日本語フォーラム

 View Only
last person joined: 14 days ago 

Arubaのソリューション、ネットワークマーケットに関する日本語ディスカッションフォーラム

[Switch] ArubaOS Switch でRole Base アクセス制御!

This thread has been viewed 0 times
  • 1.  [Switch] ArubaOS Switch でRole Base アクセス制御!

    EMPLOYEE
    Posted Sep 26, 2017 12:08 AM

    Arubaの一番の強みはRole Base アクセス制御を使ったセキュアネットワークです。今まではコントローラやIAPでのみの実装でしたが、今はArubaOS Switchでもサポートされています。

    コントローラとは設定方法は異なる点と、ステートフルファイアウォールではありませんが、とてもシンプルに設定でき、且つ、ClearPassを使って、有線・無線LANに関係なく、セキュアなネットワークを構築できます。

    簡単ですが、設定コマンドを少しご紹介します。

     

    User Roleの設定

    aaa authorization user-role name "SECURE"
         policy "PERMIT-ALL"
         vlan-name "EDGE_SECURE"

    上記の様に、Roleを作成し、その中でPolicyという形でセキュリティポリシー(実際にはACLの束)を適用します。

     

    Policyの設定 

    policy user "PERMIT-ALL"
         class ipv4 "IP-ANY-ANY" action permit

    Policyの設定を見ると、この中に直接ACLのSource IP、Destination IPが記載されているわけではなく、classという形で設定が階層構造になっています。この辺りはコントローラのSession Firewallと設定方法は似ています。

     

    Classの設定

     

    class ipv4 "IP-ANY-ANY"
         match ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255

     Classの中で、実際のトラフィックにマッチさせるためのIP Addressを設定します。

     

     

    実際に設定するときは、Class → Policy → User Roleの順で設定することになります。

     

    ちなみに、Initial Roleを設定したい時はスイッチ単位で設定します。Default設定時はdenyallが適用されています。

     

    DefaultのRole設定

    Switch# show user-role    
    
     User Roles
    
      Enabled       : No
      Initial Role  : denyall
    
      Type       Name
      ---------- ------------------------------------------------------
      predefined denyall                                                         
    
    Switch# show user-role denyall
    
     User Role Information
    
       Name                              : denyall
       Type                              : predefined
       Reauthentication Period (seconds) : 0
       Untagged VLAN                     : 
       Tagged VLAN                       : 
       Captive Portal Profile            : 
       Policy                            : denyall_104112101032097114117098097032098105108108
       Tunnelednode Server Redirect      : Disabled
       Secondary Role Name               :  

    Initial Roleの設定

     

    aaa authorization user-role initial-role "logon"

     

    セキュリティに強いArubaを有線・無線で是非フル活用して下さい。