1. Муқаддима
Ҳар як ширкат, ҳатто хурдтарин ширкат, ба аутентификатсия, авторизатсия ва баҳисобгирии корбар ниёз дорад (оилаи протоколҳои AAA). Дар марҳилаи аввал, AAA бо истифода аз протоколҳо ба монанди RADIUS, TACACS+ ва DIAMETER хеле хуб амалӣ карда мешавад. Бо вуҷуди ин, бо афзоиши шумораи корбарон ва ширкат, шумораи вазифаҳо низ меафзояд: дидани ҳадди аксар ҳостҳо ва дастгоҳҳои BYOD, аутентификатсияи бисёрсоҳавӣ, эҷоди сиёсати дастрасии бисёрсатҳа ва ғайра.
Барои чунин вазифаҳо синфи ҳалли NAC (Назорати дастрасӣ ба шабака) комил аст - назорати дастрасии шабака. Дар як катор маколахо бахшида ба
Иҷозат диҳед ба шумо мухтасар хотиррасон кунам, ки Cisco ISE ба шумо имкон медиҳад:
-
Дар WLAN-и махсус дастрасии меҳмононро зуд ва ба осонӣ эҷод кунед;
-
Дастгоҳҳои BYOD-ро ошкор кунед (масалан, компютерҳои хонагии кормандон, ки онҳо ба кор овардаанд);
-
Бо истифода аз тамғакоғазҳои гурӯҳи амнияти SGT сиёсатҳои амниятро дар саросари корбарони домен ва ғайридоменӣ мутамарказ ва татбиқ кунед
TrustSec ); -
Санҷиши компютерҳо барои муайян кардани нармафзори насбшуда ва мувофиқат ба стандартҳо (пост);
-
Тасниф ва профили нуқтаи ниҳоӣ ва дастгоҳҳои шабака;
-
Таъмини дидани нуқтаи ниҳоӣ;
-
Гузоришҳои рӯйдодҳои воридшавӣ/баромади корбарон, ҳисобҳои (шахсияти) онҳоро ба NGFW барои ташаккули сиёсати ба корбар асосёфта ирсол кунед;
-
Бо Cisco StealthWatch ҳамгироӣ кунед ва ҳостҳои шубҳанокеро, ки дар ҳодисаҳои амниятӣ иштирок мекунанд, карантин кунед (
бештар маълумот ); -
Ва дигар хусусиятҳои стандартӣ барои серверҳои AAA.
Ҳамкасбон дар ин соҳа аллакай дар бораи Cisco ISE навиштаанд, бинобар ин ман ба шумо маслиҳат медиҳам, ки хонед:
2. Меъморӣ
Меъмории муҳаррики Identity Services дорои 4 объект (гиреҳ) дорад: гиреҳи идоракунӣ ( гиреҳи маъмурияти сиёсат ), гиреҳи тақсимоти сиёсат ( гиреҳи хидмати сиёсат ), гиреҳи мониторинг ( гиреҳи мониторинг ) ва гиреҳи PxGrid ( гиреҳи PxGrid ). Cisco ISE метавонад дар як насби мустақил ё тақсимшуда бошад. Дар версияи мустақил, ҳама объектҳо дар як мошини виртуалӣ ё сервери физикӣ ҷойгиранд (Серверҳои шабакаи бехатар - SNS), дар версияи тақсимшуда гиреҳҳо дар байни дастгоҳҳои гуногун тақсим карда мешаванд.
Node Administration Policy (PAN) гиреҳи ҳатмист, ки ба шумо имкон медиҳад тамоми амалиёти маъмуриро дар Cisco ISE иҷро кунед. Он ҳама конфигуратсияҳои системаи марбут ба AAA-ро идора мекунад. Дар конфигуратсияи тақсимшуда (гиреҳҳоро ҳамчун мошинҳои алоҳидаи виртуалӣ насб кардан мумкин аст), шумо метавонед ҳадди аксар ду PAN-ро барои таҳаммулпазирии хатогӣ дошта бошед - Ҳолати фаъол/Интизорӣ.
Node Service Policy (PSN) як гиреҳи ҳатмист, ки дастрасии шабака, ҳолат, дастрасии меҳмонон, таъмини хидмати муштариён ва профилро таъмин мекунад. PSN сиёсатро арзёбӣ мекунад ва онро татбиқ мекунад. Одатан, PSN-ҳои сершумор насб карда мешаванд, махсусан дар конфигуратсияи тақсимшуда, барои амалиёти зиёдатӣ ва тақсимшуда. Албатта, онҳо кӯшиш мекунанд, ки ин гиреҳҳоро дар бахшҳои гуногун насб кунанд, то қобилияти дастрасии тасдиқшуда ва ваколатдорро барои як сония аз даст надиҳанд.
Мониторинг гиреҳ (MnT) як гиреҳи ҳатмист, ки гузоришҳои рӯйдодҳо, гузоришҳои гиреҳҳои дигар ва сиёсатҳоро дар шабака нигоҳ медорад. Гиреҳи MnT асбобҳои пешрафтаро барои назорат ва бартараф кардани мушкилот таъмин мекунад, маълумотҳои гуногунро ҷамъоварӣ ва мутақобила мекунад ва инчунин гузоришҳои пурмазмун пешкаш мекунад. Cisco ISE ба шумо имкон медиҳад, ки ҳадди аксар ду гиреҳи MnT дошта бошед ва ба ин васила таҳаммулпазирии хатогиҳоро эҷод кунед - Ҳолати фаъол/Интизорӣ. Аммо, гузоришҳо аз ҷониби ҳарду гиреҳ, ҳам фаъол ва ҳам ғайрифаъол ҷамъ карда мешаванд.
Node PxGrid (PXG) гиреҳест, ки протоколи PxGrid-ро истифода мебарад ва имкон медиҳад иртибот байни дастгоҳҳои дигаре, ки PxGrid-ро дастгирӣ мекунанд.
Дар конфигуратсияи дастрасии баланд, гиреҳҳои PxGrid маълумотро байни гиреҳҳо тавассути PAN такрор мекунанд. Агар PAN ғайрифаъол бошад, гиреҳи PxGrid аутентификатсия, иҷозат додан ва баҳисобгирии корбаронро қатъ мекунад.
Дар зер тасвири схематикии кори субъектҳои гуногуни Cisco ISE дар шабакаи корпоративӣ оварда шудааст.
Тасвири 1. Архитектураи Cisco ISE
3. Талабот
Cisco ISE метавонад ба монанди аксари ҳалли муосир, виртуалӣ ё физикӣ ҳамчун сервери алоҳида амалӣ карда шавад.
Дастгоҳҳои физикие, ки бо нармафзори Cisco ISE кор мекунанд, SNS (Secure Network Server) номида мешаванд. Онҳо дар се модел меоянд: SNS-3615, SNS-3655 ва SNS-3695 барои тиҷорати хурд, миёна ва калон. Дар ҷадвали 1 маълумот аз
Ҷадвали 1. Ҷадвали муқоисавии SNS барои миқёсҳои гуногун
Параметр
SNS 3615 (Хурд)
SNS 3655 (миёна)
SNS 3695 (Калон)
Шумораи нуқтаҳои дастгирӣшаванда дар насби мустақил
10000
25000
50000
Шумораи нуқтаҳои дастгирӣшаванда барои як PSN
10000
25000
100000
CPU (Intel Xeon 2.10 ГГц)
8 ядро
12 ядро
12 ядро
RAM
32 ГБ (2 x 16 ГБ)
96 ГБ (6 x 16 ГБ)
256 ГБ (16 x 16 ГБ)
HDD
1 x 600 ГБ
4 x 600 ГБ
8 x 600 ГБ
Рейди сахтафзор
нест
RAID 10, мавҷудияти контролери RAID
RAID 10, мавҷудияти контролери RAID
Интерфейсҳои шабакавӣ
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
Дар мавриди татбиқи виртуалӣ, гипервизорҳои дастгирӣшаванда VMware ESXi мебошанд (ҳадди ақали версияи VMware 11 барои ESXi 6.0 тавсия дода мешавад), Microsoft Hyper-V ва Linux KVM (RHEL 7.0). Сарчашмаҳо бояд тақрибан ба ҳамон ҷадвали дар боло овардашуда ё бештар аз он бошанд. Аммо, талаботи ҳадди ақал барои мошини виртуалии тиҷорати хурд инҳоянд: 2 CPU бо басомади 2.0 ГГц ва баландтар, 16 ГБ RAM и 200 GB HDD.
Барои тафсилоти дигари густариши Cisco ISE, лутфан тамос гиред
4. Насбкунӣ
Мисли аксари дигар маҳсулоти Cisco, ISE-ро бо чанд роҳ санҷидан мумкин аст:
-
dcloud – хадамоти абрии тарҳҳои лабораторияи қаблан насбшуда (ҳисоби Cisco лозим аст); -
Дархости GVE - дархост азсомона Cisco нармафзори муайян (усул барои шарикон). Шумо парвандаро бо тавсифи маъмулии зерин эҷод мекунед: Навъи маҳсулот [ISE], Software ISE [ise-2.7.0.356.SPA.x8664], Ямоқи ISE [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664]; -
лоиҳаи озмоишӣ — бо ягон шарики ваколатдор барои гузаронидани лоиҳаи озмоишии ройгон тамос гиред.
1) Пас аз сохтани мошини маҷозӣ, агар шумо файли ISO-ро дархост карда бошед, на қолаби OVA, равзана пайдо мешавад, ки дар он ISE аз шумо насб кардани насбро талаб мекунад. Барои ин, шумо бояд ба ҷои логин ва пароли худ нависед "ташкил кардан“!
Эзоҳ: агар шумо ISE-ро аз қолаби OVA ҷойгир карда бошед, пас тафсилоти воридшавӣ admin/MyIseYPass2 (ин ва бисьёр дигар чизхо дар расмй нишон дода шудаанд
Расми 2. Насб кардани Cisco ISE
2) Пас шумо бояд майдонҳои заруриро, ба монанди суроғаи IP, DNS, NTP ва ғайра пур кунед.
Расми 3. Оғозсозии Cisco ISE
3) Пас аз он, дастгоҳ бозоғоз мешавад ва шумо метавонед тавассути интерфейси веб бо истифода аз суроғаи IP-и қаблан муайяншуда пайваст шавед.
Тасвири 4. Интерфейси веб Cisco ISE
4) Дар ҷадвал Маъмурият > Система > Ҷойгиркунӣ шумо метавонед интихоб кунед, ки кадом гиреҳҳо (объектҳо) дар дастгоҳи мушаххас фаъоланд. Дар ин ҷо гиреҳи PxGrid фаъол карда шудааст.
Тасвири 5. Идоракунии объекти Cisco ISE
5) Сипас дар ҷадвал Маъмурият > Система > Дастрасии маъмур > Таъйид Ман тавсия медиҳам, ки сиёсати парол, усули аутентификатсия (шаҳодатнома ё парол), мӯҳлати эътибори ҳисоб ва дигар танзимотро муқаррар кунед.
Расми 6. Танзими навъи аутентификатсияТасвири 7. Танзимоти сиёсати паролТасвири 8. Танзими қатъи ҳисоб пас аз гузаштани мӯҳлатРасми 9. Танзими бастани ҳисоб
6) Дар ҷадвал Маъмурият > Система > Дастрасии маъмур > Администраторҳо > Истифодабарандагони администратор > Илова шумо метавонед администратори нав эҷод кунед.
Расми 10. Эҷоди маъмури маҳаллии Cisco ISE
7) Мудири нав метавонад ба як гурӯҳи нав ё гурӯҳҳои қаблан муайяншуда табдил дода шавад. Гурӯҳҳои маъмурӣ дар ҳамон панели ҷадвал идора карда мешаванд Гурӯҳҳои маъмурӣ. Ҷадвали 2 маълумотро дар бораи маъмурони ISE, ҳуқуқҳо ва нақшҳои онҳоро ҷамъбаст мекунад.
Ҷадвали 2. Гурӯҳҳои маъмурии Cisco ISE, сатҳҳои дастрасӣ, иҷозатҳо ва маҳдудиятҳо
Номи гурӯҳи администратор
Иҷозат
Маҳдудиятҳо
Администратори мутобиқсозӣ
Ташкили порталҳои меҳмонон ва сарпарастӣ, маъмурият ва мутобиқсозӣ
Қобилияти тағир додани сиёсат ё дидани гузоришҳо
Admin Desk Help
Имконияти дидани панели асосӣ, ҳама гузоришҳо, лармҳо ва ҷараёнҳои бартарафсозии мушкилот
Шумо наметавонед гузоришҳо, ҳушдорҳо ва гузоришҳои аутентификатсияро тағир диҳед, эҷод ё нест кунед
Администратори шахсият
Идоракунии корбарон, имтиёзҳо ва нақшҳо, қобилияти дидани гузоришҳо, гузоришҳо ва ҳушдорҳо
Шумо наметавонед сиёсатҳоро тағир диҳед ё вазифаҳоро дар сатҳи OS иҷро кунед
MnT Admin
Мониторинги пурра, гузоришҳо, ҳушдорҳо, гузоришҳо ва идоракунии онҳо
Қобилияти тағир додани ягон сиёсат
Администратори дастгоҳи шабакавӣ
Ҳуқуқҳо барои эҷод ва тағир додани объектҳои ISE, дидани гузоришҳо, гузоришҳо, панели асосӣ
Шумо наметавонед сиёсатҳоро тағир диҳед ё вазифаҳоро дар сатҳи OS иҷро кунед
Администратори сиёсат
Идоракунии пурраи ҳама сиёсатҳо, тағир додани профилҳо, танзимот, дидани гузоришҳо
Қобилияти иҷрои танзимот бо маълумоти эътимоднома, объектҳои ISE
Admin RBAC
Ҳама танзимот дар ҷадвали Амалиёт, танзимоти сиёсати ANC, идоракунии ҳисобот
Шумо наметавонед сиёсатҳои ғайр аз ANC-ро тағир диҳед ё вазифаҳоро дар сатҳи OS иҷро кунед
Super Admin
Ҳуқуқ ба ҳама танзимот, гузоришдиҳӣ ва идоракунӣ, метавонад маълумотномаҳои мудирро нест ва тағир диҳад
Тағйир додан мумкин нест, профили дигарро аз гурӯҳи Super Admin нест кунед
Admin Admin
Ҳама танзимот дар ҷадвали Амалиёт, идоракунии танзимоти система, сиёсати ANC, дидани гузоришҳо
Шумо наметавонед сиёсатҳои ғайр аз ANC-ро тағир диҳед ё вазифаҳоро дар сатҳи OS иҷро кунед
Хидматҳои берунии RESTful (ERS) Admin
Дастрасии пурра ба API Cisco ISE REST
Танҳо барои иҷозат, идоракунии корбарони маҳаллӣ, ҳостҳо ва гурӯҳҳои амниятӣ (SG)
Оператори хидматҳои берунии RESTful (ERS)
Cisco ISE REST API Иҷозатҳои хондан
Танҳо барои иҷозат, идоракунии корбарони маҳаллӣ, ҳостҳо ва гурӯҳҳои амниятӣ (SG)
Тасвири 11. Гурӯҳҳои маъмурии пешакии Cisco ISE
8) Иловаҳо дар ҷадвал Авторизатсия > Иҷозатҳо > Сиёсати RBAC Шумо метавонед ҳуқуқҳои мудирони пешакӣ муайяншударо таҳрир кунед.
Тасвири 12. Идоракунии ҳуқуқҳои профили Administrator Cisco ISE
9) Дар ҷадвал Маъмурият > Система > Танзимот Ҳама танзимоти система дастрасанд (DNS, NTP, SMTP ва дигарон). Шумо метавонед онҳоро дар ин ҷо пур кунед, агар шумо онҳоро ҳангоми оғозкунии ибтидоии дастгоҳ пазмон шуда бошед.
5. Хулоса
Ин мақолаи аввалро ба анҷом мерасонад. Мо самаранокии ҳалли Cisco ISE NAC, меъмории он, талаботҳои ҳадди ақал ва имконоти ҷойгиркунӣ ва насби ибтидоиро баррасӣ кардем.
Дар мақолаи навбатӣ, мо эҷод кардани ҳисобҳо, ҳамгироӣ бо Microsoft Active Directory ва эҷоди дастрасии меҳмононро дида мебароем.
Агар шумо дар ин мавзӯъ ягон савол дошта бошед ё дар озмоиши маҳсулот кӯмак талаб кунед, лутфан тамос гиред
Барои навсозиҳо ба каналҳои мо пайравӣ кунед (
Манбаъ: will.com