Aruba OnConnect 方案部署

隨著技術不斷發展，各種IOT終端也開始匯聚到網路中，隨之而來帶給管理員的問題就是需要透視到網路中的接入設備，與此同時在不影響接入的情況下，實現無感的控制。在這樣的需求背景下，Aruba 推出了OnConnect 方案；

OnConnect的方案由ARUBAOS Switch 以及CPPM組成，在該方案中，當任意終端接入到設備的埠之後，那麼交換機會利用SNMP TRAP向CPPM 發送上線信息，CPPM通過SNMP TRAP 及終端進行指紋識別，最後經過用戶預設的策略對接入的設備自動實現控制。該方案的特點是全部基於SNMP 技術實現，因此埠不需要啟mac , portal 設置是1x 認證即可完成。

對於網路中存在中大量不同操作系統的設備特別適用，如無線AP規劃採用ARUBA 品牌，接入由印表機、PC、IP 話機；那麼可以在這樣的情況下對CPPM 進行策略定製，通過對終端指紋的判定，非指定的操作系統是無法接入的。達到的效果是，如果終端用戶私自假設家用路由器，那麼當接入到網路中，會被劃分到隔離VLAN，無法使用。接下來將對基於SNMP的OnConnect 方案的配置進行介紹.

註： 推薦交換機版本為16.04 之後， CPPM 為6.6.2 之後才具備onconnect

配置前先對原理圖進行說明：

1.客戶端連接網線之後，啟用了交換機的該埠

2.交換機利用SNMP TRAP 信息發送給CPPM （如果沒有認證記錄，要確保SNMP TRAP是可以通）

3.進行授權源的查詢（通常為CPPM 的endpoint 資料庫）

4.與此同時如果有加域的電腦，那麼可以利用WMI技術向域控發起WMI查詢，查詢終端信息（該步驟為可選）

5.將終端操作系統與強制策略進行匹配，並決定出強制策略中的動作

6.將強制策略中的策略動作進行執行（依靠SNMP 對交換機發出修改指令）

7.交換機對CPPM 進行反饋埠修改後的情況

8.CPPM核對成功，不執行其他策略，允許終端上線

9.終端下線，向CPPM發起信息，通過SNMP修改回預設VLAN

配置過程分為兩大部分，一部分配置交換機，另外一個部分對CPPM 進行配置，如下是交換機的配置：

snmp-servercommunity aruba123 unrestricted

snmp-serverhost 10.201.35.243 community aruba123 trap-level all

snmp-serverenable traps mac-notify

snmp-serverenable traps mac-notify mac-move

snmp-serverenable traps mac-count-notify

interface1-10

mac-notify traps learned

mac-notify traps removed

【設置哪些埠將通過SNMP traps 發送埠的UP,DOWN】

vlan1

ip helper-address x.x.x.x

【注意，假設默認埠為VLAN 1，請在默認vlan 1 下配置dhcp relay,幫助CPPM 進行指紋識別】

password manager user-name admin plaintext admin123

【修改管理員密碼】

隨後開始進行CPPM 的配置

1）配置NAS客戶端

進入到CPPM 策略中心，然後選擇配置--網路--設備--添加設備

為設備取名、寫入IP及RADIUS KEY

配置SNMP讀取

這裡的配置必須與交換機中的配置對應，建議不要採用默認的public , 設置一個相對複雜的秘鑰

配置SNMP 寫入

注意，需要在配置SNMP community 參數的時候配置為可讀寫，之前配置已附加

配置CLI 登陸的賬號

配置onconnect 策略

因為交換機上埠非常多，要讓CPPM 知道可以對那些埠進行OnConnect 的改寫

查詢埠，並選定

添加埠

埠添加完成後，如下

2)配置強制配置文件

配置中將對合格及不合格的終端劃分至不同的VLAN，因為要先進行配置文件的編輯,如下請必須選擇為-基於SNMP的強制執行

寫入名稱後，進入到屬性，進行參數編輯

建議，由於設備可能為非移動性設備，因此建議對需要移動的終端配置session timeout ； 如下圖

因為VLAN的劃分及配置是基於操作系統的，因此要做一個簡單的規劃，如

有上面多個VLAN，因此我們要執行配置多次 「配置文件」，以便下面的調用

3）配置Bounce 配置文件

CPPM支持基於SNMP 的bounce對埠進行阻止，需要先配置 「配置文件」

與配置VLAN 位置相同，不過要新建一個配置文件

選擇為reset connection

4）添加強制策略

強制策略的作用是讓CPPM 懂得將條件整合，分類出匹配的策略，並最終向交換機進行策略發布，達到安全管理的要求。

添加強制策略

選擇類別，參考如下

添加條件規則

上圖中，VLAN 100 是之前新建的 「配置文件」

舉例，最終規則添加為如下：

下面將對上面的配置語句進行解釋：

如果接入的終端 到endpoint repository 里進行檢查，OS family 為aruba ,則派送VLAN 100 ，並且將該MAC 地址更新到endpoint repository里

與之類似，但必須endpoint repository里識別出來為computer , 才分配VLAN 100及將MAC 地址更新到endpoint repository里

最後一條，如果1-4條策略都不對,則進入默認策略，默認策略為VLAN 2（一個設計出來的隔離VLAN）

5）添加認證服務

選擇為onconnect

對策略進行編輯

由於可能有加域的設備，那麼在認證時可以配置為:user ，將會剝離域名

通過該技術，設備接入後可通過onconnect 機制去檢測設備是否為加域的電腦，如果為不加域的電腦則不允許進入（配置策略未舉例）

添加授權源

套用之前配置的授權源 （前一步的角色可不配置）

6) 修改伺服器參數

7）CPPM啟用bounce

在伺服器中

開啟snmp bounce

8) 接入測試

設備接線後，先確認CPPM 在認證跟蹤器里觸發了配置的認證服務，如果沒有需要檢查SNMP的配置

對認證過程進行查看，點擊進入該認證

識別出來終端的信息

向交換機發送的動作

默認會啟用WMI ，所以會產生告警，但不妨礙整體使用

交換機下show running 檢查

通過命令檢查

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！