對於剛學習ClearPass的新夥伴來說，一開始見到ClearPass介面可能不知所措。如果一開始就能依照一些原則，依照原則去創建，就能避免日後的閱讀理解困難。

閱讀本文之前，需要對於ClearPass有基本認識， 如果還沒有基本程度的認識，可以參考，官方網站Web Help。

接下來會以「良好的配置」為主軸，何為良好的配置？需要做一點。

對於一個初次接觸環境但已經對ClearPass有基本認識的人，可以顧名思義，快速明白該環境認證運作。

良好的配置並不是運作的必要，但對於日後組建維護上，可以提供很大的幫助。

目錄

1. 目錄
2. 命名原則
3. 服務
   1. 利用—-去區分服務類型
   2. 關於服務的命名
4. 角色與角色映射
   1. 為什麼要使用「角色」？
   2. 一個良好的角色
   3. 一個良好的角色映射
5. 強制策略與強制配置文件
   1. 一個良好的強制策略
   2. 一個良好的強制配置文件
6. 配置示範

命名原則

一個良好的命名原則，可以幫助快速辨識出物件功能及用途，也能在查詢時快速找到重點。

凡事在會影響結果的判斷點，也就是流程圖中會影響結果的重大分支，都應該拿來作為命名原則。

以下為ClearPass的認證服務過程順序:

「輸入，服務條件，服務，認證源，授權源，角色映射(角色條件)，角色，強制策略(配置條件)，強制配置文件(輸出)」

遇到空白: 以「_」替代。 (「_」為空白替代。「-」後綴詞為前綴詞的屬性)

需要驗證的時機(服務): MgmtLogin、MAC Auth、802.1X

角色權限(角色): Manager、Operator

設備類型(重大分支): ArubaOS-Switch、MobilityController。※名稱太長可簡化為AOSSW、MC，名稱過長會使DUR下載失敗。

用戶角色權限取得方式(強制配置文件): User Role、DUR

上圖範例，是以流程順序的命名原則，會建立兩個服務、五個角色、十個強制配置文件。

服務

利用—-去區分服務類型

一個良好的服務，需要具有專一性，專一性是需要把條件限制嚴格，特定設備、特定SSID、特定認證等才會命中該服務，藉此能做到彈性最大的配置。

不過，也會因此產生許多服務，一旦服務一多，就會很容易分不出類型。

無線認證、有線認證還是控制器AAA Test，輸入類型跟目的都差異甚大。區分好類型，也可以避免AAA Test放在其他認證服務前面。

關於服務的命名

服務是會引用許多Profiles，因此，服務的命名最好是服務的「目的」以及「輸入」重點。

像是DeviceMgmt即為服務的目的。

如果輸入是Aruba Wi-Fi，然後有兩組Wi-Fi會來認證，要做到專一性就需要使用兩個服務。命名前綴可為ArubaWi-Fi，後綴為SSID名稱，像是「ArubaWi-Fi_Employee」、「ArubaWi-Fi_Guest」。

如果使用服務模板，名稱可能會太長，也可以依照命名原則刪減名稱長度。

角色與角色映射

為什麼要使用「角色」？

角色與角色映射是ClearPass與NPS最大差異的地方。

角色是幫助人識別的一種屬性。

若不做角色也是可以運行，只是會變成「條件>配置」，一旦做倒很細緻，久了就很容易忘記這組條件象徵什麼角色。

而且，我們給與的存取權限也是基於這個使用者，這個終端設備去判斷的，也就是角色。

因此有善於利用角色，就能方便人讀懂。

一個良好的配置，我們應該利用角色與角色映射，讓後面策略與配置跟著前面的角色走，達到分工合作。

一個良好的角色

用戶端權限是基於角色的概念去規劃，而用戶端權限是由強制配置文件去指派，因此，讓角色跟強制配置做連結。

一個角色，在強制策略中，最好只有一條規則用到。如果有兩條要用到，最好是以增加角色，調整角色配置。

一般角色權限都是給與網路用戶端，也有可能是管理者角色權限。在示範流程圖中，就有以UserRole跟MgmtRole去區隔。

一個良好的角色映射

一個良好的角色映射如同一個良好的Rule，命中範圍最細的放在上方，範圍最廣的放在下方。

而一個良好的角色映射，每種角色條件都應該不重疊到，例如Role1為條件A為1且條件B為2、Role2為條件A為1。

只有限制角色存取來源的，像是來源IP或是時間，才可以不同條件重疊，例如拒絕Role1存取為條件A為1且來源IP不在指定範圍、Role1為條件A為1且來源IP在指定範圍。

最後應該要套用個能命中所有的條例，然後配置預設角色。

因為閱讀時，我們習慣從上而下，但是預設角色放在所有規則上方，逐行讀完時目光在下方，可能就會忽略上方的預設角色。

強制策略與強制配置文件

一個良好的強制策略

強制策略需要與角色映射對應起來，角色映射最後給出一個角色，而強制策略需要把該角色映射所有出現的角色都一對一設定配置組。

因此條件只要設定一個，就是角色等於A或是角色等於B。

良好的角色映射可以用於多個服務，而強制策略通常與服務是一對一綁定，因此建議以服務名為取名。

一個良好的強制配置文件

強制配置文件是一個處理動作，而處理動作設定會依照設備不同等而不同，因此一個強制配置文件只能用在對的設備上。

因此，在每個強制配置文件使用「設備組」，能避免配置文件被用在不對的設備上。

如果要做服務簡化合併，一服務適用多種設備配置，就必須使用配置組。※並未建議要整併。

配置示範

如果有好的配置示範，日後會放在這裡。