EN ESTA PÁGINA
Configuración de perfiles de dispositivos para proporcionar segmentación dinámica con conmutadores de la serie EX y Aruba ClearPass Policy Manager
La segmentación dinámica ofrece la flexibilidad de asignar puertos cableados en conmutadores EX con VLAN dinámica y políticas para segmentar el Internet de las cosas (IOT), el tráfico de puntos de acceso y el tráfico de usuarios por cable. Aruba ClearPass puede administrar y aplicar de forma centralizada las políticas de acceso a la red para el control inalámbrico y por cable.
La microsegmentación se obtiene aplicando filtros de firewall dinámicos a los puertos cableados una vez que autenticamos con éxito el dispositivo para controlar el tráfico este-oeste. Con filtros dinámicos podemos controlar en una red de cámaras para que hable solo con el servidor seguro de grabación de cámaras o con algunos terminales dedicados utilizados por el personal de seguridad. Del mismo modo, podemos aplicar filtros de firewall en la red de telefonía IP para permitir la comunicación entre los teléfonos IP y el servidor administrador de llamadas en la red.
Este ejemplo de configuración ilustra cómo usar las funciones de los conmutadores de la serie EX y Aruba ClearPass Policy Manager para realizar la generación de perfiles de dispositivos como parte del proceso de autenticación de punto de conexión.
En este ejemplo, una organización tiene cuatro tipos de puntos de conexión en su infraestructura cableada para los que ha definido políticas de acceso:
-
Access points: a los puntos de conexión perfilados como puntos de acceso se les permite el acceso a la red y se asignan dinámicamente a la VLAN AP_VLAN.
-
IP phones: puntos de conexión perfilados como teléfonos IP que tienen acceso a la red. El IPPhone_VLAN se asigna dinámicamente como VLAN VoIP.
-
Corporate laptops: los puntos de conexión que tienen un suplicante 802.1X se autentican mediante las credenciales de usuario. Una vez que el usuario se autentica correctamente, se concede al equipo portátil acceso a la red y se coloca en la VLAN Employee_VLAN.
-
Camera /IOT Devices—Los dispositivos IoT y de cámara que tengan o no suplicantes 802.1x se pueden agregar a la red y otorgar acceso a la VLAN Camera_IOT_VLAN.
-
Noncorporate laptops/Tablets—Los puntos de conexión que no tienen un suplicante 802.1X y que se perfilan como dispositivos no corporativos solo tienen acceso a Internet
En la Tabla 1 se muestran los valores definidos de las políticas de acceso para servicios por cable, inalámbricos y de autorización.
| Políticas de acceso |
Cableado |
Inalámbrico |
Autorización |
|---|---|---|---|
| AP VLAN |
130 (NATIVO) |
VLAN PERMITIDA = 121.131.151.102 |
- |
| Teléfono IP |
120 |
121 |
Entre los teléfonos y el servidor del administrador de llamadas |
| Empleado |
150 |
151 |
Acceder a todos |
| Remediación |
101 |
102 |
Cuarentena |
| Cámara IOT |
130 |
131 |
DHCP, NTP y NVR |
Requisitos
En este ejemplo, los siguientes componentes de hardware y software para la infraestructura de directivas:
-
Conmutador EX4300, EX2300 y EX3400 con Junos OS versión 20.2R1 o anterior
-
Administrador de políticas de Aruba ClearPass ejecutando 6.9.0.130064
Descripción general y topología
Para implementar las directivas de acceso a puntos de conexión, la infraestructura de políticas se configura de la siguiente manera:
-
Todas las interfaces de acceso del conmutador están configuradas inicialmente para estar en VLAN 100, que sirve como VLAN de reparación. Si un punto de conexión no se autentica correctamente o no se perfila correctamente como uno de los puntos de conexión compatibles, permanece en la VLAN de corrección.
Nota:Cuando los puntos de conexión utilicen DHCP, evite cambiar las VLAN. El punto de conexión no enviará otro DHCPRequest hasta que expire su contrato de arrendamiento existente o se produzca un rebote de puerto.
-
Los extremos que tienen un suplicante 802.1X se autentican mediante la autenticación PEAP 802.1X. Para obtener más información sobre la autenticación PEAP 802.1X, consulte Configuración de la autenticación PEAP 802.1X y MAC RADIUS con conmutadores de la serie EX y Aruba ClearPass Policy Manager.
-
Los puntos finales que no tienen un suplicante 802.1X se autentican mediante la autenticación MAC RADIUS y se perfilan para determinar qué tipo de dispositivo son. Estos puntos de conexión se someten a un proceso de autenticación de dos pasos:
-
El primer paso se produce después de que un punto de conexión se conecta por primera vez al conmutador, pero antes de que Aruba ClearPass Profile lo haya perfilado. Después de conectarse, el punto de conexión se autentica mediante la autenticación MAC RADIUS. Aruba ClearPass aplica una política de cumplimiento que indica al conmutador que conceda al extremo acceso a Internet, pero le impide acceder a la red interna.
-
El segundo paso se produce después de que un punto de conexión se haya perfilado correctamente. Después de autenticarse en el primer paso, el extremo se pone en contacto con un servidor DHCP para solicitar una dirección IP. El conmutador también transmite los mensajes DHCP enviados por el extremo al servidor DHCP a Aruba ClearPass, lo que permite a ClearPass generar perfiles del extremo. Después de haber perfilado el punto de conexión y agregado el punto de conexión a su repositorio de puntos de conexión, ClearPass envía un mensaje de cambio de autorización (CoA) de RADIUS al conmutador, indicándole que finalice la sesión. A continuación, el conmutador intenta volver a autenticarse en nombre del extremo. Dado que el punto de conexión ahora existe en el repositorio de puntos de conexión, Aruba ClearPass puede aplicar una política de cumplimiento adecuada al tipo de dispositivo cuando autentica el punto de conexión. Por ejemplo, si el extremo es un punto de acceso, ClearPass aplica la política de cumplimiento que asigna dinámicamente el punto de acceso a la VLAN AP_VLAN.
-
La figura 1 muestra la topología utilizada en este ejemplo.
Configuración
En esta sección se proporcionan instrucciones paso a paso para:
- Configuración del conmutador EX
- Configuración del Administrador de políticas de Aruba ClearPass
- Verificación
- Monitoreo de perfiles de dispositivos
- Solución de problemas de autenticación
Configuración del conmutador EX
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, escriba confirmar desde el [edit] modo de configuración.
[edit] set access radius-server 10.25.22.11 dynamic-request-port 3799 set access radius-server 10.25.22.11 secret "$9$tqCW01hevLVwgSrwgoJHkp0BISrKM87db" set access radius-server 10.25.22.11 source-address 10.25.99.11 set access profile ACCESS_PROF_RADIUS accounting-order radius set access profile ACCESS_PROF_RADIUS authentication-order radius set access profile ACCESS_PROF_RADIUS radius authentication-server 10.25.22.11 set access profile ACCESS_PROF_RADIUS radius accounting-server 10.25.22.11 set protocols dot1x authenticator authentication-profile-name ACCESS_PROF_RADIUS set protocols dot1x authenticator interface AUTHC supplicant multiple set protocols dot1x authenticator interface AUTHC transmit-period 3 set protocols dot1x authenticator interface AUTHC mac-radius set vlans AP vlan-id 130 set vlans EMPLOYEE-WIRED vlan-id 150 set vlans EMPLOYEE-WIRELESS vlan-id 151 set vlans IOT-WIRED vlan-id 111 set vlans IOT-WIRELESS vlan-id 112 set vlans IP-PHONE-WIRED vlan-id 120 set vlans IP-PHONE-WIRELESS vlan-id 121 set vlans MANAGEMENT vlan-id 99 set vlans MANAGEMENT l3-interface irb.99 set vlans REMEDIATION-WIRED vlan-id 101 set vlans REMEDIATION-WIRELESS vlan-id 102 set interfaces interface-range AP member ge-0/0/0 set interfaces interface-range AP native-vlan-id 130 set interfaces interface-range AP unit 0 family ethernet-switching interface-mode trunk set interfaces interface-range AP unit 0 family ethernet-switching vlan members AP set interfaces interface-range AP unit 0 family ethernet-switching vlan members EMPLOYEE-WIRELESS set interfaces interface-range AUTHC member ge-0/0/6 set interfaces interface-range AUTHC member ge-0/0/3 set interfaces interface-range AUTHC member ge-0/0/2 set interfaces interface-range AUTHC member ge-0/0/4 set interfaces interface-range AUTHC member ge-0/0/7 set interfaces interface-range AUTHC member ge-0/0/8 set interfaces interface-range AUTHC member ge-0/0/9 set interfaces interface-range AUTHC member ge-0/0/5 set interfaces interface-range AUTHC unit 0 family ethernet-switching interface-mode access set interfaces interface-range AUTHC unit 0 family ethernet-switching vlan members REMEDIATION-WIRED set firewall family ethernet-switching filter Internet_Only_Access term Allow_DHCP from destination-port 67 set firewall family ethernet-switching filter Internet_Only_Access term Allow_DHCP from destination-port 68 set firewall family ethernet-switching filter Internet_Only_Access term Allow_DHCP from ip-protocol udp set firewall family ethernet-switching filter Internet_Only_Access term Allow_DHCP then accept set firewall family ethernet-switching filter Internet_Only_Access term Allow_DNS from destination-port 53 set firewall family ethernet-switching filter Internet_Only_Access term Allow_DNS from ip-protocol udp set firewall family ethernet-switching filter Internet_Only_Access term Allow_DNS from ip-protocol tcp set firewall family ethernet-switching filter Internet_Only_Access term Block_Internal from ip-destination-address 192.168.0.0/16 set firewall family ethernet-switching filter Internet_Only_Access term Block_Internal then discard set firewall family ethernet-switching filter Internet_Only_Access term Allow_All then accept
Procedimiento paso a paso
Los pasos generales para configurar el conmutador EX son:
-
Configure la conexión con Aruba ClearPass Policy Manager.
-
Cree el perfil de acceso utilizado por el protocolo 802.1X. El perfil de acceso indica al protocolo 802.1X qué servidor de autenticación y métodos de autenticación se deben utilizar, así como el orden de los métodos de autenticación.
-
Configure el protocolo 802.1X.
-
Configure las VLAN.
-
Configure la conmutación Ethernet en los puertos de acceso.
-
Configure interfaces de enrutamiento y puente integrados (IRB) y asígnelas a las VLAN.
-
Configure la retransmisión DHCP para enviar paquetes DHCP a Aruba ClearPass para que pueda realizar la creación de perfiles de dispositivos.
-
Cree la política de firewall que bloquea el acceso a la red interna.
Para configurar el conmutador EX:
-
Proporcione la información de conexión del servidor RADIUS.
[edit] user@Policy-EX-switch# set access radius-server 10.25.22.11 dynamic-request-port 3799 user@Policy-EX-switch# set access radius-server 10.25.22.11 secret password user@Policy-EX-switch# set access radius-server 10.25.22.11 source-address 10.25.99.11
-
Configure el perfil de acceso.
[edit access] user@Policy-EX-switch# set access profile ACCESS_PROF_RADIUS accounting-order radius user@Policy-EX-switch# set access profile ACCESS_PROF_RADIUS authentication-order radius user@Policy-EX-switch# set access profile ACCESS_PROF_RADIUS radius authentication-server 10.25.22.11 user@Policy-EX-switch# set access profile ACCESS_PROF_RADIUS radius accounting-server 10.25.22.11
-
Configure 802.1X para usar ACCESS_PROF_RADIUS y habilitar el protocolo en cada interfaz de acceso. Además, configure las interfaces para que admitan la autenticación MAC RADIUS y permitan más de un suplicante, cada uno de los cuales debe autenticarse individualmente.
De forma predeterminada, el conmutador primero intentará la autenticación 802.1X. Si no recibe ningún paquete EAP del punto de conexión, lo que indica que el punto de conexión no tiene un suplicante 802.1X, intenta la autenticación MAC RADIUS.
[edit] user@Policy-EX-switch# set protocols dot1x authenticator authentication-profile-name ACCESS_PROF_RADIUS user@Policy-EX-switch# set protocols dot1x authenticator interface AUTHC supplicant multiple user@Policy-EX-switch# set protocols dot1x authenticator interface AUTHC transmit-period 3 user@Policy-EX-switch# set protocols dot1x authenticator interface AUTHC mac-radius user@Policy-EX-switch# set interfaces interface-range AP member ge-0/0/0 user@Policy-EX-switch# set interfaces interface-range AP native-vlan-id 130 user@Policy-EX-switch# set interfaces interface-range AP unit 0 family ethernet-switching interface-mode trunk user@Policy-EX-switch# set interfaces interface-range AP unit 0 family ethernet-switching vlan members AP user@Policy-EX-switch# set interfaces interface-range AP unit 0 family ethernet-switching vlan members EMPLOYEE-WIRELESS user@Policy-EX-switch# set interfaces interface-range AUTHC member ge-0/0/6 user@Policy-EX-switch# set interfaces interface-range AUTHC member ge-0/0/3 user@Policy-EX-switch# set interfaces interface-range AUTHC member ge-0/0/2 user@Policy-EX-switch# set interfaces interface-range AUTHC member ge-0/0/4 user@Policy-EX-switch# set interfaces interface-range AUTHC member ge-0/0/7 user@Policy-EX-switch# set interfaces interface-range AUTHC member ge-0/0/8 user@Policy-EX-switch# set interfaces interface-range AUTHC member ge-0/0/9 user@Policy-EX-switch# set interfaces interface-range AUTHC member ge-0/0/5
-
Configure las VLAN utilizadas en este ejemplo.
[edit] user@Policy-EX-switch# set vlans AP vlan-id 130 user@Policy-EX-switch# set vlans EMPLOYEE-WIRED vlan-id 150 user@Policy-EX-switch# set vlans EMPLOYEE-WIRELESS vlan-id 151 user@Policy-EX-switch# set vlans IOT-WIRED vlan-id 111 user@Policy-EX-switch# set vlans IOT-WIRELESS vlan-id 112 user@Policy-EX-switch# set vlans IP-PHONE-WIRED vlan-id 120 user@Policy-EX-switch# set vlans IP-PHONE-WIRELESS vlan-id 121 user@Policy-EX-switch# set vlans MANAGEMENT vlan-id 99 user@Policy-EX-switch# set vlans MANAGEMENT l3-interface irb.99 user@Policy-EX-switch# set vlans REMEDIATION-WIRED vlan-id 101 user@Policy-EX-switch# set vlans REMEDIATION-WIRELESS vlan-id 102
Tenga en cuenta que para que la asignación de VLAN dinámica funcione, la VLAN debe existir en el conmutador antes de intentar la autenticación. Si la VLAN no existe, se produce un error en la autenticación.
-
Configure la retransmisión DHCP para reenviar paquetes de solicitud DHCP a Aruba ClearPass.
[edit] user@Policy-EX-switch# set dhcp-relay server-group dhcp-dot1x 10.25.22.11 user@Policy-EX-switch# set dhcp-relay active-server-group dhcp-dot1x
-
Configure un filtro de firewall, Internet_Only_Access, que se utilizará en dispositivos que se han autenticado mediante autenticación MAC RADIUS pero que aún no se han perfilado.
Este filtro impide que un punto de conexión acceda a la red interna (192.168.0.0/16).
[edit] user@Policy-EX-switch# set firewall family ethernet-switching filter INTERNET_ACCESS_ONLY term ALLOW_DHCP from destination-port 67 user@Policy-EX-switch# set firewall family ethernet-switching filter INTERNET_ACCESS_ONLY term ALLOW_DHCP from destination-port 68 user@Policy-EX-switch# set firewall family ethernet-switching filter INTERNET_ACCESS_ONLY term ALLOW_DHCP from ip-protocol udp user@Policy-EX-switch# set firewall family ethernet-switching filter INTERNET_ACCESS_ONLY term ALLOW_DHCP then accept user@Policy-EX-switch# set firewall family ethernet-switching filter INTERNET_ACCESS_ONLY term ALLOW_DNS from destination-port 53 user@Policy-EX-switch# set firewall family ethernet-switching filter INTERNET_ACCESS_ONLY term ALLOW_DNS from ip-protocol udp user@Policy-EX-switch# set firewall family ethernet-switching filter INTERNET_ACCESS_ONLY term ALLOW_DNS from ip-protocol tcp user@Policy-EX-switch# set firewall family ethernet-switching filter INTERNET_ACCESS_ONLY term BLOCK_RFC_1918 from ip-destination-address 10.0.0.0/8 user@Policy-EX-switch# set firewall family ethernet-switching filter INTERNET_ACCESS_ONLY term BLOCK_RFC_1918 from ip-destination-address 172.16.0.0/12 user@Policy-EX-switch# set firewall family ethernet-switching filter INTERNET_ACCESS_ONLY term BLOCK_RFC_1918 from ip-destination-address 192.168.0.0/16 user@Policy-EX-switch# set firewall family ethernet-switching filter INTERNET_ACCESS_ONLY term BLOCK_RFC_1918 then discard user@Policy-EX-switch# set firewall family ethernet-switching filter INTERNET_ACCESS_ONLY term ALLOW_ALL then accept
Resultados
Desde el modo de configuración, confirme su configuración introduciendo los siguientes show comandos.
user@Policy-EX-switch# show access
radius-server {
10.25.22.11 {
dynamic-request-port 3799;
secret "$9$tqCW01hevLVwgSrwgoJHkp0BISrKM87db"; ## SECRET-DATA
source-address 10.25.99.11;
}
}
profile ACCESS_PROF_RADIUS {
accounting-order radius;
authentication-order radius;
radius {
authentication-server 10.25.22.11;
accounting-server 10.25.22.11;
}
}
}
user@Policy-EX-switch# show protocols
dot1x {
authenticator {
authentication-profile-name ACCESS_PROF_RADIUS;
interface {
AUTHC {
supplicant multiple;
transmit-period 3;
mac-radius;
}
}
}
}
user@Policy-EX-switch# show interfaces
interface-range AP {
member ge-0/0/0;
native-vlan-id 130;
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members [ AP EMPLOYEE-WIRELESS ];
}
}
}
}
interface-range AUTHC {
member ge-0/0/6;
member ge-0/0/3;
member ge-0/0/2;
member ge-0/0/4;
member ge-0/0/7;
member ge-0/0/8;
member ge-0/0/9;
member ge-0/0/5;
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members REMEDIATION-WIRED;
}
}
}
}
user@Policy-EX-switch# show vlans
AP {
vlan-id 130;
}
EMPLOYEE-WIRED {
vlan-id 150;
}
EMPLOYEE-WIRELESS {
vlan-id 151;
}
IOT-WIRED {
vlan-id 111;
}
IOT-WIRELESS {
vlan-id 112;
}
IP-PHONE-WIRED {
vlan-id 120;
}
IP-PHONE-WIRELESS {
vlan-id 121;
}
MANAGEMENT {
vlan-id 99;
l3-interface irb.99;
}
REMEDIATION-WIRED {
vlan-id 101;
}
REMEDIATION-WIRELESS {
vlan-id 102;
}
}
}
user@Policy-EX-switch# show forwarding-options
dhcp-relay {
server-group {
dhcp-dot1x {
10.25.22.11;
}
}
helpers {
bootp {
server 10.25.22.11;
}
}
user@Policy-EX-switch# show firewall
family ethernet-switching {
filter INTERNET_ACCESS_ONLY {
term ALLOW_DHCP {
from {
destination-port [ 67 68 ];
ip-protocol udp;
}
then accept;
}
term ALLOW_DNS {
from {
destination-port 53;
ip-protocol [ udp tcp ];
}
}
term BLOCK_RFC_1918 {
from {
ip-destination-address {
10.0.0.0/8;
172.16.0.0/12;
192.168.0.0/16;
}
}
then discard;
}
term ALLOW_ALL {
then accept;
}
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración del Administrador de políticas de Aruba ClearPass
Procedimiento paso a paso
Los pasos generales para configurar Aruba ClearPass son:
-
Compruebe que el atributo Juniper-AV-Pair existe en el diccionario RADIUS.
-
Agregue el conmutador EX como dispositivo de red.
-
Asegúrese de que se ha instalado el certificado de servidor utilizado para la autenticación PEAP 802.1X.
-
Agregue el usuario local usado en este ejemplo para la autenticación 802.1X.
-
Cree los siguientes perfiles de cumplimiento:
-
VLAN 150 ENF PROF que coloca los puntos de conexión en VLAN 150.
-
JUNIPER VOIP VLAN 120 ENF PROF que define VLAN 120 como la VLAN VoIP.
-
VLAN 130 ENF PROF que coloca los puntos de conexión en VLAN 130.
-
Internet_Only_Access_Fliter_ID_ENF_Prof que especifica que el filtro de firewall se Internet_Only_Access usar para dispositivos que aún no se han perfilado.
-
-
Cree dos políticas de cumplimiento:
-
Una política que se invoca cuando se utiliza la autenticación MAC RADIUS.
-
Una directiva que se invoca cuando se usa la autenticación 802.1X.
-
-
Defina el servicio de autenticación MAC RADIUS y el servicio de autenticación 802.1X.
-
Asegúrese de que el servicio de autenticación MAC RADIUS se evalúa antes que el servicio de autenticación 802.1X.
Para configurar Aruba ClearPass:
-
Compruebe que el atributo Juniper-AV-Pair existe en el diccionario RADIUS.
Vaya a Administración > diccionarios > RADIUS y abra el diccionario Juniper.
Nota:Si el diccionario de Juniper aparece en rojo, abra la página del diccionario de Juniper para habilitar el diccionario y haga clic en el botón Habilitar.
Si el atributo Juniper-AV-Pair no está presente, siga estos pasos para agregarlo:
-
Haga clic en el botón Exportar.
-
Guarde el archivo RadiusDictionary.xml en su computadora y luego ábralo con un editor de texto.
-
En la sección RadiusAttributes , agregue la línea siguiente:
<Attribute profile="in out" type="String" name="Juniper-AV-Pair" id="52"/>
-
Guarde el archivo XML.
-
Regrese a su sesión de ClearPass y haga clic en el botón Importar en la esquina superior derecha de la página RadiusDictionary .
-
Haga clic en el botón Examinar y busque el archivo RadiusDictionary.xml que acaba de guardar
-
Haga clic en Importar.
-
Ahora abra el diccionario RADIUS de Juniper y verifique si el atributo Juniper-AV-Pair está presente
-
-
Agregue el conmutador EX como dispositivo de red.
Procedimiento paso a paso
-
En Configuración > dispositivos > red, haga clic en Agregar.
-
En la ficha Dispositivo, escriba el nombre de host y la dirección IP del conmutador y el secreto compartido RADIUS que configuró en el conmutador. Establezca el campo Nombre del proveedor en Juniper.
-
Asegúrese de que existe un certificado de servidor de confianza para la autenticación PEAP 802.1X.
-
En Administración > certificados > Almacén de certificados, compruebe que cada servidor de Aruba ClearPass tenga instalado un certificado de servidor RADIUS/EAP válido. Si no es así, agregue un certificado de servidor válido. La documentación de Aruba ClearPass y su autoridad de certificación pueden proporcionar más detalles sobre cómo obtener certificados e importarlos a ClearPass.
-
-
Agregue un usuario de prueba al repositorio de usuarios local. Este usuario se utilizará para verificar la autenticación 802.1X.
-
En Configuración > identidad > usuarios locales, haga clic en Agregar.
-
En la ventana Agregar usuario local, escriba el ID de usuario (usertest1), el nombre de usuario (Usuario de prueba) y la contraseña. A continuación, seleccione Empleado como rol de usuario. En Atributos, seleccione el atributo Departamento y escriba Finanzas en valor.
Nota:En este ejemplo de configuración, se utiliza el repositorio de usuarios locales de ClearPass como origen de autenticación. Sin embargo, en una implementación empresarial típica, se usa Microsoft Active Directory como origen de autenticación. Para obtener más detalles sobre cómo configurar Active Directory como origen de autenticación, busque en la documentación de ClearPass ubicada en Administración » Soporte » Documentación.
-
-
-
Configure un perfil de cumplimiento para los equipos portátiles o de escritorio de los empleados que se autentiquen con 802.1X.
-
Este perfil coloca los puntos de conexión en VLAN 150.
Procedimiento paso a paso
En Configuración > cumplimiento > perfiles, haga clic en Agregar.
-
En la pestaña Perfil, establezca Plantilla en Cumplimiento de VLAN y escriba el nombre del perfil, VLAN 150 ENF PROF, en el campo Nombre.
-
En la pestaña Atributos, configure los atributos como se muestran.
-
-
Configure un perfil de cumplimiento de punto de acceso, que coloca los puntos de acceso en la VLAN 130.
-
Utilice el mismo procedimiento básico para crear este perfil que utilizó en el paso anterior. Después de completar el perfil, la información de la pestaña Resumen aparecerá como se muestra.
-
-
Configure un perfil de cumplimiento de teléfono IP.
-
Este perfil indica a Aruba ClearPass que devuelva la VLAN 120 como la VLAN que debe utilizarse como VLAN VoIP. El diccionario RADIUS de Juniper Networks define un atributo RADIUS especial que se utilizará con este fin. Seleccione RADIUS-Juniper para el tipo de atributo y Juniper-VoIP-VLAN como nombre del atributo.
-
Después de completar el perfil, la información de la pestaña Resumen aparecerá como se muestra.
-
-
Configure un perfil de aplicación de solo acceso a Internet.
-
Este perfil de cumplimiento indica a Aruba ClearPass que devuelva el nombre del filtro de firewall Internet_Only_Access, que es el filtro de firewall que configuró en el conmutador que bloquea el acceso a la red interna. Después de completar este perfil, la información de la pestaña Resumen aparecerá como se muestra.
-
Configure la política de cumplimiento de autenticación MAC RADIUS.
-
En el caso de los puntos de conexión que se autentican mediante la autenticación MAC RADIUS, esta política informa a Aruba ClearPass para que aplique políticas de cumplimiento según el perfil del dispositivo. El PROF ENF de VLAN 130 se aplica a los puntos de conexión perfilados como puntos de acceso, y el PROF ENF DE VLAN VOIP 120 de Juniper se aplica a los puntos de conexión perfilados como teléfonos VoIP. La política de cumplimiento predefinida [Denegar perfil de acceso] se aplica a los puntos de conexión perfilados como dispositivos Windows. Esto aplica la directiva de acceso de la organización de que solo los equipos portátiles con un suplicante 802.1X pueden acceder a la red. Para todos los demás puntos finales, incluidos los puntos finales que aún no se han perfilado, se aplicará el perfil INTERNET ONLY ACCESS FILTER ID ENF PROF.
-
En Configuración > cumplimiento > directivas, haga clic en Agregar.
-
En la ficha Cumplimiento, escriba el nombre de la directiva (JUNOS MAC AUTH ENF POL) y establezca Perfil predeterminado en INTERNET ONLY ACCESS FILTER ID ENF PROF.
-
En la pestaña Reglas, haga clic en Agregar regla y agregue las reglas que se muestran.
Debe agregar las reglas secuencialmente haciendo clic en Guardar antes de crear la siguiente regla.
-
-
Configure la directiva de cumplimiento de 802.1X.
Esta política indica a Aruba ClearPass que utilice el perfil de cumplimiento VLAN 150 ENF PROF si un usuario se autentica correctamente como miembro del departamento financiero. Cualquier otra autenticación de usuario coincidirá con el perfil predeterminado y se enviará al conmutador una aceptación RADIUS y colocará el punto de conexión en la VLAN de corrección 100.
-
En Configuración » Cumplimiento » Directivas, haga clic en Agregar.
-
En la ficha Cumplimiento, escriba el nombre de la política (JUNOS DOT1X ENF POL) y establezca Perfil predeterminado en [Permitir perfil de acceso].
-
En la pestaña Reglas, haga clic en Agregar regla y agregue la regla mostrada.
-
-
Configure el servicio de autenticación de autenticación MAC de Junos.
La configuración de este servicio da como resultado que se realice la autenticación MAC RADIUS cuando los atributos RADIUS User-Name y Client-MAC-Address recibidos tienen el mismo valor.
-
En Configuración » Servicios, haga clic en Agregar.
-
En la pestaña Servicios, rellene los campos como se muestran. Asegúrese de seleccionar las opciones Autorización y Puntos de conexión de perfil .
-
En la ficha Autenticación, elimine [Permitir todas las AUTH MAC] de la lista Métodos de autenticación y añada [EAP MD5] a la lista.
Seleccione [Repositorio de puntos de conexión] [Base de datos SQL local] en la lista Orígenes de autenticación.
-
En la ficha Cumplimiento, seleccione JUNOS MAC AUTH ENF POL.
-
En la pestaña Generador de perfiles, agregue Computadora, Teléfono VoIP y Puntos de acceso a la lista Clasificación de puntos de conexión.
Seleccione [Finalización de sesión de Juniper] en la lista Acción de CoA de RADIUS. Esta configuración hace que los puntos de conexión pasen por una nueva autenticación después de que se perfilen y se agreguen al repositorio de puntos de conexión. Antes de perfilar un extremo, el perfil de cumplimiento INTERNET ONLY ACCESS FILTER ID ENF PROF está en vigor para la sesión de usuario autenticado. (Este perfil es el perfil predeterminado para la directiva de autenticación MAC configurada en el paso 7.) Después de que Aruba ClearPass clasifica correctamente un dispositivo, envía un RADIUS CoA al conmutador, lo que hace que el conmutador finalice la sesión. A continuación, el conmutador intenta volver a autenticar el extremo. Dado que el perfil de dispositivo del punto de conexión se encuentra ahora en el repositorio de puntos de conexión, se aplicará el perfil de cumplimiento de dispositivos adecuado cuando se autentique el punto de conexión.
-
Haga clic en Guardar.
-
-
Configure el servicio de autenticación 802.1X.
-
En Configuración > servicios, haga clic en Agregar.
-
En la pestaña Servicio, rellene los campos como se muestran.
-
En la pestaña Autenticación:
-
Establezca los orígenes de autenticación en [Repositorio de usuarios local][Base de datos SQL local].
-
Quite los métodos de autenticación [EAP FAST], [EAP-TLS] y [EAP-TTLS].
-
-
En la pestaña Cumplimiento, establezca Directiva de cumplimiento en Juniper_Dot1X_Policy.
-
Compruebe que la directiva del servicio de autenticación MAC RADIUS se evalúa antes que la directiva del servicio de autenticación 802.1X.
-
Dado que Aruba ClearPass está configurado para reconocer las solicitudes de autenticación MAC RADIUS mediante el atributo RADIUS User-Name y el atributo Client-MAC-Address que tienen el mismo valor, es más eficaz evaluar primero la directiva de servicio MAC RADIUS.
-
En la ventana principal Servicios, verifique que JUNOS MAC AUTH aparece antes de JUNOS DOT1X en la lista de servicios, como se muestra. Si no es así, haga clic en Reordenar y mueva JUNOS MAC AUTH por encima de JUNOS DOT1X.
-
-
Verificación
Confirme que la configuración funciona correctamente.
- Verificación de la autenticación 802.1X en el conmutador EX
- Verificación de la autenticación del punto de acceso en el conmutador EX
- Verificación de la autenticación del teléfono VoIP y del portátil no corporativo en el conmutador EX
- Verificación del estado de las solicitudes de autenticación en Aruba ClearPass Policy Manager
Verificación de la autenticación 802.1X en el conmutador EX
Propósito
Compruebe que el usuario de prueba, usertest1, se está autenticando y colocando en la VLAN correcta.
Para realizar este procedimiento, debe tener un dispositivo Windows con un suplicante 802.1X activo que pase la información de autenticación para usertest1. Para obtener información sobre cómo configurar un suplicante de Windows 7 para la autenticación PEAP 802.1X, consulte Configuración de la autenticación PEAP 802.1X y MAC RADIUS con conmutadores de la serie EX y Aruba ClearPass Policy Manager
Acción
-
Conecte la computadora portátil con Windows 7 a ge-0/0/22 en el conmutador EX.
-
En el conmutador, escriba el comando siguiente:
user@Policy-EX-switch-01> show dot1x interface ge-0/0/8 802.1X Information: Interface Role State MAC address User ge-0/0/8.0 Authenticator Authenticated 98:90:96:D8:70:19 usertest1 -
Para obtener más detalles, incluida la asignación de VLAN dinámica, escriba:
user@Policy-EX-switch-01> show dot1x interface ge-0/0/8 detail ge-0/0/8.0 Role: Authenticator Administrative state: Auto Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Transmit period: 3 seconds Mac Radius: Enabled Mac Radius Restrict: Disabled Mac Radius Authentication Protocol: EAP-MD5 Reauthentication: Enabled Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: not configured Number of connected supplicants: 1 Supplicant: usertest1, 98:90:96:D8:70:19 Operational state: Authenticated Backend Authentication state: Idle Authentication method: Radius Authenticated VLAN: EMPLOYEE-WIRED Session Reauth interval: 10800 seconds Reauthentication due in 10772 seconds Eapol-Block: Not In Effect Domain: DataEl resultado muestra que usertest1 se autenticó correctamente y se colocó en la VLAN cableada por empleado.
Verificación de la autenticación del punto de acceso en el conmutador EX
Propósito
Verifique que el punto de acceso se haya autenticado correctamente y se haya colocado en la VLAN correcta.
Acción
-
Conecte un punto de acceso a ge-0/0/6 en el conmutador EX.
-
En el conmutador, escriba el comando siguiente:
user@Policy-EX-switch-01> show dot1x interface ge-0/0/6 ge-0/0/6.0 Role: Authenticator Administrative state: Auto Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Transmit period: 3 seconds Mac Radius: Enabled Mac Radius Restrict: Disabled Mac Radius Authentication Protocol: EAP-MD5 Reauthentication: Enabled Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: not configured Number of connected supplicants: 1 Supplicant: 5c5b352e2d19, 5C:5B:35:2E:2D:19 Operational state: Authenticated Backend Authentication state: Idle Authentication method: Mac Radius Authenticated VLAN: AP Session Reauth interval: 3600 seconds Reauthentication due in 3549 seconds Egress Vlan: 102, 121, 130, 131, 151 Operational supplicant mode: Single Eapol-Block: Not In Effect Domain: DataEl resultado muestra que el punto de acceso se autenticó y se colocó en la VLAN AP_VLAN.
Verificación de la autenticación del teléfono VoIP y del portátil no corporativo en el conmutador EX
Propósito
Verifique que el teléfono VoIP se haya autenticado correctamente y que la computadora portátil que no sea corporativa no se haya autenticado.
Acción
-
Conecte un teléfono VoIP a ge-0/0/8 en el conmutador EX y conecte una computadora portátil que no tenga un suplicante 802.1X habilitado al puerto Ethernet del teléfono.
-
Para comprobar el estado de autenticación de los dispositivos, escriba el siguiente comando en el conmutador:
user@Policy-EX-switch-01> show dot1x interface ge-0/0/8 ge-0/0/8.0 Role: Authenticator Administrative state: Auto Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Enabled Mac Radius Restrict: Disabled Mac Radius Authentication Protocol: EAP-MD5 Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: not configured Number of connected supplicants: 2 Supplicant: 08173515ec53, 08:17:35:15:EC:53 Operational state: Authenticated Backend Authentication state: Idle Authentication method: Mac Radius Authenticated VLAN: IPPhone_VLAN Session Reauth interval: 3600 seconds Reauthentication due in 3591 seconds Session Accounting Interim Interval: 600 seconds Accounting Update due in 591 seconds Supplicant: No User, D0:67:E5:50:E3:DD Operational state: Connecting Backend Authentication state: Idle Authentication method: None Session Reauth interval: 0 seconds Reauthentication due in 0 seconds Session Accounting Interim Interval: 600 seconds Accounting Update due in 0 secondsEl resultado muestra que hay dos suplicantes conectados al puerto, cada uno identificado por su dirección MAC. El teléfono VoIP se ha autenticado con éxito y se ha colocado en IPPhone_VLAN. La computadora portátil está en un estado de conexión, no en estado autenticado, lo que indica que no se pudo autenticar.
-
Para comprobar que IPPhone_VLAN VLAN se ha asignado como VLAN VoIP, escriba el siguiente comando:
user@Policy-EX-switch-01> show ethernet-switching interface ge-0/0/8 Routing Instance Name : default-switch Logical Interface flags (DL - disable learning, AD - packet action drop, LH - MAC limit hit, DN - interface down, MMAS - Mac-move action shutdown, SCTL - shutdown by Storm-control ) Logical Vlan TAG MAC STP Logical Tagging interface members limit state interface flags ge-0/0/8.0 65535 tagged,untagged default 1 65535 Forwarding untagged IPPhone_VLAN 120 65535 Forwarding tagged
IPPhone_VLAN muestra como una VLAN etiquetada, lo que indica que se trata de la VLAN VoIP.
Verificación del estado de las solicitudes de autenticación en Aruba ClearPass Policy Manager
Propósito
Compruebe que los puntos de conexión se autentican correctamente y que se intercambian los atributos RADIUS correctos entre el conmutador y Aruba ClearPass.
Acción
-
Vaya a Monitoreo > monitoreo en vivo > Rastreador de acceso para mostrar el estado de las solicitudes de autenticación.
Access Tracker supervisa las solicitudes de autenticación a medida que se producen e informa sobre su estado.
-
Para obtener más detalles sobre una solicitud de autenticación en particular, haga clic en la solicitud.
-
Para comprobar los atributos RADIUS que Aruba ClearPass envió de vuelta al conmutador para esta solicitud, haga clic en la ficha Salida .
Significado
La solicitud de autenticación del dispositivo IOT (cámara) se realizó correctamente y se devolvió al conmutador la información correcta sobre la VLAN de IoT.
Monitoreo de perfiles de dispositivos
Procedimiento paso a paso
Puede ver los dispositivos que Aruba ClearPass Profile ha descubierto y mantiene en su repositorio de puntos de conexión, obteniendo información sobre el número total de dispositivos perfilados, los tipos de dispositivos y los datos específicos del dispositivo, como el proveedor del dispositivo, el nombre de host del dispositivo y la marca de tiempo cuando el dispositivo se agregó al repositorio.
-
En Aruba ClearPass, seleccione Supervisión » Generador de perfiles y análisis de red » Generador de perfiles de punto de conexión . La ventana inicial de Endpoint Profiler proporciona una descripción general de los puntos de conexión en su repositorio, agrupando los dispositivos dentro de la categoría de dispositivo, la familia de dispositivos y las jerarquías de nombres de dispositivos. En la tabla situada en la parte inferior de la ventana se enumeran los extremos que se encuentran en el grupo de nombres de dispositivo seleccionado actualmente.
-
Para mostrar más información sobre un punto de conexión individual, haga clic en el punto de conexión en la tabla.
En la ventana Ver punto de conexión, puede mostrar la información que ClearPass Profile utilizó para generar perfiles del dispositivo haciendo clic en la pestaña Huellas digitales del dispositivo. En el ejemplo siguiente, ClearPass Profile utilizó información obtenida de varias opciones DHCP en los mensajes DHCP para generar perfiles del dispositivo.
Solución de problemas de autenticación
Procedimiento paso a paso
En este tema se describe cómo obtener información de diagnóstico detallada habilitando el seguimiento de las operaciones de autenticación en el conmutador de la serie EX.
Aruba ClearPass Policy Manager proporciona información de diagnóstico detallada adicional.
Puede habilitar opciones de seguimiento para el protocolo 802.1X.
-
El siguiente conjunto de comandos permite escribir registros de seguimiento en un archivo denominado do1x.
root@EX-switch-1# set protocols dot1x traceoptions file dot1x root@EX-switch-1# set protocols dot1x traceoptions file size 5m root@EX-switch-1# set protocols dot1x traceoptions flag all
-
Utilice el comando show log CLI para mostrar el contenido del archivo de registro de seguimiento. Por ejemplo:
root@EX-switch-1> show log dot1x root@EX-switch-1> set protocols dot1x traceoptions file size 5m
-
También puede mostrar el contenido del archivo de registro de seguimiento desde el shell de nivel UNIX. Por ejemplo:
root@EX-switch-1> start shell root@EX-switch-1: RE:0% tail -f /var/log/dot1x