Menu

Region US

Grandmetric LLC
Lewes DE 19958
16192 Coastal Hwy USA
EIN: 98-1615498
+1 302 691 94 10
info@grandmetric.com

Region EMEA

GRANDMETRIC Sp. z o.o.
ul. Metalowa 5, 60-118 Poznań, Poland
NIP 7792433527
+48 61 271 04 43
info@grandmetric.com

UK

Grandmetric LTD
Office 584b
182-184 High Street North
London
E6 2JA
+44 20 3321 5276
info@grandmetric.com

  • en
  • pl
  • Modele wdrożenia Cisco ISE

    Projektowanie i konfigurowanie

    Modele wdrożenia Cisco ISE

    Ścieżka: Projektowanie
    Technologia: Bezpieczeństwo sieci
    Obszar: Zarządzanie dostępem i tożsamością
    Dostawca: Cisco
    Oprogramowanie: 1.X, 2.X
    Platforma: ISE Physical Appliance, ISE Virtual Appliance

     

    Cisco Identity Services Engine pomaga skoncentrować wszystkie zasady tożsamości sieciowej przedsiębiorstwa w jednym miejscu. ISE to punkt sieci, w którym wszystkie metody dostępu do sieci i tożsamości są weryfikowane w oparciu o zdefiniowany zestaw reguł i źródła uwierzytelniania. W oparciu o skonfigurowane reguły ISE jest w stanie zapewnić szczegółowe prawa dostępu do usług w oparciu o wiele czynników i kontekstów, takich jak członkostwo w grupie AD, fizyczna lokalizacja użytkownika, typ urządzenia, wersja systemu operacyjnego, pora dnia i inne. Podstawową zasadą ISE jest działanie jako serwer Radius. W każdym razie pomimo tego, że Radius jest głównym protokołem komunikacyjnym między ISE a urządzeniami sieciowymi, istnieje wiele udoskonaleń w stosunku do starszych rozwiązań, takich jak przepływy zmiany autoryzacji Radius, profilowanie systemów operacyjnych i urządzeń, procedury oceny stanu w celu dostosowania zgodności z bezpieczeństwem, wdrażanie urządzeń innych firm lub metody przekierowywania portalu dla gości.

     

     

    Migracja z ASA_2

     

    Modele wdrożenia Cisco ISE

    Wdrażając Cisco ISE, należy zdawać sobie sprawę z trybów wdrażania i funkcjonalności architektonicznych dostępnych w Cisco. Wybierając opcję wdrożenia, warto wspomnieć o możliwościach. Ogólnie rzecz biorąc, masz dwie możliwości:

     

    • Opcje wdrożenia
      • Wdrożenie autonomiczne (zbudowane na jednym węźle ISE)
      • Wdrożenie rozproszone (zbudowane z więcej niż jednego węzła ISE)
        • Mały
        • Średni
        • Duży

     

    Przykład małego wdrożenia rozproszonego.

     

    Cisco ISE Small Distributed Deployment

     

    Przykład wdrożenia rozproszonego na średnią skalę.

     

    Cisco ISE Medium Scale Distributed Deployment

     

    Który wybrać?

    W zależności od wymagań Twojej organizacji, skali, liczby użytkowników i lokalizacji musisz wybrać jedno z dostępnych wdrożeń. Nie ma ścisłych wymagań i widzieliśmy wiele dość dużych projektów opartych na małym typie wdrożenia. Wdrożenie jednego węzła (inaczej samodzielne) jest odpowiednie dla projektów PoC lub środowisk laboratoryjnych/testowych, gdzie nie jest wymagana wysoka dostępność. Aby lepiej zrozumieć tryby wdrażania, warto zapoznać się z nomenklaturą ISE.

     

    ISE Architektura i nazewnictwo:

    • Węzeł – indywidualna instancja – urządzenie fizyczne lub urządzenie wirtualne
    • Typ osoby/węzła – ten jest często używany zamiennie i określa usługę świadczoną przez konkretny węzeł:
      • Administracja (PAN) — węzeł administracyjny to pojedynczy punkt konfiguracji wdrożenia ISE. Ta osoba zapewnia pełny dostęp do administracyjnego GUI
      • Policy Service (PSN) – węzeł Policy Service to węzeł obsługujący ruch pomiędzy urządzeniami sieciowymi a ISE (jego adres IP jest używany jako promień dla urządzeń). Aby uzyskać współdzielenie ruchu w promieniu, możesz skalować sieci PSN w górę.
      • Monitoring (MnT) – węzeł monitorujący odpowiedzialny jest za agregację logów w trakcie wdrożenia.
    • Rola – dotyczy węzłów administracyjnych i monitorujących.
      • Autonomiczny – związany z wdrożeniem autonomicznym – węzeł nie jest świadomy siebie i działa samodzielnie.
      • Podstawowa – rola we wdrożeniu rozproszonym, gdzie na przykład osoba administracyjna jest główną rolą we wszystkich zadaniach konfiguracyjnych.
      • Drugorzędna – rola we wdrożeniu rozproszonym, gdzie na przykład osoba administracyjna jest drugorzędna w zadaniach konfiguracyjnych. Dodatkowy interfejs GUI jest dostępny do konfiguracji tylko wtedy, gdy:
        • Podstawowa awaria i skonfigurowano pracę awaryjną PAN
        • Drugorzędny jest ręcznie awansowany do podstawowego

     

    Przykład wdrożenia dystrybucji średniej wielkości. Węzły PSN pełnią rolę serwerów promieniowych dla urządzeń sieciowych i jest ich cztery. Administracja Persona jest aktywna na dwóch węzłach. Węzeł 1 pełni rolę głównego węzła administracyjnego, a węzeł 2 pełni rolę dodatkowego węzła administracyjnego. Wszystkie zadania konfiguracyjne i konserwacyjne są wykonywane w głównym węźle administracyjnym, a ustawienia są propagowane w całym wdrożeniu w tym samym czasie. Rola MnT została przywrócona na potrzeby podziału obciążenia. Wszystkie zdarzenia dotyczące osób PSN są zależne od głównych i dodatkowych węzłów MnT.

     

    Cisco ISE Depolyment and NAD interaction

     

    Cisco ISE to rozwiązanie klasy NAC (Network Access Control). Przygotowaliśmy porównanie popularnych systemów NAC, dzięki czemu łatwiej będzie Ci zrozumieć, który system może najlepiej pasować do Twojej organizacji.

     

    Autor: Marcin Bialy
     
    Poprzedni Następny

    Cisco ISE Offering

    Secure your network access with
    identity services | Build security
    policy enforcement with Cisco ISE |
    Identity Services Engine
    Base | Plus | Apex | Admin licenses.

    Get a Quote
    Grandmetric: Network & Security