这不是一篇完成的网络设备与Aruba Clear Pass的MAC验证的配置文档。因为没有把网络设备的配置写进去,但在使用验证的时候还是需要把这些配置做出来,文档主是要记录我怎么使用MAC验证,并在MAC设置过期后不能再重新验证。看起来不难,但确实让我想了一段时间。
实现目标
网络接入使用Aruba ClearPass为Radius验证服务器,验证方式使用MAC地址验证。验证库使用Clear Pass的Endpoints数据库。现需要实现,在Endpoints上将MAC设置过期时间后,此MAC将不能继续验证。
实现方法
- 网络设备配置接入验证为MAC验证,验证服务器指向Clear Pass。
- 在Clear Pass上的Endpoints库上添加MAC地址,设置过期时间。
- 配置MAC验证的Service。
操作步骤
省略无线设备的配置步骤……
配置Identity的Roles和Enforcement 的Profiles。在CPPM上添加基本两个内容,按路径Identity à Roles à Add,按如下图添加“mac expiry role”,然后保存。
按路径Enforcement --> Profiles --> Add,按下图添加“lab3-mac-authen-profile”,然后保存。 配置Identity的Role Mappings和Enforcement Policies。按路Identify à Role Mappings à Add,添加“mac expiry mapping”,在Mapping Rules下添加如下conditions内容
Type | Name | Operator | Value |
Authorization:[Endpoints Repository] | Status | EQUALS | Known |
Authorizaiton:[Time Source] | Now DT | LESS_THAN_OR_EQUALS | %{Endpoint:MAC-Auth Expiry} |
Authorization:[Endpoints Repository] | Unique-Device-Count | EXISTS |
配置示例如下图
调用了Role后的示例如下图
添加Enforcement Policies。按路径Enforcement à Enforcement Policies à Add,添加“mac expiry policy”,在Conditions栏做如下图所示配置,即调用之前配置的Role Name
保存后的最终示意图如下所示
配置Services,并调用Role Mapping和Enforcement Policy。按路径Configuration à Services à Add,如下图所示,添加一个Type为MAC Authentication的Service 模板,同时在More Option里选中“Authorization”。注:Service Rule是为了让客户端在接入的时候使用哪种验证条件才能命中,当然后面的role mapping也能区分。
在下一步内的Authentication做如下选择
Methods:Allow All MAC AUTH
Sources: Endpoints Repository, Time Source
选中后选择下一步,会看到Authorization已经做好了选择,这里可以不去做其它修改。
在跳转到Roles的标签里时,在Role Mapping Policy下选择前面已经创建好的“mac expiry mapping”,完成的示意图如下。
在跳转到Enforcement页后,选择前面已经创建的“mac expiry policy”,完成示意图如下。
做完以上所有的配置之后,保存。这样一个关于使用有线和无线的验证的Service就完成了。
接入验证测试
上图是使用无线客户端在连接无线的时候验证后的access tracer,其中在input里能看到。Data-time 和endpoint的MAC-Auth Expiry时间
注:测试前要在Configuration à Identity à Endpoints下添加MAC信息,并在属性里添加MAC-Auth Expiry值