1. تعارف
هر ڪمپني، جيتوڻيڪ ننڍڙو هڪ، تصديق، اختيار ۽ صارف اڪائونٽنگ جي ضرورت آهي (پروٽوڪول جو AAA خاندان). شروعاتي اسٽيج تي، AAA پروٽوڪولن جهڙوڪ RADIUS، TACACS + ۽ DIAMETER استعمال ڪندي چڱي طرح لاڳو ڪيو ويو آهي. تنهن هوندي، جيئن صارفين ۽ ڪمپني جو تعداد وڌندو آهي، ڪمن جو تعداد پڻ وڌندو آهي: ميزبان ۽ BYOD ڊوائيسز جي وڌ ۾ وڌ نمائش، گھڻن عنصر جي تصديق، هڪ گھڻ-سطح رسائي پاليسي ٺاهڻ ۽ گهڻو ڪجهه.
اهڙن ڪمن لاءِ، NAC (Network Access Control) ڪلاس جو حل مڪمل آهي - نيٽ ورڪ رسائي ڪنٽرول. لاء وقف ڪيل مضمونن جي هڪ سلسلي ۾ (Identity Services Engine) - NAC حل مهيا ڪرڻ لاءِ اندروني نيٽ ورڪ تي استعمال ڪندڙن کي حوالي کان آگاهي واري رسائي ڪنٽرول مهيا ڪرڻ لاءِ، اسان ان حل جي تعمير، ترتيب، ترتيب ۽ لائسنسنگ تي تفصيلي نظر وجهنداسين.
اچو ته مختصر طور تي توهان کي ياد ڏياريان ته Cisco ISE توهان کي اجازت ڏئي ٿو:
-
جلدي ۽ آساني سان هڪ وقف ٿيل WLAN تي مهمانن جي رسائي ٺاهيو؛
-
BYOD ڊوائيسز کي ڳولھيو (مثال طور، ملازمن جا گھر پي سي جيڪي اھي ڪم تي کڻي آيا)؛
-
SGT سيڪيورٽي گروپ ليبل استعمال ڪندي ڊومين ۽ غير ڊومين استعمال ڪندڙن جي وچ ۾ سيڪيورٽي پاليسين کي مرڪزي ۽ نافذ ڪريو );
-
ڪمپيوٽرن کي چيڪ ڪريو مخصوص سافٽ ويئر انسٽال ٿيل ۽ معيار سان تعميل (پوسٽورنگ)؛
-
درجه بندي ۽ پروفائل جي آخري پوائنٽ ۽ نيٽ ورڪ ڊوائيسز؛
-
آخري پوائنٽ جي نمائش مهيا ڪريو؛
-
صارف جي بنياد تي پاليسي ٺاهڻ لاءِ NGFW ڏانهن صارفين جي لاگ ان/لاگ آف جا واقعا لاگ، انهن جا اڪائونٽس (سڃاڻپ) موڪليو؛
-
Cisco StealthWatch سان مقامي طور تي ضم ڪريو ۽ سيڪيورٽي واقعن ۾ ملوث مشڪوڪ ميزبانن کي قرنطين ڪريو ();
-
۽ ٻيون خاصيتون AAA سرورز لاءِ معياري.
صنعت ۾ ساٿي اڳ ۾ ئي سسڪو ISE بابت لکيو آهي، تنهنڪري آئون توهان کي پڙهڻ جي صلاح ڏيان ٿو: ,.
2. فن تعمير
Identity Services Engine architecture ۾ 4 ادارا (nodes): ھڪ مئنيجمينٽ نوڊ (پاليسي ايڊمنسٽريشن نوڊ)، ھڪ پاليسي ڊسٽريبيوشن نوڊ (پاليسي سروس نوڊ)، ھڪ مانيٽرنگ نوڊ (مانيٽرنگ نوڊ) ۽ ھڪ PxGrid نوڊ (PxGrid Node). سسڪو ISE هڪ اسٽينڊل يا ورهايل تنصيب ۾ ٿي سگهي ٿو. اسٽينڊل ورزن ۾، سڀئي ادارا هڪ ورچوئل مشين يا فزيڪل سرور (سيڪيور نيٽورڪ سرورز - SNS) تي واقع آهن، جڏهن ته ورهايل ورزن ۾، نوڊس مختلف ڊوائيسز تي ورهايل آهن.
پاليسي ايڊمنسٽريشن نوڊ (PAN) ھڪڙو گھربل نوڊ آھي جيڪو توھان کي اجازت ڏئي ٿو سڀني انتظامي عملن کي Cisco ISE تي. اهو AAA سان لاڳاپيل سڀني سسٽم جي ترتيبن کي سنڀاليندو آهي. ورهايل ترتيب ۾ (نوڊس الڳ ورچوئل مشين طور انسٽال ڪري سگھجن ٿا)، توھان کي وڌ ۾ وڌ ٻه PANs حاصل ڪري سگھن ٿا فالٽ برداشت ڪرڻ لاءِ - فعال/اسٽينڊ بائي موڊ.
پاليسي سروس نوڊ (PSN) ھڪڙو لازمي نوڊ آھي جيڪو نيٽ ورڪ جي رسائي، رياست، مھمانن جي رسائي، ڪلائنٽ سروس فراهم ڪرڻ، ۽ پروفائلنگ مهيا ڪري ٿو. PSN پاليسي جو جائزو وٺي ٿو ۽ ان کي لاڳو ڪري ٿو. عام طور تي، گھڻا PSNs انسٽال ٿيل آھن، خاص طور تي ورهايل ترتيب ۾، وڌيڪ بيڪار ۽ ورهايل آپريشن لاءِ. يقينن، اهي انهن نوڊس کي مختلف حصن ۾ انسٽال ڪرڻ جي ڪوشش ڪندا آهن ته جيئن هڪ سيڪنڊ لاءِ مستند ۽ بااختيار رسائي فراهم ڪرڻ جي صلاحيت نه وڃائجي.
مانيٽرنگ نوڊ (MnT) ھڪڙو لازمي نوڊ آھي جيڪو ايونٽ لاگز، ٻين نوڊس جا لاگز ۽ نيٽ ورڪ تي پاليسيون محفوظ ڪري ٿو. MnT نوڊ مانيٽرنگ ۽ مسئلن جي حل لاءِ جديد اوزار مهيا ڪري ٿو، مختلف ڊيٽا گڏ ڪري ٿو ۽ ان سان واسطو رکي ٿو، ۽ پڻ بامعني رپورٽون مهيا ڪري ٿو. Cisco ISE توهان کي وڌ ۾ وڌ ٻه MnT نوڊس حاصل ڪرڻ جي اجازت ڏئي ٿو، ان سان غلطي رواداري پيدا ٿئي ٿي - فعال / اسٽينڊ بائي موڊ. جڏهن ته، لاگز ٻنهي نوڊس پاران گڏ ڪيا ويا آهن، ٻنهي فعال ۽ غير فعال.
PxGrid Node (PXG) ھڪڙو نوڊ آھي جيڪو استعمال ڪري ٿو PxGrid پروٽوڪول ۽ ٻين ڊوائيسز جي وچ ۾ رابطي جي اجازت ڏئي ٿو جيڪي PxGrid کي سپورٽ ڪن ٿيون.
- هڪ پروٽوڪول جيڪو مختلف وينڊرز کان آئي ٽي ۽ انفارميشن سيڪيورٽي انفراسٽرڪچر پراڊڪٽس جي انضمام کي يقيني بڻائي ٿو: مانيٽرنگ سسٽم، مداخلت جو پتو لڳائڻ ۽ روڪڻ وارو نظام، سيڪيورٽي پاليسي مئنيجمينٽ پليٽ فارم ۽ ٻيا ڪيترائي حل. Cisco PxGrid توهان کي اجازت ڏئي ٿو هڪ طرفي يا ٻه طرفي انداز ۾ حوالن کي شيئر ڪرڻ جي ڪيترن ئي پليٽ فارمن سان API جي ضرورت کان سواءِ، ان ڪري ٽيڪنالاجي کي چالو ڪرڻ (SGT tags)، ANC (Adaptive Network Control) پاليسي کي تبديل ۽ لاڳو ڪريو، گڏوگڏ پروفائيلنگ انجام ڏيو - ڊيوائس ماڊل، او ايس، مقام، ۽ وڌيڪ جو تعين ڪرڻ.
هڪ اعلي دستيابي ترتيب ۾، PxGrid نوڊس PAN مٿان نوڊس جي وچ ۾ معلومات کي نقل ڪري ٿو. جيڪڏهن PAN غير فعال آهي، PxGrid نوڊ صارفين جي تصديق، اختيار ڏيڻ، ۽ اڪائونٽنگ کي روڪي ٿو.
