1. پیژندنه
هر شرکت، حتی تر ټولو کوچنی، د اعتبار، واک او کارونکي حساب ورکولو ته اړتیا لري (د پروتوکولونو AAA کورنۍ). په لومړي پړاو کې، AAA د پروتوکولونو لکه RADIUS، TACACS+ او DIAMETER په کارولو سره په ښه توګه پلي کیږي. په هرصورت، لکه څنګه چې د کاروونکو شمیر او شرکت وده کوي، د دندو شمیر هم وده کوي: د کوربه او BYOD وسیلو اعظمي لید، د څو فکتور تصدیق، د څو کچې لاسرسي پالیسي رامینځته کول او نور ډیر څه.
د دې ډول دندو لپاره، د NAC (د شبکې لاسرسي کنټرول) ټولګي د حلونو بشپړ دی - د شبکې لاسرسي کنټرول. د مقالو په لړۍ کې وقف شوي (د پیژندنې خدماتو انجن) - په داخلي شبکه کې کاروونکو ته د شرایطو - خبرتیا لاسرسي کنټرول چمتو کولو لپاره د NAC حل ، موږ به د حل جوړښت ، چمتو کولو ، ترتیب او جواز ورکولو ته مفصل نظر واخلو.
اجازه راکړئ په لنډ ډول تاسو ته یادونه وکړم چې سیسکو ISE تاسو ته اجازه درکوي:
-
په یوه وقف شوي WLAN کې د میلمنو لاسرسي په چټکۍ او اسانۍ سره رامینځته کړئ؛
-
د BYOD وسایل کشف کړئ (د مثال په توګه، د کارمندانو کور کمپیوټرونه چې دوی کار ته راوړي)؛
-
د SGT امنیت ګروپ لیبلونو په کارولو سره په ډومین او غیر ډومین کاروونکو کې د امنیت پالیسۍ مرکزي کول او پلي کول );
-
د ځانګړو سافټویر نصبولو او د معیارونو سره مطابقت لپاره کمپیوټر چیک کړئ (پوسټینګ)؛
-
طبقه بندي او پروفایل پای ټکی او د شبکې وسایل؛
-
د پای ټکی لید چمتو کړئ؛
-
د کارونکي پر بنسټ پالیسي جوړولو لپاره NGFW ته د کاروونکو د ننوتلو/لاګ آف پیښې لاګونه، د دوی حسابونه (پیژندنه) واستوئ؛
-
په اصلي توګه د سیسکو سټیل واچ سره یوځای کړئ او په امنیتي پیښو کې دخیل مشکوک کوربه قرنطین کړئ ();
-
او نور ځانګړتیاوې د AAA سرورونو لپاره معیاري دي.
په صنعت کې همکارانو دمخه د سیسکو ISE په اړه لیکلي دي ، نو زه تاسو ته مشوره درکوم چې ولولئ: ,.
2. آرکیټیکټورا
د پیژندنې خدماتو انجن جوړښت 4 ادارې (نوډونه) لري: د مدیریت نوډ (د پالیسۍ ادارې نوډ)، د پالیسۍ ویش نوډ (د پالیسۍ خدمت نوډ)، د څارنې نوډ (د څارنې نوډ) او د PxGrid نوډ (PxGrid نوډ). سیسکو ISE کیدای شي په یو واحد یا ویشل شوي نصب کې وي. په سټنډرډ نسخه کې، ټولې ادارې په یو مجازی ماشین یا فزیکي سرور کې موقعیت لري (د خوندي شبکې سرورونه - SNS)، پداسې حال کې چې په ویشل شوي نسخه کې، نوډونه په مختلفو وسیلو ویشل شوي.
د پالیسۍ ادارې نوډ (PAN) یو اړین نوډ دی چې تاسو ته اجازه درکوي په سیسکو ISE کې ټول اداري عملیات ترسره کړئ. دا د AAA پورې اړوند ټول سیسټم تنظیمات اداره کوي. په ویشل شوي ترتیب کې (نوډونه د جلا مجازی ماشینونو په توګه نصب کیدی شي)، تاسو کولی شئ د غلطۍ زغم لپاره اعظمي دوه PANs ولرئ - فعال / سټینډ بای حالت.
د پالیسي خدماتو نوډ (PSN) یو لازمي نوډ دی چې شبکې ته لاسرسی ، دولت ، میلمنو لاسرسی ، د پیرودونکي خدماتو چمتو کول ، او پروفایل چمتو کوي. PSN پالیسي ارزوي او پلي کوي. معمولا ، ډیری PSNs نصب شوي ، په ځانګړي توګه په توزیع شوي ترتیب کې ، د ډیر بې ځایه او توزیع شوي عملیاتو لپاره. البته، دوی هڅه کوي دا نوډونه په بیلابیلو برخو کې نصب کړي ترڅو د یوې ثانیې لپاره د مستند او مجاز لاسرسي چمتو کولو وړتیا له لاسه ورنکړي.
د څارنې نوډ (MnT) یو لازمي نوډ دی چې د پیښې لاګونه ، د نورو نوډونو لاګونه او په شبکه کې پالیسۍ ساتي. د MnT نوډ د څارنې او ستونزو حل کولو لپاره پرمختللي وسیلې چمتو کوي ، مختلف ډیټا راټولوي او ورسره تړاو لري ، او معنی لرونکي راپورونه هم چمتو کوي. سیسکو ISE تاسو ته اجازه درکوي اعظمي دوه MnT نوډونه ولرئ، په دې توګه د غلطۍ زغم رامینځته کوي - فعال / سټینډ بای حالت. په هرصورت، لاګونه د دواړو نوډونو لخوا راټول شوي، دواړه فعال او غیر فعال دي.
PxGrid نوډ (PXG) یو نوډ دی چې د PxGrid پروتوکول کاروي او د نورو وسیلو ترمینځ اړیکې ته اجازه ورکوي چې د PxGrid ملاتړ کوي.
- یو پروتوکول چې د مختلف پلورونکو څخه د IT او معلوماتو امنیت زیربنا محصولاتو ادغام تضمینوي: د څارنې سیسټمونه ، د مداخلې کشف او مخنیوي سیسټمونه ، د امنیت پالیسۍ مدیریت پلیټ فارمونه او ډیری نور حلونه. Cisco PxGrid تاسو ته اجازه درکوي د APIs اړتیا پرته د ډیری پلیټ فارمونو سره په یو اړخیز یا دوه اړخیز ډول شرایط شریک کړئ ، پدې توګه ټیکنالوژي فعالوي (SGT ټاګونه)، د ANC (تخلیق شبکې کنټرول) پالیسي بدل کړئ او پلي کړئ، او همدارنګه د پروفایل کولو ترسره کول - د وسیلې ماډل، OS، موقعیت، او نور مشخص کول.
د لوړ شتون په ترتیب کې، د PxGrid نوډونه د PAN په اړه د نوډونو ترمنځ معلومات نقلوي. که چیرې PAN غیر فعال وي، د PxGrid نوډ د کاروونکو لپاره تصدیق کول، اختیار ورکول، او حساب ورکول بندوي.
لاندې د کارپوریټ شبکې کې د مختلف سیسکو ISE ادارو عملیاتو سکیماتیک نمایش دی.
شکل 1. د سیسکو ISE جوړښت
3. اړتیاوې
د سیسکو ISE پلي کیدی شي ، لکه د ډیری عصري حلونو په څیر ، په حقیقت یا فزیکي ډول د جلا سرور په توګه.
هغه فزیکي وسایل چې د سیسکو ISE سافټویر چلوي د SNS (د خوندي شبکې سرور) په نوم یادیږي. دوی په دریو ماډلونو کې راځي: SNS-3615، SNS-3655 او SNS-3695 د کوچني، متوسط او لوی سوداګرۍ لپاره. جدول 1 څخه معلومات ښیې SNS.
جدول 1. د مختلفو اندازو لپاره د SNS پرتله کولو جدول
پارسيم
SNS 3615 (کوچنی)
SNS 3655 (منځنی)
SNS 3695 (لوی)
په یو واحد نصب کې د ملاتړ شوي پای ټکي شمیر
10000
25000
50000
په هر PSN کې د ملاتړ شوي پای نقطو شمیر
10000
25000
100000
CPU (Intel Xeon 2.10 GHz)
8 کورونه
12 کورونه
12 کورونه
مؤقتي حافظه
32 جي بي (2 x 16 جي بي)
96 جي بي (6 x 16 جي بي)
256 جي بي (16 x 16 جي بي)
HDD
1 x 600 GB
4 x 600 GB
8 x 600 GB
د هارډویر RAID
نه
RAID 10، د RAID کنټرولر شتون
RAID 10، د RAID کنټرولر شتون
د جال انٹرفیس
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
د مجازی تطبیقاتو په اړه، ملاتړ شوي هایپروایسرونه د VMware ESXi دي (د ESXi 11 لپاره لږترلږه د VMware نسخه 6.0 سپارښتنه کیږي)، د مایکروسافټ هایپر-V او لینکس KVM (RHEL 7.0). سرچینې باید نږدې ورته وي لکه په پورته جدول کې، یا نور. په هرصورت، د کوچني سوداګرۍ مجازی ماشین لپاره لږترلږه اړتیاوې دي: 2 سي پي يو د 2.0 GHz او لوړ فریکونسۍ سره، 16 GB رام и 200 GB HDD.
