Aruba Role Przełącznik
Więcej miejsc do posłuchania:
1. Ułatwienie sobie życia przy 802.1x w dostępie przewodowym
Wdrażam uwierzytelnianie w dostępie przewodowym i ułatwiam sobie życie, zamiast podawać z Radiusa identyfikator VLAN’u 3 standardowymi atrybutami, przekazuję jeden specyficzny VSA z nazwą roli.
Tutaj mam 2 możliwości od wyboru konfiguracji na przełączniku:
- Przypisanie lokalne roli na przełączniku (LUR)
- Ściągnięcie konfiguracji roli lokalnie (DUR)
2. Rola ułatwiająca życie
Dlaczego rola tak ułatwia życie?
Są 2 główne powody (omówione poniżej):
- przejrzystość konfiguracji
- skalowanie
przejrzystość konfiguracji
Na systemie Radius (najczęściej korzystam z Clearpass) widzę jaka nazwa roli została przydzielona. Dzięki temu już na etapie przeglądania Radiusa wiem czy problem leży po stronie przełącznika czy systemu centralnego uwierzytelniania.
Na przełączniku mogę wyświetlić wszystkie uwierzytelnione urządzenia i widzę jaki profil ma przypisane każde z urządzeń.
Dodatkowo jest przypisana rola początkowa (initial), dzięki której od razu wiem czy dane urządzenie miało problem z przypisaniem właściwego profilu.
Skalowanie
Gdy potrzebuję dodać kolejny profil dostępu, tworze nową rolę, przypisuję nazwę i odpowiednią politykę w Radiusie.
Jeżeli mam różne VLAN’y w różnych budynkach, to mogę potworzyć różne przypisanie jednej roli do danego VLAN’u per budynek, co znacznie upraszcza konfigurację Radiusa.
Podobnie ma się koncepcja mapowania ról w systemie Radius, ale to temat na inny artykuł.
4. Przykład konfiguracji roli lokalnej (LUR)na przełączniku
Stworzyłem 2 role:
NAP-Pracownik
Zawiera docelowy VLAN 1 dla uprawnionego pracownika:
aaa authorization user-role name "NAP-Pracownik" vlan-id 1 exit
NAP-initial-role
Zawiera VLAN początkowy bez wyjścia z przełącznika i dodatkowo przypiętą ACL dla nieznanych urządzeń:
aaa authorization user-role name "NAP-initial-role" policy "policy-deny-all" vlan-id 4000 exit
Zawartość listy dostępu blokujący cały ruch IP:
class ipv4 "ALL"
10 match ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
exit
policy user "policy-deny-all"
10 class ipv4 "ALL" action deny
exit
Definicja VLAN’ów:
vlan 1
name "DEFAULT_VLAN"
untagged 1-10
ip address dhcp-bootp
exit
vlan 4000
name "poczatkowy-VLAN"
no ip address
exit
Konfiguracja uwierzytelniania na porcie 7
aaa port-access local-mac 7
Włączenie trybu roli i ustawienie roli początkowej (domyślnej)
aaa authorization user-role enable aaa authorization user-role initial-role "NAP-initial-role"
Dodanie lokalnego mapowania adresu MAC do roli
Tę część konfiguracji stworzyłem tylko na potrzeby tego instruktarzu, w praktycznych implementacja opieramy się zazwyczaj na centralnej bazie hostów w Radiusie.
aaa port-access local-mac apply user-role "NAP-Pracownik" mac-addr b05ada-b5b9b1
Pełna konfiguracja do skopiowania
Running configuration: ; J9774A Configuration Editor; Created on release #YA.16.10.0011 ; Ver #14:41.44.00.04.19.02.13.98.82.34.61.18.28.f3.84.9c.63.ff.37.27:05 hostname "NetAdminPro.pl-2530" class ipv4 "ALL" 10 match ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 exit policy user "policy-deny-all" 10 class ipv4 "ALL" action deny exit include-credentials password manager user-name "darek" sha1 "d3abb0fde6ec04c27a379b0e0de9253a435d30eb" snmp-server community "public" snmpv3 engineid "00:00:00:0b:00:00:1c:98:ec:3d:44:10" aaa authorization user-role name "NAP-Pracownik" vlan-id 1 exit aaa authorization user-role name "NAP-initial-role" policy "policy-deny-all" vlan-id 4000 exit aaa authorization user-role enable aaa authorization user-role initial-role "NAP-initial-role" aaa port-access local-mac apply user-role "NAP-Pracownik" mac-addr b05ada-b5b9b1 aaa port-access local-mac 7 vlan 1 name "DEFAULT_VLAN" untagged 1-10 ip address dhcp-bootp exit vlan 4000 name "poczatkowy-VLAN" no ip address exit no tftp server no dhcp config-file-update no dhcp image-file-update no dhcp tr69-acs-url
5. Testowanie działania:
1 .Podłączenie nieznanego urządzenia i wyświetlenie statusu:
W moim scenariuszu przedstawiony laptop jest urządzeniem nieznanym i nieuprawnionym w dostępie do sieci.
Status stacji końcowej na przełączniku:
Polecenie do wyświetlenia statusu:
NetAdminPro.pl-2530# show port-access clients
Wynik polecenia:
Port Access Client Status Port ClientName MAC Address IP Address User Role Type VLAN 7 c42c03-3aeb9f n/a NAP-initial-role LOCAL 4000
To samo sprawdzenie przez interfejs WWW:
Jak widzisz klient stacja końcowa jest widoczna i ma przypisaną rolę początkową. W roli tej jest przypisany VLAN 4000, czyli brak komunikacji w moim środowisku.
2. PODŁĄCZENIE URZĄDZENIA firmowego
W przypadku drugiego laptopa (firmowego) znamy adres MAC, jest on wprowadzony w konfiguracji przełączniki i powiązany z rolą pracownika.
STATUS STACJI KOŃCOWEJ NA PRZEŁĄCZNIKU:
Polecenie do wyświetlenia statusu:
NetAdminPro.pl-2530# show port-access clients
Wynik polecenia:
Port Access Client Status Port ClientName MAC Address IP Address User Role Type VLAN 7 b05ada-b5b9b1 n/a NAP-Pracownik LOCAL 1
To samo sprawdzenie przez interfejs WWW:
W typ przypadku widać, komputerowi została przypisana rola NAP-Pracownik i przypisany VLAN1, z pełnym dostępem do sieci firmowej.
6. Podsumowanie
Jak widzisz tworzenie roli i przypisanie odpowiedniego VLAN’u jest banalnie proste i jeżeli masz podobne zadanie do wykonania, jak to opisane to szczerze polecam takie podejście.
Co warto wiedzieć gdy korzystamy z roli? Włączenie pracy przełącznika Aruba w tryb roli blokuje przyjmowanie standardowych atrybutów Radius.
Na koniec dwa słowa na temat roli ściągalnej z Clearpass’a. Funkcjonalnie różnica między DUR i LUR jest tylko taka, że DUR czyli ściągana z Clearpassa, upraszcza zarządzanie w przypadku gdy nie masz systemu zarządzania, np Airwave.
W takim przypadku Clearpass wysyła specjalnym atrybutem, Radius VSA, konfigurację dokładanie taką samą jak przedstawiona powyżej, dynamizując proces tworzenia i propagacji roli na przełączniku.
Ta funkcjonalność jednak jest możliwa do realizacji jedynie między Clearpassem oraz przełącznikiem Aruby w odpowiedniej wersji oprogramowania.
Jeżeli chcesz więcej się dowiedzieć napisz do mnie stworzę odpowiedni artykuł.