Was ist der Cisco Identity Services-Engine?

Die heutige Unternehmensnetzwerk ändert sich schnell, vor allem, wenn es um die Mobilität der Mitarbeiter kommt. Die Mitarbeiter sind nicht angebundenen mehr Desktop-Workstations, sondern Unternehmensressourcen über eine Vielzahl von Geräten zuzugreifen: Tablets, Smartphones und persönliche Laptops, um nur einige zu nennen. Die Möglichkeit, den Zugriff auf Ressourcen von überall stark erhöht die Produktivität, sondern erhöht auch die Wahrscheinlichkeit von Datenschutzverletzungen und Sicherheitsbedrohungen, weil Sie nicht die Sicherheitslage der Geräte Zugriff auf das Netzwerk steuern. Den Überblick über alle Geräte Zugriff auf das Netzwerk ist eine große Aufgabe an sich, und als die Notwendigkeit für mehr Zugang entsteht, desto mehr wird nicht nachhaltig um es zu verwalten.

Die Cisco Identity Services Engine (ISE) ist eine identitätsbasierte Netzwerkzugriffskontrolle und Richtliniendurchsetzung System. ISE ermöglicht ein Netzwerk-Administrator zentral Zugriffsrichtlinien steuern für verdrahtete und drahtlose Endgeräte auf Basis von Informationen über RADIUS-Nachrichten zwischen dem Gerät und dem ISE-Knoten, auch bekannt als Profilierung bestanden gesammelt. Die Profilierungs Datenbank wird regelmäßig aktualisiert mit den neuesten und besten Geräte zu halten, so dass keine Lücken in der Vorrichtung Sichtbarkeit sind.

Im Wesentlichen legt ISE eine Identität auf ein Gerät basierend auf Benutzer, Funktion oder andere Attribute Durchsetzung von Richtlinien und die Einhaltung von Sicherheitsvorschriften zu sorgen, bevor das Gerät auf das Netzwerk zugreifen darf. Basierend auf den Ergebnissen aus einer Vielzahl von Variablen kann ein Endpunkt mit einem bestimmten Satz von Zugriffsregeln auf die Schnittstelle angewendet auf das Netzwerk erlaubt werden, das es angeschlossen ist, sonst kann es vollständig auf der Grundlage Ihrer spezifischen Unternehmensrichtlinien der Zugriff verweigert oder gegeben Gast sein .

Lassen Sie uns Herr der Ringe-Stil zur Klärung analogize: ISE ist Gandalf, und der Endbenutzer-Gerät ist die Verfolgung Balrog. Ich denke, Sie wissen, wohin das führt.

ISE eine automatisierte Durchsetzung von Richtlinien-Engine, die Pflege der weltlichen Tag zu Tag Aufgaben wie BYOD Gerät Onboarding können, Gäste-Onboarding, Switch VLAN Änderungen für die Endnutzer, die Zugriffslisten-Management und viele andere, so dass ein Netzwerk-Administrator auf andere konzentrieren sich nimmt wichtige Aufgaben (und coole Projekte!).

ISA Basics

Die ISE-Plattform ist in der Regel eine verteilte Bereitstellung von Knoten aus drei unterschiedlichen Persönlichkeiten zusammen: Policy Administration Node (PAN), Überwachung und Fehlerbehebung Knoten (MNT) und Policy Services Node (PSN). Alle drei Rollen erforderlich sind für ISE zu funktionieren.

Policy Administration Node (PAN)

Die PAN persona ist die Schnittstelle ein Administrator in um protokolliert Richtlinien zu konfigurieren. Es ist die Steuerzentrale des Einsatzes. Dieser Knoten kann ein Administrator Änderungen an der gesamten ISE Topologie zu machen, und diese Änderungen werden aus dem Admin-Knoten zu den Policy Services Knoten (PSN) herausgedrückt.

Policy Services Node (PSN)

Die PSN-Persona ist, wo politische Entscheidungen getroffen werden. Dies sind die Knoten, auf denen Network Enforcement Geräte alle Netzwerk-Messaging senden; RADIUS messaging ist ein Beispiel dessen, was an den PSNs gesendet wird. Die Nachrichten werden verarbeitet, und das PSN gibt die go / no-go für den Zugriff auf das Netzwerk.

Überwachung und Fehlerbehebung Knoten (MNT)

Die MNT Persona ist, wo die Protokollierung erfolgt und Berichte erzeugt werden. Alle Protokolle werden an diesen Knoten gesendet und es sortiert durch sie, so dass es ihnen in einem lesbaren Format zusammenstellen können. Es wird auch verwendet, um verschiedene Berichte zu generieren, so dass Sie Management glücklich mit schönen Bildern und Zahlen zu machen (* zwinker zwinker *) sowie Sie über alle Alarme für ISE informieren.

Wie ISE Works

Nun, da Sie wissen, was jede Person tut, werfen wir einen Blick darauf, wie alles zusammenpasst als komplettes System. Das Diagramm zeigt eine logische Darstellung der ISE, weil die Personas kann über viele verschiedene Geräte verteilt werden. Machen Sie sich mit der Abbildung unten, und ich werde erklären, was jedes Stück tut:

Die Abbildung oben ist aus dem. Wenn Sie erwägen, ISE bereitstellen, empfehle ich wirklich lesen alle, bevor Sie Ihre Implementierung planen.

Kommunikation beginnt mit dem Endpunkt. alles, was den Netzzugang erforderlich - Dies könnte ein Laptop, Smartphone, Tablet, Überwachungskamera, Videokonferenzsystem sein. Der Kunde muss über einen Netzwerkzugangsgerät verbinden - einem Schalter, einem Wireless-LAN-Controller oder einem VPN-Konzentrator -, um den Zugriff auf das Netzwerk zu erhalten. Dies ist, wo die Durchsetzung aller Maßnahmen erfolgt. Der Endpunkt wird für die Authentifizierung über eine 802.1X-Anfrage gefragt, und dieser Antrag wird an die Policy Services Node gesendet. An diesem Punkt hat sich die PSN bereits eine spezifische Konfiguration aus dem Admin Knoten gegeben. Das PSN wird die Anmeldeinformationen verarbeiten (es muss möglicherweise eine externe Datenbank für diese abzufragen, LDAP oder Active Directory, zum Beispiel), und auf der Grundlage der Konfiguration stellen Sie die PSN wird eine Zulassungsentscheidung treffen. Die PSN sendet die Entscheidung zurück an die Netzzugangsgerät, so dass es die Entscheidung erzwingen können. Die Netzzugangseinrichtung wird spezifische Aktionen geschickt für die Sitzung zu nehmen. Viele Aktionen können getroffen werdendieser Punkt abhängig von der Politik, aber einige gemeinsame Merkmale sind dynamische Zugriffslisten, Änderung der Genehmigung (VLANs zu wechseln, zum Beispiel), und Security Group-Tags (Teil der Cisco TrustSec-Lösung). Jetzt kann der Client-spezifischen Ressourcen zugreifen auf das, was das PSN hat als Regelsatz zurückgeschickt. Alternativ kann der Client auf den Gast-Login-Seite umgeleitet werden oder vollständig den Zugriff auf das Netzwerk verweigert. Alle diese beiden Richtungen übertragen werden Nachrichten wieder alle auf den Überwachungsknoten angemeldet, wo sie aus dem Admin-Knoten in einem organisierten Format angezeigt werden kann.

Dies ist definitiv ein komplexes Tier mit einer Menge von beweglichen Teilen, aber so lange, wie Sie die Grundlagen im Auge behalten, und es brechen in verschiedenen Teilen nach unten, es ist nicht zu schwer zu implementieren und zu beheben. Der zeitaufwendigste Teil einer Implementierung ist, herauszufinden, Ihre Richtlinien für die Zulassung. Sobald Sie Standardrichtlinien auf der ganzen Linie haben, die Durchsetzung derartiger Richtlinien ist ein Kinderspiel mit ISE. Ich werde in die Politik in meinem nächsten Beitrag gehen, aber lassen Sie uns für den Überblick auf das letzte Thema zu verschieben: Deployment-Topologien und Lizenzierung.

Physikalische Einsatzbeispiele

Was ich über hier zu sagen, ist wahrscheinlich der wichtigste Teil eines Einsatzes: VERSUCHEN SIE NICHT, Geld zu sparen durch eine hohe Verfügbarkeit Aufgeben! Diese Knoten steuern den Zugriff auf das gesamte Netzwerk. Wenn diese Knoten nach unten gehen, könnte man genauso gut haben insgesamt Netzwerkausfall, weil niemand bekommen authentifiziert oder autorisiert wird. Entwerfen ISE mit so viel Hochverfügbarkeit, wie Sie sich leisten können. Das einzige Mal, wenn ein Standalone-Einsatz akzeptabel ist, wenn Sie ein sehr kleines Proof-of-concept tun, die nicht die Produktion Endnutzer nicht beeinflusst.

Der andere wichtige Teil einer Implementierung ist die Hardware auf die Umsetzung ISE gewählt. Nun hat Cisco einen ESX / ESXi-Option bieten, aber ich weiß nicht, dass für ein paar Gründe empfehlen. In erster Linie ist das Gerät Option getestet und bewertet auf eine bestimmte Anzahl von Endpunkten zu skalieren. Wenn Sie den ESX / ESXi-Option verwenden, verlieren Sie ein wenig von dieser Berechenbarkeit. Ich sagte es vor, und ich werde es wieder sagen, diese Knoten steuern den Zugriff auf das gesamte Netzwerk, wenn Sie also unberechenbar Leistung haben, dann werden Sie unvorhersehbare Probleme haben. Die andere Sache, die ich ist nicht für einen ESX / ESXi-Option wie etwa Fehlerbehebung. Wenn Sie ein Problem mit der ISE zu tun haben, wollen Sie es wirklich schnell gelöst. Wenn Sie die VM-Bereitstellung verwenden und etwas schief geht, haben Sie Tickets mit Cisco zu öffnen, Ihre Server-Hersteller, VMWare, und alles, was für Ihre Bereitstellung gebunden werden können. Das ist nicht unglaublich effizient, und Sie sind wahrscheinlich in eine Menge Anbieter Fingerzeigen zu laufen, bevor Sie schließlich die Frage bekommenaufgelöst. Wenn Sie mit dem Cisco Gerät Weg gehen, öffnen Sie ein Ticket mit Cisco, und das ist es! Smartnet deckt die Software und die Hardware, so macht es die Problemlösung Prozess viel einfacher. Ich werde sagen, dass es ein letztes Mal: ​​Diese Knoten steuern den Zugriff auf das gesamte Netzwerk!

Mit dieser sagte, lassen Sie uns in die tatsächlichen Einsatzmöglichkeiten erhalten:

• Standalone Ein Knoten laufen alle drei Personas (PAN, MNT, PSN). Keine Redundanz. Begrenzt auf maximal 2000 Endpunkte unabhängig von Hardware-Typ.
• Zwei-Knoten-Deployment Zwei Knoten laufen alle drei Personas (PAN, MNT, PSN). Einfache Redundanz - ein Knoten die primäre Admin-Rolle und sekundäre Überwachungsrolle zugewiesen, und der andere Knoten ist die sekundäre Admin-Rolle und primäre Überwachungsrolle zugewiesen. Beide laufen die Politik-Diensteknoten und Netzwerkzugangsgeräte sind so konfiguriert, beide PSNs zu verwenden. bis maximal 2000 Endpunkte noch begrenzt.
• Mittelständische Deployment - separate Policy Services Knoten Zwei Knoten auf dem Server-Betreiber zu nehmen und Überwachung persona, aber keine Politik Service Persona. Politik Service-Knoten sind eigenständige Boxen. Sie können bis zu 5 PSNs in einem Einsatz, wo die PAN und MNT Verknüpfte werden. Begrenzt auf maximal 10.000 Endpunkte unabhängig von Hardware-Kapazitäten.
• Große Deployment Jede Person hat seinen eigenen dedizierten Knoten. Sie haben einen primären Administrator-Knoten, einen sekundären Admin-Knoten, einen primären Überwachungsknoten, einen sekundären Überwachungsknoten, und bis zu 40 Politik Dienste-Knoten. Dieser Einsatz ist so groß, dass Sie wahrscheinlich Loadbalancer benötigen virtuelle IP-Adressen mit einer Gruppe von PSNs dahinter sitzen zu dienen. Der Endpunkt Kapazität wird auf der Hardware von Knoten basiert. Vor der ISE Version 1.2 war die maximale Kapazität 100.000 Endpunkte. In der Version 1.2 wurde diese Begrenzung auf 250000 Endpunkte erhöht.

Wenn Sie sich für die Performance-Metriken für jedes Gerät, werfen Sie einen Blick auf die Design-Guides ich auf der Suche nach oben verbunden. Es gibt viele Diagramme und andere Leckereien, um alles zu erklären.

Ich habs? Gut! Auf diesen unartigen Jungen Lizenzierung!

Zulassung

ISE wird in ein paar verschiedene Aromen der Lizenzierung angeboten: Funktionalität basierte oder Deployment-basiert.

Funktionalität basiert ist die "Volldampf voraus" Art der Lizenzierung, in der alle Netzzugangsgeräte unterstützt und Feature-Sets sind lizenziert. Sie können von der Basislizenz oder Base Erweiterte Lizenz wählen. Die Basislizenz ist für Implementierungen, die nur noch die Authentifizierung und Autorisierung Benutzern und Geräten, Bereitstellung Gastbenutzer Zugang Reporting-Funktionen und überwachen und Zugriff auf das Netzwerk zu beheben. Die Basislizenz ist unbefristet (es hat keinen Begriff Abonnement Grenze). Die Advanced-Lizenz erweitert die Basislizenz und ermöglicht es Unternehmen, erweiterte Entscheidungen zu treffen (es all die coolen Features, die Sie wirklich in einer Bereitstellung wollen). Die Funktionen umfassen Gerät Onboarding und Provisioning, Geräteprofile und Futter Service, Haltung Dienste, Mobile Device Management-Integration und Sicherheitsgruppe Zugriffsmöglichkeiten. Diese Lizenz ist Ausdruck Basis mit einer Auswahl von 3- oder 5-Jahres-Laufzeit-Abonnements. Die Basislizenz ist eine Voraussetzung für die erweiterte Lizenz.

Deployment-basierte Lizenzierung ist die langsame, schrittweise Annäherung an ISE einzusetzen. Dieser Lizenztyp ermöglicht es Ihnen, mit drahtlosen Endgeräten zu starten nur und zu erweitern, um LAN und VPN später, wenn Ihre Organisation bereit ist. Aufgrund der Komplexität der ISE, empfehle ich mit dem schrittweisen Ansatz und wirklich das Produkt kennen zu lernen, bevor es aus, um die Gesamtheit des Netzes rollen. Der Wireless-Lizenz beinhaltet alles, was die Basis erweiterte Lizenz tut, aber es gilt nur für den drahtlosen Netzzugang Geräte. Die Wireless-Lizenz ist Begriff Basis mit einer Auswahl von 3- oder 5-Jahres-Laufzeit-Abonnements. Diese Lizenz erfüllt normalerweise die meisten BYOD (Bring Your Own Device) Richtlinien-Management für fragen kann. Sobald ISE auf der drahtlosen Front wirksam erwiesen, ist es in der Regel recht einfach, es zu Geräte-LAN und VPN ins Rollen zu rechtfertigen, wie auch die Wireless-Upgrade-Lizenz verwenden. Die WLAN-Upgrade-Lizenz ist die gleiche wie drahtlose, aber es erweitert die Funktionalität von ISE-LAN ​​und VPN-NetzwerkZugriffsvorrichtungen. Es wird auch auf 3- oder 5-Jahres-Bedingungen lizenziert.

Zusammen mit dem Begriff Länge, jede Lizenz hat einen Endpunkt Grenze (100, 250, 500, 1000, 1500, und so weiter). Denken Sie daran, dies ist nicht die gesamte Endpunkte, sondern gleichzeitig Endpunkte autorisiert. Wenn ein Endpunkt nicht autorisiert ist, nicht erhöht es nicht die Lizenzanzahl. Wenn ein Endpunkt autorisiert ist, und dann verlässt das Netzwerk, zählen die Lizenz dekrementiert, weil es deautorisierten.

DAMIT! Hoffentlich wird diese Informationen hilfreich. Es ist viel zu nehmen in, und es gibt viele Ecken und Winkel, um zu navigieren, um eine erfolgreiche ISE Einsatz zu haben. Halten Sie ein Auge für Teil 2: Wireless ISE Deployment, wo ich in die technischen Details des Einsatzes Art bekommen die meisten Unternehmen entscheiden, mit zu beginnen.

Wie immer, lassen Sie bei allen Fragen einen Kommentar unten oder schicken Sie mir eine E-Mail an!