د نورو سیسکو ISE ګمارلو توضیحاتو لپاره ، مهرباني وکړئ اړیکه ونیسئ یا ته , .
4. نصب کول
د ډیری نورو سیسکو محصولاتو په څیر، ISE په څو لارو ازموینه کیدی شي:
-
- د دمخه نصب شوي لابراتوار ترتیبونو کلاوډ خدمت (د سیسکو حساب ته اړتیا لري)؛
-
– څخه غوښتنه د ځانګړو سافټویر سیسکو (د شریکانو لپاره طریقه). تاسو د لاندې ځانګړي توضیحاتو سره قضیه رامینځته کوئ: د محصول ډول [ISE] ، ISE سافټویر [ise-2.7.0.356.SPA.x8664]، ISE پیچ [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x86۲۰۱۱]؛
-
- د وړیا ازمایښتي پروژې د ترسره کولو لپاره له کوم مجاز شریک سره اړیکه ونیسئ.
1) د مجازی ماشین رامینځته کولو وروسته ، که تاسو د ISO فایل غوښتنه کړې او نه د OVA ټیمپلیټ ، یوه کړکۍ به راپورته شي چې ISE تاسو ته د نصب کولو غوره کولو ته اړتیا لري. د دې کولو لپاره، ستاسو د ننوتلو او پټنوم پرځای، تاسو باید ولیکئ "چمتو کول!
نوټ: که تاسو د OVA ټیمپلیټ څخه ISE ځای په ځای کړی وي، نو د ننوتلو توضیحات admin/MyIseYPass2 (دا او نور ډیر څه په رسمي کې اشاره شوي ).
شکل 2. د سیسکو ISE نصب کول
2) بیا تاسو اړتیا لرئ ډک کړئ لکه IP پته، DNS، NTP او نور.
شکل 3. د سیسکو ISE پیل کول
3) له هغې وروسته، وسیله به ریبوټ شي، او تاسو به د مخکینۍ ټاکل شوي IP پتې په کارولو سره د ویب انٹرفیس له لارې وصل شئ.
شکل 4. د سیسکو ISE ویب انٹرفیس
4) په یوه ټب کې اداره> سیسټم> ځای پرځای کول تاسو کولی شئ وټاکئ چې کوم نوډونه (ادارې) په ځانګړي وسیله فعال شوي دي. د PxGrid نوډ دلته فعال شوی دی.
شکل 5. د سیسکو ISE د ادارې مدیریت
5) بیا په ټب کې اداره> سیسټم> اداري لاسرسی> اعتبار زه د پاسورډ پالیسي تنظیم کولو وړاندیز کوم ، د تصدیق کولو میتود (سند یا رمز) ، د حساب پای نیټه ، او نور تنظیمات.
شکل 6. د تصدیق ډول ترتیبشکل 7. د پټنوم پالیسۍ ترتیباتشکل 8. د وخت پای ته رسیدو وروسته د حساب بندول تنظیم کولشکل 9. د حساب بندول تنظیم کول
6) په یوه ټب کې اداره> سیسټم> اداري لاسرسی> مدیران> اداري کارونکي> اضافه کول تاسو کولی شئ یو نوی مدیر جوړ کړئ.
شکل 10. د سیمه ایز سیسکو ISE مدیر جوړول
7) نوی مدیر د یوې نوې ډلې یا دمخه ټاکل شوي ګروپونو برخه کیدی شي. د مدیر ګروپونه په ټب کې په ورته پینل کې اداره کیږي اډمین ګروپونه. 2 جدول د ISE مدیرانو، د هغوی د حقونو او رول په اړه معلومات لنډیز کوي.
جدول 2. د سیسکو ISE مدیر ګروپونه، د لاسرسي کچه، اجازه، او محدودیتونه
د مدیر ګروپ نوم
اجازه
محدودیتونه
د تنظیم کولو اداره
د میلمنو او سپانسرشپ پورټلونو تنظیم کول ، اداره کول او تنظیم کول
د پالیسیو بدلولو یا د راپورونو لیدلو توان نلري
د مرستې میز اداره
د اصلي ډشبورډ لیدلو وړتیا، ټول راپورونه، لمرونه او د ستونزو حل کولو جریانونه
تاسو نشئ کولی راپورونه، الارمونه او د تصدیق لاګونه بدل کړئ، جوړ یا حذف کړئ
د پیژندنې اداره
د کاروونکو اداره کول، امتیازات او رولونه، د لاګونو، راپورونو او الارمونو لیدلو وړتیا
تاسو نشئ کولی پالیسۍ بدل کړئ یا د OS په کچه دندې ترسره کړئ
د MnT اډمین
بشپړه څارنه، راپورونه، الارمونه، لاګونه او د دوی مدیریت
د هرې پالیسۍ د بدلولو توان نلري
د شبکې وسیله اډمین
د ISE شیانو د جوړولو او بدلولو حقونه، د لاګونو، راپورونو، اصلي ډشبورډ لیدل
تاسو نشئ کولی پالیسۍ بدل کړئ یا د OS په کچه دندې ترسره کړئ
د پالیسۍ اداره
د ټولو پالیسیو بشپړ مدیریت، د پروفایلونو بدلول، ترتیبات، د راپورونو لیدل
د اعتباراتو، ISE څیزونو سره د ترتیباتو ترسره کولو توان نلري
د RBAC اډمین
د عملیاتو په ټب کې ټول ترتیبات، د ANC پالیسۍ ترتیبات، د راپور ورکولو مدیریت
تاسو نشئ کولی د ANC پرته نور پالیسۍ بدل کړئ یا د OS په کچه دندې ترسره کړئ
سوپر اداري
د ټولو ترتیباتو حقونه، راپور ورکول او مدیریت کولی شي د مدیر اسناد حذف او بدل کړي
بدلون نشي کولی، د سوپر اډمین ګروپ څخه بل پروفایل حذف کړئ
د سیستم اداره
د عملیاتو په ټب کې ټول ترتیبات، د سیسټم تنظیمات اداره کول، د ANC پالیسي، د راپورونو لیدل
تاسو نشئ کولی د ANC پرته نور پالیسۍ بدل کړئ یا د OS په کچه دندې ترسره کړئ
د بهرنۍ آرامۍ خدماتو (ERS) اډمین
د سیسکو ISE REST API ته بشپړ لاسرسی
یوازې د اجازې لپاره، د محلي کاروونکو مدیریت، کوربه او امنیتي ګروپونه (SG)
د بهرنۍ آرامۍ خدماتو (ERS) آپریټر
د سیسکو ISE REST API د لوستلو اجازه
یوازې د اجازې لپاره، د محلي کاروونکو مدیریت، کوربه او امنیتي ګروپونه (SG)
شکل 11. مخکینی تعریف شوی د سیسکو ISE مدیر ګروپونه
8) په ټب کې اختیاري اجازه ورکول> اجازې> د RBAC پالیسي تاسو کولی شئ د مخکې ټاکل شوي مدیرانو حقونه ترمیم کړئ.
شکل 12. د سیسکو ISE اډمینسټریټ د پروفایل د حقونو مدیریت وړاندې کوي
9) په یوه ټب کې اداره> سیسټم> ترتیبات د سیسټم ټول ترتیبات شتون لري (DNS، NTP، SMTP او نور). تاسو کولی شئ دوی دلته ډک کړئ که تاسو د لومړني وسیلې پیل کولو پرمهال له لاسه ورکړي.
5. پایله
دا لومړۍ مقاله پای ته رسوي. موږ د سیسکو ISE NAC حل مؤثریت، د هغې جوړښت، لږترلږه اړتیاوې او د ځای پرځای کولو اختیارونه، او ابتدايي نصبولو په اړه بحث وکړ.
په راتلونکې مقاله کې، موږ به د حسابونو جوړولو، د مایکروسافټ فعال لارښود سره یوځای کولو، او د میلمنو لاسرسي رامینځته کولو په اړه وګورو.
که تاسو د دې موضوع په اړه پوښتنې لرئ یا د محصول ازموینې کې مرستې ته اړتیا لرئ، مهرباني وکړئ اړیکه ونیسئ .
د تازه معلوماتو لپاره زموږ په چینلونو کې پاتې شئ (, , , , ).
سرچینه: www.habr.com