日本語フォーラム

Reply
Aruba Employee

[Switch] ArubaOS Switch でRole Base アクセス制御!

Arubaの一番の強みはRole Base アクセス制御を使ったセキュアネットワークです。今まではコントローラやIAPでのみの実装でしたが、今はArubaOS Switchでもサポートされています。

コントローラとは設定方法は異なる点と、ステートフルファイアウォールではありませんが、とてもシンプルに設定でき、且つ、ClearPassを使って、有線・無線LANに関係なく、セキュアなネットワークを構築できます。

簡単ですが、設定コマンドを少しご紹介します。

 

User Roleの設定

aaa authorization user-role name "SECURE"
     policy "PERMIT-ALL"
     vlan-name "EDGE_SECURE"

上記の様に、Roleを作成し、その中でPolicyという形でセキュリティポリシー(実際にはACLの束)を適用します。

 

Policyの設定 

policy user "PERMIT-ALL"
     class ipv4 "IP-ANY-ANY" action permit

Policyの設定を見ると、この中に直接ACLのSource IP、Destination IPが記載されているわけではなく、classという形で設定が階層構造になっています。この辺りはコントローラのSession Firewallと設定方法は似ています。

 

Classの設定

 

class ipv4 "IP-ANY-ANY"
     match ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255

 Classの中で、実際のトラフィックにマッチさせるためのIP Addressを設定します。

 

 

実際に設定するときは、Class → Policy → User Roleの順で設定することになります。

 

ちなみに、Initial Roleを設定したい時はスイッチ単位で設定します。Default設定時はdenyallが適用されています。

 

DefaultのRole設定

Switch# show user-role    

 User Roles

  Enabled       : No
  Initial Role  : denyall

  Type       Name
  ---------- ------------------------------------------------------
  predefined denyall                                                         

Switch# show user-role denyall

 User Role Information

   Name                              : denyall
   Type                              : predefined
   Reauthentication Period (seconds) : 0
   Untagged VLAN                     : 
   Tagged VLAN                       : 
   Captive Portal Profile            : 
   Policy                            : denyall_104112101032097114117098097032098105108108
   Tunnelednode Server Redirect      : Disabled
   Secondary Role Name               :  

Initial Roleの設定

 

aaa authorization user-role initial-role "logon"

 

セキュリティに強いArubaを有線・無線で是非フル活用して下さい。

 

 

Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: