1. Utangulizi
Kila kampuni, hata ndogo zaidi, ina hitaji la uthibitishaji, idhini na uhasibu wa watumiaji (familia ya itifaki ya AAA). Katika hatua ya awali, AAA inatekelezwa vyema kwa kutumia itifaki kama vile RADIUS, TACACS+ na DIAMETER. Walakini, kadiri idadi ya watumiaji na kampuni inavyokua, idadi ya kazi pia inakua: mwonekano wa juu wa wapangishaji na vifaa vya BYOD, uthibitishaji wa sababu nyingi, kuunda sera ya ufikiaji wa viwango vingi na mengi zaidi.
Kwa kazi kama hizo, darasa la NAC (Udhibiti wa Ufikiaji wa Mtandao) ni kamili - udhibiti wa ufikiaji wa mtandao. Katika mfululizo wa makala zinazotolewa kwa (Injini ya Huduma za Utambulisho) - Suluhisho la NAC la kutoa udhibiti wa ufikiaji unaofahamu muktadha kwa watumiaji kwenye mtandao wa ndani, tutaangalia kwa kina usanifu, utoaji, usanidi na utoaji wa leseni ya suluhisho.
Acha nikukumbushe kwa ufupi kwamba Cisco ISE hukuruhusu:
-
Unda ufikiaji wa wageni kwa haraka na kwa urahisi kwenye WLAN iliyojitolea;
-
Gundua vifaa vya BYOD (kwa mfano, Kompyuta za nyumbani za wafanyikazi ambazo walileta kazini);
-
Weka kati na utekeleze sera za usalama kwenye kikoa na watumiaji wasio wa kikoa kwa kutumia lebo za kikundi cha usalama cha SGT );
-
Angalia kompyuta kwa programu fulani imewekwa na kufuata viwango (posturing);
-
Kuainisha na mwisho wa wasifu na vifaa vya mtandao;
-
Kutoa mwonekano wa mwisho;
-
Tuma kumbukumbu za matukio ya nembo/logi ya watumiaji, akaunti zao (utambulisho) kwa NGFW ili kuunda sera inayotegemea mtumiaji;
-
Jumuisha asilia na Cisco StealthWatch na uwaweke karantini waandaji wanaoshukiwa wanaohusika katika matukio ya usalama ();
-
Na vipengele vingine vya kawaida kwa seva za AAA.
Wenzake kwenye tasnia tayari wameandika kuhusu Cisco ISE, kwa hivyo nakushauri usome: ,.
2. Usanifu
Usanifu wa Injini ya Huduma za Utambulisho una vyombo 4 (nodi): nodi ya usimamizi (Njia ya Utawala wa Sera), nodi ya usambazaji wa sera (Njia ya Huduma ya Sera), nodi ya ufuatiliaji (Njia ya Ufuatiliaji) na nodi ya PxGrid (Njia ya PxGrid). Cisco ISE inaweza kuwa katika usakinishaji wa pekee au kusambazwa. Katika toleo la Kujitegemea, huluki zote ziko kwenye mashine moja pepe au seva halisi (Seva za Mtandao Salama - SNS), wakati katika toleo la Kusambazwa, nodi husambazwa kwenye vifaa tofauti.
Nodi ya Utawala wa Sera (PAN) ni nodi inayohitajika inayokuruhusu kutekeleza shughuli zote za usimamizi kwenye Cisco ISE. Inashughulikia usanidi wote wa mfumo unaohusiana na AAA. Katika usanidi uliosambazwa (nodi zinaweza kusakinishwa kama mashine tofauti za mtandaoni), unaweza kuwa na upeo wa PAN mbili za uvumilivu wa hitilafu - Hali Inayotumika/ya Kusubiri.
Nodi ya Huduma ya Sera (PSN) ni nodi ya lazima ambayo hutoa ufikiaji wa mtandao, serikali, ufikiaji wa wageni, utoaji wa huduma kwa mteja, na uwekaji wasifu. PSN hutathmini sera na kuitumia. Kwa kawaida, PSN nyingi husakinishwa, hasa katika usanidi uliosambazwa, kwa ajili ya uendeshaji usiohitajika zaidi na uliosambazwa. Bila shaka, wanajaribu kufunga nodes hizi katika makundi tofauti ili wasipoteze uwezo wa kutoa upatikanaji wa kuthibitishwa na kuidhinishwa kwa pili.
Nodi ya Ufuatiliaji (MnT) ni nodi ya lazima ambayo huhifadhi kumbukumbu za matukio, kumbukumbu za nodi nyingine na sera kwenye mtandao. Nodi ya MnT hutoa zana za kina za ufuatiliaji na utatuzi wa matatizo, hukusanya na kuunganisha data mbalimbali, na pia hutoa ripoti zenye maana. Cisco ISE hukuruhusu kuwa na kiwango cha juu cha nodi mbili za MnT, na hivyo kuunda uvumilivu wa makosa - Njia inayotumika/ya Kusubiri. Walakini, kumbukumbu hukusanywa na nodi zote mbili, zote zinazofanya kazi na zisizo na maana.
PxGrid Node (PXG) ni nodi inayotumia itifaki ya PxGrid na inaruhusu mawasiliano kati ya vifaa vingine vinavyotumia PxGrid.
- itifaki inayohakikisha ujumuishaji wa IT na bidhaa za miundombinu ya usalama wa habari kutoka kwa wachuuzi tofauti: mifumo ya ufuatiliaji, mifumo ya kugundua na kuzuia uingiliaji, majukwaa ya usimamizi wa sera za usalama na suluhisho zingine nyingi. Cisco PxGrid hukuruhusu kushiriki muktadha kwa njia ya moja kwa moja au ya pande mbili na majukwaa mengi bila hitaji la API, na hivyo kuwezesha matumizi ya teknolojia. (Lebo za SGT), badilisha na utumie sera ya ANC (Adaptive Network Control), na pia kutekeleza wasifu - kubainisha muundo wa kifaa, OS, eneo, na zaidi.
Katika usanidi wa hali ya juu ya upatikanaji, nodi za PxGrid hunakili maelezo kati ya nodi juu ya PAN. PAN ikiwa imezimwa, nodi ya PxGrid itaacha uthibitishaji, uidhinishaji na uhasibu kwa watumiaji.
Ifuatayo ni uwakilishi wa kimkakati wa uendeshaji wa mashirika tofauti ya Cisco ISE katika mtandao wa shirika.
Kielelezo 1. Usanifu wa Cisco ISE
3. Mahitaji
Cisco ISE inaweza kutekelezwa, kama suluhu nyingi za kisasa, karibu au kimwili kama seva tofauti.
Vifaa vya kimwili vinavyoendesha programu ya Cisco ISE vinaitwa SNS (Seva ya Mtandao Salama). Wanakuja katika mifano mitatu: SNS-3615, SNS-3655 na SNS-3695 kwa biashara ndogo, za kati na kubwa. Jedwali la 1 linaonyesha habari kutoka SNS.
Jedwali 1. Jedwali la kulinganisha la SNS kwa mizani tofauti
Parameter
SNS 3615 (Ndogo)
SNS 3655 (Kati)
SNS 3695 (Kubwa)
Idadi ya sehemu za mwisho zinazotumika katika usakinishaji Unaojitegemea
10000
25000
50000
Idadi ya vituo vinavyotumika kwa kila PSN
10000
25000
100000
CPU (Intel Xeon 2.10 GHz)
8 kori
12 kori
12 kori
RAM
GB 32 (GB 2 x 16)
GB 96 (GB 6 x 16)
GB 256 (GB 16 x 16)
HDD
1 x 600 GB
4 x 600 GB
8 x 600 GB
Uvamizi wa vifaa
Hakuna
RAID 10, uwepo wa mtawala wa RAID
RAID 10, uwepo wa mtawala wa RAID
Viunga vya mtandao
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
Kuhusu utekelezwaji pepe, viboreshaji vinavyotumika ni VMware ESXi (toleo la chini kabisa la VMware 11 kwa ESXi 6.0 linapendekezwa), Microsoft Hyper-V na Linux KVM (RHEL 7.0). Rasilimali zinapaswa kuwa takriban sawa na katika jedwali hapo juu, au zaidi. Walakini, mahitaji ya chini ya mashine ndogo ya mtandaoni ya biashara ni: 2 CPU na mzunguko wa 2.0 GHz na zaidi, RAM ya GB 16 ΠΈ 200 GB HDD.
Kwa maelezo mengine ya kupelekwa kwa Cisco ISE, tafadhali wasiliana au kwa , .
4. Ufungaji
Kama bidhaa zingine nyingi za Cisco, ISE inaweza kujaribiwa kwa njia kadhaa:
-
- huduma ya wingu ya mipangilio ya maabara iliyowekwa awali (akaunti ya Cisco inahitajika);
-
- ombi kutoka Cisco ya programu fulani (njia ya washirika). Unaunda kipochi chenye maelezo yafuatayo ya kawaida: Aina ya bidhaa [ISE], Programu ya ISE [ise-2.7.0.356.SPA.x8664], Kiraka cha ISE [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
-
- wasiliana na mshirika yeyote aliyeidhinishwa ili kuendesha mradi wa majaribio bila malipo.
1) Baada ya kuunda mashine pepe, ikiwa uliomba faili ya ISO na sio kiolezo cha OVA, dirisha litatokea ambalo ISE inakuhitaji uchague usakinishaji. Ili kufanya hivyo, badala ya kuingia kwako na nenosiri, unapaswa kuandika "kuanzisha"!
Kumbuka: ikiwa ulipeleka ISE kutoka kwa kiolezo cha OVA, basi maelezo ya kuingia admin/MyIseYPass2 (hii na mengi zaidi yanaonyeshwa katika rasmi ).
Kielelezo 2. Kufunga Cisco ISE
2) Kisha unapaswa kujaza sehemu zinazohitajika kama vile anwani ya IP, DNS, NTP na zingine.
Kielelezo 3. Kuanzisha Cisco ISE
3) Baada ya hapo, kifaa kitaanza upya, na utaweza kuunganisha kupitia interface ya wavuti kwa kutumia anwani ya IP iliyotajwa hapo awali.
Kielelezo 4. Cisco ISE Web Interface
4) Katika kichupo Utawala > Mfumo > Usambazaji unaweza kuchagua ni nodi gani (vyombo) zimewezeshwa kwenye kifaa fulani. Nodi ya PxGrid imewezeshwa hapa.
Kielelezo 5. Usimamizi wa Taasisi ya Cisco ISE
5) Kisha kwenye kichupo Utawala > Mfumo > Ufikiaji wa Msimamizi > Uthibitishaji Ninapendekeza kusanidi sera ya nenosiri, njia ya uthibitishaji (cheti au nenosiri), tarehe ya mwisho wa akaunti, na mipangilio mingine.
Kielelezo 6. Mpangilio wa aina ya uthibitishajiKielelezo 7. Mipangilio ya sera ya nenosiriKielelezo 8. Kuweka kuzima akaunti baada ya muda kuishaKielelezo 9. Kuweka kufunga akaunti
6) Katika kichupo Utawala > Mfumo > Ufikiaji wa Msimamizi > Wasimamizi > Watumiaji Wasimamizi > Ongeza unaweza kuunda msimamizi mpya.
Kielelezo 10. Kuunda Msimamizi wa ISE wa Cisco wa Mitaa
7) Msimamizi mpya anaweza kufanywa sehemu ya kikundi kipya au vikundi vilivyoainishwa tayari. Vikundi vya wasimamizi vinadhibitiwa katika kidirisha kimoja kwenye kichupo Vikundi vya Wasimamizi. Jedwali la 2 linatoa muhtasari wa habari kuhusu wasimamizi wa ISE, haki na majukumu yao.
Jedwali 2. Vikundi vya Wasimamizi wa Cisco ISE, Viwango vya Ufikiaji, Ruhusa na Vikwazo
Jina la kikundi cha msimamizi
Ruhusa
Vikwazo
Msimamizi wa Kubinafsisha
Kuanzisha tovuti za wageni na udhamini, usimamizi na ubinafsishaji
Kutokuwa na uwezo wa kubadilisha sera au kutazama ripoti
Msimamizi wa Dawati la Msaada
Uwezo wa kutazama dashibodi kuu, ripoti zote, larm na mitiririko ya utatuzi
Huwezi kubadilisha, kuunda au kufuta ripoti, kengele na kumbukumbu za uthibitishaji
Msimamizi wa Kitambulisho
Kusimamia watumiaji, haki na majukumu, uwezo wa kuona kumbukumbu, ripoti na kengele
Huwezi kubadilisha sera au kufanya kazi katika kiwango cha OS
Msimamizi wa MnT
Ufuatiliaji kamili, ripoti, kengele, kumbukumbu na usimamizi wao
Kutokuwa na uwezo wa kubadilisha sera yoyote
Msimamizi wa Kifaa cha Mtandao
Haki za kuunda na kubadilisha vitu vya ISE, kumbukumbu za kutazama, ripoti, dashibodi kuu
Huwezi kubadilisha sera au kufanya kazi katika kiwango cha OS
Msimamizi wa Sera
Usimamizi kamili wa sera zote, kubadilisha wasifu, mipangilio, ripoti za kutazama
Kutokuwa na uwezo wa kufanya mipangilio na vitambulisho, vipengee vya ISE
Msimamizi wa RBAC
Mipangilio yote katika kichupo cha Uendeshaji, mipangilio ya sera ya ANC, usimamizi wa kuripoti
Huwezi kubadilisha sera isipokuwa ANC au kutekeleza majukumu katika kiwango cha Mfumo wa Uendeshaji
Super Admin
Haki kwa mipangilio yote, kuripoti na usimamizi, zinaweza kufuta na kubadilisha vitambulisho vya msimamizi
Haiwezi kubadilisha, futa wasifu mwingine kutoka kwa kikundi cha Msimamizi Mkuu
Mfumo wa Mfumo
Mipangilio yote katika kichupo cha Uendeshaji, udhibiti wa mipangilio ya mfumo, sera ya ANC, ripoti za kutazama
Huwezi kubadilisha sera isipokuwa ANC au kutekeleza majukumu katika kiwango cha Mfumo wa Uendeshaji
Msimamizi wa Huduma za RESTful za Nje (ERS).
Ufikiaji kamili wa API ya Cisco ISE REST
Kwa idhini tu, usimamizi wa watumiaji wa ndani, wapangishi na vikundi vya usalama (SG)
Opereta wa Huduma za RESTful za Nje (ERS).
Cisco ISE REST API Ruhusa za Kusoma
Kwa idhini tu, usimamizi wa watumiaji wa ndani, wapangishi na vikundi vya usalama (SG)
Kielelezo 11. Vikundi vya Wasimamizi wa Cisco ISE vilivyofafanuliwa
8) Hiari kwenye kichupo Uidhinishaji > Ruhusa > Sera ya RBAC Unaweza kuhariri haki za wasimamizi waliofafanuliwa awali.
Kielelezo 12. Cisco ISE Administrator Preset Profaili Usimamizi wa Haki
9) Katika kichupo Utawala > Mfumo > Mipangilio Mipangilio yote ya mfumo inapatikana (DNS, NTP, SMTP na wengine). Unaweza kuzijaza hapa ikiwa umezikosa wakati wa uanzishaji wa kifaa mara ya kwanza.
5. Hitimisho
Hii inahitimisha makala ya kwanza. Tulijadili ufanisi wa suluhisho la Cisco ISE NAC, usanifu wake, mahitaji ya chini na chaguzi za kupeleka, na usakinishaji wa awali.
Katika makala inayofuata, tutaangalia kuunda akaunti, kuunganisha na Microsoft Active Directory, na kuunda ufikiaji wa wageni.
Ikiwa una maswali kuhusu mada hii au unahitaji usaidizi wa kujaribu bidhaa, tafadhali wasiliana .
Endelea kuwa nasi kwa sasisho katika chaneli zetu (, , , , ).
Chanzo: mapenzi.com