Ở bài viết trước, mình đã cấu hình được Profile, Policy cũng như Service xác thực Onguard trên Aruba Clearpass
Tiếp theo, mình sẽ cấu hình Service cho Switch, tạo Dynamic VLAN mapping và cấu hình onguard trên Aruba Clearpass:
Cấu hình:
Cấu hình Service cho Authen với Switch:
Phần này các bạn có thể tham khảo bài viết với đường link bên dưới giúp mình nhé. Do mình có hướng dẫn phần này ở bài viết trước rồi
https://securityzone.vn/t/lab-04-co...-802-1x-with-switch-on-aruba-clearpass.12353/
Tạo Dynamic VLAN mapping trên Aruba Clearpass
Giao diện GUI > Configuration > Enforcement > Profiles > Add để tạo mới Profiles
Ở mục Profile:
Ở mục Attributes
Các bạn thực hiện tạo Profiles Enforcement cho VLAN 180 tương tự như trên
Cấu hình Enforcement Policy
Ở Policy, cấu hình cho thiết bị nếu ở trạng thái unhealthy thì sẽ được assign vlan 170, ngược lại nếu trạng thái healthy thì thiết bị sẽ được assign vlan 180.
Giao diện GUI > Configuration > Enforcement > Policies > Add để tạo mới policy
Ở mục Enforcement
Ở mục Rules:
Chọn Add Rules để tạo rule mới.
Ở mục add Rule:
Policy được tạo thành công
Triển khai Onguard
Giao diện GUI > Administration > Agents and Software Updates > Onguard Settings
Ở mục Settings
Agent Customization:
IP Version for Server Communication: IPv4 Only
Nhấn Save để lưu
Ở mục Installers, download agent hỗ trợ hệ điều hành phù hợp...
Kiểm tra Onguard
Đang thực hiện kiểm tra trên máy có hệ điều hành win11:
Có 2 trường hợp để thực hiện kiểm tra Onguard:
Sau đó:
Agent hiển thị status HEALTHY trên thiết bị Win11
Tiến hành kiểm tra card mạng thì thấy được cấp DHCP đúng với lớp VLAN 180 (172.16.20.x/24)
Tiếp tục ở trường hợp 2:
Disable tính năng firewall trên thiết bị test
Agent hiển thị status UNHEALTHY và báo "Enable Firewall Check"
Ở trên Switch, cấu hình trên port đang kết nối tới thiết bị test để tự động
Sau khi cấu hình xong, thực hiện kiểm tra DHCP đã cấp đúng với lớp VLAN 170 (172.16.30.x/24)
Cảm ơn các bạn đã xem bài viết của mình!!!
Tiếp theo, mình sẽ cấu hình Service cho Switch, tạo Dynamic VLAN mapping và cấu hình onguard trên Aruba Clearpass:
Cấu hình:
Cấu hình Service cho Authen với Switch:
Phần này các bạn có thể tham khảo bài viết với đường link bên dưới giúp mình nhé. Do mình có hướng dẫn phần này ở bài viết trước rồi
https://securityzone.vn/t/lab-04-co...-802-1x-with-switch-on-aruba-clearpass.12353/
Tạo Dynamic VLAN mapping trên Aruba Clearpass
Giao diện GUI > Configuration > Enforcement > Profiles > Add để tạo mới Profiles
Ở mục Profile:
- Template: Radius Based Enforcement
- Name: Đặt tên cho profiles
- Type: Radius
- Action: Accept
Ở mục Attributes
Tạo mới 1 Atributes
- Type: Radius: IETF
- Name: Tunnel-Private-Group-Id
- Value: VLAN ID (VD: VLAN ID = 170)
- Type: Radius: IETF Name: Tunnel-Type Value: VLAN (13)
- Type: Radius IETF Name: Tunnel-Medium-Type Value: IEEE-802 (6)
Các bạn thực hiện tạo Profiles Enforcement cho VLAN 180 tương tự như trên
Cấu hình Enforcement Policy
Ở Policy, cấu hình cho thiết bị nếu ở trạng thái unhealthy thì sẽ được assign vlan 170, ngược lại nếu trạng thái healthy thì thiết bị sẽ được assign vlan 180.
Giao diện GUI > Configuration > Enforcement > Policies > Add để tạo mới policy
Ở mục Enforcement
- Name: Đặt tên cho Policy
- Enforcement: Chọn Radius
- Default Profile: chọn Profile vừa tạo bên trên
Ở mục Rules:
Chọn Add Rules để tạo rule mới.
Ở mục add Rule:
- Type: Tips
- Name: Posture
- Operator: EQUALS
- Value: HEALTHY (0)
Nhấn Save để lưu cấu hình.
Policy được tạo thành công
Triển khai Onguard
Giao diện GUI > Administration > Agents and Software Updates > Onguard Settings
Ở mục Settings
Agent Customization:
- Managed interfaces: hỗ trợ Wired, Wireless và VPN
- Authenticate - no health checks
- Check health - no authentication
- Authenticate with health checks
IP Version for Server Communication: IPv4 Only
Nhấn Save để lưu
Ở mục Installers, download agent hỗ trợ hệ điều hành phù hợp...
Kiểm tra Onguard
Đang thực hiện kiểm tra trên máy có hệ điều hành win11:
Có 2 trường hợp để thực hiện kiểm tra Onguard:
- Trường hợp 1: Thiết bị HEALTHY (enable firewall và antivirus trên thiết bị) sẽ được assign VLAN 180 và được cấp IP (172.16.20.x/24)
- Trường hợp 2: Thiết bị UNHEALTHY (disable firewall or antivirus trên thiết bị) sẽ được assign VLAN 170 và được cấp IP (172.16.30.x/24)
Thực hiện cắm port đang cấu hình dot1x tới thiết bị đang test
Enable 2 tính năng firewall và antivirus trên thiết bị
Sau đó:
Agent hiển thị status HEALTHY trên thiết bị Win11
Tiến hành kiểm tra card mạng thì thấy được cấp DHCP đúng với lớp VLAN 180 (172.16.20.x/24)
Tiếp tục ở trường hợp 2:
Disable tính năng firewall trên thiết bị test
Agent hiển thị status UNHEALTHY và báo "Enable Firewall Check"
Ở trên Switch, cấu hình trên port đang kết nối tới thiết bị test để tự động
Code:
Switch(config-if)# auth dynamic-vlan-creation
Sau khi cấu hình xong, thực hiện kiểm tra DHCP đã cấp đúng với lớp VLAN 170 (172.16.30.x/24)
Cảm ơn các bạn đã xem bài viết của mình!!!