Trung tâm làm việc truy cập mạng
Giao diện người dùng ISE được chia thành các trung tâm làm việc nơi bạn thực hiện các tác vụ liên quan đến từng trung tâm công việc cụ thể. Vì chúng tôi tập trung vào truy cập mạng trong chương này, chúng tôi sẽ thực hiện phần lớn các tác vụ trong trung tâm làm việc của Network Access.
Từ giao diện ISE, điều hướng đến Trung tâm làm việc> Truy cập mạng. Tất cả các trung tâm làm việc được tổ chức theo cách cho phép bạn hoàn thành tất cả các hoạt động từ trên xuống, từ trái sang phải. Như bạn thấy trong Hình 2-17, trung tâm công việc Network Access được nhóm thành các phần sau:
Định cấu hình nguồn nhận dạng
Trong phần này, chúng tôi sẽ tập trung chủ yếu vào Active Directory. ISE có trình kết nối AD cực kỳ mạnh mẽ cho phép nó nói chuyện với AD như thể nó là một thiết bị Windows gốc, tận dụng cùng các giao thức Microsoft gốc. Là một chuyên gia cấp CCIE làm việc với ISE, bạn sẽ muốn có một sự hiểu biết thực sự mạnh mẽ về cách ISE và AD hoạt động cùng nhau.
Tham gia quảng cáo
ISE có thể tham gia tối đa 50 tên miền, được gọi là điểm tham gia. Các miền có thể là một phần của một khu rừng AD hoặc một phần của nhiều khu rừng; trong trường hợp sau, ISE sẽ thực hiện định hướng danh tính, tìm hiểu tài khoản chính xác ngay cả khi có hai tài khoản người dùng có cùng tên trong các miền khác nhau.
AD thường được thiết kế theo tính chất phân tán, trong đó các bộ điều khiển miền được triển khai tại nhiều địa điểm khác nhau, thường là theo kiểu có tổ chức và khu vực. Trình kết nối ISE AD được điều khiển tại nút quản trị, nhưng mỗi nút ISE có kết nối riêng với AD. Bạn sẽ tham gia mọi PSN đến AD, cũng như các nút quản trị. Các PSN được nối với AD, vì mỗi cái sẽ truy vấn AD trực tiếp trong khi xác thực. Điều này hỗ trợ rất nhiều trong việc phân phối tải xác thực trong ISE cũng như với AD.
Active Directory bao gồm một công cụ cấu hình mạnh mẽ, Active Directory Site and Services, cho phép AD hiểu các phân đoạn mạng tồn tại và phân đoạn mạng mà mỗi bộ điều khiển miền thuộc về. Điều này cho phép AD xác định bộ điều khiển miền gần nhất với bất kỳ máy khách AD cụ thể nào, bao gồm ISE. Tất cả các máy khách AD tận dụng Hệ thống tên miền (DNS) để xác định máy chủ nào sẽ nói chuyện với bất kỳ chức năng AD cụ thể nào tận dụng các loại bản ghi SRV (máy chủ). Vì AD và DNS được liên kết với nhau, phản hồi DNS cho các loại bản ghi SRV đó sẽ được tạo để bao gồm địa chỉ của máy chủ gần nhất dựa trên cấu hình Dịch vụ và Trang web của AD.
ISE hoạt động như mọi khách hàng AD khác. Nó sử dụng DNS để yêu cầu địa chỉ IP của bộ điều khiển miền mà nó nên sử dụng. Điều này có nghĩa là mỗi PSN sẽ giao tiếp với bộ điều khiển miền gần nó nhất, nhờ các thông minh được tích hợp sẵn trong AD.
Điều quan trọng cần lưu ý là cách tận dụng DNS và sử dụng các giao thức Windows gốc này rất rõ ràng.
tương phản với cách nhiều giải pháp khác, tích hợp thành công với AD. Hầu hết các giải pháp tận dụng giải pháp Samba nguồn mở hoặc LDAP và phải kết nối với bộ điều khiển miền cụ thể. Nếu bộ điều khiển miền đó ngoại tuyến hoặc không có sẵn, giải pháp tốt hơn là có một bản sao lưu để liên hệ trực tiếp hoặc nó sẽ thất bại.
