21T8 Aruba Dynamic Segmentation w 10 min – User Tunneled Node

Dynamic Segmentation Aruby jako odpowied┼║ na Cisco SD-Access

Dynamic Segmentation - User Based Tunneled Node
Dynamic Segmentation – User Based Tunneled Node

Kluczowym elementem Dynamic Segmentation w oparciu o UTN, jest Clearpass. Dzi─Öki niemu mo┼╝esz tworzy─ç profile dost─Öpu do sieci oraz kreowa─ç sie─ç nak┼éadkow─ů w spos├│b dynamiczny.

Nie mniej istotnym elementem Dynamic Segmentation jest prze┼é─ůcznik wpieraj─ůcy tunelowanie GRE do kontrolera bezprzewodowego lub Branch GW.

Aruba – Downloadable User Role

Więcej miejsc do posłuchania:

Spotify

Jaki problem rozwi─ůzuje Dynamic Segmentation?

Nowoczesne rozwi─ůzania sieciowe, zak┼éadaj─ů pe┼én─ů automatyzacj─Ö w pod┼é─ůczaniu urz─ůdze┼ä do sieci w oparciu o centralny system tworzenia polityk. Godnym zauwa┼╝anie jest fakt, ┼╝e tak dzia┼éa ka┼╝da sie─ç nak┼éadkowa.

Poniżej przykład implementacji w wykonaniu Aruby:

  1. Uwierzytelnienie na porcie prze┼é─ůcznika z wykorzystaniem Clearpass’a
  2. Przypisanie roli dost─Öpu na prze┼é─ůczniku oraz na kontrolerze (Mobility Controller)
  3. Przekierowanie ruchu komputera do tunelu GRE kieruj─ůcego do (Mobility Controller’a)
User Based Tunneled Node
User Based Tunneled Node

Dalsze przetwarzanie ruchu jest realizowane zupełnie normalnie, w oparciu o tablicę routingu.

Dynamic Segmentation ma nast─Öpuj─ůce zalety:

U┼╝ywamy centralnego miejsca konfiguracji polityk dost─Öpu, upraszczaj─ůc do minimum konfiguracj─Ö samego prze┼é─ůcznika.

Dodatkowo zyskujemy mo┼╝liwo┼Ť─ç przypisywania dynamiczne r├│l (Dynamic Segmentation), poszczeg├│lnym typom urz─ůdze┼ä bazuj─ůc na centralnej polityce realizowanej przez system Clearpass.

Jeszcze bardziej istotnym jets zyskanie wi─Ökszej widoczno┼Ťci ruchu przetwarzanego na brzegu sieci, widzimy nie tylko informacje o L3/L4, ale na kontrolerze mamy widoczno┼Ť─ç aplikacyjn─ů, dzi─Öki temu mo┼╝emy realizowa─ç polityk─Ö ograniczania ruchu w oparciu o aplikacje.

Zalety Dynamic Segmentation
Zalety Dynamic Segmentation

Pierwszym krokiem przygotowania konfiguracji dla mojego przyk┼éadu b─Ödzie prze┼é─ůcznik.

1. Konfiguracja Prze┼é─ůcznika

Aruba 2930f-24G-PoE+
Aruba 2930f-24G-PoE+

1.1 Krok 1 – Serwer NTP

Pierwszym podstawowym krokiem konfiguracji wsp├│┼épracy prze┼é─ůcznika z Clearpassem, jest synchronizacja czasu oraz ustawienie odpowiedniej strefy geograficznej.

timesync ntp
ntp unicast
ntp server 193.219.28.2
ntp enable
time daylight-time-rule middle-europe-and-portugal
time timezone 60

1.2 Krok 2 – Konfiguracja Serwera Radius na Prze┼é─ůczniku dla Dynamic Segmentation

Ustawiam adres IP serwera Radius oaz hasło

radius-server host 10.253.253.130 key "netadminpro.pl"

Umo┼╝liwiam funkcjonalno┼Ť─ç CoA (Change of Authorization), czyli dynamiczn─ů zmian─Ö profilu dost─Öpu urz─ůdzenia na prze┼é─ůczniku.

radius-server host 10.253.253.130 dyn-authorization

Nast─Öpnie ustawiam akceptowaln─ů r├│┼╝nic─Ö czasu mi─Ödzy serwerem Radius, a prze┼é─ůcznikiem, na warto┼Ť─ç „0” liczon─ů w sekundach.

 radius-server host 10.253.253.130 time-window 0

Kolejnym krokiem b─Ödzie wskazanie prze┼é─ůcznikowi, ┼╝e serwer Radius to Clerpass wspieraj─ůcy niestandardow─ů metod─Ö pobrania certyfikatu. U┼éatwia to proces importu certyfikatu na prze┼é─ůcznik, a jest to konieczny proces do uruchomienia Dynamic User Role.

radius-server host 10.253.253.130 clearpass

Na koniec tej sekcji konfiguracji wpisuj─Ö dane logowania do Clerpassa w celu pobrania dynamicznie roli na prze┼é─ůcznik.

radius-server cppm identity "dur-admin" key netadminpro.pl

1.3 Krok 3 – KONFIGURACJA tunelu DLA DYNAMIC SEGMENTATION

Gdy ju┼╝ mamy skonfigurowany serwer Radius, przychodzi pora na wskazanie do jakiego kontrolera bezprzewodowego (Mobility Controller) lub Branch GW b─Ödzie nawi─ůzywany tunel GRE.

Dodatkowo potrzebuj─Ö wskaza─ç jaki VLAN b─Ödzie wykorzystywany do przeniesienia tunelem ruchu u┼╝ytkownika do kontrolera. W moim przypadku b─Ödzie to plan 4090

tunneled-node-server
controller-ip 172.16.100.252
mode role-based reserved-vlan 4090

Opcjonalnie mo┼╝na ustawi─ç accounting, polecam ustawienie tych parametr├│w, zobaczymy wi─Öcej informacji po stronie Clearpass’a.

aaa accounting update periodic 3
aaa accounting network start-stop radius

Przed po┼é─ůczeniem prze┼é─ůcznika do Clerpass’a w celu ┼Ťci─ůgni─Öcia roli, potrzebuj─Ö pobra─ç certyfikat CA, kt├│remu b─Öd─Ö ufa┼é:

crypto ca-download usage clearpass force

Na koniec konfiguracji prze┼é─ůcznika, uruchamiam funkcjonalno┼Ť─ç obs┼éugi roli na prze┼é─ůczniku, oraz ustawiam uwierzytelnianie na porcie 3 w oparciu o MAC

Wi─Öcej na ten temat mo┼╝esz znale┼║─ç na stronie:

https://netadminpro.pl/21t2-clearpass-przypisanie-roli/

aaa authorization user-role enable download
aaa port-access mac-based 3

2. Konfiguracja Clearpass 6.9 – DUR Aruba Role

Clearpass Appliance
Clearpass Appliance

W artykule 21T4 Clearpass 6.9 DUR Aruba Role opisałem poszczególne kroki konieczne do stworzenia polityki dynamicznej wykorzystywanej dla Dynamic Segmentation.

Poni┼╝ej przestawiam kopi─Ö tych krok├│w na wypadek gdyby┼Ť chcia┼é prze┼Ťledzi─ç procedur─Ö od pocz─ůtku. Jedyne co modyfikuj─Ö w stosunku do w/w artyku┼éu to enforcement w kroku 3

2.1 Krok 1 – dodanie konta administracyjnego dedykowanego dla DUR

Clearpass DUR Admin Aruba Role Download
Clearpass DUR Admin Aruba Role Download

2.2 KROK 2 – Dodanie prze┼é─ůcznika do urz─ůdze┼ä NAD

Clearpass Network Device
Clearpass Network Device

Wpisa┼éem adres IP prze┼é─ůcznika, interfejsu z jakiego b─Öd─Ö si─Ö ┼é─ůczy┼é do Clerpassa. W moim przypadku to vlan10, ten interfejs ustawi─Ö w dalszej cz─Ö┼Ťci konfiguracji dotycz─ůcej prze┼é─ůcznika.

