Foro en Español

Reply
Aruba Employee

[Tutorial] [Novedades] User Based Tunneling (UBT) 2.0

Descripción:

En las versiones anteriores de ArubaOS-Switch, el mecanismo de segmentación dinámica estaba vinculado a las VLANs configuradas en el switch. Para cada rol de usuario donde el tráfico fuera a estar tunelado, se necesitaba la VLAN para que los túneles se formen entre el switch y controlador. Con ArubaOS-Switch 16.08 y ArubaOS 8.4, existe la posibilidad de funcionar en modo “aislado”. En este modo de funcionamiento, todo el tráfico generado por un cliente (unicast, broadcast, y multicast) es enviado por el túnel hacia el controlador, por lo que no es necesaria la segmentación en los switches de acceso. Al no ser necesaria segmentación local, en este modo de funcionamiento, el switch y el controlador reservarán automáticamente una VLAN para ser utilizada para el tráfico tunelado. Todo el tráfico tunelado atraviesa la red y se desencapsula en el controlador. La asignación de VLAN está basado en la VLAN especificada en el rol secundario descargado (o existente) en los controladores. Esto simplifica la solución y elimina la necesidad de configurar todas las VLAN de usuarios en todos los switches de la red de un campus y convierte ClearPass en el punto de configuración único para la aplicación de las políticas para los switches y los controladores.

 El proceso mediante el cual los usuarios forman los túneles a un clúster ocurre de la forma siguiente: 

  1. El switch configura el túnel GRE con uno de los nodos de clúster (ejemplo MC3).
  2. MC3 responde con el Standby Switch Anchor Controller (S-SAC) y lista de nodos.
  3. El switch configura el standby túnel GRE con el nodo de clúster S-SAC (MC1).
  4. Cuando el cliente se conecta al switch, se lleva a cabo la autenticación del usuario.
  5. Si el rol descargado tiene el atributo de redireccionamiento al rol secundario, el switch comprueba la lista de nodos para obtener el Active User   Anchor Controller (A-UAC) y el Standby  User   Anchor Controller (S-UAC) (por ejemplo UAC = MC2 y S-UAC = MC4).
  6. El switch configura el túnel UAC GRE con MC2 y envía al controlador la VLAN y el rol del usuario que el controlador debe descargar desde ClearPass.
  7. El controlador crea el UAC con el rol de usuario secundario y VLAN recibido del switch.
  8. Finalmente, una entrada de usuario inactiva se añade en el controlador que tiene el rol de S-UAC.

El flujo de UBT.jpg

Diagrama – El flujo del UBT

 

Configuración:  

Configuración del switch: En el contexto de configuración del tunneled-node-server, se ha agregado el comando reserved-vlan para predefinir la VLAN que transporta el tráfico tunelado cuando se pretende usar el modo “aislado”. Cuando se añade este comando, el switch reservará automáticamente esta VLAN.

ip client-tracker
 
tunneled-node-server
   controller-ip 172.16.10.31
   backup-controller-ip 172.16.10.30
   mode role-based reserved-vlan 1000
   exit
 
radius-server host 172.16.10.102 key "aruba123"
radius-server host 172.16.10.102 dyn-authorization
radius-server host 172.16.10.102 time-window 0
radius-server host 172.16.10.102 clearpass
radius-server cppm identity "cppm-dur" key aruba123
 
ip source-interface radius loopback 0
 
aaa server-group radius "CPPM" host 172.16.10.102
aaa accounting update periodic 5
aaa accounting network start-stop radius server-group "CPPM"
aaa authorization user-role enable download
aaa authentication port-access eap-radius server-group "CPPM"
aaa authentication mac-based chap-radius server-group "CPPM"
 
aaa port-access authenticator 2/3
aaa port-access authenticator 2/3 supplicant-timeout 10
aaa port-access authenticator 2/3 client-limit 10
aaa port-access authenticator active
aaa port-access mac-based 2/3
aaa port-access mac-based 2/3 addr-limit 10

Nota: Verifica los detalles sobre cómo utilizar roles de usuario descargables en el post de Switch Downloadable User Role.

 

https://community.arubanetworks.com/t5/Foro-en-Espa%C3%B1ol/Tutorial-Switch-Downloadable-User-Role-DUR/m-p/384888

 

 Configuración del controlador:

1. Asegurate de tener la VLAN de usuario creada. Si además quieres que tener usuarios con IP dinámica (como ocurrirá en la mayoría de los casos). Asigna una dirección IP a esa VLAN y configura un Relay hacia el servidor DHCP que se esté utilizando. Esto es importante, ya que en el modo aislado el controlador filtra el broadcast/multicast dentro de esta red:

1.jpg2. Define ClearPass como el servidor RADIUS de donde se van a descargar los roles de usuario:

2.jpg

3. El controlador debe configurarse con las credenciales del usuario de lectura que se usa para conectarse al ClearPass y descargar el rol secundario.

3.jpg

Configuración de ClearPass:

  1. Configura el enforcement para el rol de usuario para el controlador. El perfil se está creado utilizando la categoría "Aruba Downloadable Role Enforcement". Luego, se elige la configuración " advanced " y "Next" para configurar el rol descargable.

11.jpg2. Configura el enforcement para el rol de usuario para el switch. La nueva función permite que el rol secundario usado en el controlador, que será utilizado por los clientes tunelados, se descargue al controlador desde ClearPass. Esto elimina efectivamente la necesidad de configurar el rol secundario en los controladores.

12.jpg3. Crea la política de enforcement y el servicio de autenticar para el usuario:

13.jpg

 

Resultado esperado:

Tras conectar un equipo a la red, el switch lanza una autenticación hacia ClearPass. Esto desencadena que se descarguen los roles de usuario tanto en el switch como en el controlador. El tráfico de ese cliente, irá tunelado a través de la red hacia el controlador. Tal como hemos mencionado anteriormente, el switch enviará todo el tráfico del usuario tunelado al controlador, incluyendo broadcast (como ARP o peticiones de DHCP) y multicast.

 

En el switch:

  1. Verifica las VLAN del switch y deberíamos ver solo los VLAN 1 y 1000. El switch no va a tener conocimiento de las VLANs de usuarios. El método UBT asigna una VLAN para los usuarios solo en el controlador.
3810-1# sh vlan
 
 Status and Counters - VLAN Information
 
  Maximum VLANs to support : 256
  Primary VLAN : MGMT-DO_NOT_CHANGE
  Management VLAN :
 
  VLAN ID Name                             | Status     Voice Jumbo
  ------- -------------------------------- + ---------- ----- -----
  1       MGMT-DO_NOT_CHANGE               | Port-based Yes   No
  1000    TUNNELED_NODE_SERVER_RESERVED    | Port-based No    No

2. Verifica el estado del tunneled-node-server y los logs. Podemos ver que tanto el SAC como el Standby-SAC están registrados y que el User Anchor Controller es uno de los controladores.

 

I 04/11/19 22:26:29 05185 tunneled-node: ST1-CMDR: Tunneled Node: Tunnel
            TunneledNodeTnl23 (318768376) is on-line.
I 04/11/19 22:26:29 05185 tunneled-node: ST1-CMDR: Tunneled Node: Tunnel
            TunneledNodeTnl24 (318768377) is on-line.
 3810-1# sh tunneled-node-server state
 
 Local Master Server (LMS) State
 
 LMS Type     IP Address       State        Capability Role
 Primary   :  172.16.10.32     Complete     Per User   Operational Primary
 Secondary :  172.16.10.33     Complete     Per User   Operational Secondary
 
 Switch Anchor Controller (SAC) State
 
               IP Address       Mac Address             State
 SAC         : 172.16.10.32     000b86-b80177           Registered
 Standby-SAC : 172.16.10.33     000b86-b7fe37           Registered
 
 User Anchor Controller (UAC) : 172.16.10.32
 User              Port       VLAN       State       Bucket ID
 2c4138-7fc8ad     2/3        1000       Registered  26
 
 User Anchor Controller (UAC) : 172.16.10.33
 User              Port       VLAN       State       Bucket ID

3. El cliente conectado se coloca en la VLAN 1000 reservada y se asigna el rol de usuario descargado definido en ClearPass.

 

3810-1# sh port-access clients
Downloaded user roles are preceded by *
 
 Port Access Client Status
 
  Port  Client Name   MAC Address       IP Address      User Role         Type  VLAN
  ----- ------------- ----------------- --------------- ----------------- ----- -------------------------------------------------------
  2/3   2c41387fc8ad  2c4138-7fc8ad     172.16.20.100   *Aruba___DUR_V... MAC   1000
3810-1# show tunneled-node-users all
Downloaded user roles are preceded by *
PORT    MAC-ADDRESS     TUNNEL-STATUS   SECONDARY-USERROLE      FAILURE-REASON
2/3     2c4138-7fc8ad   UP              *Aruba_DUR_CTRL_...
3810-1# sh port-access clients detailed
 
 Port Access Client Status Detail
 
  Client Base Details :
   Port            : 2/3                   Authentication Type : mac-based
   Client Status   : authenticated         Session Time        : 1067 seconds
   Client Name     : 2c41387fc8ad          Session Timeout     : 0 seconds
   MAC Address     : 2c4138-7fc8ad
   IP              : 172.16.20.100
 
   Auth Order      : Not Set
   Auth Priority   : Not Set
   LMA Fallback    : Disabled
 
Downloaded user roles are preceded by *
 
 User Role Information
 
   Name                              : *Aruba___DUR_VSA-3027-7
   Type                              : downloaded
   Reauthentication Period (seconds) : 0
   Cached Reauth Period (seconds)    : 0
   Logoff Period (seconds)           : 300
   Untagged VLAN                     : 1000
   Tagged VLANs                      :
   Captive Portal Profile            :
   Policy                            :
   Tunnelednode Server Redirect      : Enabled
   Secondary Role Name               : *VSA
   Device Attributes                 : Disabled
 3810-1# show tunneled-node-server
 Tunneled Node Server Information
 
  State                        : Enabled
  Primary Controller           : 172.16.10.32
  Backup Controller            : 172.16.10.33
  Keepalive Interval (seconds) : 8
  Mode                         : Role-based
  Vlan-Mode                    : vlan-extend-disable
  Reserved-Vlan                : 1000

En los controladores:

 

  1. En el siguiente ejemplo se muestra que MC2 es el Active Switch Anchor Controller (A-SAC).
(MC1-Aruba7205) #show tunneled-node-mgr tunneled-nodes
 
Tunneled Node Table Entries
---------------------------
Flags: A - Active  Switch Anchor Controller(A-SAC),
       S - Standby Switch Anchor Controller(S-SAC),
       U - Active  User   Anchor Controller(A-UAC),
       X - Standby User   Anchor Controller(S-UAC),
       C - Convert BC & MC into Unicast,
  
Name    Tunneled Node Mac  IP Address    Age(d:h:m)  Key   Tunnel Index  SAC IP Address  S-SAC IP Address  A-Users  S-Users  Flags
----    -----------------  ----------    ----------  ---   ------------  --------------  ----------------  -------  -------  -----
3810-1  00:fd:45:72:44:45  172.16.10.22  00:00:05    deed  tunnel 12     172.16.10.33    172.16.10.32      1        0        SUC
(MC2_Aruba7205) #show tunneled-node-mgr tunneled-nodes
 
Tunneled Node Table Entries
---------------------------
 
Flags: A - Active  Switch Anchor Controller(A-SAC),
       S - Standby Switch Anchor Controller(S-SAC),
       U - Active  User   Anchor Controller(A-UAC),
       X - Standby User   Anchor Controller(S-UAC),
       C - Convert BC & MC into Unicast,
 
 
Name    Tunneled Node Mac  IP Address    Age(d:h:m)  Key   Tunnel Index  SAC IP Address  S-SAC IP Address  A-Users  S-Users  Flags
----    -----------------  ----------    ----------  ---   ------------  --------------  ----------------  -------  -------  -----
3810-1  00:fd:45:72:44:45  172.16.10.22  00:01:06    deed  tunnel 10     172.16.10.33    172.16.10.32      0        1        AXC

2. Los túneles creados por el usuario y el switch se pueden verificar en la tabla de túneles.

(MC1-Aruba7205) #show datapath tunnel table 
Datapath Tunnel Table Entries
-----------------------------
 
Flags: E - Ether encap,  I - Wi-Fi encap,  R - Wired tunnel,  F - IP fragment OK
       W - WEP,  K - TKIP,  A - AESCCM,  G - AESGCM,  M - no mcast src filtering
       S - Single encrypt,  U - Untagged,  X - Tunneled node,  1(cert-id) - 802.1X Term-PEAP
       2(cert-id) - 802.1X Term-TLS,  T - Trusted,  L - No looping, d - Drop Bcast/Unknown Mcast,
       D - Decrypt tunnel,  a - Reduce ARP packets in the air, e - EAPOL only
       C - Prohibit new calls, P - Permanent, m - Convert multicast, B - Bgw peer uplink tunnel
       n - Convert RAs to unicast(VLAN Pooling/L3 Mobility enabled), s - Split tunnel
       V - enforce user vlan(open clients only), x - Striping IP, z - Datazone
       H - Standby (HA-Lite), u - Cluster UAC tunnel, b - Active AAC tunnel, t - Cluster s-AAC tunnel
       c - IP Compression, g - PAN GlobalProtect Tunnel, w - Tunneled Node Heartbeat
       B - Cluster A-SAC Mcast, G - Cluster S-SAC Mcast, l - Tunneled Node user tunnel
       f - Static GRE Tunnels, k- keepalive enabled, Y - Convert BC/MC to Unicast
 
 #          Source       Destination    Prt  Type  MTU   VLAN       Acls                    BSSID          Decaps     Encaps   Heartbeats Flags            EncapKBytes  DecapKBytes
------  --------------  --------------  ---  ----  ----  ---- -----------------------  ----------------- ---------- ---------- ---------- --------------- ------------- -----------
!
19      172.16.10.32    172.16.10.22    47   63    1500  0    0   0    0    0    0     00:fd:45:72:44:45        179       1454          0 EUPRlY
12      172.16.10.32    172.16.10.22    47   deed  1500  0    0   0    0    0    0     00:fd:45:72:44:45        395          0        395 TESw
!
(MC2_Aruba7205) #show datapath tunnel table | include 172.16.10.22
16      172.16.10.33    172.16.10.22    47   63    1500  0    0   0    0    0    0     00:fd:45:72:44:45          0          0          0 EUPRlY
10      172.16.10.33    172.16.10.22    47   deed  1500  0    0   0    0    0    0     00:fd:45:72:44:45       4070          0       4070 TESw
(MC1-Aruba7205) #show tunneled-node-mgr tunneled-users
 
Tunneled User Table Entries
---------------------------
 
Flags: U - User Anchor Controller(UAC),
       S - Standby User Anchor Controller(S-UAC),
       T - Tagged VLAN,
       A - Authenticated on Tunneled Node,
       C - Convert BC & MC into Unicast,
 
 
User          Tunneled User Mac  Tunneled Node Mac  Vlan     UAC IP Address  Key  Tunnel Index  Flags
----          -----------------  -----------------  ----     --------------  ---  ------------  -----
2c41387fc8ad  2c:41:38:7f:c8:ad  00:fd:45:72:44:45  1000(20)  172.16.10.32    63   tunnel 19     UAC
(MC2_Aruba7205) #show tunneled-node-mgr tunneled-users
 
Tunneled User Table Entries
---------------------------
 
Flags: U - User Anchor Controller(UAC),
       S - Standby User Anchor Controller(S-UAC),
       T - Tagged VLAN,
       A - Authenticated on Tunneled Node,
       C - Convert BC & MC into Unicast,
 
 
User          Tunneled User Mac  Tunneled Node Mac  Vlan     UAC IP Address  Key  Tunnel Index  Flags
----          -----------------  -----------------  ----     --------------  ---  ------------  -----
2c41387fc8ad  2c:41:38:7f:c8:ad  00:fd:45:72:44:45  1000(20)  172.16.10.32    63   tunnel 16     SAC

3. El usuario se coloca en la VLAN y el rol de usuario descargados desde ClearPass. 

(MC1-Aruba7205) #show user
This operation can take a while depending on number of users. Please be patient ....
 
Users
-----
    IP              MAC            Name         Role                           Age(d:h:m)  Auth               VPN link  AP name       Roaming   Essid/Bssid/Phy                  Profile                Forward mode  Type  Host Name  User Type
----------     ------------       ------        ----                           ----------  ----               --------  -------       -------   ---------------                  -------                ------------  ----  ---------  ---------
172.16.20.100  2c:41:38:7f:c8:ad  2c41387fc8ad  Aruba_DUR_CTRL-3029-6  00:00:16    Tunneled-User-MAC            172.16.10.22  Tunneled  tunnel 19/00:fd:45:72:44:45/2/3  default-tunneled-user  tunnel                         TUNNELED USER
 
User Entries: 1/1
 Curr/**bleep** Alloc:2/1556 Free:0/1554 Dyn:2 AllocErr:0 FreeErr:0

4. Se pueden ver detalles del rol de usuario que se ha descargado de ClearPass en el controlador:

 

(MC1-Aruba7205) #show rights downloaded-user-roles
 
RoleTable
---------
Name                           ACL  Bandwidth                  ACL List                                                                        Type
----                           ---  ---------                  --------                                                                        ----
Aruba_DUR_CTRL-3029-6          105  Up: No Limit,Dn: No Limit  global-sacl/,apprf-aruba_dur_ctrl-3029-6-sacl/,user-allowall-673d8d35/          System (downloaded, not editable)
UBT_2_controller-3025-2        86   Up: No Limit,Dn: No Limit  global-sacl/,apprf-ubt_2_controller-3025-2-sacl/                                System (downloaded, not editable)
(MC1-Aruba7205) #show rights Aruba_DUR_CTRL-3029-6
 
Valid = 'Yes'
CleanedUp = 'No'
Derived Role = 'Aruba_DUR_CTRL-3029-6'
 Up BW:No Limit   Down BW:No Limit
 L2TP Pool = default-l2tp-pool
 PPTP Pool = default-pptp-pool
 Number of users referencing it = 2
 Assigned VLAN = 20
 Periodic reauthentication: Disabled
 DPI Classification: Enabled
 Youtube education: Disabled
 Web Content Classification: Enabled
 IP-Classification Enforcement: Enabled
 ACL Number = 105/0
 Openflow: Enabled
 Max Sessions = 65535
 
 Check CP Profile for Accounting = TRUE
 
Application Exception List
--------------------------
Name  Type
----  ----
 
Application BW-Contract List
----------------------------
Name  Type  BW Contract  Id  Direction
----  ----  -----------  --  ---------
 
access-list List
----------------
Position  Name                                      Type     Location
--------  ----                                      ----     --------
1         global-sacl                               session
2         apprf-aruba_dur_ctrl-3029-6-sacl          session
3         user-allowall-673d8d35                    session
 
global-sacl
-----------
Priority  Source  Destination  Service  Application  Action  TimeRange  Log  Expired  Queue  TOS  8021P  Blacklist  Mirror  DisScan  IPv4/6  Contract
--------  ------  -----------  -------  -----------  ------  ---------  ---  -------  -----  ---  -----  ---------  ------  -------  ------  --------
apprf-aruba_dur_ctrl-3029-6-sacl
----------------------------------------
Priority  Source  Destination  Service  Application  Action  TimeRange  Log  Expired  Queue  TOS  8021P  Blacklist  Mirror  DisScan  IPv4/6  Contract
--------  ------  -----------  -------  -----------  ------  ---------  ---  -------  -----  ---  -----  ---------  ------  -------  ------  --------
user-allowall-673d8d35
----------------------
Priority  Source  Destination  Service  Application  Action  TimeRange  Log  Expired  Queue  TOS  8021P  Blacklist  Mirror  DisScan  IPv4/6  Contract
--------  ------  -----------  -------  -----------  ------  ---------  ---  -------  -----  ---  -----  ---------  ------  -------  ------  --------
1         any     any          any                   permit                           Low                                            4
 
Expired Policies (due to time constraints) = 0

Una vista similar se puede obtener a través de la interfaz gráfica del MM. En la GUI de Mobility Master: 

 

MM.jpg

 

 

 

 

 

 

 

Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: