ஒவ்வொரு நிறுவனமும், மிகச் சிறிய நிறுவனத்திற்கு கூட, அங்கீகாரம், அங்கீகாரம் மற்றும் பயனர் கணக்கியல் (AAA குடும்ப நெறிமுறைகள்) தேவை. ஆரம்ப கட்டத்தில், RADIUS, TACACS+ மற்றும் DIAMETER போன்ற நெறிமுறைகளைப் பயன்படுத்தி AAA மிகச் சிறப்பாக செயல்படுத்தப்படுகிறது. இருப்பினும், பயனர்கள் மற்றும் நிறுவனத்தின் எண்ணிக்கை அதிகரிக்கும் போது, பணிகளின் எண்ணிக்கையும் அதிகரிக்கிறது: ஹோஸ்ட்கள் மற்றும் BYOD சாதனங்களின் அதிகபட்சத் தெரிவுநிலை, பல காரணி அங்கீகாரம், பல நிலை அணுகல் கொள்கையை உருவாக்குதல் மற்றும் பல.
அத்தகைய பணிகளுக்கு, NAC (நெட்வொர்க் அணுகல் கட்டுப்பாடு) தீர்வுகளின் வகுப்பு சரியானது - பிணைய அணுகல் கட்டுப்பாடு. அர்ப்பணிக்கப்பட்ட கட்டுரைகளின் தொடரில் சிஸ்கோ ஐஎஸ்இ (அடையாள சேவைகள் இயந்திரம்) - உள் நெட்வொர்க்கில் உள்ள பயனர்களுக்கு சூழல் விழிப்புணர்வு அணுகல் கட்டுப்பாட்டை வழங்குவதற்கான NAC தீர்வு, தீர்வின் கட்டமைப்பு, வழங்குதல், உள்ளமைவு மற்றும் உரிமம் ஆகியவற்றை நாங்கள் விரிவாகப் பார்ப்போம்.
Cisco ISE உங்களை அனுமதிக்கிறது என்பதை சுருக்கமாக நினைவூட்டுகிறேன்:
பிரத்யேக WLAN இல் விருந்தினர் அணுகலை விரைவாகவும் எளிதாகவும் உருவாக்கவும்;
BYOD சாதனங்களைக் கண்டறிதல் (உதாரணமாக, அவர்கள் வேலைக்குக் கொண்டு வந்த பணியாளர்களின் வீட்டு கணினிகள்);
SGT பாதுகாப்பு குழு லேபிள்களைப் பயன்படுத்தி டொமைன் மற்றும் டொமைன் அல்லாத பயனர்கள் முழுவதும் பாதுகாப்புக் கொள்கைகளை மையப்படுத்தி செயல்படுத்தவும் TrustSec);
நிறுவப்பட்ட சில மென்பொருள்கள் மற்றும் தரநிலைகளுக்கு இணங்குகின்றனவா என கணினிகளை சரிபார்க்கவும் (போஸ்டுரிங்);
இறுதிப்புள்ளி மற்றும் பிணைய சாதனங்களை வகைப்படுத்துதல் மற்றும் சுயவிவரம்;
இறுதிப்புள்ளி தெரிவுநிலையை வழங்கவும்;
பயனர் அடிப்படையிலான கொள்கையை உருவாக்க பயனர்களின் உள்நுழைவு/வெளியேற்றத்தின் நிகழ்வு பதிவுகள், அவர்களின் கணக்குகள் (அடையாளம்) NGFW க்கு அனுப்பவும்;
Cisco StealthWatch உடன் பூர்வீகமாக ஒருங்கிணைத்து, பாதுகாப்பு சம்பவங்களில் ஈடுபட்டுள்ள சந்தேகத்திற்கிடமான புரவலர்களை தனிமைப்படுத்தவும் (மேலும் தகவல்);
மற்றும் AAA சேவையகங்களுக்கான மற்ற அம்சங்கள் தரநிலை.
