filter Internet_Only_Access term Allow_DNS from ip-protocol tcp user@Policy-EX4300-01# set family ethernet-switching filter Internet_Only_Access term Block_Internal from ip-destination-address 192.168.0.0/16 user@Policy-EX4300-01# set family ethernet-switching filter Internet_Only_Access term Block_Internal then discard user@Policy-EX4300-01# set family ethernet-switching filter Internet_Only_Access term Allow_All then accept
Résultats
À partir du mode configuration, confirmez votre configuration en entrant les commandes suivantes show .
user@Policy-EX4300-01# show access
radius-server {
10.105.5.153 {
dynamic-request-port 3799;
secret "$9$FYxf3A0Ehrv87yl7Vs4DjfTz3Ct0BIcre"; ## SECRET-DATA
source-address 10.105.5.91;
}
}
profile CP-Test-Profile {
accounting-order radius;
authentication-order radius;
radius {
authentication-server 10.105.5.153;
accounting-server 10.105.5.153;
options {
nas-identifier 10.105.5.91;
}
}
}
user@Policy-EX4300-01# show protocols
dot1x {
authenticator {
authentication-profile-name CP-Test-Profile;
interface {
ge-0/0/6.0 {
supplicant multiple;
mac-radius;
}
ge-0/0/8.0 {
supplicant multiple;
mac-radius;
}
ge-0/0/22.0 {
supplicant multiple;
mac-radius;
}
}
}
}
user@Policy-EX4300-01# show interfaces
ge-0/0/6 {
unit 0 {
family ethernet-switching {
vlan {
members v100;
}
}
}
}
ge-0/0/8 {
unit 0 {
family ethernet-switching;
vlan {
members v100;
}
}
}
}
ge-0/0/22 {
unit 0 {
family ethernet-switching {
vlan {
members v100;
}
}
}
}
irb {
unit 100 {
family inet {
address 10.10.100.1/24;
}
}
unit 120 {
family inet {
address 10.10.120.1/24;
}
}
unit 130 {
family inet {
address 10.10.130.1/24;
}
}
unit 150 {
family inet {
address 10.10.150.1/24;
}
}
}
user@Policy-EX4300-01# show vlans
AP_VLAN {
vlan-id 130;
l3-interface irb.130;
}
IPPhone_VLAN {
vlan-id 120;
l3-interface irb.120;
}
Windows_VLAN {
vlan-id 150;
l3-interface irb.150;
}
v100 {
description "Remediation VLAN";
vlan-id 100;
l3-interface irb.100;
}
user@Policy-EX4300-01# show forwarding-options
dhcp-relay {
server-group {
dhcp-dot1x {
10.10.10.10;
10.105.5.153;
}
}
active-server-group dhcp-dot1x;
group all {
interface irb.100;
interface irb.120;
interface irb.130;
interface irb.150;
}
}
user@Policy-EX4300-01# show firewall
family ethernet-switching {
filter Internet_Only_Access {
term Allow_DHCP {
from {
destination-port [ 67 68 ];
ip-protocol udp;
}
then accept;
}
term Allow_DNS {
from {
destination-port 53;
ip-protocol [ udp tcp ];
}
}
term Block_Internal {
from {
ip-destination-address {
192.168.0.0/16;
}
}
then discard;
}
term Allow_All {
then accept;
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Configuration d’Aruba ClearPass Policy Manager
Procédure étape par étape
Les étapes générales de configuration d’Aruba ClearPass sont les suivantes :
Activez le profilage de l’appareil.
Modifiez le fichier du dictionnaire RADIUS de Juniper Networks afin qu’il inclue des attributs RADIUS Juniper Networks supplémentaires utilisés dans cet exemple de configuration.
Ajoutez l’EX4300 en tant que périphérique réseau.
Assurez-vous que le certificat de serveur utilisé pour l’authentification PEAP 802.1X a été installé.
Ajoutez l’utilisateur local utilisé dans cet exemple pour l’authentification 802.1X.
Créez les profils d’application suivants :
Employee_Windows_Profile qui place les terminaux dans le VLAN 150.
IPPhone_Profile qui définit le VLAN 120 comme le VLAN VoIP.
AccessPoint_Profile qui place les terminaux dans le VLAN 130.
Internet_Access_Only_Profile qui spécifie le filtre de pare-feu Internet_Only_Access être utilisé pour les appareils qui n’ont pas encore été profilés.
