Podkast 21T35 Aruba Device Profile [Konfiguracja]

WERSJA TEKSTOWA:

Cześć, witam Cię w dzisiejszym odcinku – temat Device Profile, czyli profilowanie urządzeń na przełącznikach linii CX Aruby.

Jeżeli chodzi o pytanie, po co w ogóle stosować profile? Jest ono powiązane z takim najnowszym trendem, czyli jak rozpoznawać urządzenia brzegowe i przypisywać tym urządzeniom właściwy VLAN, właściwy profil PoE, właściwy profil DSCP. Oczywiście możemy zostać przy dzisiaj dobrze znanym i stosowanym schemacie statycznego przypisywania VLANów, ale jeżeli chcielibyśmy podnieść trochę poziom bezpieczeństwa naszej sieci i uzależnić VLAN i jego dodatkowe profile np. access listę od tego jaki najczęściej jest to rodzaj urządzenia już na przełączniku brzegowym, to możemy właśnie wykorzystać profilowanie.

Profilowanie można wykonać w dwóch różnych typowych kierunkach. Pierwszy to profilowanie urządzeniem zewnętrznym – są to typowo dołączone rozwiązania do systemów RADIUSowych jak np Clearpass z profilowaniem lub są to dedykowane systemy profilowania, które instalujemy zupełnie osobno. Tak czy inaczej, są to zewnętrzne systemy, gdzie możemy wysyłać pewne informacje, najczęściej związane z DHCP i w ten sposób je profilować. 

Co natomiast, jeżeli chcemy podłączyć punkt dostępowy, przełącznik do innego przełącznika dostępowego, a jednocześnie chcielibyśmy ograniczyć możliwość wypięcia np. Access Pointa i podpięcia w tym miejscu komputera i otrzymania dostępu do VLANu Access Pointowego? Jeżeli byśmy chcieli, żeby wypięcie tego Access Pointa powodowało od razu resetowanie VLANu, który jest na danym porcie, to właśnie profilowanie urządzeń jest bardzo przydatne. 

Alternatywnie do Device Profile, czyli do tego profilowania i profilu portu dostępowego możemy przypisywać profil, bazując na uwierzytelnieniu 802.1x. To, co ja spotkałem w swojej praktyce to fakt, że 802.1x w niektórych rozwiązaniach ma swoje ograniczenia, czyli nie mogłem np. w ramach 802.1x przypisania roli, przypisać wielu VLANów tagowanych. Jest to dla mnie duże ograniczenie, jeżeli podłączam punkt dostępowy i mam na nim np. jeden nietagowany VLAN i 3-4 tagowane, to potrzebuję te wszystkie tagowane przesłać. Np. na rozwiązaniach Aruby seria SwitchOS nie można było, w ramach 802.1x, takiego przypisania wykonać.

Co jest rozwiązaniem dla takiego przypadku? Można oczywiście posłużyć się wtedy profilem. Jednak czy profil jest bardziej bezpieczny niż uwierzytelnianie? Szczerze powiedziawszy, jeśli chodzi o bezpieczeństwo, wolałbym uwierzytelnianie – zewnętrzny system RADIUSowy weryfikowania atrybutów i przypisanie na tej podstawie dostępu, najlepiej w oparciu o certyfikat. Byłaby to idealna sytuacja, ale jeśli się nie da, to trzeba patrzeć jaką mamy alternatywę. Alternatywą w przypadku Aruby jest możliwość przypisywania Device Profile i są one budowane na podstawie informacji LLDP, którą otrzymuje przełącznik od sąsiada. Więc jeżeli podłączę APeka i przypiszę automatycznie profil APekowi – taki, jaki jest konfigurowany na przełączniku… Czyli mam przełącznik, podłączę do niego APeka – ten APek się komunikuje po LLDP do przełącznika – przełącznik sprawdza, że jest to punkt dostępowy, więc przypisuje mu profil tego punktu dostępowego na tym porcie, na którym widzi ten punkt dostępowy i przypisuje zgodnie z konfiguracją. Jeżeli wypnę punkt dostępowy i podepnę PC- to ten PC otrzyma profil domyślny. 

Jeżeli mam mix – a tak stosowałem do tej pory – uwierzytelnianie i podłączanie punktów dostępowych i podłączenia innych przełączników, to najczęściej dedykowałem sobie w konfiguracji grupowej, że przełączniki i Access Pointy podłączę od ostatnich portów, czyli np. Router Uplinkowy 24 port, jeżeli mam kolejny przełącznik to 23 port, jeżeli mam 3 Akcess Pointy to 22,21,20. Idę od końca przełącznika a zakres portów, gdzie realizuje uwierzytelnienie robię np. od 1 do 19.

W ten sposób mogę sobie sterować, które porty obsługuje uwierzytelniając, które porty obsługuje profilem. Jeżeli zostanie inne urządzenie, niż ja zezwoliłem podłączone, to domyślny VLAN, który jest przyznawany, to jest jakiś ślepy VLAN, bez wyjścia do żadnego systemu. Najczęściej nawet bez nadania adresu IP. W związku z tym, jesteśmy dużo lepiej zabezpieczeni, przed jakimiś urządzeniami nieznanymi. Czyli albo musi się uwierzytelnić to urządzenie, albo musi spełnić ten scenariusz profilu. 

Ja w ten sposób używam tych profili – automatycznie mi się te urządzenia podłączają. Jeżeli np. w danej lokalizacji ktoś mi podłączy nieprawidłowo urządzenie, np. podłączy APeka nie do tego portu, do którego miał podłączyć to to urządzenie się właściwie nie podłączy w związku z tym użytkownicy nie będą mogli być obsługiwani. Dostaję od razu informację, najczęściej od instalatora, że coś nie działa. To też jest ważny element, żeby Ci, którzy odpowiadają za podłączenie urządzeń do przełączników i odpowiednich portów, żeby robili to zgodnie z procedurą. Tj. jeśli ustalamy to w taki sposób, to żeby inny sposób podłączenia nie był możliwy. 

Dzięki temu wymuszamy powtarzalność. Przy większej ilości lokalizacji jest to bardzo przydatne i potrzebne. Ułatwiamy sobie pracę i kontrolujemy dość szczegółowo, co i gdzie jest podłączone. Jeżeli do tego jeszcze dodasz automatyczny proces urządzeń, typu Access Pointów czy przełączników to już masz bardzo wygodny profil, jak można sobie zorganizować pracę, z małym nakładem pracy administracyjnej, przy podłączaniu kolejnych lokalizacji. 

Mam nadzieję, że ten temat był dla Ciebie ciekawy, że go rozwinąłem dość wystarczająco. Jeżeli masz jakieś pytania, to zapraszam do pisania ich w komentarzu. 

Jeżeli chciałbyś zobaczyć, jak konfiguruje się taki profil na przełączniku serii CX Aruby, to odsyłam Cię do poniedziałkowego odcinka – w nim pokazuję, jak tworzyć krok po kroku poszczególne części konfiguracji. Potrzebne są dwa profile i ostatni profil trzeci, w którym te dwa poprzednie powiążemy. Wystarczy nam taka koncepcja konfiguracji do podłączenia we właściwy sposób urządzeń do portu dostępowego.

Tyle na dziś. Dziękuję Ci za uwagę.