ProHoster > Блог > Whakahaerenga > Cisco ISE: Whakataki, whakaritenga, whakaurunga. Wāhanga 1

Cisco ISE: Whakataki, whakaritenga, whakaurunga. Wāhanga 1

Cisco ISE: Whakataki, whakaritenga, whakaurunga. Wāhanga 1

1. Kupu whakataki

Ko ia kamupene, ahakoa te iti rawa, he hiahia mo te motuhēhēnga, te whakamanatanga me te kaute kaiwhakamahi (whanau kawa AAA). I te wa tuatahi, he pai te whakatinanatanga o te AAA ma te whakamahi i nga tikanga penei i te RADIUS, TACACS+ me te DIAMETER. Heoi, i te mea ka piki ake te maha o nga kaiwhakamahi me te kamupene, ka piki ake ano te maha o nga mahi: te tino kitea o nga kaihautu me nga taputapu BYOD, te whakamotuhēhēnga-maha, te hanga kaupapa here urunga taumata-maha me te maha atu.

Mo enei mahi, he tino pai te karaehe otinga NAC (Network Access Control) - mana uru whatunga. I roto i te raupapa o nga tuhinga i whakatapua ki Cisco ISE (Identity Services Engine) - Ko te otinga NAC mo te whakarato i te mana uru ki nga kaiwhakamahi i runga i te whatunga o roto, ka ata tirohia e matou te hoahoanga, te whakarato, te whirihoranga me te raihana o te otinga.

Me whakamahara poto ahau ki a koe ka taea e Cisco ISE koe:

  • He tere me te ngawari te hanga urunga manuhiri i runga i te WLAN whakatapua;

  • Rapua nga taputapu BYOD (hei tauira, nga PC kaainga a nga kaimahi i mauria mai ki te mahi);

  • Whakaritea me te whakatinana i nga kaupapa here haumarutanga puta noa i nga kaiwhakamahi rohe me nga kaiwhakamahi kore-rohe ma te whakamahi i nga tapanga roopu haumarutanga SGT TrustSec);

  • Tirohia nga rorohiko mo etahi raupaparorohiko kua whakauruhia me te ū ki nga paerewa (whakaahua);

  • Whakarōpūhia me te tohu tohu mutunga me nga taputapu whatunga;

  • Whakaratohia te tirohanga mutunga;

  • Tukuna nga rangitaki takahanga mo te takiuru/whakamutu o nga kaiwhakamahi, o ratou kaute (tuakiri) ki NGFW hei hanga kaupapa here-kaiwhakamahi;

  • Whakauru taketake ki a Cisco StealthWatch me te taratahi nga kaihautu whakapae e uru ana ki nga maiki haumarutanga (nui atu nga korero);

  • Me etahi atu waahanga paerewa mo nga kaitoro AAA.

Kua tuhia e nga hoa mahi o te umanga mo Cisco ISE, na reira ka tohutohu ahau ki a koe kia panui: Nga mahi whakatinana Cisco ISE, Me pehea te Whakarite mo te Whakatinana Cisco ISE.

2. Hangahanga

E 4 nga hinonga (node) o te hoahoanga o te Identity Services Engine: he node whakahaere (Policy Administration Node), he node tohatoha kaupapa here (Policy Service Node), he node aroturuki (Monitoring Node) me tetahi node PxGrid (PxGrid Node). Ka taea e Cisco ISE te whakaurunga motuhake, kua tohatohahia ranei. I roto i te putanga Standalone, kei runga nga hinonga katoa i runga i te miihini mariko kotahi, i te tūmau tinana ranei (Secure Network Servers - SNS), i roto i te putanga Tohatoha, ka tohatohahia nga pona ki nga taputapu rereke.

Ko te Node Whakahaere Kaupapa (PAN) he node e hiahiatia ana ka taea e koe te mahi i nga mahi whakahaere katoa i runga i te Cisco ISE. Ka whakahaerehia e ia nga whirihoranga punaha katoa e pa ana ki te AAA. I roto i te whirihoranga toha (ka taea te whakauru i nga pona hei miihini mariko motuhake), ka taea e koe kia rua nga PAN mo te aukati i te he - aratau Hohe/Tauturu.

Ko te Node Ratonga Kaupapahere (PSN) he node whakahau e whakarato ana i te uru ki te whatunga, te kawanatanga, te uru manuhiri, te whakarato ratonga kiritaki, me te tohu. Ka arotakehia e te PSN te kaupapa here me te whakamahi. I te nuinga o te waa, he maha nga PSN ka whakauruhia, ina koa i roto i te whirihoranga kua tohatohahia, mo etahi atu mahi taapiri me te tohatoha. Ko te tikanga, ka ngana ratou ki te whakauru i enei pona ki nga waahanga rereke kia kore ai e ngaro te kaha ki te whakarato i te urunga mana me te whai mana mo te tuarua.

Ko te Node Aroturuki (MnT) he node whakahau hei pupuri i nga raarangi takahanga, nga raarangi o etahi atu pona me nga kaupapa here i runga i te whatunga. Ka whakarato te node MnT i nga taputapu matatau mo te aro turuki me te rapu raruraru, te kohi me te whakatika i nga momo raraunga, me te tuku purongo whai kiko. Ka taea e Cisco ISE kia rua nga pona MnT morahi, na reira ka hangai i te he - aratau Hohe/Tiati. Heoi ano, ka kohia nga rakau e nga pona e rua, te hohe me te wahangu.

Ko te PxGrid Node (PXG) he node e whakamahi ana i te kawa PxGrid me te tuku korero i waenga i etahi atu taputapu e tautoko ana i te PxGrid.

PxGrid  — he kawa e whakapumau ana i te whakaurunga o te IT me nga hua hanganga haumarutanga korero mai i nga kaihoko rereke: nga punaha aroturuki, nga punaha tirotiro me te aukati, nga papa whakahaere kaupapa here haumaru me te maha atu o nga otinga. Ka taea e Cisco PxGrid koe ki te tiri i te horopaki i roto i te huarahi kotahi, takirua ranei me te maha o nga papaaho kaore he hiahia mo nga API, na reira ka taea te hangarau. TrustSec (Tautohu SGT), whakarereke me te tono kaupapa here ANC (Adaptive Network Control), me te mahi tohu - te whakatau i te tauira taputapu, OS, waahi, me etahi atu.

I roto i te whirihoranga nui e waatea ana, ka tukurua e nga pona PxGrid nga korero i waenga i nga pona ki runga i te PAN. Mena kua monoa te PAN, ka mutu te whakamotuhēhēnga, te whakamana, me te kaute o te kōpuku PxGrid mo nga kaiwhakamahi. 

Kei raro nei he whakaaturanga whakahiato mo nga mahi a nga hinonga Cisco ISE rereke i roto i te whatunga umanga.

Cisco ISE: Whakataki, whakaritenga, whakaurunga. Wāhanga 1Whakaatu 1. Cisco ISE Architecture

3. Nga whakaritenga

Ka taea te whakatinana a Cisco ISE, penei i te nuinga o nga otinga hou, tata, tinana ranei hei tūmau motuhake. 

Ko nga taputapu tinana e whakahaere ana i te rorohiko Cisco ISE e kiia ana ko SNS (Secure Network Server). E toru nga tauira: SNS-3615, SNS-3655 me SNS-3695 mo nga pakihi iti, reo me te rahi. Ko te Ripanga 1 e whakaatu ana i nga korero mai i papararaunga SNS.

Ripanga 1. Ripanga whakataurite o SNS mo nga unahi rereke

Taumahi

SNS 3615 (iti)

SNS 3655 (Waenga)

SNS 3695 (Nui)

Te maha o nga pito mutunga e tautokohia ana i roto i te whakaurunga Motuhake

10000

25000

50000

Te maha o nga pito mutunga e tautokohia ana mo ia PSN

10000

25000

100000

PTM (Intel Xeon 2.10 GHz)

8 matua

12 matua

12 matua

RAM 

32 GB (2 x 16 GB)

96 GB (6 x 16 GB)

256 GB (16 x 16 GB)

HDD

1 x 600 GB

4 x 600 GB

8 x 600 GB

RAID taputapu

No

RAID 10, te aroaro o te kaiwhakahaere RAID

RAID 10, te aroaro o te kaiwhakahaere RAID

Hononga whatunga

2 x 10Gbase-T

4 x 1Gbase-T 

2 x 10Gbase-T

4 x 1Gbase-T 

2 x 10Gbase-T

4 x 1Gbase-T

Mō ngā whakatinanatanga mariko, ko ngā hypervisor e tautokona ana ko VMware ESXi (ko te putanga 11 o VMware te mea e taunakitia ana mō ESXi 6.0), Microsoft Hyper-V me Linux KVM (RHEL 7.0). Me rite tonu ngā rauemi ki te ripanga i runga ake nei, me teitei ake rānei. Heoi, ko ngā whakaritenga iti rawa mō te mīhini mariko mō ngā pakihi iti ko: XPUUM 2 me te auau o 2.0 GHz me teitei ake, 16 GB RAM и 200 GB HDD. 

Mo etahi atu korero tukunga Cisco ISE, tena koa whakapā mai ki a matou ki ranei rauemi #1, rauemi #2.