Nast─Öpnie wpisuj─Ö has┼éo Radius, w tym przyk┼éadzie przyj─ů┼éem za has┼éo „netadminpro.pl”

Dodatkowo zaznaczam wsparacie dla CoA (Enable RADIUS Dynamic Authorization) na porcie 3799, wspieranym na prze┼é─ůcznikach Aruba.

2.3 KROK 3 – Profil Enforcement Aruba Downloadable Role na potrzeby dynamic Segmentation

Configuration ┬╗ Enforcement ┬╗ Profiles ┬╗ Edit Enforcement Profile - DUR-Netadminpro.pl-NAP
Clearpass Aruba Downloadable User Role Enforcement - Dynamic Segmentation
Clearpass Aruba Downloadable User Role Enforcement – Dynamic Segmentation

Tworz─Ö nowy profil atrybut├│w Radius, wybieram typ „Aruba Downloadable Role Enforcement”, nast─Öpnie wybieram typ urz─ůdzenia jako ArubaOS-Switch.

Klikam Next I przechodzi do konfiguracji parametrów roli, w tym przykładzie posługuję się trybem Standard, czyli wyklikuję graficznie parametry.

Clearpass Enforcement Profile DUR Dynamic Segmentation UTN
Clearpass Enforcement Profile DUR Dynamic Segmentation UTN

W moim przyk┼éadzie wybieram jedynie przypisanie nazwy roli przypisywanej na kontrolerze bezprzewodowym (utn-role). Rola na prze┼é─ůczniku b─Ödzie utworzona automatycznie.

2.4 KROK 4 – Utworzenie serwisu

Configuration ┬╗ Services ┬╗ Add

Tworzę serwis typu Mac Authentication, w moim przykładzie upraszczam konfigurację serwisu do minimum, żeby skupić się na pokazaniu konfiguracji DUR.

Clearpass Service MAC-Authentication
Clearpass Service MAC-Authentication

Jako źródło uwierzytelniania wybieram bazę [Endpoints Repository]:

Clearpass Authentication Source
Clearpass Authentication Source

Mapowania ról nie konfiguruję w tym scenariuszu, przechodzę do zakładki Enforcement i dodaję nowy profil.

Clearpass Enforcemnt Policy
Clearpass Enforcemnt Policy

Profil jest banalnie prosty, m├│wi─ůcy ┼╝e je┼╝eli rola wewn─Ötrzna w Clearpass’e istnieje dla endpoint’u, mo┼╝e zawiera─ç dowoln─ů nazw─Ö to wy┼Ťlij profil uprzednio przygotowany DUR-Netadminpro.pl-NAP.

3. Konfiguracja Kontrolera Bezprzewodowego pod Dynamic Segmentation

Aruba 7280 Controller
Aruba 7280 Controller

W koniec zostawi┼éem konfiguracj─Ö kontrolera, jest ona bardzo prosta, poniewa┼╝ obs┼éuga tunelu GRE jest domy┼Ťlnie w┼é─ůczona na kontrolerach Aruba.

Jedyne co potrzebujemy skonfigurowa─ç to:

3.1 Krok 1 – Konfiguracja VLAN

Przyj─ů┼éem dla mojego ┼Ťrodowiska VLAN110

vlan 110
vlan-name utn-vlan-110
vlan utn-vlan-110 110
Mobilty Controller VLAN
Mobilty Controller VLAN
interface vlan 110
ip address 10.0.110.252 255.255.255.0
no suppress-arp
ip nat inside

3.2 KROK 2 – KONFIGURACJA SERWERA DHCP

Adresacja dla mojego VLAN’u to 10.0.110.0/24

Mobility Controller DHCP
Mobility Controller DHCP
ip dhcp pool vlan_110
default-router 10.0.110.252
dns-server 1.1.1.1
network 10.0.110.0 255.255.255.0
authoritative

3.3 KROK 3 – KONFIGURACJA NAT

W┼é─ůczam NAT Inside, ┼╝eby komputer pod┼é─ůczony w ramach Dynamic Segmentation wychodzi┼é z adresem kontrolera.

