Aruba Policy Domain 8.6

Aruba Policy Domain jest nowością przedstawioną w ArubaOS 8.6.0.0. Jest to rozszerzenie znanej każdemu listy kontroli dostępu ACL. Aruba Policy Domain to ACL bazujący na rolach.

Ze względu na to, że jest to nowość, polecenia konfiguracyjne tej funkcjonalności na ten moment są akceptowane tylko przez CLI.

  1. Przejdź do kontekstu konfiguracji poleceniem conf t.
  2. Przejdź do konfiguracji węzła /md poleceniem cd /md.
  3. Wykonaj poniższe polecenia w celu utworzenia Profilu Policy Domain
(host) [md] policy-domain group-profile <name>
(host) [md] (Policy Domain Profile "name") controller <ip> <macaddress>

Omówienie powyższych parametrów:

  • W polu <name> wpisz nazwę profilu.
  • W polu <ip> podaj adres IP controllera.
  • W polu <macaddress> podaj adres MAC controllera.

Zadania związane z konfiguracją zasad zapory:

  1. Konfiguracja reguł, stanowiących podstawę tworzenia zasad zapory.
  2. Tworzenie aliasu sieciowego. Alias ​​usługi sieciowej definiuje protokół TCP, UDP lub IP oraz listę lub zakres portów obsługiwanych przez tę usługę.
  3. Tworzenie białej listy ACL. Biała lista ACL składa się z reguł, które wyraźnie zezwalają lub zabraniają przekazywania ruchu sesji do lub blokowania z zarządzanego urządzenia.
  4. Tworzenie i nadpisanie lokalnego miejsca docelowego sieci. Ta funkcja zapewnia skalowalne rozwiązanie do tworzenia zastępowania lokalnego miejsca docelowego w sieci.

Tworzenie zasad zapory

  1. W hierarchii węzłów wybierz Mobility Master i przejdź do zakładki Configuration > Roles & Policies > Policies.
  2. Kliknij +, aby utworzyć nową politykę.
  3. Wprowadź nazwę polityki w polu Policy name.
  4. Wybierz typ polityki z listy rozwijanej Policy type. Możesz wybrać Ethertype, Extended, MAC, Route, Session lub Standard.
  5. Kliknij Submit.
  6. Wybierz utworzoną politykę i kliknij + w tabeli Policy <policy-name> Rules.
  7. Wybierz opcję Access control w polu Rule type.
  8. Kliknij OK.
  9. [Przykład] Aby dodać regułę zezwalającą na ruch HTTP:
    1. Z listy rozwijanej Service/app, wybierz Service.
    2. Z listy rozwijanej Services alias wybierz svc-http.
    3. Kliknij Submit.
  10. Kliknij Pending Changes w celu sprawdzenia zmian.
  11. Kliknij Deploy Changes, żeby zastosować widoczne zmiany.

Tworzenie aliasu usługi sieciowej

  1. W hierarchii węzłów wybierz Managed Network i przejdź do zakładki Configuration > Roles & Policies > Policies.
  2. Kliknij +, aby utworzyć nową politykę.
  3. Wprowadź nazwę polityki w polu Policy name.
  4. Wybierz typ polityki z listy rozwijanej Policy type. Możesz wybrać Ethertype, Extended, MAC, Route, Session lub Standard.
  5. Kliknij Submit.
  6. Przejdź do zakładki Aliases.
  7. [Przykład] Blokowanie Facebooka:
    1. W tabeli Network Aliases kliknij +.
    2. W polu Name wpisz nazwę aliasu, np. facebook-block.
    3. W tabeli Items kliknij +.
    4. Z listy rozwijanej Rule type wybierz typ reguły Name.
    5. W polu Domain name wpisz facebook.com.
    6. Kliknij OK.
    7. Kliknij Submit.
    8. Kliknij Pending Changes.
    9. Kliknij Deploy Changes.
    10. Wróć do zakładki Policies.
    11. Wybierz utworzoną w punktach 2-5 politykę i kliknij + w tabeli Policy <policy-name> Rules.
    12. Wybierz opcję Access control w polu Rule type.
    13. Kliknij OK.
    14. Z listy rozwijanej Destination wybierz Alias.
    15. Z listy rozwijanej Destination alias wybierz facebook-block
    16. Z listy rozwijanej Action, wybierz Reject.
    17. Kliknij Submit.
  8. Kliknij Pending Changes w celu sprawdzenia zmian.
  9. Kliknij Deploy Changes, żeby zastosować widoczne zmiany.

Tworzenie białej listy ACL

Tworzenie kontraktu dotyczącego przepustowości

  1. W hierarchii węzłów wybierz Mobility Master i przejdź do zakładki Configuration > Services > Firewall.
  2. Rozwiń White List BW Contracts.
  3. Naciśnij +, aby utworzyć nowy kontrakt.
  4. W polu White list contract name wprowadź nazwę kontraktu o przepustowości.
  5. W polu Bandwidth rate wprowadź wartość przepustowości.
  6. Kliknij Submit.
  7. Kliknij Pending Changes.
  8. Kliknij Deploy Changes.

Konfigurowanie białej listy ACL

  1. W hierarchii węzłów wybierz Mobility Master i przejdź do zakładki Configuration > Services > Firewall.
  2. Rozwiń ACL White List.
  3. Naciśnij +, aby dodać nowy protokół.
  4. Z listy rozwijanej Action wybierz permit, albo deny.
  5. Z listy rozwijanej IPversion wybierz wersję protokołu IP, której dotyczy reguła.
  6. Z listy rozwijanej Source ustal zakres adresów źródłowych, których obejmie ta reguła. Dla wszystkich adresów z sieci można wybrać any.
  7. W polu IP protocol number (1-255) or IP protocol wprowadź numer protokołu, którego dotyczy reguła lub wybierz z listy jeden z najczęściej używanych protokołów.
  8. Z listy rozwijanej White list bandwidth contract wybierz utworzony w poprzedniej instrukcji kontrakt.
  9. Kliknij Submit.
  10. Postępując według punktów 3-9 dodawaj kolejne protokoły.
  11. Kliknij Pending Changes.
  12. Kliknij Deploy Changes.

Konfiguracja roli z własnymi regułami

  1. W hierarchii węzłów wybierz Managed Network i przejdź do zakładki Configuration > Roles & Policies > Roles.
  2. Naciśnij + pod tabelą Roles w celu utworzenia nowej roli.
  3. W polu Name wpisz nazwę nowej roli.
  4. Naciśnij Submit.
  5. W tabeli Roles zaznacz dodaną rolę.
  6. Naciśnij + pod tabelą Rules of this Role only w celu dodania reguł.
  7. W polu Rule type zaznacz Access control.
  8. Naciśnij OK.
  9. Z listy rozwijanej IP version wybierz wersję protokołu IP używaną przez regułę.
  10. Pole Source zostaw w pozycji Any.
  11. Z listy rozwijanej Destination wybierz Alias.
  12. Z listy rozwijanej Destination alias wybierz utworzony wcześniej alias, np. blokujący Facebooka.
  13. Pole Service/app zostaw w pozycji Any.
  14. Z listy rozwijanej Action wybierz Reject.
  15. Naciśnij Submit.
  16. W ten sam sposób utwórz pozostałe reguły powtarzając kroki 6-15.
  17. Utwórz regułę zezwalającą na wszystko (Sany/Dany/Permit).
  18. Kliknij Pending Changes.
  19. Kliknij Deploy Changes.

Przypisywanie roli do WLANów

  1. W hierarchii węzłów przejdź do węzła zawierającego interesującą Cię sieć Wi-Fi.
  2. Przejdź do zakładki Configuration > WLANs.
  3. Z tabeli WLANs wybierz SSID, w którym chcesz zmienić konfigurację roli.
  4. W tabeli <ssid> przejdź do zakładki Access.
  5. Z listy rozwijanej Default role wybierz rolę utworzoną w poprzedniej instrukcji.
  6. Kliknij Submit.
  7. Punkty 1-6 powtórz dla wszystkich interesujących Cię sieci Wi-Fi.
  8. Kliknij Pending Changes.
  9. Kliknij Deploy Changes.

Efekt zmian widoczny na urządzeniach końcowych