அடையாள சேவைகள் என்ஜின் கட்டமைப்பில் 4 நிறுவனங்கள் (முனைகள்) உள்ளன: ஒரு மேலாண்மை முனை (கொள்கை நிர்வாக முனை), ஒரு கொள்கை விநியோக முனை (கொள்கை சேவை முனை), ஒரு கண்காணிப்பு முனை (கண்காணிப்பு முனை) மற்றும் ஒரு PxGrid முனை (PxGrid Node). சிஸ்கோ ISE ஒரு தனி அல்லது விநியோகிக்கப்பட்ட நிறுவலில் இருக்கலாம். தனித்த பதிப்பில், அனைத்து நிறுவனங்களும் ஒரு மெய்நிகர் இயந்திரம் அல்லது இயற்பியல் சேவையகத்தில் (பாதுகாப்பான பிணைய சேவையகங்கள் - SNS) அமைந்துள்ளன, அதே சமயம் விநியோகிக்கப்பட்ட பதிப்பில், முனைகள் வெவ்வேறு சாதனங்களில் விநியோகிக்கப்படுகின்றன.
பாலிசி அட்மினிஸ்ட்ரேஷன் நோட் (PAN) என்பது சிஸ்கோ ISE இல் அனைத்து நிர்வாக செயல்பாடுகளையும் செய்ய உங்களை அனுமதிக்கும் தேவையான முனை ஆகும். இது AAA தொடர்பான அனைத்து கணினி கட்டமைப்புகளையும் கையாளுகிறது. விநியோகிக்கப்பட்ட உள்ளமைவில் (நோட்களை தனி மெய்நிகர் இயந்திரங்களாக நிறுவலாம்), தவறு சகிப்புத்தன்மைக்கு அதிகபட்சம் இரண்டு PANகளை வைத்திருக்கலாம் - செயலில்/காத்திருப்பு பயன்முறை.
பாலிசி சர்வீஸ் நோட் (பிஎஸ்என்) என்பது பிணைய அணுகல், நிலை, விருந்தினர் அணுகல், கிளையன்ட் சேவை வழங்குதல் மற்றும் விவரக்குறிப்பு ஆகியவற்றை வழங்கும் ஒரு கட்டாய முனை ஆகும். PSN கொள்கையை மதிப்பீடு செய்து அதைப் பயன்படுத்துகிறது. பொதுவாக, பல PSNகள் நிறுவப்பட்டிருக்கும், குறிப்பாக விநியோகிக்கப்பட்ட கட்டமைப்பில், அதிக தேவையற்ற மற்றும் விநியோகிக்கப்பட்ட செயல்பாட்டிற்காக. நிச்சயமாக, அவர்கள் ஒரு நொடிக்கு அங்கீகரிக்கப்பட்ட மற்றும் அங்கீகரிக்கப்பட்ட அணுகலை வழங்கும் திறனை இழக்காதபடி, வெவ்வேறு பிரிவுகளில் இந்த முனைகளை நிறுவ முயற்சி செய்கிறார்கள்.
கண்காணிப்பு முனை (MnT) என்பது பிணையத்தில் நிகழ்வு பதிவுகள், பிற முனைகளின் பதிவுகள் மற்றும் கொள்கைகளை சேமிக்கும் ஒரு கட்டாய முனை ஆகும். MnT முனையானது கண்காணிப்பு மற்றும் சரிசெய்தல் ஆகியவற்றிற்கான மேம்பட்ட கருவிகளை வழங்குகிறது, பல்வேறு தரவுகளை சேகரித்து தொடர்புபடுத்துகிறது, மேலும் அர்த்தமுள்ள அறிக்கைகளையும் வழங்குகிறது. Cisco ISE உங்களை அதிகபட்சமாக இரண்டு MnT முனைகளை வைத்திருக்க அனுமதிக்கிறது, இதன் மூலம் தவறு சகிப்புத்தன்மையை உருவாக்குகிறது - செயலில்/காத்திருப்பு பயன்முறை. இருப்பினும், பதிவுகள் செயலில் மற்றும் செயலற்ற இரு முனைகளாலும் சேகரிக்கப்படுகின்றன.
PxGrid Node (PXG) என்பது PxGrid நெறிமுறையைப் பயன்படுத்தும் ஒரு முனை மற்றும் PxGrid ஐ ஆதரிக்கும் பிற சாதனங்களுக்கு இடையே தொடர்பு கொள்ள அனுமதிக்கிறது.
PxGrid - பல்வேறு விற்பனையாளர்களிடமிருந்து தகவல் தொழில்நுட்பம் மற்றும் தகவல் பாதுகாப்பு உள்கட்டமைப்பு தயாரிப்புகளின் ஒருங்கிணைப்பை உறுதி செய்யும் ஒரு நெறிமுறை: கண்காணிப்பு அமைப்புகள், ஊடுருவல் கண்டறிதல் மற்றும் தடுப்பு அமைப்புகள், பாதுகாப்பு கொள்கை மேலாண்மை தளங்கள் மற்றும் பல தீர்வுகள். Cisco PxGrid APIகள் தேவையில்லாமல் பல தளங்களுடன் ஒரு திசை அல்லது இருதரப்பு முறையில் சூழலைப் பகிர உங்களை அனுமதிக்கிறது, இதன் மூலம் தொழில்நுட்பத்தை செயல்படுத்துகிறது TrustSec (SGT குறிச்சொற்கள்), ANC (அடாப்டிவ் நெட்வொர்க் கன்ட்ரோல்) கொள்கையை மாற்றவும் மற்றும் பயன்படுத்தவும், அத்துடன் விவரக்குறிப்பைச் செய்யவும் - சாதன மாதிரி, OS, இருப்பிடம் மற்றும் பலவற்றைத் தீர்மானித்தல்.
அதிக கிடைக்கும் உள்ளமைவில், PxGrid முனைகள் PAN மூலம் கணுக்களுக்கு இடையேயான தகவலைப் பிரதிபலிக்கின்றன. PAN முடக்கப்பட்டால், PxGrid முனை பயனர்களை அங்கீகரிப்பது, அங்கீகரித்தல் மற்றும் கணக்கீடு செய்வதை நிறுத்தும்.
கார்ப்பரேட் நெட்வொர்க்கில் வெவ்வேறு சிஸ்கோ ISE நிறுவனங்களின் செயல்பாட்டின் திட்டவட்டமான பிரதிநிதித்துவம் கீழே உள்ளது.
படம் 1. சிஸ்கோ ISE கட்டிடக்கலை
3 தேவைகள்
Cisco ISE ஐ நடைமுறைப்படுத்தலாம், பெரும்பாலான நவீன தீர்வுகள், மெய்நிகராக அல்லது உடல் ரீதியாக ஒரு தனி சேவையகமாக.
சிஸ்கோ ISE மென்பொருளை இயக்கும் இயற்பியல் சாதனங்கள் SNS (Secure Network Server) என அழைக்கப்படுகின்றன. அவை மூன்று மாடல்களில் வருகின்றன: சிறு, நடுத்தர மற்றும் பெரிய வணிகங்களுக்கு SNS-3615, SNS-3655 மற்றும் SNS-3695. அட்டவணை 1 இலிருந்து தகவலைக் காட்டுகிறது தரவுத்தாள் எஸ்என்எஸ்.
அட்டவணை 1. வெவ்வேறு அளவுகளுக்கான SNS இன் ஒப்பீட்டு அட்டவணை
அளவுரு
SNS 3615 (சிறியது)
SNS 3655 (நடுத்தர)
SNS 3695 (பெரியது)
தனித்த நிறுவலில் ஆதரிக்கப்படும் இறுதிப்புள்ளிகளின் எண்ணிக்கை
10000
25000
50000
PSNக்கு ஆதரிக்கப்படும் இறுதிப்புள்ளிகளின் எண்ணிக்கை
10000
25000
100000
CPU (Intel Xeon 2.10 GHz)
8 கோர்கள்
12 கோர்கள்
12 கோர்கள்
ரேம்
32 ஜிபி (2 x 16 ஜிபி)
96 ஜிபி (6 x 16 ஜிபி)
256 ஜிபி (16 x 16 ஜிபி)
HDD,
1 x 600 ஜிபி
4 x 600 ஜிபி
8 x 600 ஜிபி
வன்பொருள் RAID
இல்லை
RAID 10, RAID கட்டுப்படுத்தியின் இருப்பு
RAID 10, RAID கட்டுப்படுத்தியின் இருப்பு
பிணைய இடைமுகங்கள்
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
மெய்நிகர் செயலாக்கங்களைப் பொறுத்தவரை, ஆதரிக்கப்படும் ஹைப்பர்வைசர்கள் VMware ESXi (ESXi 11 க்கான குறைந்தபட்ச VMware பதிப்பு 6.0 பரிந்துரைக்கப்படுகிறது), Microsoft Hyper-V மற்றும் Linux KVM (RHEL 7.0). ஆதாரங்கள் மேலே உள்ள அட்டவணையில் உள்ளதைப் போலவே அல்லது அதற்கு மேற்பட்டதாக இருக்க வேண்டும். இருப்பினும், ஒரு சிறு வணிக மெய்நிகர் இயந்திரத்திற்கான குறைந்தபட்ச தேவைகள்: 2 CPU 2.0 GHz மற்றும் அதற்கு மேற்பட்ட அதிர்வெண் கொண்ட, 16 ஜிபி ரேம் и 200 ஜிபிHDD.
மற்ற சிஸ்கோ தயாரிப்புகளைப் போலவே, ISE பல வழிகளில் சோதிக்கப்படலாம்:
dcloud - முன்பே நிறுவப்பட்ட ஆய்வக தளவமைப்புகளின் கிளவுட் சேவை (சிஸ்கோ கணக்கு தேவை);
GVE கோரிக்கை - கோரிக்கை தளத்தில் சில மென்பொருள்களின் சிஸ்கோ (கூட்டாளர்களுக்கான முறை). பின்வரும் பொதுவான விளக்கத்துடன் ஒரு வழக்கை உருவாக்குகிறீர்கள்: தயாரிப்பு வகை [ISE], ISE மென்பொருள் [ise-2.7.0.356.SPA.x8664], ISE பேட்ச் [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
முன்னோடி திட்டம் - இலவச பைலட் திட்டத்தை நடத்த அங்கீகரிக்கப்பட்ட கூட்டாளரைத் தொடர்பு கொள்ளவும்.
1) ஒரு மெய்நிகர் இயந்திரத்தை உருவாக்கிய பிறகு, நீங்கள் ஒரு ISO கோப்பைக் கோரினால், OVA டெம்ப்ளேட்டை அல்ல, ஒரு சாளரம் தோன்றும், அதில் ISE க்கு நீங்கள் நிறுவலைத் தேர்ந்தெடுக்க வேண்டும். இதைச் செய்ய, உங்கள் உள்நுழைவு மற்றும் கடவுச்சொல்லுக்குப் பதிலாக, "" என்று எழுத வேண்டும்.அமைப்பு"!
குறிப்பு: நீங்கள் OVA டெம்ப்ளேட்டிலிருந்து ISE ஐப் பயன்படுத்தினால், உள்நுழைவு விவரங்கள் நிர்வாகம்/MyIseYPass2 (இதுவும் மேலும் பலவும் உத்தியோகத்தில் குறிப்பிடப்பட்டுள்ளது வழிகாட்டி).
படம் 2. சிஸ்கோ ISE ஐ நிறுவுதல்
2) பின்னர் நீங்கள் IP முகவரி, DNS, NTP மற்றும் பிற போன்ற தேவையான புலங்களை நிரப்ப வேண்டும்.
படம் 3. சிஸ்கோ ISE ஐ துவக்குகிறது
3) அதன் பிறகு, சாதனம் மறுதொடக்கம் செய்யப்படும், மேலும் நீங்கள் முன்பு குறிப்பிட்ட ஐபி முகவரியைப் பயன்படுத்தி இணைய இடைமுகம் வழியாக இணைக்க முடியும்.
படம் 4. சிஸ்கோ ISE வலை இடைமுகம்
4) தாவலில் நிர்வாகம் > அமைப்பு > வரிசைப்படுத்தல் ஒரு குறிப்பிட்ட சாதனத்தில் எந்த முனைகள் (நிறுவனங்கள்) இயக்கப்பட்டுள்ளன என்பதை நீங்கள் தேர்ந்தெடுக்கலாம். PxGrid முனை இங்கே இயக்கப்பட்டுள்ளது.
படம் 5. சிஸ்கோ ISE நிறுவன மேலாண்மை
5) பின்னர் தாவலில் நிர்வாகம் > கணினி > நிர்வாக அணுகல் >அங்கீகார கடவுச்சொல் கொள்கை, அங்கீகார முறை (சான்றிதழ் அல்லது கடவுச்சொல்), கணக்கு காலாவதி தேதி மற்றும் பிற அமைப்புகளை அமைக்க பரிந்துரைக்கிறேன்.
படம் 6. அங்கீகார வகை அமைப்புபடம் 7. கடவுச்சொல் கொள்கை அமைப்புகள்படம் 8. காலாவதியான பிறகு கணக்கு நிறுத்தத்தை அமைத்தல்படம் 9. கணக்கு பூட்டுதலை அமைத்தல்
6) தாவலில் நிர்வாகம் > கணினி > நிர்வாக அணுகல் > நிர்வாகிகள் > நிர்வாகி பயனர்கள் > சேர் நீங்கள் ஒரு புதிய நிர்வாகியை உருவாக்கலாம்.
படம் 10. ஒரு உள்ளூர் சிஸ்கோ ISE நிர்வாகியை உருவாக்குதல்
7) புதிய நிர்வாகியை ஒரு புதிய குழு அல்லது ஏற்கனவே முன் வரையறுக்கப்பட்ட குழுக்களின் ஒரு பகுதியாக மாற்றலாம். தாவலில் உள்ள ஒரே பேனலில் நிர்வாகி குழுக்கள் நிர்வகிக்கப்படுகின்றன நிர்வாக குழுக்கள். ISE நிர்வாகிகள், அவர்களின் உரிமைகள் மற்றும் பாத்திரங்கள் பற்றிய தகவல்களை அட்டவணை 2 சுருக்கமாகக் கூறுகிறது.
அட்டவணை 2. சிஸ்கோ ISE நிர்வாகி குழுக்கள், அணுகல் நிலைகள், அனுமதிகள் மற்றும் கட்டுப்பாடுகள்
நிர்வாகி குழுவின் பெயர்
அனுமதி
கட்டுப்பாடுகள்
தனிப்பயனாக்குதல் நிர்வாகம்
விருந்தினர் மற்றும் ஸ்பான்சர்ஷிப் போர்டல்களை அமைத்தல், நிர்வாகம் மற்றும் தனிப்பயனாக்கம்
கொள்கைகளை மாற்றவோ அல்லது அறிக்கைகளைப் பார்க்கவோ இயலாமை
ஹெல்ப் டெஸ்க் நிர்வாகி
பிரதான டாஷ்போர்டு, அனைத்து அறிக்கைகள், லார்ம்கள் மற்றும் சரிசெய்தல் ஸ்ட்ரீம்களைப் பார்க்கும் திறன்
நீங்கள் அறிக்கைகள், அலாரங்கள் மற்றும் அங்கீகார பதிவுகளை மாற்றவோ, உருவாக்கவோ அல்லது நீக்கவோ முடியாது
அடையாள நிர்வாகி
பயனர்கள், சலுகைகள் மற்றும் பாத்திரங்களை நிர்வகித்தல், பதிவுகள், அறிக்கைகள் மற்றும் அலாரங்களைப் பார்க்கும் திறன்
நீங்கள் கொள்கைகளை மாற்றவோ அல்லது OS நிலையில் பணிகளைச் செய்யவோ முடியாது
MnT நிர்வாகி
முழு கண்காணிப்பு, அறிக்கைகள், அலாரங்கள், பதிவுகள் மற்றும் அவற்றின் மேலாண்மை
எந்த கொள்கையையும் மாற்ற இயலாமை
நெட்வொர்க் சாதன நிர்வாகி
ISE பொருட்களை உருவாக்க மற்றும் மாற்றுவதற்கான உரிமைகள், பதிவுகள், அறிக்கைகள், முக்கிய டாஷ்போர்டைப் பார்க்கவும்
நீங்கள் கொள்கைகளை மாற்றவோ அல்லது OS நிலையில் பணிகளைச் செய்யவோ முடியாது
கொள்கை நிர்வாகி
அனைத்து கொள்கைகளின் முழு மேலாண்மை, சுயவிவரங்களை மாற்றுதல், அமைப்புகள், அறிக்கைகளைப் பார்ப்பது
நற்சான்றிதழ்கள், ISE பொருள்களுடன் அமைப்புகளைச் செய்ய இயலாமை
RBAC நிர்வாகி
செயல்பாடுகள் தாவலில் உள்ள அனைத்து அமைப்புகளும், ANC கொள்கை அமைப்புகள், அறிக்கை மேலாண்மை
ANC தவிர வேறு கொள்கைகளை மாற்றவோ அல்லது OS நிலையில் பணிகளைச் செய்யவோ முடியாது
சூப்பர் நிர்வாகம்
அனைத்து அமைப்புகளுக்கான உரிமைகள், அறிக்கையிடல் மற்றும் மேலாண்மை, நிர்வாகி நற்சான்றிதழ்களை நீக்கலாம் மற்றும் மாற்றலாம்
மாற்ற முடியாது, சூப்பர் அட்மின் குழுவிலிருந்து மற்றொரு சுயவிவரத்தை நீக்கவும்
கணினி நிர்வாகம்
செயல்பாடுகள் தாவலில் உள்ள அனைத்து அமைப்புகளும், கணினி அமைப்புகளை நிர்வகித்தல், ANC கொள்கை, அறிக்கைகளைப் பார்ப்பது
ANC தவிர வேறு கொள்கைகளை மாற்றவோ அல்லது OS நிலையில் பணிகளைச் செய்யவோ முடியாது
வெளிப்புற RESTful சேவைகள் (ERS) நிர்வாகம்
சிஸ்கோ ISE REST APIக்கான முழு அணுகல்
உள்ளூர் பயனர்கள், ஹோஸ்ட்கள் மற்றும் பாதுகாப்பு குழுக்களின் (SG) அங்கீகாரம், மேலாண்மைக்கு மட்டும்
வெளிப்புற RESTful சேவைகள் (ERS) ஆபரேட்டர்
Cisco ISE REST API வாசிப்பு அனுமதிகள்
உள்ளூர் பயனர்கள், ஹோஸ்ட்கள் மற்றும் பாதுகாப்பு குழுக்களின் (SG) அங்கீகாரம், மேலாண்மைக்கு மட்டும்
படம் 11. முன் வரையறுக்கப்பட்ட சிஸ்கோ ISE நிர்வாகி குழுக்கள்
8) தாவலில் விருப்பமானது அங்கீகாரம் > அனுமதிகள் > RBAC கொள்கை முன் வரையறுக்கப்பட்ட நிர்வாகிகளின் உரிமைகளை நீங்கள் திருத்தலாம்.
படம் 12. சிஸ்கோ ISE நிர்வாகி முன்னமைக்கப்பட்ட சுயவிவர உரிமைகள் மேலாண்மை
9) தாவலில் நிர்வாகம் > கணினி > அமைப்புகள்அனைத்து கணினி அமைப்புகளும் கிடைக்கின்றன (DNS, NTP, SMTP மற்றும் பிற). ஆரம்ப சாதனத்தின் துவக்கத்தின் போது நீங்கள் அவற்றைத் தவறவிட்டால் அவற்றை இங்கே நிரப்பலாம்.
5. முடிவுக்கு
இத்துடன் முதல் கட்டுரை முடிகிறது. சிஸ்கோ ISE NAC தீர்வு, அதன் கட்டமைப்பு, குறைந்தபட்ச தேவைகள் மற்றும் வரிசைப்படுத்தல் விருப்பங்கள் மற்றும் ஆரம்ப நிறுவலின் செயல்திறன் பற்றி நாங்கள் விவாதித்தோம்.
அடுத்த கட்டுரையில், கணக்குகளை உருவாக்குவது, மைக்ரோசாஃப்ட் ஆக்டிவ் டைரக்டரியுடன் ஒருங்கிணைப்பது மற்றும் விருந்தினர் அணுகலை உருவாக்குவது பற்றி பார்ப்போம்.
இந்தத் தலைப்பைப் பற்றி ஏதேனும் கேள்விகள் இருந்தால் அல்லது தயாரிப்பைச் சோதிக்க உதவி தேவைப்பட்டால், தயவுசெய்து தொடர்பு கொள்ளவும் இணைப்பை.