Foro en Español

Reply
Aruba Employee
Posts: 72
Registered: ‎02-17-2016

[Tutorial] - Integración de ClearPass con switches Enterasys/Extreme

[ Edited ]

En las últimas semanas han sido varias las preguntas que han llegado sobre la integración de ClearPass con switches de Enterasys. Hemos hecho pruebas y ha funcionado sin problemas, por ello, dejo a continuación un ejemplo básico de configuración para hacer 802.1x y MAC-Auth.

 

Entorno de prueba

En la red de pruebas, he tenido configurado las siguientes direcciones IP:

  • Switch de Enterasys: 192.168.1.88/24
  • ClearPass: 192.168.1.21/24

Switch de Enterasys: C5K125 de 48 puertos.
Enterasys.png

 

ClearPass: v6.6.3

ClearPass.png

 

Configuración del switch:

#ip
set ip protocol none
set ip address 192.168.1.88 mask 255.255.255.0 gateway 192.168.1.1

#Router Configuration
router
enable
configure
interface vlan 1
ip address 192.68.1.89 255.255.255.0
ip helper-address 10.150.0.44
ip helper-address 192.168.1.21
exit
interface vlan 10
exit
exit
exit
exit

#eapol
set dot1x enable
set eapol enable

#macauthentication
set macauthentication enable
set macauthentication password  ARUBA
set macauthentication port  enable ge.1.1

#multiauth
set multiauth port mode auth-reqd ge.1.1
set multiauth precedence dot1x mac pwa

#policy
set policy maptable response tunnel

#radius
set radius enable
set radius accounting enable
set radius accounting server 192.168.1.21 1813 :398644d2d886b572325b232f951cb452ac3540ca0d912b46f00a7c47ad236b413e63fb3eca0500466b:
set radius server 1 192.168.1.21 1812 :398644d2d886b572325b232f951cb452ac3540ca0d912b46f00a7c47ad236b413e63fb3eca0500466b: realm network-access

#vlanauthorization
set vlanauthorization enable

La configuración anterior está hecha para el puerto ge.1.1. Tiene una particularidad y es que para hacer autenticación MAC necesita una clave que configuraremos más tarde en ClearPass. El resto de la configuración es lo habitual:

  • Habilitamos autenticación Mac
  • Habilitamos autenticación 802.1x
  • Damos de alta el ClearPass como RADIUS con una preshared-key y además le mandamos el Accounting.

Configuración del ClearPass

Lo primero que haremos será crear una nueva fuente de autenticación dado que para que funcione el MAC-Auth en estos switches se tiene que hacer con una clave pre-configurada. En la configuración anterior está establecida: ARUBA.

 

En ClearPass, crear una fuente de autenticación nueva:

CP2.png

 

En la pestaña “Primary”, indicamos que se consultarán las Bases de Datos del propio ClearPass:

CP3.png

 

La Password se puede modificar en la configuración del Cluster de ClearPass:

CP4.png

 

El filtro de la fuente de autenticación será como la siguiente:

CP5.png

 

La Clave de la consulta SQL debe coincidir con la puesta en el switch:

SELECT 'ARUBA' AS User_Password FROM tips_endpoints WHERE mac_address = LOWER('%{Connection:Client-Mac-Address-NoDelim}') AND status = 'Known' 

Una vez que está listo, creamos un servicio específico y en este caso se recibirán por aquí tanto las autenticaciones MAC como 802.1x. Luego podríamos diferenciarlo mediante el Enforcement:

ClearPass.png

Como se puede ver en la imagen anterior, se deben hacer dos modificaciones en el servicio:

  • Incorporar PAP como método de autenticación para las MAC-Auth
  • Incluir la nueva fuente que hemos creado anteriormente dentro de los orígenes de autenticación.

Pruebas de funcionamiento

Ya que está todo listo, vamos a hacer pruebas, primero con una autenticación 802.1x.

  • El switch envía el username del usuario validado
  • InnerMethod: EAP-MSCHAPv2
  • OuterMethod: EAP-PEAP

CP6.png

CP7.png

 

En este caso, se está consultando la base de datos local ya que estoy usando un usuario que está ahí creado. Si queréis, podéis por supuesto usar un LDAP o cualquier otra base de datos.

 

Ahora, probando la autenticación MAC-Auth:

  • El switch envía como Username la MAC
  • OuterMethod: PAP

CP8.png

CP9.png

 

En este segundo caso, estamos validando con la fuente de autenticación que hemos modificado al principio y usando PAP como método de autenticación.

 

Conclusiones

Como veis, el funcionamiento y la integración es muy sencilla. Aunque recibamos la autenticación 802.1x y MAC-Auth en el mismo servicio, podemos comprobar por ejemplo "OuterMethod" para saber si viene de una u otra forma en el caso de que queramos hacer Enforcement distintos.

Tened en cuenta además, que el device (switch) está dado de alta seleccionando el vendor "Extreme".

 

Referencias


Rafael del Cerro Flores
ACMP, ACCP, ACDX#324, ACCX#711
Search Airheads
Showing results for 
Search instead for 
Did you mean: