ClearPass终端接入管理平台

Aruba创新接入管理系统ClearPass助力企业BYOD鲁义轩【摘要】Aruba Networks日前在中国推出了针对企业BYOD(Bring Your Own Device,个人设备用于工作场合)的接入管理系统"ClearPass".作为Aruba推出的首个能兼容iOS、Android、Mac OS×和Windows 7等操作系统的移动设备安全配置,该系统可以在任何企业网络上自动为移动设备进行安全的网络配置并简化过程,不仅能帮助IT部门降低移动服务管理成本,还能迅速满足被员工带到工作场合的个人设备对网络的需求.【期刊名称】《通信世界》【年(卷),期】2012(000)014【总页数】1页(P26)【作者】鲁义轩【作者单位】【正文语种】中文Aruba Networks日前在中国推出了针对企业BYOD（Bring Your Own Device，个人设备用于工作场合）的接入管理系统“ClearPass”。

作为Aruba推出的首个能兼容iOS、Android、Mac OS X和Windows 7等操作系统的移动设备安全配置，该系统可以在任何企业网络上自动为移动设备进行安全的网络配置并简化过程，不仅能帮助IT部门降低移动服务管理成本，还能迅速满足被员工带到工作场合的个人设备对网络的需求。

应对BYOD带来的网络挑战据Aruba亚太及日本地区副总裁Gary Jackson称，目前在中国，BYOD的应用被越来越多的企业所接受。

今年2月份Aruba针对BYOD在中国的发展情况面向两百多位来自各个行业的企业高管和IT负责人进行的一项调查显示，目前在中国已经有78.9%的企业允许员工使用个人设备工作，这比亚太区整体还高出了8个百分点。

但与此同时，BYOD也给企业带来了更大的网络技术挑战，其中调查者普遍认为网络安全和管理便捷是BYOD的两大应用挑战，分别占受访者的58.2%和43.4%。

数据表ARUBA CLEARPASS策略管理器现有最先进的安全NAC（网络准入控制）平台作为Aruba 360 Secure Fabric的组成部分，Aruba ClearPass策略管理器为物联网、自带设备（BYOD）、企业设备以及任何多供应商有线、无线和VPN基础设施的员工、承包商和访客提供基于角色和设备的安全网络准入控制。

通过内置的基于具体环境的策略引擎，RADIUS、非 RADIUS（使用OnConnect）和TACACS+强制策略、以及终端识别、健康评估和访客接入选项，ClearPass为任何规模的组织机构提供无与伦比的网络安全基础。

对于采用防火墙、EMM/MDM和其他安全产品的全面安全集成解决方案，ClearPass支持Aruba 360 Security Exchange计划，从而可以与第三方安全供应商和IT系统集成，实现自动化的威胁检测和响应工作流，这在以前往往需要IT的人工干预。

另外，ClearPass支持自助服务功能，使终端用户更加容易接入网络。

在管理策略控制之下，用户可以安全地配置他们用于企业的自带设备或互联网接入。

Aruba无线客户尤其能够利用独特的集成功能（例如AirGroup）以及Aruba单点登录（ASO）。

ASO 使用户的网络身份验证能够自动传递到他们的企业移动应用，以便他们能够自动通过认证，立即开展工作。

结果是IT可以获得连接到企业的所有有线和无线设备的详细可见性，简化和自动化设备身份验证、强化网络授权控制，以及通过和第三方合作伙伴生态系统的集成提供更快和更好的事件分析和响应。

这样一个全面和可升级的策略管理平台，超越了传统的AAA解决方案，能够为IT和自带设备（BYOD）提供广泛的安全实施能力。

关键特性•跨多个供应商无线、有线和VPN网络，基于角色的统一网络接入；•直观的策略配置模板和可视化故障排除工具；•支持多种身份验证/授权来源（AD、LDAP、SQL dB）；•自助服务设备登录，具备适用于BYOD的内置证书颁发机构（CA）；•访客接入功能，具备广泛的定制、品牌化和基于发起人的审批；•与主流EMM/MDM解决方案集成，提供深入的设备评估能力；•与Aruba 360 Security Exchange计划全面集成；•单点登录（SSO）支持用于Ping、Okta和其他身份管理工具，为基于SAML 2.0的应用程序提升客户体验。

实验网络说明实验目的本实验完成了一个公司内部员工BYOD在公司无线网络中应用的场景。

公司内部员工可以使用公司拥有的加入域的Windows电脑，又可以在公司的无线网络中使用IPad或Iphone，Android手机或基于Android的Pad，也可以使用自己的没有加入公司域的Windows笔记本电脑。

没有加入公司域的无线设备在使用前必须通过BYOD Provision的过程。

通过BYOD Provision成功的无线终端，会分配一个BYOD终端的网络访问角色。

实验网络设备本实验中使用到的网络设备包括：ClearPass 6.0Aruba Access ControllerAruba APWindows 2008 R2 (With Active Directory and DNS)2500交换机Windows笔记本电脑 2台IPad/IphoneAndroid Pad/Phone实验网络拓扑Windows 2008R2上安装Active Directory1.打开 S erver M anager2.点击“Roles”,点击“Add Roles”，出现下面的界面3.点击“Next”进入下面的界面4.选择“Active Directory Domain Services”，系统提示安装.NET FrameworkFeatures，直接点击“Add Required Features”进入安装5.系统出现下面的提示后，直接点击“Next”6.在下面的界面中直接点击“Install”7.安装完成后，出现下面的界面Windows 2008R2上安装DNS ServerDNS S ever的安装方法和Active D irectory一样，下面是安装DNS配置完成后的界面。

只要能保证DNS能够解析出Active Directory服务器的地址即可。

这里是10.64.7.11ClearPass中配置证书（如果不想使用自己的证书，此步骤可以省略）1.点击“Dashboard”>>“ClearPass Guest”，进入ClearPass Guest配置页面2.导航到“Onboard”>>“Certificate Authority Setting”证书管理页面3.输入下图中的必要项，点击“Create Root Certificate”来产生一个证书4.回到“ClearPass Policy Manager”，导航到“Administration”>>“Certificates”>>“Server Certificate”，点击“Create Self-Signed Certificate”来创建一个新的服务器证书。

中关企业门户平台CenEP解决方案中关企业门户平台CenEP国际化的门户技术，本地化的门户服务，信息化的如意之门  图：CenEP(红色部分)在CenGRP中的位置中关企业门户平台CenEP是一个应用框架，可将分散异构的信息孤岛资源通过统一的的通用门户界面整合到一个统一的访问入口，实现结构化数据资源、非结构化文档和互联网资源、各种应用系统跨数据库、跨系统平台的无缝接入和集成，提供一个支持信息访问、传递、以及协作的集成化商务环境，可实现个性化业务应用的高效开发、集成、部署与管理；并根据每个用户的特点、喜好和角色的不同，为特定用户提供量身定做的访问关键业务信息的安全通道和个性化应用界面，让适当的人在适当的时间获取适当的信息和服务。

通过中关企业门户平台所提供的预集成的、并不断丰富发展的具有中国特色的本地化Portlet 构件库的模块化业务服务，使得拥有足够的灵活性快速组装、定制、部署门户项目，加速了门户的交付，有效缩短项目周期，从而最大限度地降低项目风险和总体拥有成本(TCO)，并不断适应和满足用户不断变化的业务需求。

产品功能一站通访问方式单一的浏览器门户界面，可存取更多的相关信息，通过不同的视图View 访问机构范围内包括非结构化数据、结构化数据和应用系统在内的全部的授权信息资源，提升员工生产力和效率。

界面一致，培训成本低，只需学习对门户的操作，即可控制各种应用系统。

多系统的整合功能门户平台通过建立底层结构来联系横贯整个组织内外的异构系统、应用、数据源等，包括与通用的Office文档集成、与Lotus或Exchange等主流通用平台工具的集成、以及与机构内的各种业务系统（如ERP、CRM、SCM等系统）、办公应用系统、决策支持系统等商业应用系统的连接与集成，并且能保持这些系统的本来面貌。

预集成的并不断发展的标准化门户构件库：遵循国际标准Portlet (JSR 168)，集成已有的应用、第三方厂商的Portlet，扩展门户的功能模块。

把好BYOD 的接入安全关作者：暂无来源：《计算机世界》 2012年第43期■本报记者邹大斌当平板电脑、智能手机和笔记本电脑等智能无线终端走向普及，越来越多的公司员工开始把自己的这些设备带到公司，接入公司内部网络，访问企业内部的数据和应用，这就给企业信息安全带来了很大威胁。

“企业信息安全分为很多层次，如果每层都能为企业信息安全起到自己该起的作用，企业的信息安全威胁就会少很多。

”Aruba Networks（以下简称Aruba）中国分公司总裁徐涌告诉记者。

作为一家提供无线网络解决方案的公司，Aruba 对于Wi-Fi 网络接入有着更多的理解。

Aruba 深知，缺少安全管控的BYOD 设备通过Wi-Fi网络接入公司网络可能带来的安全威胁。

如果从BYOD 设备刚一接入Wi-Fi 网络时就把好安全关，无疑就可以大幅减少安全事件的发生。

基于这样的想法，Aruba 推出了一种名为ClearPass的接入管理系统。

ClearPass 是Aruba 推出的可以在任何企业网络上自动为移动设备进行安全的网络配置并简化过程的设备。

“让员工使用自己的设备接入企业网络能大大提高员工的工作效率，但对于IT 部门来说，为这些设备配置网络、确保安全并进行管理简直是一场噩梦。

而Aruba 的ClearPass 系列产品解决方案，不但能帮助IT 部门卸下工作的重担，同时还能让企业从BYOD 中获得益处。

”徐涌表示。

徐涌说，要真正确保BYOD 的安全，制定合适的安全策略是关键。

这里的安全策略要超越有线和无线网络，建立在用户感知、终端感知和应用感知这三个“感知”的基础上，将安全策略延伸至终端和应用，从而加深管理的有效性和安全性。

ClearPass终端接入管理平台Aruba ClearPass Access Management System™（接入管理系统）可以为管理和确保有线、无线和VPN基础架构上的网络安全提供无可比拟的简洁性。

ClearPass确保您可以安全地使用任何设备接入任何网络。

作为实现BYOD预配置和侦测的理想选择，ClearPass确保公司提供的和个人拥有的移动设备安全连接任意网络。

通过对整个网络的接入策略进行集中控制，ClearPass自动进行用户和设备接入区分、策略管理以及设备预配置，以实现安全网络接入和状态评估。

这就确保了每个用户都能够基于自己的身份以及使用哪种设备获得正确的接入优先权。

当下有越来越多的消费类设备采用Windows、Mac OS X、iOS、Android、Linux等操作系统连网络，而且用户类型也多种多样，从员工、访客、客户到承包商，在此情况下，ClearPass的作用举足轻重。

•第一款也是唯一一款适用于所有网络的BYOD预配置和侦测框架。

•自动实现Windows、Mac OS X、iOS和Android设备侦测。

•通过端点可视性、情境相关设备配置文件信息提高了策略决定的正确性。

•可升级、使用方便的访客管理系统可以实现访客安全接入。

除了基本的网络访问控制（NAC）能力，还提供了企业级端点状态和健康检查功能。

Aruba ClearPass终端接入管理系统由以下组建组成：Aruba ClearPass Policy ManagerClearPass系统的基本组件Aruba ClearPass Policy Manager平台可以在任何有线、无线和VPN基础架构上实现基于身份和设备的网络接入控制功能。

ClearPass Policy Manager平台的软件模块可以简化和自动实现设备配置、预配置、分析、健康检查和访客接入功能。

Aruba ClearPass Onboard用于ClearPass Policy Manager的软件模块ClearPass Onboard可以自动实现Windows、Mac OS X、iOS和Android设备的侦测流程。

管理平台用户手册目录一、云平台注册账号 (2)1.1浏览器注册 (2)1.2输入注册信息 (2)二、平台配置 (3)2. 1添加终端 (3)2.2 VPN证书下载 (4)2.3 SuperNet100接入配置 (5)2.4 PLC接入配置 (8)2.5 PC接入配置 (9)2.6 Android OS接入配置 (12)一、云平台注册账号账号注册前，将SuperNet100设备侧面标签IMEI内容提供给设备厂家，由厂家核实IMEI的正确性和准确性后方可正常使用。

1.1浏览器注册打开浏览器，输入网址http://39.107.155.18:8088/打开平台首页。

进入云平台主页1.2输入注册信息点击页面右侧的"Sign up "进入注册页面Account：为自拟用户名，支持数字、英文字母、下划线，长度8~24Password：为自设定密码，支持数字、英文字母、下划线，长度8~24Confirm Password 须与Password 保持一致Email：为注册邮箱，激活或修改密码须用到此邮箱，务必填写有效邮箱（注：此邮箱与报警接收邮箱并无关联）Product Code：设备识别码，见5G模块侧面.请填写IMEI内容.填写正确的设备识别码为创建云平台账户的必要条件，每个设备识别码只能注册一次。

Description：可填写账户描述内容所有内容填写完成后，点击submit。

待激活账户后，就可以正常登录云平台了。

注册完成后，云平台会提示等待系统建立账户，云平台管理系统会发送到注册邮箱里面一封邮件，用户需采用此邮件激活账户。

所以验证注册邮箱需真实有效，用以找回密码和确认身份。

一些电子邮件服务器可能会认为该邮件是垃圾邮件，如长时间无法收到该邮件请在垃圾邮件箱中查找。

二、平台配置2. 1添加终端登录云平台后，需要先将智能5G终端添加到您的账户中。

点击绿色的"Add"按钮，弹出对话框Device Type: 选择不同，填写内容不同PC：为连接云平台远程诊断的电脑，如下图（后续章节详细介绍）Device Type：为终端的产品型号为，请选择该选项，如下图OpenVPN Certificate:Build：如果需要通过OPEN VPN远程修改程序，远程维护，请选择该选项Do not build: 该型号产品不能选择此项Name：中填写要添加的模块名称，自定义模块名称，长度为2~32个字母或数字（可支持使用下划线）Description：可填写描述内容，支持字母，数字，下划线，或者中文（最大支持32个字母）IMEI code：设备的编码，请见模块侧面LAN IP：设备LAN口的IP地址LAN mask：设备LAN口的子网掩码点击“Submit”提交，显示设备添加成功后，点击OK关闭下图显示模块已经在云平台中添加成功，Status：代表协议转换功能是否正常，绿色是正常，灰色是不正常。

ClearPass终端接入管理平台Aruba ClearPass Access Management System™ （接入管理系统）可以为管理和确保有线、无线和VPN基础架构上的网络安全提供无可比拟的简洁性。

Cl earPass确保您可以安全地使用任何设备接入任何网络。

作为实现BYOD预配置和侦测的理想选择，ClearPass确保公司提供的和个人拥有的移动设备安全连接任意网络。

通过对整个网络的接入策略进行集中控制，ClearPass自动进行用户和设备接入区分、策略管理以及设备预配置，以实现安全网络接入和状态评估。

这就确保了每个用户都能够基于自己的身份以及使用哪种设备获得正确的接入优先权。

当丁有越来越多的消费类设备采用WindowsMac OS X、iOS、Android, Linux 等操作系统连网络，而且用户类型也多种多样，从员工、访客、客户到承包商，在此情况下，ClearPass的作用举足轻重。

•第一款也是唯一一款适用于所有网络的BYOD预配置和侦测框架。

•自动实现Windows, Mac OS X、iOS和Android设备侦测。

•通过端点可视性、情境相关设备配置文件信息提高了策略决定的正确性。

•可昇级、使用方便的访客管理系统可以实现访客安全接入。

除了基本的网络访问控制（NAC）能力，还提供了企业级端点状态和健康检查功能。

Aruba ClearPass终端接入管理系统由以下组建组成：Aruba ClearPass Policy ManagerC1 earPass系统的基本组件Aruba ClearPass Policy Manager平台可以在任何有线、无线和VPN基础架构上实现基于身份和设备的网络接入控制功能。

ClearPass Policy Manager平台的软件模块可以简化和自动实现设备配置、预配置、分析、健康检查和访客接入功能。

Aruba ClearPass Onboard用于ClearPass Policy Manager的软件模块ClearPass Onboard 可以自动实现Windows. Mac OS X、iOS 和Android 设备的侦测流程。