随着技术不断发展,各种IOT终端也开始汇聚到网络中,随之而来带给管理员的问题就是需要透视到网络中的接入设备,与此同时在不影响接入的情况下,实现无感的控制。在这样的需求背景下,Aruba 推出了OnConnect 方案;
OnConnect的方案由ARUBAOS Switch 以及CPPM组成,在该方案中,当任意终端接入到设备的端口之后,那么交换机会利用SNMP TRAP向CPPM 发送上线信息,CPPM通过SNMP TRAP 及终端进行指纹识别,最后经过用户预设的策略对接入的设备自动实现控制。该方案的特点是全部基于SNMP 技术实现,因此端口不需要启mac , portal 设置是1x 认证即可完成。
对于网络中存在中大量不同操作系统的设备特别适用,如无线AP规划采用ARUBA 品牌,接入由打印机、PC、IP 话机;那么可以在这样的情况下对CPPM 进行策略定制,通过对终端指纹的判定,非指定的操作系统是无法接入的。达到的效果是,如果终端用户私自假设家用路由器,那么当接入到网络中,会被划分到隔离VLAN,无法使用。接下来将对基于SNMP的OnConnect 方案的配置进行介绍.
注: 推荐交换机版本为16.04 之后, CPPM 为6.6.2 之后才具备onconnect
配置前先对原理图进行说明:
1.客户端连接网线之后,启用了交换机的该端口
2.交换机利用SNMP TRAP 信息发送给CPPM (如果没有认证记录,要确保SNMP TRAP是可以通)
3.进行授权源的查询(通常为CPPM 的endpoint 数据库)
4.与此同时如果有加域的电脑,那么可以利用WMI技术向域控发起WMI查询,查询终端信息(该步骤为可选)
5.将终端操作系统与强制策略进行匹配,并决定出强制策略中的动作
6.将强制策略中的策略动作进行执行(依靠SNMP 对交换机发出修改指令)
7.交换机对CPPM 进行反馈端口修改后的情况
8.CPPM核对成功,不执行其他策略,允许终端上线
9.终端下线,向CPPM发起信息,通过SNMP修改回缺省VLAN
配置过程分为两大部分,一部分配置交换机,另外一个部分对CPPM 进行配置,如下是交换机的配置:
snmp-servercommunity aruba123 unrestricted
snmp-serverhost 10.201.35.243 community aruba123 trap-level all
snmp-serverenable traps mac-notify
snmp-serverenable traps mac-notify mac-move
snmp-serverenable traps mac-count-notify
interface1-10
mac-notify traps learned
mac-notify traps removed
【设置哪些端口将通过SNMP traps 发送端口的UP,DOWN】
vlan1
ip helper-address x.x.x.x
【注意,假设默认端口为VLAN 1,请在默认vlan 1 下配置dhcp relay,帮助CPPM 进行指纹识别】
password manager user-name admin plaintext admin123
【修改管理员密码】
随后开始进行CPPM 的配置
1)配置NAS客户端
进入到CPPM 策略中心,然后选择配置--网络--设备--添加设备
为设备取名、写入IP及RADIUS KEY
配置SNMP读取
这里的配置必须与交换机中的配置对应,建议不要采用默认的public , 设置一个相对复杂的秘钥
配置SNMP 写入
注意,需要在配置SNMP community 参数的时候配置为可读写,之前配置已附加
配置CLI 登陆的账号
配置onconnect 策略
因为交换机上端口非常多,要让CPPM 知道可以对那些端口进行OnConnect 的改写
查询端口,并选定
添加端口
端口添加完成后,如下
2)配置强制配置文件
配置中将对合格及不合格的终端划分至不同的VLAN,因为要先进行配置文件的编辑,如下请必须选择为-基于SNMP的强制执行
写入名称后,进入到属性,进行参数编辑
建议,由于设备可能为非移动性设备,因此建议对需要移动的终端配置session timeout ; 如下图
因为VLAN的划分及配置是基于操作系统的,因此要做一个简单的规划,如
有上面多个VLAN,因此我们要执行配置多次 “配置文件”,以便下面的调用
3)配置Bounce 配置文件
CPPM支持基于SNMP 的bounce对端口进行阻止,需要先配置 “配置文件”
与配置VLAN 位置相同,不过要新建一个配置文件
选择为reset connection
4)添加强制策略
强制策略的作用是让CPPM 懂得将条件整合,分类出匹配的策略,并最终向交换机进行策略发布,达到安全管理的要求。
添加强制策略
选择类别,参考如下
添加条件规则
上图中,VLAN 100 是之前新建的 “配置文件”
举例,最终规则添加为如下:
下面将对上面的配置语句进行解释:
如果接入的终端 到endpoint repository 里进行检查,OS family 为aruba ,则派送VLAN 100 ,并且将该MAC 地址更新到endpoint repository里
与之类似,但必须endpoint repository里识别出来为computer , 才分配VLAN 100及将MAC 地址更新到endpoint repository里
最后一条,如果1-4条策略都不对,则进入默认策略,默认策略为VLAN 2(一个设计出来的隔离VLAN)
5)添加认证服务
选择为onconnect
对策略进行编辑
由于可能有加域的设备,那么在认证时可以配置为\:user ,将会剥离域名
通过该技术,设备接入后可通过onconnect 机制去检测设备是否为加域的电脑,如果为不加域的电脑则不允许进入(配置策略未举例)
添加授权源
套用之前配置的授权源 (前一步的角色可不配置)
6) 修改服务器参数
7)CPPM启用bounce
在服务器中
开启snmp bounce
8) 接入测试
设备接线后,先确认CPPM 在认证跟踪器里触发了配置的认证服务,如果没有需要检查SNMP的配置
对认证过程进行查看,点击进入该认证
识别出来终端的信息
向交换机发送的动作
默认会启用WMI ,所以会产生告警,但不妨碍整体使用
交换机下show running 检查
通过命令检查
领取专属 10元无门槛券
私享最新 技术干货