هيٺ هڪ ڪارپوريٽ نيٽ ورڪ ۾ مختلف Cisco ISE ادارن جي آپريشن جي اسڪيمي نمائندگي آهي.
شڪل 1. Cisco ISE آرڪيٽيڪچر
3. گهرجون
Cisco ISE لاڳو ڪري سگھجي ٿو، تمام جديد حل وانگر، عملي طور تي يا جسماني طور تي الڳ سرور جي طور تي.
سسڪو ISE سافٽ ويئر هلائيندڙ جسماني ڊوائيسز کي SNS (سيڪيور نيٽورڪ سرور) سڏيو ويندو آهي. اهي ٽن ماڊل ۾ اچن ٿيون: SNS-3615، SNS-3655 ۽ SNS-3695 ننڍن، وچولي ۽ وڏي ڪاروبار لاءِ. جدول 1 مان معلومات ڏيکاري ٿو SNS.
جدول 1. مختلف اسڪيلن لاءِ SNS جي مقابلي واري جدول
نيم
SNS 3615 (ننڍو)
SNS 3655 (وچولي)
SNS 3695 (وڏو)
ھڪڙي اسٽينڊل تنصيب ۾ سپورٽ ٿيل پوائنٽن جو تعداد
10000
25000
50000
في PSN سپورٽ ٿيل پوائنٽس جو تعداد
10000
25000
100000
سي پي يو (Intel Xeon 2.10 GHz)
8 ڪور
12 ڪور
12 ڪور
رام
32 جي بي (2 x 16 جي بي)
96 جي بي (6 x 16 جي بي)
256 جي بي (16 x 16 جي بي)
HDD
1 x 600 GB
4 x 600 GB
8 x 600 GB
ھارڊويئر RAID
نه
RAID 10، RAID ڪنٽرولر جي موجودگي
RAID 10، RAID ڪنٽرولر جي موجودگي
نيٽورڪ انٽرنيٽ
2 x 10 جي بيس-ٽي
4 x 1 جي بيس-ٽي
2 x 10 جي بيس-ٽي
4 x 1 جي بيس-ٽي
2 x 10 جي بيس-ٽي
4 x 1 جي بيس-ٽي
مجازي عملن جي حوالي سان، سپورٽ ٿيل هائپر وائزر آهن VMware ESXi (گهٽ ۾ گهٽ VMware ورزن 11 ESXi 6.0 لاءِ سفارش ڪئي وئي آهي)، Microsoft Hyper-V ۽ Linux KVM (RHEL 7.0). وسيلن کي لڳ ڀڳ ساڳيو هجڻ گهرجي جيئن مٿي ڏنل جدول ۾، يا وڌيڪ. جڏهن ته، ننڍي ڪاروباري مجازي مشين لاء گهٽ ۾ گهٽ گهربل آهن: 2 سي پي يو 2.0 GHz ۽ وڌيڪ جي تعدد سان، 16 جي بي ريم и 200 GB ايڇ ڊي ڊي.
ٻين Cisco ISE جي مقرري جي تفصيل لاءِ، مهرباني ڪري رابطو ڪريو يا تائين , .
4. تنصيب
ٻين سسڪو پروڊڪٽس وانگر، ISE ڪيترن ئي طريقن سان آزمائي سگھجي ٿو:
-
- اڳ ۾ نصب ٿيل ليبارٽري ترتيبن جي ڪلائوڊ سروس (سسڪو اڪائونٽ گهربل)؛
-
- کان درخواست خاص سافٽ ويئر جي Cisco (ڀائرن لاء طريقو). توھان ھيٺ ڏنل عام وضاحت سان ھڪڙو ڪيس ٺاھيو: پراڊڪٽ جو قسم [ISE]، ISE سافٽ ويئر [ise-2.7.0.356.SPA.x8664]، ISE پيچ [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664]؛
-
- مفت پائلٽ پروجيڪٽ کي هلائڻ لاءِ ڪنهن به بااختيار پارٽنر سان رابطو ڪريو.
1) ورچوئل مشين ٺاهڻ کان پوءِ، جيڪڏهن توهان هڪ ISO فائل جي درخواست ڪئي آهي ۽ نه OVA ٽيمپليٽ، هڪ ونڊو پاپ اپ ٿيندي جنهن ۾ ISE توهان کي انسٽاليشن چونڊڻ جي ضرورت آهي. ائين ڪرڻ لاء، توهان جي لاگ ان ۽ پاسورڊ جي بدران، توهان کي لکڻ گهرجي "سيٽ اپ ڪريو”!
نوٽ: جيڪڏهن توهان ISE کي OVA ٽيمپليٽ مان لڳايو، ته پوءِ لاگ ان جا تفصيل منتظم/MyIseYPass2 (هي ۽ گهڻو ڪجهه سرڪاري ۾ ظاهر ڪيو ويو آهي ).
شڪل 2. Cisco ISE انسٽال ڪرڻ
2) پوءِ توھان کي گھربل فيلڊ ڀرڻ گھرجي جھڙوڪ IP پتو، DNS، NTP ۽ ٻيا.
شڪل 3. Cisco ISE جي شروعات
3) ان کان پوء، ڊوائيس ريبوٽ ڪندو، ۽ توھان اڳ ۾ ڏنل IP پتي کي استعمال ڪندي ويب انٽرنيٽ ذريعي ڳنڍڻ جي قابل ٿي ويندا.
شڪل 4. Cisco ISE ويب انٽرفيس
4) ٽيب ۾ انتظامي> سسٽم> تعیناتي توھان منتخب ڪري سگھو ٿا ڪھڙا نوڊس (ادارا) ھڪڙي خاص ڊوائيس تي فعال آھن. PxGrid نوڊ فعال آهي هتي.
شڪل 5. Cisco ISE Entity Management
5) پوء ٽيب ۾ انتظاميه> سسٽم> انتظامي رسائي> اصليت جو جائزو مان سفارش ڪريان ٿو پاسورڊ پاليسي، تصديق جو طريقو (سرٽيفڪيٽ يا پاسورڊ)، اڪائونٽ جي ختم ٿيڻ جي تاريخ، ۽ ٻيون سيٽنگون.
شڪل 6. تصديق جي قسم جي سيٽنگشڪل 7. پاسورڊ پاليسي سيٽنگونشڪل 8. اڪائونٽ بند ڪرڻ جو وقت ختم ٿيڻ کان پوءِشڪل 9. اڪائونٽ لاڪ ڪرڻ کي ترتيب ڏيڻ
6) ٽيب ۾ انتظامي> سسٽم> انتظامي رسائي> منتظمين> منتظم استعمال ڪندڙ> شامل ڪريو توهان هڪ نئون منتظم ٺاهي سگهو ٿا.
شڪل 10. هڪ مقامي سسڪو ISE ايڊمنسٽريٽر ٺاهڻ
7) نئين منتظم کي نئين گروپ جو حصو بڻائي سگھجي ٿو يا اڳ ۾ ئي مقرر ٿيل گروپن جو. ايڊمنسٽريٽر گروپن کي ٽيب ۾ ساڳئي پينل ۾ منظم ڪيو ويو آهي منتظم گروپ. جدول 2 ISE منتظمين، انهن جي حقن ۽ ڪردارن بابت معلومات جو اختصار ڪري ٿو.
جدول 2. سسڪو ISE ايڊمنسٽريٽر گروپس، رسائي ليول، اجازتون، ۽ پابنديون
ايڊمنسٽريٽر گروپ جو نالو
اجازت
پابنديون
ڪسٽمائيزيشن ايڊمن
مھمانن ۽ اسپانسرشپ پورٽن کي ترتيب ڏيڻ، انتظامي ۽ ڪسٽمائيزيشن
پاليسين کي تبديل ڪرڻ يا رپورٽون ڏسڻ ۾ ناڪامي
مدد ڊيسڪ ايڊمن
مکيه ڊيش بورڊ ڏسڻ جي صلاحيت، سڀ رپورٽون، لام ۽ مسئلا حل ڪرڻ وارو سلسلو
توهان تبديل نه ٿا ڪري سگهو، ٺاهي يا ختم ڪري رپورٽون، الارم ۽ تصديق لاگ
سڃاڻپ منتظم
صارفين، استحقاق ۽ ڪردار کي منظم ڪرڻ، لاگز، رپورٽون ۽ الارم ڏسڻ جي صلاحيت
توهان پاليسين کي تبديل نه ٿا ڪري سگهو يا او ايس سطح تي ڪم انجام ڏئي سگهو ٿا
MnT منتظم
مڪمل نگراني، رپورٽون، الارم، لاگ ۽ انهن جو انتظام
ڪنهن به پاليسي کي تبديل ڪرڻ جي ناڪامي
نيٽ ورڪ ڊيوائس ايڊمن
ISE شيون ٺاهڻ ۽ تبديل ڪرڻ جا حق، لاگ ڏسڻ، رپورٽون، مکيه ڊيش بورڊ
توهان پاليسين کي تبديل نه ٿا ڪري سگهو يا او ايس سطح تي ڪم انجام ڏئي سگهو ٿا
پاليسي منتظم
سڀني پاليسين جو مڪمل انتظام، پروفائل تبديل ڪرڻ، سيٽنگون، رپورٽون ڏسڻ
قابليت سان سيٽنگون انجام ڏيڻ جي قابليت، ISE شيون
RBAC منتظم
آپريشنز ٽئب ۾ سڀ سيٽنگون، ANC پاليسي سيٽنگون، رپورٽنگ مئنيجمينٽ
توهان ANC کان سواءِ پاليسيون تبديل نٿا ڪري سگهو يا او ايس سطح تي ڪم انجام ڏئي سگهو ٿا
سپر پنهنجا
سڀني سيٽنگن جا حق، رپورٽنگ ۽ انتظام، منتظم جي سند کي حذف ۽ تبديل ڪري سگھن ٿا
تبديل نٿو ڪري سگھجي، سپر ايڊمن گروپ مان ٻيو پروفائيل حذف ڪريو
سسٽم جي انتظاميه
آپريشنز ٽيب ۾ سڀ سيٽنگون، سسٽم سيٽنگون منظم ڪرڻ، ANC پاليسي، رپورٽون ڏسڻ
توهان ANC کان سواءِ پاليسيون تبديل نٿا ڪري سگهو يا او ايس سطح تي ڪم انجام ڏئي سگهو ٿا
خارجي آرام واريون خدمتون (ERS) منتظم
Cisco ISE REST API تائين مڪمل رسائي
صرف اجازت ڏيڻ، مقامي صارفين جي انتظام، ميزبان ۽ سيڪيورٽي گروپن لاء (SG)
خارجي آرام واريون خدمتون (ERS) آپريٽر
Cisco ISE REST API پڙهڻ جون اجازتون
صرف اجازت ڏيڻ، مقامي صارفين جي انتظام، ميزبان ۽ سيڪيورٽي گروپن لاء (SG)
شڪل 11. اڳواٽ بيان ڪيل Cisco ISE ايڊمنسٽريٽر گروپس
8) ٽيب ۾ اضافي اختيار> اجازتون> RBAC پاليسي توھان ترميم ڪري سگھوٿا اڳواٽ مقرر ڪيل منتظمين جا حق.
شڪل 12. سسڪو ISE ايڊمنسٽريٽر پري سيٽ پروفائل رائٽس مئنيجمينٽ
9) ٽيب ۾ انتظامي> سسٽم> سيٽنگون سڀ سسٽم سيٽنگون موجود آهن (DNS، NTP، SMTP ۽ ٻيا). توھان انھن کي ڀري سگھوٿا ھتي جيڪڏھن توھان انھن کي وڃايو ھو شروعاتي ڊوائيس جي شروعات دوران.
5. نتيجو
اهو پهريون مضمون ختم ڪري ٿو. اسان بحث ڪيو Cisco ISE NAC حل جي اثرائتي، ان جي فن تعمير، گھٽ ۾ گھٽ ضرورتون ۽ ترتيب ڏيڻ جا اختيار، ۽ شروعاتي تنصيب.
ايندڙ آرٽيڪل ۾، اسين اڪائونٽس ٺاهڻ، Microsoft Active Directory سان ضم ٿيڻ، ۽ مهمانن جي رسائي ٺاهڻ تي نظر ڪنداسين.
جيڪڏھن توھان وٽ ھن موضوع تي ڪي سوال آھن يا مصنوعات جي جانچ ڪرڻ ۾ مدد جي ضرورت آھي، مھرباني ڪري رابطو ڪريو .
اسان جي چينلز ۾ تازه ڪاري لاء نظر رکون (, , , , ).
جو ذريعو: www.habr.com