Aruba Clearpass: VM-Dimensionierung
Informationen zum VM-Sizing
Aruba ClearPass
Clearpass ist eine Appliance von Aruba, welche unter anderem als Networks Access Control Server eingesetzt wird. Im Gegensatz zu einem Microsoft NPS, welcher ein einfacher RADIUS-Server ist, bietet Clearpass deutlich mehr Features. Es fungiert zusätzlich als Server für TACACS+ sowie Webauth-Anfragen und kann als Captive-Portal-Server und als CA genutzt werden. Darüber hinaus ist Aruba Clearpass sehr variantenreich konfigurierbar, sodass nahezu alle Anforderungen für komplexe Authentifzierungsmethoden erfüllt werden können. Die Appliance ist als Hardware und als virtuelle Maschine zu erwerben. Um den Betrieb von einer bzw. zwei virtueller Maschinen gewährleisten zu können, muss sichergestellt werden, dass genügend Ressourcen auf dem Hypervisor zur Verfügung stehen. Hier entsteht häufig ein Problem, denn die Clearpass Appliance ist recht anspruchsvoll in seinen Hardwarebedürfnissen. Um Missverständnisse und Fehleinschätzungen zu umgehen, stellen wir hier kurz und bündig die Anforderungen der Clearpass VM dar. So können potenzielle Kunden diese mit den verfügbaren Ressourcen auf ihren Hypervisoren vergleichen und eventuelle Schwachstellen nachrüsten, bevor die VM installiert wird.
Clearpass Versionen
In diesem Artikel wollen wir auf die Anforderung an die Hardware der virtuellen Maschine für Aruba Clearpass eingehen. Hin und wieder sind Kunden verwundert, wenn Sie die Werte im offiziellen Sizingguide von Aruba sehen. Darum wollen wir diese hier abbilden und erläutern. Clearpass als VM kann in vier unterschiedlichen Versionen installiert werden. Die Version wird beim initialen Setup der VM konfiguriert und kann nachträglich nicht mehr verändert werden. Über die jeweilige Version der VM wird die Anzahl der gleichzeitigen Authentifizierungen bestimmt und damit auch die benötigte virtuelle Hardware festgelegt. Die Plattformlizenz für eine VM gilt für alle Versionen, sodass größere Versionen nicht zusätzliches Geld kosten.
Zur Verfügung stehen die folgenden Versionen:
- C1000V
- C2000V
- C3000V
Außerdem kann Clearpass zu Schulungs- oder Evaluationszwecken auch als CLABV konfiguriert werden. Diese Version ist nicht besonders leistungsfähig und dient dem Betrieb in Labor- und nicht in Produktionsumgebungen.
Leistungsdaten der Clearpassversionen
Die Wahl der Clearpass Version orientiert sich an deren Leistungsfähigkeit. Der relevanteste Faktor dafür sind die Concurrent Sessions, welche die Clearpass-VM verwalten muss. Gemeint sind hier die gleichzeitig im Netzwerk angemeldeten Benutzer. Orientieren sollten Sie sich hier also an der durchschnittlichen Anzahl der Nutzer in Ihrem kabellosen und kabelgebundenen Netzwerk. Wichtig ist, dass die Anzahl der Concurrent Sessions auf dem Clearpass zusätzlich zur Plattform lizenziert werden muss. Sollte diese Zahl allerdings hin und wieder überschritten werden, fällt dies insofern nicht weiter ins Gewicht, als dass die Clearpass Appliance weiter ihre Dienste verrichtet. Lediglich um den Support ist es bei dauerhafter Überschreitung schlecht bestellt. Die folgende Tabelle stellt die Leistungsdaten der drei Versionen dar.
| Version | Concurrent Sessions | Gastanmeldungen pro Sekunde | EAP-TLS Anmeldungen pro Sekunde |
| C1000V | 500 | 60 | 84 |
| C2000V | 5.000 | 224 | 198 |
| C3000V | 50.000 | 334 | 376 |
Hardwareanforderungen der Clearpassversionen
Je leistungsstärker die installierte Clearpassversion ist, desto stärker fällt auch die benötigte virtuelle Hardware aus. In der folgenden Tabelle werden die Hardwarevoraussetzungen den einzelnen Versionen zugeordnet.
| Version | CPU | RAM | Festplatte | Netzwerkports |
| C1000V | 8 | 8 GB | 1000 GB | 2 |
| C2000V | 8 | 16 GB | 1000 GB | 2 |
| C3000V | 24 | 64 GB | 1800 GB | 2 |
Recht auffällig ist die Festplattengröße. Diese geht darauf zurück, dass Anmeldeversuche, welche die Clearpass Appliance als Server nutzen, 14 Tage gespeichert werden. Vorgabe von Aruba ist, dass die Festplatte Thick-Provisioned Lazy-Zeroed sein soll. Für den Fall, dass der Festplattenspeicher nicht ausreicht, kann diese aber auch Thin-Provisioned eingerichtet werden. Damit erlischt zwar theoretisch die Support-Garantie, aber in der Praxis wird diese Karte von Aruba selten bis nie gezogen. Darüber hinaus ist die Funktion der Appliance nicht eingeschränkt.
Resumee
Aruba Clearpass ist eine hardwarehungrige Appliance. Denjenigen Anwendern, welche nur Teile der Appliance ausnutzen, mag die Anforderung überdimensioniert erscheinen. Je mehr Nutzen man aus Clearpass zieht, desto klarer wird, warum dies der Fall ist. Durch den Hardwarebedarf der Appliance kann Aruba eine leistungsstarke Authentifizierungsplattform gewährleisten.