Nguyễn Tuấn Phát
Intern
Xin chào mọi người, ở bài viết này mình sẽ trình bày cách cấu hình cho switch và Aruba ClearPass dể có thể xác thực MAC (MAB).
Mục lục
I. Khái niệm MAB
II. Cấu hình MAC Authentication cho switch Aruba OS-CX
III. Cấu hình trong Aruba ClearPass
Mô hình mạng thực hiện trong bài viết:
I. Khái niệm MAB
MAB hay MAC Authentication Bypass là một phương thức xác thực mạng trong cơ chế 802.1X / Network Access Control (NAC). Khi một thiết bị không hỗ trợ 802.1X (như camera IP, printer, IoT, điện thoại không hỗ trợ 802.1X) kết nối vào switch, switch sẽ không nhận được EAPOL (Extensible Authentication Protocol over LAN), lúc này MAB được kích hoạt để thay thế.
Switch sẽ dùng địa chỉ MAC của thiết bị làm username và password để gửi yêu cầu xác thực RADIUS đến máy chủ NAC (Aruba ClearPass, Cisco ISE,...).
II. Cấu hình MAC Authentication cho switch Aruba OS-CX
Các bạn có thể tham khảo cấu hình sau cho switch Aruba OS-CX để có thể xác thực bằng MAC.
Cấu hình Radius Server:
Cấu hình AAA:
Cấu hình cho interface 1/1/2:
III. Cấu hình trong Aruba ClearPass
1. Endpoint devices
Sau khi config switch, các thiết bị kết nối vào switch sẽ đc xác thực bằng MAC, ta có thể quan sát các request này trong CPPM, truy cập đến tab Access Tracker, lúc này chưa xác thực nên các request sẽ luôn là reject do không có service nào để match.:
Địa chỉ MAC của các thiết bị đã được request này sẽ được lưu trong mục Configuration > Identity > Endpoints, đây là nơi lưu thông tin của các endpoint trong hệ thống:
Mặc định các thiết bị này sẽ được gán status Unknown, để có thể thay đổi giá trị này ta chọn địa chỉ MAC muốn thay đổi và sửa lại giá trị:
2. Tạo Enforcement Policy cho MAB
Cấu hình một Enforcement Policy mới cho service MAB như sau:
Mục lục
I. Khái niệm MAB
II. Cấu hình MAC Authentication cho switch Aruba OS-CX
III. Cấu hình trong Aruba ClearPass
1. Endpoint Devices
2. Tạo Enforcement Policy cho MAB
3. Config Service cho MAB
IV. DemoMô hình mạng thực hiện trong bài viết:
I. Khái niệm MAB
MAB hay MAC Authentication Bypass là một phương thức xác thực mạng trong cơ chế 802.1X / Network Access Control (NAC). Khi một thiết bị không hỗ trợ 802.1X (như camera IP, printer, IoT, điện thoại không hỗ trợ 802.1X) kết nối vào switch, switch sẽ không nhận được EAPOL (Extensible Authentication Protocol over LAN), lúc này MAB được kích hoạt để thay thế.
Switch sẽ dùng địa chỉ MAC của thiết bị làm username và password để gửi yêu cầu xác thực RADIUS đến máy chủ NAC (Aruba ClearPass, Cisco ISE,...).
II. Cấu hình MAC Authentication cho switch Aruba OS-CX
Các bạn có thể tham khảo cấu hình sau cho switch Aruba OS-CX để có thể xác thực bằng MAC.
Cấu hình Radius Server:
radius-server host 192.168.100.100 key plaintext Test123 tracking enable vrf mgmtradius-server tracking interval 3600radius-server tracking user-name radius-tracking-user password plaintext Test123Cấu hình AAA:
aaa group server radius rad_grpserver 192.168.100.100 vrf mgmtaaa authentication port-access mac-auth radius server-group rad_grpaaa authentication port-access mac-auth enableaaa accounting port-access start-stop interim 5 group rad_grpradius dyn-authorization enableradius dyn-authorization client 192.168.100.100 secret-key plaintext Test123 vrf mgmtCấu hình cho interface 1/1/2:
int 1/1/2no shutdownno routingloop-protect 1spanning-tree port-type admin-edgeaaa authentication port-access allow-cdp-bpduaaa authentication port-access client-limit 2aaa authentication port-access mac-authenableIII. Cấu hình trong Aruba ClearPass
1. Endpoint devices
Sau khi config switch, các thiết bị kết nối vào switch sẽ đc xác thực bằng MAC, ta có thể quan sát các request này trong CPPM, truy cập đến tab Access Tracker, lúc này chưa xác thực nên các request sẽ luôn là reject do không có service nào để match.:
Địa chỉ MAC của các thiết bị đã được request này sẽ được lưu trong mục Configuration > Identity > Endpoints, đây là nơi lưu thông tin của các endpoint trong hệ thống:
Mặc định các thiết bị này sẽ được gán status Unknown, để có thể thay đổi giá trị này ta chọn địa chỉ MAC muốn thay đổi và sửa lại giá trị:
2. Tạo Enforcement Policy cho MAB
Cấu hình một Enforcement Policy mới cho service MAB như sau:
- Type: RADIUS
- Default Profile: Deny Access Profile
- Rules:
- (Authorization: [Endpoints Repository]:Status EQUALS Known) => Allow Access Profile
- (Authorization: [Endpoints Repository]:Status EQUALS Unknown) => Deny Access Profile
3. Config Service cho MAB
Kế đến chúng ta sẽ config một service mới để xác thực MAB. Từ Dashboard, di chuyển đến mục Configuration > Service. Tại đây chọn Type là "MAC Authentication" để tải template cho service xác thực liên quan đến MAC:
Các mục Authentication và Roles ta có thể giữ nguyên theo template:
Tại mục Enforcement, ta sẽ chọn EP đã tạo trước đó cho MAB:
Summary của Service:
IV. Demo
Để test, chúng ta sẽ cho một thiết bị kết nối vào switch qua int đã được config auth-mac. Lúc này, switch sẽ gửi một request kèm theo MAC address của thiết bị cho RADIUS Server (CPPM) để xác thực.
MAC Address của thiết bị:
Kết quả xác thực quan sát được trên mục Access Tracker:
Thông tin chi tiết của Request:
Mình cảm ơn mọi người đã theo dõi bài viết của mình !
Các tài liệu/bài viết tham khảo liên quan:
https://arubanetworking.hpe.com/tec...ntent/Chp_Port_acc/PortAcc8021x+MAC_CfgEg.htm
https://arubanetworking.hpe.com/tec...de/Services/ServiceTypesMACAuthentication.htm
https://community.cisco.com/t5/secu...02-1x-mab-template-for-cisco-ise/ta-p/5297829
https://www.youtube.com/playlist?list=PLB-l-Ezt_uPrzBEqwN1nKJWbHyhMRKnHI
Bài viết liên quan
Được quan tâm
Bài viết mới