Foro en Español

Reply
Moderator
Posts: 896
Registered: ‎07-29-2010

[Tutorial] OnConnect con switches Aruba

[ Edited ]

Hola

 

Siguiendo con la lista de cosillas con las que me he estado pegando últimamente, aquí va una guía rápida de cómo montar OnConnect con switches Aruba. También he estado probando con switches Cisco, así que si os interesa, comentad y vamos viendo cómo se haría.

 

Descripción

Tal como comente hace unos meses en este post, la versión 6.6.2 de ClearPass nos trajo una novedad muy interesante. Con OnConnect lo que haremos es "escuchar" traps de SNMP desde ClearPass e iniciar un profiling activo en cuanto se descubre una nueva MAC address. A partir de ahí, podremos hacer lo que queramos:

  • Guardar en la BBDD de endpoints el estado del dispositivo en cuestión.
  • Enviar un CoA (si estamos haciendo autenticación 802.1X/MAC)
  • Aplicar Enforcement basado en SNMP (muy útil cuando nuestros switches son antiguos y no tienen buen soporte de 802.1X)

El proceso sería más o menos este:

OnConnect.png

 

Configuración Switch

La configuración no puede ser más sencilla, especialmente cuando usamos switches Aruba. Aquí va un ejemplo de configuración:

 

...

!

interface 1-7

   mac-notify traps learned

   mac-notify traps removed

   exit

snmp-server community <community> operator unrestricted

snmp-server host <IP_CleaPass> community <community> trap-level all

snmp-server enable traps mac-notify

snmp-server enable traps mac-count-notify

!

...

 

Con esto, el switch le enviará un trap SNMP a ClearPass cuando vea una nueva MAC address en un puerto. Al margen de esto, lo único que os haría falta es añadir la IP de ClearPass como "helper-address" en el default-gw de la red.

 

Configuración ClearPass

La configuración de ClearPass será casi tan sencilla como la del switch. Son fundamentalmente 3 pasos:

 

En primer lugar, en "Administration > Server Manager > Server Configuration" activamos onconnect y seleccionamos los nodos activo y de backup. Un detalle muy importante esos nodos con la community de SNMP que hemos usado en los switches. Podéis hacerlo en "Service Parameters > ClearPass network services":

SNMP Traps.png

 

A continuación, cread el "NAD" en ClearPass añadiendo la community de lectura y de escritura. Cuando lo hagáis, veréis que hay una pestaña nueva que permite configurar ClearPass para "escuchar" traps de ciertos puertos. Si ya tenéis la community de lectura/escritura añadidas podréis hacer click en "query ports" y os mostrará los puertos del switch. Seleccionar los que os interesen (generalmente los de acceso) y haced click en "Add to Port Names".

QueryPorts.png

 

Por último, cread un servicio de tipo "OnConnect Enforcement". Este servicio os permitirá hacer enforcement via SNMP para poner a cada dispositivo y/o usuario en su VLAN adecuada (ClearPass usa WMI para conectarse a los PC y saber qué usuario está conectado). Aquí va el resumen de mi servicio (fijaos en el detalle de "strip username rules"):

OnConnect Summary.png

Y aquí va mi política de "enforcement", que en este caso es muy sencillita porque no tengo PCs que estén metidos en el AD de mi maqueta:

OnConnect Enforcement.png

 

Un detalle final. En este ejemplo yo estoy haciendo enforcement via SNMP porque quería probar la funcionalidad completa, pero no es en absoluto necesario. En un par de proyectos he utilizado OnConnect para desencadenar un profiling más "agresivo" (WMI y tal) cuando se conecta un aparato nuevo. Luego la parte de enforcement la he hecho con 802.1X/MAC, que me permite mucha más flexibilidad (CoA, url-redirect, roles, etc...).

 

Venga, animaos a probadlo :)

 

Saludos!

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Search Airheads
Showing results for 
Search instead for 
Did you mean: