Norsk Forum

Reply
Highlighted
Frequent Contributor II

Reauthentication på Aruba-kontrollere

Vi vurderer å skru på reauthentication på Aruba-kontrollerne våre med 1800 sekunder som intervall. Er det noen som bruker dette i dag og som kan si noe om hvordan det påvirker ytelsen på kontrollerne og i ClearPass? Vi har ca. 26000 samtidige klienter i det trådløse nettet fordelt på 44 kontrollere (hovedsaklig 7210 som lokale kontrollere). Vi har tre ClearPass-servere i cluster.

Highlighted
Aruba Employee

Re: Reauthentication på Aruba-kontrollere

Hei,

 

Takk for at du gjør oss oppmerksom på dette. Som avtalt på mail, vi tar en titt sammen!

 

Mvh.

 

-Anders

Highlighted
MVP

Re: Reauthentication på Aruba-kontrollere

Hei AFK!

Av ren nysgjerrighet - hvorfor tvinge gjennom reautentisering hvert 30 minutt? Det høres voldsomt ut for et 802.1x nett. Jeg har ikke gjennomført det på så store lokasjoner, men er man i tvil ifht. kapasitet er det jo noen ting å tenke på.

 

1. Dagens status og kapasitet på hhv. Controllere og Clearpass

2. Vurder servicene på Clearpass og om disse kan optimaliseres

 

Dere kan ta en vurdering i perioden 8-10 og kan jo på den måten få et inntrykk av hvordan løsningen har det. Har dere Airwave kan jo umiddelbart seg på historiske data for CPU/Memory på boksene.

 


Regards
John Solberg

-ACMX #316 :: ACCX #902 :: ACSA
Aruba Partner Ambassador
Intelecom/NetNordic - Norway
----------------------------
Remember to Kudo if a post helped you! || Problem Solved? Click "Accept as Solution" in a post!
Highlighted
Frequent Contributor II

Re: Reauthentication på Aruba-kontrollere

Grunnen er som følger: vi prøver å få til en integrasjon mellom Aruba og Palo Alto, slik at vi får etablert IP-user-mapping på brannmuren. Vi har prøvd direkte integrasjon fra ClearPass (to år uten at det har virket stabilt) og fra kontrollerne (fungerer, men vi får ikke med domenenavn for BYOD-enheter), så nå tester vi integrasjon med Syslog. Det ser ut til å fungere stabilt, men user-ID på Palo Alto har en timeout på 45 minutter og kontrollerne sender ikke automatisk oppdatering til Palo Alto når vi bruker Syslog. Så ved å skru på reauth med for eksempel 30 minutters intervall så vil info på Palo Alto bli oppdatert og ikke forsvinne pga. timeout. Så vidt jeg har forstått så er reauthentication usynlig for brukerne.

 

Vi har som sagt 7210-kontrollere på de fleste lokasjonene, så jeg er ikke bekymret for ytelsen på dem. Når det gjelder ClearPass så har vi tre servere i cluster som kjører på VMware, så det er først og fremst CPU/minne på dem jeg tenker på.

 

Hvis det ikke kommer andre innspill så skrur vi på reauth for en og en lokasjon mens vi følger med på ytelsen.

 

Highlighted
MVP

Re: Reauthentication på Aruba-kontrollere

Skjønner..

Ja det har skjedd endel med integrasjonene både på Controller-PAN, Clearpass->PAN og PAN software siden 2015, men antar dere har fulgt med og gjort endringer etterhvert som det har blitt tilgjengelig.

 

Aktivere på en og en lokasjon høres ut som en god ide. Lykke til - og fortell oss gjerne om resultatet :)

 


Regards
John Solberg

-ACMX #316 :: ACCX #902 :: ACSA
Aruba Partner Ambassador
Intelecom/NetNordic - Norway
----------------------------
Remember to Kudo if a post helped you! || Problem Solved? Click "Accept as Solution" in a post!
Highlighted
Frequent Contributor II

Re: Reauthentication på Aruba-kontrollere

En oppdatering:

vi har aktivert reautentisering for omtrent halvparten av klientene våre, og foreløpig har det gått uten problemer. For kontrollerne sin del ser jeg ikke noe endring i CPU/minne i det hele tatt, og på de to ClearPass-nodene som gjør 802.1x for det trådløse nettet så er det noen få prosent økning i CPU.

Highlighted
Frequent Contributor II

Re: Reauthentication på Aruba-kontrollere

Konklusjon: dette gikk veldig bra. Jeg ser noen få prosent økning i CPU-forbruk på de to subscriberne som gjør 802.1x-autentisering, ellers ingen forskjell.

Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: