学习
实践
活动
工具
TVP
写文章

Aruba OnConnect 方案部署

随着技术不断发展,各种IOT终端也开始汇聚到网络中,随之而来带给管理员的问题就是需要透视到网络中的接入设备,与此同时在不影响接入的情况下,实现无感的控制。在这样的需求背景下,Aruba 推出了OnConnect 方案;

OnConnect的方案由ARUBAOS Switch 以及CPPM组成,在该方案中,当任意终端接入到设备的端口之后,那么交换机会利用SNMP TRAP向CPPM 发送上线信息,CPPM通过SNMP TRAP 及终端进行指纹识别,最后经过用户预设的策略对接入的设备自动实现控制。该方案的特点是全部基于SNMP 技术实现,因此端口不需要启mac , portal 设置是1x 认证即可完成。

对于网络中存在中大量不同操作系统的设备特别适用,如无线AP规划采用ARUBA 品牌,接入由打印机、PC、IP 话机;那么可以在这样的情况下对CPPM 进行策略定制,通过对终端指纹的判定,非指定的操作系统是无法接入的。达到的效果是,如果终端用户私自假设家用路由器,那么当接入到网络中,会被划分到隔离VLAN,无法使用。接下来将对基于SNMP的OnConnect 方案的配置进行介绍.

注: 推荐交换机版本为16.04 之后, CPPM 为6.6.2 之后才具备onconnect

配置前先对原理图进行说明:

1.客户端连接网线之后,启用了交换机的该端口

2.交换机利用SNMP TRAP 信息发送给CPPM (如果没有认证记录,要确保SNMP TRAP是可以通)

3.进行授权源的查询(通常为CPPM 的endpoint 数据库)

4.与此同时如果有加域的电脑,那么可以利用WMI技术向域控发起WMI查询,查询终端信息(该步骤为可选)

5.将终端操作系统与强制策略进行匹配,并决定出强制策略中的动作

6.将强制策略中的策略动作进行执行(依靠SNMP 对交换机发出修改指令)

7.交换机对CPPM 进行反馈端口修改后的情况

8.CPPM核对成功,不执行其他策略,允许终端上线

9.终端下线,向CPPM发起信息,通过SNMP修改回缺省VLAN

配置过程分为两大部分,一部分配置交换机,另外一个部分对CPPM 进行配置,如下是交换机的配置:

snmp-servercommunity aruba123 unrestricted

snmp-serverhost 10.201.35.243 community aruba123 trap-level all

snmp-serverenable traps mac-notify

snmp-serverenable traps mac-notify mac-move

snmp-serverenable traps mac-count-notify

interface1-10

mac-notify traps learned

mac-notify traps removed

【设置哪些端口将通过SNMP traps 发送端口的UP,DOWN】

vlan1

ip helper-address x.x.x.x

【注意,假设默认端口为VLAN 1,请在默认vlan 1 下配置dhcp relay,帮助CPPM 进行指纹识别】

password manager user-name admin plaintext admin123

【修改管理员密码】

随后开始进行CPPM 的配置

1)配置NAS客户端

进入到CPPM 策略中心,然后选择配置--网络--设备--添加设备

为设备取名、写入IP及RADIUS KEY

配置SNMP读取

这里的配置必须与交换机中的配置对应,建议不要采用默认的public , 设置一个相对复杂的秘钥

配置SNMP 写入

注意,需要在配置SNMP community 参数的时候配置为可读写,之前配置已附加

配置CLI 登陆的账号

配置onconnect 策略

因为交换机上端口非常多,要让CPPM 知道可以对那些端口进行OnConnect 的改写

查询端口,并选定

添加端口

端口添加完成后,如下

2)配置强制配置文件

配置中将对合格及不合格的终端划分至不同的VLAN,因为要先进行配置文件的编辑,如下请必须选择为-基于SNMP的强制执行

写入名称后,进入到属性,进行参数编辑

建议,由于设备可能为非移动性设备,因此建议对需要移动的终端配置session timeout ; 如下图

因为VLAN的划分及配置是基于操作系统的,因此要做一个简单的规划,如

有上面多个VLAN,因此我们要执行配置多次 “配置文件”,以便下面的调用

3)配置Bounce 配置文件

CPPM支持基于SNMP 的bounce对端口进行阻止,需要先配置 “配置文件”

与配置VLAN 位置相同,不过要新建一个配置文件

选择为reset connection

4)添加强制策略

强制策略的作用是让CPPM 懂得将条件整合,分类出匹配的策略,并最终向交换机进行策略发布,达到安全管理的要求。

添加强制策略

选择类别,参考如下

添加条件规则

上图中,VLAN 100 是之前新建的 “配置文件”

举例,最终规则添加为如下:

下面将对上面的配置语句进行解释:

如果接入的终端 到endpoint repository 里进行检查,OS family 为aruba ,则派送VLAN 100 ,并且将该MAC 地址更新到endpoint repository里

与之类似,但必须endpoint repository里识别出来为computer , 才分配VLAN 100及将MAC 地址更新到endpoint repository里

最后一条,如果1-4条策略都不对,则进入默认策略,默认策略为VLAN 2(一个设计出来的隔离VLAN)

5)添加认证服务

选择为onconnect

对策略进行编辑

由于可能有加域的设备,那么在认证时可以配置为\:user ,将会剥离域名

通过该技术,设备接入后可通过onconnect 机制去检测设备是否为加域的电脑,如果为不加域的电脑则不允许进入(配置策略未举例)

添加授权源

套用之前配置的授权源 (前一步的角色可不配置)

6) 修改服务器参数

7)CPPM启用bounce

在服务器中

开启snmp bounce

8) 接入测试

设备接线后,先确认CPPM 在认证跟踪器里触发了配置的认证服务,如果没有需要检查SNMP的配置

对认证过程进行查看,点击进入该认证

识别出来终端的信息

向交换机发送的动作

默认会启用WMI ,所以会产生告警,但不妨碍整体使用

交换机下show running 检查

通过命令检查

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180418G17ZDB00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码关注腾讯云开发者

领取腾讯云代金券