clearPass-Policy-Manager-培训PPT课件

u PolicyManager高级培训 Peoplemove Networksmustfollow PolicyManager介绍 ClearPass产品线 ClearPassPolicyManager 中心化的身份认证和策略决策另外提供以下功能组件 ClearPassOnboard 访客和员工移动终端的自助配置和部署ClearPassProfile 多因素终端识别 提供策略决策的依据ClearPassOnGuard 终端设备的健康性检查和自动修复ClearPassGuest 访客接入的帐号自助注册和集中管理ClearPassQuickConnect 基于云端的802 1X快速部署服务 ArubaClearPass产品简介 实现企业BYOD的开放式架构 终端接入的策略决策 profiler 允许员工个人终端访问受限的网络资源 BYODPolicy 为企业高级经理人员提供更高的优先级 ExecutiveClassPolicy 实现协同办公系统 Lync 的服务质量优化 MultimediaPolicy 阻止非授权的用户接入 UnauthorizedUsePolicy 撤销丢失终端的接入授权 DeviceRevocationPolicy 隔离并修复不符合企业安全准则的终端设备 DeviceQuarantinePolicy 自动化的访客终端部署 Guest 1 3 接入网络 2 联系人对访客帐号进行确认 ClearPass策略服务器 访客帐号通过web email或短信进行分发 填写访客信息 新来访客 联系人 用户无感知802 1x认证 On board 1 设备类型自动被检测 提示用户开始工作流程 2 设备上自动设置无线配置和和凭证 3 一旦完成Onboard动作 用户自动被牵引到安全的SSID或者网络 ClearPass终端识别 Profiling ClearPassPolicyManager5 x自动识别所有终端设备智能手机 平板电脑 打印机 笔记本电脑 实施基于终端类别的精细策略仪表盘实时显示终端分类统计 网络安全准入控制 OnGuard 收集终端设备信息检测终端是否健康 PolicyManager安装与管理 安装 需要64位系统 在VMworkstation安装 只需要点击 ovf文件即可在VMEXSI中安装 使用vSphereClient的 DeployOVFTemplate 导入ovf文件即可 安装文件包括 硬件与登录 A 串口B 管理口C 业务口注意 管理口的IP必须配置 业务口的IP为可选配置 如果不配置业务口 所有的业务自动从管理口出入 一旦配置了业务口IP后 无论此端口是否路由可达 系统自动将业务转到业务口 管理口与业务口IP不能同网段 业务配置是通过Web方式 系统配置可以通过Web或CLI 默认web用户名与密码 admin eTIPS123默认CLI用户名与密码 appadmin eTIPS123 安装最后的配置 地址 时间 确认 通过CLI或ssh登录的命令 命令示例 配置mgmt口IP appadmin configureipmgmt192 168 5 12netmask255 255 255 0gateway192 168 5 1 修改IP会引起网络业务重启 Ping命令 appadmin networkping192 168 5 1Show命令 appadmin showip DeviceType ManagementPort IPAddress 192 168 5 227SubnetMask 255 255 255 0Gateway 192 168 5 1 DeviceType DataPort IPAddress SubnetMask Gateway DNSInformationPrimaryDNS 192 168 5 3SecondaryDNS TertiaryDNS Web登录及软件激活 IE浏览器中输入 https clearpass ip 产品激活 在线激活点击activatenow离线激活 先下载激活key发送给aruba 将aruba返回的文件导入 添加license 添加之后的license结果 Policy Services模型 Service执行流程 Service EnforcementPolicy AuditPolicy InternalPosturePolicies ExternalPosturePolicies Role mappingPolicy AuthenticationSources AuthenticationMethods Posture optional Identity Context EnforcementProfile Identity身份 Identity示图 角色 RoleMapping 根据某些条件将用户映射成CPPM内的角色 增加localuser Guestuser endpoint 选中某一mac 点击认证记录 可以查看此终端的认证记录 Statichostlists MAC方式可以做认证源 PolicyManager配置 Service Service执行按order顺序 执行第一个匹配的service 创建service 认证方法 认证源 支持外置SQLDB AD LDAP数据库 添加外置认证源 系统预定义的enforcementprofile 创建enforcementprofile 添加执行的属性 创建Enforcement策略 1 2 配置NAS 配置ProxyTarget ClearPass可以做Radius服务器的代理 在ProxyTarget里添加Radius服务器信息 在Service里引用 配置示例 根据用户角色动态分配置VLAN 控制器上配置业务VLAN10与20 并配置DHCPserver控制器的VAP employeex里不配置VLAN信息 采用802 1x认证 认证服务器为CPPM CPPM上配置AC地址为NAS 共享密钥为aruba CPPM上配置角色 为employee 系统里默认有Guest CPPM里创建账号 aruba1在localuserDB里 角色为employee aruba2在localguestDB里 角色为Guest 创建service 修改认证方式与认证源 用户在两个数据库中 因此都要选上 Enforcement策略 选择新建策略 选择新建profile 配置属性 配置完成后 再配置一个VLAN20的profle 配置Enforcement策略 再配置一个guest的rule 配置Enforcement结果 选中最先匹配 选中刚配置的策略 保存后刚配置的service生成 测试结果通过 Dashboard与监控报表 PolicyManagerDashboard 系统监控与报表 Onguard监控 分析 endpoint 系统监控 周期性报告 帐户操作记录 点击记录查看详情 Administrator管理配置 登录帐号管理 CPPM相关配置 服务器管理 证书管理 从外置证书服务器申请证书 信任证书列表 手工升级 添加升级包 在线升级 实验 实验 802 1xwireless 控制器 1 控制器上配置Clearpass地址为Radiusserver 共享密钥为aruba2 控制器上配置SSID clearpassx 执行802 1x认证 默认角色为guestClearPass 1 ClearPass上配置角色employee2 配置Localuser 用户名为arubax 密码为arubax 角色为empployee3 创建service为802 1xwireleass 名字为groupx 80