Créez deux stratégies d’application :
Stratégie appelée lors de l’utilisation de l’authentification MAC RADIUS.
Stratégie appelée lorsque l’authentification 802.1X est utilisée.
Définissez le service d’authentification MAC RADIUS et le service d’authentification 802.1X.
Assurez-vous que le service d’authentification MAC RADIUS est évalué avant le service d’authentification 802.1X.
Pour configurer Aruba ClearPass :
Activez le profilage de l’appareil.
Procédure étape par étape
Sous Administration > Gestionnaire de serveur > Configuration du serveur, cliquez sur le nom du serveur Aruba ClearPass.
Dans l’onglet Système, cliquez sur Activer ce serveur pour la classification des points de terminaison.
Mettez à jour le fichier du dictionnaire RADIUS de Juniper Networks.
Un fichier du dictionnaire RADIUS du réseau Juniper est préinstallé sur Aruba ClearPass. Junos OS version 15.1R3 pour les commutateurs EX Series ajoute la prise en charge de trois nouveaux VSA Juniper Networks, qui doivent être ajoutés au fichier de dictionnaire.
Procédure étape par étape
Dans Aruba ClearPass, accédez à Administration > Dictionaries > RADIUS.
Dans la fenêtre RADIUS Dictionaries (Dictionnaires RADIUS), utilisez le champ Filter (Filtre) pour rechercher Juniper sous Vendor Name (Nom du fournisseur).
Cliquez sur le nom du dictionnaire Juniper, puis sur Exporter et enregistrer le RadiusDictionary.xml fichier sur votre bureau.
Copiez les trois attributs suivants, collez-les dans RadiusDictionary.xml, puis enregistrez le fichier.
<Attribute profile="in out" type="String" name="Juniper-CWA-Redirect-URL" id="50" /> <Attribute profile="in out" type="String" name="Juniper-Switching-Filter" id="48" /> <Attribute profile="in out" type="String" name="Juniper-VoIP-Vlan" id="49" />
Le fichier dictionnaire devrait ressembler à ceci lorsque vous terminez le collage :
Importez RadiusDictionary.xml dans Aruba ClearPass en cliquant
dans la fenêtre RADIUS Dictionaries (Dictionnaires RADIUS) et en accédant au fichier.
Une fois le fichier importé, il doit ressembler à ceci :
Ajoutez le commutateur EX4300 en tant que périphérique réseau.
Procédure étape par étape
Sous Configuration > périphériques de > réseau, cliquez sur Ajouter.
Dans l’onglet Périphérique, entrez le nom d’hôte et l’adresse IP du commutateur, ainsi que le secret partagé RADIUS que vous avez configuré sur le commutateur. Définissez le champ Nom du fournisseur sur Juniper.
Assurez-vous qu’il existe un certificat de serveur pour l’authentification PEAP 802.1X.
Sous Administration > Certificats > Certificat de serveur, vérifiez qu’un certificat de serveur valide est installé sur Aruba ClearPass. Si ce n’est pas le cas, ajoutez un certificat de serveur valide. La documentation Aruba ClearPass et votre autorité de certification peuvent fournir plus de détails sur la façon d’obtenir des certificats et de les importer dans ClearPass.
Ajoutez un utilisateur de test au référentiel d’utilisateurs local.
Cet utilisateur sera utilisé pour vérifier l’authentification 802.1X.
Procédure étape par étape
Sous Configuration > identité > utilisateurs locaux, cliquez sur Ajouter.
Dans la fenêtre Ajouter un utilisateur local, entrez l’ID utilisateur (usertest1), le nom d’utilisateur (Test User) et le mot de passe. Sélectionnez ensuite Employé comme rôle d’utilisateur. Sous Attributs, sélectionnez l’attribut Service et saisissez Finance sous Valeur.
Configurez un profil d’application pour les ordinateurs portables ou de bureau Windows des employés qui s’authentifient à l’aide de la norme 802.1X.
Ce profil place les points de terminaison dans le VLAN 150.
Procédure étape par étape
Sous Configuration > application > profils, cliquez sur Ajouter.
Dans l’onglet Profil, définissez Modèle sur Application basée sur RADIUS et tapez le nom du profil, Employee_Windows_Profile, dans le champ Nom.
Dans l’onglet Attributs, configurez les attributs comme indiqué.
Configurez un profil d’application de point d’accès, qui place les points d’accès dans le VLAN 130.
Pour créer ce profil, utilisez la même procédure de base qu’à l’étape précédente. Une fois que vous avez complété le profil, les informations de l’onglet Résumé s’affichent comme indiqué.
Configurez un profil d’application de téléphone IP.
Ce profil indique à Aruba ClearPass de renvoyer le VLAN 120 comme VLAN à utiliser comme VLAN VoIP. Le dictionnaire RADIUS de Juniper Networks définit un attribut RADIUS spécial à utiliser à cette fin. Sélectionnez RADIUS-Juniper comme type d’attribut et Juniper-VoIP-Vlan comme nom d’attribut.
Une fois que vous avez complété le profil, les informations de l’onglet Résumé s’affichent comme indiqué.
Configurez un profil d’application d’accès Internet uniquement.
Ce profil d’application indique à Aruba ClearPass de renvoyer le nom du filtre de pare-feu Internet_Only_Access, c’est-à-dire le filtre de pare-feu que vous avez configuré sur le commutateur qui bloque l’accès au réseau interne. Une fois que vous avez complété ce profil, les informations de l’onglet Résumé s’affichent comme indiqué.
Configurez la stratégie d’application de l’authentification MAC RADIUS.
Pour les points de terminaison authentifiés par l’authentification MAC RADIUS, cette stratégie indique à Aruba ClearPass d’appliquer les stratégies d’application en fonction du profil de l’appareil. Le AccessPoint_Profile est appliqué aux points de terminaison profilés en tant que points d’accès, tandis que le IPPhone_Profile est appliqué aux points de terminaison profilés en tant que téléphones VoIP. La stratégie d’application prédéfinie Refuser le profil d’accès est appliquée aux points de terminaison profilés en tant qu’appareils Windows. Cela applique la stratégie d’accès de l’organisation selon laquelle seuls les ordinateurs portables équipés d’un demandeur 802.1X sont autorisés à accéder au réseau. Pour tous les autres points de terminaison, y compris les points de terminaison qui n’ont pas encore été profilés, le profil Internet_Access_Only sera appliqué.
Procédure étape par étape
Sous Configuration > application > stratégies, cliquez sur Ajouter.
Dans l’onglet Application, tapez le nom de la stratégie (Juniper-MAC-Auth-Policy) et définissez Profil par défaut sur Internet_Access_Only.
Dans l’onglet Règles, cliquez sur Ajouter une règle et ajoutez les règles affichées.
Vous devez ajouter les règles de manière séquentielle en cliquant sur Enregistrer avant de créer la règle suivante.
Configurez la stratégie d’application 802.1X.
Cette stratégie indique à Aruba ClearPass d’utiliser le profil d’application Employee_Windows_Profile si un utilisateur est authentifié avec succès en tant que membre du service financier.
Procédure étape par étape
Sous Configuration > application > stratégies, cliquez sur Ajouter.
Dans l’onglet Application, tapez le nom de la stratégie (Juniper_Dot1X_Policy) et définissez Profil par défaut sur [Autoriser le profil d’accès]. (Il s’agit d’un profil prédéfini.)
Dans l’onglet Règles, cliquez sur Ajouter une règle et ajoutez la règle affichée.
Configurez le service d’authentification MAC RADIUS.
La configuration de ce service entraîne l’exécution de l’authentification MAC RADIUS lorsque l’attribut RADIUS User-Name et l’attribut Client-MAC-Address received ont la même valeur.
Procédure étape par étape
Sous Configuration > services, cliquez sur Ajouter.
Dans l’onglet Services, remplissez les champs comme indiqué. Assurez-vous de sélectionner l’option Points de terminaison de profil .
Dans l’onglet Authentification :
Supprimez [ MAC AUTH ] de la liste Méthodes d’authentification et ajoutez [EAP MD5] à la liste.
Sélectionnez [ Référentiel des points de terminaison] [Base de données SQL locale] dans la liste Sources d’authentification.
Dans l’onglet Application, sélectionnez Juniper-MAC-Auth-Policy.
Dans l’onglet Profileur :
Ajoutez un ordinateur, un téléphone VoIP et des points d’accès à la liste de classification des points de terminaison.
Sélectionnez [Juniper Terminer la session] dans la liste Action CoA RADIUS.
Cette configuration entraîne la réauthentification des points de terminaison après leur profilage et leur ajout au référentiel de points de terminaison. Avant qu’un point de terminaison ne soit profilé, le profil d’application Internet_Access_Only_Profile est en vigueur pour la session d’utilisateur authentifié. (Il s’agit du profil par défaut de la stratégie d’authentification MAC configurée à l’étape 10.) Une fois qu’Aruba ClearPass a réussi à classer un périphérique, il envoie un CoA RADIUS au commutateur, ce qui entraîne la fin de la session par ce dernier. Le commutateur tente ensuite de réauthentifier le point de terminaison. Étant donné que le profil d’appareil du point de terminaison se trouve désormais dans le référentiel de points de terminaison, le profil d’application d’appareil approprié est appliqué lorsque le point de terminaison est authentifié.
Configurez le service d’authentification 802.1X.
Procédure étape par étape
Sous Configuration > services, cliquez sur Ajouter.
Dans l’onglet Service, remplissez les champs comme indiqué.
Dans l’onglet Authentification, définissez Sources d’authentification sur [Référentiel utilisateur local][Base de données SQL locale].
Dans l’onglet Application, définissez Stratégie d’application sur Juniper_Dot1X_Policy.
Vérifiez que la stratégie du service d’authentification MAC RADIUS est évaluée avant la stratégie du service d’authentification 802.1X.
Étant donné qu’Aruba ClearPass est configuré pour reconnaître les demandes d’authentification MAC RADIUS par l’attribut RADIUS User-Name et l’attribut Client-MAC-Address ayant la même valeur, il est plus efficace d’évaluer d’abord la stratégie de service MAC RADIUS.
Dans la fenêtre principale Services, vérifiez que Juniper-MAC-Auth-Policy apparaît avant Juniper-MAC_Dot1X_Policy dans la liste des services, comme indiqué. Si ce n’est pas le cas, cliquez sur Réorganiser et déplacez Juniper-MAC-Auth-Policy au-dessus de Juniper-MAC_Dot1X_Policy.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification de l’authentification 802.1X sur le commutateur EX4300
- Vérification de l’authentification du point d’accès sur le commutateur EX4300
- Vérification de l’authentification du téléphone VoIP et de l’ordinateur portable extérieur à l’entreprise sur le commutateur EX4300
- Vérification de l’état des demandes d’authentification sur Aruba ClearPass Policy Manager
Vérification de l’authentification 802.1X sur le commutateur EX4300
But
Vérifiez que l’utilisateur de test, usertest1, est authentifié et placé dans le bon VLAN.
Pour effectuer cette procédure, vous devez disposer d’un appareil Windows avec un demandeur 802.1X actif qui transmet les informations d’authentification pour usertest1. Pour plus d’informations sur la configuration d’un demandeur Windows 7 pour l’authentification PEAP 802.1X, voir Configuration de l’authentification PEAP 802.1X et MAC RADIUS avec les commutateurs EX Series et Aruba ClearPass Policy Manager.
Action
Connectez l’ordinateur portable Windows 7 à ge-0/0/22 sur le commutateur EX4300.
Sur le commutateur, tapez la commande suivante :
user@Policy-EX4300-01> show dot1x interface ge-0/0/22.0 802.1X Information: Interface Role State MAC address User ge-0/0/22.0 Authenticator Authenticated 00:50:56:9B:03:7F usertest1Pour plus d’informations, y compris sur l’attribution dynamique de VLAN, tapez :
user@Policy-EX4300-01> show dot1x interface ge-0/0/22.0 detail ge-0/0/22.0 Role: Authenticator Administrative state: Auto Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: not configured Number of connected supplicants: 1 Supplicant: usertest1, 00:50:56:9B:03:7F Operational state: Authenticated Backend Authentication state: Idle Authentication method: Radius Authenticated VLAN: Windows_VLAN Session Reauth interval: 3600 seconds Reauthentication due in 2682 seconds Session Accounting Interim Interval: 600 seconds Accounting Update due in 282 secondsLa sortie montre que usertest1 a été authentifié avec succès et placé dans Windows_VLAN VLAN.
Vérification de l’authentification du point d’accès sur le commutateur EX4300
But
Vérifiez que le point d’accès a été authentifié et placé dans le bon VLAN.
Action
Connectez un point d’accès à ge-0/0/6 sur le commutateur EX4300.
