Tweet
Cisco ISE là gì?
Cho rằng đây là một cuốn sách Bảo mật CCIE, có lẽ đây là một giả định tốt mà bạn đã biết (hoặc nghĩ rằng bạn biết) Cisco ISE là gì. Đúng, ISE là câu trả lời của Cisco về kiểm soát truy cập mạng, nhưng nó không sử dụng ma thuật độc quyền của Nether để giao tiếp với cơ sở hạ tầng mạng để kiểm soát quyền truy cập đó.
Cisco ISE là một máy chủ RADIUS ở cốt lõi, nhưng ngoài ra nó còn là:
Toàn bộ cuốn sách có thể được viết về ISE và không bao gồm các sản phẩm khác. Trên thực tế, một vài cuốn sách đã được viết về ISE, chẳng hạn như Cisco ISE cho BYOD và Truy cập hợp nhất an toàn, Ấn bản thứ hai (Cisco Press, 2017). Nếu bạn đang làm bài kiểm tra CCIE Security, bạn cũng nên đọc cuốn sách đó.
Kiến trúc ISE cho truy cập mạng AAA
Với nhiều vai trò mà Cisco ISE có thể đóng trong môi trường doanh nghiệp, nó đòi hỏi một kiến trúc phân tán để xử lý các trách nhiệm đó ở quy mô và các trách nhiệm còn được gọi là personas.
Personas
Các nút ISE được cấu hình để chạy một hoặc nhiều trong ba personas. Một nút có thể được cấu hình chỉ với một người, với nhiều personas và thậm chí với tất cả các personas trong trường hợp triển khai độc lập hoặc hai nút:
Có thể có tới 50 PSN trên mỗi khối ISE cho khả năng mở rộng và phân phối các chức năng và tải PSN.
Kiến trúc truy cập mạng AAA và ISE Personas
Kiến trúc cơ bản để truy cập mạng AAA không thực sự thay đổi, bất kể quy mô. Bạn có một điểm cuối đang cố gắng kết nối với mạng thông qua thiết bị mạng lớp truy cập, được gọi là thiết bị truy cập mạng (NAD), gửi yêu cầu xác thực đến nút dịch vụ chính sách ISE (PSN) qua RADIUS.
Điều thay đổi là có bao nhiêu nút ISE được triển khai, mà personas đang chạy trên mỗi nút và nơi các nút đó tồn tại trong thiết kế mạng. ISE có thể được thiết kế dưới dạng độc lập, triển khai hai nút hoặc phân phối. Là một ứng cử viên Bảo mật CCIE, bạn sẽ cần phải làm quen với các tùy chọn thiết kế ISE, mỗi người làm gì và tất cả các dịch vụ ISE là gì.
Hình 2-1 minh họa việc triển khai độc lập, trong đó một nút ISE duy nhất đang chạy quản trị viên, giám sát và dịch vụ chính sách, do đó, NAD gửi tất cả các yêu cầu truy cập đến một nút ISE. Nút đơn đó chịu trách nhiệm cho tất cả các chức năng quản trị, ghi nhật ký, định hình, quyền chứng chỉ, lưu trữ tất cả các cổng web và xác thực. Các dịch vụ tùy chọn khác như pxGrid, quản trị thiết bị và Nreat-Centric NAC cũng có thể được chạy trên một nút.
Bạn không chỉ bị giới hạn về quy mô khi triển khai một nút, việc triển khai cũng không cung cấp bất kỳ tính sẵn sàng cao nào. Nếu nút ISE không thể truy cập được, thì dịch vụ xác thực sẽ không khả dụng. Vì lý do đó, việc triển khai độc lập không phổ biến lắm. Phần lớn
triển khai nhỏ thường sẽ triển khai với mô hình hai nút để thêm dự phòng. Như được minh họa trong Hình 2-2, cả hai nút vẫn đang chạy tất cả các dịch vụ và là gương chính xác của nhau. Theo cách này, nếu một nút bị hỏng, nút còn lại vẫn có thể thực hiện xác thực để người dùng cuối cố gắng truy cập mạng sẽ không bị ảnh hưởng.
Việc triển khai độc lập và triển khai hai nút duy trì cùng một tỷ lệ chính xác, lên tới 20.000 phiên hoạt động đồng thời với ISE 2.4 khi bạn tận dụng thiết bị vật lý lớn hơn hoặc máy ảo tương đương.
Khi triển khai của bạn phát triển vượt ra ngoài hai nút chạy nhân cách dịch vụ chính sách, bạn có thể chọn có các PSN chuyên dụng. Bạn có thể có không quá năm PSN trong một khối ISE nơi quản trị viên và giám sát personas vẫn đang chạy đồng thời trên một nút. Mô hình triển khai này duy trì số lượng phiên đồng thời tối đa là 20.000, nhưng nó cho phép bạn phân phối các chức năng dịch vụ chính sách để dự phòng, thời gian khứ hồi (đưa PSN gần hơn với NAD) và dành PSN cho các chức năng như TC-NAC , pxGrid hoặc SXP. Hình 2-3 cho thấy một triển khai ISE trong đó quản trị viên và giám sát personas vẫn đang chạy cùng nhau trên cùng một nút, với hai trong số các nút đó để dự phòng; hơn nữa, nó có năm nút dịch vụ chính sách chuyên dụng, một trong số đó đã được chỉ định để chạy các hàm pxGrid và TC-NAC.
Hình 2-3Triển khai phân tán bảy nút
Để tăng quy mô vượt quá 20.000 phiên hoạt động đồng thời hoặc vượt quá năm PSN,
quản trị viên và giám sát personas phải được chạy trên các nút chuyên dụng. Khi tất cả các personas được chia thành các nút chuyên dụng, thang đo sẽ đạt 500.000 phiên đồng thời hoạt động trong ISE 2.4, với tối đa 50 nút dịch vụ chính sách cộng với tối đa 4 PSN pxGrid chuyên dụng. Hình 2-4 mô tả một triển khai phân phối đầy đủ.
Lưu ý: Kể từ phiên bản ISE 2.4, chỉ có một nút có thể chạy chức năng TC-NAC, bất kể kích thước triển khai.
Cho rằng đây là một cuốn sách Bảo mật CCIE, có lẽ đây là một giả định tốt mà bạn đã biết (hoặc nghĩ rằng bạn biết) Cisco ISE là gì. Đúng, ISE là câu trả lời của Cisco về kiểm soát truy cập mạng, nhưng nó không sử dụng ma thuật độc quyền của Nether để giao tiếp với cơ sở hạ tầng mạng để kiểm soát quyền truy cập đó.
Cisco ISE là một máy chủ RADIUS ở cốt lõi, nhưng ngoài ra nó còn là:
- Máy chủ chính sách hàng đầu của Cisco, được thiết kế cho doanh nghiệp
- Giải pháp cung cấp quyền truy cập của khách cho khách truy cập
- Cung cấp khả năng hiển thị vào các điểm cuối kết nối với mạng doanh nghiệp của bạn
- Trao đổi thông tin để chia sẻ dữ liệu bảo mật giữa nhiều hệ thống
- Cơ quan cấp chứng chỉ doanh nghiệp (CA)
- Nguồn nhận dạng trung tâm cho toàn bộ hệ sinh thái bảo mật của Cisco
Toàn bộ cuốn sách có thể được viết về ISE và không bao gồm các sản phẩm khác. Trên thực tế, một vài cuốn sách đã được viết về ISE, chẳng hạn như Cisco ISE cho BYOD và Truy cập hợp nhất an toàn, Ấn bản thứ hai (Cisco Press, 2017). Nếu bạn đang làm bài kiểm tra CCIE Security, bạn cũng nên đọc cuốn sách đó.
Kiến trúc ISE cho truy cập mạng AAA
Với nhiều vai trò mà Cisco ISE có thể đóng trong môi trường doanh nghiệp, nó đòi hỏi một kiến trúc phân tán để xử lý các trách nhiệm đó ở quy mô và các trách nhiệm còn được gọi là personas.
Personas
Các nút ISE được cấu hình để chạy một hoặc nhiều trong ba personas. Một nút có thể được cấu hình chỉ với một người, với nhiều personas và thậm chí với tất cả các personas trong trường hợp triển khai độc lập hoặc hai nút:
- Quản trị viên chính sách: Người quản trị chính sách có trách nhiệm đồng bộ hóa cơ sở dữ liệu trên tất cả các nút trong quá trình triển khai ISE, thường được gọi là khối lập phương ISE. Nhân viên quản trị chính sách cũng chịu trách nhiệm cung cấp giao diện người dùng quản trị cho việc triển khai. Chỉ có thể có một hoặc hai nút với nhân viên quản trị chính sách: nút quản trị chính sách chính và phụ (PAN) để dự phòng. PAN cũng đóng vai trò là gốc cho cơ quan cấp chứng chỉ tích hợp.
- Giám sát: Nhân vật giám sát đóng vai trò là máy chủ ghi nhật ký tập trung cho khối ISE. Nút ISE với tính năng này được kích hoạt được gọi là nút Giám sát và khắc phục sự cố (MnT). Chỉ có thể có một hoặc hai nút MnT trong khối ISE: MnT chính và phụ để dự phòng.
- Dịch vụ chính sách: Cá nhân dịch vụ chính sách là một con thú trong chính nó. Nó phục vụ rất nhiều chức năng và thường được gọi là Rô-bốt. Một nút chạy các dịch vụ chính sách là máy chủ RADIUS cho khối ISE, xử lý các yêu cầu xác thực, thực hiện tra cứu danh tính và đánh giá chính sách và đưa ra kết quả ủy quyền kết quả. Một nút chạy nhân cách dịch vụ chính sách được gọi là Nút dịch vụ chính sách (PSN).
Có thể có tới 50 PSN trên mỗi khối ISE cho khả năng mở rộng và phân phối các chức năng và tải PSN.
Kiến trúc truy cập mạng AAA và ISE Personas
Kiến trúc cơ bản để truy cập mạng AAA không thực sự thay đổi, bất kể quy mô. Bạn có một điểm cuối đang cố gắng kết nối với mạng thông qua thiết bị mạng lớp truy cập, được gọi là thiết bị truy cập mạng (NAD), gửi yêu cầu xác thực đến nút dịch vụ chính sách ISE (PSN) qua RADIUS.
Điều thay đổi là có bao nhiêu nút ISE được triển khai, mà personas đang chạy trên mỗi nút và nơi các nút đó tồn tại trong thiết kế mạng. ISE có thể được thiết kế dưới dạng độc lập, triển khai hai nút hoặc phân phối. Là một ứng cử viên Bảo mật CCIE, bạn sẽ cần phải làm quen với các tùy chọn thiết kế ISE, mỗi người làm gì và tất cả các dịch vụ ISE là gì.
Hình 2-1 minh họa việc triển khai độc lập, trong đó một nút ISE duy nhất đang chạy quản trị viên, giám sát và dịch vụ chính sách, do đó, NAD gửi tất cả các yêu cầu truy cập đến một nút ISE. Nút đơn đó chịu trách nhiệm cho tất cả các chức năng quản trị, ghi nhật ký, định hình, quyền chứng chỉ, lưu trữ tất cả các cổng web và xác thực. Các dịch vụ tùy chọn khác như pxGrid, quản trị thiết bị và Nreat-Centric NAC cũng có thể được chạy trên một nút.
Hình 2-1 Triển khai độc lập ISE
Bạn không chỉ bị giới hạn về quy mô khi triển khai một nút, việc triển khai cũng không cung cấp bất kỳ tính sẵn sàng cao nào. Nếu nút ISE không thể truy cập được, thì dịch vụ xác thực sẽ không khả dụng. Vì lý do đó, việc triển khai độc lập không phổ biến lắm. Phần lớn
triển khai nhỏ thường sẽ triển khai với mô hình hai nút để thêm dự phòng. Như được minh họa trong Hình 2-2, cả hai nút vẫn đang chạy tất cả các dịch vụ và là gương chính xác của nhau. Theo cách này, nếu một nút bị hỏng, nút còn lại vẫn có thể thực hiện xác thực để người dùng cuối cố gắng truy cập mạng sẽ không bị ảnh hưởng.
Hình 2-2 Triển khai hai nút
Việc triển khai độc lập và triển khai hai nút duy trì cùng một tỷ lệ chính xác, lên tới 20.000 phiên hoạt động đồng thời với ISE 2.4 khi bạn tận dụng thiết bị vật lý lớn hơn hoặc máy ảo tương đương.
Khi triển khai của bạn phát triển vượt ra ngoài hai nút chạy nhân cách dịch vụ chính sách, bạn có thể chọn có các PSN chuyên dụng. Bạn có thể có không quá năm PSN trong một khối ISE nơi quản trị viên và giám sát personas vẫn đang chạy đồng thời trên một nút. Mô hình triển khai này duy trì số lượng phiên đồng thời tối đa là 20.000, nhưng nó cho phép bạn phân phối các chức năng dịch vụ chính sách để dự phòng, thời gian khứ hồi (đưa PSN gần hơn với NAD) và dành PSN cho các chức năng như TC-NAC , pxGrid hoặc SXP. Hình 2-3 cho thấy một triển khai ISE trong đó quản trị viên và giám sát personas vẫn đang chạy cùng nhau trên cùng một nút, với hai trong số các nút đó để dự phòng; hơn nữa, nó có năm nút dịch vụ chính sách chuyên dụng, một trong số đó đã được chỉ định để chạy các hàm pxGrid và TC-NAC.
Hình 2-3Triển khai phân tán bảy nút
Để tăng quy mô vượt quá 20.000 phiên hoạt động đồng thời hoặc vượt quá năm PSN,
quản trị viên và giám sát personas phải được chạy trên các nút chuyên dụng. Khi tất cả các personas được chia thành các nút chuyên dụng, thang đo sẽ đạt 500.000 phiên đồng thời hoạt động trong ISE 2.4, với tối đa 50 nút dịch vụ chính sách cộng với tối đa 4 PSN pxGrid chuyên dụng. Hình 2-4 mô tả một triển khai phân phối đầy đủ.
Hình 2-4 Triển khai phân tán hoàn toàn
Lưu ý: Kể từ phiên bản ISE 2.4, chỉ có một nút có thể chạy chức năng TC-NAC, bất kể kích thước triển khai.