El documento tiene por objetivo plantear una demo de un switch Aruba OS, y junto con las

plataformas de Gestión y Control de acceso, evidenciar características y diferenciadores de la

arquitectura Mobile First

No estaremos desarrollando aquí validaciones respecto de otras características de base que suelen
ser requeridas en este tipo de homologaciones, como ser

Spanning Tree, LACP, QoS, SmartRate, entre otras.

Contents
Componentes de la maqueta................................................................................................................1
AAA Tacacs+ con niveles de privilegios..................................................................................................2
Script de configuración en AOS SW...................................................................................................2
Capturas de configuración en CPPM..................................................................................................3
AAA de usuarios y dispositivos mediante Roles Descargables...............................................................5
Script de configuración en AOS SW...................................................................................................5
Capturas de configuración en CPPM..................................................................................................6
Portales Cautivos en AOS SW................................................................................................................8
Script de configuración en AOS SW...................................................................................................9
Capturas de configuración en CPPM..................................................................................................9
Controladora – Tunnel Node...............................................................................................................12
Definición de servicios en Clearpass................................................................................................12
Definición de roles en Controladora................................................................................................15
Visualización de clientes conectados y tráfico cursado...................................................................16
Monitoreo y Gestion con Aruba Airwave............................................................................................17
Script de configuración en AOS SW.................................................................................................17
Capturas de configuración en Airwave............................................................................................18
Templates en Airwave.....................................................................................................................20
ZTP en Airwave................................................................................................................................21
Audit de configuraciónes.................................................................................................................27
Upgrade de Firmware en Airwave...................................................................................................27

Componentes de la maqueta
Para llevar a cabo estas demostraciones se deberá contar con la infraestructura detallada a
continuación
AAA Tacacs+ con niveles de privilegios

Objetivo: Validar las capacidades de gestión AAA de Clearpass con el propio AOS SW

Validación: Se crearán 2 niveles, Administrador RW y Operador RO, se ingresará mediante SSH a la

CLI del Switch con ambos usuarios verificando las restricciones correspondientes al caso RO Vs RW

Prerequisitos:

- Tener al Switch AOS SW registrado como NAD en el CPPM

- Tener creados usuarios y grupos en AD para poder demostrar acceso RW y acceso RO de
acuerdo al grupo de AD
- Tener al CPPM unido al dominio AD y al AD como fuente de Autenticación y Autorización

Script de configuración en AOS SW

tacacs-server host X.X.X.X key XXXXXXXXXX

aaa accounting commands stop-only tacacs
aaa accounting exec start-stop tacacs
aaa accounting system stop-only tacacs
aaa authentication login privilege-mode
aaa authentication console login tacacs
aaa authentication console enable tacacs
aaa authentication telnet login tacacs
aaa authentication telnet enable tacacs
aaa authentication ssh login tacacs
aaa authentication ssh enable tacacs

Capturas de configuración en CPPM

Servicio

Genero una política para ofrecer accesos RO o RW basado en grupos de AD

Genero los perfiles de RO y RW

AAA de usuarios y dispositivos mediante Roles Descargables
Objetivo: Autenticar, Perfilar y aplicar políticas de contexto a usuarios y dispositivos en la red
autenticando mediante 802.1X o en su defecto, mediante Mac Address. La aplicación de políticas
mediante roles descargables, permite centralizar la creación de dichas políticas en la plataforma de
control de acceso, Aruba Clearpass, y de esta forma facilitar las modificaciones desde un punto
central, sin residir configuraciones distribuidas en cada switch

Validación: Conexión de múltiples dispositivos utilizando los esquemas de acceso disponibles,

validando roles de acceso otorgados y eventos de autenticación

Prerequisitos:

- Tener al Switch AOS SW registrado como NAD en el CPPM

- Disponer de usuarios y grupos en AD para demostrar distintos roles de acceso
- Dispositivos periféricos, Cámaras, teléfonos, APs para la demo
- Utilizar CPPM 6.7.8 o superior, y AOS SW 16.08 o superior
- Tener configurado NTP en el switch

