Foro en Español

Reply
Occasional Contributor II
Posts: 12
Registered: ‎02-11-2017

[Tutorial] Integración Instant-Switch para aislamiento de rogue APs

[ Edited ]

Hola,

 

He necesitado más informaciones esta semana acerca de la nueva característica introducida en ArubaOS 16.01 de aislamiento Rogue AP.
Desgraciadamente, no encontré fácil las informaciones en la red, así que he decidido escribir aquí este artículo en caso de que alguien necesite saber más de esta característica.

 

Aislamiento Rogue AP
Cuando un AP de Aruba detecta un AP no autorizado en la red, éste envía la dirección MAC del punto de acceso y también el MAC de los clientes conectados al punto de acceso al switch. Estos datos son enviados utilizando el protocolo TLV LLDP (propietario de ArubaOS).
Si aislamiento rogue AP está configurado, el switch añade una regla a su tabla de hardware para bloquear todo el tráfico que se origina en la dirección MAC del AP o del cliente conectado. Se puede configurar para cambiar la regla y solo registrar un log.


Si la acción solicitada es registrar el dispositivo no autorizado, la dirección MAC del dispositivo se registra en los registros del sistema (RMON).
Si la acción es bloquear el dispositivo, el tráfico hacia y desde la dirección MAC del dispositivo no autorizado se bloquea. La MAC se escribe en el registro del sistema también en este caso.

 

Como se configura
En la configuración del IAP, habilitar integración MAS:
System>General> MAS integration enable

 

En la configuración del Switch, habilitar aislamiento rogue AP:
Aruba5406-1(config)# rogue-ap-isolation enable

Opcionalmente, ajuste la acción deseada (log / block) --- por defecto bloquear

 

Aruba5406-1(config)# rogue-ap-isolation action
block Block and log traffic to or from any rogue access point.
log Log traffic to or from any rogue access point.

 

Resultados:
Aruba5406-1# sh rogue-ap-isolation
Rogue AP Isolation
Rogue AP Status : Enabled
Rogue AP Action : Block

Rogue MAC Address Neighbour MAC Address
----------------- ---------------------
d0577b-a0523a703a0e-ca1e08
84d47e-234273703a0e-ca1e08

 

Aruba5406-1# sh log -r
W 02/18/17 09:47:18 00595 maclock: ST1-CMDR: ports 1-24,: Ceasing lock-out logsfor 5m
W 02/18/17 09:47:18 00594 maclock: ST1-CMDR: ports 1-24,: d0577b-a0523a detectedon port 1/4
W 02/18/17 09:47:18 00594 maclock: ST1-CMDR: ports 1-24,: d0577b-a0523a detected
I 02/17/17 09:47:18 05120 profile-manager: ST1-CMDR: Rogue device 84d47e-234273detected on interface 1/4.
I 02/17/17 09:47:18 05120 profile-manager: ST1-CMDR: Rogue device d0577b-a0523adetected on interface 1/4.

 

El administrador puede anular la regla que bloquea añadiendo la MAC a la lista blanca o puede borrar la dirección MAC bloqueada. El tráfico del cliente/AP será permitido después.

 

Aruba5406-1(config)# rogue-ap-isolation whitelist d0:57:7b:a0:52:3a
Aruba5406-1# sh rogue-ap-isolation whitelist
Rogue AP Whitelist Configuration
Rogue AP MAC
------------------
d0:57:7b:a0:52:3a
o
Aruba5406-1# clear rogue-ap-isolation
all Clear all MAC address from the rogue AP list.
MAC-ADDR The MAC address to be removed from the rogue AP list.

 

Se debe remarcar que esta característica es local al switch. El AP sólo comunicara con el switch donde está conectado directamente (usando LLDP).Cuando el Rogue AP esté conectado a un switch que no tiene un AP Aruba conectado, la MAC del Rogue APno será filtrada.

 

Un abrazo,
Laura

Search Airheads
Showing results for 
Search instead for 
Did you mean: