hyunhhuy
Moderator
Xin chào mọi người, ở bài viết này mình sẽ cấu hình tính năng Onguard - một trong những tính năng quan trọng bên cạnh Onboard, Guest và Insight.
Mô tả bài lab:
Yêu cầu: Cấu hình Onguard cho các healthcheck cho các agent
Mục địch: Health check các agent.
Thực hiện triển khai bài lab
Cấu hình trên Clearpass
Cấu hình Enforcement Profiles Assign VLAN 170 và VLAN 180 cho 02 trường hợp nêu trên.
Bước 1: Truy cập GUI > Configuration > Enforcement >Profiles
Bước 2: Ở mục profile, cấu hình
Name: đặt tên cho profile
Type: Radius
Action: Accept
Device Group List: thực hiện add profile này vào group device
Bước 3: Ở mục Attributes, cấu hình thông tin như hình bên dưới
Các bạn làm tương tự cho Profile vlan 180
Cấu hình Enforcement Policies
Ở mục Enforcement, cấu hình
Name: tên policy
Description: mô tả
Enforcement Type: Radius
Default Profile: chọn profile vừa tạo bên trên
Tiếp theo, ở mục Rules, thực hiện cấu hình 02 Rules như hình
Nếu thiết bị của bạn khi onguard thực hiện health check và đưa ra kết quả HEALTHY thì sẽ được assign VLAN 180 cho client và ngược lại nếu thiết bị của bạn đưa ra kết quả UNHEALTHY thì sẽ được assign VLAN 170 (cách ly) cho client
Cấu hình Service
Bước 1: Ở mục Service, cấu hình thông tin như hình bên dươi
Bước 2: Ở mục Authentication, cấu hình thông tin như hình
Bước 3: Ở mục Roles, để mặc định
Bước 4: Ở mục Enforcement, chọn Enforcement Policy vừa tạo bên trên
Cấu hình Posture Policy
Bước 1: Truy cập GUI > Configuration > Posture > Posture Policies tạo 1 Posture
Bước 2: Ở mục Policy, cấu hình
Name: đặt tên cho Policy
Description: mô tả
Posture Agent: chọn Onguard Agent
Host Operating System: ở đây mình sẽ check trên thiết bị Windows nên mình sẽ chọn Windows tùy các bạn nhé.
Plugin Version: default sẽ là 2.0
Restrict by Roles: hạn chế bởi roles, nếu không có thì bỏ qua
Bước 3: Ở mục Posture Plugins, Tiến hành enable Clearpass Windows Universal System Health Validator và chọn Configure
Bước 4: Mình sẽ thực hiện healthcheck trên thiết bị Win 11 (firewall) nên mình sẽ enable check for windows 11 ở mục Firewall
Bước 5: Ở mục Rules, tiến hành cấu hình như hình
Thực hiện download Agent và Install file cài đặt agent onguard
Bước 1: Truy cập GUI > Administration > Agents and Software update > Onguard Settings > Installers > chọn file cài đặt để download về
Bước 2: Sau khi download về máy, tiến hành install. Sau khi install xong sẽ hiện ra 1 app Clearpass Onguard
Cấu hình trên Switch Allied Telesis
Cấu hình Radius-Server trên Switch Allied Telesis
Mô tả bài lab:
Yêu cầu: Cấu hình Onguard cho các healthcheck cho các agent
Mục địch: Health check các agent.
TH1: Nếu Health check được agent và xác thực authentication hì cung cấp vlan đi mạng nội bộ
TH2: Ngược lại thì sẽ cung cấp 1 vlan cách ly.
Mô hình
Thực hiện triển khai bài lab
Cấu hình trên Clearpass
Cấu hình Enforcement Profiles Assign VLAN 170 và VLAN 180 cho 02 trường hợp nêu trên.
Bước 1: Truy cập GUI > Configuration > Enforcement >Profiles
Bước 2: Ở mục profile, cấu hình
Name: đặt tên cho profile
Type: Radius
Action: Accept
Device Group List: thực hiện add profile này vào group device
Bước 3: Ở mục Attributes, cấu hình thông tin như hình bên dưới
Các bạn làm tương tự cho Profile vlan 180
Cấu hình Enforcement Policies
Ở mục Enforcement, cấu hình
Name: tên policy
Description: mô tả
Enforcement Type: Radius
Default Profile: chọn profile vừa tạo bên trên
Tiếp theo, ở mục Rules, thực hiện cấu hình 02 Rules như hình
Nếu thiết bị của bạn khi onguard thực hiện health check và đưa ra kết quả HEALTHY thì sẽ được assign VLAN 180 cho client và ngược lại nếu thiết bị của bạn đưa ra kết quả UNHEALTHY thì sẽ được assign VLAN 170 (cách ly) cho client
Cấu hình Service
Bước 1: Ở mục Service, cấu hình thông tin như hình bên dươi
Bước 2: Ở mục Authentication, cấu hình thông tin như hình
Bước 3: Ở mục Roles, để mặc định
Bước 4: Ở mục Enforcement, chọn Enforcement Policy vừa tạo bên trên
Cấu hình Posture Policy
Bước 1: Truy cập GUI > Configuration > Posture > Posture Policies tạo 1 Posture
Bước 2: Ở mục Policy, cấu hình
Name: đặt tên cho Policy
Description: mô tả
Posture Agent: chọn Onguard Agent
Host Operating System: ở đây mình sẽ check trên thiết bị Windows nên mình sẽ chọn Windows tùy các bạn nhé.
Plugin Version: default sẽ là 2.0
Restrict by Roles: hạn chế bởi roles, nếu không có thì bỏ qua
Bước 3: Ở mục Posture Plugins, Tiến hành enable Clearpass Windows Universal System Health Validator và chọn Configure
Bước 4: Mình sẽ thực hiện healthcheck trên thiết bị Win 11 (firewall) nên mình sẽ enable check for windows 11 ở mục Firewall
Bước 5: Ở mục Rules, tiến hành cấu hình như hình
Thực hiện download Agent và Install file cài đặt agent onguard
Bước 1: Truy cập GUI > Administration > Agents and Software update > Onguard Settings > Installers > chọn file cài đặt để download về
Bước 2: Sau khi download về máy, tiến hành install. Sau khi install xong sẽ hiện ra 1 app Clearpass Onguard
Cấu hình trên Switch Allied Telesis
Cấu hình Radius-Server trên Switch Allied Telesis
Mã:
awplus(config)# radius-server host <IP Clearpass> key ***** encrypted/CODE]
[CODE]awplus(config)# aaa group server radius CPPM /CODE]
[CODE]awplus(config-sg)# server <IP Clearpass> /CODE]
[B]Cấu hình Authen trên Port Connect tới Agent[/B]
[CODE]awplus(config)# interface port1.0.7/CODE]
[CODE]awplus(config-if)# switchport mode access /CODE]
[CODE]awplus(config-if)# switchport access vlan 180 /CODE]
[CODE]awplus(config-if)# dot1x authentication default /CODE]
[CODE]awplus(config-if)# dot1x port-control auto /CODE]
[CODE]awplus(config-if)# dot1x control-direction both /CODE]
[CODE]awplus(config-if)# auth dynamic vlan-creation /CODE]
Thực hiện kiểm thử
Thực hiện bật firewall trên máy tính windows 11
Bước 1: Truy cập Control Panel > System and Security > Windows Defender Firewall > Customize Settings
[ATTACH type="full" size="1397x701"]10178[/ATTACH]
[COLOR=rgb(224, 224, 224)]Bước 2: Thực hiện login account AD cho agent Onguard [/COLOR]
[ATTACH type="full" size="1919x925"]10179[/ATTACH]
Bước 3: Thực hiện cắm dây từ port Switch đến thiết bị cài đặt agent
Bước 4: Kiểm tra trạng thái trên Onguard thì hiển thị trạng thái Healthy và được assign VLAN 180
[ATTACH type="full" size="1901x959"]10177[/ATTACH]
Bước 5: Thực hiện tắt firewall trên máy tính win 11 cài đặt agent
[ATTACH type="full" size="1919x617"]10181[/ATTACH]
Kiểm tra trạng thái trên Onguard thấy báo Quarantined. Và onguard nó phát hiện cũng như gợi ý hướng xử lý là phải bắt buộc enable Firewall Windows
[ATTACH type="full" size="471x669"]10180[/ATTACH]
Kiểm tra thì thấy đã assign vlan 170 (cách ly) cho client khi trạng thái báo quarantine.
[ATTACH type="full" size="1919x735"]10182[/ATTACH]
Cảm ơn các bạn đã xem bài viết!!!!Đính kèm
Sửa lần cuối:
Bài viết liên quan
Bài viết mới