Script de configuración en AOS SW

Definicion de Radius
radius-server host 192.168.200.200 key XXXXXXXXXX

Soporte de CoA

radius-server host 192.168.200.200 dyn-authorization

Usuario de consulta para Roles descargables

radius-server cppm identity "dur-admin"

Definición de NTP

timesync ntp
ntp unicast
ntp server 192.168.200.204
ntp enable

Grupo Server Radius

aaa server-group radius "clearpass" host 192.168.200.200

Habilito Roles descargables
aaa authorization user-role enable download
Habilito 802.1x y Mac-Auth
aaa authentication port-access eap-radius server-group "clearpass"
aaa authentication mac-based chap-radius server-group "clearpass"
Config de puertos para 802.1X
aaa port-access authenticator 3-5
aaa port-access authenticator 3 client-limit 5
aaa port-access authenticator 4 client-limit 5
aaa port-access authenticator 5 client-limit 5
aaa port-access authenticator 6 client-limit 5
aaa port-access authenticator active
Config de puertos para Mac-Auth
aaa port-access mac-based 3-5
aaa port-access mac-based 3 addr-limit 5
aaa port-access mac-based 4 addr-limit 5
aaa port-access mac-based 5 addr-limit 5
aaa port-access mac-based 6 addr-limit 5

Capturas de configuración en CPPM

Debemos definir un usuario administrativo del tipo read only para que el switch pueda leer los
perfiles

Veamos ahora la creación de servicios

Servicio 802.1x
Si revisamos los perfiles encontraremos la definición de los parámetros que serán enviados por el rol
descargable

Tanto Vlan, ACL, tiempo de sesión, son parámetros que forman parte de este rol y serán aplicados al
switch para controlar el acceso en puertos, de acuerdo a la política planteada.

Un display de clientes conectados en el switch se verá de la siguiente forma

Portales Cautivos en AOS SW
Objetivo: Autenticar a un usuario / dispositivo con credenciales de invitado

Validación: Conexión de un dispositivo del tipo PC para autenticar mediante credenciales de invitado
en un Portal Cautivo

Prerequisitos:

- Tener al Switch AOS SW registrado como NAD en el CPPM

Script de configuración en AOS SW

A la configuración de Roles Descargables ya efectuada en el punto anterior, se deberá adicionar
lo siguiente

Habilito Portal Cautivo

aaa authentication captive-portal enable

aaa authentication captive-portal profile "portal-cppm" url
"https://clearpass.arubalab.net/guest/profile.php"

Capturas de configuración en CPPM

Se deberán crear 2 servicios

La Lógica de funcionamiento es la siguiente, el dispositivo al conectarse al puerto acciona el

servicio de Mac-Auth, y obtiene el rol de perfilamiento. Con este rol se hace el fingerprinting del
dispositivo y se lo redirecciona al Portal Cautivo
El usuario ingresa sus credenciales, y mediante el servicio de WebAuth estas credenciales se
validan, en caso de ser correctas, este servicio hace un update del endpoint en la DB de
clearpass y mediante un CoA reconecta al dispositivo a la red, en este caso, ya como endpoint
conocido vuelve a disparar el servicio de Mac-Auth y obtiene el rol de Invitado, veamos los 2
servicios

Servicio Webauth:

Servicio Mac-Auth
Habilitamos aquí una acción de CoA en la etapa de perfilamiento, para que un dispositivo pueda
ser redirigido a otra vlan, una vez perfilado, y pueda tomar IP nuevamente, gracias a la acción
CoA

Un ejemplo del rol inicial para perfilar y redireccionar al portal cautivo, el que se usa por defecto
en la política de mac-auth de arriba
 Luego cualquier otro rol específico para un dispositivo se puede implementar como se muestra a
continuación

Controladora – Tunnel Node

Objetivo: Evidenciar beneficios de centralizar políticas y tráfico Wlan y Wired en la controladora,
las ventajas son en términos de la unificación de políticas, la granularidad con la que se pueden
aplicar estas políticas al tráfico cableado, y también la visibilidad que este método da sobre el
tráfico de la red.

