Context-In
pxGrid không chỉ chia sẻ bối cảnh từ ISE (gọi tắt là bối cảnh) mà còn được sử dụng để chia sẻ thông tin giữa các hệ thống bên ngoài. Kể từ phiên bản ISE 2.4, ISE cũng có thể nhận thông tin qua pxGrid để giúp ISE với các chính sách định hình riêng của mình. Điều này được gọi là bối cảnh trong.
In Chapter 3, “Beyond Basic Network Access Control,” you learned about profiling and the different probes that ISE can use. One of those probes that was introduced in ISE version 2.4 is the pxGrid probe, which is used to learn profiling data about endpoints through pxGrid context-in.
Đầu dò hồ sơ pxGrid lần đầu tiên được sử dụng với Giám đốc Mạng công nghiệp Cisco (IND), giao tiếp với các thiết bị chuyển mạch công nghiệp và thiết bị bảo mật Internet of Things (IoT), thu thập thông tin chi tiết về các thiết bị IoT được kết nối.
IND v1.3 thêm giao diện nhà xuất bản pxGrid để giao tiếp các thuộc tính IoT với ISE, được tận dụng trong hồ sơ, như được minh họa trong Hình 6-8.
Giao diện người dùng pxGrid nằm trong phần Administration > pxGrid Services. Theo mặc định, các dịch vụ pxGrid sẽ không được bật trên bất kỳ nút ISE nào và thông báo sau sẽ được hiển thị:
Bạn cần kích hoạt pxGrid trên ít nhất một trong số các nút dịch vụ chính sách khi triển khai, nhưng trước khi bật pxGrid trên bất kỳ nút ISE nào trong quá trình triển khai, tốt nhất là đảm bảo rằng mỗi nút trong khối ISE có chứng chỉ pxGrid được ký bởi cùng thẩm quyền chứng nhận.
Bắt đầu từ ISE 2.2, mỗi nút Chứng chỉ pxGrid nút sẽ được ký tự động bởi CA nội bộ. Đương nhiên, bạn có thể thay thế chứng chỉ đó bằng một CA từ bên ngoài mà bạn chọn, nhưng chứng chỉ mặc định sẽ sử dụng CA nội bộ trong nỗ lực đơn giản hóa việc thiết lập và thực hiện theo các thực tiễn tốt nhất. Thực sự, khuyến nghị thực hành chỉ ra rằng bạn sử dụng CA tích hợp vào ISE cho tất cả các giao tiếp pxGrid để giữ mọi thứ dễ dàng và hoạt động tốt. Các bước thực hiện như sau:
Step 1. Administration > System > Certificates,Navigate to as shown in Figure 6-9.
Step 2. Chọn chứng chỉ pxGrid của một trong các nút, bằng cách chọn sổ séc ở đầu bên trái của hàng.
Step 3. Click View.
Step 4. Kiểm tra xem người ký gốc của chứng chỉ là PAN chính của khối ISE (CA gốc), như trong Hình 6-10.
Khi bạn chắc chắn rằng các chứng chỉ đang sử dụng đều được cấp bởi cùng một PKI, thì đó là thời gian để kích hoạt chúng. Đề xuất dựa trên kinh nghiệm là phải có chứng chỉ pxGrid trên mỗi nút đơn khi triển khai ISE, ngay cả khi nút đó sẽ không chạy chức năng điều khiển pxGrid.
Step 1. Hướng đếnAdministration > System > Deployment.
Step 2. Chức năng điều khiển pxGrid phải chạy trên PSN. Chọn một trong các PSN từ danh sách.
Step 3. Chọn hộp kiểm pxGrid, như trong Hình 6-11.
Step 4. Click Save.
Điều này cho phép chức năng điều khiển pxGrid trên PSN. Bạn có thể có tối đa hai bộ điều khiển pxGrid mỗi khối ISE để cung cấp dự phòng.
Khi các dịch vụ pxGrid đã hoạt động, PAN và MnT sẽ tự động đăng ký và xuất bản các chủ đề tương ứng của chúng vào lưới, như trong Hình 6-12.
Lưu ý trong Hình 6-12 cách các chủ đề được liệt kê dưới người tham gia pxGrid, cũng như vai trò của nút đóng với chủ đề (Pub hoặc Sub).
Theo mặc định, chỉ các nút ISE sẽ được đăng ký tự động; tất cả những người khác yêu cầu phê duyệt hoặc họ yêu cầu bạn kích hoạt đăng ký tự động.
pxGrid không chỉ chia sẻ bối cảnh từ ISE (gọi tắt là bối cảnh) mà còn được sử dụng để chia sẻ thông tin giữa các hệ thống bên ngoài. Kể từ phiên bản ISE 2.4, ISE cũng có thể nhận thông tin qua pxGrid để giúp ISE với các chính sách định hình riêng của mình. Điều này được gọi là bối cảnh trong.
In Chapter 3, “Beyond Basic Network Access Control,” you learned about profiling and the different probes that ISE can use. One of those probes that was introduced in ISE version 2.4 is the pxGrid probe, which is used to learn profiling data about endpoints through pxGrid context-in.
Đầu dò hồ sơ pxGrid lần đầu tiên được sử dụng với Giám đốc Mạng công nghiệp Cisco (IND), giao tiếp với các thiết bị chuyển mạch công nghiệp và thiết bị bảo mật Internet of Things (IoT), thu thập thông tin chi tiết về các thiết bị IoT được kết nối.
IND v1.3 thêm giao diện nhà xuất bản pxGrid để giao tiếp các thuộc tính IoT với ISE, được tận dụng trong hồ sơ, như được minh họa trong Hình 6-8.
Giao diện người dùng pxGrid nằm trong phần Administration > pxGrid Services. Theo mặc định, các dịch vụ pxGrid sẽ không được bật trên bất kỳ nút ISE nào và thông báo sau sẽ được hiển thị:
Bạn cần kích hoạt pxGrid trên ít nhất một trong số các nút dịch vụ chính sách khi triển khai, nhưng trước khi bật pxGrid trên bất kỳ nút ISE nào trong quá trình triển khai, tốt nhất là đảm bảo rằng mỗi nút trong khối ISE có chứng chỉ pxGrid được ký bởi cùng thẩm quyền chứng nhận.
Bắt đầu từ ISE 2.2, mỗi nút Chứng chỉ pxGrid nút sẽ được ký tự động bởi CA nội bộ. Đương nhiên, bạn có thể thay thế chứng chỉ đó bằng một CA từ bên ngoài mà bạn chọn, nhưng chứng chỉ mặc định sẽ sử dụng CA nội bộ trong nỗ lực đơn giản hóa việc thiết lập và thực hiện theo các thực tiễn tốt nhất. Thực sự, khuyến nghị thực hành chỉ ra rằng bạn sử dụng CA tích hợp vào ISE cho tất cả các giao tiếp pxGrid để giữ mọi thứ dễ dàng và hoạt động tốt. Các bước thực hiện như sau:
Step 1. Administration > System > Certificates,Navigate to as shown in Figure 6-9.
Step 2. Chọn chứng chỉ pxGrid của một trong các nút, bằng cách chọn sổ séc ở đầu bên trái của hàng.
Step 3. Click View.
Step 4. Kiểm tra xem người ký gốc của chứng chỉ là PAN chính của khối ISE (CA gốc), như trong Hình 6-10.
Khi bạn chắc chắn rằng các chứng chỉ đang sử dụng đều được cấp bởi cùng một PKI, thì đó là thời gian để kích hoạt chúng. Đề xuất dựa trên kinh nghiệm là phải có chứng chỉ pxGrid trên mỗi nút đơn khi triển khai ISE, ngay cả khi nút đó sẽ không chạy chức năng điều khiển pxGrid.
Step 1. Hướng đếnAdministration > System > Deployment.
Step 2. Chức năng điều khiển pxGrid phải chạy trên PSN. Chọn một trong các PSN từ danh sách.
Step 3. Chọn hộp kiểm pxGrid, như trong Hình 6-11.
Step 4. Click Save.
Điều này cho phép chức năng điều khiển pxGrid trên PSN. Bạn có thể có tối đa hai bộ điều khiển pxGrid mỗi khối ISE để cung cấp dự phòng.
Khi các dịch vụ pxGrid đã hoạt động, PAN và MnT sẽ tự động đăng ký và xuất bản các chủ đề tương ứng của chúng vào lưới, như trong Hình 6-12.
Lưu ý trong Hình 6-12 cách các chủ đề được liệt kê dưới người tham gia pxGrid, cũng như vai trò của nút đóng với chủ đề (Pub hoặc Sub).
Theo mặc định, chỉ các nút ISE sẽ được đăng ký tự động; tất cả những người khác yêu cầu phê duyệt hoặc họ yêu cầu bạn kích hoạt đăng ký tự động.