Foro en Español

Reply
Moderator

Alta disponibilidad Clearpass

Hola

 

Como bien sabéis, Clearpass es una plataforma bastante rica con muchas funcionalidades. Por esta razón el funcionamiento en alta disponibilidad tiene algunas particularidades que me gustaría explicar

 

Clearpass como servidor AAA:

Este es el caso más común y a la vez el más sencillo. Todos los nodos de Clearpass se unen formando un cluster (máximo 40 nodos). Dentro de este cluster, el "publisher hace las veces de maestro de configuración, bases de datos, etc. La sincronía entre nodos se hace de forma automática entre todos los nodos, así que no no tenéis que preocuparos por replicar las configuraciones ni nada por el estilo. Por supuesto, todos estos nodos estarían activos simultáneamente, tanto los "suscriber" como el "publisher", así que en caso de caerse cualquier nodo del cluster, cualquier otro podrá prestar servicio en su lugar.

 

Clearpass como "maestro" de configuración:

Siguiendo lo explicado en el caso anterior, en caso de caerse el "publisher" dejaríamos de poder cambiar configuraciones y dar de alta nuevas entradas en la base de datos de Clearpass. Lo primero (cambio de configuraciones) no es realmente un problema, ya que podemos promocionar cualquier suscriber a "publisher" del cluster. Ahora bien, no poder dar de alta nuevas entradas en la base de datos de invitados o de "onboard" sí que podría ser un problema. Para resolver esto existe la figura del "designated publisher". Este sería un "suscriber" que estaría constantemente replicando las BBDD con el "publisher" para que, ante la caída del publisher principal, pueda tomar control sobre el cluster. Todos los nodos del cluster van replicando las BBDD del "publisher" de manera incremental.

 

Servicios que necesitan una IP virtual única:

Por lo general los servidores AAA no necesitan una dirección virtual sobre la que ofrecer sus servicios, ya que los NAS son los que reparten las peticiones entre los distintos nodos (siempre puedes configurar, como mínimo, un RADIUS principal y uno de backup). Ahora bien, Clearpass no sólo es un servidor AAA. Algunos de los servicios que ofrece el Clearpass, como el portal de invitados, o la escucha de relays dhcp para hacer profiling son complicados de balancear o replicar entre nodos. Para este efecto, Clearpass permite configurar una dirección IP virtual mediante VRRP. El hecho de usar esta IP virtual no implica que no puedan utilizarse las direcciones físicas. De hecho, yo suelo usar la IP virtual para el portal de invitados y las direcciones IP físicas para el servicio RADIUS. Así tengo redundancia del portal web sin perder la capacidad para hacer balanceo de carga entre nodos.

 

Echadle un vistazo a esto y, por favor, si tenéis cualquier duda no os quedéis con ella. Preguntad porque además de ayudaros a vosotros estaréis ayudando a todo el que lo lea en el futuro :)

 

Un saludo

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
New Contributor

Re: Alta disponibilidad Clearpass

Hola Samuel!

 

Gracias por la explicación, pero me surgen 2 dudas:

 

  • Entiendo que las configuraciones se sincronizan, y que un suscriber normal se puede promocionar a Publisher ¿no?.  ¿Cuál es la diferencia entre tener un designated standby o no tenerlo? ¿Qué es lo que se replica en este último caso que no se hace en el primero?
  • Me cuadra lo que comentas de hacer las peticiones radius a las IPs físicas, pero no tengo claro qué hacer con las peticiones DHCP para el profiling.  Ahora mismo tenemos configurado que nos envíe las peticiones DHCP haciendo relay como a un servidor más, pero no tenemos campos suficientes para configurar 2 servidores DHCP y 2 Clearpass.  Una opción es reducir esto usando la virtual, pero entiendo que ésta sólo va asociada a una máquina (activo-pasivo) y no sé qué puede pasar si se manda el profiling a la máquina 1 y la petición radius ha ido a la 2.  ¿Podrías darnos más detalles de qué ocurre en este caso?  No sé si es un montaje válido o tenemos que recurrir a realizar ese envío a más iphelper addresses desde el switch en vez de poder hacerlo desde el controller.

