2024年2月28日发(作者：谏碧莹)

实验网络说明

实验目的

本实验完成了一个公司内部员工BYOD在公司无线网络中应用的场景。公司内部员工可以使用公司拥有的加入域的Windows电脑，又可以在公司的无线网络中使用IPad或Iphone，Android手机或基于Android的Pad，也可以使用自己的没有加入公司域的Windows笔记本电脑。没有加入公司域的无线设备在使用前必须通过BYOD Provision的过程。通过BYOD Provision成功的无线终端，会分配一个BYOD终端的网络访问角色。

实验网络设备

本实验中使用到的网络设备包括：

ClearPass 6.0

Aruba Access Controller

Aruba AP

Windows 2008 R2 (With Active Directory and DNS)

2500交换机

Windows笔记本电脑 2台

IPad/Iphone

Android Pad/Phone

实验网络拓扑

Windows 2008R2上安装Active Directory

1. 打开 Server Manager

2. 点击“Roles”,点击“Add Roles”，出现下面的界面 3. 点击“Next”进入下面的界面

4. 选择“Active Directory Domain Services”，系统提示安装.NET Framework

Features，直接点击“Add Required Features”进入安装 5. 系统出现下面的提示后，直接点击“Next”

6. 在下面的界面中直接点击“Install” 7. 安装完成后，出现下面的界面

Windows 2008R2上安装DNS Server

DNS Sever的安装方法和Active Directory一样，下面是安装DNS配置完成后的界面。只要能保证DNS能够解析出Active Directory服务器的地址即可。这里是10.64.7.11

ClearPass中配置证书

（如果不想使用自己的证书，此步骤可以省略） 1. 点击“Dashboard”>>“ClearPass Guest”，进入ClearPass Guest配置页面

2. 导航到“Onboard”>>“Certificate Authority Setting”证书管理页面

3. 输入下图中的必要项，点击“Create Root Certificate”来产生一个证书

4. 回到“ClearPass Policy Manager”，导航到“Administration”>>“Certificates”>>“Server Certificate”，点击“Create Self-Signed

Certificate”来创建一个新的服务器证书。

（这样创建的证书不能用于加入Cluster的ClearPass）

5. 提交后如下图

6. 安装后如下图

把CPPM加入到AD的域

1. 点击“Administration”>>”Server Manager”>>”Server Configuration”, 点击“Server Name”

2. 进入下面的界面后点击“Join AD Domain”

3. 输入Domain控制器名称“Domain Controller”和密码“Password”，点击“Save” 4. 出现下面的界面，表示ClearPass加入域成功 把AD添加到ClearPass的认证源

1. 点击“Configuration”>>“Authentication”>>“Source”进入“Authentication Source”配置界面

2. 点击上面中的“Add Authentication Source”页面进入如下图的页面

3. 点击“Next”进入“Primary”配置tab

输入“Hostname”“Bind DN”“Bind Password”。点击 “Search Base

Dn”进入LDAP浏览页面，选择根目录

点击“Save”，返回到“Primary”页面，可以看到Base DN已经添加成功

4. 点击“Next”进入“Attribute”配置tab

5. 点击“Save”，完成把AD添加到ClearPass的认证源的操作 把AC加入的ClearPass的网络设备列表中

1. 导航到“Configuration”>>“Network”>>“Device”页面，点击“Add

Device”进入下面的界面

2. 点击“Add”后，回来“Network Devices”列表页面

在ClearPass中创建自己的服务

1. 导航到“Configuration”>>“Service” 页面

2. 点击“Add Service”进入下面的界面

3. 下图是本次使用的的配置

在ClearPass中创建自己的Role和Role Mapping

1. 导航到“Configuration”>>“Identity”>>“Roles”界面，填加需要的Role，本实验中加入了3个Role：Auth-BYOD，Authenticated，BYOD-Provision。如下图选中的3个Role

2. 导航到“Configuration”>>“Identity”>>“Roles Mapping”界面，填加需要的Role Mapping

3. 点击“Add Role Mapping”，创建自己的Role Mapping

4. 点击“Next”输入Mapping Rules

5. 本次实验使用的Policy和Mapping Rules内容如下图

在ClearPass中创建自己的Enforcement Profiles和Enforcement Policy

本实验中加入了3个Enforcement Profiles：

hzhao-BYOD Employee: 返回Authenticated

hzhao-BYOD Access Employee Before Auth

hzhao-BYOD Employee After Auth

Enforcement Profile Type Name hzhao-BYOD Employee hzhao-BYOD Access Employee Before

Auth hzhao-BYOD Employee After Auth Radius: Aruba Radius: Aruba Radius: Aruba Aruba-­‐User-­‐Role Aruba-­‐User-­‐Role Aruba-­‐User-­‐Role Value Authenticated BYOD-­‐Provision Auth-­‐BYOD

1. 导航到“Configuration”>>“Enfocement”>>“Proflies”界面，点击“Add Enforcement Profile”来填加需要的Profiles

2. 根据上面的表格，在“Attributes”中输入相关的内容，如下图

3. 3个Profiles全部输入后的界面如下图

4. 导航到“Configuration”>>“Enfocement”>>“Policies”界面，点击“Add Enforcement Policy”来填加需要的Policy

5. 点击“Next”添加自己的Rule

6. 本次实验共添加4个Rules

在ClearPass Guest中配置Provioning Settings

请注意：如果使用的是SE ClearPass Image，IOS的设备在Provision完成后不能重新连接无线。

1. 导航到“Onboard”>>“Provisioning Settings”配置页面

2. 点击“iOS & OS X”确认配置。注意如果使用的是SE ClearPass Image，IOS的设备在Provision完成后不能重新连接无线

3. 点击“Onboard Client”，在Provisioning Address项中选择“10.64.7.27（Management Port）”

在ClearPass Guest中配置Network Settings

1. 导航到“Onboard”>>“Network Settings”配置页面，点击“Create new

network”创建自己的配置。把SSID改成自己实验用的SSID

2. 如果自己创建了证书，在Trust项中检查实验使用的证书是否是自己新建的证书

在ClearPass Guest中配置Web Logins

1. 导航到“configuration”>>“Web Logins”页面，本实验使用的是默认配置

2. 导航到“configuration”>>“Authentication”页面，取消Security选择框的选择，可以同时支持客户端的https和http访问

Controller中的配置

Access List配置

netdestination Apple name name netdestination Google-Play

name

ip access-list session captiveportal

user alias controller svc-https dst-nat 8081

user host 10.64.7.27 svc-https permit

user host 10.64.7.27 svc-http permit

user any svc-https dst-nat 8081

user any svc-http-proxy1 dst-nat 8088

user any svc-http-proxy2 dst-nat 8088

user any svc-http-proxy3 dst-nat 8088

user any svc-http dst-nat 8080

AAA Profiles配置

aaa authentication-­‐server radius "hzhao-­‐CP-­‐60" host "10.64.7.27" key 298fa39463b13e515601933ceb32b760 aaa server-­‐group "hzhao-­‐CP60-­‐group" auth-­‐server hzhao-­‐CP-­‐60 set role condition role value-­‐of aaa profile "hzhao-­‐AAA-­‐authenticated" initial-­‐role "guest-­‐logon"

authentication-­‐dot1x "default" dot1x-­‐default-­‐role "authenticated" dot1x-­‐server-­‐group "hzhao-­‐CP60-­‐group" rfc-­‐3576-­‐server "10.64.7.27" AAA Captive Portal Profiles配置

aaa authentication captive-­‐portal "byod-­‐cp" server-­‐group "hzhao-­‐CP60-­‐group" redirect-­‐pause 1 no logout-­‐popup-­‐window protocol-­‐http login-­‐page "10.64.7.27/guest/device_" switchip-­‐in-­‐redirection-­‐url white-­‐list "Apple" white-­‐list "Google-­‐Play" User Roles配置

user-role Auth-BYOD

access-list session allowall

access-list session v6-allowall

user-role BYOD-Provision

captive-portal "byod-cp"

access-list session captiveportal

access-list session logon-control

user-role authenticated

access-list session allowall

access-list session v6-allowall

VAP配置

wlan ssid-profile "hzhao-125"

essid "hzhao-125"

opmode wpa2-aes

wpa-passphrase 9e002bc5d4664659f6229ea7dc06dbf4da56cedba8fbd372

wlan virtual-ap "hzhao-125"

aaa-profile "hzhao-AAA-authenticated"

ssid-profile "hzhao-125"

vlan 31

broadcast-filter all

band-steering

steering-mode force-5ghz

ap-group "hzhao-125"

virtual-ap "hzhao-125"

演示过程和配置

演示1 Windows终端演示

1. 使用加入域的Windows7连接到测试SSID，直接得到User-Role=Authenticated

2. 登录到AC的Web页面，并导航到“Monitoring”>>“NETWORK”>>“Clients”，可以看到如下的页面

3. 登录到ClearPass Policy Manager并导航到“Monitoring”>>“Access

Tracker”，点击刚才的认证记录，可以看到如下的页面

4. 使用另一台没有加入域的Windows7连接到测试SSID，直接得到User-Role= BYOD-Provision

5. 这时Windows会弹出下面的注册页面

6. 点击“Start QuickConnect”,并运行下载下来的文件，会出现如下的界面

7. 点击上面界面中的Next，进入下一步

8. 输入用户名和密码，点击Next

9. 程序3次如下图提示安装证书，全部点击Yes

10. 证书安装完成后，点击Connect

11. 最后点击Close，Onboard的过程已经完成

12. Windows7 完成以上Onboard操作后，直接得到User-Role= Auth-BYOD

13. 登录到AC的Web页面，并导航到“Monitoring”>>“NETWORK”>>“Clients”，可以看到User role

14. 登录到ClearPass Policy Manager并导航到“Monitoring”>>“Access

Tracker”，点击刚才的认证记录，可以看到如下的页面

演示2 IPad终端演示

1. 使用Ipad连接到测试SSID，输入用户名和口令，IPad提示证书安装，直接点击“Accept”

2. 登录到AC的Web页面，并导航到“Monitoring”>>“NETWORK”>>“Clients”，可以看到User role=BYOD-Provision

3. 在Ipad上打开Safari或其他浏览器，输入任何有效的网址，浏览器会弹出下面的界面

4. 点击“Install root certificate”，在系统弹出的界面上点击“Install”来安装Root 证书

5. 直到出现下面的界面，直接点击“Done”

6. 在下面的界面中输入用户名和口令，直接点击“Log In”

7. 根据提示安装其他证书，直到出现下面的界面

8. 因为SE ClearPass Image在IPad下不能进行重新连接，所以需要手动重新连接无线

9. 登录到AC的Web页面，并导航到“Monitoring”>>“NETWORK”>>“Clients”，可以看到User-Role已经变成了Auth-BYOD

10. 登录到ClearPass Policy Manager并导航到“Monitoring”>>“Access

Tracker”，点击刚才的认证记录，可以看到如下的页面

演示3 Android终端演示

1. 直接把Android终端连接到SSID，输入用户名和口令后连接成功

2. 登录到AC的Web页面，并导航到“Monitoring”>>“NETWORK”>>“Clients”，可以看到User role=BYOD-Provision

3. 在Android中打开浏览器，输入任何有效的网址，页面被重新定向到如下的页面

4. 点击“Install QuickConnect”，选择“Google Play Store”来安装QuickConnect

5. 安装完成后，点击第3步中的“Next”，出现如下界面

6. 点击“Install Network Profile”，出现如下的提示

7. 选择“在线播放”。出现如下的界面，输入用户名和密码，点击“Configure”

8. 系统Provision成功后出现如下界面

9. 登录到AC的Web页面，并导航到“Monitoring”>>“NETWORK”>>“Clients”，可以看到User role=Auth-BYOD

10. 登录到ClearPass Policy Manager并导航到“Monitoring”>>“Access

Tracker”，点击刚才的认证记录，可以看到如下的页面

2024年2月28日发(作者：谏碧莹)

实验网络说明

实验目的

本实验完成了一个公司内部员工BYOD在公司无线网络中应用的场景。公司内部员工可以使用公司拥有的加入域的Windows电脑，又可以在公司的无线网络中使用IPad或Iphone，Android手机或基于Android的Pad，也可以使用自己的没有加入公司域的Windows笔记本电脑。没有加入公司域的无线设备在使用前必须通过BYOD Provision的过程。通过BYOD Provision成功的无线终端，会分配一个BYOD终端的网络访问角色。

实验网络设备

本实验中使用到的网络设备包括：

ClearPass 6.0

Aruba Access Controller

Aruba AP

Windows 2008 R2 (With Active Directory and DNS)

2500交换机

Windows笔记本电脑 2台

IPad/Iphone

Android Pad/Phone

实验网络拓扑

Windows 2008R2上安装Active Directory

1. 打开 Server Manager

2. 点击“Roles”,点击“Add Roles”，出现下面的界面 3. 点击“Next”进入下面的界面

4. 选择“Active Directory Domain Services”，系统提示安装.NET Framework

Features，直接点击“Add Required Features”进入安装 5. 系统出现下面的提示后，直接点击“Next”

6. 在下面的界面中直接点击“Install” 7. 安装完成后，出现下面的界面

Windows 2008R2上安装DNS Server

DNS Sever的安装方法和Active Directory一样，下面是安装DNS配置完成后的界面。只要能保证DNS能够解析出Active Directory服务器的地址即可。这里是10.64.7.11

ClearPass中配置证书

（如果不想使用自己的证书，此步骤可以省略） 1. 点击“Dashboard”>>“ClearPass Guest”，进入ClearPass Guest配置页面

2. 导航到“Onboard”>>“Certificate Authority Setting”证书管理页面

3. 输入下图中的必要项，点击“Create Root Certificate”来产生一个证书

4. 回到“ClearPass Policy Manager”，导航到“Administration”>>“Certificates”>>“Server Certificate”，点击“Create Self-Signed

Certificate”来创建一个新的服务器证书。

（这样创建的证书不能用于加入Cluster的ClearPass）

5. 提交后如下图

6. 安装后如下图

把CPPM加入到AD的域

1. 点击“Administration”>>”Server Manager”>>”Server Configuration”, 点击“Server Name”

2. 进入下面的界面后点击“Join AD Domain”

3. 输入Domain控制器名称“Domain Controller”和密码“Password”，点击“Save” 4. 出现下面的界面，表示ClearPass加入域成功 把AD添加到ClearPass的认证源

1. 点击“Configuration”>>“Authentication”>>“Source”进入“Authentication Source”配置界面

2. 点击上面中的“Add Authentication Source”页面进入如下图的页面

3. 点击“Next”进入“Primary”配置tab

输入“Hostname”“Bind DN”“Bind Password”。点击 “Search Base

Dn”进入LDAP浏览页面，选择根目录

点击“Save”，返回到“Primary”页面，可以看到Base DN已经添加成功

4. 点击“Next”进入“Attribute”配置tab

5. 点击“Save”，完成把AD添加到ClearPass的认证源的操作 把AC加入的ClearPass的网络设备列表中

1. 导航到“Configuration”>>“Network”>>“Device”页面，点击“Add

Device”进入下面的界面

2. 点击“Add”后，回来“Network Devices”列表页面

在ClearPass中创建自己的服务

1. 导航到“Configuration”>>“Service” 页面

2. 点击“Add Service”进入下面的界面

3. 下图是本次使用的的配置

在ClearPass中创建自己的Role和Role Mapping

1. 导航到“Configuration”>>“Identity”>>“Roles”界面，填加需要的Role，本实验中加入了3个Role：Auth-BYOD，Authenticated，BYOD-Provision。如下图选中的3个Role

2. 导航到“Configuration”>>“Identity”>>“Roles Mapping”界面，填加需要的Role Mapping

3. 点击“Add Role Mapping”，创建自己的Role Mapping

4. 点击“Next”输入Mapping Rules

5. 本次实验使用的Policy和Mapping Rules内容如下图

在ClearPass中创建自己的Enforcement Profiles和Enforcement Policy

本实验中加入了3个Enforcement Profiles：

hzhao-BYOD Employee: 返回Authenticated

hzhao-BYOD Access Employee Before Auth

hzhao-BYOD Employee After Auth

Enforcement Profile Type Name hzhao-BYOD Employee hzhao-BYOD Access Employee Before

Auth hzhao-BYOD Employee After Auth Radius: Aruba Radius: Aruba Radius: Aruba Aruba-­‐User-­‐Role Aruba-­‐User-­‐Role Aruba-­‐User-­‐Role Value Authenticated BYOD-­‐Provision Auth-­‐BYOD

1. 导航到“Configuration”>>“Enfocement”>>“Proflies”界面，点击“Add Enforcement Profile”来填加需要的Profiles

2. 根据上面的表格，在“Attributes”中输入相关的内容，如下图

3. 3个Profiles全部输入后的界面如下图

4. 导航到“Configuration”>>“Enfocement”>>“Policies”界面，点击“Add Enforcement Policy”来填加需要的Policy

5. 点击“Next”添加自己的Rule

6. 本次实验共添加4个Rules

在ClearPass Guest中配置Provioning Settings

请注意：如果使用的是SE ClearPass Image，IOS的设备在Provision完成后不能重新连接无线。

1. 导航到“Onboard”>>“Provisioning Settings”配置页面

2. 点击“iOS & OS X”确认配置。注意如果使用的是SE ClearPass Image，IOS的设备在Provision完成后不能重新连接无线

3. 点击“Onboard Client”，在Provisioning Address项中选择“10.64.7.27（Management Port）”

在ClearPass Guest中配置Network Settings

1. 导航到“Onboard”>>“Network Settings”配置页面，点击“Create new

network”创建自己的配置。把SSID改成自己实验用的SSID

2. 如果自己创建了证书，在Trust项中检查实验使用的证书是否是自己新建的证书

在ClearPass Guest中配置Web Logins

1. 导航到“configuration”>>“Web Logins”页面，本实验使用的是默认配置

2. 导航到“configuration”>>“Authentication”页面，取消Security选择框的选择，可以同时支持客户端的https和http访问

Controller中的配置

Access List配置

netdestination Apple name name netdestination Google-Play

name

ip access-list session captiveportal

user alias controller svc-https dst-nat 8081

user host 10.64.7.27 svc-https permit

user host 10.64.7.27 svc-http permit

user any svc-https dst-nat 8081

user any svc-http-proxy1 dst-nat 8088

user any svc-http-proxy2 dst-nat 8088

user any svc-http-proxy3 dst-nat 8088

user any svc-http dst-nat 8080

AAA Profiles配置

aaa authentication-­‐server radius "hzhao-­‐CP-­‐60" host "10.64.7.27" key 298fa39463b13e515601933ceb32b760 aaa server-­‐group "hzhao-­‐CP60-­‐group" auth-­‐server hzhao-­‐CP-­‐60 set role condition role value-­‐of aaa profile "hzhao-­‐AAA-­‐authenticated" initial-­‐role "guest-­‐logon"

authentication-­‐dot1x "default" dot1x-­‐default-­‐role "authenticated" dot1x-­‐server-­‐group "hzhao-­‐CP60-­‐group" rfc-­‐3576-­‐server "10.64.7.27" AAA Captive Portal Profiles配置

aaa authentication captive-­‐portal "byod-­‐cp" server-­‐group "hzhao-­‐CP60-­‐group" redirect-­‐pause 1 no logout-­‐popup-­‐window protocol-­‐http login-­‐page "10.64.7.27/guest/device_" switchip-­‐in-­‐redirection-­‐url white-­‐list "Apple" white-­‐list "Google-­‐Play" User Roles配置

user-role Auth-BYOD

access-list session allowall

access-list session v6-allowall

user-role BYOD-Provision

captive-portal "byod-cp"

access-list session captiveportal

access-list session logon-control

user-role authenticated

access-list session allowall

access-list session v6-allowall

VAP配置

wlan ssid-profile "hzhao-125"

essid "hzhao-125"

opmode wpa2-aes

wpa-passphrase 9e002bc5d4664659f6229ea7dc06dbf4da56cedba8fbd372

wlan virtual-ap "hzhao-125"

aaa-profile "hzhao-AAA-authenticated"

ssid-profile "hzhao-125"

vlan 31

broadcast-filter all

band-steering

steering-mode force-5ghz

ap-group "hzhao-125"

virtual-ap "hzhao-125"

演示过程和配置

演示1 Windows终端演示

1. 使用加入域的Windows7连接到测试SSID，直接得到User-Role=Authenticated

2. 登录到AC的Web页面，并导航到“Monitoring”>>“NETWORK”>>“Clients”，可以看到如下的页面

3. 登录到ClearPass Policy Manager并导航到“Monitoring”>>“Access

Tracker”，点击刚才的认证记录，可以看到如下的页面

4. 使用另一台没有加入域的Windows7连接到测试SSID，直接得到User-Role= BYOD-Provision

5. 这时Windows会弹出下面的注册页面

6. 点击“Start QuickConnect”,并运行下载下来的文件，会出现如下的界面

7. 点击上面界面中的Next，进入下一步

8. 输入用户名和密码，点击Next

9. 程序3次如下图提示安装证书，全部点击Yes

10. 证书安装完成后，点击Connect

11. 最后点击Close，Onboard的过程已经完成

12. Windows7 完成以上Onboard操作后，直接得到User-Role= Auth-BYOD

13. 登录到AC的Web页面，并导航到“Monitoring”>>“NETWORK”>>“Clients”，可以看到User role

14. 登录到ClearPass Policy Manager并导航到“Monitoring”>>“Access

Tracker”，点击刚才的认证记录，可以看到如下的页面

演示2 IPad终端演示

1. 使用Ipad连接到测试SSID，输入用户名和口令，IPad提示证书安装，直接点击“Accept”

2. 登录到AC的Web页面，并导航到“Monitoring”>>“NETWORK”>>“Clients”，可以看到User role=BYOD-Provision

3. 在Ipad上打开Safari或其他浏览器，输入任何有效的网址，浏览器会弹出下面的界面

4. 点击“Install root certificate”，在系统弹出的界面上点击“Install”来安装Root 证书

5. 直到出现下面的界面，直接点击“Done”

6. 在下面的界面中输入用户名和口令，直接点击“Log In”

7. 根据提示安装其他证书，直到出现下面的界面

8. 因为SE ClearPass Image在IPad下不能进行重新连接，所以需要手动重新连接无线

9. 登录到AC的Web页面，并导航到“Monitoring”>>“NETWORK”>>“Clients”，可以看到User-Role已经变成了Auth-BYOD

10. 登录到ClearPass Policy Manager并导航到“Monitoring”>>“Access

Tracker”，点击刚才的认证记录，可以看到如下的页面

演示3 Android终端演示

1. 直接把Android终端连接到SSID，输入用户名和口令后连接成功

2. 登录到AC的Web页面，并导航到“Monitoring”>>“NETWORK”>>“Clients”，可以看到User role=BYOD-Provision

3. 在Android中打开浏览器，输入任何有效的网址，页面被重新定向到如下的页面

4. 点击“Install QuickConnect”，选择“Google Play Store”来安装QuickConnect

5. 安装完成后，点击第3步中的“Next”，出现如下界面

6. 点击“Install Network Profile”，出现如下的提示

7. 选择“在线播放”。出现如下的界面，输入用户名和密码，点击“Configure”

8. 系统Provision成功后出现如下界面

9. 登录到AC的Web页面，并导航到“Monitoring”>>“NETWORK”>>“Clients”，可以看到User role=Auth-BYOD

10. 登录到ClearPass Policy Manager并导航到“Monitoring”>>“Access

Tracker”，点击刚才的认证记录，可以看到如下的页面