Foro en Español

Reply
Contributor II

AOS8 y ClearPass - Invitados enrutados a través de Controller por Segundo GateWay

Estamos desplegando redes para invitados wired/wireless con ClearPass y Aruba AOS8, estás redes deben terminar en una vlan de la controladora, la cual debe sacar el tráfico a internet de los usuarios a través de un segundo gateway específico para este uso.

La controladora será el gateway para los usuarios invitados de esa red en una vlan donde existe IP-helper para remitir la solicitud DHCP. A los usuarios se les ofrece una red en esa vlan que será enrutada a través de la controladora hacia internet.
El cliente requiere enrutar la red para que el usuario llegue con la IP de esa red de invitados al gateway de salida de Internet, por lo que NO podemos hacer NAT en la vlan de la controladoras.
Además el cliente requiere que la salida a Internet para invitados sea a través de un gateway específico y diferente al default gateway de la controladora, donde está ClearPass y el resto de servicios corporativos como el DHCP, el DNS, etc

Para que el usuario tenga acceso al portal es necesario que la red de invitados tenga visibilidad de ClearPass, esto es correcto porque la controladora enruta y tiene visibilidad del mismo.

Primero hemos realizado pruebas para que la salida se realice a través de la controladora y a través de su default gateway, funcionando correctamente con NAT en la vlan de invitados.

Sí NO habilitamos NAT, el portal se muestra, el usuario se válida en ClearPass, pero la vuelta hacia “securelogin.arubanetworks.com” se queda como en “bucle” sin que el usuario pueda salir a Internet.
Hemos revisado rutas en la red y entre los invitados, la red corporativa y controladora hay visibilidad.

El segundo problema, es como sacar el tráfico por el segundo gateway, el específico de Invitados:
- Hemos probado a crear ACL con destination-NAT en el role de usuario autenticado y no es viable, o eso creemos.
- Pensamos en usar PBR de AOS8 y aunque funciona, enviando el tráfico de salida red por el segundo gateway, no nos vale por:
1) Aplica NAT automáticamente y saca a los usuarios con la IP de la controladora en esa segunda red de salida a internet de invitados.
2) el PBR se aplica desde el principio por lo que tanto al usuario autenticado como al que no, le saca directamente por esa segunda red de salida a internet, que no tiene visibilidad de los servicios corporativos y no vemos el portal y demás.

Lo bueno sería poder aplicar PBR solo al usuario a autenticado y que además el portal funcionará sin NAT

Ideas? Soluciones?

Siento no subir un esquema, gracias

Ricardo Luis Cañavate García - ACMP / ACCA / ACCP

Re: AOS8 y ClearPass - Invitados enrutados a través de Controller por Segundo GateWay

Tienes un diagrama de como tienes todo interconectado?


Get Outlook for iOS
Thank you

Victor Fabian
Lead Mobility Architect @WEI
AMFX | ACMX | ACDX | ACCX | CWAP | CWDP | CWNA

Re: AOS8 y ClearPass - Invitados enrutados a través de Controller por Segundo GateWay

Hola Ricardo,

Respecto al tema de securelogin: ¿Qué DNS le estás dando al usuario?

Respecto al tema de enrutado:

  • Te recomiendo dejar el NAT de salida del usuario, para ello puede poner "nat outside" en la VLAN de salida de internet. Si no, es probable y dependiendo de cómo tengas tu red, que no pueda saber el tráfico de vuelta el gateway que está en el segundo enlace de salida a internet
  • Para invitados puedes hacer dos roles:
    • Role logon (pre-auth) -> Le permite llegar al CPPM
    • Role guest (usuario autenticado) -> Le aplicas un PBR solo para ese role.

Creas un next-hop para el segundo enlace:

ip nexthop-list ftth
ip dhcp vlan 450
!

Creas un ACL de tipo route para que salga el tráfico una vez autenticado:

ip access-list route invitados
any any any route next-hop-list ftth
!

Aplicas el PBR al rol de usuarios autenticado:

routing-policy-map role invitados access-list invitados

 


Rafael del Cerro Flores
ACMP, ACCP, ACDX#324, ACCX#711
New Contributor

Re: AOS8 y ClearPass - Invitados enrutados a través de Controller por Segundo GateWay

Buenas Rafa soy un Raul un compañero de Ricardo.

 

Como DNS de los usuarios estamos usando la propia controladora.

 

Saludos

Contributor II

Re: AOS8 y ClearPass - Invitados enrutados a través de Controller por Segundo GateWay

Gracias, Victor y Rafa, por la ayuda.

 

Ya dimos con la solucion y funciona como esperabamos, nos faltaba el PBR en el role de usuario, el resto era lo configurado desde inicio.

 

¡Vendito CLI! 


Ricardo Luis Cañavate García - ACMP / ACCA / ACCP
Moderator

Re: AOS8 y ClearPass - Invitados enrutados a través de Controller por Segundo GateWay

Te iba a dar kudos hasta que he visto la última línea...

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Contributor II

Re: AOS8 y ClearPass - Invitados enrutados a través de Controller por Segundo GateWay

:))

 

que majo eres Samu,..

 

Gracias.


Ricardo Luis Cañavate García - ACMP / ACCA / ACCP
Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: