21T8 Aruba Dynamic Segmentation w 10 min – User Tunneled Node
Dynamic Segmentation Aruby jako odpowied藕 na Cisco SD-Access
Kluczowym elementem Dynamic Segmentation w oparciu o UTN, jest Clearpass. Dzi臋ki niemu mo偶esz tworzy膰 profile dost臋pu do sieci oraz kreowa膰 sie膰 nak艂adkow膮 w spos贸b dynamiczny.
Nie mniej istotnym elementem Dynamic Segmentation jest prze艂膮cznik wpieraj膮cy tunelowanie GRE do kontrolera bezprzewodowego lub Branch GW.
Wi臋cej miejsc do pos艂uchania:
Jaki problem rozwi膮zuje Dynamic Segmentation?
Nowoczesne rozwi膮zania sieciowe, zak艂adaj膮 pe艂n膮 automatyzacj臋 w pod艂膮czaniu urz膮dze艅 do sieci w oparciu o centralny system tworzenia polityk. Godnym zauwa偶anie jest fakt, 偶e tak dzia艂a ka偶da sie膰 nak艂adkowa.
Poni偶ej przyk艂ad implementacji w wykonaniu Aruby:
- Uwierzytelnienie na porcie prze艂膮cznika z wykorzystaniem Clearpass’a
- Przypisanie roli dost臋pu na prze艂膮czniku oraz na kontrolerze (Mobility Controller)
- Przekierowanie ruchu komputera do tunelu GRE kieruj膮cego do (Mobility Controller’a)
Dalsze przetwarzanie ruchu jest realizowane zupe艂nie normalnie, w oparciu o tablic臋 routingu.
Dynamic Segmentation ma nast臋puj膮ce zalety:
U偶ywamy centralnego miejsca konfiguracji polityk dost臋pu, upraszczaj膮c do minimum konfiguracj臋 samego prze艂膮cznika.
Dodatkowo zyskujemy mo偶liwo艣膰 przypisywania dynamiczne r贸l (Dynamic Segmentation), poszczeg贸lnym typom urz膮dze艅 bazuj膮c na centralnej polityce realizowanej przez system Clearpass.
Jeszcze bardziej istotnym jets zyskanie wi臋kszej widoczno艣ci ruchu przetwarzanego na brzegu sieci, widzimy nie tylko informacje o L3/L4, ale na kontrolerze mamy widoczno艣膰 aplikacyjn膮, dzi臋ki temu mo偶emy realizowa膰 polityk臋 ograniczania ruchu w oparciu o aplikacje.
Pierwszym krokiem przygotowania konfiguracji dla mojego przyk艂adu b臋dzie prze艂膮cznik.
1. Konfiguracja Prze艂膮cznika
1.1 Krok 1 – Serwer NTP
Pierwszym podstawowym krokiem konfiguracji wsp贸艂pracy prze艂膮cznika z Clearpassem, jest synchronizacja czasu oraz ustawienie odpowiedniej strefy geograficznej.
timesync ntp ntp unicast ntp server 193.219.28.2 ntp enable time daylight-time-rule middle-europe-and-portugal time timezone 60
1.2 Krok 2 – Konfiguracja Serwera Radius na Prze艂膮czniku dla Dynamic Segmentation
Ustawiam adres IP serwera Radius oaz has艂o
radius-server host 10.253.253.130 key "netadminpro.pl"
Umo偶liwiam funkcjonalno艣膰 CoA (Change of Authorization), czyli dynamiczn膮 zmian臋 profilu dost臋pu urz膮dzenia na prze艂膮czniku.
radius-server host 10.253.253.130 dyn-authorization
Nast臋pnie ustawiam akceptowaln膮 r贸偶nic臋 czasu mi臋dzy serwerem Radius, a prze艂膮cznikiem, na warto艣膰 „0” liczon膮 w sekundach.
radius-server host 10.253.253.130 time-window 0
Kolejnym krokiem b臋dzie wskazanie prze艂膮cznikowi, 偶e serwer Radius to Clerpass wspieraj膮cy niestandardow膮 metod臋 pobrania certyfikatu. U艂atwia to proces importu certyfikatu na prze艂膮cznik, a jest to konieczny proces do uruchomienia Dynamic User Role.
radius-server host 10.253.253.130 clearpass
Na koniec tej sekcji konfiguracji wpisuj臋 dane logowania do Clerpassa w celu pobrania dynamicznie roli na prze艂膮cznik.
radius-server cppm identity "dur-admin" key netadminpro.pl
1.3 Krok 3 – KONFIGURACJA tunelu DLA DYNAMIC SEGMENTATION
Gdy ju偶 mamy skonfigurowany serwer Radius, przychodzi pora na wskazanie do jakiego kontrolera bezprzewodowego (Mobility Controller) lub Branch GW b臋dzie nawi膮zywany tunel GRE.
Dodatkowo potrzebuj臋 wskaza膰 jaki VLAN b臋dzie wykorzystywany do przeniesienia tunelem ruchu u偶ytkownika do kontrolera. W moim przypadku b臋dzie to plan 4090
tunneled-node-server
controller-ip 172.16.100.252
mode role-based reserved-vlan 4090
Opcjonalnie mo偶na ustawi膰 accounting, polecam ustawienie tych parametr贸w, zobaczymy wi臋cej informacji po stronie Clearpass’a.
aaa accounting update periodic 3 aaa accounting network start-stop radius
Przed po艂膮czeniem prze艂膮cznika do Clerpass’a w celu 艣ci膮gni臋cia roli, potrzebuj臋 pobra膰 certyfikat CA, kt贸remu b臋d臋 ufa艂:
crypto ca-download usage clearpass force
Na koniec konfiguracji prze艂膮cznika, uruchamiam funkcjonalno艣膰 obs艂ugi roli na prze艂膮czniku, oraz ustawiam uwierzytelnianie na porcie 3 w oparciu o MAC
Wi臋cej na ten temat mo偶esz znale藕膰 na stronie:
https://netadminpro.pl/21t2-clearpass-przypisanie-roli/
aaa authorization user-role enable download
aaa port-access mac-based 3
2. Konfiguracja Clearpass 6.9 – DUR Aruba Role
W artykule 21T4 Clearpass 6.9 DUR Aruba Role opisa艂em poszczeg贸lne kroki konieczne do stworzenia polityki dynamicznej wykorzystywanej dla Dynamic Segmentation.
Poni偶ej przestawiam kopi臋 tych krok贸w na wypadek gdyby艣 chcia艂 prze艣ledzi膰 procedur臋 od pocz膮tku. Jedyne co modyfikuj臋 w stosunku do w/w artyku艂u to enforcement w kroku 3
2.1 Krok 1 – dodanie konta administracyjnego dedykowanego dla DUR
2.2 KROK 2 – Dodanie prze艂膮cznika do urz膮dze艅 NAD
Wpisa艂em adres IP prze艂膮cznika, interfejsu z jakiego b臋d臋 si臋 艂膮czy艂 do Clerpassa. W moim przypadku to vlan10, ten interfejs ustawi臋 w dalszej cz臋艣ci konfiguracji dotycz膮cej prze艂膮cznika.
Nast臋pnie wpisuj臋 has艂o Radius, w tym przyk艂adzie przyj膮艂em za has艂o „netadminpro.pl”
Dodatkowo zaznaczam wsparacie dla CoA (Enable RADIUS Dynamic Authorization) na porcie 3799, wspieranym na prze艂膮cznikach Aruba.
2.3 KROK 3 – Profil Enforcement Aruba Downloadable Role na potrzeby dynamic Segmentation
Configuration 禄 Enforcement 禄 Profiles 禄 Edit Enforcement Profile - DUR-Netadminpro.pl-NAP
Tworz臋 nowy profil atrybut贸w Radius, wybieram typ „Aruba Downloadable Role Enforcement”, nast臋pnie wybieram typ urz膮dzenia jako ArubaOS-Switch.
Klikam Next I przechodzi do konfiguracji parametr贸w roli, w tym przyk艂adzie pos艂uguj臋 si臋 trybem Standard, czyli wyklikuj臋 graficznie parametry.
W moim przyk艂adzie wybieram jedynie przypisanie nazwy roli przypisywanej na kontrolerze bezprzewodowym (utn-role). Rola na prze艂膮czniku b臋dzie utworzona automatycznie.
2.4 KROK 4 – Utworzenie serwisu
Configuration 禄 Services 禄 Add
Tworz臋 serwis typu Mac Authentication, w moim przyk艂adzie upraszczam konfiguracj臋 serwisu do minimum, 偶eby skupi膰 si臋 na pokazaniu konfiguracji DUR.
Jako 藕r贸d艂o uwierzytelniania wybieram baz臋 [Endpoints Repository]:
Mapowania r贸l nie konfiguruj臋 w tym scenariuszu, przechodz臋 do zak艂adki Enforcement i dodaj臋 nowy profil.
Profil jest banalnie prosty, m贸wi膮cy 偶e je偶eli rola wewn臋trzna w Clearpass’e istnieje dla endpoint’u, mo偶e zawiera膰 dowoln膮 nazw臋 to wy艣lij profil uprzednio przygotowany DUR-Netadminpro.pl-NAP.
3. Konfiguracja Kontrolera Bezprzewodowego pod Dynamic Segmentation
W koniec zostawi艂em konfiguracj臋 kontrolera, jest ona bardzo prosta, poniewa偶 obs艂uga tunelu GRE jest domy艣lnie w艂膮czona na kontrolerach Aruba.
Jedyne co potrzebujemy skonfigurowa膰 to:
3.1 Krok 1 – Konfiguracja VLAN
Przyj膮艂em dla mojego 艣rodowiska VLAN110
vlan 110 vlan-name utn-vlan-110 vlan utn-vlan-110 110
interface vlan 110 ip address 10.0.110.252 255.255.255.0 no suppress-arp ip nat inside
3.2 KROK 2 – KONFIGURACJA SERWERA DHCP
Adresacja dla mojego VLAN’u to 10.0.110.0/24
ip dhcp pool vlan_110 default-router 10.0.110.252 dns-server 1.1.1.1 network 10.0.110.0 255.255.255.0 authoritative
3.3 KROK 3 – KONFIGURACJA NAT
W艂膮czam NAT Inside, 偶eby komputer pod艂膮czony w ramach Dynamic Segmentation wychodzi艂 z adresem kontrolera.
3.4 KROK 4 – KONFIGURACJA Roli do Dynamic Segmentation
Rol臋 na kontrolerze przypisuj臋 statyczna, zgodn膮 z nazw膮 przesy艂an膮 do prze艂膮cznika z Clearpass’a jako secondary role. Dzi臋ki temu mam ju偶 roli przypisany identyfikator VLAN.
W moim przypadku nazwa roli to „utn-role”
user-role utn-role vlan utn-vlan-110 access-list session global-sacl access-list session apprf-utn-role-sacl access-list session utn-role access-list session allowall
3.5 KROK 5 – Dodanie VLAN dla ROli
Podsumowanie
Koncepcja rozwi膮zania Dynamic Segmentation, jest bardzo ciekawa i zdecydowanie centralizuje ca艂o艣膰 konfiguracji oraz wdra偶ania ewentualnych zmian w 艣rodowisku.
Jak widzisz Aruba przyj臋艂a hybrydowe podej艣cie do sieci programowalnych, nie jest to jeden system, a raczej wykorzystanie standardowych komponent贸w dobrze sprawdzonych do automatyzacji ca艂ego procesu.
Z drugiej strony takie podej艣cie jest bezpieczne, bo wykorzystuje komponenty dobrze i sprawdzone od lat.
Nie jest to jeden orkiestrator, trzeba wiedzie膰 co ka偶dy z komponent贸w robi i jakie s膮 warianty implementacji . To nie jest rozwi膮zanie plug-and-play.
Inna sprawa, 偶e 偶adne z rozwi膮za艅 korporacyjnych takie nie jest. Nawet jak s艂yszysz od sprzedawcy 偶e SD-Access, SD-Branch lub inne rozwi膮zanie tego typu jest samograjem, to sugeruj臋 przemy艣le膰 temat.
Takie rozwi膮zanie jest jednak skalowalne, w艂a艣ciwie wdro偶one mo偶e zaoszcz臋dzi膰 bardzo du偶o pracy w utrzymaniu.
Je偶eli chcesz zobaczy膰 konfiguracj臋 Aruba ClearPass PPTN, to poni偶ej zamieszczam link do filmu instrukta偶owego po angielsku: