Tweet
Bắt đầu với ISE 2.3, giao diện người dùng mới đã được giới thiệu cho bộ máy chính sách được cập nhật và các bộ chính sách được bật tự động. Kinda McNamara có một mục blog rất hay về những thay đổi trong trải nghiệm của công cụ chính sách: https://www.network-node.com/blog/20...new-policysets.
ISE đi kèm với các chính sách được cấu hình sẵn sẽ cho phép truy cập mạng cho bất kỳ xác thực thành công 802.1X nào có nguồn gốc từ NAD được cấu hình, có dây hoặc không dây. Chúng tôi sẽ bắt đầu bằng cách xem bộ chính sách được cấu hình sẵn.
Hình 2-51 hiển thị danh sách các bộ chính sách, được đặt tại Work Centers > Network Access > Policy Sets. Chỉ có một chính sách duy nhất được đặt theo mặc định, nhưng có thể thêm và nên được thêm vào để triển khai sản xuất.
Click the > symbol, as pointed out in Figure 2-51, to expand the policy set, as shown in Figure 2-52.
Xem xét hình 2-52, bộ chính sách mặc định bao gồm chính sách cho MAB (có dây và không dây) sẽ kiểm tra cửa hàng Điểm cuối nội bộ cho các địa chỉ MAC. Nếu địa chỉ MAC tồn tại trong cửa hàng Điểm cuối nội bộ, thì xác thực (bỏ qua) được coi là thành công và yêu cầu được chuyển đến các quy tắc ủy quyền. Nếu địa chỉ MAC không tồn tại, xác thực sẽ được coi là không tìm thấy người dùng. Theo mặc định, khi không tìm thấy MAB kết thúc mà không tìm thấy người dùng, thì xác thực sẽ tiếp tục theo quy tắc ủy quyền.
Tại sao ISE muốn để một MAB không thành công tiếp tục các quy tắc ủy quyền? Bởi vì hồ sơ và xác thực web tập trung. Cả hai công nghệ này đều cần cho phép một số loại truy cập mạng hạn chế được tiến hành.
Nhìn lại Hình 2-52, cũng có một chính sách xác thực có nhãn Dot1X phù hợp với điều kiện cho 802.1X có dây hoặc không dây và sẽ kiểm tra mọi yêu cầu 802.1X đến và kiểm tra thông tin xác thực đối với tất cả các cửa hàng nhận dạng người dùng, tận dụng chuỗi nguồn nhận dạng.
Sau khi yêu cầu vượt qua chính sách xác thực, thông qua xác thực thành công hoặc thông qua tùy chọn TIẾP TỤC, nó được so sánh với các quy tắc trong chính sách ủy quyền.
Hình 2-53 cho thấy chính sách ủy quyền mặc định, chứa một vài quy tắc được cấu hình sẵn. Một số quy tắc được bật ra khỏi hộp và một số quy tắc sẽ được sử dụng làm ví dụ và được bật nếu và khi quản trị viên sẵn sàng.
Xem xét một số quy tắc được hiển thị trong Hình 2-53, bạn thấy hai quy tắc cho điện thoại IP: một cho điện thoại IP của Cisco và một cho các điện thoại IP không phải của Cisco. Cả hai quy tắc này đều tận dụng các chính sách định hình làm điều kiện để truy cập mạng. Có các quy tắc cho BYOD trên tàu bị vô hiệu hóa cho đến khi quản trị viên kích hoạt chúng theo cách thủ công, quy tắc truy cập của khách và quy tắc tận dụng trạng thái tuân thủ tư thế của điểm cuối.
ISE đi kèm với các chính sách được cấu hình sẵn sẽ cho phép truy cập mạng cho bất kỳ xác thực thành công 802.1X nào có nguồn gốc từ NAD được cấu hình, có dây hoặc không dây. Chúng tôi sẽ bắt đầu bằng cách xem bộ chính sách được cấu hình sẵn.
Hình 2-51 hiển thị danh sách các bộ chính sách, được đặt tại Work Centers > Network Access > Policy Sets. Chỉ có một chính sách duy nhất được đặt theo mặc định, nhưng có thể thêm và nên được thêm vào để triển khai sản xuất.
Click the > symbol, as pointed out in Figure 2-51, to expand the policy set, as shown in Figure 2-52.
Xem xét hình 2-52, bộ chính sách mặc định bao gồm chính sách cho MAB (có dây và không dây) sẽ kiểm tra cửa hàng Điểm cuối nội bộ cho các địa chỉ MAC. Nếu địa chỉ MAC tồn tại trong cửa hàng Điểm cuối nội bộ, thì xác thực (bỏ qua) được coi là thành công và yêu cầu được chuyển đến các quy tắc ủy quyền. Nếu địa chỉ MAC không tồn tại, xác thực sẽ được coi là không tìm thấy người dùng. Theo mặc định, khi không tìm thấy MAB kết thúc mà không tìm thấy người dùng, thì xác thực sẽ tiếp tục theo quy tắc ủy quyền.
Tại sao ISE muốn để một MAB không thành công tiếp tục các quy tắc ủy quyền? Bởi vì hồ sơ và xác thực web tập trung. Cả hai công nghệ này đều cần cho phép một số loại truy cập mạng hạn chế được tiến hành.
Nhìn lại Hình 2-52, cũng có một chính sách xác thực có nhãn Dot1X phù hợp với điều kiện cho 802.1X có dây hoặc không dây và sẽ kiểm tra mọi yêu cầu 802.1X đến và kiểm tra thông tin xác thực đối với tất cả các cửa hàng nhận dạng người dùng, tận dụng chuỗi nguồn nhận dạng.
Sau khi yêu cầu vượt qua chính sách xác thực, thông qua xác thực thành công hoặc thông qua tùy chọn TIẾP TỤC, nó được so sánh với các quy tắc trong chính sách ủy quyền.
Hình 2-53 cho thấy chính sách ủy quyền mặc định, chứa một vài quy tắc được cấu hình sẵn. Một số quy tắc được bật ra khỏi hộp và một số quy tắc sẽ được sử dụng làm ví dụ và được bật nếu và khi quản trị viên sẵn sàng.
Xem xét một số quy tắc được hiển thị trong Hình 2-53, bạn thấy hai quy tắc cho điện thoại IP: một cho điện thoại IP của Cisco và một cho các điện thoại IP không phải của Cisco. Cả hai quy tắc này đều tận dụng các chính sách định hình làm điều kiện để truy cập mạng. Có các quy tắc cho BYOD trên tàu bị vô hiệu hóa cho đến khi quản trị viên kích hoạt chúng theo cách thủ công, quy tắc truy cập của khách và quy tắc tận dụng trạng thái tuân thủ tư thế của điểm cuối.