Podkast 21T46 Aruba Mobility Controller (VMC) [Instalacja]

Wi臋cej miejsc do pos艂uchania:

Spotify

WERSJA TEKSTOWA

Witam Ci臋 w dzisiejszym odcinku mojego podcastu – temat: Moblity Controler Aruby, pierwsza konfiguracja. Tutaj chcia艂em rozwin膮膰 w tej formie opis bardziej automatycznej koncepcji provisioning-u Aruby, mianowicie activate i wykorzystanie TPM-a na fizycznych kontrolerach Aruby. Sprawdza si臋 to bardzo dobrze, robi艂em ju偶 takie implementacje i dzia艂a to 艣wietnie. Proces polega na tym, 偶e mamy pude艂ko z urz膮dzeniem, gdzie nikt tego wcze艣niej nie konfigurowa艂 i nie pod艂膮cza艂 偶adnej konsoli. Chodzi o to, aby taki kontroler wyci膮gn膮膰 z pude艂ka (powinno by膰 to robione typowo przez instalatora) i w danej lokalizacji pod艂膮czy膰 do pierwszego lub ostatniego portu, w zale偶no艣ci od wersji tego kontrolera. Od tego momentu, wszystko powinno si臋 zadzia膰 automatycznie, a偶 do chwili, gdzie my w konsoli Mobility Conductora zobaczymy w konfiguracji dost臋pny ten kontroler i b臋dziemy mogli przypisywa膰 dalsze cz臋艣ci konfiguracji.

Jak to w za艂o偶eniu powinno dzia艂a膰? Je艣li chodzi o taki system po艣rednicz膮cy, to korzystamy najcz臋艣ciej z Activate’a – bezp艂atnego systemu Aruby. System ten ma w sobie jakby zaszyte te wszystkie informacje o wyprodukowanych urz膮dzeniach Aruby. Je偶eli zakupisz takie urz膮dzenia i za艂o偶ysz konto na Activate a nast臋pnie powi膮偶esz nazw臋 tego konta z odpowiedni膮 nazw膮, kt贸ra zosta艂a wpisana w zam贸wieniu u dystrybutora, to powinny Ci si臋 automatycznie pojawi膰 wszystkie urz膮dzenia, kt贸re kupi艂e艣. Niestety w praktyce nie dzia艂a to tak cz臋sto pi臋knie, ale i tak jest nie藕le, poniewa偶 mo偶na list臋 urz膮dze艅, kt贸r膮 dostajemy np od dystrybutora, wys艂a膰 do supportu Aruby i oni to r臋cznie dodadz膮 wszystkie zakupione urz膮dzenia do Twojego konta, je艣li nie zadzia艂a to automatycznie. Jak ju偶 masz urz膮dzenia na swoim koncie, to mo偶esz przypisa膰 profile konfiguracyjne podaj膮c adres IP Mobility Conductora, podaj膮c wymagane informacje, jak zestawi膰 tunel IP-sec-owy dla takiego Controlera. W zale偶no艣ci, czy u偶ywasz VPN Concentratora po艣rednicz膮cego, bo jest jeszcze taka opcja, 偶e je艣li masz gdzie艣 g艂贸wn膮 lokalizacj臋 i do tej lokalizacji 艂膮czysz si臋 przez internet z branchy czyli z lokalizacji zdalnych i w tych lokalizacjach instalujesz kontrolery w艂a艣nie w takim trybie Zero Touch Provisioningu, wtedy mo偶esz poda膰 mu informacje o adresie IP publicznym VPN Concentratora, o adresie IP Mobility Conductora, o odpowiednich trybach po艣wiadcze艅. Najcz臋艣ciej wykorzystujemy certyfikaty fabryczne, kt贸re s膮 na tych kontrolerach i automatycznie potrafi膮 zestawi膰 to po艂膮czenie IP-sec-owe w oparciu o certyfikat. Jak r贸wnie偶 zestawi膰 tunel, ju偶 nie szyfrowany PEAP w 艣rodku tunelu, kt贸ry idzie mi臋dzy VPN koncentratorem a Mobility Conductorem.

Nawet je偶eli nie korzystasz z Mobility Conductora, to mo偶esz taki tryb automatyczny w ramach campusu stworzy膰. Oczywi艣cie on ma mniej sensu – w zale偶no艣ci od tego, jaki masz du偶y campus – ale je偶eli masz nawet 2, 3 lub 4 kontrolery, to jeste艣 w stanie skonfigurowa膰 je r臋cznie, bez wi臋kszego problemu – to nie jest k艂opot. Natomiast je艣li masz lokalizacji zdalnych 100, 200 lub 1000, r臋czna konfiguracja nie za bardzo wchodzi w gr臋. Dobrze jest mie膰 tak膮 opcj臋, 偶e Aruba dostarcza automatyczny tryb konfiguracji dla kontroler贸w i jak najbardziej dla APek贸w. Mo偶na wszystko automatycznie ze sob膮 po艂膮czy膰.

Kluczem ca艂ego systemu jest w艂a艣nie TPM i fabryczne certyfikaty, kt贸re s膮 praktycznie dla ka偶dego urz膮dzenia wystawiane przez Arub臋. Praktycznie, bo s膮 niestety np ta艅sze punkty dost臋powe, kt贸re nie maj膮 TPM-a i w zwi膮zku z tym maj膮 inn膮 kategori臋 certyfikatu i nie daj膮 mo偶liwo艣ci pe艂nej automatyzacji w zakresie tego Provisioningu.

Prawie wszystkie urz膮dzenia mo偶na ze sob膮 w ten spos贸b po艂膮czy膰. Po stronie centrali Mobility Conductora nie ma mo偶liwo艣ci i sensu konfigurowa膰 w ten spos贸b, nale偶y go skonfigurowa膰 r臋cznie, przez konsol臋. Mobility Conductor jest jeden, w zale偶no艣ci od tego, ile mamy koncentrator贸w i branchy, to w zasadzie koncentratory konfigurujemy r臋cznie, a branche mo偶emy automatycznie. Tak samo punty dost臋powe, je艣li mamy ich tysi膮ce lub dziesi膮tki tysi臋cy, to r臋czna konfiguracja nie wchodzi w gr臋.

Tak to wygl膮da, je艣li chodzi o pierwsz膮 konfiguracj臋 tego kontrolera, podajemy standardowo adres IP, interface, tryby pracy, czy 艂膮czymy przez IP-sec za pomoc膮 Shared-Key czy w inny spos贸b, w zale偶no艣ci od tego, jaki to jest kontroler. Jest tam jeszcze kilka innych specyficznych pyta艅, ale nie b臋d臋 tego powtarza艂 – mo偶esz to zobaczy膰 w odcinku konfiguracyjnym – zapraszam Ci臋 na YT lub bloga, w zale偶no艣ci od tego, jak膮 wersj臋 wolisz. Je艣li masz jakie艣 pytania, to oczywi艣cie ch臋tnie na nie odpowiem. Za dzi艣 Ci dzi臋kuj臋 – do zobaczenia ju偶 za tydzie艅.


Autor: Darek Koralewski

Od pocz膮tku swojej kariery, czyli od 2004 roku, zajmuj臋 si臋 sieciami komputerowymi ze szczeg贸lnym uwzgl臋dnieniem ich bezpiecze艅stwa oraz sieciami programowalnymi. Mam na swoim koncie ca艂膮 list臋 certyfikat贸w r贸偶nych producent贸w, dwa najwa偶niejsze to te po艣wiadczaj膮ce najwy偶szy poziom wiedzy eksperckiej z zakresu rozwi膮za艅 Aruba ClearPass ACCX#901 oraz z projektowania sieci opartych o rozwi膮zania Aruba ACDX#1255. Wi臋cej informacji mo偶esz znale藕膰 na moich portalach spo艂eczno艣ciowych.