Gbogbo ile-iṣẹ, paapaa ọkan ti o kere julọ, ni iwulo fun ijẹrisi, aṣẹ ati iṣiro olumulo (AAA idile ti awọn ilana). Ni ipele ibẹrẹ, AAA ti ni imuse daradara ni lilo awọn ilana bii RADIUS, TACACS + ati DIAMETER. Bibẹẹkọ, bi nọmba awọn olumulo ati ile-iṣẹ naa ti n dagba, nọmba awọn iṣẹ-ṣiṣe tun dagba: hihan ti o pọju ti awọn ọmọ-ogun ati awọn ẹrọ BYOD, ijẹrisi ifosiwewe pupọ, ṣiṣẹda eto imulo wiwọle si ipele pupọ ati pupọ diẹ sii.
Fun iru awọn iṣẹ-ṣiṣe, NAC (Iṣakoso Wiwọle Nẹtiwọọki) kilasi awọn ojutu jẹ pipe - iṣakoso wiwọle nẹtiwọki. Ni kan lẹsẹsẹ ti ìwé igbẹhin si Cisco ISE (Ẹnjini Awọn Iṣẹ Idanimọ) - Ojutu NAC fun ipese iṣakoso wiwọle-ọrọ-ọrọ si awọn olumulo lori nẹtiwọọki inu, a yoo wo alaye alaye ni faaji, ipese, iṣeto ni ati iwe-aṣẹ ojutu.
Jẹ ki n leti ni ṣoki pe Sisiko ISE gba ọ laaye lati:
Ni kiakia ati irọrun ṣẹda wiwọle alejo lori WLAN igbẹhin;
Wa awọn ẹrọ BYOD (fun apẹẹrẹ, awọn PC ile ti awọn oṣiṣẹ ti wọn mu wa si iṣẹ);
Ṣe aarin ati fi ipa mu awọn ilana aabo kọja agbegbe ati awọn olumulo ti kii ṣe aaye nipa lilo awọn aami ẹgbẹ aabo SGT TrustSec);
Ṣayẹwo awọn kọnputa fun sọfitiwia kan ti a fi sori ẹrọ ati ibamu pẹlu awọn iṣedede (ifiranṣẹ);
Ṣe iyasọtọ ati aaye ipari profaili ati awọn ẹrọ nẹtiwọọki;
Pese hihan opin;
Firanṣẹ awọn akọọlẹ iṣẹlẹ ti logon / logoff ti awọn olumulo, awọn akọọlẹ wọn (idanimọ) si NGFW lati ṣe agbekalẹ eto-orisun olumulo;
Ṣepọ ni abinibi pẹlu Sisiko StealthWatch ati iyasọtọ awọn ogun ifura ti o ni ipa ninu awọn iṣẹlẹ aabo (awọn alaye diẹ sii);
Itumọ ẹrọ Awọn iṣẹ Idanimọ ni awọn nkan 4 (awọn apa): ipade iṣakoso kan (Node ipinfunni Eto imulo), ipade pinpin eto imulo (Node Iṣẹ Ilana), ipade ibojuwo (Node Abojuto) ati ipade PxGrid kan (PxGrid Node). Sisiko ISE le wa ni imurasilẹ tabi fifi sori ẹrọ pinpin. Ninu ẹya Standalone, gbogbo awọn ile-iṣẹ wa lori ẹrọ foju kan tabi olupin ti ara (Awọn olupin Nẹtiwọọki Aabo - SNS), lakoko ti o wa ninu ẹya Pipin, awọn apa ti pin kaakiri awọn ẹrọ oriṣiriṣi.
Ipade ipinfunni eto imulo (PAN) jẹ ipade ti a beere ti o fun ọ laaye lati ṣe gbogbo awọn iṣẹ iṣakoso lori Sisiko ISE. O ṣe itọju gbogbo awọn atunto eto ti o jọmọ AAA. Ninu iṣeto ti a pin (awọn apa le fi sori ẹrọ bi awọn ẹrọ foju ọtọtọ), o le ni iwọn awọn PAN meji ti o pọju fun ifarada ẹbi - Ipo ti nṣiṣe lọwọ / Imurasilẹ.
Node Iṣẹ Ilana (PSN) jẹ oju ipade ti o jẹ dandan ti o pese iraye si nẹtiwọọki, ipinlẹ, iraye si alejo, ipese iṣẹ alabara, ati profaili. PSN ṣe iṣiro eto imulo naa o si lo. Ni deede, ọpọlọpọ awọn PSN ti wa ni fifi sori ẹrọ, ni pataki ni atunto pinpin, fun iṣẹ ṣiṣe diẹ sii ati pinpin. Nitoribẹẹ, wọn gbiyanju lati fi sori ẹrọ awọn apa wọnyi ni awọn apakan oriṣiriṣi ki o má ba padanu agbara lati pese iraye si ifọwọsi ati aṣẹ fun iṣẹju kan.
Node Abojuto (MnT) jẹ oju ipade dandan ti o tọju awọn akọọlẹ iṣẹlẹ, awọn akọọlẹ ti awọn apa miiran ati awọn eto imulo lori nẹtiwọọki. Node MnT n pese awọn irinṣẹ to ti ni ilọsiwaju fun ibojuwo ati laasigbotitusita, gba ati ṣe atunṣe awọn oriṣiriṣi data, ati tun pese awọn ijabọ to nilari. Cisco ISE faye gba o lati ni kan ti o pọju meji MnT apa, nitorina ṣiṣẹda ẹbi ifarada - lọwọ / Imurasilẹ mode. Sibẹsibẹ, awọn akọọlẹ ni a gba nipasẹ awọn apa mejeeji, mejeeji ti nṣiṣe lọwọ ati palolo.
Node PxGrid (PXG) jẹ ipade ti o nlo ilana PxGrid ati gba laaye ibaraẹnisọrọ laarin awọn ẹrọ miiran ti o ṣe atilẹyin PxGrid.
PxGrid - Ilana kan ti o ṣe idaniloju isọpọ ti IT ati awọn ọja amayederun aabo alaye lati ọdọ awọn olutaja oriṣiriṣi: awọn eto ibojuwo, wiwa ifọle ati awọn eto idena, awọn iru ẹrọ iṣakoso eto imulo aabo ati ọpọlọpọ awọn solusan miiran. Cisco PxGrid ngbanilaaye lati pin ọrọ-ọrọ ni ọna unidirectional tabi bidirectional pẹlu ọpọlọpọ awọn iru ẹrọ laisi iwulo fun API, nitorinaa mu imọ-ẹrọ ṣiṣẹ. TrustSec (Awọn afi SGT), yipada ati lo eto imulo ANC (Iṣakoso Nẹtiwọọki Adaptive), bakanna bi ṣiṣe profaili - ṣiṣe ipinnu awoṣe ẹrọ, OS, ipo, ati diẹ sii.
Ni iṣeto wiwa giga, awọn apa PxGrid ṣe alaye alaye laarin awọn apa lori PAN kan. Ti PAN ba jẹ alaabo, node PxGrid duro jijẹri, fifun ni aṣẹ, ati ṣiṣe iṣiro fun awọn olumulo.
Ni isalẹ jẹ aṣoju sikematiki ti iṣiṣẹ ti awọn oriṣiriṣi awọn nkan Sisiko ISE ni nẹtiwọọki ajọṣepọ kan.
olusin 1. Cisco ISE Architecture
3. Awọn ibeere
Sisiko ISE le ṣe imuse, bii ọpọlọpọ awọn solusan ode oni, fere tabi ti ara bi olupin lọtọ.
Awọn ẹrọ ti ara nṣiṣẹ Sisiko ISE software ni a npe ni SNS (Secure Network Server). Wọn wa ni awọn awoṣe mẹta: SNS-3615, SNS-3655 ati SNS-3695 fun awọn iṣowo kekere, alabọde ati nla. Table 1 fihan alaye lati iwe data SNS.
Table 1. Lafiwe tabili ti SNS fun o yatọ si irẹjẹ
Apaadi
SNS 3615 (Kekere)
SNS 3655 (Alabọde)
SNS 3695 (Ti o tobi)
Nọmba awọn aaye ipari ti o ni atilẹyin ni fifi sori Standalone
10000
25000
50000
Nọmba awọn aaye ipari atilẹyin fun PSN
10000
25000
100000
Sipiyu (Intel Xeon 2.10 GHz)
8 ohun kohun
12 ohun kohun
12 ohun kohun
Ramu
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1 x 600 GB
4 x 600 GB
8 x 600 GB
Hardware igbogun ti
No
RAID 10, wiwa ti oludari RAID
RAID 10, wiwa ti oludari RAID
Awọn atọkun nẹtiwọki
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
Nipa awọn imuse foju, awọn hypervisors ti o ni atilẹyin jẹ VMware ESXi (ẹya VMware ti o kere ju 11 fun ESXi 6.0 ni a ṣe iṣeduro), Microsoft Hyper-V ati Linux KVM (RHEL 7.0). Awọn orisun yẹ ki o jẹ isunmọ kanna bi ninu tabili loke, tabi diẹ sii. Sibẹsibẹ, awọn ibeere to kere julọ fun ẹrọ foju iṣowo kekere jẹ: 2 Sipiyu pẹlu igbohunsafẹfẹ ti 2.0 GHz ati giga julọ, 16 GB Ramu и 200 GBHDD.
Bii ọpọlọpọ awọn ọja Sisiko miiran, ISE le ṣe idanwo ni awọn ọna pupọ:
dcloud - iṣẹ awọsanma ti awọn ipilẹ yàrá ti a ti fi sii tẹlẹ (Akọọlẹ Cisco beere);
GVE ibeere – ìbéèrè lati ojúlé náà Cisco ti awọn software (ọna fun awọn alabašepọ). O ṣẹda ọran pẹlu apejuwe aṣoju wọnyi: Iru ọja [ISE], ISE Software [ise-2.7.0.356.SPA.x8664], ISE Patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
awaoko ise agbese - kan si alabaṣepọ eyikeyi ti a fun ni aṣẹ lati ṣe iṣẹ akanṣe awakọ ọfẹ.
1) Lẹhin ṣiṣẹda ẹrọ foju kan, ti o ba beere faili ISO kan kii ṣe awoṣe OVA, window kan yoo gbe jade ninu eyiti ISE nilo ki o yan fifi sori ẹrọ kan. Lati ṣe eyi, dipo wiwọle ati ọrọ igbaniwọle rẹ, o yẹ ki o kọ "ṣeto"!
akiyesi: ti o ba gbe ISE lati awoṣe OVA, lẹhinna awọn alaye iwọle abojuto / MyIseYPass2 (eyi ati pupọ diẹ sii ni itọkasi ninu osise naa itọnisọna).
olusin 2. Fifi Cisco ISE
2) Lẹhinna o yẹ ki o fọwọsi awọn aaye ti o nilo gẹgẹbi adiresi IP, DNS, NTP ati awọn omiiran.
olusin 3. Initializing Cisco ISE
3) Lẹhin iyẹn, ẹrọ naa yoo tun bẹrẹ, ati pe iwọ yoo ni anfani lati sopọ nipasẹ wiwo wẹẹbu nipa lilo adiresi IP ti a ti sọ tẹlẹ.
olusin 4. Cisco ISE Web Interface
4) Ninu taabu Isakoso> Eto> Gbigbe o le yan iru apa (awọn ohun elo) ti o ṣiṣẹ lori ẹrọ kan pato. Oju ipade PxGrid ti ṣiṣẹ nibi.
olusin 5. Cisco ISE Eniti o Management
5) Lẹhinna ni taabu Isakoso> Eto> Wiwọle abojuto>Ijeri Mo ṣeduro eto imulo ọrọ igbaniwọle kan, ọna ijẹrisi (iwe-ẹri tabi ọrọ igbaniwọle), ọjọ ipari iroyin, ati awọn eto miiran.
olusin 6. Ijeri iru etoolusin 7. Ọrọigbaniwọle eto imuloṢe nọmba 8. Ṣiṣeto titiipa iroyin lẹhin akoko ti pariṢe nọmba 9. Ṣiṣeto titiipa iroyin
6) Ninu taabu Isakoso> Eto> Wiwọle abojuto> Awọn alabojuto> Awọn olumulo abojuto> Fikun-un o le ṣẹda titun kan IT.
olusin 10. Ṣiṣẹda Agbegbe Cisco ISE IT
7) Alakoso tuntun le jẹ apakan ti ẹgbẹ tuntun tabi awọn ẹgbẹ ti a ti yan tẹlẹ. Awọn ẹgbẹ alakoso ni a ṣakoso ni igbimọ kanna ni taabu Awọn ẹgbẹ Alakoso. Tabili 2 ṣe akopọ alaye nipa awọn alabojuto ISE, awọn ẹtọ ati awọn ipa wọn.
Tabili 2. Awọn ẹgbẹ Alakoso Cisco ISE, Awọn ipele Wiwọle, Awọn igbanilaaye, ati Awọn ihamọ
Orukọ ẹgbẹ alakoso
Awọn igbanilaaye
Awọn idiwọn
Abojuto isọdi
Ṣiṣeto alejo ati awọn ọna abawọle onigbowo, iṣakoso ati isọdi
Ailagbara lati yi awọn eto imulo pada tabi wo awọn ijabọ
Helpdesk Abojuto
Agbara lati wo dasibodu akọkọ, gbogbo awọn ijabọ, larms ati awọn ṣiṣan laasigbotitusita
O ko le yipada, ṣẹda tabi paarẹ awọn ijabọ, awọn itaniji ati awọn akọọlẹ ijẹrisi
Abojuto idanimọ
Ṣiṣakoso awọn olumulo, awọn anfani ati awọn ipa, agbara lati wo awọn akọọlẹ, awọn ijabọ ati awọn itaniji
O ko le yi awọn eto imulo pada tabi ṣe awọn iṣẹ ṣiṣe ni ipele OS
Alakoso MnT
Abojuto ni kikun, awọn ijabọ, awọn itaniji, awọn akọọlẹ ati iṣakoso wọn
Ailagbara lati yi awọn eto imulo eyikeyi pada
Alabojuto Ẹrọ Nẹtiwọọki
Awọn ẹtọ lati ṣẹda ati yi awọn nkan ISE pada, wo awọn akọọlẹ, awọn ijabọ, dasibodu akọkọ
O ko le yi awọn eto imulo pada tabi ṣe awọn iṣẹ ṣiṣe ni ipele OS
Alakoso Ilana
Isakoso ni kikun ti gbogbo awọn eto imulo, awọn profaili iyipada, awọn eto, awọn ijabọ wiwo
Ailagbara lati ṣe awọn eto pẹlu awọn iwe-ẹri, awọn nkan ISE
Alakoso RBAC
Gbogbo eto inu taabu Awọn iṣẹ, awọn eto eto imulo ANC, iṣakoso ijabọ
O ko le yi awọn eto imulo miiran yatọ si ANC tabi ṣe awọn iṣẹ ṣiṣe ni ipele OS
Super Abojuto
Awọn ẹtọ si gbogbo eto, ijabọ ati iṣakoso, le paarẹ ati yi awọn iwe-ẹri oluṣakoso pada
Ko le yipada, pa profaili miiran rẹ lati ẹgbẹ Super Admin
System Abojuto
Gbogbo eto inu taabu Awọn iṣẹ, ṣiṣakoso awọn eto eto, eto ANC, awọn ijabọ wiwo
O ko le yi awọn eto imulo miiran yatọ si ANC tabi ṣe awọn iṣẹ ṣiṣe ni ipele OS
Awọn iṣẹ RESTful ita (ERS) Abojuto
Wiwọle ni kikun si Cisco ISE REST API
Nikan fun aṣẹ, iṣakoso ti awọn olumulo agbegbe, awọn agbalejo ati awọn ẹgbẹ aabo (SG)
Ita RESTful Services (ERS) onišẹ
Cisco ISE REST API Awọn igbanilaaye kika
Nikan fun aṣẹ, iṣakoso ti awọn olumulo agbegbe, awọn agbalejo ati awọn ẹgbẹ aabo (SG)
olusin 11. Tẹlẹ Cisco ISE Administrator Groups
8) Iyan ninu taabu Aṣẹ> Awọn igbanilaaye> Ilana RBAC O le ṣatunkọ awọn ẹtọ ti awọn alabojuto ti a ti pinnu tẹlẹ.
olusin 12. Cisco ISE Administrator Tto Profaili Rights Management
9) Ninu taabu Isakoso> Eto> EtoGbogbo eto eto wa (DNS, NTP, SMTP ati awọn miiran). O le fọwọsi wọn nibi ti o ba padanu wọn lakoko ibẹrẹ ẹrọ akọkọ.
5. Ipari
Eyi pari nkan akọkọ. A jiroro lori imunadoko ti ojutu Sisiko ISE NAC, faaji rẹ, awọn ibeere to kere julọ ati awọn aṣayan imuṣiṣẹ, ati fifi sori ẹrọ ni ibẹrẹ.
Ninu nkan ti o tẹle, a yoo wo ṣiṣẹda awọn akọọlẹ, ṣiṣepọ pẹlu Microsoft Active Directory, ati ṣiṣẹda iraye si alejo.
Ti o ba ni awọn ibeere nipa koko yii tabi nilo iranlọwọ ṣe idanwo ọja naa, jọwọ kan si ọna asopọ.