Validación: Se conectan diversos dispositivos mediante Mac-Auth o 802.1X y se verifica el estado

de la conexión desde la controladora y desde Aruba Airwave

Prerequisitos:

- Controladoras físicas en AOS 8.x con Mobility Master (virtual o appliance)

- Aruba Clearpass
- Switches Aruba OS familias 2930 / 3810 / 5400 con versiones 16.05 en adelante
Definición de servicios en Clearpass
Encontraremos en este ejemplo, 2 servicios para las conexiones tunelizadas, uno para
autenticación 802.1X y el otro, para cualquier otro dispositivo que autentique mediante Mac-
Auth + perfilamiento.

En detalle cada uno de ellos

Verificando alguno de los enforcement profiles asignados por la política, veremos que se trata de
roles que deben existir en la controladora, para poder asignar atributos de filtrado y asignación
de vlan entre otros
Definición de roles en Controladora

Si vemos por ejemplo el atributo de vlan

 En resumen, este rol de Inges, aplica una lista de acceso para permitir todo, y asigna la vlan 40
una vez otorgado.

La configuración desde el punto de vista del switch es muy simple, como se puede ver a
continuación

Como requisito, debo asignar los puertos que quiero tunelizar a una vlan que no tenga IP en el
switch, entonces en el ejemplo los asignaremos a la vlan 10

vlan 10
name "camaras"
untagged 7-8
tagged 2
no ip address
exit

Luego resta asignar las IPs contra las que se deberá tunelizar el tráfico y por último, asignar a modo
túnel las interfaces que queremos participen en este escenario

Tunneled-node-server
controller-ip 192.168.200.234
backup-controller-ip 192.168.200.235
exit
interface 7
tunneled-node-server
exit
interface 8
tunneled-node-server
exit

Visualización de clientes conectados y tráfico cursado

Podemos ver esto desde el Mobility Master
 Pero también consolidar a estos clientes con otros eventuales clientes cableados e inalámbricos,
en Aruba Airwave

Monitoreo y Gestion con Aruba Airwave

Objetivo: Evidenciar beneficios de visibilidad y gestión unificada, Wlan y Wired mediante la
plataforma Aruba Airwave,

Validación: Verificar vistas de funcionamiento del eqipo en Airwave, visualización de clientes

conectados, repositorios de configuraciónes, herramientas de audit.

Verificar procedimiento de recovery de config mediante restore de backup preexistente

Script de configuración en AOS SW

Para agregar un AOS SW en Airwave, bastará con cargar en el switch una línea de código que
indique grupo carpeta e IP del servidor de Airwave donde este equipo se aprovisionará
amp-server ip 192.168.200.201 group "ArubaOS-SW" folder "2930F" secret
XXXXXXXXXX

Si el equipo es Nuevo en Airwave aparecerá en el contador de NEW DEVICES, y desde allí

debemos aprovisionarlo hacia el grupo y carpeta ya preseleccionados, en modo solo lectura +
updates de Firmware
 En caso de que ya exista en la Base de dispositivos, el equipo figurará en estados UP o DOWN
según corresponda

Si el equipo ya está configurado, y tiene una comunidad SNMP / credenciales de acceso para
SSH, entonces podremos configurar estos parámetros en Airwave para dar gestión completa al
Switch desde la plataforma

Capturas de configuración en Airwave

Seleccionamos la opción Manage del switch y allí podremos modificar credenciales de acceso /
comunidad SNMP, y también debemos cambiar el modo de Management de Monitor only a
Manage Read Write

Así el switch ya operativo tiene una vista de Management como la siguiente

 Aquí tendremos visualización de estado general, performance, puertos, PoE, Vlans, entre otros

Templates en Airwave
Objetivo, crear un template para un grupo de dispositivos para disponer de una configuración de
base que ayude con el proceso de ZTP

Una vez que defino la configuración base de un switch, puedo tomar esa config del mismo switch
y almacenarla como template

Capturas de configuración en Airwave

Entonces, la carga de un template desde un equipo ya configurado sería seleccionando el equipo

de la captura a continuación
 El template ya importado luce como se muestra a continuación

Este template estará disponible para los equipos que se aprovisionen al grupo de trabajo donde
reside, y que coincidan en marca y modelo con los parámetros del template

ZTP en Airwave
Objetivo: configurar y evidenciar un proceso de ZTP para un AOS SW obteniendo una
configuración de base de acuerdo al template asignado al grupo de trabajo

Validación: borrar la configuración del switch, y los backups preexistentes para verificar la
aplicación del template

Prerequisitos:

- Domain Controller con posibilidad de crear un DHCP Pool con opciones particulares
Vamos a utilizar las opciones de DHCP del AD para indicar al switch la dirección del servidor Airwave,
así como el grupo y carpeta de aprovisionamiento. De esta forma, el AOS SW en su proceso de inicio
obtiene la información de aprovisionamiento, y el template preparado para dicho grupo / carpeta

Una vez iniciado el AOS SW mediante el template, se podrán reconfigurar los parámetros específicos
del equipo y ya hacer un backup de su configuración final

Capturas de configuración DHCP en el AD

Trabajaremos modificando las opciones 43 y 60 del pool DHCP dedicado a este startup de ZTP

Si vemos en detalle cada una de las opciones

En la Opcion 43 se configura grupo, carpeta, IP Address del Servidor Airwave, y clave compartida
para aprovisionar al Switch, en nuestro caso
ArubaOS-SW:2930F,192.168.200.201,aruba123

Los parámetros se ven como a continuación

En la opción 60 debemos definir el siguiente string

Para más detalle de configuración pueden visualizar el documento de Aruba OS Switch Management
& configuration Guide, capitulo 14, Configuración ZTP

De esta forma el proceso ZTP funcionaría como se muestra a continuación

Verificando en Airwave, en el grupo de trabajo de este switch encontramos lo siguiente
Aceptamos la opción de reparar, aguardamos unos instantes y verificamos la config en el switch

Actualizo credenciales de acceso en Airwave, ya que quedaron configuradas por defecto para
arrancar desde ZTP
Hago un nuevo backup para sincronizar la config con su baseline anterior

Asi veo el repositorio después de efectuar el nuevo backup

El equipo ha recuperado su config mediante un proceso ZTP

Este mismo proceso se puede llevar a cabo aun sin tener un backup de configuración anterior, en
ese caso se usará el template de config y luego debemos modificar las variables necesarias, a saber,
IP address, Hostname, SNMP location.

Esto se puede hacer de forma manual accediendo al equipo ya en la red, en el segmento asignado al
proceso de ZTP.

Audit de configuraciónes

Algo que también es muy útil para los administradores de la red es poder verificar cambios en la
configuración de un equipo, respecto de un backup anterior, así se vería una diferencia de configs en
Airwave

Seleccionamos las 2 configuraciones que queremos comparar y si hubiera diferencias aparecerán

como a continuación

Upgrade de Firmware en Airwave

Objetivo: Centralizar la distribución de un nuevo AOS SW desde Airwave hacia múltiples switches

Validación: Ejecutar el AOS SW upgrade al switch de la maqueta

Para esto debemos subir primero la/las imágenes de software que necesitamos disponibilizar a los
equipos

El Repositorio de imágenes es el siguiente

Para hacer un update podemos plantearlo en términos de Grupo de dispositivos, en ese caso
accedemos mediante el grupo, opción Firmware

O de forma individual, desde el panel Manage del dispositivo al que quiero cargarle una nueva
imagen