ISE không chọn bộ điều khiển miền mà nó giao tiếp. Nó cho phép AD đưa ra lựa chọn đó, cung cấp khả năng phục hồi và khả năng mở rộng.
Lưu ý: Trước khi tham gia AD, đảm bảo rằng các mục DNS chuyển tiếp và đảo ngược thích hợp tồn tại cho tất cả các nút ISE.
Để tham gia ISE vào một miền:
Bước 1. Điều hướng đến Trung tâm làm việc> Truy cập mạng> Nguồn Id mở rộng> Thư mục hoạt động.
Bước 2. Nhấn vào Thêm.
Bước 3. Cung cấp tên và tên miền cho điểm tham gia. Tác giả thích thêm tiền tố của AD-AD vào tất cả các tên điểm tham gia, để dễ dàng hơn khi xây dựng chính sách; ví dụ trong Hình 2-18 cho thấy tên điểm tham gia của AD-SECDEMO cho miền AD securitydemo.net.
Bước 4. Nhấn Gửi. Như được hiển thị trong Hình 2-19, ISE nhắc bạn bấm Có để nối tất cả các nút vào miền. Trong hầu hết các trường hợp, bạn sẽ cấu hình tất cả các nút để tham gia mọi miền, nhưng chắc chắn có các thiết kế phân tán, nơi bạn có thể thực hiện một cách tiếp cận khác.
Bước 5. Nhấn Yes để tham gia tất cả các nút vào miền. Hộp thoại hiển thị trong Hình 2-20 sẽ mở để thu thập thông tin đăng nhập AD cần thiết để tham gia ISE vào miền và tạo tài khoản máy tính của nó trong AD. Có một hộp kiểm để Lưu Thông tin xác thực, điều này rất quan trọng đối với việc triển khai sử dụng EasyConnect hoặc các tùy chọn tích hợp nhận dạng thụ động khác. Nhập tên người dùng và mật khẩu AD cho một tài khoản có đủ quyền để tham gia ISE vào miền và nhấp OK.
Bước 6. Trong trường hợp cụ thể này, chúng tôi đã gặp lỗi trên một trong các nút khi tham gia tất cả các nút đối với tên miền hoàn hảo cho cuốn sách để bạn (người đọc) có thể thấy lỗi và cách khắc phục. Như bạn có thể thấy trong Hình 2-21, nút atw-ise245 đã nhận được một lỗi; nhấn vào thông báo lỗi đó sẽ hiển thị chi tiết hoạt động, như trong Hình 2-22.
Như bạn thấy trong Hình 2-22, mô tả lỗi cho thấy độ lệch của đồng hồ quá lớn để thao tác nối thành công. AD có các yêu cầu đồng bộ hóa thời gian rất nghiêm ngặt và việc sử dụng các máy chủ Giao thức Thời gian Mạng (NTP) đáng tin cậy rất được khuyến khích. Đây là một vấn đề rất phổ biến có thể xảy ra khi NTP không được thiết lập chính xác. Một khả năng khác, nếu ISE đang chạy như một máy ảo, là máy ảo có thể được cấu hình để đồng bộ hóa thời gian từ một trình ảo hóa được cấu hình với thời gian không chính xác. Trong ví dụ cụ thể của chúng tôi, vấn đề thứ hai là thủ phạm. Sau khi sửa lỗi thời gian trên trình ảo hóa VMware ESXi, chúng tôi đã nối lại nút atw-esx245 và nó đã thành công, như trong Hình 2-23.
Điều đó quan tâm đến việc tham gia AD. Hãy cùng xem các tab khác ở bên phải của tab Kết nối ở đầu cửa sổ cấu hình ISE Lừa AD: Tên miền trắng, Bị động, Nhóm, Thuộc tính và Cài đặt nâng cao. Cũng lưu ý các nút Công cụ chẩn đoán và Công cụ kiểm tra, cả hai đều tuyệt vời để khắc phục sự cố kết nối AD.
Giao diện người dùng ISE được chia thành các trung tâm làm việc nơi bạn thực hiện các tác vụ liên quan đến từng trung tâm công việc cụ thể. Vì chúng tôi tập trung vào truy cập mạng trong chương này, chúng tôi sẽ thực hiện phần lớn các tác vụ trong trung tâm làm việc của Network Access.
Từ giao diện ISE, điều hướng đến Trung tâm làm việc> Truy cập mạng. Tất cả các trung tâm làm việc được tổ chức theo cách cho phép bạn hoàn thành tất cả các hoạt động từ trên xuống, từ trái sang phải. Như bạn thấy trong Hình 2-17, trung tâm công việc Network Access được nhóm thành các phần sau:
- Tổng quan: Phần này chứa trang Giới thiệu, rất có thể bạn sẽ chỉ đọc một lần, nếu có, và Nhật ký trực tiếp RADIUS. Nhật ký trực tiếp RADIUS là một trong những trang được truy cập thường xuyên nhất trong ISE và nó có thể khiến bạn bấm vào biểu tượng khóa nhỏ xuất hiện ở bên phải của menu điều hướng bên trái, sẽ đặt nó làm trang mặc định để hiển thị khi bạn truy cập phần Tổng quan.
- Danh tính: Phần này chứa các danh tính điểm cuối (mỗi địa chỉ MAC duy nhất là một đối tượng điểm cuối), người dùng truy cập mạng nội bộ (đây không phải là người dùng khách) và chuỗi nguồn nhận dạng (ISS). ISS là thứ bạn chắc chắn sẽ rất quen thuộc trong cửa sổ này
- Nhóm Id: Nhóm danh tính có thể là một trong hai loại: nhóm ID điểm cuối hoặc nhóm ID người dùng. Các nhóm ID điểm cuối có thể chứa nhiều địa chỉ MAC hoặc thậm chí kết hợp nhiều cấu hình thiết bị thành một nhóm. Nhóm ID người dùng chứa danh tính người dùng cục bộ hoặc danh tính người dùng khách.
- Nguồn mở rộng Id: Phần lớn các triển khai ISE tận dụng các nguồn nhận dạng bên ngoài để xác thực người dùng. Active Directory được sử dụng ở hơn 90 phần trăm triển khai ISE. Cơ quan cấp chứng chỉ được sử dụng gần như thường xuyên nhờ sự phổ biến của thiết bị di động. LDAP, ODBC, RADIUS Token, RSA SecurID và SAML cũng nằm trong phần này.
- Tài nguyên mạng: Các thiết bị mạng là các bộ chuyển mạch, bộ định tuyến và tường lửa gửi yêu cầu truy cập đến ISE. Như đã đề cập trước đây, chúng thường được gọi là thiết bị truy cập mạng (NAD). Các nhóm thiết bị mạng là các bộ NAD và cực kỳ quan trọng để triển khai ISE trơn tru. Các tài nguyên mạng khác được định nghĩa ở đây, chẳng hạn như các máy chủ RADIUS bên ngoài và các chuỗi máy chủ RADIUS được sử dụng cho proxy RADIUS và các máy chủ quản lý thiết bị di động (MDM) mà ISE tích hợp để đánh giá trên tàu và tư thế.
- Các yếu tố chính sách: Đây là các điều kiện và kết quả tạo nên một mục quy tắc trong bảng chính sách. Các quy tắc được thiết kế để tuân theo mô hình IF IF [điều kiện] THEN [kết quả] mô hình.
- Điều kiện thư viện là sự pha trộn của các điều kiện từ Cisco và các điều kiện được tạo bởi quản trị viên.
- Điều kiện thông minh là đặc biệt và đến trực tiếp từ Cisco. Họ đã sử dụng để xác định các trường hợp sử dụng phổ biến, chẳng hạn như Bỏ qua xác thực MAC (MAB) và tự động dịch trường hợp sử dụng đó cho loại thiết bị mạng đang sử dụng. Điều này cho phép quản trị viên chọn một điều kiện thông minh trong quy tắc chính sách và tận dụng chính xác quy tắc đó cho bất kỳ loại thiết bị được hỗ trợ nào.
- Điều kiện thời gian và ngày.
- Giao thức được phép là loại kết quả được sử dụng trong chính sách xác thực để xác định loại xác thực nào được phép cho quy tắc đó và các tùy chọn nên dành cho các loại xác thực đó.
- Hồ sơ ủy quyền là loại kết quả chính được sử dụng để truy cập mạng. Chúng bao gồm các phản hồi RADIUS, thuộc tính Vlan, các mẫu giao diện và nhiều hơn nữa. Chúng cũng chứa một con trỏ đến loại ủy quyền thứ ba, dACL.
- Danh sách kiểm soát truy cập có thể tải xuống (dACL) xác định tất cả các mục kiểm soát truy cập (ACE) tạo thành một ACL đầy đủ được gửi đến NAD, cung cấp một vị trí tập trung cho các danh sách truy cập được tạo, sửa đổi và xóa.
- Bộ chính sách: Bộ chính sách là trái tim và linh hồn của hầu hết các tổ chức làm với ISE. Một bộ chính sách là một cặp chính sách xác thực và ủy quyền hoạt động cùng nhau. Luôn nhớ rằng xác thực đến trước và dẫn đến ủy quyền. Bộ chính sách sẽ được chọn theo cách từ trên xuống, khớp đầu tiên dựa trên các điều kiện xác thực và xác thực thành công sẽ chuyển yêu cầu từ xác thực sang ủy quyền.
- Khắc phục sự cố: Phần này của trung tâm làm việc là nơi các công cụ có liên quan đến truy cập mạng được kết hợp ở một nơi. Các công cụ vẫn ở vị trí ban đầu của chúng trong menu Hoạt động. Công cụ khắc phục sự cố xác thực RADIUS (còn được gọi là công cụ theo dõi chính sách) cho phép quản trị viên mô phỏng xác thực, bao gồm hầu hết các thuộc tính có thể, trong nỗ lực xác định quy tắc nào sẽ được khớp và tại sao. Công cụ gỡ lỗi điểm cuối cho phép mức độ gỡ lỗi của tất cả các bản ghi trong ISE cho thiết bị được chỉ định và hợp nhất tất cả chúng vào một tệp văn bản để giúp khắc phục sự cố dễ dàng và ngắn gọn hơn. Công cụ kết xuất TCP cho phép chụp gói tin được thực hiện trên bất kỳ nút nào trong quá trình triển khai và tệp PCAP kết quả sẽ được tải xuống từ bảng điều khiển tập trung. Công cụ cuối cùng trong phần Khắc phục sự cố là các bộ lọc bộ sưu tập, cho phép quản trị viên vô hiệu hóa triệt tiêu sự kiện trên cơ sở mỗi điểm cuối, để cho phép khắc phục sự cố chính xác hơn.
- Báo cáo: Đây là một phần khác của trung tâm làm việc nơi các báo cáo có liên quan đã được tập hợp ở một nơi. Các báo cáo vẫn tồn tại ở vị trí ban đầu của chúng trong menu Hoạt động.
- Cài đặt: Phần này tập hợp các tùy chọn cụ thể từ Quản trị> Cài đặt có liên quan đến truy cập mạng. Các cài đặt liên quan đến cung cấp máy khách, giao thức xác thực, bộ lọc bộ sưu tập và cài đặt proxy được đặt ở đây, cũng như ở vị trí ban đầu của chúng trong menu Quản trị.
- Từ điển: Từ điển là đối tượng cơ bản nhất tạo thành một yếu tố chính sách. Quản trị viên sẽ chỉ làm việc trực tiếp với các đối tượng từ điển trong các tình huống rất hiếm hoặc nếu TAC hướng dẫn họ làm.
