iT邦幫忙

0

無線功能請益(Aruba Controller, Aruba AP, Radius Server)

  • 分享至 

  • xImage

請教各位先進,小弟接觸的客人環境目前是使用Aruba Controller + Aruba AP與其RADIUS Server。由於無法直接跳過客戶詢問到該建置商,所以想先詢問大家。

這位客戶的無線環境中,若是沒有先將MAC Address加入到可連上Internet list當中,Wireless Client雖然可以連上AP,但就會發現網路不通,無法連上Internet或存取公司內部網路

小弟的疑問是:
這樣的限制條件,是由Aruba Controller + AP 功能直接完成 還是
由RADIUS Server上面的某些特殊attribute完成?

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
WilliamHuang
iT邦研究生 1 級 ‧ 2017-01-04 22:52:30
【**此則訊息已被站方移除**】
0

這一段應該可以讓你理解
Configuring MAC-Based Authentication
[http://www.arubanetworks.com/techdocs/ArubaOS_60/UserGuide/MAC_Authentication.php]http://www.arubanetworks.com/techdocs/ArubaOS_60/UserGuide/MAC_Authentication.php)

看更多先前的回應...收起先前的回應...

Hi 門神大,因為手邊沒有Aruba的產品,所以沒辦法深入了解。但也不是沒有做功課,目前手邊已經有用Cisco 2504 Controll + Air 3702E + WinRadius實做出來。當Supplicant(Wireless client)連上Air 3702E時,Controll會將資訊丟到WinRadius坐MAC-Based Authentication。

只不過,還是跟客戶的環境不太一樣。小弟在描述一下客戶的情境如下:

  1. 首先,無論Supplicant的MAC address有無列在allow list中,都可以成功連線上AP
  2. 若Supplicant的MAC address存在於allow list上,則這個Supplicant可正常存取Internet以及公司內部資源。
  3. 若Supplicant的MAC address不存在於allow list上,此時Supplicant仍然可連上AP,但會發現無法連上Internet與公司內部資源。

AP Control有分Bridge/Tunnel Mode
你模擬的屬Bridge Mode

糟糕...這樣又延伸出兩個問題

  1. 小弟手邊的WLC 2504,不知道該如何查看目前運作在何種模式下
  2. Google了一下,找不太到有關Bridge/Tunnel Mode的介紹,不知道門神大大能否提供一下,您所說的這兩種模式的介紹

請教門神大,網路上資料查了許多,大部份的文章都是提到Bridge mode用在AP and controller is an trusted/routable network,而Tunnel mode則是 non-trusted/non-troutable network。所以您所提到的Bridge/Tunnel這兩種mode,應該是這樣分類為前提的是嗎?

但小弟客戶端的環境,都是在Control 與AP都是在Local Netowrk底下,應該還是用Bridge mode模式沒錯。實在是猜不透客戶的環境是用什麼樣的技術,達到這樣的應用

0
runan5678
iT邦研究生 1 級 ‧ 2017-01-05 17:03:09
  1. 用controller + ap 的話可以用Internal DB的驗證方式加入mac清單做驗證
  2. 若有radius server 我的經驗是用windows radius server透過AD群組管理
  3. 同原廠產品利用Clearpass Policy Manager一樣可以達成需求

希望有回答到疑問之處

感謝您的回覆,可以請教第3點,它的應用或者用途嗎?小弟也重複在描述一次客戶的應用環境給您,煩請看看是不是就是用這第3點的功能做到的?因為自己在用Cisco 2504 Controll + Air 3702E + WinRadius。

當Supplicant(Wireless client)連上Air 3702E時,Controll會將資訊丟到WinRadius做MAC-Based Authentication。

只不過,還是跟客戶的環境不太一樣。客戶的情境如下:

  1. 首先,無論Supplicant的MAC address有無列在allow list中,都可以成功連線上AP
  2. 若Supplicant的MAC address存在於allow list上,則這個Supplicant可正常存取Internet以及公司內部資源。
  3. 若Supplicant的MAC address不存在於allow list上,此時Supplicant仍然可連上AP,但會發現無法連上Internet與公司內部資源。
runan5678 iT邦研究生 1 級 ‧ 2017-01-09 13:51:26 檢舉

就MAC驗證的情況下,您客戶環境的應用方式和小弟的環境極為相似,只是多了一道不再允許清單的MAC address趕到另外一個網段避免IP被占用過多。

補充:無論是2或是3的做法設定上都一樣,只是目標server不同
另外Aruba的ClearPass Policy Manager就當做內建功能很豐富的radius server即可。

0
barista
iT邦新手 4 級 ‧ 2017-01-16 13:34:44

Hi 樓主
第一:
其實單純的MAC Auth ,A牌即可透過選擇她的Initial role達到你的需求,Auth Server 為本身AC擔任或是外部Radius Server都是其次了^^

第二:
這個功能的使用,其實還有許多廠商有開發,您也可以選擇適合自己的看看^^

我要發表回答

立即登入回答