SNAC与Aruba无线网络安全的完美结合_NiuXiaohu

SNAC与Aruba无线网络安全的完美结合测试报告SymantecSNAC与Aruba无线网络安全完美结合版权所有©Symantec第2页共48页V1.0目录1.测试目的与内容...................................................................................32.测试拓扑................................................................................................43.接入交换机配置...................................................................................54.Aruba无线控制器配置......................................................................95.未安装Agent认证...........................................................................126.安装Agent认证...............................................................................137.移动终端认证.....................................................................................208.已验证的Aruba无线AC列表.......................................................219.Aruba配置........................................................................................21SNAC与Aruba无线网络安全完美结合版权所有©Symantec第3页共48页V1.01.测试目的与内容测试目的：验证无线802.1x准入控制具体实现；验证Symantec-SNAC产品与Aruba无线AP设备的兼容性；测试内容：已安装Agent的无线接入终端，测试认证过程未安装Agent的无线接入终端，测试认证过程SNAC与Aruba无线网络安全完美结合版权所有©Symantec第4页共48页V1.02.测试拓扑SEP管理服务器DHCP服务器10.112.197.10010.112.197.150无线接入终端4948交换机ArubaAPAruba无线控制器Radius服务器10.112.196.10210.112.196.210Vlan1010.112.196.0/24MgtVlan2020.112.197.0/24WorkVlan3010.112.198.0/24RepairVlan4020.112.199.0/24GuestLanEnforce10.112.198.170图1测试拓扑图硬件环境描述1台终端管理服务器、1台DHCP服务器、1台LanEnforce、1台Radius认证服务器、1台支持POE供电的4948交换机、1台Aruba无线AP、1台IPhone、1台IPDA2、1台HTC、1台笔记本。软件环境描述服务器操作系统：Windows2003Enterprise；终端操作系统：Win7、IPhone系统、IPDA系统、安卓系统。SNAC与Aruba无线网络安全完美结合版权所有©Symantec第5页共48页V1.03.接入交换机配置交换机只需配置相应VLAN信息，交换机与Aruba无线控制器启用TRUNK连接,Aruba无线控制器配置对应的VLAN-ID信息即可；VLan10：Mgt10.112.196.0/24VLan20：Work10.112.197.0/24VLan30：Repair10.112.198.0/24VLan40：Guest10.112.199.0/24LanEnforce配置：图2LanEnforce上设置RadiusSNAC与Aruba无线网络安全完美结合版权所有©Symantec第6页共48页V1.0图3LanEnforce上指向Aruba控制器SNAC与Aruba无线网络安全完美结合版权所有©Symantec第7页共48页V1.0图4LanEnforce上设置Vlan信息SNAC与Aruba无线网络安全完美结合版权所有©Symantec第8页共48页V1.0图5LanEnforce上设置Vlan切换SNAC与Aruba无线网络安全完美结合版权所有©Symantec第9页共48页V1.04.Aruba无线控制器配置图6设置SSID对应Vlan信息——sec-test图7设置Radius服务器——10.112.198.170SNAC与Aruba无线网络安全完美结合版权所有©Symantec第10页共48页V1.0图8Aruba-认证设置图9WorkroleSNAC与Aruba无线网络安全完美结合版权所有©Symantec第11页共48页V1.0图10Repairrole图11GuestroleSNAC与Aruba无线网络安全完美结合版权所有©Symantec第12页共48页V1.05.未安装Agent认证自动弹出认证对话框，需要输入身份认证信息：图12身份认证信息输入身份认证通过，接入网络成功：SNAC与Aruba无线网络安全完美结合版权所有©Symantec第13页共48页V1.0图13认证成功-接入Work区域6.安装Agent认证场景一：身份认证成功和安全策略检查合规，进入Work区域图14身份认证和安全策略检查都正确SNAC与Aruba无线网络安全完美结合版权所有©Symantec第14页共48页V1.0图15客户端IP信息-Work区域图16Aruba控制器信息-WorkRoles场景二：身份认证成功和安全策略检查不合规，进入Repair区域SNAC与Aruba无线网络安全完美结合版权所有©Symantec第15页共48页V1.0图17身份认证成功策略检查不合规图18客户端IP信息-Repairk区域SNAC与Aruba无线网络安全完美结合版权所有©Symantec第16页共48页V1.0图19Aruba控制器信息-RepairRoles场景三：身份认证不成功和安全策略检查合规，等待二次认证图20主机完整性检查通过SNAC与Aruba无线网络安全完美结合版权所有©Symantec第17页共48页V1.0图21输入错误信息--身份认证不成功图22再次弹出身份认证对话框SNAC与Aruba无线网络安全完美结合版权所有©Symantec第18页共48页V1.0图23Aruba控制器上没有认证信息场景四：安全检查合规变化为安全检查不合规，从Work区域自动跳入Repair区域图24身份认证成功和策略检查合规SNAC与Aruba无线网络安全完美结合版权所有©Symantec第19页共48页V1.0图25认证成功进入Work区域图26Aruba控制器-Work区域图27策略检查不合规跳入Repair区域SNAC与Aruba无线网络安全完美结合版权所有©Symantec第20页共48页V1.0图28Aruba控制器-Repair区域7.移动终端认证结果：IPAD2、IPhone、安卓操作系统移动终端，支持802.1X协议认证，根据用户名、密码认证，工作正常（根据用户名可以切换到不同的区域）。SNAC与Aruba无线网络安全完美结合版权所有©Symantec第21页共48页V1.08.已验证的Aruba无线AC列表型号版本用户Aruba2400Version5.0.3.3CCTVAruba3400Version5.0.2.0ABC9.Aruba配置(Aruba3400)#showrunning-configBuildingConfiguration...version5.0enablesecret8aad4a010166ca17983134f406de05e9503959a575ba2f84cahostnameAruba3400clocktimezoneCHT8locationBuilding1.floor1mmsconfig0controllerconfig40ipaccess-listethvaliduserethaclpermitany!netservicesvc-netbios-dgmudp138netservicesvc-snmp-trapudp162SNAC与Aruba无线网络安全完美结合版权所有©Symantec第22页共48页V1.0netservicesvc-syslogudp514netservicesvc-l2tpudp1701netservicesvc-ikeudp500netservicesvc-httpstcp443netservicesvc-smb-tcptcp445netservicesvc-dhcpudp6768netservicesvc-pptptcp1723netservicesvc-sec-papiudp8209netservicesvc-sccptcp2000netservicesvc-http-accltcp88netservicesvc-telnettcp23netservicesvc-netbios-ssntcp139netservicesvc-sip-tcptcp5060netservicesvc-kerberosudp88netservicesvc-tftpudp69netservicesvc-http-proxy3tcp8888netservicesvc-noeudp32512netservicesvc-cfgm-tcptcp8211netservicesvc-adpudp8200netservicesvc-pop3tcp110netservicesvc-lpd-tcptcp631netservicesvc-rtsptcp554SNAC与Aruba无线网络安全完美结合版权所有©Symantec第23页共48页V1.0netservicesvc-msrpc-tcptcp135139netservicesvc-dnsudp53netservicesvc-h323-udpudp17181719netservicesvc-h323-tcptcp1720netservicesvc-voceraudp5002netservicesvc-httptcp80netservicesvc-http-proxy2tcp8080netservicesvc-sip-udpudp5060netservicesvc-ntermtcp10261028netservicesvc-noe-oxoudp5000algnoenetservicesvc-papiudp8211netservicesvc-nattudp4500netservicesvc-ftptcp21netservicesvc-microsoft-dstcp445netservicesvc-svp119netservicesvc-smtptcp25netservicesvc-gre47netservicesvc-netbios-nsudp137netservicesvc-sipstcp5061netservicesvc-smb-udpudp445netservicesvc-cupstcp515netservicesvc-esp50SNAC与Aruba无线网络安全完美结合版权所有©Symantec第24页共48页V1.0netservicesvc-v6-dhcpudp546547netservi