1. Hoʻomau
Pono kēlā me kēia hui, ʻo ka mea liʻiliʻi loa, no ka hōʻoia, ʻae a me ka helu helu mea hoʻohana (ʻohana AAA o nā protocols). I ka pae mua, ua hoʻokō maikaʻi ʻia ʻo AAA me ka hoʻohana ʻana i nā protocols e like me RADIUS, TACACS+ a me DIAMETER. Eia nō naʻe, i ka ulu ʻana o ka nui o nā mea hoʻohana a me ka ʻoihana, e ulu pū ana ka nui o nā hana: ʻike nui ʻia o nā mea hoʻokipa a me nā polokalamu BYOD, hōʻoia multi-factor, hoʻokumu ʻana i kahi kulekele hoʻokipa multi-level a ʻoi aku.
No ia mau hana, ʻo ka NAC (Network Access Control) papa o nā haʻina he kūpono loa - ka mana ʻike pūnaewele. I loko o nā ʻatikala i hoʻolaʻa ʻia no (Identity Services Engine) - NAC solution no ka hoʻolako ʻana i ka mana e ʻike i ka pōʻaiapili i nā mea hoʻohana ma ka pūnaewele kūloko, e nānā pono mākou i ka hoʻolālā, hoʻolako, hoʻonohonoho a me ka laikini o ka hopena.
E hoʻomanaʻo pōkole wau iā ʻoe e ʻae ʻo Cisco ISE iā ʻoe e:
-
E hana wikiwiki a maʻalahi hoʻi i nā malihini ma kahi WLAN i hoʻolaʻa ʻia;
-
E ʻike i nā polokalamu BYOD (no ka laʻana, nā PC home o nā limahana i lawe ʻia e hana);
-
Hoʻonohonoho a hoʻokō i nā kulekele palekana ma waena o nā mea hoʻohana a me nā mea hoʻohana ʻole i ka hoʻohana ʻana i nā lepili pūʻulu palekana SGT );
-
E nānā i nā kamepiula no kekahi polokalamu i hoʻokomo ʻia a hoʻokō i nā kūlana (posturing);
-
Hoʻokaʻawale a hoʻopaʻa inoa i ka hopena a me nā mea hana pūnaewele;
-
Hāʻawi i ka ʻike hope;
-
E hoʻouna i nā moʻolelo hanana o ka logon/logoff o nā mea hoʻohana, kā lākou moʻokāki (ʻike) i NGFW e hoʻokumu i kahi kulekele hoʻohana;
-
Hoʻohui maoli me Cisco StealthWatch a me quarantine i nā mea hoʻohuoi hoʻohuoi i pili i nā hanana palekana ();
-
A me nā hiʻohiʻona ʻē aʻe no nā kikowaena AAA.
Ua kākau mua nā hoa hana ma ka ʻoihana e pili ana iā Cisco ISE, no laila ke aʻo aku nei au iā ʻoe e heluhelu: ,.
2. ʻOkaʻina hana
He 4 mau mea (nodes) ka Identity Services Engine architecture: he node hoʻokele (Policy Administration Node), he node hoʻolaha kulekele (Policy Service Node), he node kiaʻi (Monitoring Node) a me kahi node PxGrid (PxGrid Node). Hiki iā Cisco ISE ke hoʻonohonoho kūʻokoʻa a māhele ʻia paha. Ma ka mana Kūʻokoʻa, aia nā hui āpau ma kahi mīkini virtual a i ʻole kikowaena kino (Secure Network Servers - SNS), ʻoiai ma ka mana Distributed, ua māhele ʻia nā nodes ma nā ʻaoʻao like ʻole.
ʻO ka Policy Administration Node (PAN) kahi node pono e hiki ai iā ʻoe ke hana i nā hana hoʻokele āpau ma Cisco ISE. Mālama ia i nā hoʻonohonoho ʻōnaehana āpau e pili ana iā AAA. Ma kahi hoʻonohonoho hoʻolaha ʻia (hiki ke hoʻokomo ʻia nā nodes e like me nā mīkini virtual kaʻawale), hiki iā ʻoe ke loaʻa i ʻelua mau PAN no ka hoʻomanawanui hewa - ke ʻano Active/Standby.
ʻO ka Policy Service Node (PSN) kahi node pono e hāʻawi i ka ʻike pūnaewele, mokuʻāina, ka hoʻokipa malihini, ka hāʻawi ʻana i ka lawelawe o ka mea kūʻai aku, a me ka profiling. Nānā ʻo PSN i ke kulekele a hoʻohana. ʻO ka maʻamau, hoʻokomo ʻia nā PSN he nui, ʻoi aku ka nui ma kahi hoʻonohonoho hoʻolaha, no ka hana hou aʻe a puʻunaue ʻia. ʻOiaʻiʻo, hoʻāʻo lākou e hoʻokomo i kēia mau nodes i nā ʻāpana like ʻole i ʻole e nalowale i ka hiki ke hāʻawi i ka ʻae ʻia a ʻae ʻia no kekona.
ʻO ka Monitoring Node (MnT) kahi node pono e mālama i nā moʻolelo hanana, nā moʻolelo o nā node ʻē aʻe a me nā kulekele ma ka pūnaewele. Hāʻawi ka MnT node i nā mea hana kiʻekiʻe no ka nānā ʻana a me ka hoʻoponopono pilikia, hōʻiliʻili a hoʻoponopono i nā ʻikepili like ʻole, a hāʻawi pū i nā hōʻike koʻikoʻi. ʻAe ʻo Cisco ISE iā ʻoe e loaʻa i ka nui o ʻelua mau node MnT, no laila e hana i ka hoʻomanawanui hewa - Active/Standby mode. Eia nō naʻe, hōʻiliʻili ʻia nā lāʻau e nā node ʻelua, ka mea hana a me ka passive.
ʻO PxGrid Node (PXG) kahi node e hoʻohana ana i ka protocol PxGrid a hiki ke kamaʻilio ma waena o nā mea ʻē aʻe e kākoʻo ana iā PxGrid.
- he protocol e hōʻoiaʻiʻo i ka hoʻohui ʻana o IT a me nā huahana ʻikepili palekana mai nā mea kūʻai like ʻole: nā ʻōnaehana kiaʻi, ʻike intrusion a me nā ʻōnaehana pale, nā kahua hoʻokele kulekele palekana a me nā hopena ʻē aʻe he nui. ʻAe ʻo Cisco PxGrid iā ʻoe e kaʻana like i ka pōʻaiapili ma ke ʻano unidirectional a i ʻole bidirectional me nā paepae he nui ʻole me ka pono ʻole o nā API, no laila e hiki ai i ka ʻenehana. (SGT tags), hoʻololi a hoʻopili i ke kulekele ANC (Adaptive Network Control), a me ka hana profiling - e hoʻoholo i ke kumu hoʻohālike, OS, wahi, a me nā mea hou aku.
Ma kahi hoʻonohonoho hoʻonohonoho kiʻekiʻe, hoʻopili nā nodes PxGrid i ka ʻike ma waena o nā nodes ma luna o kahi PAN. Inā pio ka PAN, ho'ōki ka node PxGrid i ka hōʻoia, ʻae ʻana, a me ka helu ʻana i nā mea hoʻohana.
Aia ma lalo kahi hōʻike kikoʻī o ka hana ʻana o nā hui Cisco ISE like ʻole i kahi ʻoihana hui.
Kiʻi 1. Cisco ISE Architecture
3. Nā koi
Hiki ke hoʻokō ʻia ʻo Cisco ISE, e like me ka hapa nui o nā hoʻonā hou, kokoke a kino paha ma ke ʻano he kikowaena kaʻawale.
ʻO nā mea kino e holo ana i ka polokalamu Cisco ISE ua kapa ʻia ʻo SNS (Secure Network Server). Hele mai lākou i ʻekolu mau hiʻohiʻona: SNS-3615, SNS-3655 a me SNS-3695 no nā ʻoihana liʻiliʻi, waena a nui. Hōʻike ka papa 1 i ka ʻike mai SNS.
Papa 1. Papa hoʻohālikelike o SNS no nā unahi like ʻole
ʻO ka pākuhi
SNS 3615 (Liʻiliʻi)
SNS 3655 (Medium)
SNS 3695 (Nui)
Ka helu o nā helu hope i kākoʻo ʻia ma kahi hoʻonohonoho kū hoʻokahi
10000
25000
50000
Ka helu o nā helu hope i kākoʻo ʻia no PSN
10000
25000
100000
CPU (Intel Xeon 2.10 GHz)
8 cores
12 cores
12 cores
hipa kāne
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1 x 600 GB
4 x 600 GB
8 x 600 GB
RAID Hardware RAID
No
RAID 10, ke alo o ka mea hoʻoponopono RAID
RAID 10, ke alo o ka mea hoʻoponopono RAID
Nā pūnaewele kikowaena
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
E pili ana i ka hoʻokō virtual, ʻo nā hypervisors i kākoʻo ʻia ʻo VMware ESXi (manaʻo ʻia ʻo VMware version 11 no ESXi 6.0), Microsoft Hyper-V a me Linux KVM (RHEL 7.0). Pono e like nā kumuwaiwai me ka papa ma luna, a ʻoi aku paha. Eia nō naʻe, ʻo nā koi liʻiliʻi no kahi mīkini virtual ʻoihana liʻiliʻi: 2 CPU me ka alapine o 2.0 GHz a keu aku, 16 GB RAM и 200 GB HDD.
No nā kikoʻī kikoʻī ʻē aʻe Cisco ISE, e ʻoluʻolu e kelepona a i ʻole iā , .
4. Hoʻokomo
E like me ka hapa nui o nā huahana Cisco, hiki ke hoʻāʻo ʻia ʻo ISE ma nā ʻano he nui:
-
- lawelawe ao o nā papa hana hoʻolālā i hoʻonohonoho mua ʻia (pono ʻia ka moʻokāki Cisco);
-
- noi mai Cisco o kekahi lako polokalamu (ʻano no nā hoa). Hana ʻoe i kahi hihia me kēia wehewehe kikoʻī: ʻAno huahana [ISE], Pūnaehana ISE [ise-2.7.0.356.SPA.x8664], ISE Patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
-
— hoʻokaʻaʻike i kekahi hoa hana mana e hana i ka papahana hoʻokele manuahi.
1) Ma hope o ka hana ʻana i kahi mīkini virtual, inā noi ʻoe i kahi faila ISO a ʻaʻole i kahi template OVA, e puka mai kahi puka aniani kahi e koi ai ʻo ISE iā ʻoe e koho i kahi hoʻonohonoho. No ka hana ʻana i kēia, ma kahi o kāu kau inoa a me kāu ʻōlelo huna, pono ʻoe e kākau "hoʻonoho" !
'Ōlelo Aʻo: inā ʻoe i hoʻoiho i ka ISE mai ka template OVA, a laila nā kikoʻī kikoʻī admin/MyIseYPass2 (ʻo kēia a me nā mea hou aʻe i hōʻike ʻia ma ka luna ).
Kiʻi 2. Hoʻokomo iā Cisco ISE
2) A laila pono ʻoe e hoʻopiha i nā kahua i koi ʻia e like me IP address, DNS, NTP a me nā mea ʻē aʻe.
Kiʻi 3. Hoʻomaka i ka Cisco ISE
3) Ma hope o kēlā, e hoʻomaka hou ka hāmeʻa, a hiki iā ʻoe ke hoʻopili ma o ka ʻaoʻao pūnaewele me ka hoʻohana ʻana i ka helu IP i kuhikuhi mua ʻia.
Kiʻi 4. Pūnaewele Pūnaewele Cisco ISE
4) Ma ka pā Hoʻoponopono > Pūnaehana > Hoʻolālā hiki iā ʻoe ke koho i nā nodes (nā hui) i hiki ke hoʻohana ʻia ma kahi hāmeʻa. Hoʻohana ʻia ka node PxGrid maanei.
Kiʻi 5. Cisco ISE Entity Management
5) A laila ma ka pā Hoʻoponopono > Pūnaehana > Loaʻa Admin > hōʻoiaʻikepili pilikino Paipai au i ka hoʻonohonoho ʻana i kahi kulekele ʻōlelo huna, ke ala hōʻoia (hōʻoia a i ʻole ʻōlelo huna), ka lā pau o ka moʻokāki, a me nā hoʻonohonoho ʻē aʻe.
Kiʻi 6. Hoʻonohonoho ʻano hōʻoiaKiʻi 7. Nā hoʻonohonoho kulekele ʻōlelo hunaKiʻi 8. Hoʻonohonoho i ka pani moʻokāki ma hope o ka pau ʻana o ka manawaKiʻi 9. Hoʻonohonoho i ka laka moʻokāki
6) Ma ka pā Hoʻoponopono > Pūnaehana > Manaʻo Manaʻo > Luna Hoʻokele > Manaʻo Mea hoʻohana > Hoʻohui hiki iā ʻoe ke hana i luna hoʻoponopono hou.
Kiʻi 10. Ke hana ʻana i kahi Luna Hoʻokele Cisco ISE kūloko
7) Hiki ke hoʻolilo ʻia ka luna hoʻomalu hou i ʻāpana o kahi hui hou a i ʻole nā hui i hoʻonohonoho mua ʻia. Hoʻokele ʻia nā pūʻulu luna hoʻomalu ma ka papa like ma ka pā Pūʻulu Admin. Hōʻuluʻulu ka Papa 2 i ka ʻike e pili ana i nā luna hoʻomalu ISE, ko lākou kuleana a me ko lākou kuleana.
Papa 2. ʻO Cisco ISE Administrator Groups, Access Levels, Agreement, and Restrictions
Ka inoa hui luna
Mea ʻae
Nā palena
Luna hooponopono
Hoʻonohonoho i nā puka kipa malihini a me ke kākoʻo, ka hoʻokele a me ka hana maʻamau
ʻAʻole hiki ke hoʻololi i nā kulekele a nānā i nā hōʻike
Luna kokua
Hiki ke nānā i ka dashboard nui, nā hōʻike āpau, larms a me nā kahawai hoʻoponopono
ʻAʻole hiki iā ʻoe ke hoʻololi, hana a hoʻopau paha i nā hōʻike, nā ala ala a me nā moʻolelo hōʻoia
Luna ʻIkepili
Ka mālama ʻana i nā mea hoʻohana, nā pono a me nā kuleana, ka hiki ke nānā i nā lāʻau, nā hōʻike a me nā ʻōuli
ʻAʻole hiki iā ʻoe ke hoʻololi i nā kulekele a i ʻole hana i nā hana ma ka pae OS
MnT Admin
Ka nānā ʻana piha, nā hōʻike, nā ala ala, nā lāʻau a me kā lākou hoʻokele
ʻAʻole hiki ke hoʻololi i kekahi kulekele
Luna Pūnaewele Pūnaewele
Nā kuleana e hana a hoʻololi i nā mea ISE, e nānā i nā lāʻau, nā hōʻike, nā dashboard nui
ʻAʻole hiki iā ʻoe ke hoʻololi i nā kulekele a i ʻole hana i nā hana ma ka pae OS
Luna hooponopono
Hoʻoponopono piha i nā kulekele a pau, hoʻololi i nā profiles, hoʻonohonoho, nānā i nā hōʻike
ʻAʻole hiki ke hana i nā hoʻonohonoho me nā hōʻoia, nā mea ISE
RBAC Luna
ʻO nā hoʻonohonoho āpau i ka papa hana, nā hoʻonohonoho kulekele ANC, ka hoʻokele hōʻike
ʻAʻole hiki iā ʻoe ke hoʻololi i nā kulekele ʻē aʻe ma mua o ANC a i ʻole hana i nā hana ma ka pae OS
Super Keʻena Luna
ʻO nā kuleana i nā hoʻonohonoho āpau, ka hōʻike a me ka hoʻokele, hiki ke holoi a hoʻololi i nā hōʻoia o ka luna
ʻAʻole hiki ke hoʻololi, holoi i kahi ʻaoʻao ʻē aʻe mai ka hui Super Admin
Pūnaewele Pūnaewele
ʻO nā hoʻonohonoho a pau i ka ʻaoʻao Operations, hoʻokele i nā hoʻonohonoho ʻōnaehana, kulekele ANC, nānā i nā hōʻike
ʻAʻole hiki iā ʻoe ke hoʻololi i nā kulekele ʻē aʻe ma mua o ANC a i ʻole hana i nā hana ma ka pae OS
Nā lawelawe hoomaha waho (ERS) Admin
Loaʻa piha i ka Cisco ISE REST API
No ka ʻae wale nō, ka hoʻokele o nā mea hoʻohana kūloko, nā pūʻali koa a me nā pūʻulu palekana (SG)
ʻO nā lawelawe RESTful waho (ERS).
Cisco ISE REST API Nā ʻae Heluhelu
No ka ʻae wale nō, ka hoʻokele o nā mea hoʻohana kūloko, nā pūʻali koa a me nā pūʻulu palekana (SG)
Kiʻi 11. ʻO Cisco ISE Administrator Groups i koho mua ʻia
8) He koho ma ka pā Manaʻo > ʻae > Kulekele RBAC Hiki iā ʻoe ke hoʻoponopono i nā kuleana o nā luna hoʻoponopono i koho mua ʻia.
Kiʻi 12. Cisco ISE Administrator Preset Profile Rights Management
9) Ma ka pā Hoʻoponopono > Pūnaehana > Hoʻonohonoho Loaʻa nā hoʻonohonoho ʻōnaehana āpau (DNS, NTP, SMTP a me nā mea ʻē aʻe). Hiki iā ʻoe ke hoʻopiha iā lākou ma aneʻi inā nalo ʻoe iā lākou i ka wā o ka hoʻomaka ʻana o ka polokalamu.
5. Panina
Hoʻopau kēia i ka ʻatikala mua. Ua kūkākūkā mākou i ka pono o ka Cisco ISE NAC solution, kona hoʻolālā, nā koi liʻiliʻi a me nā koho hoʻonohonoho, a me ka hoʻonohonoho mua ʻana.
Ma ka ʻatikala aʻe, e nānā mākou i ka hana ʻana i nā moʻokāki, ka hoʻohui ʻana me Microsoft Active Directory, a me ka hoʻokumu ʻana i ke komo malihini.
Inā he mau nīnau kāu e pili ana i kēia kumuhana a makemake ʻoe i kōkua e hoʻāʻo i ka huahana, e ʻoluʻolu e kelepona .
E hoʻomau no nā mea hou i kā mākou kahawai (, , , , ).
Source: www.habr.com