||

20T49 Konfiguracja Roli (LUR) – ArubaSwitchOS 10.10

PrzezDarek Koralewski

Aruba Role Prze艂膮cznik

Wi臋cej miejsc do pos艂uchania:

Spotify

1. U艂atwienie sobie 偶ycia przy 802.1x w dost臋pie przewodowym

Wdra偶am uwierzytelnianie w dost臋pie przewodowym i u艂atwiam sobie 偶ycie, zamiast podawa膰 z Radiusa identyfikator VLAN’u 3 standardowymi atrybutami, przekazuj臋 jeden specyficzny VSA z nazw膮 roli.

Tutaj mam 2 mo偶liwo艣ci od wyboru konfiguracji na prze艂膮czniku:

  • Przypisanie lokalne roli na prze艂膮czniku (LUR)
  • 艢ci膮gni臋cie konfiguracji roli lokalnie (DUR)
Aruba 2530 Switch family.jpg
Aruba 2530 Switch family.jpg

2. Rola u艂atwiaj膮ca 偶ycie

Dlaczego rola tak u艂atwia 偶ycie?

S膮 2 g艂贸wne powody (om贸wione poni偶ej):

  • przejrzysto艣膰 konfiguracji
  • skalowanie

przejrzysto艣膰 konfiguracji

Na systemie Radius (najcz臋艣ciej korzystam z Clearpass) widz臋 jaka nazwa roli zosta艂a przydzielona. Dzi臋ki temu ju偶 na etapie przegl膮dania Radiusa wiem czy problem le偶y po stronie prze艂膮cznika czy systemu centralnego uwierzytelniania.

Na prze艂膮czniku mog臋 wy艣wietli膰 wszystkie uwierzytelnione urz膮dzenia i widz臋 jaki profil ma przypisane ka偶de z urz膮dze艅.

Dodatkowo jest przypisana rola pocz膮tkowa (initial), dzi臋ki kt贸rej od razu wiem czy dane urz膮dzenie mia艂o problem z przypisaniem w艂a艣ciwego profilu.

Skalowanie

Gdy potrzebuj臋 doda膰 kolejny profil dost臋pu, tworze now膮 rol臋, przypisuj臋 nazw臋 i odpowiedni膮 polityk臋 w Radiusie.

Je偶eli mam r贸偶ne VLAN’y w r贸偶nych budynkach, to mog臋 potworzy膰 r贸偶ne przypisanie jednej roli do danego VLAN’u per budynek, co znacznie upraszcza konfiguracj臋 Radiusa.

Podobnie ma si臋 koncepcja mapowania r贸l w systemie Radius, ale to temat na inny artyku艂.

4. Przyk艂ad konfiguracji roli lokalnej (LUR)na prze艂膮czniku

Aruba 2530-8 PoE+ switch, J9780A
Aruba 2530-8 PoE+ switch, J9780A

Stworzy艂em 2 role:

NAP-Pracownik

Zawiera docelowy VLAN 1 dla uprawnionego pracownika:

aaa authorization user-role name "NAP-Pracownik"
vlan-id 1
exit

NAP-initial-role

Zawiera VLAN pocz膮tkowy bez wyj艣cia z prze艂膮cznika i dodatkowo przypi臋t膮 ACL dla nieznanych urz膮dze艅:

aaa authorization user-role name "NAP-initial-role"
policy "policy-deny-all"
vlan-id 4000
exit

Zawarto艣膰 listy dost臋pu blokuj膮cy ca艂y ruch IP:

class ipv4 "ALL"
10 match ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
exit
policy user "policy-deny-all"
10 class ipv4 "ALL" action deny
exit

Definicja VLAN’贸w:

vlan 1
name "DEFAULT_VLAN"
untagged 1-10
ip address dhcp-bootp
exit
vlan 4000
name "poczatkowy-VLAN"
no ip address
exit

Konfiguracja uwierzytelniania na porcie 7

aaa port-access local-mac 7

W艂膮czenie trybu roli i ustawienie roli pocz膮tkowej (domy艣lnej)

aaa authorization user-role enable
aaa authorization user-role initial-role "NAP-initial-role"

Dodanie lokalnego mapowania adresu MAC do roli

T臋 cz臋艣膰 konfiguracji stworzy艂em tylko na potrzeby tego instruktarzu, w praktycznych implementacja opieramy si臋 zazwyczaj na centralnej bazie host贸w w Radiusie.

aaa port-access local-mac apply user-role "NAP-Pracownik" mac-addr b05ada-b5b9b1

Pe艂na konfiguracja do skopiowania

Running configuration:
; J9774A Configuration Editor; Created on release #YA.16.10.0011
; Ver #14:41.44.00.04.19.02.13.98.82.34.61.18.28.f3.84.9c.63.ff.37.27:05
hostname "NetAdminPro.pl-2530"
class ipv4 "ALL"
10 match ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
exit
policy user "policy-deny-all"
10 class ipv4 "ALL" action deny
exit
include-credentials
password manager user-name "darek" sha1 "d3abb0fde6ec04c27a379b0e0de9253a435d30eb"
snmp-server community "public"
snmpv3 engineid "00:00:00:0b:00:00:1c:98:ec:3d:44:10"
aaa authorization user-role name "NAP-Pracownik"
vlan-id 1
exit
aaa authorization user-role name "NAP-initial-role"
policy "policy-deny-all"
vlan-id 4000
exit
aaa authorization user-role enable
aaa authorization user-role initial-role "NAP-initial-role"
aaa port-access local-mac apply user-role "NAP-Pracownik" mac-addr b05ada-b5b9b1
aaa port-access local-mac 7
vlan 1
name "DEFAULT_VLAN"
untagged 1-10
ip address dhcp-bootp
exit
vlan 4000
name "poczatkowy-VLAN"
no ip address
exit
no tftp server
no dhcp config-file-update
no dhcp image-file-update
no dhcp tr69-acs-url

5. Testowanie dzia艂ania:

1 .Pod艂膮czenie nieznanego urz膮dzenia i wy艣wietlenie statusu:

Laptop Macbook
Laptop Macbook

W moim scenariuszu przedstawiony laptop jest urz膮dzeniem nieznanym i nieuprawnionym w dost臋pie do sieci.

Status stacji ko艅cowej na prze艂膮czniku:

Polecenie do wy艣wietlenia statusu:

NetAdminPro.pl-2530# show port-access clients

Wynik polecenia: 

Port Access Client Status 
Port ClientName MAC Address    IP Address   User Role        Type  VLAN 
7               c42c03-3aeb9f  n/a          NAP-initial-role LOCAL 4000

To samo sprawdzenie przez interfejs WWW:

2530 Rola NAP-initial-role
2530 Rola NAP-initial-role

Jak widzisz klient stacja ko艅cowa jest widoczna i ma przypisan膮 rol臋 pocz膮tkow膮. W roli tej jest przypisany VLAN 4000, czyli brak komunikacji w moim 艣rodowisku.

2. POD艁膭CZENIE URZ膭DZENIA firmowego

Laptop HP 840
Laptop HP 840

W przypadku drugiego laptopa (firmowego) znamy adres MAC, jest on wprowadzony w konfiguracji prze艂膮czniki i powi膮zany z rol膮 pracownika.

STATUS STACJI KO艃COWEJ NA PRZE艁膭CZNIKU:

Polecenie do wy艣wietlenia statusu:

NetAdminPro.pl-2530# show port-access clients

Wynik polecenia:

Port Access Client Status 
Port ClientName MAC Address    IP Address   User Role        Type  VLAN 
7               b05ada-b5b9b1  n/a          NAP-Pracownik    LOCAL 1

To samo sprawdzenie przez interfejs WWW:

2530 Rola NAP-Pracownik
2530 Rola NAP-Pracownik

W typ przypadku wida膰, komputerowi zosta艂a przypisana rola NAP-Pracownik i przypisany VLAN1, z pe艂nym dost臋pem do sieci firmowej.

6. Podsumowanie

Jak widzisz tworzenie roli i przypisanie odpowiedniego VLAN’u jest banalnie proste i je偶eli masz podobne zadanie do wykonania, jak to opisane to szczerze polecam takie podej艣cie.

Co warto wiedzie膰 gdy korzystamy z roli? W艂膮czenie pracy prze艂膮cznika Aruba w tryb roli blokuje przyjmowanie standardowych atrybut贸w Radius.

Na koniec dwa s艂owa na temat roli 艣ci膮galnej z Clearpass’a. Funkcjonalnie r贸偶nica mi臋dzy DUR i LUR jest tylko taka, 偶e DUR czyli 艣ci膮gana z Clearpassa, upraszcza zarz膮dzanie w przypadku gdy nie masz systemu zarz膮dzania, np Airwave.

W takim przypadku Clearpass wysy艂a specjalnym atrybutem, Radius VSA, konfiguracj臋 dok艂adanie tak膮 sam膮 jak przedstawiona powy偶ej, dynamizuj膮c proces tworzenia i propagacji roli na prze艂膮czniku.

Ta funkcjonalno艣膰 jednak jest mo偶liwa do realizacji jedynie mi臋dzy Clearpassem oraz prze艂膮cznikiem Aruby w odpowiedniej wersji oprogramowania.

Je偶eli chcesz wi臋cej si臋 dowiedzie膰 napisz do mnie stworz臋 odpowiedni artyku艂.

Podobne wpisy

Dodaj komentarz

Tw贸j adres e-mail nie zostanie opublikowany. Wymagane pola s膮 oznaczone *