1. పరిచయం
ప్రతి కంపెనీ, అతి చిన్నది కూడా, ప్రమాణీకరణ, అధికారం మరియు వినియోగదారు అకౌంటింగ్ (AAA ఫ్యామిలీ ఆఫ్ ప్రోటోకాల్స్) అవసరం. ప్రారంభ దశలో, AAA RADIUS, TACACS+ మరియు DIAMETER వంటి ప్రోటోకాల్లను ఉపయోగించి బాగా అమలు చేయబడింది. అయినప్పటికీ, వినియోగదారుల సంఖ్య మరియు కంపెనీ పెరుగుతున్న కొద్దీ, టాస్క్ల సంఖ్య కూడా పెరుగుతుంది: హోస్ట్లు మరియు BYOD పరికరాల గరిష్ట దృశ్యమానత, బహుళ-కారకాల ప్రమాణీకరణ, బహుళ-స్థాయి యాక్సెస్ విధానాన్ని సృష్టించడం మరియు మరిన్ని.
అటువంటి పనుల కోసం, NAC (నెట్వర్క్ యాక్సెస్ కంట్రోల్) క్లాస్ సొల్యూషన్స్ సరైనది - నెట్వర్క్ యాక్సెస్ కంట్రోల్. అంకితమైన కథనాల శ్రేణిలో (ఐడెంటిటీ సర్వీసెస్ ఇంజిన్) - అంతర్గత నెట్వర్క్లోని వినియోగదారులకు సందర్భ-అవేర్ యాక్సెస్ నియంత్రణను అందించడానికి NAC పరిష్కారం, మేము పరిష్కారం యొక్క నిర్మాణం, ప్రొవిజనింగ్, కాన్ఫిగరేషన్ మరియు లైసెన్సింగ్ గురించి వివరంగా పరిశీలిస్తాము.
Cisco ISE మిమ్మల్ని అనుమతిస్తుంది అని నేను మీకు క్లుప్తంగా గుర్తు చేస్తాను:
-
అంకితమైన WLANలో అతిథి యాక్సెస్ని త్వరగా మరియు సులభంగా సృష్టించండి;
-
BYOD పరికరాలను గుర్తించండి (ఉదాహరణకు, వారు పని చేయడానికి తీసుకువచ్చిన ఉద్యోగుల హోమ్ PCలు);
-
SGT భద్రతా సమూహ లేబుల్లను ఉపయోగించి డొమైన్ మరియు నాన్-డొమైన్ వినియోగదారులలో భద్రతా విధానాలను కేంద్రీకరించండి మరియు అమలు చేయండి );
-
నిర్దిష్ట సాఫ్ట్వేర్ ఇన్స్టాల్ చేయబడిందా మరియు ప్రమాణాలకు (పోస్చరింగ్) అనుగుణంగా ఉన్నాయో లేదో కంప్యూటర్లను తనిఖీ చేయండి;
-
ఎండ్పాయింట్ మరియు నెట్వర్క్ పరికరాలను వర్గీకరించండి మరియు ప్రొఫైల్ చేయండి;
-
ఎండ్ పాయింట్ విజిబిలిటీని అందించండి;
-
వినియోగదారు-ఆధారిత విధానాన్ని రూపొందించడానికి వినియోగదారుల యొక్క లాగిన్/లాగాఫ్ ఈవెంట్ లాగ్లను, వారి ఖాతాలను (గుర్తింపు) NGFWకి పంపండి;
-
Cisco StealthWatchతో స్థానికంగా ఇంటిగ్రేట్ చేయండి మరియు భద్రతా సంఘటనలలో పాల్గొన్న అనుమానాస్పద హోస్ట్లను నిర్బంధించండి ();
-
మరియు AAA సర్వర్ల కోసం ఇతర ఫీచర్లు ప్రమాణం.
పరిశ్రమలోని సహోద్యోగులు సిస్కో ISE గురించి ఇప్పటికే వ్రాసారు, కాబట్టి నేను చదవమని మీకు సలహా ఇస్తున్నాను: ,.
2. నిర్మాణం
ఐడెంటిటీ సర్వీసెస్ ఇంజిన్ ఆర్కిటెక్చర్లో 4 ఎంటిటీలు (నోడ్లు) ఉన్నాయి: ఒక మేనేజ్మెంట్ నోడ్ (పాలసీ అడ్మినిస్ట్రేషన్ నోడ్), పాలసీ డిస్ట్రిబ్యూషన్ నోడ్ (పాలసీ సర్వీస్ నోడ్), మానిటరింగ్ నోడ్ (మానిటరింగ్ నోడ్) మరియు PxGrid నోడ్ (PxGrid Node). సిస్కో ISE స్వతంత్ర లేదా పంపిణీ చేయబడిన ఇన్స్టాలేషన్లో ఉంటుంది. స్వతంత్ర సంస్కరణలో, అన్ని ఎంటిటీలు ఒక వర్చువల్ మెషీన్ లేదా ఫిజికల్ సర్వర్లో ఉంటాయి (సురక్షిత నెట్వర్క్ సర్వర్లు - SNS), పంపిణీ చేయబడిన సంస్కరణలో, నోడ్లు వేర్వేరు పరికరాలలో పంపిణీ చేయబడతాయి.
పాలసీ అడ్మినిస్ట్రేషన్ నోడ్ (PAN) అనేది సిస్కో ISEలో అన్ని అడ్మినిస్ట్రేటివ్ కార్యకలాపాలను నిర్వహించడానికి మిమ్మల్ని అనుమతించే అవసరమైన నోడ్. ఇది AAAకి సంబంధించిన అన్ని సిస్టమ్ కాన్ఫిగరేషన్లను నిర్వహిస్తుంది. పంపిణీ చేయబడిన కాన్ఫిగరేషన్లో (నోడ్లను ప్రత్యేక వర్చువల్ మెషీన్లుగా ఇన్స్టాల్ చేయవచ్చు), మీరు ఫాల్ట్ టాలరెన్స్ కోసం గరిష్టంగా రెండు PANలను కలిగి ఉండవచ్చు - యాక్టివ్/స్టాండ్బై మోడ్.
పాలసీ సర్వీస్ నోడ్ (PSN) అనేది నెట్వర్క్ యాక్సెస్, స్టేట్, గెస్ట్ యాక్సెస్, క్లయింట్ సర్వీస్ ప్రొవిజనింగ్ మరియు ప్రొఫైలింగ్ను అందించే తప్పనిసరి నోడ్. PSN పాలసీని మూల్యాంకనం చేస్తుంది మరియు దానిని వర్తింపజేస్తుంది. సాధారణంగా, బహుళ PSNలు ఇన్స్టాల్ చేయబడతాయి, ప్రత్యేకించి పంపిణీ చేయబడిన కాన్ఫిగరేషన్లో, మరింత అనవసరమైన మరియు పంపిణీ చేయబడిన ఆపరేషన్ కోసం. వాస్తవానికి, వారు ఈ నోడ్లను వేర్వేరు విభాగాలలో ఇన్స్టాల్ చేయడానికి ప్రయత్నిస్తారు, తద్వారా సెకనుకు ప్రమాణీకరించబడిన మరియు అధీకృత ప్రాప్యతను అందించే సామర్థ్యాన్ని కోల్పోరు.
మానిటరింగ్ నోడ్ (MnT) అనేది నెట్వర్క్లో ఈవెంట్ లాగ్లు, ఇతర నోడ్ల లాగ్లు మరియు విధానాలను నిల్వ చేసే తప్పనిసరి నోడ్. MnT నోడ్ పర్యవేక్షణ మరియు ట్రబుల్షూటింగ్ కోసం అధునాతన సాధనాలను అందిస్తుంది, వివిధ డేటాను సేకరిస్తుంది మరియు కొలేట్ చేస్తుంది మరియు అర్థవంతమైన నివేదికలను కూడా అందిస్తుంది. Cisco ISE మీరు గరిష్టంగా రెండు MnT నోడ్లను కలిగి ఉండటానికి అనుమతిస్తుంది, తద్వారా తప్పు సహనాన్ని సృష్టిస్తుంది - యాక్టివ్/స్టాండ్బై మోడ్. అయినప్పటికీ, లాగ్లు యాక్టివ్ మరియు పాసివ్ రెండు నోడ్ల ద్వారా సేకరించబడతాయి.
PxGrid Node (PXG) అనేది PxGrid ప్రోటోకాల్ను ఉపయోగించే నోడ్ మరియు PxGridకి మద్దతిచ్చే ఇతర పరికరాల మధ్య కమ్యూనికేషన్ను అనుమతిస్తుంది.
- వివిధ విక్రేతల నుండి IT మరియు సమాచార భద్రతా మౌలిక సదుపాయాల ఉత్పత్తుల ఏకీకరణను నిర్ధారించే ప్రోటోకాల్: పర్యవేక్షణ వ్యవస్థలు, చొరబాట్లను గుర్తించడం మరియు నివారణ వ్యవస్థలు, భద్రతా విధాన నిర్వహణ ప్లాట్ఫారమ్లు మరియు అనేక ఇతర పరిష్కారాలు. Cisco PxGrid APIల అవసరం లేకుండా అనేక ప్లాట్ఫారమ్లతో ఏకదిశాత్మక లేదా ద్వి దిశాత్మక పద్ధతిలో సందర్భాన్ని పంచుకోవడానికి మిమ్మల్ని అనుమతిస్తుంది, తద్వారా సాంకేతికతను ఎనేబుల్ చేస్తుంది (SGT ట్యాగ్లు), ANC (అడాప్టివ్ నెట్వర్క్ కంట్రోల్) విధానాన్ని మార్చండి మరియు వర్తింపజేయండి, అలాగే ప్రొఫైలింగ్ నిర్వహించండి - పరికరం మోడల్, OS, స్థానం మరియు మరిన్నింటిని నిర్ణయించడం.
అధిక లభ్యత కాన్ఫిగరేషన్లో, PxGrid నోడ్లు PAN ద్వారా నోడ్ల మధ్య సమాచారాన్ని ప్రతిబింబిస్తాయి. PAN నిలిపివేయబడితే, PxGrid నోడ్ వినియోగదారుల కోసం ప్రమాణీకరించడం, అధికారం ఇవ్వడం మరియు అకౌంటింగ్ చేయడం ఆపివేస్తుంది.
కార్పోరేట్ నెట్వర్క్లో వివిధ సిస్కో ISE ఎంటిటీల ఆపరేషన్ యొక్క స్కీమాటిక్ ప్రాతినిధ్యం క్రింద ఉంది.
మూర్తి 1. సిస్కో ISE ఆర్కిటెక్చర్
3 అవసరాలు
Cisco ISE చాలా ఆధునిక పరిష్కారాల వలె, వాస్తవికంగా లేదా భౌతికంగా ప్రత్యేక సర్వర్గా అమలు చేయబడుతుంది.
సిస్కో ISE సాఫ్ట్వేర్ను అమలు చేసే భౌతిక పరికరాలను SNS (సెక్యూర్ నెట్వర్క్ సర్వర్) అంటారు. అవి మూడు మోడళ్లలో వస్తాయి: చిన్న, మధ్యస్థ మరియు పెద్ద వ్యాపారాల కోసం SNS-3615, SNS-3655 మరియు SNS-3695. నుండి సమాచారాన్ని టేబుల్ 1 చూపుతుంది SNS.
టేబుల్ 1. వివిధ ప్రమాణాల కోసం SNS యొక్క పోలిక పట్టిక
పరామితి
SNS 3615 (చిన్నది)
SNS 3655 (మధ్యస్థం)
SNS 3695 (పెద్దది)
స్వతంత్ర ఇన్స్టాలేషన్లో మద్దతు ఉన్న ముగింపు పాయింట్ల సంఖ్య
10000
25000
50000
ఒక్కో PSNకి మద్దతు ఉన్న ముగింపు పాయింట్ల సంఖ్య
10000
25000
100000
CPU (ఇంటెల్ జియాన్ 2.10 GHz)
8 కోర్లు
12 కోర్లు
12 కోర్లు
RAM
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1 x 600 GB
4 x 600 GB
8 x 600 GB
హార్డ్వేర్ RAID
ఏ
RAID 10, RAID కంట్రోలర్ ఉనికి
RAID 10, RAID కంట్రోలర్ ఉనికి
నెట్వర్క్ ఇంటర్ఫేస్లు
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
వర్చువల్ ఇంప్లిమెంటేషన్లకు సంబంధించి, మద్దతు ఉన్న హైపర్వైజర్లు VMware ESXi (ESXi 11 కోసం కనీస VMware వెర్షన్ 6.0 సిఫార్సు చేయబడింది), Microsoft Hyper-V మరియు Linux KVM (RHEL 7.0). వనరులు పైన ఉన్న పట్టికలో ఉన్నట్లే లేదా అంతకంటే ఎక్కువ ఉండాలి. అయితే, చిన్న వ్యాపార వర్చువల్ మెషీన్కు కనీస అవసరాలు: 2 CPU 2.0 GHz మరియు అంతకంటే ఎక్కువ ఫ్రీక్వెన్సీతో, 16 GB RAM и 200 GB HDD.
ఇతర Cisco ISE విస్తరణ వివరాల కోసం, దయచేసి సంప్రదించండి లేదా , .
4. సంస్థాపన
ఇతర సిస్కో ఉత్పత్తుల వలె, ISEని అనేక విధాలుగా పరీక్షించవచ్చు:
-
- ముందే ఇన్స్టాల్ చేసిన లేబరేటరీ లేఅవుట్ల క్లౌడ్ సేవ (సిస్కో ఖాతా అవసరం);
-
- నుండి అభ్యర్థన నిర్దిష్ట సాఫ్ట్వేర్ యొక్క సిస్కో (భాగస్వాముల కోసం పద్ధతి). మీరు కింది సాధారణ వివరణతో ఒక కేసును సృష్టించారు: ఉత్పత్తి రకం [ISE], ISE సాఫ్ట్వేర్ [ise-2.7.0.356.SPA.x8664], ISE ప్యాచ్ [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
-
- ఉచిత పైలట్ ప్రాజెక్ట్ నిర్వహించడానికి ఏదైనా అధీకృత భాగస్వామిని సంప్రదించండి.
1) వర్చువల్ మెషీన్ను సృష్టించిన తర్వాత, మీరు OVA టెంప్లేట్ కాకుండా ISO ఫైల్ను అభ్యర్థిస్తే, ISEకి మీరు ఇన్స్టాలేషన్ను ఎంచుకోవాల్సిన విండో పాప్ అప్ అవుతుంది. దీన్ని చేయడానికి, మీ లాగిన్ మరియు పాస్వర్డ్కు బదులుగా, మీరు "" అని వ్రాయాలి.సెటప్"!
గమనిక: మీరు OVA టెంప్లేట్ నుండి ISEని అమలు చేసినట్లయితే, లాగిన్ వివరాలు అడ్మిన్/MyIseYPass2 (ఇది మరియు మరెన్నో అధికారికంగా సూచించబడ్డాయి ).
మూర్తి 2. సిస్కో ISEని ఇన్స్టాల్ చేస్తోంది
2) అప్పుడు మీరు IP చిరునామా, DNS, NTP మరియు ఇతర అవసరమైన ఫీల్డ్లను పూరించాలి.
మూర్తి 3. సిస్కో ISEని ప్రారంభించడం
3) ఆ తర్వాత, పరికరం రీబూట్ అవుతుంది మరియు మీరు గతంలో పేర్కొన్న IP చిరునామాను ఉపయోగించి వెబ్ ఇంటర్ఫేస్ ద్వారా కనెక్ట్ చేయగలుగుతారు.
మూర్తి 4. సిస్కో ISE వెబ్ ఇంటర్ఫేస్
4) ట్యాబ్లో అడ్మినిస్ట్రేషన్ > సిస్టమ్ > డిప్లాయ్మెంట్ మీరు నిర్దిష్ట పరికరంలో ఏ నోడ్లను (ఎంటిటీలు) ప్రారంభించాలో ఎంచుకోవచ్చు. PxGrid నోడ్ ఇక్కడ ప్రారంభించబడింది.
మూర్తి 5. సిస్కో ISE ఎంటిటీ మేనేజ్మెంట్
5) ఆపై ట్యాబ్లో అడ్మినిస్ట్రేషన్ > సిస్టమ్ > అడ్మిన్ యాక్సెస్ > ప్రామాణీకరణ పాస్వర్డ్ విధానం, ప్రమాణీకరణ పద్ధతి (సర్టిఫికేట్ లేదా పాస్వర్డ్), ఖాతా గడువు తేదీ మరియు ఇతర సెట్టింగ్లను సెటప్ చేయాలని నేను సిఫార్సు చేస్తున్నాను.
మూర్తి 6. ప్రమాణీకరణ రకం సెట్టింగ్మూర్తి 7. పాస్వర్డ్ పాలసీ సెట్టింగ్లుచిత్రం 8. గడువు ముగిసిన తర్వాత ఖాతా షట్డౌన్ను సెటప్ చేయడంమూర్తి 9. ఖాతా లాకింగ్ను సెటప్ చేస్తోంది
6) ట్యాబ్లో అడ్మినిస్ట్రేషన్ > సిస్టమ్ > అడ్మిన్ యాక్సెస్ > అడ్మినిస్ట్రేటర్లు > అడ్మిన్ యూజర్లు > యాడ్ మీరు కొత్త నిర్వాహకుడిని సృష్టించవచ్చు.
మూర్తి 10. స్థానిక సిస్కో ISE అడ్మినిస్ట్రేటర్ని సృష్టిస్తోంది
7) కొత్త అడ్మినిస్ట్రేటర్ని కొత్త గ్రూప్లో లేదా ఇప్పటికే ముందే నిర్వచించిన గ్రూప్లలో భాగం చేయవచ్చు. అడ్మినిస్ట్రేటర్ గ్రూపులు ట్యాబ్లోని ఒకే ప్యానెల్లో నిర్వహించబడతాయి నిర్వాహక సమూహాలు. టేబుల్ 2 ISE నిర్వాహకులు, వారి హక్కులు మరియు పాత్రల గురించి సమాచారాన్ని సంగ్రహిస్తుంది.
పట్టిక 2. సిస్కో ISE అడ్మినిస్ట్రేటర్ గ్రూపులు, యాక్సెస్ స్థాయిలు, అనుమతులు మరియు పరిమితులు
అడ్మినిస్ట్రేటర్ గ్రూప్ పేరు
అనుమతులు
ఆంక్షలు
అనుకూలీకరణ అడ్మిన్
అతిథి మరియు స్పాన్సర్షిప్ పోర్టల్లు, పరిపాలన మరియు అనుకూలీకరణను ఏర్పాటు చేయడం
విధానాలను మార్చడానికి లేదా నివేదికలను వీక్షించడానికి అసమర్థత
హెల్ప్డెస్క్ అడ్మిన్
ప్రధాన డాష్బోర్డ్, అన్ని నివేదికలు, లార్మ్లు మరియు ట్రబుల్షూటింగ్ స్ట్రీమ్లను వీక్షించే సామర్థ్యం
మీరు నివేదికలు, అలారాలు మరియు ప్రమాణీకరణ లాగ్లను మార్చలేరు, సృష్టించలేరు లేదా తొలగించలేరు
గుర్తింపు అడ్మిన్
వినియోగదారులు, అధికారాలు మరియు పాత్రలను నిర్వహించడం, లాగ్లు, నివేదికలు మరియు అలారాలను వీక్షించే సామర్థ్యం
మీరు OS స్థాయిలో విధానాలను మార్చలేరు లేదా విధులను నిర్వహించలేరు
MnT అడ్మిన్
పూర్తి పర్యవేక్షణ, నివేదికలు, అలారాలు, లాగ్లు మరియు వాటి నిర్వహణ
ఏ విధానాలను మార్చలేని అసమర్థత
నెట్వర్క్ పరికర నిర్వాహకుడు
ISE ఆబ్జెక్ట్లను సృష్టించడానికి మరియు మార్చడానికి హక్కులు, లాగ్లు, నివేదికలు, ప్రధాన డాష్బోర్డ్ను వీక్షించండి
మీరు OS స్థాయిలో విధానాలను మార్చలేరు లేదా విధులను నిర్వహించలేరు
పాలసీ అడ్మిన్
అన్ని విధానాల పూర్తి నిర్వహణ, ప్రొఫైల్లను మార్చడం, సెట్టింగ్లు, వీక్షణ నివేదికలు
ఆధారాలు, ISE ఆబ్జెక్ట్లతో సెట్టింగ్లను నిర్వహించలేకపోవడం
RBAC అడ్మిన్
ఆపరేషన్స్ ట్యాబ్లోని అన్ని సెట్టింగ్లు, ANC పాలసీ సెట్టింగ్లు, రిపోర్టింగ్ మేనేజ్మెంట్
మీరు ANC కాకుండా ఇతర విధానాలను మార్చలేరు లేదా OS స్థాయిలో విధులను నిర్వహించలేరు
సూపర్ అడ్మిన్
అన్ని సెట్టింగ్లకు హక్కులు, రిపోర్టింగ్ మరియు నిర్వహణ, నిర్వాహకుల ఆధారాలను తొలగించవచ్చు మరియు మార్చవచ్చు
మార్చడం సాధ్యం కాదు, సూపర్ అడ్మిన్ గ్రూప్ నుండి మరొక ప్రొఫైల్ను తొలగించండి
సిస్టమ్ అడ్మినిస్ట్రేషన్
ఆపరేషన్స్ ట్యాబ్లోని అన్ని సెట్టింగ్లు, సిస్టమ్ సెట్టింగ్లను నిర్వహించడం, ANC విధానం, వీక్షణ నివేదికలు
మీరు ANC కాకుండా ఇతర విధానాలను మార్చలేరు లేదా OS స్థాయిలో విధులను నిర్వహించలేరు
బాహ్య RESTful సేవలు (ERS) అడ్మిన్
Cisco ISE REST APIకి పూర్తి యాక్సెస్
స్థానిక వినియోగదారులు, హోస్ట్లు మరియు భద్రతా సమూహాల (SG) అధికారీకరణ, నిర్వహణ కోసం మాత్రమే
బాహ్య RESTful సేవలు (ERS) ఆపరేటర్
Cisco ISE REST API రీడ్ అనుమతులు
స్థానిక వినియోగదారులు, హోస్ట్లు మరియు భద్రతా సమూహాల (SG) అధికారీకరణ, నిర్వహణ కోసం మాత్రమే
మూర్తి 11. ముందే నిర్వచించిన సిస్కో ISE అడ్మినిస్ట్రేటర్ గ్రూపులు
8) ట్యాబ్లో అదనపువి ఆథరైజేషన్ > అనుమతులు > RBAC విధానం మీరు ముందే నిర్వచించబడిన నిర్వాహకుల హక్కులను సవరించవచ్చు.
మూర్తి 12. సిస్కో ISE అడ్మినిస్ట్రేటర్ ప్రీసెట్ ప్రొఫైల్ హక్కుల నిర్వహణ
9) ట్యాబ్లో అడ్మినిస్ట్రేషన్ > సిస్టమ్ > సెట్టింగ్లు అన్ని సిస్టమ్ సెట్టింగ్లు అందుబాటులో ఉన్నాయి (DNS, NTP, SMTP మరియు ఇతరులు). ప్రారంభ పరికరాన్ని ప్రారంభించేటప్పుడు మీరు వాటిని కోల్పోయినట్లయితే వాటిని ఇక్కడ పూరించవచ్చు.
5. ముగింపు
ఇది మొదటి వ్యాసాన్ని ముగించింది. మేము సిస్కో ISE NAC సొల్యూషన్ యొక్క ప్రభావం, దాని నిర్మాణం, కనీస అవసరాలు మరియు విస్తరణ ఎంపికలు మరియు ప్రారంభ ఇన్స్టాలేషన్ గురించి చర్చించాము.
తదుపరి కథనంలో, మేము ఖాతాలను సృష్టించడం, మైక్రోసాఫ్ట్ యాక్టివ్ డైరెక్టరీతో అనుసంధానం చేయడం మరియు అతిథి యాక్సెస్ని సృష్టించడం గురించి చూస్తాము.
మీకు ఈ అంశంపై ఏవైనా ప్రశ్నలు ఉంటే లేదా ఉత్పత్తిని పరీక్షించడంలో సహాయం కావాలంటే, దయచేసి సంప్రదించండి .
మా ఛానెల్లలో నవీకరణల కోసం వేచి ఉండండి (, , , , ).
మూలం: www.habr.com