1. Okwu mmeghe
Ụlọ ọrụ ọ bụla, ọbụlagodi nke kacha nta, nwere mkpa maka nyocha, ikike na ndekọ onye ọrụ (AAA ezinụlọ nke protocols). Na mbido mbụ, AAA na-arụ ọrụ nke ọma site na iji protocol dị ka RADIUS, TACACS + na DIAMETER. Otú ọ dị, dị ka ọnụ ọgụgụ nke ndị ọrụ na ụlọ ọrụ na-eto eto, ọnụ ọgụgụ nke ọrụ na-etokwa: kacha visibiliti nke ụsụụ ndị agha na ngwaọrụ BYOD, multi-factor authentication, na-eke a multi-level ohere amụma na ọtụtụ ndị ọzọ.
Maka ọrụ ndị dị otú ahụ, klas NAC (Network Access Control) ngwọta zuru oke - njikwa netwọkụ. Na usoro isiokwu raara nye (Identity Services Engine) - NAC ngwọta maka inye ndị ọrụ ohere ịnweta njikwa ihe ọmụma na netwọk dị n'ime, anyị ga-eleba anya nke ọma na nhazi ụlọ, ntinye, nhazi na ikikere nke ngwọta.
Ka m chetara gị nkenke na Cisco ISE na-enye gị ohere:
-
Ngwa ngwa na ngwa ngwa mepụta ohere ọbịa na WLAN raara onwe ya nye;
-
Chọpụta ngwaọrụ BYOD (dịka ọmụmaatụ, PC ụlọ ndị ọrụ nke ha wetara n'ọrụ);
-
Mechie ma manye amụma nchekwa n'ofe ngalaba na ndị ọrụ na-abụghị ngalaba site na iji akara otu nchekwa SGT );
-
Lelee kọmpụta maka ụfọdụ ngwanrọ arụnyere na nnabata na ụkpụrụ (ikesa);
-
Kewaa na profaịlụ njedebe na ngwaọrụ netwọk;
-
Nye visibiliti njedebe;
-
Zipu ndekọ ihe omume nke logon / logoff nke ndị ọrụ, akaụntụ ha ( njirimara) na NGFW iji mepụta amụma dabere na onye ọrụ;
-
Jikọọ nwa afọ na Cisco StealthWatch ma kewapụ ndị ọbịa na-enyo enyo na-etinye aka na ihe nchekwa ();
-
Na njirimara ndị ọzọ ọkọlọtọ maka sava AAA.
Ndị ọrụ ibe na ụlọ ọrụ ahụ edeelarị banyere Cisco ISE, yabụ ana m adụ gị ọdụ ka ị gụọ: ,.
2. Nhazi
Ihe owuwu ụlọ ọrụ Identity Services nwere ụlọ ọrụ 4 (ọnụ): oghere njikwa (Nchịkọta Ọchịchị), ọnụ nkesa amụma (Node Ọrụ Iwu), Node nlekota (Nleba anya Node) na ọnụ PxGrid (PxGrid Node). Cisco ISE nwere ike ịnọ na nrụnye nke kwụụrụ onwe ya ma ọ bụ kesaa. Na ụdị Standalone, ụlọ ọrụ niile dị n'otu igwe mebere ma ọ bụ nkesa anụ ahụ (Secure Network Servers - SNS), ebe na ụdị ekesa, a na-ekesa ọnụ n'ofe ngwaọrụ dị iche iche.
Node nchịkwa iwu (PAN) bụ ọnụ ọnụ achọrọ nke na-enye gị ohere ịrụ ọrụ nhazi niile na Cisco ISE. Ọ na-ejikwa nhazi usoro niile metụtara AAA. Na nhazi nkesa (enwere ike ịwụnye ọnụ ọnụ dị ka igwe mebere dị iche iche), ị nwere ike ịnwe oke PAN abụọ maka nnabata mmejọ - Ọnọdụ ọrụ/njikere.
Node Ọrụ Iwu (PSN) bụ ọnụ mmanye nke na-enye ohere netwọkụ, steeti, ohere ndị ọbịa, inye ndị ahịa ọrụ na profaịlụ. PSN na-enyocha amụma ma tinye ya n'ọrụ. Na-emekarị, a na-etinye ọtụtụ PSN, karịsịa na nhazi nkesa, maka ọrụ ndị ọzọ na-arụ ọrụ na-ekesa. N'ezie, ha na-agbalị ịwụnye ọnụ ndị a n'akụkụ dị iche iche ka ha ghara ịla n'iyi nke inye ikike nke ziri ezi na ikike maka nke abụọ.
Nleba anya Node (MnT) bụ ọnụ mmanye nke na-echekwa ndekọ mmemme, ndekọ ọnụ ụzọ ndị ọzọ na atumatu na netwọkụ. Ọnụ MnT na-enye ngwaọrụ dị elu maka nleba anya na nchọpụta nsogbu, na-anakọta ma na-ejikọta data dị iche iche, ma na-enyekwa akụkọ bara uru. Cisco ISE na-enye gị ohere ịnweta ọnụ ụzọ MnT abụọ kachasị, si otú a na-ekepụta mmejọ - Ọnọdụ ọrụ/njikere. Otú ọ dị, a na-anakọta ndekọ site na ọnụ abụọ, ma ndị na-arụ ọrụ ma na-agafe agafe.
PxGrid Node (PXG) bụ ọnụ na-eji protocol PxGrid ma na-enye ohere nkwukọrịta n'etiti ngwaọrụ ndị ọzọ na-akwado PxGrid.
- Usoro nke na-eme ka njikọ nke IT na ngwaahịa nchekwa nchekwa ozi sitere n'aka ndị na-ere ahịa dị iche iche: usoro nlekota oru, nchọpụta ntinye na usoro mgbochi, ikpo okwu njikwa amụma nchekwa na ọtụtụ ngwọta ndị ọzọ. Cisco PxGrid na-enye gị ohere iji ọtụtụ nyiwe kesaa ọnọdụ n'otu n'otu ma ọ bụ ụzọ abụọ na-enweghị mkpa API, si otú ahụ na-enye teknụzụ. (SGT mkpado), gbanwee ma tinye amụma ANC (Adaptive Network Control), yana ịrụ profaịlụ - na-ekpebi ụdị ngwaọrụ, OS, ọnọdụ, na ndị ọzọ.
Na nhazi dị elu, ọnụ PxGrid na-emegharị ozi n'etiti ọnụ n'elu PAN. Ọ bụrụ na PAN nwere nkwarụ, ọnụ ụzọ PxGrid kwụsịrị ịnwapụta, inye ikike na ịza ajụjụ maka ndị ọrụ.
N'okpuru ebe a bụ nkọwapụta atụmatụ nke ọrụ nke ụlọ ọrụ Cisco ISE dị iche iche na netwọk ụlọ ọrụ.
Ọgụgụ 1. Cisco ISE Architecture
3. Ihe ndị achọrọ
Enwere ike itinye Cisco ISE, dị ka ọtụtụ ngwọta ọgbara ọhụrụ, ihe fọrọ nke nta ka ọ bụrụ nkesa dị iche iche.
A na-akpọ ngwaọrụ anụ ahụ na-agba ọsọ Cisco ISE software SNS (Secure Network Server). Ha na-abịa n'ụdị atọ: SNS-3615, SNS-3655 na SNS-3695 maka obere azụmahịa, ọkara na nnukwu. Tebụl 1 na-egosi ozi sitere na SNS.
Tebụl 1. Ntụle tebụl SNS maka nha dị iche iche
Ogologo
SNS 3615 (obere)
SNS 3655 (Ọkara)
SNS 3695 (nnukwu)
Ọnụọgụ njedebe akwadoro na nrụnye Standalone
10000
25000
50000
Ọnụọgụ njedebe akwadoro kwa PSN
10000
25000
100000
CPU (Intel Xeon 2.10 GHz)
8 isi
12 isi
12 isi
RAM
32GB (2 x 16 GB)
96GB (6 x 16 GB)
256GB (16 x 16 GB)
HDD
1 x 600 GB
4 x 600 GB
8 x 600 GB
Hardware wakporo
Ọ dịghị
RAID 10, ọnụnọ nke onye na-ahụ maka RAID
RAID 10, ọnụnọ nke onye na-ahụ maka RAID
Ihe netwok
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
Banyere mmemme mebere, hypervisors akwadoro bụ VMware ESXi (ụdị VMware kacha nta maka ESXi 11 ka akwadoro), Microsoft Hyper-V na Linux KVM (RHEL 6.0). Akụrụngwa kwesịrị ịdị ihe dịka nke dị na tebụl dị n'elu, ma ọ bụ karịa. Agbanyeghị, ihe kacha nta chọrọ maka igwe mebere azụmaahịa bụ: 2 CPU na ugboro nke 2.0 GHz na elu, 16 GB nke RAM и 200 GB HDD.
Maka nkọwa nzinye Cisco ISE ndị ọzọ, biko kpọtụrụ ma ọ bụ , .
4. Nwụnye
Dị ka ọtụtụ ngwaahịa Cisco ndị ọzọ, ISE nwere ike ịnwale n'ọtụtụ ụzọ:
-
- ọrụ ígwé ojii nke nhazi ụlọ nyocha etinyegoro mbụ (Akaụntụ Cisco achọrọ);
-
– arịrịọ si Cisco nke ụfọdụ ngwanrọ (usoro maka mmekọ). Ị na-emepụta ikpe na nkọwa nkọwa ndị a: Ụdị ngwaahịa [ISE], ISE Software [ise-2.7.0.356.SPA.x8664], ISE Patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
-
- kpọtụrụ onye ọ bụla enyere ikike ka ọ rụọ ọrụ pilot n'efu.
1) Mgbe ịmepụtara igwe mebere, ọ bụrụ na ị rịọrọ faịlụ ISO ọ bụghị ụdị OVA, windo ga-apụta nke ISE chọrọ ka ịhọrọ nrụnye. Iji mee nke a, kama ịbanye na paswọọdụ gị, ị ga-ede "melite"!
Cheta na: ọ bụrụ na ị deployed ISE si OVA template, mgbe ahụ nkọwa nbanye admin/MyIseYPass2 (nke a na ọtụtụ ihe ndị ọzọ ka egosiri na gọọmentị ).
Ọgụgụ 2. Ịwụnye Cisco ISE
2) Mgbe ahụ, ị ga-edejupụta mpaghara achọrọ dị ka adreesị IP, DNS, NTP na ndị ọzọ.
Ọgụgụ 3. Ịmalite Cisco ISE
3) Mgbe nke ahụ gasịrị, ngwaọrụ ahụ ga-amalitegharị, ị ga-enwe ike ijikọ site na ntanetị weebụ site na iji adreesị IP akọwapụtara na mbụ.
Ọgụgụ 4. Cisco ISE Web Interface
4) Na tab nchịkwa> Sistemu> Nbugharị Ị nwere ike họrọ ọnụ (njikwa) agbanyere na otu ngwaọrụ. Agbanyere ọnụ PxGrid ebe a.
Ọgụgụ 5. Cisco ISE Ụlọ ọrụ Management
5) Mgbe ahụ na tab nchịkwa> Sistemu> Nweta Admin> Nyocha Ana m akwado ka ịtọlite atumatu okwuntughe, usoro nyocha (asambodo ma ọ bụ okwuntughe), ụbọchị njedebe akaụntụ, na ntọala ndị ọzọ.
Ọgụgụ 6. Ntọala ụdị nkwenyeỌgụgụ 7. Ntọala amụma okwuntugheỌgụgụ 8. Ịtọlite mmechi akaụntụ mgbe oge agwụlaỌgụgụ 9. Ịtọlite mkpọchi akaụntụ
6) Na tab nchịkwa> Sistemu> Nweta Admin> Ndị nchịkwa> Ndị ọrụ nchịkwa> Tinye ị nwere ike ịmepụta onye nchịkwa ọhụrụ.
Ọgụgụ 10. Ịmepụta onye nchịkwa Cisco ISE mpaghara
7) Enwere ike ịme ka onye nchịkwa ọhụrụ bụrụ akụkụ nke otu ọhụrụ ma ọ bụ otu ndị eburula ụzọ kọwaa. A na-ejikwa otu ndị nchịkwa n'otu panel dị na taabụ Otu ndị nchịkwa. Tebụl 2 na-achịkọta ozi gbasara ndị nchịkwa ISE, ikike na ọrụ ha.
Tebụl 2. Otu ndị nchịkwa Cisco ISE, ọkwa nnweta, ikike, na mmachi.
Aha otu onye nchịkwa
Ikike
Mgbochi
Onye nlekọta nhazi
Ịtọlite ọnụ ụzọ ndị ọbịa na nkwado, nchịkwa na nhazi
Enweghị ike ịgbanwe atumatu ma ọ bụ lelee akụkọ
Onye nchịkwa Helpdesk
Ikike ilele dashboard isi, akụkọ niile, larms na iyi nsogbu
Ị nweghị ike ịgbanwe, mepụta ma ọ bụ hichapụ akụkọ, mkpu na ndekọ nyocha
Admin
Ijikwa ndị ọrụ, ihe ùgwù na ọrụ, ike ịlele ndekọ, akụkọ na mkpu
Ị nweghị ike ịgbanwe atumatu ma ọ bụ rụọ ọrụ na ọkwa OS
Onye nchịkwa MnT
Nleba anya zuru oke, akụkọ, mkpu, ndekọ na njikwa ha
Enweghị ike ịgbanwe atumatu ọ bụla
Onye nchịkwa ngwaọrụ netwọk
Ikike imepụta na ịgbanwe ihe ISE, lelee ndekọ, akụkọ, isi dashboard
Ị nweghị ike ịgbanwe atumatu ma ọ bụ rụọ ọrụ na ọkwa OS
Onye isi ochichi
Njikwa zuru oke nke iwu niile, na-agbanwe profaịlụ, ntọala, akụkọ nlele
Enweghị ike ịme ntọala na nzere, ihe ISE
Onye nchịkwa RBAC
Ntọala niile dị na taabụ arụmọrụ, ntọala amụma ANC, njikwa mkpesa
Ị nweghị ike ịgbanwe atumatu na-abụghị ANC ma ọ bụ rụọ ọrụ na ọkwa OS
Super Admin
Ikike nke ntọala niile, mkpesa na njikwa, nwere ike ihichapụ ma gbanwee nzere onye nchịkwa
Enweghị ike ịgbanwe, hichapụ profaịlụ ọzọ na otu Super Admin
System Admin
Ntọala niile dị na taabụ arụmọrụ, ijikwa ntọala sistemụ, amụma ANC, akụkọ nlele
Ị nweghị ike ịgbanwe atumatu na-abụghị ANC ma ọ bụ rụọ ọrụ na ọkwa OS
Mpụga Ọrụ RESTful (ERS) Admin
Nweta zuru oke na Cisco ISE REST API
Naanị maka ikike, njikwa nke ndị ọrụ mpaghara, ndị ọbịa na otu nchekwa (SG)
Onye na-arụ ọrụ RESTful Mpụga (ERS).
Ikikere ịgụ Cisco ISE REST API
Naanị maka ikike, njikwa nke ndị ọrụ mpaghara, ndị ọbịa na otu nchekwa (SG)
Ọgụgụ 11. Otu ndị nchịkwa Cisco ISE akọwara mbụ
8) Nhọrọ na taabụ Ikike> Ikikere> Amụma RBAC Ị nwere ike dezie ikike nke ndị nchịkwa eburula ụzọ kọwaa.
Ọgụgụ 12. Cisco ISE Administrator Preset Profile Rights Management
9) Na tab nchịkwa> Sistemu> Ntọala Ntọala sistemụ niile dị (DNS, NTP, SMTP na ndị ọzọ). Ị nwere ike dejupụta ha ebe a ma ọ bụrụ na ị tụfuru ha n'oge mbido ngwaọrụ mbụ.
5. Mmechi
Nke a mechiri isiokwu mbụ. Anyị tụlere ịdị irè nke ngwọta Cisco ISE NAC, ụkpụrụ ya, ihe kacha nta chọrọ na nhọrọ mbugharị, yana ntinye mbụ.
N'isiokwu na-esote, anyị ga-eleba anya na ịmepụta akaụntụ, ijikọ na Microsoft Active Directory, na ịmepụta ohere ndị ọbịa.
Ọ bụrụ na ị nwere ajụjụ gbasara isiokwu a ma ọ bụ chọọ enyemaka ịnwale ngwaahịa a, biko kpọtụrụ .
Nọrọ na nche maka mmelite na ọwa anyị (, , , , ).
isi: www.habr.com