Sur le commutateur, tapez la commande suivante :
user@Policy-EX4300-01> show dot1x interface ge-0/0/6 ge-0/0/6.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Enabled Mac Radius Restrict: Disabled Mac Radius Authentication Protocol: EAP-MD5 Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: not configured Number of connected supplicants: 1 Supplicant: c46413c07cda, C4:64:13:C0:7C:DA Operational state: Authenticated Backend Authentication state: Idle Authentication method: Mac Radius Authenticated VLAN: AP_VLAN Session Reauth interval: 3600 seconds Reauthentication due in 1669 seconds Session Accounting Interim Interval: 600 seconds Accounting Update due in 379 secondsLa sortie indique que le point d’accès a été authentifié et placé dans le VLAN AP_VLAN.
Vérification de l’authentification du téléphone VoIP et de l’ordinateur portable extérieur à l’entreprise sur le commutateur EX4300
But
Vérifiez que le téléphone VoIP a été authentifié avec succès et que l’ordinateur portable n’appartenant pas à l’entreprise n’a pas été authentifié.
Action
Connectez un téléphone VoIP à ge-0/0/8 sur le commutateur EX4300 et connectez un ordinateur portable qui ne dispose pas d’un demandeur 802.1X activé au port Ethernet du téléphone.
Pour vérifier l’état d’authentification des périphériques, tapez la commande suivante sur le commutateur :
user@Policy-EX4300-01> show dot1x interface ge-0/0/8 ge-0/0/8.0 Role: Authenticator Administrative state: Auto Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Enabled Mac Radius Restrict: Disabled Mac Radius Authentication Protocol: EAP-MD5 Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: not configured Number of connected supplicants: 2 Supplicant: 08173515ec53, 08:17:35:15:EC:53 Operational state: Authenticated Backend Authentication state: Idle Authentication method: Mac Radius Authenticated VLAN: IPPhone_VLAN Session Reauth interval: 3600 seconds Reauthentication due in 3591 seconds Session Accounting Interim Interval: 600 seconds Accounting Update due in 591 seconds Supplicant: No User, D0:67:E5:50:E3:DD Operational state: Connecting Backend Authentication state: Idle Authentication method: None Session Reauth interval: 0 seconds Reauthentication due in 0 seconds Session Accounting Interim Interval: 600 seconds Accounting Update due in 0 secondsLa sortie montre que deux demandeurs sont attachés au port, chacun identifié par une adresse MAC. Le téléphone VoIP a été authentifié avec succès et placé en IPPhone_VLAN. L’ordinateur portable est dans un état de connexion, et non authentifié, ce qui indique qu’il n’a pas pu être authentifié.
Pour vérifier qu IPPhone_VLAN VLAN a été attribué en tant que VLAN VoIP, tapez la commande suivante :
user@Policy-EX4300-01> show ethernet-switching interface ge-0/0/8 Routing Instance Name : default-switch Logical Interface flags (DL - disable learning, AD - packet action drop, LH - MAC limit hit, DN - interface down, MMAS - Mac-move action shutdown, SCTL - shutdown by Storm-control ) Logical Vlan TAG MAC STP Logical Tagging interface members limit state interface flags ge-0/0/8.0 65535 tagged,untagged default 1 65535 Forwarding untagged IPPhone_VLAN 120 65535 Forwarding tagged
IPPhone_VLAN s’affiche sous la forme d’un VLAN balisé, indiquant qu’il s’agit bien du VLAN VoIP.
Vérification de l’état des demandes d’authentification sur Aruba ClearPass Policy Manager
But
Vérifiez que les points de terminaison sont correctement authentifiés et que les attributs RADIUS corrects sont échangés entre le commutateur et Aruba ClearPass.
Action
Accédez à Surveillance > Surveillance en direct > Traqueur d’accès pour afficher l’état des demandes d’authentification.
Access Tracker surveille les demandes d’authentification au fur et à mesure qu’elles se produisent et rend compte de leur état.
Pour obtenir plus de détails sur une demande d’authentification particulière, cliquez sur la demande.
Pour vérifier les attributs RADIUS qu’Aruba ClearPass a renvoyés au commutateur pour cette demande, cliquez sur l’onglet Output (Sortie ).
Sens
La demande d’authentification du téléphone IP a abouti et les informations correctes sur le VLAN VoIP ont été renvoyées au commutateur.