Foro en Español

Reply
Occasional Contributor I
Posts: 5
Registered: ‎04-08-2013

Acceso cableado de usuarios invitados

 

Hola,

 

Estamos montando una solución NAC con controladores Aruba 7220 y un Clearpass (v6.3.2). Lo que queremos ahora es realizar una configuración para controlar el acceso de usuarios invitados a una interfaz cableada del controlador, sin embargo, no somos capaces de encontrar suficiente información para poder concluir ésta tarea. ¿Alguien podría echarnos una mano con ello?

 

Muchas Gracias.

Un Saludo.

MVP
Posts: 1,391
Registered: ‎05-28-2008

Re: Acceso cableado de usuarios invitados

For all AirHeads:

This is the question - translated to ENG (Thank u google)

 

We are riding a NAC solution with Aruba controllers and ClearPass 7220 (v6.3.2). We want to now make a setting to control guest access to a wired controller interface users, however, are not able to find enough information to complete this task. Could anyone help us out with this?

*****************2Plus Wireless Solutions****************************
Aruba Airheads - Powered By community for empower the community
************ Don't Forget to Kudos + me,If i helped you******************
MVP
Posts: 1,391
Registered: ‎05-28-2008

Re: Acceso cableado de usuarios invitados

[ Edited ]
  • you should start by makking a vlan / port untrusted and make it with (AAA PROFILE) access-role that will redirect to CPPM guest captive.https://arubanetworkskb.secure.force.com/pkb/articles/HowTo/R-1183
  • Than u should build service/enforce based on your needs in the CPPM + build a guest login page under CLEARPASS GUEST MODULE (or use the one u already got)

 

*****************2Plus Wireless Solutions****************************
Aruba Airheads - Powered By community for empower the community
************ Don't Forget to Kudos + me,If i helped you******************
Moderator
Posts: 881
Registered: ‎07-29-2010

Re: Acceso cableado de usuarios invitados

Double kudos for translation + answer :)

 

Y ahora en español.

 

En realidad es una configuración bastante sencillita, habría que hacer lo siguiente:

  1. Configurar el puerto para que la vlan de cuarentena/invitados/byod (o lo que sea que necesitéis hacer con Clearpass) esté "untrusted".
  2. Configurar un wired-aaa profile en esa vlan.

El wired-aaa-profile actuará como cualquier aaa-profile WiFi, con su autenticación de L2 (MAC caching?), su autenticación de L3 (auth invitados?) y su rol por defecto. Si queréis hacer una redirección a un portal web, haz como de costumbre, ese rol por defecto asocialo a un cp-profile añade una regla en el rol que te permita ir al clearpass y ponle debajo la típica regla de "captiveportal". Y con esto ya deberías tener a tus usuarios cableados yendo al portal de invitados.


Una cosita más, cuidado con poner el puerto (o port channel) entero en "untrusted". Asegurate de que, como mínimo la vlan de gestión la sigues teniendo como trusted.

 

Mira a ver si te funciona, y sino ya sabes, insiste :)

 

Saludos!

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Occasional Contributor I
Posts: 5
Registered: ‎04-08-2013

Re: Acceso cableado de usuarios invitados

Hola,

 

Gracias por vuestras soluciones. 

 

Realmente lo que nos gustaría configurar es la conexión 802.1x cableada de los usuarios no corporativos, lo que sucede es que los switches de este proyecto no soportan redirección al portal. Nos consta que podemos emplear al controlador para realizar esta labor, poniendo al controlador como default gateway de la vlan de cuarentena. Pero no encontramos información para realizar estas tareas. ¿Tendríais alguna información acerca de los pasos a seguir para realizar estas tareas?.

 

Muchas Gracias.

Un Saludo.

Moderator
Posts: 881
Registered: ‎07-29-2010

Re: Acceso cableado de usuarios invitados

[ Edited ]

Hola

 

Me he dado cuenta de que esta pregunta os la contesté de palabra pero se quedó sin contestar por aquí. Por si alguien más tuviera la duda en el futuro, yo lo que haría sería lo siguiente:

 

En primer lugar, configurar 802.1X + Autenticación por MAC en los switches. Más que nada porque puede haber equipos que, o bien no soporten 802.1X (impresoras, cámaras, etc) o que lo tengan deshabilitado por defecto (casi cualquier ordenador). Esto es muy sencillo de hacer en switches Aruba, ya que hacen ambas autenticaciones a la vez y le dan prioridad a la de 802.1X. En Cisco sé que también se puede hacer (aunque es un poco más lento, porque hay que dejar que falle la auth 802.1X 3 veces hasta hacer autx por MAC) y en otros fabricantes como Brocade o Juniper también. Si habéis hecho pruebas con algún otro fabricante, compartid la experiencia por favor :)

 

Una vez tengamos esa autenticación entrándonos en Clearpass, tenemos varias opciones de "autoremediar" un cliente en cuarentena. Lo más sencillo será siempre enviar al cliente a un portal de Clearpass, ya que ahí podremos hacer cualquier cosa con ese cliente no válido: Chequeo de salud con agente soluble, descarga del agente instalable, autenticación, onboarding, etc... Si somos capaces de llevar al usuario hasta clearpass, tenemos el éxito garantiazdo. Ahora bien, ¿cómo conseguimos esto?

  • Si los switches son capaces de hacer una redirección a un portal web, pan comido. En un switch Aruba le asignamos un rol que redirija a un portal de invitados (como si fuera un controller).
  • Si los switches no son capaces de hacer esa redirección, tampoco pasa nada, podemos meter al cliente en una vlan de cuarentena y forzarle a ir al portal de autoremediación usando un firewall o (como en nuestro caso) un controller. En mi post anterior explicaba cómo hacer para redirigir a esos usuarios de cuarentena utilizando un interfaz cableado del controller. Por si no ha quedado claro, insisto:
  1. Configurar la vlan de cuarentena de tal forma que el controller sea el "default-gateway".
  2. Configurar la vlan de cuarentena como "untrusted" en el puerto o port-channel por el que entra el tráfico.
  3. Aplicar a esa vlan un "wired-aaa-profile". De esta forma podemos tratar esta vlan como si fuese, por ejemplo, una wifi de invitados.
  4. En ese wired-aaa-profile, el "default-role" deberá contener una redirección a portal cautivo, en este caso al portal de autoremediación que nos habíamos configurado.

 

Creo que no me dejo nada. De todas formas, si no ha quedado claro por favor insistid.

 

Saludos!

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Search Airheads
Showing results for 
Search instead for 
Did you mean: