EN ESTA PÁGINA
Ejemplo: configuración de perfiles de dispositivos con conmutadores de la serie EX y Aruba ClearPass Policy Manager
Este ejemplo de configuración ilustra cómo usar las funciones de los conmutadores de la serie EX y Aruba ClearPass Policy Manager para realizar la generación de perfiles de dispositivos como parte del proceso de autenticación de punto de conexión.
En este ejemplo, una organización tiene cuatro tipos de puntos de conexión en su infraestructura cableada para los que ha definido políticas de acceso:
Puntos de acceso: los puntos de conexión perfilados como puntos de acceso tienen acceso a la red y se asignan dinámicamente a la VLAN AP_VLAN.
Teléfonos IP: los puntos de conexión perfilados como teléfonos IP tienen acceso a la red. El IPPhone_VLAN se asigna dinámicamente como VLAN VoIP.
Portátiles corporativos: los puntos finales que tienen un suplicante 802.1X se autentican mediante las credenciales de usuario. Una vez que el usuario se autentica correctamente, se concede al equipo portátil acceso a la red y se coloca en la VLAN Windows_VLAN.
Portátiles no corporativos: puntos de conexión que no tienen un suplicante 802.1X y que se perfilan como dispositivos Windows a los que se les niega el acceso a la red.
En este tema se trata:
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software para la infraestructura de directivas:
Un conmutador EX4300 que ejecute Junos OS versión 15.1R3 o posterior
Una plataforma Aruba ClearPass Policy Manager que ejecute 6.3.3.63748 o posterior
Descripción general y topología
Para implementar las directivas de acceso a puntos de conexión, la infraestructura de políticas se configura de la siguiente manera:
Todas las interfaces de acceso del conmutador están configuradas inicialmente para estar en VLAN 100, que sirve como VLAN de reparación. Si un punto de conexión no se autentica correctamente o no se perfila correctamente como uno de los puntos de conexión compatibles, permanece en la VLAN de corrección.
Los extremos que tienen un suplicante 802.1X se autentican mediante la autenticación PEAP 802.1X. Para obtener más información sobre la autenticación PEAP 802.1X, consulte Configuración de la autenticación PEAP 802.1X y MAC RADIUS con conmutadores de la serie EX y Aruba ClearPass Policy Manager.
Los puntos finales que no tienen un suplicante 802.1X se autentican mediante la autenticación MAC RADIUS y se perfilan para determinar qué tipo de dispositivo son. Estos puntos de conexión se someten a un proceso de autenticación de dos pasos:
El primer paso se produce después de que un punto de conexión se conecta por primera vez al conmutador, pero antes de que Aruba ClearPass Profile lo haya perfilado. Después de conectarse, el punto de conexión se autentica mediante la autenticación MAC RADIUS. Aruba ClearPass aplica una política de cumplimiento que indica al conmutador que conceda al extremo acceso a Internet, pero le impide acceder a la red interna.
El segundo paso se produce después de que un punto de conexión se haya perfilado correctamente. Después de autenticarse en el primer paso, el extremo se pone en contacto con un servidor DHCP para solicitar una dirección IP. El conmutador también transmite los mensajes DHCP enviados por el extremo al servidor DHCP a Aruba ClearPass, lo que permite a ClearPass generar perfiles del extremo. Después de haber perfilado el punto de conexión y agregado el punto de conexión a su repositorio de puntos de conexión, ClearPass envía un mensaje de cambio de autorización (CoA) de RADIUS al conmutador, indicándole que finalice la sesión. A continuación, el conmutador intenta volver a autenticarse en nombre del extremo. Dado que el punto de conexión ahora existe en el repositorio de puntos de conexión, Aruba ClearPass puede aplicar una política de cumplimiento adecuada al tipo de dispositivo cuando autentica el punto de conexión. Por ejemplo, si el extremo es un punto de acceso, ClearPass aplica la política de cumplimiento que asigna dinámicamente el punto de acceso a la VLAN AP_VLAN.
La figura 1 muestra la topología utilizada en este ejemplo.
Configuración
En esta sección se proporcionan instrucciones paso a paso para:
Configuración del conmutador EX4300
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, escriba confirmar desde el [edit] modo de configuración.
[edit] set access radius-server 10.105.5.153 dynamic-request-port 3799 set access radius-server 10.105.5.153 secret password set access radius-server 10.105.5.153 source-address 10.105.5.91 set access profile CP-Test-Profile accounting-order radius set access profile CP-Test-Profile authentication-order radius set access profile CP-Test-Profile radius authentication-server 10.105.5.153 set access profile CP-Test-Profile radius accounting-server 10.105.5.153 set access profile CP-Test-Profile radius options nas-identifier 10.105.5.91 set protocols dot1x authenticator authentication-profile-name CP-Test-Profile set protocols dot1x authenticator interface ge-0/0/6.0 mac-radius set protocols dot1x authenticator interface ge-0/0/6.0 supplicant multiple set protocols dot1x authenticator interface ge-0/0/8.0 mac-radius set protocols dot1x authenticator interface ge-0/0/8.0 supplicant multiple set protocols dot1x authenticator interface ge-0/0/22.0 mac-radius set protocols dot1x authenticator interface ge-0/0/22.0 supplicant multiple set vlans AP_VLAN vlan-id 130 set vlans IPPhone_VLAN vlan-id 120 set vlans Windows_VLAN vlan-id 150 set vlans v100 description "Remediation VLAN" set vlans v100 vlan-id 100 set interfaces ge-0/0/6 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/6 unit 0 family ethernet-switching vlan members v100 set interfaces ge-0/0/8 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/8 unit 0 family ethernet-switching vlan members v100 set interfaces ge-0/0/22 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/22 unit 0 family ethernet-switching vlan members v100 set interfaces irb unit 100 family inet address 10.10.100.1/24 set interfaces irb unit 120 family inet address 10.10.120.1/24 set interfaces irb unit 130 family inet address 10.10.130.1/24 set interfaces irb unit 150 family inet address 10.10.150.1/24 set vlans AP_VLAN l3-interface irb.130 set vlans IPPhone_VLAN l3-interface irb.120 set vlans Windows_VLAN l3-interface irb.150 set vlans v100 l3-interface irb.100 set forwarding-options dhcp-relay server-group dhcp-dot1x 10.10.10.10 set forwarding-options dhcp-relay server-group dhcp-dot1x 10.105.5.153 set forwarding-options dhcp-relay active-server-group dhcp-dot1x set forwarding-options dhcp-relay group all interface irb.100 set forwarding-options dhcp-relay group all interface irb.120 set forwarding-options dhcp-relay group all interface irb.130 set forwarding-options dhcp-relay group all interface irb.150 set firewall family ethernet-switching filter Internet_Only_Access term Allow_DHCP from destination-port 67 set firewall family ethernet-switching filter Internet_Only_Access term Allow_DHCP from destination-port 68 set firewall family ethernet-switching filter Internet_Only_Access term Allow_DHCP from ip-protocol udp set firewall family ethernet-switching filter Internet_Only_Access term Allow_DHCP then accept set firewall family ethernet-switching filter Internet_Only_Access term Allow_DNS from destination-port 53 set firewall family ethernet-switching filter Internet_Only_Access term Allow_DNS from ip-protocol udp set firewall family ethernet-switching filter Internet_Only_Access term Allow_DNS from ip-protocol tcp set firewall family ethernet-switching filter Internet_Only_Access term Block_Internal from ip-destination-address 192.168.0.0/16 set firewall family ethernet-switching filter Internet_Only_Access term Block_Internal then discard set firewall family ethernet-switching filter Internet_Only_Access term Allow_All then accept
Procedimiento paso a paso
Los pasos generales para configurar el conmutador EX4300 son:
Configure la conexión con Aruba ClearPass Policy Manager.
Cree el perfil de acceso utilizado por el protocolo 802.1X. El perfil de acceso indica al protocolo 802.1X qué servidor de autenticación y métodos de autenticación se deben utilizar, así como el orden de los métodos de autenticación.
Configure el protocolo 802.1X.
Configure las VLAN.
Configure la conmutación Ethernet en los puertos de acceso.
Configure interfaces de enrutamiento y puente integrados (IRB) y asígnelas a las VLAN.
Configure la retransmisión DHCP para enviar paquetes DHCP a Aruba ClearPass para que pueda realizar la creación de perfiles de dispositivos.
Cree la política de firewall que bloquea el acceso a la red interna.
Para configurar el conmutador EX4300:
Proporcione la información de conexión del servidor RADIUS.
[edit access] user@Policy-EX4300-01# set radius-server 10.105.5.153 dynamic-request-port 3799 user@Policy-EX4300-01# set radius-server 10.105.5.153 secret password user@Policy-EX4300-01# set radius-server 10.105.5.153 source-address 10.105.5.91
Configure el perfil de acceso.
[edit access] user@Policy-EX4300-01# set profile CP-Test-Profile accounting-order radius user@Policy-EX4300-01# set profile CP-Test-Profile authentication-order radius user@Policy-EX4300-01# set profile CP-Test-Profile radius authentication-server 10.105.5.153 user@Policy-EX4300-01# set profile CP-Test-Profile radius accounting-server 10.105.5.153 user@Policy-EX4300-01# set profile CP-Test-Profile radius options nas-identifier 10.105.5.91
Configure 802.1X para utilizar CP-Test-Profile y habilite el protocolo en cada interfaz de acceso. Además, configure las interfaces para que admitan la autenticación MAC RADIUS y permitan más de un suplicante, cada uno de los cuales debe autenticarse individualmente.
De forma predeterminada, el conmutador primero intentará la autenticación 802.1X. Si no recibe ningún paquete EAP del punto de conexión, lo que indica que el punto de conexión no tiene un suplicante 802.1X, intenta la autenticación MAC RADIUS.
[edit protocols] user@Policy-EX4300-01# set dot1x authenticator authentication-profile-name CP-Test-Profile user@Policy-EX4300-01# set dot1x authenticator interface ge-0/0/6.0 mac-radius user@Policy-EX4300-01# set dot1x authenticator interface ge-0/0/6.0 supplicant multiple user@Policy-EX4300-01# set dot1x authenticator interface ge-0/0/8.0 mac-radius user@Policy-EX4300-01# set dot1x authenticator interface ge-0/0/8.0 supplicant multiple user@Policy-EX4300-01# set dot1x authenticator interface ge-0/0/22.0 mac-radius user@Policy-EX4300-01# set dot1x authenticator interface ge-0/0/22.0 supplicant multiple
Configure las VLAN utilizadas en este ejemplo.
[edit vlans] user@Policy-EX4300-01# set AP_VLAN vlan-id 130 user@Policy-EX4300-01# set IPPhone_VLAN vlan-id 120 user@Policy-EX4300-01# set Windows_VLAN vlan-id 150 user@Policy-EX4300-01# set v100 description "Remediation VLAN" user@Policy-EX4300-01# set v100 vlan-id 100
Tenga en cuenta que para que la asignación de VLAN dinámica funcione, la VLAN debe existir en el conmutador antes de intentar la autenticación. Si la VLAN no existe, se produce un error en la autenticación.
Configure los puertos de acceso.
Cada puerto de acceso está configurado para estar en VLAN v100, la VLAN de corrección. El punto de conexión utilizará esta VLAN si Aruba ClearPass no envía información de VLAN dinámica cuando autentica el punto de enlace.
[edit interfaces] user@Policy-EX4300-01# set ge-0/0/6 unit 0 family ethernet-switching interface-mode access user@Policy-EX4300-01# set ge-0/0/6 unit 0 family ethernet-switching vlan members v100 user@Policy-EX4300-01# set ge-0/0/8 unit 0 family ethernet-switching interface-mode access user@Policy-EX4300-01# set ge-0/0/8 unit 0 family ethernet-switching vlan members v100 user@Policy-EX4300-01# set ge-0/0/22 unit 0 family ethernet-switching interface-mode access user@Policy-EX4300-01# set ge-0/0/22 unit 0 family ethernet-switching vlan members v100
Configure las interfaces IRB y asígnelas a las VLAN.
[edit interfaces] user@Policy-EX4300-01# set irb unit 100 family inet address 10.10.100.1/24 user@Policy-EX4300-01# set irb unit 120 family inet address 10.10.120.1/24 user@Policy-EX4300-01# set irb unit 130 family inet address 10.10.130.1/24 user@Policy-EX4300-01# set irb unit 150 family inet address 10.10.150.1/24
[edit vlans] user@Policy-EX4300-01# set v100 l3-interface irb.100 user@Policy-EX4300-01# set IPPhone_VLAN l3-interface irb.120 user@Policy-EX4300-01# set AP_VLAN l3-interface irb.130 user@Policy-EX4300-01# set Windows_VLAN l3-interface irb.150
Configure la retransmisión DHCP para reenviar paquetes de solicitud DHCP a Aruba ClearPass.
[edit forwarding-options] user@Policy-EX4300-01# set dhcp-relay server-group dhcp-dot1x 10.10.10.10 user@Policy-EX4300-01# set dhcp-relay server-group dhcp-dot1x 10.105.5.153 user@Policy-EX4300-01# set dhcp-relay active-server-group dhcp-dot1x user@Policy-EX4300-01# set dhcp-relay group all interface irb.100 user@Policy-EX4300-01# set dhcp-relay group all interface irb.120 user@Policy-EX4300-01# set dhcp-relay group all interface irb.130 user@Policy-EX4300-01# set dhcp-relay group all interface irb.150
Nota:En este ejemplo de configuración, las interfaces de capa 3 para las VLAN de punto final se configuran en el conmutador de acceso para demostrar la configuración del relé DHCP. Sin embargo, en una implementación empresarial típica, las interfaces de capa 3 para las VLAN de punto de conexión se configuran en un conmutador de capa de núcleo o agregación. En una implementación de este tipo, se debe configurar la retransmisión DHCP en el conmutador de agregación o núcleo para reenviar las solicitudes DHCP desde los puntos de conexión a Aruba ClearPass.
Configure un filtro de firewall, Internet_Only_Access, que se utilizará en dispositivos que se han autenticado mediante autenticación MAC RADIUS pero que aún no se han perfilado.
Este filtro impide que un punto de conexión acceda a la red interna (192.168.0.0/16).
[edit firewall] user@Policy-EX4300-01# set family ethernet-switching filter Internet_Only_Access term Allow_DHCP from destination-port 67 user@Policy-EX4300-01# set family ethernet-switching filter Internet_Only_Access term Allow_DHCP from destination-port 68 user@Policy-EX4300-01# set family ethernet-switching filter Internet_Only_Access term Allow_DHCP from ip-protocol udp user@Policy-EX4300-01# set family ethernet-switching filter Internet_Only_Access term Allow_DHCP then accept user@Policy-EX4300-01# set family ethernet-switching filter Internet_Only_Access term Allow_DNS from destination-port 53 user@Policy-EX4300-01# set family ethernet-switching filter Internet_Only_Access term Allow_DNS from ip-protocol udp user@Policy-EX4300-01# set family ethernet-switching filter Internet_Only_Access term Allow_DNS from ip-protocol tcp user@Policy-EX4300-01# set family ethernet-switching filter Internet_Only_Access term Block_Internal from ip-destination-address 192.168.0.0/16 user@Policy-EX4300-01# set family ethernet-switching filter Internet_Only_Access term Block_Internal then discard user@Policy-EX4300-01# set family ethernet-switching filter Internet_Only_Access term Allow_All then accept
Resultados
Desde el modo de configuración, confirme su configuración introduciendo los siguientes show comandos.
user@Policy-EX4300-01# show access
radius-server {
10.105.5.153 {
dynamic-request-port 3799;
secret "$9$FYxf3A0Ehrv87yl7Vs4DjfTz3Ct0BIcre"; ## SECRET-DATA
source-address 10.105.5.91;
}
}
profile CP-Test-Profile {
accounting-order radius;
authentication-order radius;
radius {
authentication-server 10.105.5.153;
accounting-server 10.105.5.153;
options {
nas-identifier 10.105.5.91;
}
}
}
user@Policy-EX4300-01# show protocols
dot1x {
authenticator {
authentication-profile-name CP-Test-Profile;
interface {
ge-0/0/6.0 {
supplicant multiple;
mac-radius;
}
ge-0/0/8.0 {
supplicant multiple;
mac-radius;
}
ge-0/0/22.0 {
supplicant multiple;
mac-radius;
}
}
}
}
user@Policy-EX4300-01# show interfaces
ge-0/0/6 {
unit 0 {
family ethernet-switching {
vlan {
members v100;
}
}
}
}
ge-0/0/8 {
unit 0 {
family ethernet-switching;
vlan {
members v100;
}
}
}
}
ge-0/0/22 {
unit 0 {
family ethernet-switching {
vlan {
members v100;
}
}
}
}
irb {
unit 100 {
family inet {
address 10.10.100.1/24;
}
}
unit 120 {
family inet {
address 10.10.120.1/24;
}
}
unit 130 {
family inet {
address 10.10.130.1/24;
}
}
unit 150 {
family inet {
address 10.10.150.1/24;
}
}
}
user@Policy-EX4300-01# show vlans
AP_VLAN {
vlan-id 130;
l3-interface irb.130;
}
IPPhone_VLAN {
vlan-id 120;
l3-interface irb.120;
}
Windows_VLAN {
vlan-id 150;
l3-interface irb.150;
}
v100 {
description "Remediation VLAN";
vlan-id 100;
l3-interface irb.100;
}
user@Policy-EX4300-01# show forwarding-options
dhcp-relay {
server-group {
dhcp-dot1x {
10.10.10.10;
10.105.5.153;
}
}
active-server-group dhcp-dot1x;
group all {
interface irb.100;
interface irb.120;
interface irb.130;
interface irb.150;
}
}
user@Policy-EX4300-01# show firewall
family ethernet-switching {
filter Internet_Only_Access {
term Allow_DHCP {
from {
destination-port [ 67 68 ];
ip-protocol udp;
}
then accept;
}
term Allow_DNS {
from {
destination-port 53;
ip-protocol [ udp tcp ];
}
}
term Block_Internal {
from {
ip-destination-address {
192.168.0.0/16;
}
}
then discard;
}
term Allow_All {
then accept;
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración del Administrador de políticas de Aruba ClearPass
Procedimiento paso a paso
Los pasos generales para configurar Aruba ClearPass son:
Habilite la generación de perfiles de dispositivos.
Modifique el archivo de diccionario RADIUS de Juniper Networks para que incluya algunos atributos RADIUS adicionales de Juniper Networks utilizados en este ejemplo de configuración.
Agregue el EX4300 como dispositivo de red.
Asegúrese de que se ha instalado el certificado de servidor utilizado para la autenticación PEAP 802.1X.
Agregue el usuario local usado en este ejemplo para la autenticación 802.1X.
Cree los siguientes perfiles de cumplimiento:
Employee_Windows_Profile que coloca los puntos de conexión en VLAN 150.
IPPhone_Profile que define VLAN 120 como la VLAN VoIP.
AccessPoint_Profile que coloca los puntos de conexión en VLAN 130.
Internet_Access_Only_Profile que especifica que el filtro de firewall se Internet_Only_Access usar para dispositivos que aún no se han perfilado.
Cree dos políticas de cumplimiento:
Una política que se invoca cuando se utiliza la autenticación MAC RADIUS.
Una directiva que se invoca cuando se usa la autenticación 802.1X.
Defina el servicio de autenticación MAC RADIUS y el servicio de autenticación 802.1X.
Asegúrese de que el servicio de autenticación MAC RADIUS se evalúa antes que el servicio de autenticación 802.1X.
Para configurar Aruba ClearPass:
Habilite la generación de perfiles de dispositivos.
Procedimiento paso a paso
En Administración > Administrador del servidor > Configuración del servidor, haga clic en el nombre del servidor Aruba ClearPass.
En la pestaña Sistema, haga clic en Habilitar este servidor para la clasificación de extremos.
Actualice el archivo de diccionario RADIUS de Juniper Networks.
Un archivo de diccionario RADIUS de Juniper Network viene preinstalado en Aruba ClearPass. La versión 15.1R3 de Junos OS para conmutadores de la serie EX agrega compatibilidad con tres nuevos VSA de Juniper Networks, que deben agregarse al archivo de diccionario.
Procedimiento paso a paso
En Aruba ClearPass, vaya a Administración > diccionarios > RADIUS.
En la ventana Diccionarios RADIUS, utilice el campo Filtro para buscar Juniper en Nombre de proveedor.
Haga clic en el nombre del diccionario Juniper y, a continuación, haga clic en Exportar y guarde el archivo en el RadiusDictionary.xml escritorio.
Copie los tres atributos siguientes, péguelos en RadiusDictionary.xmly guarde el archivo.
<Attribute profile="in out" type="String" name="Juniper-CWA-Redirect-URL" id="50" /> <Attribute profile="in out" type="String" name="Juniper-Switching-Filter" id="48" /> <Attribute profile="in out" type="String" name="Juniper-VoIP-Vlan" id="49" />
El archivo de diccionario debería verse así cuando complete la pegada:
Importe RadiusDictionary.xml a Aruba ClearPass haciendo clic
en la ventana Diccionarios RADIUS y navegando hasta el archivo.
Después de importar el archivo, el archivo de diccionario de Juniper debería tener este aspecto:
Agregue el conmutador EX4300 como dispositivo de red.
Procedimiento paso a paso
En Configuración > dispositivos > red, haga clic en Agregar.
En la ficha Dispositivo, escriba el nombre de host y la dirección IP del conmutador y el secreto compartido RADIUS que configuró en el conmutador. Establezca el campo Nombre del proveedor en Juniper.
Asegúrese de que existe un certificado de servidor para la autenticación PEAP 802.1X.
En Administración > certificados > certificado de servidor, compruebe que Aruba ClearPass tiene instalado un certificado de servidor válido. Si no es así, agregue un certificado de servidor válido. La documentación de Aruba ClearPass y su autoridad de certificación pueden proporcionar más detalles sobre cómo obtener certificados e importarlos a ClearPass.
Agregue un usuario de prueba al repositorio de usuarios local.
Este usuario se utilizará para verificar la autenticación 802.1X.
Procedimiento paso a paso
En Configuración > identidad > usuarios locales, haga clic en Agregar.
En la ventana Agregar usuario local, escriba el ID de usuario (usertest1), el nombre de usuario (Test User) y la contraseña. A continuación, seleccione Empleado como rol de usuario. En Atributos, seleccione el atributo Departamento y escriba Finanzas en Valor.
Configure un perfil de cumplimiento para los equipos portátiles o de escritorio Windows de los empleados que se autentiquen con 802.1X.
Este perfil coloca los puntos de conexión en VLAN 150.
Procedimiento paso a paso
En Configuración > cumplimiento > perfiles, haga clic en Agregar.
En la pestaña Perfil, establezca Plantilla en Cumplimiento basado en RADIUS y escriba el nombre del perfil, Employee_Windows_Profile, en el campo Nombre.
En la pestaña Atributos, configure los atributos como se muestran.
Configure un perfil de cumplimiento de punto de acceso, que coloca los puntos de acceso en la VLAN 130.
Utilice el mismo procedimiento básico para crear este perfil que utilizó en el paso anterior. Después de completar el perfil, la información de la pestaña Resumen aparecerá como se muestra.
Configure un perfil de cumplimiento de teléfono IP.
Este perfil indica a Aruba ClearPass que devuelva la VLAN 120 como la VLAN que debe utilizarse como VLAN VoIP. El diccionario RADIUS de Juniper Networks define un atributo RADIUS especial que se utilizará con este fin. Seleccione RADIUS-Juniper para el tipo de atributo y Juniper-VoIP-VLAN como nombre del atributo.
Después de completar el perfil, la información de la pestaña Resumen aparecerá como se muestra.
Configure un perfil de aplicación de solo acceso a Internet.
Este perfil de cumplimiento indica a Aruba ClearPass que devuelva el nombre del filtro de firewall Internet_Only_Access, que es el filtro de firewall que configuró en el conmutador que bloquea el acceso a la red interna. Después de completar este perfil, la información de la pestaña Resumen aparecerá como se muestra.
Configure la política de cumplimiento de autenticación MAC RADIUS.
En el caso de los puntos de conexión que se autentican mediante la autenticación MAC RADIUS, esta política indica a Aruba ClearPass que aplique políticas de cumplimiento según el perfil del dispositivo. La AccessPoint_Profile se aplica a los puntos de conexión perfilados como puntos de acceso y la IPPhone_Profile se aplica a los puntos de conexión perfilados como teléfonos VoIP. La política de cumplimiento predefinida Denegar perfil de acceso se aplica a los puntos de conexión perfilados como dispositivos Windows. Esto aplica la directiva de acceso de la organización de que solo los equipos portátiles con un suplicante 802.1X pueden acceder a la red. Para todos los demás extremos, incluidos los puntos de conexión que aún no se han perfilado, se aplicará el perfil Internet_Access_Only.
Procedimiento paso a paso
En Configuración > cumplimiento > directivas, haga clic en Agregar.
En la ficha Cumplimiento, escriba el nombre de la directiva (Juniper-MAC-Auth-Policy) y establezca Perfil predeterminado en Internet_Access_Only.
En la pestaña Reglas, haga clic en Agregar regla y agregue las reglas que se muestran.
Debe agregar las reglas secuencialmente haciendo clic en Guardar antes de crear la siguiente regla.
Configure la directiva de cumplimiento de 802.1X.
Esta política indica a Aruba ClearPass que utilice el perfil de cumplimiento de Employee_Windows_Profile si un usuario se autentica correctamente como miembro del departamento financiero.
Procedimiento paso a paso
En Configuración > cumplimiento > directivas, haga clic en Agregar.
En la ficha Cumplimiento, escriba el nombre de la directiva (Juniper_Dot1X_Policy) y establezca Perfil predeterminado en [Permitir perfil de acceso]. (Este es un perfil predefinido.)
En la pestaña Reglas, haga clic en Agregar regla y agregue la regla mostrada.
Configure el servicio de autenticación MAC RADIUS.
La configuración de este servicio da como resultado que se realice la autenticación MAC RADIUS cuando los atributos RADIUS User-Name y Client-MAC-Address recibidos tienen el mismo valor.
Procedimiento paso a paso
En Configuración > servicios, haga clic en Agregar.
En la pestaña Servicios, rellene los campos como se muestran. Asegúrese de seleccionar la opción Puntos de conexión de perfil .
En la pestaña Autenticación:
Elimine [MAC AUTH] de la lista Métodos de autenticación y agregue [EAP MD5] a la lista.
Seleccione [Repositorio de puntos de conexión] [Base de datos SQL local] en la lista Orígenes de autenticación.
En la pestaña Cumplimiento, seleccione Juniper-MAC-Auth-Policy.
En la pestaña Generador de perfiles:
Agregue computadora, teléfono VoIP y puntos de acceso a la lista de clasificación de puntos de conexión.
Seleccione [Finalización de sesión de Juniper] en la lista Acción de CoA de RADIUS.
Esta configuración hace que los puntos de conexión pasen por una nueva autenticación después de que se perfilen y se agreguen al repositorio de puntos de conexión. Antes de perfilar un extremo, el perfil de cumplimiento de Internet_Access_Only_Profile está en vigor para la sesión de usuario autenticado. (Este perfil es el perfil predeterminado para la directiva de autenticación MAC configurada en el paso 10.) Después de que Aruba ClearPass clasifica correctamente un dispositivo, envía un RADIUS CoA al conmutador, lo que hace que el conmutador finalice la sesión. A continuación, el conmutador intenta volver a autenticar el extremo. Dado que el perfil de dispositivo del punto de conexión se encuentra ahora en el repositorio de puntos de conexión, se aplicará el perfil de cumplimiento de dispositivos adecuado cuando se autentique el punto de conexión.
Configure el servicio de autenticación 802.1X.
Procedimiento paso a paso
En Configuración > servicios, haga clic en Agregar.
En la pestaña Servicio, rellene los campos como se muestran.
En la ficha Autenticación, establezca Orígenes de autenticación en [Repositorio de usuarios locales][Base de datos SQL local].
En la pestaña Cumplimiento, establezca Directiva de cumplimiento en Juniper_Dot1X_Policy.
Compruebe que la directiva del servicio de autenticación MAC RADIUS se evalúa antes que la directiva del servicio de autenticación 802.1X.
Dado que Aruba ClearPass está configurado para reconocer las solicitudes de autenticación MAC RADIUS mediante el atributo RADIUS User-Name y el atributo Client-MAC-Address que tienen el mismo valor, es más eficaz evaluar primero la directiva de servicio MAC RADIUS.
En la ventana principal Servicios, verifique que Juniper-MAC-Auth-Policy aparezca antes que Juniper-MAC_Dot1X_Policy en la lista de servicios, tal como se muestra. Si no es así, haga clic en Reordenar y mueva Juniper-MAC-Auth-Policy por encima de Juniper-MAC_Dot1X_Policy.
Verificación
Confirme que la configuración funciona correctamente.
- Verificación de la autenticación 802.1X en el conmutador EX4300
- Verificación de la autenticación del punto de acceso en el conmutador EX4300
- Verificación de la autenticación del teléfono VoIP y del portátil no corporativo en el conmutador EX4300
- Verificación del estado de las solicitudes de autenticación en Aruba ClearPass Policy Manager
Verificación de la autenticación 802.1X en el conmutador EX4300
Propósito
Compruebe que el usuario de prueba, usertest1, se está autenticando y colocando en la VLAN correcta.
Para realizar este procedimiento, debe tener un dispositivo Windows con un suplicante 802.1X activo que pase la información de autenticación para usertest1. Para obtener información sobre cómo configurar un suplicante de Windows 7 para la autenticación PEAP 802.1X, consulte Configuración de la autenticación PEAP 802.1X y MAC RADIUS con conmutadores de la serie EX y Aruba ClearPass Policy Manager.
Acción
Conecte la computadora portátil con Windows 7 a ge-0/0/22 en el conmutador EX4300.
En el conmutador, escriba el comando siguiente:
user@Policy-EX4300-01> show dot1x interface ge-0/0/22.0 802.1X Information: Interface Role State MAC address User ge-0/0/22.0 Authenticator Authenticated 00:50:56:9B:03:7F usertest1Para obtener más detalles, incluida la asignación de VLAN dinámica, escriba:
user@Policy-EX4300-01> show dot1x interface ge-0/0/22.0 detail ge-0/0/22.0 Role: Authenticator Administrative state: Auto Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: not configured Number of connected supplicants: 1 Supplicant: usertest1, 00:50:56:9B:03:7F Operational state: Authenticated Backend Authentication state: Idle Authentication method: Radius Authenticated VLAN: Windows_VLAN Session Reauth interval: 3600 seconds Reauthentication due in 2682 seconds Session Accounting Interim Interval: 600 seconds Accounting Update due in 282 secondsEl resultado muestra que usertest1 se autenticó correctamente y se colocó en Windows_VLAN VLAN.
Verificación de la autenticación del punto de acceso en el conmutador EX4300
Propósito
Verifique que el punto de acceso se haya autenticado correctamente y se haya colocado en la VLAN correcta.
Acción
Conecte un punto de acceso a ge-0/0/6 en el conmutador EX4300.
En el conmutador, escriba el comando siguiente:
user@Policy-EX4300-01> show dot1x interface ge-0/0/6 ge-0/0/6.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Enabled Mac Radius Restrict: Disabled Mac Radius Authentication Protocol: EAP-MD5 Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: not configured Number of connected supplicants: 1 Supplicant: c46413c07cda, C4:64:13:C0:7C:DA Operational state: Authenticated Backend Authentication state: Idle Authentication method: Mac Radius Authenticated VLAN: AP_VLAN Session Reauth interval: 3600 seconds Reauthentication due in 1669 seconds Session Accounting Interim Interval: 600 seconds Accounting Update due in 379 secondsEl resultado muestra que el punto de acceso se autenticó y se colocó en la VLAN AP_VLAN.
Verificación de la autenticación del teléfono VoIP y del portátil no corporativo en el conmutador EX4300
Propósito
Verifique que el teléfono VoIP se haya autenticado correctamente y que la computadora portátil que no sea corporativa no se haya autenticado.
Acción
Conecte un teléfono VoIP a ge-0/0/8 en el conmutador EX4300 y conecte una computadora portátil que no tenga un suplicante 802.1X habilitado al puerto Ethernet del teléfono.
Para comprobar el estado de autenticación de los dispositivos, escriba el siguiente comando en el conmutador:
user@Policy-EX4300-01> show dot1x interface ge-0/0/8 ge-0/0/8.0 Role: Authenticator Administrative state: Auto Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Enabled Mac Radius Restrict: Disabled Mac Radius Authentication Protocol: EAP-MD5 Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: not configured Number of connected supplicants: 2 Supplicant: 08173515ec53, 08:17:35:15:EC:53 Operational state: Authenticated Backend Authentication state: Idle Authentication method: Mac Radius Authenticated VLAN: IPPhone_VLAN Session Reauth interval: 3600 seconds Reauthentication due in 3591 seconds Session Accounting Interim Interval: 600 seconds Accounting Update due in 591 seconds Supplicant: No User, D0:67:E5:50:E3:DD Operational state: Connecting Backend Authentication state: Idle Authentication method: None Session Reauth interval: 0 seconds Reauthentication due in 0 seconds Session Accounting Interim Interval: 600 seconds Accounting Update due in 0 secondsEl resultado muestra que hay dos suplicantes conectados al puerto, cada uno identificado por su dirección MAC. El teléfono VoIP se ha autenticado con éxito y se ha colocado en IPPhone_VLAN. La computadora portátil está en un estado de conexión, no en estado autenticado, lo que indica que no se pudo autenticar.
Para comprobar que IPPhone_VLAN VLAN se ha asignado como VLAN VoIP, escriba el siguiente comando:
user@Policy-EX4300-01> show ethernet-switching interface ge-0/0/8 Routing Instance Name : default-switch Logical Interface flags (DL - disable learning, AD - packet action drop, LH - MAC limit hit, DN - interface down, MMAS - Mac-move action shutdown, SCTL - shutdown by Storm-control ) Logical Vlan TAG MAC STP Logical Tagging interface members limit state interface flags ge-0/0/8.0 65535 tagged,untagged default 1 65535 Forwarding untagged IPPhone_VLAN 120 65535 Forwarding tagged
IPPhone_VLAN muestra como una VLAN etiquetada, lo que indica que se trata de la VLAN VoIP.
Verificación del estado de las solicitudes de autenticación en Aruba ClearPass Policy Manager
Propósito
Compruebe que los puntos de conexión se autentican correctamente y que se intercambian los atributos RADIUS correctos entre el conmutador y Aruba ClearPass.
Acción
Vaya a Monitoreo > monitoreo en vivo > Rastreador de acceso para mostrar el estado de las solicitudes de autenticación.
Access Tracker supervisa las solicitudes de autenticación a medida que se producen e informa sobre su estado.
Para obtener más detalles sobre una solicitud de autenticación en particular, haga clic en la solicitud.
Para comprobar los atributos RADIUS que Aruba ClearPass envió de vuelta al conmutador para esta solicitud, haga clic en la ficha Salida .
Significado
La solicitud de autenticación del teléfono IP se realizó correctamente y se devolvió al conmutador la información correcta sobre la VLAN VoIP.