20T42 – Clearpass Routing [Konfiguracja]

PrzezDarek Koralewski

Wi臋cej miejsc do pos艂uchania:

Spotify

Koncepcja VRF na Clearpass’e 6.9.3

Pewnie jeste艣 nieco zaskoczony (ja by艂em) jak si臋 dowiedzia艂em, 偶e w Clearpassie zastosowano koncepcj臋 VRF.

Na pocz膮tek kt贸tkie przypomnienie Clearpass posiada 2 interfejsy opisane jako MGMT (do zarz膮dzania) oraz DATA (do 艣wiadczenia us艂ug).

Nie daj si臋 zmyli膰, taki podzia艂 by艂 faktycznie ale w starszych wersjach Clearpass’a, na porcie MGMT nie mo偶na by艂o obs艂ugiwa膰 zapyta艅 Radius.

Od wersji 6.1 w domy艣lenej konfiguracji wszystkie us艂ugi s膮 dost臋pne na obu portach.

Jednocze艣nie warto pami臋ta膰, 偶e nie mo偶na skonfigurowa膰 tylko portu DATA, konieczne jest skonfiugrowanie zawsze portu MGMT.

To dobra oraz jednocze艣nie z艂a wiadomo艣膰. Dlaczego?

Opis problemu

Maj膮c 2 r贸wnorz臋dne porty trzeba w jaki艣 spos贸b zorganizowa膰 routing.

Je偶eli wykonujesz implementacj臋 bazuj膮c tylko na jednym skonfiugrowanym procie MGMT, to nie ma tutaj 偶adnych zaskocze艅 serwer dzia艂a jak ka偶dy inny.

W przypadku korzystania z dw贸ch port贸w, a takie s膮 dobre praktyki, powiniene艣 zaplanowa膰 komunikacj臋 administracyjn膮 na porcie MGMT, a uwierzytelnianie na porcie DATA.

Koncepcja bardzo s艂uszna, tylko 偶e mo偶na si臋 zdziwi膰 w niekt贸rych scenariuszach.

M贸j scenariusz:

Mam 2 Clearpass’y pod艂膮czone ze sob膮 przez router’y. Interfejsy na kadym Clearpass’e nale偶膮 do innej sieci.

Schemat po艂膮cze艅 艣rodowiska Clearpass
Schemat po艂膮cze艅 艣rodowiska Clearpass

To jest bardzo typowy model rzeczywistego wdro偶enia. Ruch pomi臋dzy sieciami przypisanymi do interfejsu MGMT oraz DATA jest blokowany ma routerze.

W艂a艣nie realizuj膮c takie wdro偶enie spotka艂em si臋 z probemem, kt贸ry opisuj臋 dla Ciebie :).

Zestawiam klaster z przedstawionych Clearpass’贸w na etapie gdy mam skonfigurowany tylko interfejs MGMT. Wszystko dzia艂a prawid艂owo.

Zestawiony klastrer Clearpass1
Zestawiony klastrer Clearpass1
Zestawiony klastrer Clearpass2
Zestawiony klastrer Clearpass2

Nast臋pnie dodaj臋 konfiugracj臋 interfesju DATA na clearpass2.netadminpro.pl

Konfiguracja portu Data na Clearpass2-1
Konfiguracja portu Data na Clearpass2-1
Konfiguracja portu Data na Clearpass2-2
Konfiguracja portu Data na Clearpass2-2
Konfiguracja portu Data na Clearpass2-3
Konfiguracja portu Data na Clearpass2-3

I otrzymuj臋 infomacj臋 ju偶 podczas rekonfiguracji, ze Clearpass2 utraci艂 po艂膮czenie z Clearpass1.

B艂ad kompunikacji Clearpass2 do Clearpass1
B艂ad kompunikacji Clearpass2 do Clearpass1

Po chwili sprawdzam status klastra na stronie g艂贸wnej obu Clearpass’贸w i widza膰 wyra藕nie, utrat臋 komunikacji w klastrze:

Utrata komunkacji klastra Clearpass1
Utrata komunkacji klastra Clearpass1
Utrata komunkacji klastra Clearpass2
Utrata komunkacji klastra Clearpass2

Zrozumie膰 zasad臋 dzia艂ania

呕eby zrozumie膰 co si臋 w艂a艣nie wyda偶y艂o, poczyta艂em jak dzia艂a routing w rozwiazaniu Clearpass od wersji 6.1.

Na Clearpassie 6.9.3 na jakim obecnie pracuj臋, mamy 2 VRF’y i w ka偶dym znich mamy domy艣ln膮 bram臋.

To oznacza 偶e Clearpass w jaki艣 spos贸b musi okre艣la膰 kt贸rym VRF’em b臋dzie obs艂ugiwa艂 dan膮 sesj臋.

3 Regu艂y Wyboru VRF’a – Klient ->Clearpass

  1. Po艂膮czenie przychodzi na interfejs MGMT, to odpowied藕 na t臋 sesj臋 b臋dzie wychodzi艂a z tego samego interfejsu
  2. Sesja jest odbierana na interfejs DATA, to odpowied藕 na t臋 sesj臋 b臋dzie wychodzi艂a z tego samego interfejsu
  3. Je偶eli interfesj DATA nie jest skonfiugurowany ca艂y ruch b臋dzie wychodzi艂 interfejsem MGMT

Dlatego mimo 偶e nie ma komunikacji wewn膮trz klastra, to dost臋p administracyjny nadal zachowa艂em.

3 Regu艂y Wyboru VRF’a – Clearpass->Clearpass

  1. Sie膰 docelowa jest z zakresu sieci interfejsu MGMT, ten interfejs zostanie wybrany do wys艂ania pakiet贸w
  2. Sie膰 docelowa jest z zakresu sieci interfejsu DATA, ten interfejs zostanie wybrany do wys艂ania pakiet贸w
  3. Sie膰 docelowa nie spe艂nia warunku 1 lub 2, pakiety b臋d膮 wysy艂ane przez interfejs DATA

Ten 3 punkt jest w艂a艣nie powodem wyst膮pienia problemu z komunikacj膮 w klastrze, w momencie ustawienia adresu IP na Clearpass2 DATA ten serwer pr贸buje wysy艂a膰 ruch synchronizacji klastra przez interfejs DATA.

Ten interfejs w moim 艣rodowisku nie ma po艂aczenia z Clearpass1 MGMT.

Komunikacja klastra

Do prawid艂owej komunikacji w klastrze wymagane jest po艂膮czenie Subscriber’贸w (podrz臋dnych cz艂onk贸w klastra) do Publishera (czyli boss ca艂ego klastra :))

W moim 艣rodowisku Clearpass-NAP-1 jest Publisherem, a Clearpass-NAP-2 jest Subscriberem.

Clearpass Publisher Subscriber
Clearpass Publisher Subscriber

Ruch z podrz臋dnych Clearpass’贸w w klastrze mo偶e wychodzi膰 z dowolnego interfejsu, ale musi trafi膰 na interfejs MGMT Publisher’a, czyli w moim przypadku Clearpass1.

Rozwi膮zanie

Czy taka konfiguracja jest nieprawid艂owa?

Nie, producent musia艂 przyj膮膰 jakie艣 podstawowe zasady kierowania ruchem.

Nie da si臋 przewidzie膰 wszystkich mo偶liwych scenariuszy implementacji, to pozostawiono nam, ekspertom od Clearpass’a 馃檪

Jak zatem zmieni膰 kierowanie ruchem na Clearpass’e?

Cel do osi膮gni臋cia

Moim celem jest kierowanie ca艂ego ruchu dotycz膮cego klastra, z interfejs贸w MGMT Clearpass2 na MGMT Clearpass1 i symetrycznie w drug膮 stron臋.

Konfiugracja

Do zmiany zasad kierowani ruchem trzeba zalogowa膰 si臋 do CLI do Clearpass’a i sprawdzi膰 jakie regu艂y s膮 skonfigurowane

Polecenie:

network ip list
Clearpass1 sprawdzenie tablicy routingu
Clearpass1 sprawdzenie tablicy routingu
Clearpass2 sprawdzenie tablicy routingu
Clearpass2 sprawdzenie tablicy routingu

Kr贸tki opis co widzimy:

IP Rule Information – Regu艂y sterowanie ruchem, tutaj b臋d臋 za chwil臋 dodawa艂 regu艂y pod m贸j scenariusz
Route Information for Table main – g艂贸wna tablica routingu
Route Information for Table static – tablica routings zwi膮zana z wpisami statycznymi
Route Information for Table mgmt – tablica routingu dla interfesju mgmt
Route Information for Table data – tablica routingu dla interfesju data

Z g艂贸wnej tablicy mo偶emy wyczyta膰, 偶e domy艣lna trasa jest przez interfesj eth1, czyli nasz interface DATA. To zgadza si臋 z opisanymi wcze艣niej regu艂ami kierowania ruchem.

Dla ka偶dego Clearpass’a dodam teraz regu艂臋 statyczn膮, odpowiednio do zdalnego Clearpassa:

Clearpass-NAP-1

network ip add mgmt -d 10.17.17.130
Clearpass1 dodanie tarsy routingu
Clearpass1 dodanie tarsy routingu

Clearpass-NAP-2

network ip add mgmt -d 10.253.253.130
Clearpass2 dodanie tarsy routingu
Clearpass2 dodanie tarsy routingu

Po sprawdzeniu komunkacji klastra wida膰 powr贸t komunikajcji mi臋dzy serwerami

Powrot komunikacji w klastrze Clearpass
Powrot komunikacji w klastrze Clearpass

Sprawdz臋 jeszcze zapisane regu艂y:

Clearpass-NAP-1

network ip list
Dodana regu艂a 12000 na Clerpass1
Dodana regu艂a 12000 na Clerpass1

Clearpass-NAP-2

network ip list
Dodana regu艂a 12000 na Clerpass2
Dodana regu艂a 12000 na Clerpass2

Podsumowanie

Domy艣lne kierowanie ruchem wychodz膮cym z serwera Clearpass nie by艂o zgodne z moim scenariuszem u偶ycia, mo偶na zachowanie Clearpass’a dostosowa膰 w zale偶no艣ci od potrzeb.

W innym projekcie spotka艂em inny objaw tego samego problemu, mianowicie wyst膮pi艂 asymetryczny routing, pokazuj膮cy na Publisher’e komunikacj臋 prawid艂ow膮 w klastrze, a na Subcriber’e b艂膮d komunikacji.

W zale偶no艣ci kt贸ry ruch mo偶e dotrze膰 do kt贸rego serwera objaw mo偶e by膰 r贸zny.

To co jest wsp贸lne dla tego problemu, to roz艂膮czenie klastra lub jego cz臋艣ci po zmianie ustawie艅 interfejsu DATA.

Spokta艂em si臋 te偶 z problemem niewpisania do tablicy „Route Information for Table data” tras, pomimo ustawienia adresu IP na interfejsie DATA. Ten problem mo偶na rozwi膮za膰 ponownie zmieniaj膮c ustawienia IP dla tego interfejsu.

To co jest myl膮ce w takim scenariuszu, to 偶e adres IP jest ustawiony i wszystko dzia艂a, a dopiero przy p贸藕niejszej zmienie tracimy komunikacj臋 klastra.

Je偶eli chcesz si臋 upewni膰 czy wszystko jest jak zaplanowa艂e艣, mo偶esz kontrolnie sprawdzi膰 tablic臋 routingu na Clearpass’e w pokazany spos贸b.

Podobne wpisy

Dodaj komentarz

Tw贸j adres e-mail nie zostanie opublikowany. Wymagane pola s膮 oznaczone *