componentes de la maqueta - home - airheads …€¦ · web viewcapturas de configuración en cppm3...
TRANSCRIPT
El documento tiene por objetivo plantear una demo de un switch Aruba OS, y junto con las plataformas de Gestión y Control de acceso, evidenciar características y diferenciadores de la arquitectura Mobile First
No estaremos desarrollando aquí validaciones respecto de otras características de base que suelen ser requeridas en este tipo de homologaciones, como ser
Spanning Tree, LACP, QoS, SmartRate, entre otras.
ContentsComponentes de la maqueta................................................................................................................1
AAA Tacacs+ con niveles de privilegios..................................................................................................2
Script de configuración en AOS SW...................................................................................................2
Capturas de configuración en CPPM..................................................................................................3
AAA de usuarios y dispositivos mediante Roles Descargables...............................................................5
Script de configuración en AOS SW...................................................................................................5
Capturas de configuración en CPPM..................................................................................................6
Portales Cautivos en AOS SW................................................................................................................8
Script de configuración en AOS SW...................................................................................................9
Capturas de configuración en CPPM..................................................................................................9
Controladora – Tunnel Node...............................................................................................................12
Definición de servicios en Clearpass................................................................................................12
Definición de roles en Controladora................................................................................................15
Visualización de clientes conectados y tráfico cursado...................................................................16
Monitoreo y Gestion con Aruba Airwave............................................................................................17
Script de configuración en AOS SW.................................................................................................17
Capturas de configuración en Airwave............................................................................................18
Templates en Airwave.....................................................................................................................20
ZTP en Airwave................................................................................................................................21
Audit de configuraciónes.................................................................................................................27
Upgrade de Firmware en Airwave...................................................................................................27
Componentes de la maquetaPara llevar a cabo estas demostraciones se deberá contar con la infraestructura detallada a continuación
AAA Tacacs+ con niveles de privilegios
Objetivo: Validar las capacidades de gestión AAA de Clearpass con el propio AOS SW
Validación: Se crearán 2 niveles, Administrador RW y Operador RO, se ingresará mediante SSH a la CLI del Switch con ambos usuarios verificando las restricciones correspondientes al caso RO Vs RW
Prerequisitos:
- Tener al Switch AOS SW registrado como NAD en el CPPM- Tener creados usuarios y grupos en AD para poder demostrar acceso RW y acceso RO de
acuerdo al grupo de AD- Tener al CPPM unido al dominio AD y al AD como fuente de Autenticación y Autorización
Script de configuración en AOS SW
tacacs-server host X.X.X.X key XXXXXXXXXXaaa accounting commands stop-only tacacsaaa accounting exec start-stop tacacsaaa accounting system stop-only tacacsaaa authentication login privilege-modeaaa authentication console login tacacs
aaa authentication console enable tacacsaaa authentication telnet login tacacsaaa authentication telnet enable tacacsaaa authentication ssh login tacacsaaa authentication ssh enable tacacs
Capturas de configuración en CPPMServicio
Genero una política para ofrecer accesos RO o RW basado en grupos de AD
Genero los perfiles de RO y RW
AAA de usuarios y dispositivos mediante Roles DescargablesObjetivo: Autenticar, Perfilar y aplicar políticas de contexto a usuarios y dispositivos en la red autenticando mediante 802.1X o en su defecto, mediante Mac Address. La aplicación de políticas mediante roles descargables, permite centralizar la creación de dichas políticas en la plataforma de control de acceso, Aruba Clearpass, y de esta forma facilitar las modificaciones desde un punto central, sin residir configuraciones distribuidas en cada switch
Validación: Conexión de múltiples dispositivos utilizando los esquemas de acceso disponibles, validando roles de acceso otorgados y eventos de autenticación
Prerequisitos:
- Tener al Switch AOS SW registrado como NAD en el CPPM- Disponer de usuarios y grupos en AD para demostrar distintos roles de acceso- Dispositivos periféricos, Cámaras, teléfonos, APs para la demo- Utilizar CPPM 6.7.8 o superior, y AOS SW 16.08 o superior- Tener configurado NTP en el switch
Script de configuración en AOS SWDefinicion de Radius
radius-server host 192.168.200.200 key XXXXXXXXXX
Soporte de CoA
radius-server host 192.168.200.200 dyn-authorization
Usuario de consulta para Roles descargables
radius-server cppm identity "dur-admin"
Definición de NTP
timesync ntpntp unicastntp server 192.168.200.204ntp enable
Grupo Server Radius
aaa server-group radius "clearpass" host 192.168.200.200Habilito Roles descargablesaaa authorization user-role enable downloadHabilito 802.1x y Mac-Authaaa authentication port-access eap-radius server-group "clearpass"aaa authentication mac-based chap-radius server-group "clearpass"Config de puertos para 802.1Xaaa port-access authenticator 3-5aaa port-access authenticator 3 client-limit 5aaa port-access authenticator 4 client-limit 5aaa port-access authenticator 5 client-limit 5aaa port-access authenticator 6 client-limit 5aaa port-access authenticator activeConfig de puertos para Mac-Authaaa port-access mac-based 3-5aaa port-access mac-based 3 addr-limit 5aaa port-access mac-based 4 addr-limit 5aaa port-access mac-based 5 addr-limit 5aaa port-access mac-based 6 addr-limit 5
Capturas de configuración en CPPMDebemos definir un usuario administrativo del tipo read only para que el switch pueda leer los perfiles
Veamos ahora la creación de servicios
Servicio 802.1x
Si revisamos los perfiles encontraremos la definición de los parámetros que serán enviados por el rol descargable
Tanto Vlan, ACL, tiempo de sesión, son parámetros que forman parte de este rol y serán aplicados al switch para controlar el acceso en puertos, de acuerdo a la política planteada.
Un display de clientes conectados en el switch se verá de la siguiente forma
Portales Cautivos en AOS SWObjetivo: Autenticar a un usuario / dispositivo con credenciales de invitado
Validación: Conexión de un dispositivo del tipo PC para autenticar mediante credenciales de invitado en un Portal Cautivo
Prerequisitos:
- Tener al Switch AOS SW registrado como NAD en el CPPM
Script de configuración en AOS SWA la configuración de Roles Descargables ya efectuada en el punto anterior, se deberá adicionar lo siguiente
Habilito Portal Cautivo
aaa authentication captive-portal enableaaa authentication captive-portal profile "portal-cppm" url "https://clearpass.arubalab.net/guest/profile.php"
Capturas de configuración en CPPMSe deberán crear 2 servicios
La Lógica de funcionamiento es la siguiente, el dispositivo al conectarse al puerto acciona el servicio de Mac-Auth, y obtiene el rol de perfilamiento. Con este rol se hace el fingerprinting del dispositivo y se lo redirecciona al Portal Cautivo
El usuario ingresa sus credenciales, y mediante el servicio de WebAuth estas credenciales se validan, en caso de ser correctas, este servicio hace un update del endpoint en la DB de clearpass y mediante un CoA reconecta al dispositivo a la red, en este caso, ya como endpoint conocido vuelve a disparar el servicio de Mac-Auth y obtiene el rol de Invitado, veamos los 2 servicios
Servicio Webauth:
Servicio Mac-Auth
Habilitamos aquí una acción de CoA en la etapa de perfilamiento, para que un dispositivo pueda ser redirigido a otra vlan, una vez perfilado, y pueda tomar IP nuevamente, gracias a la acción CoA
Un ejemplo del rol inicial para perfilar y redireccionar al portal cautivo, el que se usa por defecto en la política de mac-auth de arriba
Luego cualquier otro rol específico para un dispositivo se puede implementar como se muestra a continuación
Controladora – Tunnel NodeObjetivo: Evidenciar beneficios de centralizar políticas y tráfico Wlan y Wired en la controladora, las ventajas son en términos de la unificación de políticas, la granularidad con la que se pueden aplicar estas políticas al tráfico cableado, y también la visibilidad que este método da sobre el tráfico de la red.
Validación: Se conectan diversos dispositivos mediante Mac-Auth o 802.1X y se verifica el estado de la conexión desde la controladora y desde Aruba Airwave
Prerequisitos:
- Controladoras físicas en AOS 8.x con Mobility Master (virtual o appliance)- Aruba Clearpass- Switches Aruba OS familias 2930 / 3810 / 5400 con versiones 16.05 en adelante
Definición de servicios en ClearpassEncontraremos en este ejemplo, 2 servicios para las conexiones tunelizadas, uno para autenticación 802.1X y el otro, para cualquier otro dispositivo que autentique mediante Mac-Auth + perfilamiento.
En detalle cada uno de ellos
Verificando alguno de los enforcement profiles asignados por la política, veremos que se trata de roles que deben existir en la controladora, para poder asignar atributos de filtrado y asignación de vlan entre otros
Definición de roles en Controladora
Si vemos por ejemplo el atributo de vlan
En resumen, este rol de Inges, aplica una lista de acceso para permitir todo, y asigna la vlan 40 una vez otorgado.
La configuración desde el punto de vista del switch es muy simple, como se puede ver a continuación
Como requisito, debo asignar los puertos que quiero tunelizar a una vlan que no tenga IP en el switch, entonces en el ejemplo los asignaremos a la vlan 10
vlan 10 name "camaras" untagged 7-8 tagged 2 no ip address exit
Luego resta asignar las IPs contra las que se deberá tunelizar el tráfico y por último, asignar a modo túnel las interfaces que queremos participen en este escenario
Tunneled-node-server controller-ip 192.168.200.234 backup-controller-ip 192.168.200.235 exitinterface 7 tunneled-node-server exitinterface 8 tunneled-node-server exit
Visualización de clientes conectados y tráfico cursadoPodemos ver esto desde el Mobility Master
Pero también consolidar a estos clientes con otros eventuales clientes cableados e inalámbricos, en Aruba Airwave
Monitoreo y Gestion con Aruba AirwaveObjetivo: Evidenciar beneficios de visibilidad y gestión unificada, Wlan y Wired mediante la plataforma Aruba Airwave,
Validación: Verificar vistas de funcionamiento del eqipo en Airwave, visualización de clientes conectados, repositorios de configuraciónes, herramientas de audit.
Verificar procedimiento de recovery de config mediante restore de backup preexistente
Script de configuración en AOS SWPara agregar un AOS SW en Airwave, bastará con cargar en el switch una línea de código que indique grupo carpeta e IP del servidor de Airwave donde este equipo se aprovisionará
amp-server ip 192.168.200.201 group "ArubaOS-SW" folder "2930F" secret XXXXXXXXXX
Si el equipo es Nuevo en Airwave aparecerá en el contador de NEW DEVICES, y desde allí debemos aprovisionarlo hacia el grupo y carpeta ya preseleccionados, en modo solo lectura + updates de Firmware
En caso de que ya exista en la Base de dispositivos, el equipo figurará en estados UP o DOWN según corresponda
Si el equipo ya está configurado, y tiene una comunidad SNMP / credenciales de acceso para SSH, entonces podremos configurar estos parámetros en Airwave para dar gestión completa al Switch desde la plataforma
Capturas de configuración en Airwave
Seleccionamos la opción Manage del switch y allí podremos modificar credenciales de acceso / comunidad SNMP, y también debemos cambiar el modo de Management de Monitor only a Manage Read Write
Así el switch ya operativo tiene una vista de Management como la siguiente
Aquí tendremos visualización de estado general, performance, puertos, PoE, Vlans, entre otros
Templates en AirwaveObjetivo, crear un template para un grupo de dispositivos para disponer de una configuración de base que ayude con el proceso de ZTP
Una vez que defino la configuración base de un switch, puedo tomar esa config del mismo switch y almacenarla como template
Capturas de configuración en Airwave
Entonces, la carga de un template desde un equipo ya configurado sería seleccionando el equipo de la captura a continuación
El template ya importado luce como se muestra a continuación
Este template estará disponible para los equipos que se aprovisionen al grupo de trabajo donde reside, y que coincidan en marca y modelo con los parámetros del template
ZTP en AirwaveObjetivo: configurar y evidenciar un proceso de ZTP para un AOS SW obteniendo una configuración de base de acuerdo al template asignado al grupo de trabajo
Validación: borrar la configuración del switch, y los backups preexistentes para verificar la aplicación del template
Prerequisitos:
- Domain Controller con posibilidad de crear un DHCP Pool con opciones particulares
Vamos a utilizar las opciones de DHCP del AD para indicar al switch la dirección del servidor Airwave, así como el grupo y carpeta de aprovisionamiento. De esta forma, el AOS SW en su proceso de inicio obtiene la información de aprovisionamiento, y el template preparado para dicho grupo / carpeta
Una vez iniciado el AOS SW mediante el template, se podrán reconfigurar los parámetros específicos del equipo y ya hacer un backup de su configuración final
Capturas de configuración DHCP en el AD
Trabajaremos modificando las opciones 43 y 60 del pool DHCP dedicado a este startup de ZTP
Si vemos en detalle cada una de las opciones
En la Opcion 43 se configura grupo, carpeta, IP Address del Servidor Airwave, y clave compartida para aprovisionar al Switch, en nuestro caso
ArubaOS-SW:2930F,192.168.200.201,aruba123
Los parámetros se ven como a continuación
En la opción 60 debemos definir el siguiente string
Para más detalle de configuración pueden visualizar el documento de Aruba OS Switch Management & configuration Guide, capitulo 14, Configuración ZTP
De esta forma el proceso ZTP funcionaría como se muestra a continuación
Verificando en Airwave, en el grupo de trabajo de este switch encontramos lo siguiente
Aceptamos la opción de reparar, aguardamos unos instantes y verificamos la config en el switch
Actualizo credenciales de acceso en Airwave, ya que quedaron configuradas por defecto para arrancar desde ZTP
Hago un nuevo backup para sincronizar la config con su baseline anterior
Asi veo el repositorio después de efectuar el nuevo backup
El equipo ha recuperado su config mediante un proceso ZTP
Este mismo proceso se puede llevar a cabo aun sin tener un backup de configuración anterior, en ese caso se usará el template de config y luego debemos modificar las variables necesarias, a saber, IP address, Hostname, SNMP location.
Esto se puede hacer de forma manual accediendo al equipo ya en la red, en el segmento asignado al proceso de ZTP.
Audit de configuraciónes
Algo que también es muy útil para los administradores de la red es poder verificar cambios en la configuración de un equipo, respecto de un backup anterior, así se vería una diferencia de configs en Airwave
Seleccionamos las 2 configuraciones que queremos comparar y si hubiera diferencias aparecerán como a continuación
Upgrade de Firmware en Airwave
Objetivo: Centralizar la distribución de un nuevo AOS SW desde Airwave hacia múltiples switches
Validación: Ejecutar el AOS SW upgrade al switch de la maqueta
Para esto debemos subir primero la/las imágenes de software que necesitamos disponibilizar a los equipos
El Repositorio de imágenes es el siguiente
Para hacer un update podemos plantearlo en términos de Grupo de dispositivos, en ese caso accedemos mediante el grupo, opción Firmware
O de forma individual, desde el panel Manage del dispositivo al que quiero cargarle una nueva imagen