Gracias otra vez!

Moderator

Re: Alta disponibilidad Clearpass

Hola

 

La única diferencia entre un "designated publisher" y un subscriber es que el DP está constantemente monitorizando el estado del publiser para ver si se tiene que promocionar a sí mismo. En cuanto a replicación de bases de datos, no hay ninguna diferencia.

 

Por otro lado, con relación al envío de peticiones DHCP a los nodos de CP, da igual a dónde envíes las peticiones. Si llegan a un subscriber, este escribirá en la base de datos de endpoints del publisher lo que ha aprendido de esa petición. Si le llegan al publisher, esta información la escribirá en su propia base de datos :)

 

Por tanto, lleguen a donde lleguen las peticiones de DHCP, el CPPM actualizará su información de profiling con ellas y podréis usarl esa información en cualquier nodo del cluster.

 

Un saludo

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Super Contributor I

Re: Alta disponibilidad Clearpass

Hola Samuel:

 

Tengos estas dos dudas?

 

1. Si hago uso de VRRP en L2, como es con los licenciamientos? Tengo que adquirir para ambos dispositivos (Total 02)

 

2. Si tengo un escenario de Cluster, 01 equipos por una sede (Publisher) y otro equipo en otra sede (Suscriber). Si utilizo Onguard, como hago para apuntar a cada dispositivo ante la caìda de uno. Tàmbien como serìa el esquema de licenciamiento,

 

Saludos,

New Contributor

Re: Alta disponibilidad Clearpass

Hola Samuel,

 

el tema del designated publisher no me acaba de gustar, porque no hay que actuar en el momento de la incidencia, pero sí después para restablecer el cluster.

 

Lo de que el profiling fuera a otra máquina me preocupaba pensando en escenarios muy dinámicos jugando con esa información, con el miedo de que pudiera pasar como en un escenario de rutado asimétrico con NAT o stateful firewalls, en los que el tiempo de sincronización no es suficientemente rápido para obtener el resultado deseado, pero veo que el cacheo de la autorización es de 5 minutos por defecto, así que igual esos escenarios son una paranoia mía.

 

Relacionado con la alta disponibilidad, no acierto a ver cómo elegir un vrid distinto de 1 para el vrrp... ¿es posible?

 

Gracias otra vez!

 

Moderator

Re: Alta disponibilidad Clearpass

Hola

 

Las licencias de los módulos de Clearpass (Guest, Onboard y Onguard) son siempre a nivel de Cluster, así que no tienes que "redundar" licencias.

 

Para el resto de preguntas, mejor que fiaros de lo que yo os cuente es os leáis lo que ha preparado Danny en su flamante Technote sobre Clustering:

http://support.arubanetworks.com/Documentation/tabid/77/DMXModule/512/Command/Core_Download/Default.aspx?EntryId=15546

 

Echadle un vistazo, merece bastante la pena.

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Super Contributor I

Re: Alta disponibilidad Clearpass

Hola Samuel:

 

Respecto al Cluster, se puede armar con un equipo virtual de Clearpass y otro en virtual?

 

 

Saludos,

Moderator

Re: Alta disponibilidad Clearpass

Entiendo que la pregunta es si se puede hacer un cluster con un CPPM hardware y otro virtual, ¿no?

 

En ese caso la respuesta es sí, se pueden mezclar tanto tamaños (500, 5k y 25k) como "sabores" (hw y virtual).

 

Saludos!

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Super Contributor I

Re: Alta disponibilidad Clearpass

Así es.

 

Perfecto te agradezco de antemano.

 

Saludos,

Moderator

Re: Alta disponibilidad Clearpass

Pues eso, que puedes mezclar nodos de CPPM a tu gusto :)

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: