Cisco ISE: FortiAP හි ආගන්තුක ප්‍රවේශය වින්‍යාස කිරීම. 3 කොටස

Cisco ISE මාලාවේ තුන්වන පෝස්ට් වෙත සාදරයෙන් පිළිගනිමු. ලිපි මාලාවේ සියලුම ලිපි සඳහා සබැඳි පහත දක්වා ඇත:

1. Cisco ISE: හැඳින්වීම, අවශ්යතා, ස්ථාපනය. 1 කොටස

2. Cisco ISE: පරිශීලකයන් නිර්මාණය කිරීම, LDAP සේවාදායකයන් එකතු කිරීම, AD සමඟ ඒකාබද්ධ කිරීම. 2 කොටස

3. Cisco ISE: FortiAP හි ආගන්තුක ප්‍රවේශය වින්‍යාස කිරීම. 3 කොටස

මෙම පෝස්ටුවේදී, ඔබ ආගන්තුක ප්‍රවේශයට කිමිදෙනු ඇත, මෙන්ම Fortinet වෙතින් ප්‍රවේශ ස්ථානයක් වන FortiAP වින්‍යාස කිරීම සඳහා Cisco ISE සහ FortiGate ඒකාබද්ධ කිරීම සඳහා පියවරෙන් පියවර මාර්ගෝපදේශයක් (සාමාන්‍යයෙන්, සහාය දක්වන ඕනෑම උපාංගයක්. RADIUS CoA - අවසරය වෙනස් කිරීම).

අපගේ ලිපි අමුණා ඇත. Fortinet - ප්රයෝජනවත් ද්රව්ය තෝරාගැනීම.

අදහස් දැක්වීම්A: Check Point SMB උපාංග RADIUS CoA සඳහා සහය නොදක්වයි.

අපූරුයි නායකත්වය Cisco WLC (රැහැන් රහිත පාලකය) මත Cisco ISE භාවිතයෙන් ආගන්තුක ප්‍රවේශයක් සාදා ගන්නා ආකාරය ඉංග්‍රීසියෙන් විස්තර කරයි. අපි එය තේරුම් ගනිමු!

1. හැඳින්වීම

ආගන්තුක ප්‍රවේශය (දොරටුව) ඔබට අන්තර්ජාලයට ප්‍රවේශය ලබා දීමට හෝ අමුත්තන්ට සහ පරිශීලකයින් සඳහා ඔබේ දේශීය ජාලයට ඇතුළු වීමට අවශ්‍ය නොවන අභ්‍යන්තර සම්පත් වෙත ප්‍රවේශය ලබා දීමට ඉඩ සලසයි. ආගන්තුක ද්වාර (ආගන්තුක ද්වාර) පූර්ව නිශ්චිත වර්ග 3 ක් ඇත:

1. හොට්ස්පොට් ආගන්තුක ද්වාරය - පිවිසුම් දත්ත නොමැතිව අමුත්තන්ට ජාලයට ප්‍රවේශය සපයනු ලැබේ. ජාලයට ප්‍රවේශ වීමට පෙර පරිශීලකයින් සාමාන්‍යයෙන් සමාගමේ "භාවිත සහ රහස්‍යතා ප්‍රතිපත්තිය" පිළිගැනීමට අවශ්‍ය වේ.

2. අනුග්‍රාහක-ආගන්තුක ද්වාරය - ජාලයට ප්‍රවේශය සහ පිවිසුම් දත්ත අනුග්‍රාහකයා විසින් නිකුත් කළ යුතුය - Cisco ISE හි ආගන්තුක ගිණුම් සෑදීම සඳහා වගකිව යුතු පරිශීලකයා.

3. ස්වයං-ලියාපදිංචි ආගන්තුක ද්වාරය - මෙම අවස්ථාවෙහිදී, අමුත්තන් පවතින පිවිසුම් තොරතුරු භාවිතා කරයි, නැතහොත් පිවිසුම් විස්තර සහිත ගිණුමක් සාදන්න, නමුත් ජාලයට ප්‍රවේශය ලබා ගැනීමට අනුග්‍රාහක තහවුරු කිරීම අවශ්‍ය වේ.

Cisco ISE මත එකවර ද්වාර කිහිපයක් යෙදවිය හැක. පෙරනිමියෙන්, ආගන්තුක ද්වාරය තුළ, පරිශීලකයා Cisco ලාංඡනය සහ සම්මත පොදු වාක්‍ය ඛණ්ඩ දකිනු ඇත. මේ සියල්ල අභිරුචිකරණය කළ හැකි අතර ප්‍රවේශය ලබා ගැනීමට පෙර අනිවාර්ය දැන්වීම් බැලීමට පවා සැකසිය හැක.

ආගන්තුක ප්‍රවේශ සැකසුම ප්‍රධාන පියවර 4කට බෙදිය හැක: FortiAP පිහිටුවීම, Cisco ISE සහ FortiAP සම්බන්ධතාව, ආගන්තුක ද්වාර නිර්මාණය සහ ප්‍රවේශ ප්‍රතිපත්ති සැකසීම.

2. FortiGate මත FortiAP වින්‍යාස කිරීම

FortiGate යනු ප්‍රවේශ ලක්ෂ්‍ය පාලකයක් වන අතර සියලු සැකසුම් එය මත සාදා ඇත. FortiAP ප්‍රවේශ ස්ථාන PoE සඳහා සහය දක්වයි, එබැවින් ඔබ එය ඊතර්නෙට් හරහා ජාලයට සම්බන්ධ කළ පසු, ඔබට වින්‍යාසය ආරම්භ කළ හැකිය.

1) FortiGate මත, පටිත්ත වෙත යන්න WiFi සහ Switch Controller > Managed FortiAPs > Create New > Managed AP. ප්‍රවේශ ලක්ෂ්‍යයේම මුද්‍රණය කර ඇති ප්‍රවේශ ලක්ෂ්‍යයේ අනන්‍ය අනුක්‍රමික අංකය භාවිතා කරමින් එය වස්තුවක් ලෙස එක් කරන්න. නැතහොත් එයම පෙන්විය හැකි අතර පසුව ඔබන්න අවසරලත් දකුණු මූසික බොත්තම භාවිතයෙන්.

2) FortiAP සැකසුම් පෙරනිමි විය හැක, උදාහරණයක් ලෙස, තිර පිටපතෙහි මෙන් තබන්න. සමහර උපාංග 5 GHz සඳහා සහය නොදක්වන නිසා මම 2.4 GHz මාදිලිය සක්‍රිය කිරීමට නිර්දේශ කරමි.

3) ඉන්පසු ටැබ් එකේ WiFi සහ Switch Controller > FortiAP පැතිකඩ > නව නිර්මාණය කරන්න අපි ප්‍රවේශ ලක්ෂ්‍යය සඳහා සැකසුම් පැතිකඩක් සාදන්නෙමු (අනුවාදය 802.11 ප්‍රොටෝකෝලය, SSID මාදිලිය, නාලිකා සංඛ්‍යාතය සහ ඒවායේ අංකය).

FortiAP සැකසුම් උදාහරණය

4) ඊළඟ පියවර වන්නේ SSID නිර්මාණය කිරීමයි. ටැබ් එකට යන්න WiFi සහ Switch Controller > SSIDs > නව සාදන්න > SSID. මෙන්න වැදගත් එකකින් වින්‍යාසගත කළ යුතුය:

• ආගන්තුක WLAN සඳහා ලිපින අවකාශය - IP/Netmask

• RADIUS ගිණුම්කරණය සහ පරිපාලන ප්‍රවේශ ක්ෂේත්‍රයේ ආරක්ෂිත රෙදි සම්බන්ධ කිරීම

• උපාංග හඳුනාගැනීමේ විකල්පය

• SSID සහ Broadcast SSID විකල්පය

• ආරක්ෂක මාදිලියේ සිටුවම් > කැප්ටිව් ද්වාරය 

• සත්‍යාපන ද්වාරය - පියවර 20 සිට සිස්කෝ ISE වෙතින් සාදන ලද ආගන්තුක ද්වාරයට බාහිර සහ සබැඳියක් ඇතුළු කරන්න

• පරිශීලක කණ්ඩායම - ආගන්තුක කණ්ඩායම - බාහිර - Cisco ISE වෙත RADIUS එක් කරන්න (පි. 6 සිට)

SSID සැකසුම් උදාහරණය

5) එවිට ඔබ FortiGate හි ප්රවේශ ප්රතිපත්තියේ නීති නිර්මාණය කළ යුතුය. ටැබ් එකට යන්න ප්‍රතිපත්ති සහ වස්තු > ෆයර්වෝල් ප්‍රතිපත්තිය සහ මෙවැනි රීතියක් සාදන්න:

3. RADIUS සැකසුම

6) ටැබ් එකට Cisco ISE වෙබ් අතුරු මුහුණත වෙත යන්න ප්‍රතිපත්ති > ප්‍රතිපත්ති මූලද්‍රව්‍ය > ශබ්දකෝෂ > පද්ධතිය > අරය > රේඩියස් වෙළෙන්දන් > එකතු කරන්න. මෙම පටිත්තෙහි, අපි Fortinet RADIUS සහාය දක්වන ප්‍රොටෝකෝල ලැයිස්තුවට එක් කරන්නෙමු, මන්ද සෑම වෙළෙන්දෙකුටම පාහේ තමන්ගේම විශේෂිත ගුණාංග ඇත - VSA (Vendor-Specific Attributes).

Fortinet RADIUS ගුණාංග ලැයිස්තුවක් සොයා ගත හැක මෙහි. VSAs ඔවුන්ගේ අනන්‍ය වෙළෙන්දා හැඳුනුම් අංකය මගින් වෙන්කර හඳුනා ගැනේ. Fortinet සතුව මෙම ID = ඇත 12356... පූර්ණ ලැයිස්තුව VSA IANA විසින් ප්‍රකාශයට පත් කර ඇත.

7) ශබ්දකෝෂයේ නම සකසන්න, සඳහන් කරන්න විකුණුම්කරු හැඳුනුම්පත (12356) සහ ඔබන්න ඉදිරිපත් කරන්න.

8) අපි ගිය පසු පරිපාලනය > ජාල උපාංග පැතිකඩ > එකතු කරන්න සහ නව උපාංග පැතිකඩක් සාදන්න. RADIUS Dictionaries ක්ෂේත්‍රය තුළ, කලින් නිර්මාණය කරන ලද Fortinet RADIUS ශබ්දකෝෂය තෝරන්න සහ ISE ප්‍රතිපත්තියේ පසුව භාවිතා කිරීමට CoA ක්‍රම තෝරන්න. මම RFC 5176 සහ Port Bounce (වසා දැමීම / වසා දැමීම ජාල අතුරුමුහුණත) සහ ඊට අනුරූප VSAs තෝරා ගත්තෙමි: 

Fortinet-Access-Profile=කියවීම-ලිවීම

Fortinet-Group-Name = fmg_faz_admins

9) මීළඟට, ISE සමඟ සම්බන්ධතාව සඳහා FortiGate එක් කරන්න. මෙය සිදු කිරීම සඳහා, පටිත්ත වෙත යන්න පරිපාලනය > ජාල සම්පත් > ජාල උපාංග පැතිකඩ > එකතු කරන්න. වෙනස් කළ යුතු ක්ෂේත්‍ර නම, විකුණුම්කරු, RADIUS ශබ්දකෝෂ (IP ලිපිනය FortiGate භාවිතා කරයි, FortiAP නොවේ).

ISE පැත්තෙන් RADIUS වින්‍යාස කිරීමේ උදාහරණය

10) ඊට පසු, ඔබ FortiGate පැත්තේ RADIUS වින්යාසගත කළ යුතුය. FortiGate වෙබ් අතුරු මුහුණතෙහි, වෙත යන්න පරිශීලක සහ සත්‍යාපනය > RADIUS සේවාදායකයන් > නව නිර්මාණය කරන්න. පෙර ඡේදයේ නම, IP ලිපිනය සහ හවුල් රහස් (මුරපදය) සඳහන් කරන්න. ඊළඟ ක්ලික් කරන්න පරිශීලක අක්තපත්‍ර පරීක්ෂා කරන්න සහ RADIUS හරහා ඉහලට ඇද ගත හැකි ඕනෑම අක්තපත්‍ර ඇතුලත් කරන්න (උදාහරණයක් ලෙස, Cisco ISE හි දේශීය පරිශීලකයෙක්).

11) RADIUS සේවාදායකයක් Guest-Group වෙත (එය නොපවතියි නම්) මෙන්ම පරිශීලකයින්ගේ බාහිර මූලාශ්‍රයක් එක් කරන්න.

12) 4 වන පියවරේදී අපි කලින් නිර්මාණය කළ SSID වෙත Guest-Group එක් කිරීමට අමතක නොකරන්න.

4. පරිශීලක සත්‍යාපනය සැකසීම

13) විකල්පයක් ලෙස, ඔබට ISE ආගන්තුක ද්වාරය වෙත සහතිකයක් ආයාත කළ හැකිය, නැතහොත් ටැබය තුළ ස්වයං අත්සන් කළ සහතිකයක් සෑදිය හැක. වැඩ මධ්‍යස්ථාන > ආගන්තුක ප්‍රවේශය > පරිපාලනය > සහතිකය > පද්ධති සහතික.

14) ටැබ් එකෙන් පසු වැඩ මධ්‍යස්ථාන > අමුත්තන්ට ප්‍රවේශය > අනන්‍යතා කණ්ඩායම් > පරිශීලක අනන්‍යතා කණ්ඩායම් > එකතු කරන්න ආගන්තුක ප්‍රවේශය සඳහා නව පරිශීලක කණ්ඩායමක් සාදන්න, නැතහොත් පෙරනිමි ඒවා භාවිතා කරන්න.

15) ටැබ් එකේ තව දුරටත් පරිපාලනය > අනන්‍යතා ආගන්තුක පරිශීලකයන් නිර්මාණය කර පෙර ඡේදයෙන් කණ්ඩායම් වෙත ඔවුන් එක් කරන්න. ඔබට තෙවන පාර්ශ්ව ගිණුම් භාවිතා කිරීමට අවශ්‍ය නම්, මෙම පියවර මඟ හරින්න.

16) අපි සැකසුම් වෙත ගිය පසු වැඩ මධ්‍යස්ථාන > ආගන්තුක ප්‍රවේශය > අනන්‍යතා > අනන්‍යතා මූලාශ්‍ර අනුපිළිවෙල > ආගන්තුක ද්වාර අනුපිළිවෙල - ආගන්තුක පරිශීලකයින් සඳහා මෙය පෙරනිමි සත්‍යාපන අනුපිළිවෙලයි. සහ ක්ෂේත්රයේ සත්‍යාපන සෙවුම් ලැයිස්තුව පරිශීලක සත්‍යාපන අනුපිළිවෙල තෝරන්න.

17) එක් වර මුරපදයක් සමඟ අමුත්තන්ට දැනුම් දීමට, ඔබට මේ සඳහා SMS සපයන්නන් හෝ SMTP සේවාදායකයක් වින්‍යාසගත කළ හැක. ටැබ් එකට යන්න වැඩ මධ්‍යස්ථාන > ආගන්තුක ප්‍රවේශය > පරිපාලනය > SMTP සේවාදායකය හෝ SMS Gateway සපයන්නන් මෙම සැකසුම් සඳහා. SMTP සේවාදායකයක නම්, ඔබ ISE සඳහා ගිණුමක් සාදා මෙම ටැබයේ දත්ත සඳහන් කළ යුතුය.

18) SMS දැනුම්දීම් සඳහා, සුදුසු ටැබ් එක භාවිතා කරන්න. ISE සතුව ජනප්‍රිය SMS සපයන්නන්ගේ පැතිකඩ පෙර ස්ථාපනය කර ඇත, නමුත් එය ඔබගේම නිර්මාණය කිරීම වඩා හොඳය. සැකසීමේ උදාහරණයක් ලෙස මෙම පැතිකඩ භාවිතා කරන්න SMS Email Gatewayy හෝ HTTP API SMS කරන්න.

එක් වරක් මුරපදයක් සඳහා SMTP සේවාදායකයක් සහ SMS ද්වාරයක් පිහිටුවීමේ උදාහරණයක්

5. ආගන්තුක ද්වාරය සැකසීම

19) ආරම්භයේ සඳහන් කළ පරිදි, පෙර-ස්ථාපිත ආගන්තුක ද්වාර වර්ග 3ක් ඇත: Hotspot, Sponsored, Self-Registered. තෙවන විකල්පය තෝරා ගැනීමට මම යෝජනා කරමි, එය වඩාත් පොදු වේ. ඕනෑම ආකාරයකින්, සැකසුම් බොහෝ දුරට සමාන වේ. එහෙනම් අපි ටැබ් එකට යමු. වැඩ මධ්‍යස්ථාන > අමුත්තන්ගේ ප්‍රවේශය > ද්වාර සහ සංරචක > ආගන්තුක ද්වාර > ස්වයං-ලියාපදිංචි ආගන්තුක ද්වාරය (පෙරනිමිය). 

20) ඊළඟට, Portal Page Customization පටිත්තෙහි, තෝරන්න "රුසියානු - රුසියානු භාෂාවෙන් බලන්න", එවිට ද්වාරය රුසියානු භාෂාවෙන් දර්ශනය වේ. ඔබට ඕනෑම ටැබ් එකක පෙළ වෙනස් කිරීමට, ඔබේ ලාංඡනය එක් කිරීමට සහ තවත් දේ කළ හැක. කෙළවරේ දකුණු පසින් වඩා හොඳ දර්ශනයක් සඳහා ආගන්තුක ද්වාරයෙහි පෙරදසුනකි.

ආගන්තුක ද්වාරයක් ස්වයං-ලියාපදිංචිය සමඟ වින්‍යාස කිරීමේ උදාහරණය

21) වාක්‍ය ඛණ්ඩයක් මත ක්ලික් කරන්න ද්වාර පරීක්ෂණ URL සහ ද්වාර URL එක FortiGate හි SSID වෙත 4 පියවරේදී පිටපත් කරන්න. නියැදි URL https://10.10.30.38:8433/portal/PortalSetup.action?portal=deaaa863-1df0-4198-baf1-8d5b690d4361

ඔබගේ වසම පෙන්වීමට, ඔබ සහතිකය ආගන්තුක ද්වාරයට උඩුගත කළ යුතුය, පියවර 13 බලන්න.

22) ටැබ් එකට යන්න වැඩ මධ්‍යස්ථාන > අමුත්තන්ට ප්‍රවේශය > ප්‍රතිපත්ති මූලාංග > ප්‍රතිඵල > බලය පැවරීමේ පැතිකඩ > එකතු කරන්න කලින් නිර්මාණය කළ එක යටතේ අවසර පැතිකඩක් සෑදීමට ජාල උපාංග පැතිකඩ.

23) ටැබ් එකක වැඩ මධ්‍යස්ථාන > අමුත්තන්ට ප්‍රවේශය > ප්‍රතිපත්ති කට්ටල WiFi භාවිතා කරන්නන් සඳහා ප්‍රවේශ ප්‍රතිපත්තිය සංස්කරණය කරන්න.

24) අපි ආගන්තුක SSID වෙත සම්බන්ධ වීමට උත්සාහ කරමු. එය වහාම මාව පිවිසුම් පිටුවට හරවා යවයි. මෙහිදී ඔබට ISE හි දේශීයව සාදන ලද ආගන්තුක ගිණුම සමඟ ලොග් විය හැකිය, නැතහොත් ආගන්තුක පරිශීලකයෙකු ලෙස ලියාපදිංචි විය හැකිය.

25) ඔබ ස්වයං-ලියාපදිංචිය විකල්පය තෝරාගෙන තිබේ නම්, එක්-වරක් පිවිසුම් දත්ත තැපෑලෙන්, SMS හරහා හෝ මුද්‍රණය කළ හැක.

26) Cisco ISE හි RADIUS > Live Logs ටැබය තුළ, ඔබට අනුරූප පිවිසුම් ලඝු-සටහන් පෙනෙනු ඇත.

6. නිගමනය

මෙම දිගු ලිපියෙන්, අපි සිස්කෝ ISE හි අමුත්තන්ගේ ප්‍රවේශය සාර්ථකව වින්‍යාස කර ඇත, එහිදී FortiGate ප්‍රවේශ ලක්ෂ්‍ය පාලකය ලෙස ක්‍රියා කරයි, සහ FortiAP ප්‍රවේශ ලක්ෂ්‍යය ලෙස ක්‍රියා කරයි. එය ISE හි පුළුල් භාවිතය නැවත වරක් ඔප්පු කරන සුළු නොවන අනුකලනයක් බවට පත් විය.

Cisco ISE පරීක්ෂා කිරීමට, අමතන්න ලින්ක්තවද අපගේ නාලිකා වල රැඳී සිටින්න (විදුලි පණිවුඩ, ෆේස්බුක්, VK, TS විසඳුම් බ්ලොගය, Yandex Zen).

මූලාශ්රය: www.habr.com