1. Destpêk
Her pargîdanî, tewra ya herî piçûk jî, pêdivî bi pejirandin, destûr û hesabê bikarhêner (malbata protokolên AAA) heye. Di qonaxa destpêkê de, AAA bi karanîna protokolên wekî RADIUS, TACACS + û DIAMETER pir baş tête bicîh kirin. Lêbelê, her ku hejmara bikarhêner û pargîdanî mezin dibe, hejmara peywiran jî mezin dibe: dîtina herî zêde ya mêvandar û cîhazên BYOD, pejirandina pir-faktor, afirandina polîtîkaya gihîştina pir-ast û hêj bêtir.
Ji bo karên weha, çîna çareseriyên NAC (Kontrola Gihîştina Torê) bêkêmasî ye - Kontrola gihîştina torê. Di rêze gotarên ku ji bo (Motora Karûbarên Nasnameyê) - Çareseriya NAC-ê ji bo peydakirina kontrolkirina gihîştina-agahdar ji bikarhêneran re li ser tora hundurîn, em ê bi hûrgulî li mîmarî, peydakirin, veavakirin û lîsansa çareseriyê binihêrin.
Bihêle ez bi kurtî bînim bîra we ku Cisco ISE destûrê dide we:
-
Zû û bi hêsanî gihîştina mêvanan li ser WLAN-ya taybetî biafirînin;
-
Amûrên BYOD-ê kifş bikin (mînakî, PC-yên malê yên karmendan ku wan anîne ser kar);
-
Polîtîkayên ewlehiyê yên li seranserê bikarhênerên domain û ne-domain bi karanîna etîketên koma ewlehiyê ya SGT-ê bicîh bikin û bicîh bikin );
-
Komputeran ji bo hin nermalava sazkirî û lihevhatina standardan kontrol bikin (posturing);
-
Tesnîfkirin û profîlek xala dawî û amûrên torê;
-
Dîtina xala dawiyê peyda bikin;
-
Têketinên bûyerê yên têketin/derketina bikarhêneran, hesabên wan (nasname) ji NGFW re bişînin da ku siyasetek-based bikarhêner ava bike;
-
Bi Cisco StealthWatch re xwemalî bikin yek û mêvandarên gumanbar ên ku di bûyerên ewlehiyê de têkildar in karantîn bikin ();
-
Û taybetmendiyên din ên standard ji bo serverên AAA.
Hevalên di pîşesaziyê de berê li ser Cisco ISE nivîsandine, ji ber vê yekê ez ji we re şîret dikim ku hûn bixwînin: ,.
2. Mîmarî
Mîmariya Karûbarên Karûbarên Nasnameyê 4 sazûman (girêdan) heye: girêkek rêveberiyê (Nava Rêvebiriya Siyasetê), girêkek belavkirina siyasetê (Nodeya Karûbarê Siyasetê), girêkek çavdêriyê (Node Çavdêriyê) û girêkek PxGrid (Nava PxGrid). Cisco ISE dikare di sazkirinek serbixwe an belavkirî de be. Di guhertoya serbixwe de, hemî sazî li ser yek makîneyek virtual an serverek laşî (Pêşkêşkerên Tora Ewle - SNS) cih digirin, dema ku di guhertoya belavkirî de, girêk li ser cîhazên cihêreng têne belav kirin.
Node Rêveberiya Polîtîkayê (PAN) girêkek pêdivî ye ku destûrê dide te ku hûn hemî karûbarên îdarî li ser Cisco ISE pêk bînin. Ew hemî mîhengên pergalê yên bi AAA-yê re têkildar dike. Di veavakirinek belavkirî de (girêdan dikarin wekî makîneyên virtual yên cihê werin saz kirin), hûn dikarin herî zêde du PAN ji bo tolerasyona xeletiyê hebin - Moda Çalak / Standby.
Node Karûbarê Siyasetê (PSN) girêkek mecbûrî ye ku gihîştina torê, dewlet, gihîştina mêvan, peydakirina karûbarê xerîdar, û profîlan peyda dike. PSN siyasetê dinirxîne û bi kar tîne. Bi gelemperî, pirjimar PSN têne saz kirin, nemaze di veavakirinek belavkirî de, ji bo xebitandina bêtir zêde û belavkirî. Bê guman, ew hewl didin ku van girêkan di beşên cihêreng de saz bikin da ku ji bo saniyeyekê şiyana peydakirina pêbawer û destûrdar winda nekin.
Nodeya Çavdêriyê (MnT) girêkek mecbûrî ye ku têketinên bûyerê, têketinên girêkên din û polîtîkayên li ser torê hilîne. Node MnT ji bo şopandin û çareserkirina pirsgirêkan amûrên pêşkeftî peyda dike, daneyên cihêreng berhev dike û têkildar dike, û di heman demê de raporên watedar jî peyda dike. Cisco ISE dihêle hûn herî zêde du girêkên MnT hebin, bi vî rengî tolerasyona xeletiyê diafirînin - Moda Çalak / Standby. Lêbelê, têketin ji hêla herdu girêkan, hem çalak û hem jî pasîf ve têne berhev kirin.
PxGrid Node (PXG) nodek e ku protokola PxGrid bikar tîne û rê dide danûstendinê di navbera cîhazên din ên ku PxGrid piştgirî dikin.
- Protokolek ku yekbûna hilberên binesaziya IT û agahdariya agahdariya ji firoşkarên cihêreng misoger dike: pergalên çavdêriyê, pergalên vedîtin û pêşîlêgirtinê, platformên rêveberiya siyaseta ewlehiyê û gelek çareseriyên din. Cisco PxGrid dihêle hûn bêyî hewcedariya API-yê bi gelek platforman re bi rengek yekalî an dualî ve çarçoveyek parve bikin, bi vî rengî karanîna teknolojiyê bikar tîne. (Nîşeyên SGT), polîtîkaya ANC (Kontrola Torgilokê ya Adaptive) biguhezînin û bicîh bînin, û her weha profîlan bikin - destnîşankirina modela cîhazê, OS, cîh, û hêj bêtir.
Di vesazkirinek berdestbûna bilind de, girêkên PxGrid agahdariya di navbera girêkan de li ser PANek dubare dikin. Ger PAN neçalak be, girêka PxGrid pejirandin, destûrkirin û hesabkirina bikarhêneran rawestîne.
Li jêr temsîlek şematîkî ya xebitandina saziyên Cisco ISE yên cihêreng ên di torgilokek pargîdanî de heye.
jimar 1. Cisco ISE Architecture
3. Requirements
Cisco ISE dikare, mîna piraniya çareseriyên nûjen, bi virtual an fizîkî wekî serverek cûda were bicîh kirin.
Amûrên fizîkî yên ku nermalava Cisco ISE-yê dixebitin bi navê SNS (Servera Tora Ewle) tê gotin. Ew di sê modelan de têne: SNS-3615, SNS-3655 û SNS-3695 ji bo karsaziyên piçûk, navîn û mezin. Tabloya 1 agahdariya ji SNS.
Tablo 1. Tabloya berhevdana SNS ji bo pîvanên cihêreng
Parîsê
SNS 3615 (Piçûk)
SNS 3655 (Navenda)
SNS 3695 (Mezin)
Hejmara xalên dawî yên piştgirîkirî di sazkirinek serbixwe de
10000
25000
50000
Hejmara xalên dawî yên piştgirî li ser PSN
10000
25000
100000
CPU (Intel Xeon 2.10 GHz)
8 core
12 core
12 core
BERAN
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1 x 600 GB
4 x 600 GB
8 x 600 GB
Hardware RAID
na
RAID 10, hebûna kontrola RAID
RAID 10, hebûna kontrola RAID
Têkiliyên torê
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
Di derbarê pêkanînên virtual de, hîpervisorên piştgirî VMware ESXi ne (herî kêm guhertoya VMware 11 ji bo ESXi 6.0 tê pêşniyar kirin), Microsoft Hyper-V û Linux KVM (RHEL 7.0). Pêdivî ye ku çavkanî bi qasî di tabloya jorîn de, an jî bêtir heman bin. Lêbelê, kêmtirîn hewcedariyên ji bo makîneyek virtual karsaziyek piçûk ev in: 2 CPU bi frekansa 2.0 GHz û bilindtir, 16 GB RAM и 200 GB HDD
Ji bo hûrguliyên din ên bicîhkirina Cisco ISE, ji kerema xwe têkilî an ji bo , .