Hình 2-17 Trung tâm làm việc truy cập mạng
Định cấu hình nguồn nhận dạng
Trong phần này, chúng tôi sẽ tập trung chủ yếu vào Active Directory. ISE có trình kết nối AD cực kỳ mạnh mẽ cho phép nó nói chuyện với AD như thể nó là một thiết bị Windows gốc, tận dụng cùng các giao thức Microsoft gốc. Là một chuyên gia cấp CCIE làm việc với ISE, bạn sẽ muốn có một sự hiểu biết thực sự mạnh mẽ về cách ISE và AD hoạt động cùng nhau.
Tham gia quảng cáo
ISE có thể tham gia tối đa 50 tên miền, được gọi là điểm tham gia. Các miền có thể là một phần của một khu rừng AD hoặc một phần của nhiều khu rừng; trong trường hợp sau, ISE sẽ thực hiện định hướng danh tính, tìm hiểu tài khoản chính xác ngay cả khi có hai tài khoản người dùng có cùng tên trong các miền khác nhau.
AD thường được thiết kế theo tính chất phân tán, trong đó các bộ điều khiển miền được triển khai tại nhiều địa điểm khác nhau, thường là theo kiểu có tổ chức và khu vực. Trình kết nối ISE AD được điều khiển tại nút quản trị, nhưng mỗi nút ISE có kết nối riêng với AD. Bạn sẽ tham gia mọi PSN đến AD, cũng như các nút quản trị. Các PSN được nối với AD, vì mỗi cái sẽ truy vấn AD trực tiếp trong khi xác thực. Điều này hỗ trợ rất nhiều trong việc phân phối tải xác thực trong ISE cũng như với AD.
Active Directory bao gồm một công cụ cấu hình mạnh mẽ, Active Directory Site and Services, cho phép AD hiểu các phân đoạn mạng tồn tại và phân đoạn mạng mà mỗi bộ điều khiển miền thuộc về. Điều này cho phép AD xác định bộ điều khiển miền gần nhất với bất kỳ máy khách AD cụ thể nào, bao gồm ISE. Tất cả các máy khách AD tận dụng Hệ thống tên miền (DNS) để xác định máy chủ nào sẽ nói chuyện với bất kỳ chức năng AD cụ thể nào tận dụng các loại bản ghi SRV (máy chủ). Vì AD và DNS được liên kết với nhau, phản hồi DNS cho các loại bản ghi SRV đó sẽ được tạo để bao gồm địa chỉ của máy chủ gần nhất dựa trên cấu hình Dịch vụ và Trang web của AD.
ISE hoạt động như mọi khách hàng AD khác. Nó sử dụng DNS để yêu cầu địa chỉ IP của bộ điều khiển miền mà nó nên sử dụng. Điều này có nghĩa là mỗi PSN sẽ giao tiếp với bộ điều khiển miền gần nó nhất, nhờ các thông minh được tích hợp sẵn trong AD.
Điều quan trọng cần lưu ý là cách tận dụng DNS và sử dụng các giao thức Windows gốc này rất rõ ràng.
tương phản với cách nhiều giải pháp khác, tích hợp thành công với AD. Hầu hết các giải pháp tận dụng giải pháp Samba nguồn mở hoặc LDAP và phải kết nối với bộ điều khiển miền cụ thể. Nếu bộ điều khiển miền đó ngoại tuyến hoặc không có sẵn, giải pháp tốt hơn là có một bản sao lưu để liên hệ trực tiếp hoặc nó sẽ thất bại.
ISE không chọn bộ điều khiển miền mà nó giao tiếp. Nó cho phép AD đưa ra lựa chọn đó, cung cấp khả năng phục hồi và khả năng mở rộng.
Lưu ý: Trước khi tham gia AD, đảm bảo rằng các mục DNS chuyển tiếp và đảo ngược thích hợp tồn tại cho tất cả các nút ISE.
Để tham gia ISE vào một miền:
Bước 1. Điều hướng đến Trung tâm làm việc> Truy cập mạng> Nguồn Id mở rộng> Thư mục hoạt động.
Bước 2. Nhấn vào Thêm.
Bước 3. Cung cấp tên và tên miền cho điểm tham gia. Tác giả thích thêm tiền tố của AD-AD vào tất cả các tên điểm tham gia, để dễ dàng hơn khi xây dựng chính sách; ví dụ trong Hình 2-18 cho thấy tên điểm tham gia của AD-SECDEMO cho miền AD securitydemo.net.
Hình 2-18 Tham gia miền securitydemo.net
Bước 4. Nhấn Gửi. Như được hiển thị trong Hình 2-19, ISE nhắc bạn bấm Có để nối tất cả các nút vào miền. Trong hầu hết các trường hợp, bạn sẽ cấu hình tất cả các nút để tham gia mọi miền, nhưng chắc chắn có các thiết kế phân tán, nơi bạn có thể thực hiện một cách tiếp cận khác.
Hình 2-19 Bấm Có để Tham gia Tất cả các Nút vào Miền
Bước 5. Nhấn Yes để tham gia tất cả các nút vào miền. Hộp thoại hiển thị trong Hình 2-20 sẽ mở để thu thập thông tin đăng nhập AD cần thiết để tham gia ISE vào miền và tạo tài khoản máy tính của nó trong AD. Có một hộp kiểm để Lưu Thông tin xác thực, điều này rất quan trọng đối với việc triển khai sử dụng EasyConnect hoặc các tùy chọn tích hợp nhận dạng thụ động khác. Nhập tên người dùng và mật khẩu AD cho một tài khoản có đủ quyền để tham gia ISE vào miền và nhấp OK.
Hình 2-20 Nhập thông tin đăng nhập AD
Bước 6. Trong trường hợp cụ thể này, chúng tôi đã gặp lỗi trên một trong các nút khi tham gia tất cả các nút đối với tên miền hoàn hảo cho cuốn sách để bạn (người đọc) có thể thấy lỗi và cách khắc phục. Như bạn có thể thấy trong Hình 2-21, nút atw-ise245 đã nhận được một lỗi; nhấn vào thông báo lỗi đó sẽ hiển thị chi tiết hoạt động, như trong Hình 2-22.
Hình 2-21 Tham gia trạng thái hoạt động
Hình 2-22 Chi tiết hoạt động
Như bạn thấy trong Hình 2-22, mô tả lỗi cho thấy độ lệch của đồng hồ quá lớn để thao tác nối thành công. AD có các yêu cầu đồng bộ hóa thời gian rất nghiêm ngặt và việc sử dụng các máy chủ Giao thức Thời gian Mạng (NTP) đáng tin cậy rất được khuyến khích. Đây là một vấn đề rất phổ biến có thể xảy ra khi NTP không được thiết lập chính xác. Một khả năng khác, nếu ISE đang chạy như một máy ảo, là máy ảo có thể được cấu hình để đồng bộ hóa thời gian từ một trình ảo hóa được cấu hình với thời gian không chính xác. Trong ví dụ cụ thể của chúng tôi, vấn đề thứ hai là thủ phạm. Sau khi sửa lỗi thời gian trên trình ảo hóa VMware ESXi, chúng tôi đã nối lại nút atw-esx245 và nó đã thành công, như trong Hình 2-23.
Hình 2-23 Tham gia thành công
Điều đó quan tâm đến việc tham gia AD. Hãy cùng xem các tab khác ở bên phải của tab Kết nối ở đầu cửa sổ cấu hình ISE Lừa AD: Tên miền trắng, Bị động, Nhóm, Thuộc tính và Cài đặt nâng cao. Cũng lưu ý các nút Công cụ chẩn đoán và Công cụ kiểm tra, cả hai đều tuyệt vời để khắc phục sự cố kết nối AD.