Aruba ClearPass Policy Manager と Cisco ISE を搭載した EXシリーズスイッチのカラーレスポートの設定

Junos OSリリース20.4R1以降、EXスイッチはカラーレスポートをサポートしています。カラーレスポートは、スタンダードベースのRADIUSサーバーとのデバイスプロファイリングと組み合わせて使用され、アクセスポートをトランクポートに変換し、必要なタグ付けで必要なVLANを許可します。一部のVLANがスイッチ上で欠落している場合、この機能は、欠落しているVLANをスイッチ上で動的に作成するのに役立ちます。

MAB(MAC認証バイパス)は、ヘッドレス、802.1X非対応デバイス、レガシーデバイス、およびゲストユーザーのフェイルスルーとして一般的に使用されています。MABは、多くの場合、802.1Xやキャプティブポータルと無色ポート構成の一部として組み合わされ、単一のポート構成であらゆるユーザーとデバイスタイプをサポートします。

Aruba ClearPassは、スタンダードベースのプロトコルとテクノロジーを活用するマルチベンダー製品であり、ポリシー適用のためのベンダー固有のスイッチ機能をサポートする柔軟性を備えています。

Radius IETF属性 Egress-VLANID は、タグ機能を持つVLANに使用されます。RFC 4675に従って、標準ベースのRadiusサーバーは、タグ付きパケットのradius属性 Egress-VLANID または Egress-VLAN-Name を使用して、複数のタグ付きVLANを送信できます。

Egress-VLANIDまたはEgress-VLAN-Name属性には、2つの部分が含まれます。最初の部分は、このポートのVLAN上のフレームをタグ付き形式またはタグなし形式で表すかどうかを示し、2番目の部分はVLAN名です。例えば:

注:

Egress-VLAN-Name は Egress-VLANID 属性と似ていますが、VLAN-ID 自体が指定されていないか不明である点が異なります。VLAN名は、システム内のVLANを識別するために使用されます。

例:

属性Egress-VLANIDの場合:

属性Egress-VLAN-Nameの場合:

サンプル半径プロファイルの場合:

Junos OSリリース20.3R1では、属性ジュニパー-AV-ペアを持つ新しいVSA Supplicant-Mode-SingleまたはSupplicant-Mode-Single-secureを追加しました。dot1xのサプリカントモードを設定するために使用されます。

要件

この例では、ポリシーインフラストラクチャに以下のハードウェアおよびソフトウェアコンポーネントを使用しています。

Junos OSリリース20.4R1以前を実行しているEX4300、EX2300、EX3400スイッチ
6.9.0.130064を実行するAruba ClearPass Policy Manager

概要とトポロジー

VLAN 名は、Radius サーバーが各スイッチの VLAN から機能へのマッピングを維持する必要がなくなるため、無色ポートの導入に強く推奨されます。これにより、ポリシーの作成、管理、トラブルシューティングが簡素化されます。

たとえば、各スイッチが「セキュアアクセス」用に異なるVLAN IDを使用する場合があります。スイッチごとに正しいVLAN-IDを返すためにRADIUSに複雑なポリシーを記述する必要はなく、各スイッチで適切なVLAN-IDに名前を付けるだけです。例えば「SECURE」です。RADIUSサーバーでは、VLAN-IDとして「SECURE」を使用してVLAN適用を返すだけで、各スイッチはスイッチにローカルにマッピングされた適切なVLAN-IDを使用します。

注:

ClearPass 6.6.X以前では、事前定義されたジュニパーの動的許可適用プロファイルをジュニパースイッチで使用する必要があります。

図1 は、この例で使用されているトポロジーを示しています。

図1:この例で使用されているトポロジー Basic network setup diagram with a Network Access Server connected to an EX Series Switch, which links a security camera, desktop computer, and VoIP phone. The switch connects via a trunk line to a device and a Wireless Access Point, providing wireless access to laptops.

Basic network setup diagram with a Network Access Server connected to an EX Series Switch, which links a security camera, desktop computer, and VoIP phone. The switch connects via a trunk line to a device and a Wireless Access Point, providing wireless access to laptops.

次に、デバイスプロファイリングを有効にし、ネイティブVLANとしてVLAN130を持つトランクポートにMIST APを検出し、残りのVLAN(121、131、151、102)を許可した後にポートを変換するためのRADIUSサーバーのサンプルプロファイルを示します。

Network configuration for VLAN assignments with EAP authentication and cleartext password. Includes VLAN IDs 130 unassigned, 121 tagged, 131, 151, and 102 using hexadecimal values.

手順

ステップバイステップの手順

Aruba ClearPass Policy Manager と Cisco ISE を搭載した EXシリーズスイッチで無色ポートを設定するには、以下の手順に従います。

Example of an Enforcement Profile in Aruba ClearPass / ISE—Egress-VLANID属性を使用する場合、ClearPassではEgress-VLANID値に10進数を入力する必要があるため、目的の16進値を10進数に変換する必要があります。例えば、VLAN 130 のタグなしについては、適用プロファイルのエントリ 4 を参照してください。この 16 進数値は 0x3200082 です。16進数値を10進数に変換すると、52428930が得られます。

注:
16進数を10進数にすばやく変換するには、Webサイトで利用できる変換アプリケーションツールを使用します。

図2:適用プロファイル

スイッチポートがサプリカントモードマルチに設定されている場合、RADIUS応答で Supplicant-Mode-SingleまたはSupplicant-Mode-Single-Secureのジュニパー-AV-ペアも返す必要があります。 Egress-VLANID 属性および Egress-VLAN-NAME 属性は、マルチプルのサプリカントモードで使用することはできません。
適用プロファイル - Egress-VLAN-NAMEでは、Egress-VLANID属性ではなくEgress-VLAN-NAME属性を使用する方法を確認できます。

図3:適用プロファイル - Egress-VLAN-NAME

注:
VLAN名に1を割り当ててタグ付きを示すか、2を割り当ててタグなしを示す必要があります。値では大文字と小文字が区別されます。
Example for Cisco ISE

図4:Cisco ISE

図5: Aruba ClearPassプロファイリング

図6:VLANとポートの設定