4. Tāutanga

Pērā i te nuinga atu o nga hua Cisco, ka taea te whakamatautau i te ISE i roto i nga huarahi maha:

  • dcloud - ratonga kapua o nga whakatakotoranga taiwhanga i mua i te whakauru (me hiahiatia he putea Cisco);

  • tono GVE – tono mai papaanga Cisco o etahi rorohiko (tikanga mo nga hoa). Ka hangaia e koe he keehi me nga whakaahuatanga e whai ake nei: Momo hua [ISE], Pūmanawa ISE [ise-2.7.0.356.SPA.x8664], ISE Papaki [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];

  • kaupapa pairati — whakapā atu ki tetahi hoa whai mana ki te whakahaere kaupapa pairati kore utu.

1) I muri i te hanga i tetahi miihini mariko, mena ka tono koe i tetahi konae ISO engari ehara i te tauira OVA, ka puta ake he matapihi e hiahia ana a ISE ki a koe ki te whiriwhiri i tetahi whakaurunga. Hei mahi i tenei, hei utu mo to takiuru me to kupuhipa, me tuhi koe "tatūnga"!

Tuhipoka: Mena i tukuna e koe te ISE mai i te tauira OVA, katahi nga taipitopito takiuru kaiwhakahaere/MyIseYPass2 (Ko tenei me te maha atu e tohuhia ana i roto i te mana aratohu).

Cisco ISE: Whakataki, whakaritenga, whakaurunga. Wāhanga 1Whakaatu 2. Te whakauru Cisco ISE

2) Na me whakakiia e koe nga mara e hiahiatia ana penei i te IP IP, DNS, NTP me etahi atu.

Cisco ISE: Whakataki, whakaritenga, whakaurunga. Wāhanga 1Whakaatu 3. Te Whakatairanga Cisco ISE

3) I muri i tera, ka whakaara ano te taputapu, ka taea e koe te hono ma te atanga tukutuku ma te whakamahi i te wahitau IP kua tohua i mua.

Cisco ISE: Whakataki, whakaritenga, whakaurunga. Wāhanga 1Whakaatu 4. Atanga Tukutuku Cisco ISE

4) Kei te ripa Whakahaere > Pūnaha > Tukunga ka taea e koe te kowhiri ko wai nga pona (hinonga) ka taea ki runga i tetahi taputapu. Kei te whakahohea te node PxGrid i konei.

Cisco ISE: Whakataki, whakaritenga, whakaurunga. Wāhanga 1Whakaatu 5. Cisco ISE Whakahaere Hinonga

5) Na i roto i te ripa Whakahaere > Pūnaha > Uru Uru > Whakaaturanga Ka tūtohu ahau ki te whakarite kaupapa here kupuhipa, tikanga motuhēhēnga (tiwhikete, kupuhipa ranei), te ra paunga o te kaute, me etahi atu tautuhinga.

Cisco ISE: Whakataki, whakaritenga, whakaurunga. Wāhanga 1Whakaahua 6. Te whakatakotoranga momo motuhēhēngaCisco ISE: Whakataki, whakaritenga, whakaurunga. Wāhanga 1Whakaatu 7. Tautuhinga kaupapa here KupuhipaCisco ISE: Whakataki, whakaritenga, whakaurunga. Wāhanga 1Whakaahua 8. Te whakatu i te kati i te kaute i muri i te paunga o te waCisco ISE: Whakataki, whakaritenga, whakaurunga. Wāhanga 1Whakaahua 9. Te whakarite i te raka kaute

6) Kei te ripa Whakahaere > Pūnaha > Uru Uru > Kaiwhakahaere > Kaiwhakamahi Kaiwhakahaere > Tāpiri ka taea e koe te hanga i tetahi kaiwhakahaere hou.

Cisco ISE: Whakataki, whakaritenga, whakaurunga. Wāhanga 1Whakaatu 10. Te hanga i tetahi Kaiwhakahaere Cisco ISE rohe

7) Ka taea te whakauru i te kaiwhakahaere hou ki tetahi roopu hou, ki nga roopu kua tautuhia kee. Ko nga roopu kaiwhakahaere kei te whakahaere i te roopu kotahi i te ripa Rōpū Kaiwhakahaere. Ko te Ripanga 2 he whakapoto i nga korero mo nga kaiwhakahaere ISE, o ratou motika me o raatau mahi.

Ripanga 2. Roopu Kaiwhakahaere Cisco ISE, Taumata Uru, Whakaaetanga, me nga Rahui

Ingoa roopu kaiwhakahaere

Nga Whakaaetanga

Whakataunga

Whakahaere Whakaritenga

Te whakatu i nga tomokanga manuhiri me te tautoko, te whakahaere me te whakaritenga

Te kore e kaha ki te whakarereke i nga kaupapa here, ki te tiro purongo ranei

Kaiwhakahaere Awhina

Te kaha ki te tiro i te papatohu matua, nga purongo katoa, nga rama me nga awa raruraru

Kaore e taea e koe te whakarereke, te hanga, te muku ranei i nga purongo, nga whakaoho me nga raarangi motuhēhēnga

Kaiwhakahaere Tuakiri

Te whakahaere i nga kaiwhakamahi, nga painga me nga mahi, te kaha ki te tiro i nga raarangi, nga purongo me nga whakaohooho

Kaore e taea e koe te whakarereke i nga kaupapa here, te mahi ranei i nga mahi i te taumata OS

Kaiwhakahaere MnT

Katoa te aro turuki, nga purongo, nga whakaoho, nga raarangi me o raatau whakahaere

Te kore e taea te whakarereke i nga kaupapa here

Kaiwhakahaere Pūrere Whatunga

Motika ki te hanga me te whakarereke i nga taonga ISE, te tiro i nga raarangi, nga purongo, te papatohu matua

Kaore e taea e koe te whakarereke i nga kaupapa here, te mahi ranei i nga mahi i te taumata OS

Kaiwhakahaere Kaupapahere

Te whakahaere katoa o nga kaupapa here katoa, te whakarereke i nga korero, nga tautuhinga, te tirotiro i nga purongo

Te kore e kaha ki te mahi i nga tautuhinga me nga tohu, nga taonga ISE

Kaiwhakahaere RBAC

Nga tautuhinga katoa kei te ripa Mahi, nga tautuhinga kaupapa here ANC, te whakahaere purongo

Kaore e taea e koe te whakarereke i nga kaupapa here i tua atu i te ANC, te mahi ranei i nga mahi i te taumata OS

Super Admin

Ka taea e nga motika ki nga tautuhinga katoa, te ripoata me te whakahaere, te whakakore me te whakarereke i nga tohu a te kaiwhakahaere

Kaore e taea te huri, mukua tetahi atu korero mai i te roopu Kaiwhakahaere Super

Kaiwhakahaere Pūnaha

Ko nga tautuhinga katoa kei te ripa Mahi, te whakahaere i nga tautuhinga punaha, te kaupapa here ANC, te tirotiro i nga purongo

Kaore e taea e koe te whakarereke i nga kaupapa here i tua atu i te ANC, te mahi ranei i nga mahi i te taumata OS

Kaiwhakahaere RESTful Services (ERS) Waho

Te uru katoa ki te Cisco ISE REST API

Mo te whakamanatanga anake, te whakahaere i nga kaiwhakamahi o te rohe, nga kaihautu me nga roopu haumaru (SG)

Kaiwhakahaere RESTful Services (ERS) o waho

Cisco ISE REST API Panui Whakaaetanga

Mo te whakamanatanga anake, te whakahaere i nga kaiwhakamahi o te rohe, nga kaihautu me nga roopu haumaru (SG)

Cisco ISE: Whakataki, whakaritenga, whakaurunga. Wāhanga 1Whakaahua 11. Nga Roopu Kaiwhakahaere Cisco ISE kua tautuhia

8) Kōwhiringa i roto i te ripa Whakaaetanga > Whakaaetanga > Kaupapahere RBAC Ka taea e koe te whakatika i nga mana o nga kaiwhakahaere kua tautuhia.

Cisco ISE: Whakataki, whakaritenga, whakaurunga. Wāhanga 1Whakaatu 12. Cisco ISE Kaiwhakahaere Tatūkē Profile Tika Whakahaere

9) Kei te ripa Whakahaere > Pūnaha > Tautuhinga Kei te waatea nga tautuhinga punaha katoa (DNS, NTP, SMTP me etahi atu). Ka taea e koe te whakakii i konei mena ka ngaro koe i a koe i te tiimatanga o te taputapu tuatahi.

5. Whakamutunga

Ka mutu te tuhinga tuatahi. I korero matou mo te whai huatanga o te otinga Cisco ISE NAC, tona hoahoanga, nga whakaritenga iti me nga whiringa tuku, me te whakaurunga tuatahi.

I te tuhinga e whai ake nei, ka titiro tatou ki te hanga kaute, te whakauru ki a Microsoft Active Directory, me te hanga urunga manuhiri.

Mena kei a koe nga patai mo tenei kaupapa, kei te hiahia awhina ranei koe ki te whakamatautau i te hua, me waea atu hono.

Kia mau ki nga korero hou i roto i a maatau hongere (waeaFacebookVKTS Solution BlogYandex Zen).

Source: will.com

Hokona te manaaki pono mo nga waahi me te tiaki DDoS, nga kaiwhakarato VPS VDS 🔥 Hokona he manaaki paetukutuku pono me te tiakitanga DDoS, ngā tūmau VPS VDS | ProHoster