Foro en Español

Reply
Moderator

[Tutorial] Per-User Tunneled Node (AOS-SW 16.04)

Aunque ya ha sido cubierta por @ccappalli en su fantástica guía de acceso cableado. Me gustaría aprovechar para contaros un poquito más sobre ella.

 

Esta es una más de las funcionalidades que vienen con ArubaOS8 (en concreto AOS8.1). Pero en este caso no se trata de una funcionalidad para redes inalámbricas sino para redes cableadas. Seguro que a estas alturas ya no sorprende a casi nadie que cada vez haya más integración entre redes cableadas (ojo, require AOS-SW 16.04) e inalámbricas. Y seguro que tampoco sorprende que sea ClearPass quien haga de "director de orquesta" de estas integraciones :)

 

 

¿En qué consiste?

Como bien indica su nombre, y de manera similar al "Per-Port Tunneled Node" esta funcionalidad nos permite aislar ciertos dispositivos tunelándolos contra un controlador (o cluster de controladores) para aplicar políticas de seguridad más granulares (no olvidemos que el controlador es capaz de aplicar políticas de seguridad a L3-7). Esencialmente, construiríamos un "overlay" de nivel 2 sobre nuestra infraestructura de red, tal como se muestra en esta imagen:

TunneledUsers.png

 

Tal como os decía al principio, el hecho de tunelar dispositivos hacia el cluster de controladores o hacer una conmutación local se hace aplicando políticas de acceso basado en roles. Con la salvedad de que ahora tendremos un role especial que nos permitirá tunelar el tráfico de un determinado usuario hacia el controlador...

 

Y no sólo eso, cuando configuremos un role para que se tunele contra el controller, esta funcionalidad nos permite asignar un role secundario. De esta forma, podemos aislar los dispositivos entre ellos con las políticas de seguridad de los controladores:

Overview.png

Tiene buena pinta, ¿Qué necesito para montarlo?

Esta funcionalidad requiere las siguientes versiones software:

  • ArubaOS 8.1 o superior en los controladores
  • ArubaOS-SW 16.04 o superior en los switches

Y a nivel hardware:

En el caso de los controladores, todos los que soportan la versión 8.1 soportan también esta funcionalidad.

En el caso de los switches, esta funcionalidad la soportan los switches que tienen nuestra ASIC de última generación (los túneles se hacen desde la propia ASIC). Concretamente:

  • 5400R (con tarjetas V3)
  • 3810M
  • 2930M
  • 2930F

 

Vale, entendido. Entonces, ¿cómo se configura?

Como decía, esto no es más que una combinación de las funcionalidades de "Tunneled-Node" con la del acceso basado en roles. La configuración, por tanto, sería algo así.

 

En primer lugar, configuraremos el switch para que autentique contra nuestro servidor RADIUS. Como podréis imaginar, nosotros recomendamos que sea ClearPass, pero en realidad esto podríais hacerlo con cualquier otro servidor AAA. Daremos de alta el servidor con los comandos habituales (CoA incluido).

 

 

!
radius-server host <IP-RADIUS> key <PSK-RADIUS>
radius-server host <IP-RADIUS> dyn-authorization
radius-server host <IP-RADIUS> time-window 0
!
aaa authorization user-role enable
aaa authenticatin captive-portal enable
aaa authentication port-access eap-radius
aaa port-access authenticator C1-C20
aaa port-access authenticator C1-C20 client-limit 2
aaa port-access authenticator active
aaa port-access mac-based C1-C20
aaa port-access mac-based C1-C20 addr-limit 2
!

A continuación, definiremos un tunneled-node-server. Este podrá ser cualquiera de los controladores del cluster (que se encargará de balancear los usuarios entre todos). En las VLANs que vayamos a tunelar (que no tienen porque existir en los troncales de red), tenemos que acordarnos de permitir una MTU un poquito mayor, igual que en Tunneled-Node.

 

tunneled-node-server
   controller-ip 172.16.100.2
   mode role-based
!
jumbo max-frame-size 1584
jumbo ip-mtu 1566
!
vlan 102
   name "Guest-Tunnel-Vlan"
   no ip address
   jumbo

Por último, en los roles que querramos tunelar, no sólo vamos a indicarlo con "tunneled-node-server-redirect" sino que también vamos a indicar el role secundario que queramos que el usuario tenga en el controller.

 

aaa authorization user-role name "Guest-Tunnel"
   vlan-id 102
   tunneled-node-server-redirect secondary-role "authenticated"

aaa authorization user-role name "Guest-Logon-Tunnel"
   policy "PERMIT-ANY"
   vlan-id 102
   tunneled-node-server-redirect secondary-role "guestpoc-wired-logon"

Y esto es básicamente todo lo que tenemos que hacer. En el controller tendremos que asegurarnos de que existe esas VLANs y roles que hemos definido en los switches, y en ClearPass tenemos que enviar de vuelta la VSA HPE-User-Role, tal como explicaba en el post sobre acceso basado en roles.

 

Perfecto, ¿y cómo sé si ha funcionado?

Tal como indicábamos en posts anteriores, ArubaOS-SW tiene un comando muy útil para saber el estado de los usuarios que se conectan a la red. Con el comando "Show port-access clients" (y variantes) podremos ver de una forma bastante clara lo que está pasando.

 

En el ejemplo a continuación, podéis ver cómo el usuario lar@gmail.com está en la VLAN102, tunelado a mi controller, y en el role "authenticated" dentro de él:

Access-SW-2# sh port-access clients
 
 
 Port Access Client Status
 
  Port  Client Name   MAC Address       IP Address      User Role         Type 
  ----- ------------- ----------------- --------------- ----------------- -----
 VLAN
 ----
  C1    0004f247e2f0  0004f2-47e2f0     n/a - no info   VoIP              MAC  
 21  
  C12                 705a0f-88bd1d     n/a                               8021X
 102 
  C12   lar@gmail.com 705a0f-88bd1d     n/a             Guest-Tunnel      MAC  
 102 
 
Access-SW-2# sh  tunneled-node-users all
 
PORT    MAC-ADDRESS     TUNNEL-STATUS   SECONDARY-USERROLE      FAILURE-REASON
C12     705a0f-88bd1d   UP              authenticated            

Una vez más, os animo a que probéis esta nueva funcionalidad. Yo creo que puede dar mucho juego a la hora de implementar políticas de acceso. La idea, como siempre, es hacer que la experiencia de usuario sea lo más suave posible, garantizando la máxima seguridad, y sin tener que aplicar configuraciones específicas para cada puerto/dispositivo.

 

Espero vuestros comentarios!

 

 

 

 

 

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: