Aruba OnConnect 方案部署

随着技术不断发展，各种IOT终端也开始汇聚到网络中，随之而来带给管理员的问题就是需要透视到网络中的接入设备，与此同时在不影响接入的情况下，实现无感的控制。在这样的需求背景下，Aruba 推出了OnConnect 方案；

OnConnect的方案由ARUBAOS Switch 以及CPPM组成，在该方案中，当任意终端接入到设备的端口之后，那么交换机会利用SNMP TRAP向CPPM 发送上线信息，CPPM通过SNMP TRAP 及终端进行指纹识别，最后经过用户预设的策略对接入的设备自动实现控制。该方案的特点是全部基于SNMP 技术实现，因此端口不需要启mac , portal 设置是1x 认证即可完成。

对于网络中存在中大量不同操作系统的设备特别适用，如无线AP规划采用ARUBA 品牌，接入由打印机、PC、IP 话机；那么可以在这样的情况下对CPPM 进行策略定制，通过对终端指纹的判定，非指定的操作系统是无法接入的。达到的效果是，如果终端用户私自假设家用路由器，那么当接入到网络中，会被划分到隔离VLAN，无法使用。接下来将对基于SNMP的OnConnect 方案的配置进行介绍.

注： 推荐交换机版本为16.04 之后， CPPM 为6.6.2 之后才具备onconnect

配置前先对原理图进行说明：

1.客户端连接网线之后，启用了交换机的该端口

2.交换机利用SNMP TRAP 信息发送给CPPM （如果没有认证记录，要确保SNMP TRAP是可以通）

3.进行授权源的查询（通常为CPPM 的endpoint 数据库）

4.与此同时如果有加域的电脑，那么可以利用WMI技术向域控发起WMI查询，查询终端信息（该步骤为可选）

5.将终端操作系统与强制策略进行匹配，并决定出强制策略中的动作

6.将强制策略中的策略动作进行执行（依靠SNMP 对交换机发出修改指令）

7.交换机对CPPM 进行反馈端口修改后的情况

8.CPPM核对成功，不执行其他策略，允许终端上线

9.终端下线，向CPPM发起信息，通过SNMP修改回缺省VLAN

配置过程分为两大部分，一部分配置交换机，另外一个部分对CPPM 进行配置，如下是交换机的配置：

snmp-servercommunity aruba123 unrestricted

snmp-serverhost 10.201.35.243 community aruba123 trap-level all

snmp-serverenable traps mac-notify

snmp-serverenable traps mac-notify mac-move

snmp-serverenable traps mac-count-notify

interface1-10

mac-notify traps learned

mac-notify traps removed

【设置哪些端口将通过SNMP traps 发送端口的UP,DOWN】

vlan1

ip helper-address x.x.x.x

【注意，假设默认端口为VLAN 1，请在默认vlan 1 下配置dhcp relay,帮助CPPM 进行指纹识别】

password manager user-name admin plaintext admin123

【修改管理员密码】

随后开始进行CPPM 的配置

1）配置NAS客户端

进入到CPPM 策略中心，然后选择配置--网络--设备--添加设备

为设备取名、写入IP及RADIUS KEY

配置SNMP读取

这里的配置必须与交换机中的配置对应，建议不要采用默认的public , 设置一个相对复杂的秘钥

配置SNMP 写入

注意，需要在配置SNMP community 参数的时候配置为可读写，之前配置已附加

配置CLI 登陆的账号

配置onconnect 策略

因为交换机上端口非常多，要让CPPM 知道可以对那些端口进行OnConnect 的改写

查询端口，并选定

添加端口

端口添加完成后，如下

2)配置强制配置文件

配置中将对合格及不合格的终端划分至不同的VLAN，因为要先进行配置文件的编辑,如下请必须选择为-基于SNMP的强制执行

写入名称后，进入到属性，进行参数编辑

建议，由于设备可能为非移动性设备，因此建议对需要移动的终端配置session timeout ； 如下图

因为VLAN的划分及配置是基于操作系统的，因此要做一个简单的规划，如

有上面多个VLAN，因此我们要执行配置多次 “配置文件”，以便下面的调用

3）配置Bounce 配置文件

CPPM支持基于SNMP 的bounce对端口进行阻止，需要先配置 “配置文件”

与配置VLAN 位置相同，不过要新建一个配置文件

选择为reset connection

4）添加强制策略

强制策略的作用是让CPPM 懂得将条件整合，分类出匹配的策略，并最终向交换机进行策略发布，达到安全管理的要求。

添加强制策略

选择类别，参考如下

添加条件规则

上图中，VLAN 100 是之前新建的 “配置文件”

举例，最终规则添加为如下：

下面将对上面的配置语句进行解释：

如果接入的终端 到endpoint repository 里进行检查，OS family 为aruba ,则派送VLAN 100 ，并且将该MAC 地址更新到endpoint repository里

与之类似，但必须endpoint repository里识别出来为computer , 才分配VLAN 100及将MAC 地址更新到endpoint repository里

最后一条，如果1-4条策略都不对,则进入默认策略，默认策略为VLAN 2（一个设计出来的隔离VLAN）

5）添加认证服务

选择为onconnect

对策略进行编辑

由于可能有加域的设备，那么在认证时可以配置为\:user ，将会剥离域名

通过该技术，设备接入后可通过onconnect 机制去检测设备是否为加域的电脑，如果为不加域的电脑则不允许进入（配置策略未举例）

添加授权源

套用之前配置的授权源 （前一步的角色可不配置）

6) 修改服务器参数

7）CPPM启用bounce

在服务器中

开启snmp bounce

8) 接入测试

设备接线后，先确认CPPM 在认证跟踪器里触发了配置的认证服务，如果没有需要检查SNMP的配置

对认证过程进行查看，点击进入该认证

识别出来终端的信息

向交换机发送的动作

默认会启用WMI ，所以会产生告警，但不妨碍整体使用

交换机下show running 检查

通过命令检查