4. Sazkirin
Mîna piraniya hilberên Cisco yên din, ISE dikare bi çend awayan were ceribandin:
-
- karûbarê ewr a sêwiranên laboratîfê yên pêş-sazkirî (hesabê Cisco hewce ye);
-
- daxwaz ji Cisco hin nermalava (rêbaza ji bo hevkaran). Hûn bi danasîna tîpîk a jêrîn dozek diafirînin: Cureya hilberê [ISE], Nermalava ISE [ise-2.7.0.356.SPA.x8664], ISE Patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
-
- bi hevalbendek rayedar re têkilî daynin da ku projeyek pîlotek belaş pêk bînin.
1) Piştî afirandina makîneyek virtual, heke we pelek ISO daxwaz kir û ne şablonek OVA, dê pencereyek derkeve ku tê de ISE ji we hewce dike ku hûn saziyek hilbijêrin. Ji bo vê yekê, li şûna têketin û şîfreya xwe, divê hûn binivîsin "damezirandin“!
Têbînî: heke we ISE ji şablonê OVA bicîh kir, wê hingê hûrguliyên têketinê rêveber / MyIseYPass2 (ev û hê bêtir di fermî de têne destnîşan kirin ).
jimar 2. Sazkirina Cisco ISE
2) Dûv re divê hûn qadên pêwîst ên wekî navnîşana IP, DNS, NTP û yên din dagirin.
jimar 3. Destpêkirina Cisco ISE
3) Piştî wê, cîhaz dê ji nû ve dest pê bike, û hûn ê bikaribin bi navgîniya webê ve bi navnîşana IP-ya ku berê hatî destnîşan kirin ve girêbidin.
jimar 4. Cisco ISE Web Interface
4) Di tabloyê de Rêveberî> Pergal> Dabeşkirin tu dikarî hilbijêrî ka kîjan girêkên (heydan) li ser amûrek taybetî têne çalak kirin. Nodeya PxGrid li vir çalak e.
jimar 5. Cisco ISE Entity Management
5) Piştre di tabê de Rêvebir> Pergal> Gihîştina Admin> Piştrastkirina Ez pêşniyar dikim ku sîyaseta şîfreyê, rêbaza erêkirinê (sertîfîka an şîfre), tarîxa qedandina hesabê, û mîhengên din saz bikin.
Wêne 6. Mîhenga celebê rastrastkirinêWêne 7. Mîhengên polîtîkaya şîfreyêWêne 8. Sazkirina girtina hesabê piştî ku dem derbas bûWêne 9. Sazkirina girtina hesabê
6) Di tabloyê de Rêvebir> Pergal> Gihîştina Admin> Rêvebir> Bikarhênerên Admin> Zêde bikin hûn dikarin rêveberek nû ava bikin.
jimar 10. Afirandina Rêveberê Cisco ISE ya Herêmî
7) Rêvebirê nû dikare bibe beşek ji grûpek nû an komên ji berê ve hatî diyar kirin. Komên rêveber di tabloyê de di heman panelê de têne rêve kirin Komên Rêvebir. Tablo 2 agahdarî li ser rêvebirên ISE, maf û rolên wan kurt dike.
Tablo 2. Komên Rêvebirê Cisco ISE, Asta Gihîştinê, Destûr û Destûrdan
Navê koma rêveberê
Destûrên
Sînor
Customization Admin
Sazkirina portalên mêvan û sponsorgeriyê, rêveberî û xwerû
Nekarîna guheztina polîtîkayan an dîtina raporan
Alîkariya Rêvebir
Qebûlbûna dîtina dashboarda sereke, hemî rapor, larm û rêyên çareserkirina pirsgirêkê
Hûn nikarin rapor, alarm û têketinên erêkirinê biguherînin, biafirînin an jêbikin
Nasname Admin
Birêvebirina bikarhêneran, îmtiyaz û rolan, şiyana dîtina têketin, rapor û alarman
Hûn nikarin polîtîkayan biguherînin an karan di asta OS-ê de bikin
MnT Admin
Çavdêriya tevahî, rapor, alarm, têketin û rêveberiya wan
Nekarîna ti polîtîkayan biguherîne
Rêvebirê cîhaza torê
Mafên afirandin û guherandina tiştên ISE, dîtina têketin, raporan, tabloya sereke
Hûn nikarin polîtîkayan biguherînin an karan di asta OS-ê de bikin
Siyaseta Admin
Rêvebiriya bêkêmasî ya hemî polîtîkayan, guhartina profîl, mîhengan, dîtina raporan
Nekarîna pêkanîna mîhengan bi pêbaweran, tiştên ISE
RBAC Admin
Hemî mîhengên di tabloya Operasyonê de, mîhengên siyaseta ANC, rêveberiya raporê
Hûn nikarin ji bilî ANC polîtîkayên din biguhezînin an di asta OS-ê de peywiran pêk bînin
Super Admin
Mafên hemî mîhengan, raporkirin û rêvebirinê, dikarin pêbaweriyên rêvebir jêbirin û biguherînin
Nabe biguhere, profîlek din ji koma Super Admin jê bibe
System Admin
Hemî mîhengên di tabloya Operasyonan de, birêvebirina mîhengên pergalê, siyaseta ANC, dîtina raporan
Hûn nikarin ji bilî ANC polîtîkayên din biguhezînin an di asta OS-ê de peywiran pêk bînin
Karûbarên RESTful Derve (ERS) Rêvebir
Gihîştina tevahî ya Cisco ISE REST API
Tenê ji bo destûr, rêveberiya bikarhênerên herêmî, mêvandar û komên ewlehiyê (SG)
Karûbarên Xizmetên RESTful ên Derve (ERS).
Cisco ISE REST API Destûrên xwendinê
Tenê ji bo destûr, rêveberiya bikarhênerên herêmî, mêvandar û komên ewlehiyê (SG)
Xiflteya 11. Komên Rêveberê Cisco ISE-ya pêşwextkirî
8) Extras di tab Destûr> Destûr> Siyaseta RBAC Hûn dikarin mafên rêveberên pêşwext biguherînin.
jimar 12. Cisco ISE Administrator Preset Management Mafên Profile
9) Di tabloyê de Rêveberî> Pergal> Mîhengan Hemî mîhengên pergalê hene (DNS, NTP, SMTP û yên din). Ger we di dema destpêkirina cîhaza destpêkê de wan ji bîr nekiribe, hûn dikarin wan li vir dagirin.
5. Encam
Ev gotara yekem bi dawî dike. Me bandora çareseriya Cisco ISE NAC, mîmariya wê, hewcedariyên hindiktirîn û vebijarkên bicîhkirinê, û sazkirina destpêkê nîqaş kir.
Di gotara din de, em ê li çêkirina hesaban, entegrekirina bi Microsoft Active Directory, û afirandina gihîştina mêvanan binêrin.
Ger pirsên we li ser vê mijarê hebin an jî di ceribandina hilberê de arîkarî hewce ne, ji kerema xwe têkilî daynin .
Li kanalên me li benda nûvekirinan bin (, , , , ).
Source: www.habr.com