SNAC与Aruba无线网络安全完美结合SNAC与Aruba无线网络安全的完美结合测试报告Symantec目 录1.测试目的与内容32.测试拓扑43.接入交换机配置54.Aruba无线控制器配置95.未安装Agent认证126.安装Agent认证137.移动终端认证208.已验证的Aruba无线AC列表219.Aruba配置21 1. 测试目的与内容 测试目的：p 验证无线802.1x准入控制具体实现；p 验证Symantec-SNAC产品与Aruba无线AP设备的兼容性； 测试内容：p 已安装Agent的无线接入终端，测试认证过程p 未安装Agent的无线接入终端，测试认证过程2. 测试拓扑图 1 测试拓扑图 硬件环境描述p 1台终端管理服务器、1台DHCP服务器、1台Lan Enforce、1台Radius认证服务器、1台支持POE供电的4948交换机、1台Aruba无线AP、1台IPhone、1台IPDA2、1台HTC、1台笔记本。 软件环境描述p 服务器操作系统：Windows 2003 Enterprise；p 终端操作系统：Win7、IPhone系统、IPDA系统、安卓系统。3. 接入交换机配置 交换机只需配置相应VLAN信息，交换机与Aruba无线控制器启用TRUNK连接,Aruba无线控制器配置对应的VLAN-ID信息即可；p VLan10：Mgt 10.112.196.0/24p VLan20：Work 10.112.197.0/24p VLan30：Repair 10.112.198.0/24p VLan40：Guest 10.112.199.0/24 Lan Enforce配置：图 2 Lan Enforce上设置Radius图 3 Lan Enforce上指向Aruba控制器图 4 Lan Enforce上设置Vlan信息图 5 Lan Enforce上设置Vlan切换4. Aruba无线控制器配置图 6设置SSID对应Vlan信息sec-test图 7 设置Radius服务器10.112.198.170图 8 Aruba-认证设置图 9 Work role图 10 Repair role图 11 Guest role5. 未安装Agent认证自动弹出认证对话框，需要输入身份认证信息：图 12 身份认证信息输入身份认证通过，接入网络成功：图 13 认证成功-接入Work区域6. 安装Agent认证场景一：身份认证成功和安全策略检查合规，进入Work区域图 14 身份认证和安全策略检查都正确图 15 客户端IP信息-Work区域图 16 Aruba控制器信息-Work Roles场景二：身份认证成功和安全策略检查不合规，进入Repair区域图 17 身份认证成功策略检查不合规图 18 客户端IP信息-Repairk区域图 19 Aruba控制器信息-Repair Roles场景三：身份认证不成功和安全策略检查合规，等待二次认证图 20主机完整性检查通过图 21 输入错误信息-身份认证不成功图 22 再次弹出身份认证对话框图 23 Aruba控制器上没有认证信息场景四：安全检查合规变化为安全检查不合规，从Work区域自动跳入Repair区域图 24 身份认证成功和策略检查合规图 25 认证成功进入Work区域图 26 Aruba控制器-Work区域图 27策略检查不合规跳入Repair区域图 28 Aruba控制器-Repair区域7. 移动终端认证 结果： IPAD2、IPhone、安卓操作系统移动终端，支持802.1X协议认证，根据用户名、密码认证，工作正常（根据用户名可以切换到不同的区域）。8. 已验证的Aruba无线AC列表型号版本用户Aruba2400Version 5.0.3.3CCTVAruba3400Version 5.0.2.0ABC9. Aruba配置(Aruba3400) #show running-config Building Configuration. version 5.0enable secret 8aad4acaf406de05ea575ba2f84cahostname Aruba3400clock timezone CHT 8location Building1.floor1 mms config 0controller config 40ip access-list eth validuserethacl permit any !netservice svc-netbios-dgm udp 138netservice svc-snmp-trap udp 162netservice svc-syslog udp 514netservice svc-l2tp udp 1701netservice svc-ike udp 500netservice svc-https tcp 443netservice svc-smb-tcp tcp 445netservice svc-dhcp udp 67 68netservice svc-pptp tcp 1723netservice svc-sec-papi udp 8209netservice svc-sccp tcp 2000netservice svc-http-accl tcp 88netservice svc-telnet tcp 23netservice svc-netbios-ssn tcp 139 netservice svc-sip-tcp tcp 5060netservice svc-kerberos udp 88netservice svc-tftp udp 69netservice svc-http-proxy3 tcp 8888netservice svc-noe udp 32512netservice svc-cfgm-tcp tcp 8211netservice svc-adp udp 8200netservice svc-pop3 tcp 110netservice svc-lpd-tcp tcp 631netservice svc-rtsp tcp 554netservice svc-msrpc-tcp tcp 135 139netservice svc-dns udp 53netservice svc-h323-udp udp 1718 1719netservice svc-h323-tcp tcp 1720netservice svc-vocera udp 5002netservice svc-http tcp 80netservice svc-http-proxy2 tcp 8080netservice svc-sip-udp udp 5060netservice svc-nterm tcp 1026 1028netservice svc-noe-oxo udp 5000 alg noenetservice svc-papi udp 8211netservice svc-natt udp 4500netservice svc-ftp tcp 21netservice svc-microsoft-ds tcp 445 netservice svc-svp 119netservice svc-smtp tcp 25netservice svc-gre 47netservice svc-netbios-ns udp 137netservice svc-sips tcp 5061netservice svc-smb-udp udp 445netservice svc-cups tcp 515netservice svc-esp 50netservice svc-v6-dhcp udp 546 547netservice svc-snmp udp 161netservice svc-bootp udp 67 69netservice svc-msrpc-udp udp 135 139netservice svc-ntp udp 123netservice svc-icmp 1netservice svc-ssh tcp 22netservice svc-lpd-udp udp 631netservice svc-v6-icmp 58netservice svc-http-proxy1 tcp 3128ip access-list session control user any udp 68 deny any any svc-icmp permit any any svc-dns permit any any svc-papi permit any any svc-sec-papi permit any any svc-cfgm-tcp permit any any svc-adp permit any any svc-tftp permit any any svc-dhcp permit any any svc-natt permit !ip access-list session allow-diskservices any any svc-netbios-dgm permit any any svc-netbios-ssn permit any any svc-microsoft-ds permit any any svc-netbios-ns permit !ip access-list session validuser any any any permit !ip access-list session vocera-acl any any svc-vocera permit queue high !ip access-list session icmp-acl any any svc-icmp permit !ip access-list session captiveportal user alias controller svc-https dst-nat 8081 user any svc-http dst-nat 8080 user any svc-https dst-nat 8081 user a