ProHoster > Блог > Isakoso > Cisco ISE: ifihan, ibeere, fifi sori. Apa 1

Cisco ISE: ifihan, ibeere, fifi sori. Apa 1

Cisco ISE: ifihan, ibeere, fifi sori. Apa 1

1. Ifihan

Gbogbo ile-iṣẹ, paapaa ọkan ti o kere julọ, ni iwulo fun ijẹrisi, aṣẹ ati iṣiro olumulo (AAA idile ti awọn ilana). Ni ipele ibẹrẹ, AAA ti ni imuse daradara ni lilo awọn ilana bii RADIUS, TACACS + ati DIAMETER. Bibẹẹkọ, bi nọmba awọn olumulo ati ile-iṣẹ naa ti n dagba, nọmba awọn iṣẹ-ṣiṣe tun dagba: hihan ti o pọju ti awọn ọmọ-ogun ati awọn ẹrọ BYOD, ijẹrisi ifosiwewe pupọ, ṣiṣẹda eto imulo wiwọle si ipele pupọ ati pupọ diẹ sii.

Fun iru awọn iṣẹ-ṣiṣe, NAC (Iṣakoso Wiwọle Nẹtiwọọki) kilasi awọn ojutu jẹ pipe - iṣakoso wiwọle nẹtiwọki. Ni kan lẹsẹsẹ ti ìwé igbẹhin si Cisco ISE (Ẹnjini Awọn Iṣẹ Idanimọ) - Ojutu NAC fun ipese iṣakoso wiwọle-ọrọ-ọrọ si awọn olumulo lori nẹtiwọọki inu, a yoo wo alaye alaye ni faaji, ipese, iṣeto ni ati iwe-aṣẹ ojutu.

Jẹ ki n leti ni ṣoki pe Sisiko ISE gba ọ laaye lati:

  • Ni kiakia ati irọrun ṣẹda wiwọle alejo lori WLAN igbẹhin;

  • Wa awọn ẹrọ BYOD (fun apẹẹrẹ, awọn PC ile ti awọn oṣiṣẹ ti wọn mu wa si iṣẹ);

  • Ṣe aarin ati fi ipa mu awọn ilana aabo kọja agbegbe ati awọn olumulo ti kii ṣe aaye nipa lilo awọn aami ẹgbẹ aabo SGT TrustSec);

  • Ṣayẹwo awọn kọnputa fun sọfitiwia kan ti a fi sori ẹrọ ati ibamu pẹlu awọn iṣedede (ifiranṣẹ);

  • Ṣe iyasọtọ ati aaye ipari profaili ati awọn ẹrọ nẹtiwọọki;

  • Pese hihan opin;

  • Firanṣẹ awọn akọọlẹ iṣẹlẹ ti logon / logoff ti awọn olumulo, awọn akọọlẹ wọn (idanimọ) si NGFW lati ṣe agbekalẹ eto-orisun olumulo;

  • Ṣepọ ni abinibi pẹlu Sisiko StealthWatch ati iyasọtọ awọn ogun ifura ti o ni ipa ninu awọn iṣẹlẹ aabo (awọn alaye diẹ sii);

  • Ati awọn ẹya miiran boṣewa fun awọn olupin AAA.

Awọn ẹlẹgbẹ ninu ile-iṣẹ naa ti kọ tẹlẹ nipa Sisiko ISE, nitorinaa Mo gba ọ ni imọran lati ka: Cisco ISE imuse iwa, Bawo ni lati Mura fun Sisiko ISE imuse.

2. Faaji

Itumọ ẹrọ Awọn iṣẹ Idanimọ ni awọn nkan 4 (awọn apa): ipade iṣakoso kan (Node ipinfunni Eto imulo), ipade pinpin eto imulo (Node Iṣẹ Ilana), ipade ibojuwo (Node Abojuto) ati ipade PxGrid kan (PxGrid Node). Sisiko ISE le wa ni imurasilẹ tabi fifi sori ẹrọ pinpin. Ninu ẹya Standalone, gbogbo awọn ile-iṣẹ wa lori ẹrọ foju kan tabi olupin ti ara (Awọn olupin Nẹtiwọọki Aabo - SNS), lakoko ti o wa ninu ẹya Pipin, awọn apa ti pin kaakiri awọn ẹrọ oriṣiriṣi.

Ipade ipinfunni eto imulo (PAN) jẹ ipade ti a beere ti o fun ọ laaye lati ṣe gbogbo awọn iṣẹ iṣakoso lori Sisiko ISE. O ṣe itọju gbogbo awọn atunto eto ti o jọmọ AAA. Ninu iṣeto ti a pin (awọn apa le fi sori ẹrọ bi awọn ẹrọ foju ọtọtọ), o le ni iwọn awọn PAN meji ti o pọju fun ifarada ẹbi - Ipo ti nṣiṣe lọwọ / Imurasilẹ.

Node Iṣẹ Ilana (PSN) jẹ oju ipade ti o jẹ dandan ti o pese iraye si nẹtiwọọki, ipinlẹ, iraye si alejo, ipese iṣẹ alabara, ati profaili. PSN ṣe iṣiro eto imulo naa o si lo. Ni deede, ọpọlọpọ awọn PSN ti wa ni fifi sori ẹrọ, ni pataki ni atunto pinpin, fun iṣẹ ṣiṣe diẹ sii ati pinpin. Nitoribẹẹ, wọn gbiyanju lati fi sori ẹrọ awọn apa wọnyi ni awọn apakan oriṣiriṣi ki o má ba padanu agbara lati pese iraye si ifọwọsi ati aṣẹ fun iṣẹju kan.

Node Abojuto (MnT) jẹ oju ipade dandan ti o tọju awọn akọọlẹ iṣẹlẹ, awọn akọọlẹ ti awọn apa miiran ati awọn eto imulo lori nẹtiwọọki. Node MnT n pese awọn irinṣẹ to ti ni ilọsiwaju fun ibojuwo ati laasigbotitusita, gba ati ṣe atunṣe awọn oriṣiriṣi data, ati tun pese awọn ijabọ to nilari. Cisco ISE faye gba o lati ni kan ti o pọju meji MnT apa, nitorina ṣiṣẹda ẹbi ifarada - lọwọ / Imurasilẹ mode. Sibẹsibẹ, awọn akọọlẹ ni a gba nipasẹ awọn apa mejeeji, mejeeji ti nṣiṣe lọwọ ati palolo.

Node PxGrid (PXG) jẹ ipade ti o nlo ilana PxGrid ati gba laaye ibaraẹnisọrọ laarin awọn ẹrọ miiran ti o ṣe atilẹyin PxGrid.

PxGrid  - Ilana kan ti o ṣe idaniloju isọpọ ti IT ati awọn ọja amayederun aabo alaye lati ọdọ awọn olutaja oriṣiriṣi: awọn eto ibojuwo, wiwa ifọle ati awọn eto idena, awọn iru ẹrọ iṣakoso eto imulo aabo ati ọpọlọpọ awọn solusan miiran. Cisco PxGrid ngbanilaaye lati pin ọrọ-ọrọ ni ọna unidirectional tabi bidirectional pẹlu ọpọlọpọ awọn iru ẹrọ laisi iwulo fun API, nitorinaa mu imọ-ẹrọ ṣiṣẹ. TrustSec (Awọn afi SGT), yipada ati lo eto imulo ANC (Iṣakoso Nẹtiwọọki Adaptive), bakanna bi ṣiṣe profaili - ṣiṣe ipinnu awoṣe ẹrọ, OS, ipo, ati diẹ sii.

Ni iṣeto wiwa giga, awọn apa PxGrid ṣe alaye alaye laarin awọn apa lori PAN kan. Ti PAN ba jẹ alaabo, node PxGrid duro jijẹri, fifun ni aṣẹ, ati ṣiṣe iṣiro fun awọn olumulo. 

Ni isalẹ jẹ aṣoju sikematiki ti iṣiṣẹ ti awọn oriṣiriṣi awọn nkan Sisiko ISE ni nẹtiwọọki ajọṣepọ kan.

Cisco ISE: ifihan, ibeere, fifi sori. Apa 1olusin 1. Cisco ISE Architecture

3. Awọn ibeere

Sisiko ISE le ṣe imuse, bii ọpọlọpọ awọn solusan ode oni, fere tabi ti ara bi olupin lọtọ. 

Awọn ẹrọ ti ara nṣiṣẹ Sisiko ISE software ni a npe ni SNS (Secure Network Server). Wọn wa ni awọn awoṣe mẹta: SNS-3615, SNS-3655 ati SNS-3695 fun awọn iṣowo kekere, alabọde ati nla. Table 1 fihan alaye lati iwe data SNS.

Table 1. Lafiwe tabili ti SNS fun o yatọ si irẹjẹ

Apaadi

SNS 3615 (Kekere)

SNS 3655 (Alabọde)

SNS 3695 (Ti o tobi)

Nọmba awọn aaye ipari ti o ni atilẹyin ni fifi sori Standalone

10000

25000

50000

Nọmba awọn aaye ipari atilẹyin fun PSN

10000

25000

100000

Sipiyu (Intel Xeon 2.10 GHz)

8 ohun kohun

12 ohun kohun

12 ohun kohun

Ramu 

32 GB (2 x 16 GB)

96 GB (6 x 16 GB)

256 GB (16 x 16 GB)

HDD

1 x 600 GB

4 x 600 GB

8 x 600 GB

Hardware igbogun ti

No

RAID 10, wiwa ti oludari RAID

RAID 10, wiwa ti oludari RAID

Awọn atọkun nẹtiwọki

2 x 10Gbase-T

4 x 1Gbase-T 

2 x 10Gbase-T

4 x 1Gbase-T 

2 x 10Gbase-T

4 x 1Gbase-T

Nipa awọn imuse foju, awọn hypervisors ti o ni atilẹyin jẹ VMware ESXi (ẹya VMware ti o kere ju 11 fun ESXi 6.0 ni a ṣe iṣeduro), Microsoft Hyper-V ati Linux KVM (RHEL 7.0). Awọn orisun yẹ ki o jẹ isunmọ kanna bi ninu tabili loke, tabi diẹ sii. Sibẹsibẹ, awọn ibeere to kere julọ fun ẹrọ foju iṣowo kekere jẹ: 2 Sipiyu pẹlu igbohunsafẹfẹ ti 2.0 GHz ati giga julọ, 16 GB Ramu и 200 GB HDD. 

Fun awọn alaye imuṣiṣẹ Cisco ISE miiran, jọwọ kan si si wa tabi si awọn oluşewadi # 1, awọn oluşewadi # 2.

4. fifi sori

Bii ọpọlọpọ awọn ọja Sisiko miiran, ISE le ṣe idanwo ni awọn ọna pupọ:

  • dcloud - iṣẹ awọsanma ti awọn ipilẹ yàrá ti a ti fi sii tẹlẹ (Akọọlẹ Cisco beere);

  • GVE ibeere – ìbéèrè lati ojúlé náà Cisco ti awọn software (ọna fun awọn alabašepọ). O ṣẹda ọran pẹlu apejuwe aṣoju wọnyi: Iru ọja [ISE], ISE Software [ise-2.7.0.356.SPA.x8664], ISE Patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];

  • awaoko ise agbese - kan si alabaṣepọ eyikeyi ti a fun ni aṣẹ lati ṣe iṣẹ akanṣe awakọ ọfẹ.

1) Lẹhin ṣiṣẹda ẹrọ foju kan, ti o ba beere faili ISO kan kii ṣe awoṣe OVA, window kan yoo gbe jade ninu eyiti ISE nilo ki o yan fifi sori ẹrọ kan. Lati ṣe eyi, dipo wiwọle ati ọrọ igbaniwọle rẹ, o yẹ ki o kọ "ṣeto"!

akiyesi: ti o ba gbe ISE lati awoṣe OVA, lẹhinna awọn alaye iwọle abojuto / MyIseYPass2 (eyi ati pupọ diẹ sii ni itọkasi ninu osise naa itọnisọna).

Cisco ISE: ifihan, ibeere, fifi sori. Apa 1olusin 2. Fifi Cisco ISE

2) Lẹhinna o yẹ ki o fọwọsi awọn aaye ti o nilo gẹgẹbi adiresi IP, DNS, NTP ati awọn omiiran.

Cisco ISE: ifihan, ibeere, fifi sori. Apa 1olusin 3. Initializing Cisco ISE

3) Lẹhin iyẹn, ẹrọ naa yoo tun bẹrẹ, ati pe iwọ yoo ni anfani lati sopọ nipasẹ wiwo wẹẹbu nipa lilo adiresi IP ti a ti sọ tẹlẹ.

Cisco ISE: ifihan, ibeere, fifi sori. Apa 1olusin 4. Cisco ISE Web Interface

4) Ninu taabu Isakoso> Eto> Gbigbe o le yan iru apa (awọn ohun elo) ti o ṣiṣẹ lori ẹrọ kan pato. Oju ipade PxGrid ti ṣiṣẹ nibi.

Cisco ISE: ifihan, ibeere, fifi sori. Apa 1olusin 5. Cisco ISE Eniti o Management

5) Lẹhinna ni taabu Isakoso> Eto> Wiwọle abojuto> Ijeri Mo ṣeduro eto imulo ọrọ igbaniwọle kan, ọna ijẹrisi (iwe-ẹri tabi ọrọ igbaniwọle), ọjọ ipari iroyin, ati awọn eto miiran.

Cisco ISE: ifihan, ibeere, fifi sori. Apa 1olusin 6. Ijeri iru etoCisco ISE: ifihan, ibeere, fifi sori. Apa 1olusin 7. Ọrọigbaniwọle eto imuloCisco ISE: ifihan, ibeere, fifi sori. Apa 1Ṣe nọmba 8. Ṣiṣeto titiipa iroyin lẹhin akoko ti pariCisco ISE: ifihan, ibeere, fifi sori. Apa 1Ṣe nọmba 9. Ṣiṣeto titiipa iroyin

6) Ninu taabu Isakoso> Eto> Wiwọle abojuto> Awọn alabojuto> Awọn olumulo abojuto> Fikun-un o le ṣẹda titun kan IT.

Cisco ISE: ifihan, ibeere, fifi sori. Apa 1olusin 10. Ṣiṣẹda Agbegbe Cisco ISE IT

7) Alakoso tuntun le jẹ apakan ti ẹgbẹ tuntun tabi awọn ẹgbẹ ti a ti yan tẹlẹ. Awọn ẹgbẹ alakoso ni a ṣakoso ni igbimọ kanna ni taabu Awọn ẹgbẹ Alakoso. Tabili 2 ṣe akopọ alaye nipa awọn alabojuto ISE, awọn ẹtọ ati awọn ipa wọn.

Tabili 2. Awọn ẹgbẹ Alakoso Cisco ISE, Awọn ipele Wiwọle, Awọn igbanilaaye, ati Awọn ihamọ

Orukọ ẹgbẹ alakoso

Awọn igbanilaaye

Awọn idiwọn

Abojuto isọdi

Ṣiṣeto alejo ati awọn ọna abawọle onigbowo, iṣakoso ati isọdi

Ailagbara lati yi awọn eto imulo pada tabi wo awọn ijabọ

Helpdesk Abojuto

Agbara lati wo dasibodu akọkọ, gbogbo awọn ijabọ, larms ati awọn ṣiṣan laasigbotitusita

O ko le yipada, ṣẹda tabi paarẹ awọn ijabọ, awọn itaniji ati awọn akọọlẹ ijẹrisi

Abojuto idanimọ

Ṣiṣakoso awọn olumulo, awọn anfani ati awọn ipa, agbara lati wo awọn akọọlẹ, awọn ijabọ ati awọn itaniji

O ko le yi awọn eto imulo pada tabi ṣe awọn iṣẹ ṣiṣe ni ipele OS

Alakoso MnT

Abojuto ni kikun, awọn ijabọ, awọn itaniji, awọn akọọlẹ ati iṣakoso wọn

Ailagbara lati yi awọn eto imulo eyikeyi pada

Alabojuto Ẹrọ Nẹtiwọọki

Awọn ẹtọ lati ṣẹda ati yi awọn nkan ISE pada, wo awọn akọọlẹ, awọn ijabọ, dasibodu akọkọ

O ko le yi awọn eto imulo pada tabi ṣe awọn iṣẹ ṣiṣe ni ipele OS

Alakoso Ilana

Isakoso ni kikun ti gbogbo awọn eto imulo, awọn profaili iyipada, awọn eto, awọn ijabọ wiwo

Ailagbara lati ṣe awọn eto pẹlu awọn iwe-ẹri, awọn nkan ISE

Alakoso RBAC

Gbogbo eto inu taabu Awọn iṣẹ, awọn eto eto imulo ANC, iṣakoso ijabọ

O ko le yi awọn eto imulo miiran yatọ si ANC tabi ṣe awọn iṣẹ ṣiṣe ni ipele OS

Super Abojuto

Awọn ẹtọ si gbogbo eto, ijabọ ati iṣakoso, le paarẹ ati yi awọn iwe-ẹri oluṣakoso pada

Ko le yipada, pa profaili miiran rẹ lati ẹgbẹ Super Admin

System Abojuto

Gbogbo eto inu taabu Awọn iṣẹ, ṣiṣakoso awọn eto eto, eto ANC, awọn ijabọ wiwo

O ko le yi awọn eto imulo miiran yatọ si ANC tabi ṣe awọn iṣẹ ṣiṣe ni ipele OS

Awọn iṣẹ RESTful ita (ERS) Abojuto

Wiwọle ni kikun si Cisco ISE REST API

Nikan fun aṣẹ, iṣakoso ti awọn olumulo agbegbe, awọn agbalejo ati awọn ẹgbẹ aabo (SG)

Ita RESTful Services (ERS) onišẹ

Cisco ISE REST API Awọn igbanilaaye kika

Nikan fun aṣẹ, iṣakoso ti awọn olumulo agbegbe, awọn agbalejo ati awọn ẹgbẹ aabo (SG)

Cisco ISE: ifihan, ibeere, fifi sori. Apa 1olusin 11. Tẹlẹ Cisco ISE Administrator Groups

8) Iyan ninu taabu Aṣẹ> Awọn igbanilaaye> Ilana RBAC O le ṣatunkọ awọn ẹtọ ti awọn alabojuto ti a ti pinnu tẹlẹ.

Cisco ISE: ifihan, ibeere, fifi sori. Apa 1olusin 12. Cisco ISE Administrator Tto Profaili Rights Management

9) Ninu taabu Isakoso> Eto> Eto Gbogbo eto eto wa (DNS, NTP, SMTP ati awọn miiran). O le fọwọsi wọn nibi ti o ba padanu wọn lakoko ibẹrẹ ẹrọ akọkọ.

5. Ipari

Eyi pari nkan akọkọ. A jiroro lori imunadoko ti ojutu Sisiko ISE NAC, faaji rẹ, awọn ibeere to kere julọ ati awọn aṣayan imuṣiṣẹ, ati fifi sori ẹrọ ni ibẹrẹ.

Ninu nkan ti o tẹle, a yoo wo ṣiṣẹda awọn akọọlẹ, ṣiṣepọ pẹlu Microsoft Active Directory, ati ṣiṣẹda iraye si alejo.

Ti o ba ni awọn ibeere nipa koko yii tabi nilo iranlọwọ ṣe idanwo ọja naa, jọwọ kan si ọna asopọ.

Duro si aifwy fun awọn imudojuiwọn ninu awọn ikanni wa (TelegramFacebookVKTS Solusan BlogYandex Zen).

orisun: www.habr.com

Fi ọrọìwòye kun