Aruba Clear Pass MAC验证

这不是一篇完成的网络设备与Aruba Clear Pass的MAC验证的配置文档。因为没有把网络设备的配置写进去，但在使用验证的时候还是需要把这些配置做出来，文档主是要记录我怎么使用MAC验证，并在MAC设置过期后不能再重新验证。看起来不难，但确实让我想了一段时间。

实现目标

网络接入使用Aruba ClearPass为Radius验证服务器，验证方式使用MAC地址验证。验证库使用Clear Pass的Endpoints数据库。现需要实现，在Endpoints上将MAC设置过期时间后，此MAC将不能继续验证。

实现方法

• 网络设备配置接入验证为MAC验证，验证服务器指向Clear Pass。
• 在Clear Pass上的Endpoints库上添加MAC地址，设置过期时间。
• 配置MAC验证的Service。

操作步骤

省略无线设备的配置步骤……

配置Identity的Roles和Enforcement 的Profiles。在CPPM上添加基本两个内容，按路径Identity à Roles à Add，按如下图添加“mac expiry role”，然后保存。

按路径Enforcement  --> Profiles --> Add，按下图添加“lab3-mac-authen-profile”，然后保存。 配置Identity的Role Mappings和Enforcement Policies。按路Identify à Role Mappings à Add，添加“mac expiry mapping”，在Mapping Rules下添加如下conditions内容

Type	Name	Operator	Value
Authorization:[Endpoints Repository]	Status	EQUALS	Known
Authorizaiton:[Time Source]	Now DT	LESS_THAN_OR_EQUALS	%{Endpoint:MAC-Auth Expiry}
Authorization:[Endpoints Repository]	Unique-Device-Count	EXISTS

配置示例如下图

 调用了Role后的示例如下图

 添加Enforcement Policies。按路径Enforcement à Enforcement Policies à Add，添加“mac expiry policy”，在Conditions栏做如下图所示配置，即调用之前配置的Role Name

 保存后的最终示意图如下所示

配置Services，并调用Role Mapping和Enforcement Policy。按路径Configuration à Services à Add，如下图所示，添加一个Type为MAC Authentication的Service 模板，同时在More Option里选中“Authorization”。注：Service Rule是为了让客户端在接入的时候使用哪种验证条件才能命中，当然后面的role mapping也能区分。

 在下一步内的Authentication做如下选择

Methods：Allow All MAC AUTH

Sources: Endpoints Repository, Time Source

选中后选择下一步，会看到Authorization已经做好了选择，这里可以不去做其它修改。

 

 

  在跳转到Roles的标签里时，在Role Mapping Policy下选择前面已经创建好的“mac expiry mapping”，完成的示意图如下。

 在跳转到Enforcement页后，选择前面已经创建的“mac expiry policy”，完成示意图如下。

 

做完以上所有的配置之后，保存。这样一个关于使用有线和无线的验证的Service就完成了。

接入验证测试

上图是使用无线客户端在连接无线的时候验证后的access tracer，其中在input里能看到。Data-time 和endpoint的MAC-Auth Expiry时间

 

 注：测试前要在Configuration à Identity à Endpoints下添加MAC信息，并在属性里添加MAC-Auth Expiry值