1. ááá˘áŤ
áĽáŤááłááą áŠáŁááŤáŁ áľáášá á˘ááᣠá¨áá¨áááŤáŁ áááľ áĽá á¨á°á áá ááłáĽ (AAA á¤á°á°áĽ á¨ááŽáśáŽáá˝) ááááľ á ááᢠá áááť á°á¨áᣠAAA áĽáá° RADIUSᣠTACACS+ áĽá DIAMETER áŤá ááŽáśáŽáá˝á á áá áá á á°áἠá°á°ááĽáŻáᢠááá áĽáá á¨á°á áááá˝ áĽá á¨áŠáŁááŤá áĽááľ áĽá¨á¨áᨠá áá° ááĽá á¨á°ááŁáŽá˝ ááĽáá áĽá¨á¨áᨠáááłá-á¨á áľá°áááá˝ áĽá ᨠBYOD ááłáŞáŤáá˝ á¨áá°á áłáááľ, áŁááĽá á°á¨á áá¨áááŤ, áŁááĽá á°á¨á á¨ááłá¨áť ááᲠááá á áĽá ááá˝ áĽá.
ááĽáá°áá
á áááľ áľáŤáá˝ NAC (Network Access Control) á¨áááľááá˝ ááá áášá áá - á¨á ááłá¨ áá¨áĽ ááłá¨áť ááĽáĽá. áá°áá°á ááŁáĽáá˝ á á°á¨áłáłá
Cisco ISE á¨ááá áľáá áááá á á áአááľáłááľááĄ-
-
á á ááľ á¨á°áá°á WLAN áá á ááĽááľ áĽá á ááá á¨áĽáááł ááłá¨áťá ááá áŠ;
-
ᨠBYOD ááłáŞáŤáá˝á (áááłá áá° áĽáŤ áŤááĄáľá á¨á°áŤá°áá˝ á¨á¤áľ áá˛) áŤááá˘
-
á¨SGT á¨á°á áááľ áĄáľá áááŤáá˝á á áá áá á á፠áĽá á፠áŁááá á°á áááá˝ áá á¨á°á áááľ ááá˛áá˝á áŤáá¨á áĽá áŤáľáá˝áá˘
TrustSec ); -
áá°áá°á áśááľááŽá˝ áŽáááá°áŽá˝á áŤá¨ááᥠáĽá á¨á°á¨ááá˝ áá ááŁáŁáá (ááá á);
-
á¨áá¨á¨áť ááĽáĽ áĽá á¨á ááłá¨ áá¨áĽ ááłáŞáŤáá˝á ááľáĽ áĽá ááááŤ;
-
á¨áá¨á¨áť ááĽáĽ áłáááľá áŤá ááĄ;
-
á¨á°á ááá áá°á¨áľ áŤá°á¨á ááᲠááá á¨á˝ á¨á°á áááá˝ áááŤáá˝ (ááááłá¸á) á¨ááľá°áľ áááἠááľáłááťáá˝á áá° NGFW áááŠá˘
-
á¤á°á á¨á˛áľáŽ StealthWatch áá áŤáá áą áĽá á á°á áááľ ááłáŽá˝ áá á¨á°áłá°á á á áŤáŁáŞ á áľá°áááá˝á áááś ááá¨áľ (
á°á¨á᪠áá¨á ); -
áĽá ááá˝ áŁá áŞáŤáľ á AAA á ááááŽá˝ áá°á áá˘
á á˘ááąáľáľáŞá ááľáĽ áŤá áŁáá°á¨áŚá˝ áľá Cisco ISE á áľááľáá á˝áááᣠáľááá
áĽáá˛áŤáᥠáĽáááŤá˝ááááĄ-
2. áĽá ááá
á¨ááááľ á áááááśá˝ á˘ááááŞáá á ááá´áá¸á 4 á áŤááľ (á áááá˝) á ááľáĄ á¨á áľá°áłá°á ááľááá ááááľ (á¨ááᲠá áľá°áłá°á ááľááá ááááľ)ᣠá¨ááᲠáá¨áá፠ááľááá ááááľ (á¨ááᲠá áááááľ ááľááá ááááľ)ᣠá¨ááľáľá ááľááá ááááľ (á¨ááľáľá ááľááá ááááľ) áĽá PxGrid node (PxGrid Node)ᢠCisco ISE á á°ááĽá ááá á á°á°áŤá¨ áááľ ááľáĽ ááá áá˝ááᢠá Standalone áľáŞáľ ááľáĽ, ááá á áŤááľ á á ááľ áááŁá áá˝á ááá á áŤáá á áááá (Secure Network Servers - SNS) áá áááá, á á°á¨áááá áľáŞáľ ááľáĽ, ááśá˝ á á°ááŤáŠ ááłáŞáŤáá˝ áá áá°áŤáŤá.
á¨ááᲠá áľá°áłá°á ááľááá ááááľ (PAN) áááá á¨á áľá°áłá°á áľáŤáá˝ á Cisco ISE áá áĽáá˛áŤá°áá á¨ááŤáľá˝áá á áľááá ááľááá ááááľ ááᢠᨠAAA áá á¨á°áŤáŤá áááá á¨áľáááľ áá áŽá˝á áŤáľá°áááłá. á á°á¨ááá áá á ááľáĽ (á áááá˝ áĽáá° á¨á°áᨠá¨áášáá áá˝áá˝ ááŤá áá˝áá)ᣠááľá á°áľ ááťáťá á˘á á áááľ PANs áááááľ áá˝áá - áá/á°á áŁáŁá áááłá˘
á¨ááᲠá áááááľ ááľááá ááááľ (PSN) á¨á ááłá¨ áá¨áĽ ááłá¨áťáᣠáááľáᣠá¨áĽáááł ááłá¨áťáᣠá¨á°áá á á áááááľ á á ááŚáľá áĽá ááááŤá á¨áá°áĽ á¨áá´áł ááľ ááᢠPSN ááá˛áá ááááááá áĽá áá°áá áŤáᢠá á°áááśáŁ áĽá PSNáá˝ á°ááááᣠá á°ááá á á°á¨ááá áá á ááľáĽáŁ áá áá áľáááá˝ áĽá áá°á°áŤá¨á áŚááŹá˝áᢠáĽááἠáá, áá°á¨ááľ áŤá á á¨á°á¨ááá áĽá á¨á°ááá° ááłá¨áťá á¨ááľá áľ á˝ááł áĽááłáŤáĄ áĽááá á á áááá˝ á á°ááŤáŠ áááá˝ ááľáĽ áááŤá ááááŤá.
á¨ááľáľá ááľááá ááááľ (MnT) á¨ááľá°áľ áááἠááľáłááťáá˝áᣠááá˝ ááśá˝á áĽá ááá˛áá˝á á á ááłá¨ áá¨áĄ áá á¨ááŤá¨áá˝ á¨áá´áł ááľ ááᢠá¨á¤áá¤áᲠááľ á¨áá ááłáŞáŤáá˝á ááá¨áłá°á áĽá ááá ááá áŤáááŁááŁá¨á°ááŤáŠ áá¨ááá˝á áá°á áľáŁá áĽá áŤáááłááŁáĽáá˛áá áľááá áŤáá áŞáááśá˝á áŤáááŁáᢠCisco ISE á˘á á áááľ MnT ááśá˝ áĽáá˛ááááľ ááá áľáááłáᣠá áá á á¨áľá á°áľ ááťáťáá áááĽáŤá - áá/á°á áŁáŁá áááłá˘ ááá áá, áááἠááľáłááťáá˝ á áááąá á áááá˝ á¨á°á°á á°áĄ áá¸á, áááąá áá áĽá á°ááĽáŽ.
PxGrid Node (PXG) á¨PxGrid ááŽáśáŽáá á¨áá áá áĽá PxGridá á áá°áá ááá˝ ááłáŞáŤáá˝ ááŤá¨á áááááľá á¨ááá áľ ááľááá ááááľ ááá˘
á á¨áá°á á°ááááľ áá á¨áľ ááľáĽáŁ PxGrid nodes á PAN áá áŁá á áááá˝ ááŤá¨á áŤááá áá¨á áá°áááᢠPAN á¨á°á°áá¨á á¨PxGrid ááľááá ááááľ áá°á áááá˝ áá¨áááĽáŁ ááááľ áĽá á¨ááłáĽ á áŤáŤá áŤáááá˘
á¨áá á áłá˝ á áľáá áľ á ááłá¨ áá¨áĽ ááľáĽ áŤá á¨á°ááŤáŠ ᨠCisco ISE á áŤááľ á á áŤá ááľá ááá፠ááá˘
ááľá 1. Cisco ISE á ááá´áá¸á
3. ááľáááśá˝
Cisco ISE áĽáá° á áĽáááš áááá áááľááá˝ á á°ááŁáá áá á á áŤá áĽáá° á¨á°áᨠá áááá áá°áá á áá˝ááá˘
á¨á˛áľáŽ á áá¤áľá˘ áśááľááá á¨ááŤááą áááŤá ááłáŞáŤáá˝ SNS (Secure Network Server) ááŁááᢠá áśáľáľ áá´áá˝ áááŁáᥠSNS-3615ᣠSNS-3655 áĽá SNS-3695 áá ááľá°áᣠááŤá¨áá áĽá áľáá
áááśá˝á˘ á áá á¨áĽ 1 ᨠáá¨á áŤáłáŤá
á áá á¨áĽ 1. áá°ááŤáŠ áááὠᨠSNS áá˝á˝á á°áá á¨áĽ
áááŞáŤ
SNS 3615 (áľáá˝)
SNS 3655 (ááŤá¨áá)
SNS 3695 (áľáá )
á á°ááĽá ááŤá ááľáĽ á¨áá°áá á¨áá¨á¨áť ááĽáŚá˝ áĽááľ
10000
25000
50000
á PSN á¨áá°áá á¨áá¨á¨áť ááĽáŚá˝ áĽááľ
10000
25000
100000
á˛áአ(Intel Xeon 2.10GHz)
8 áŽá
12 áŽá
12 áŽá
áŤáá°á á áá°áľ áááŞ
32 áᣠ(2 x 16 ááŁ)
96 áᣠ(6 x 16 ááŁ)
256 áᣠ(16 x 16 ááŁ)
HDD
1 x 600 ááŁ
4 x 600 ááŁ
8 x 600 ááŁ
á¨áááľáá áá¨áŤ
á¨áá
RAID 10, ᨠRAID áááŁá áŞáŤ ááá
RAID 10, ᨠRAID áááŁá áŞáŤ ááá
á¨á ááłá¨ áá¨áĽ á áááá˝á˘
2 x 10 ááŁ-á˛
4 x 1 ááŁ-á˛
2 x 10 ááŁ-á˛
4 x 1 ááŁ-á˛
2 x 10 ááŁ-á˛
4 x 1 ááŁ-á˛
áááŁá á á°ááŁá áá á á°ááá¨á°áŁ á¨áá°áááľ áááááŤáááŽá˝ VMware ESXi (á˘áŤááľ VMware áľáŞáľ 11 áESXi 6.0 ááá¨áŤá)ᣠMicrosoft Hyper-V áĽá Linux KVM (RHEL 7.0) áá¸áᢠááĽáśá˝ á¨áá áŁáá á áá á¨áĽ ááľáĽ áŤáá ááá á¨á፠á áá á áááľ á°ááłáłá ááá á ááŁá¸áᢠááá ááᣠáá ááľá°á á¨áááľ á¨áá˝áá áá˝á áá á°á ááľáááśá˝ á¨áá¨á°ááľ áá¸ááĄ- 2 á˛áአá 2.0 GHz áĽá á¨á፠á áá áľáááá˝, 16 áᣠáŤá и 200 áᣠá¤á˝.á˛.á˛.
áááá˝ á¨Cisco ISE áá°ááŤáľ ááááŽá˝ áĽáŁááá áŤááááŠ
4. ááŤá
áá áĽáá°ááá˝ á¨á˛áľáŽ áááśá˝áŁ ISE á áĽá ááááśá˝ ááá¨á áá˝ááá˘
-
dcloud - á áľááľá á¨á°áŤá á¨ááĽáŤáśáŞ á ááááŚá˝ á¨á°áá á áááááľ (á¨á˛áľáŽ áá፠áŤáľáááá); -
ᨠGVE áĽáŤá - áĽáŤá á¨áŁá˘áŤ á¨á ááłááľ áśááľááŽá˝ Cisco (áá ááŽá˝ áá´)ᢠá áá¨á°áá áááá°á ááá፠ááŤáŁ ááĽá¨ááᥠá¨áááľ ááááľ [ISE]ᣠISE áśááľáá [ise-2.7.0.356.SPA.x8664]ᣠISE Patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664]; -
á¨áá¨áŤ ááŽáááľ - áá á¨áá¨áŤ ááŽáááľ áááŤááľ áááááá áľááŁá áŤáá á áá áŤááááŠá˘
1) á¨áášáá áá˝á á¨áá አá áá á¨áŚáŞá¤ á áĽááľ áłááá ᨠISO ááá á¨á á¨á ISE ááŤáá áĽáá˛ááᥠá¨áááá ááľáŽáľ áá¨ááłáᢠáá áá áááľá¨á á ááá˘áŤá áĽá á ááá ááá ááľá "ááá á ááĽááľ.á áááááľ"!
ááľáłááť: ISE ᨠOVA á áĽááľ áŤá°ááŤá
á¨ááá˘áŤ ááááŽá˝ á áľá°áłáłáŞ/MyIseYPass2 (áá
áĽá áĽá á°á¨á᪠á áŚáá´ááá ááľáĽ á°ááá¸áá
ááľá 2. Cisco ISE á ááŤá
2) á¨á፠áĽáá° á áá á áľáŤáť ᣠᲠá¤á á¤áľ ᣠá¤áá˛á áĽá ááá˝ áŤá á áľááá ááľáŽá˝á ááááľ á ááĽááľ á˘
ááľá 3. Cisco ISE ááľááá
3) á¨á፠á áá ááŁáŞáŤá áĽáá°áá áááłá, áĽá áá°á á˛á á¨á°ááá¸áá á¨á áá á áľáŤáť á áá áá á áľá á áááá˝ á áŠá áááááľ áá˝áá.
ááľá 4. Cisco ISE á¨áľá á áááá˝
4) á áľá ááľáĽ á áľá°áłá°á > áľáááľ > áá°ááŤáľ á á ááľ á¨á°áá°á ááŁáŞáŤ áá á¨áľááš á áááá˝ (á áŤááľ) áĽáá°áá ááá¨áĽ áá˝ááᢠá¨PxGrid ááľááá ááááľ áĽáá áá áˇáá˘
ááľá 5. Cisco ISE á áŤá á áľá°áłá°á
5) á¨ááŤá á áľá ááľáĽ á áľá°áłá°á > áľáááľ > á¨á áľá°áłáłáŞ ááłá¨áť > áá¨áá፠á¨ááá áá ááá˛áŁ á¨áá¨áá፠áá´ (á¨ááľáá áá¨ááľ ááá á¨ááá áá)ᣠá¨áááŤá ááĽá፠áá áĽá ááá˝ á ááĽáŽá˝á áĽáá˛áŤáá አáĽáááŤááá˘
ááľá 6. á¨áá¨áá፠á áááľ á ááĽáááľá 7. á¨ááá áá ááᲠááźáśá˝ááľá 8. ááá áŤáá á áá á¨áá፠ááááľ áááá áááľá 9. á¨áá፠ááááá áááááľ
6) á áľá ááľáĽ á áľá°áłá°á > áľáááľ > á¨á áľá°áłáłáŞ ááłá¨áť > á áľá°áłáłáŞáá˝ > á¨á áľá°áłáłáŞ á°á áááá˝ > áŤáá á á˛áľ á áľá°áłáłáŞ ááá á áá˝ááá˘
ááľá 10. á¨á áŤáŁá˘ Cisco ISE á áľá°áłáłáŞ ááá á
7) á á˛áą á áľá°áłáłáŞ á¨á á˛áą áĄáľá á áŤá ááá á áľááľá á¨á°áááš áĄáľáá˝ á áŤá ááá áá˝ááᢠá¨á áľá°áłáłáŞ áĄáľáá˝ á áľáŠ ááľáĽ á á°ááłáłá ááá ááľáĽ áá á¨áá°áłá°áŠáľá˘ á¨á áľá°áłáłáŞ áĄáľáá˝. á áá á¨áĽ 2 áľá ISE á áľá°áłáłáŞáá˝áŁ ááĽáśáťá¸á áĽá ááááťá¸á áá¨áá áŤá ááááá˘
á áá á¨áĽ 2. Cisco ISE á áľá°áłáłáŞ áĄáľáá˝áŁ á¨ááłá¨áť á°á¨ááá˝áŁ áááśá˝ áĽá áá°áŚá˝
á¨á áľá°áłáłáŞ áĄáľá áľá
áááśá˝
áá°áŚá˝
áá ááľ á áľá°áłáłáŞ
á¨áĽáááł áĽá á¨áľááá°ááşá ááá˘áŤáá˝áᣠá áľá°áłá°áá áĽá áá ááľá áááááľ
ááá˛áá˝á ááá¨á ááá áŞáááśá˝á áá¨áľ á áááťá
á¨áĽáá á´áľá á áľá°áłáłáŞ
áááá áłá˝áŚááľáŁ áááá áŞáááśá˝áŁ áá áĽá áá áááá፠áĽá¨áśá˝á á¨áá¨áľ á˝ááł
áŞáááśá˝á ᣠááááŤáá˝á áĽá á¨áá¨áá፠áááἠááľáłááťáá˝á áááἠᣠááá á ááá áá°á¨á á áá˝áá
á¨ááááľ á áľá°áłá°á
á°á áááá˝á ᣠáአááĽáśá˝á áĽá áááá˝á ááľá°áłá°á ᣠáááἠááľáłááťáá˝á ᣠáŞáááśá˝á áĽá ááááŤáá˝á á¨áá¨áľ á˝ááł
á áľááá° ááá á°á¨á ááá˛áá˝á ááá¨á ááá á°ááŁáŽá˝á áá¨ááá á áá˝áá
MnT á áľá°áłáłáŞ
áá ááľáľáᣠáŞáááśá˝áŁ ááááŤáá˝áŁ áááἠááľáłááťáá˝ áĽá á áľá°áłá°á
áááááá ááᲠááá¨á á áááťá
á¨á ááłá¨ áá¨áĽ ááŁáŞáŤ á áľá°áłáłáŞ
ᨠISE áááá˝á á¨ááá á áĽá á¨áááἠᣠá¨áááἠááľáłááťáá˝á ᣠáŞáááśá˝á ᣠáá áłá˝áŚááľá á¨áááá¨áľ ááĽáśá˝
á áľááá° ááá á°á¨á ááá˛áá˝á ááá¨á ááá á°ááŁáŽá˝á áá¨ááá á áá˝áá
á¨ááᲠá áľá°áłáłáŞ
á¨ááá ááá˛áá˝ áá á áľá°áłá°áᣠááááŤáá˝á ááááĽáŁ ááźáśá˝áŁ áŞáááśá˝á áááá¨áľ
á¨ááľá¨ááá˝áŁ ISE áááŽá˝ áá á ááĽáŽá˝á áá¨ááá á áááťá
á¨RBAC á áľá°áłáłáŞ
á áŚááŹá˝áá˝ áľá ááľáĽ áŤá ááá á ááĽáŽá˝ ᣠá¨á¤á¤áᲠááᲠááźáśá˝ ᣠá¨áŞáááľ ááľá°áłá°á
á¨á¤á¤áᲠá᪠ááá˛áá˝á ááá¨á ááá á áľááá° ááá á°á¨á áľáŤáá˝á áá¨ááá á áľá˝ááá˘
á¨áá°á á áľá°áłáłáŞ
á¨ááá á ááĽáŽá˝áŁ áŞáááľ ááľá¨á áĽá á áľá°áłá°á ááĽáśá˝ á¨á áľá°áłáłáŞ ááľááááśá˝á áá°á¨á áĽá áááἠáá˝ááá˘
ááá¨á á ááťááᣠáá ááá፠á¨Super Admin áĄáľá á°áá
á¨áľáááľ á áľá°áłáłáŞ
ááá á ááĽáŽá˝ á áŚááŹá˝áá˝ áľá, á¨áľáááľ á ááĽáŽá˝á ááľá°áłá°á, á¨á¤á¤áᲠááá˛, áŞáááśá˝á áááá¨áľ
á¨á¤á¤áᲠá᪠ááá˛áá˝á ááá¨á ááá á áľááá° ááá á°á¨á áľáŤáá˝á áá¨ááá á áľá˝ááá˘
ááŤá RESTful á áááááśá˝ (ERS) á áľá°áłáłáŞ
ᨠCisco ISE REST API áá ááłá¨áť
ááááľáŁ áá áŤáŁá˘ á°á áááá˝áŁ á áľá°áááá˝ áĽá á¨á°á áááľ áĄáľáá˝ (á¤áľá) á áľá°áłá°á áĽáť
ááŤá RESTful á áááááśá˝ (ERS) áŚááŹá°á
Cisco ISE REST API á¨á°áá á áááśá˝
ááááľáŁ áá áŤáŁá˘ á°á áááá˝áŁ á áľá°áááá˝ áĽá á¨á°á áááľ áĄáľáá˝ (á¤áľá) á áľá°áłá°á áĽáť
ááľá 11. á áľááľá á¨á°áááš Cisco ISE á áľá°áłáłáŞ áĄáľáá˝
8) á áľáŠ ááľáĽ á ááŤá áááľ > áááśá˝ > á¨RBAC ááᲠá áľááľáá á¨á°áááš á áľá°áłáłáŞáá˝á ááĽáśá˝ áááľá áá˝ááá˘
ááľá 12. Cisco ISE á áľá°áłáłáŞ á áľá-á áἠááá፠ááĽáśá˝ á áľá°áłá°á
9) á áľá ááľáĽ á áľá°áłá°á> áľáááľ> á ááĽáŽá˝ ááá á¨áľáááľ á áá áśá˝ áááá (á˛á¤áá¤áľáŁ á¤áá˛áᣠSMTP áĽá ááá˝)ᢠá áááááŤá ááŁáŞáŤ á áá áá áŤáááŁá¸á áĽáá ááááľ áá˝ááá˘
5. áá áááŤ
áá á¨ááááŞáŤáá á˝áá áŤá áá. áľá Cisco ISE NAC áááľá áá¤áłáááľáŁ á ááá´áá¸áᣠá ááľá°á ááľáááśá˝ áĽá á¨áá°ááŤáľ á ááŤáŽá˝ áĽá á¨ááááŞáŤ áááľ á°ááŤáá°ááá˘
á áááĽáá ááŁáĽáᣠáááŤáá˝á ááá áᣠá¨ááááŽáśááľ á áá˛á áłááŹáá°áŠ áá ááááá áĽá á¨áĽáááł ááłá¨áť ááá áá áĽáááá¨áłááá˘
áľááá
áááľ áĽáŤááá˝ áŤáááľ ááá áááąá áááá°á˝ áĽáá á¨ááá áĽáŁááá áŤááááŠ
á áťáááťá˝á áá á áłá˛áľ áá¨ááá˝á áá áĽá (
ááá: hab.com