Mobility Controller NAT - Dynamic Segmentation
Mobility Controller NAT – Dynamic Segmentation

3.4 KROK 4 – KONFIGURACJA Roli do Dynamic Segmentation

Rol─Ö na kontrolerze przypisuj─Ö statyczna, zgodn─ů z nazw─ů przesy┼éan─ů do prze┼é─ůcznika z Clearpass’a jako secondary role. Dzi─Öki temu mam ju┼╝ roli przypisany identyfikator VLAN.

W moim przypadku nazwa roli to „utn-role”

user-role utn-role
vlan utn-vlan-110
access-list session global-sacl
access-list session apprf-utn-role-sacl
access-list session utn-role
access-list session allowall
Mobility Controller Rola - Dynamic Segmentation
Mobility Controller Rola – Dynamic Segmentation

3.5 KROK 5 – Dodanie VLAN dla ROli

Mobility Controller VLAN dla Roli - Dynamic Segmentation
Mobility Controller VLAN dla Roli – Dynamic Segmentation

Podsumowanie

Koncepcja rozwi─ůzania Dynamic Segmentation, jest bardzo ciekawa i zdecydowanie centralizuje ca┼éo┼Ť─ç konfiguracji oraz wdra┼╝ania ewentualnych zmian w ┼Ťrodowisku.

Jak widzisz Aruba przyj─Ö┼éa hybrydowe podej┼Ťcie do sieci programowalnych, nie jest to jeden system, a raczej wykorzystanie standardowych komponent├│w dobrze sprawdzonych do automatyzacji ca┼éego procesu.

Z drugiej strony takie podej┼Ťcie jest bezpieczne, bo wykorzystuje komponenty dobrze i sprawdzone od lat.

Nie jest to jeden orkiestrator, trzeba wiedzie─ç co ka┼╝dy z komponent├│w robi i jakie s─ů warianty implementacji . To nie jest rozwi─ůzanie plug-and-play.

Inna sprawa, ┼╝e ┼╝adne z rozwi─ůza┼ä korporacyjnych takie nie jest. Nawet jak s┼éyszysz od sprzedawcy ┼╝e SD-Access, SD-Branch lub inne rozwi─ůzanie tego typu jest samograjem, to sugeruj─Ö przemy┼Ťle─ç temat.

Takie rozwi─ůzanie jest jednak skalowalne, w┼éa┼Ťciwie wdro┼╝one mo┼╝e zaoszcz─Ödzi─ç bardzo du┼╝o pracy w utrzymaniu.

Je┼╝eli chcesz zobaczy─ç konfiguracj─Ö Aruba ClearPass PPTN, to poni┼╝ej zamieszczam link do filmu instrukta┼╝owego po angielsku:

ArubaOS 8.2 Series Part 10 – Per Port Tunneled Node (PPTN)

Autor: Darek Koralewski

Od pocz─ůtku swojej kariery, czyli od 2004 roku, zajmuj─Ö si─Ö sieciami komputerowymi ze szczeg├│lnym uwzgl─Ödnieniem ich bezpiecze┼ästwa oraz sieciami programowalnymi. Mam na swoim koncie ca┼é─ů list─Ö certyfikat├│w r├│┼╝nych producent├│w, dwa najwa┼╝niejsze to te po┼Ťwiadczaj─ůce najwy┼╝szy poziom wiedzy eksperckiej z zakresu rozwi─ůza┼ä Aruba ClearPass ACCX#901 oraz z projektowania sieci opartych o rozwi─ůzania Aruba ACDX#1255. Wi─Öcej informacji mo┼╝esz znale┼║─ç na moich portalach spo┼éeczno┼Ťciowych.