Die heutige Unternehmensnetzwerk ändert sich schnell, vor allem, wenn es um die Mobilität der Mitarbeiter kommt. Die Mitarbeiter sind nicht angebundenen mehr Desktop-Workstations, sondern Unternehmensressourcen über eine Vielzahl von Geräten zuzugreifen: Tablets, Smartphones und persönliche Laptops, um nur einige zu nennen. Die Möglichkeit, den Zugriff auf Ressourcen von überall stark erhöht die Produktivität, sondern erhöht auch die Wahrscheinlichkeit von Datenschutzverletzungen und Sicherheitsbedrohungen, weil Sie nicht die Sicherheitslage der Geräte Zugriff auf das Netzwerk steuern. Den Überblick über alle Geräte Zugriff auf das Netzwerk ist eine große Aufgabe an sich, und als die Notwendigkeit für mehr Zugang entsteht, desto mehr wird nicht nachhaltig um es zu verwalten.
Die Cisco Identity Services Engine (ISE) ist eine identitätsbasierte Netzwerkzugriffskontrolle und Richtliniendurchsetzung System. ISE ermöglicht ein Netzwerk-Administrator zentral Zugriffsrichtlinien steuern für verdrahtete und drahtlose Endgeräte auf Basis von Informationen über RADIUS-Nachrichten zwischen dem Gerät und dem ISE-Knoten, auch bekannt als Profilierung bestanden gesammelt. Die Profilierungs Datenbank wird regelmäßig aktualisiert mit den neuesten und besten Geräte zu halten, so dass keine Lücken in der Vorrichtung Sichtbarkeit sind.
Im Wesentlichen legt ISE eine Identität auf ein Gerät basierend auf Benutzer, Funktion oder andere Attribute Durchsetzung von Richtlinien und die Einhaltung von Sicherheitsvorschriften zu sorgen, bevor das Gerät auf das Netzwerk zugreifen darf. Basierend auf den Ergebnissen aus einer Vielzahl von Variablen kann ein Endpunkt mit einem bestimmten Satz von Zugriffsregeln auf die Schnittstelle angewendet auf das Netzwerk erlaubt werden, das es angeschlossen ist, sonst kann es vollständig auf der Grundlage Ihrer spezifischen Unternehmensrichtlinien der Zugriff verweigert oder gegeben Gast sein .
Lassen Sie uns Herr der Ringe-Stil zur Klärung analogize: ISE ist Gandalf, und der Endbenutzer-Gerät ist die Verfolgung Balrog. Ich denke, Sie wissen, wohin das führt.
ISE eine automatisierte Durchsetzung von Richtlinien-Engine, die Pflege der weltlichen Tag zu Tag Aufgaben wie BYOD Gerät Onboarding können, Gäste-Onboarding, Switch VLAN Änderungen für die Endnutzer, die Zugriffslisten-Management und viele andere, so dass ein Netzwerk-Administrator auf andere konzentrieren sich nimmt wichtige Aufgaben (und coole Projekte!).
Die ISE-Plattform ist in der Regel eine verteilte Bereitstellung von Knoten aus drei unterschiedlichen Persönlichkeiten zusammen: Policy Administration Node (PAN), Überwachung und Fehlerbehebung Knoten (MNT) und Policy Services Node (PSN). Alle drei Rollen erforderlich sind für ISE zu funktionieren.
Die PAN persona ist die Schnittstelle ein Administrator in um protokolliert Richtlinien zu konfigurieren. Es ist die Steuerzentrale des Einsatzes. Dieser Knoten kann ein Administrator Änderungen an der gesamten ISE Topologie zu machen, und diese Änderungen werden aus dem Admin-Knoten zu den Policy Services Knoten (PSN) herausgedrückt.
Die PSN-Persona ist, wo politische Entscheidungen getroffen werden. Dies sind die Knoten, auf denen Network Enforcement Geräte alle Netzwerk-Messaging senden; RADIUS messaging ist ein Beispiel dessen, was an den PSNs gesendet wird. Die Nachrichten werden verarbeitet, und das PSN gibt die go / no-go für den Zugriff auf das Netzwerk.
Die MNT Persona ist, wo die Protokollierung erfolgt und Berichte erzeugt werden. Alle Protokolle werden an diesen Knoten gesendet und es sortiert durch sie, so dass es ihnen in einem lesbaren Format zusammenstellen können. Es wird auch verwendet, um verschiedene Berichte zu generieren, so dass Sie Management glücklich mit schönen Bildern und Zahlen zu machen (* zwinker zwinker *) sowie Sie über alle Alarme für ISE informieren.
Nun, da Sie wissen, was jede Person tut, werfen wir einen Blick darauf, wie alles zusammenpasst als komplettes System. Das Diagramm zeigt eine logische Darstellung der ISE, weil die Personas kann über viele verschiedene Geräte verteilt werden. Machen Sie sich mit der Abbildung unten, und ich werde erklären, was jedes Stück tut:
Die Abbildung oben ist aus dem. Wenn Sie erwägen, ISE bereitstellen, empfehle ich wirklich lesen alle, bevor Sie Ihre Implementierung planen.
Dies ist definitiv ein komplexes Tier mit einer Menge von beweglichen Teilen, aber so lange, wie Sie die Grundlagen im Auge behalten, und es brechen in verschiedenen Teilen nach unten, es ist nicht zu schwer zu implementieren und zu beheben. Der zeitaufwendigste Teil einer Implementierung ist, herauszufinden, Ihre Richtlinien für die Zulassung. Sobald Sie Standardrichtlinien auf der ganzen Linie haben, die Durchsetzung derartiger Richtlinien ist ein Kinderspiel mit ISE. Ich werde in die Politik in meinem nächsten Beitrag gehen, aber lassen Sie uns für den Überblick auf das letzte Thema zu verschieben: Deployment-Topologien und Lizenzierung.
Was ich über hier zu sagen, ist wahrscheinlich der wichtigste Teil eines Einsatzes: VERSUCHEN SIE NICHT, Geld zu sparen durch eine hohe Verfügbarkeit Aufgeben! Diese Knoten steuern den Zugriff auf das gesamte Netzwerk. Wenn diese Knoten nach unten gehen, könnte man genauso gut haben insgesamt Netzwerkausfall, weil niemand bekommen authentifiziert oder autorisiert wird. Entwerfen ISE mit so viel Hochverfügbarkeit, wie Sie sich leisten können. Das einzige Mal, wenn ein Standalone-Einsatz akzeptabel ist, wenn Sie ein sehr kleines Proof-of-concept tun, die nicht die Produktion Endnutzer nicht beeinflusst.
Der andere wichtige Teil einer Implementierung ist die Hardware auf die Umsetzung ISE gewählt. Nun hat Cisco einen ESX / ESXi-Option bieten, aber ich weiß nicht, dass für ein paar Gründe empfehlen. In erster Linie ist das Gerät Option getestet und bewertet auf eine bestimmte Anzahl von Endpunkten zu skalieren. Wenn Sie den ESX / ESXi-Option verwenden, verlieren Sie ein wenig von dieser Berechenbarkeit. Ich sagte es vor, und ich werde es wieder sagen, diese Knoten steuern den Zugriff auf das gesamte Netzwerk, wenn Sie also unberechenbar Leistung haben, dann werden Sie unvorhersehbare Probleme haben. Die andere Sache, die ich ist nicht für einen ESX / ESXi-Option wie etwa Fehlerbehebung. Wenn Sie ein Problem mit der ISE zu tun haben, wollen Sie es wirklich schnell gelöst. Wenn Sie die VM-Bereitstellung verwenden und etwas schief geht, haben Sie Tickets mit Cisco zu öffnen, Ihre Server-Hersteller, VMWare, und alles, was für Ihre Bereitstellung gebunden werden können. Das ist nicht unglaublich effizient, und Sie sind wahrscheinlich in eine Menge Anbieter Fingerzeigen zu laufen, bevor Sie schließlich die Frage bekommenaufgelöst. Wenn Sie mit dem Cisco Gerät Weg gehen, öffnen Sie ein Ticket mit Cisco, und das ist es! Smartnet deckt die Software und die Hardware, so macht es die Problemlösung Prozess viel einfacher. Ich werde sagen, dass es ein letztes Mal: Diese Knoten steuern den Zugriff auf das gesamte Netzwerk!
Mit dieser sagte, lassen Sie uns in die tatsächlichen Einsatzmöglichkeiten erhalten:
Wenn Sie sich für die Performance-Metriken für jedes Gerät, werfen Sie einen Blick auf die Design-Guides ich auf der Suche nach oben verbunden. Es gibt viele Diagramme und andere Leckereien, um alles zu erklären.
Ich habs? Gut! Auf diesen unartigen Jungen Lizenzierung!
ISE wird in ein paar verschiedene Aromen der Lizenzierung angeboten: Funktionalität basierte oder Deployment-basiert.
Funktionalität basiert ist die "Volldampf voraus" Art der Lizenzierung, in der alle Netzzugangsgeräte unterstützt und Feature-Sets sind lizenziert. Sie können von der Basislizenz oder Base Erweiterte Lizenz wählen. Die Basislizenz ist für Implementierungen, die nur noch die Authentifizierung und Autorisierung Benutzern und Geräten, Bereitstellung Gastbenutzer Zugang Reporting-Funktionen und überwachen und Zugriff auf das Netzwerk zu beheben. Die Basislizenz ist unbefristet (es hat keinen Begriff Abonnement Grenze). Die Advanced-Lizenz erweitert die Basislizenz und ermöglicht es Unternehmen, erweiterte Entscheidungen zu treffen (es all die coolen Features, die Sie wirklich in einer Bereitstellung wollen). Die Funktionen umfassen Gerät Onboarding und Provisioning, Geräteprofile und Futter Service, Haltung Dienste, Mobile Device Management-Integration und Sicherheitsgruppe Zugriffsmöglichkeiten. Diese Lizenz ist Ausdruck Basis mit einer Auswahl von 3- oder 5-Jahres-Laufzeit-Abonnements. Die Basislizenz ist eine Voraussetzung für die erweiterte Lizenz.
Deployment-basierte Lizenzierung ist die langsame, schrittweise Annäherung an ISE einzusetzen. Dieser Lizenztyp ermöglicht es Ihnen, mit drahtlosen Endgeräten zu starten nur und zu erweitern, um LAN und VPN später, wenn Ihre Organisation bereit ist. Aufgrund der Komplexität der ISE, empfehle ich mit dem schrittweisen Ansatz und wirklich das Produkt kennen zu lernen, bevor es aus, um die Gesamtheit des Netzes rollen. Der Wireless-Lizenz beinhaltet alles, was die Basis erweiterte Lizenz tut, aber es gilt nur für den drahtlosen Netzzugang Geräte. Die Wireless-Lizenz ist Begriff Basis mit einer Auswahl von 3- oder 5-Jahres-Laufzeit-Abonnements. Diese Lizenz erfüllt normalerweise die meisten BYOD (Bring Your Own Device) Richtlinien-Management für fragen kann. Sobald ISE auf der drahtlosen Front wirksam erwiesen, ist es in der Regel recht einfach, es zu Geräte-LAN und VPN ins Rollen zu rechtfertigen, wie auch die Wireless-Upgrade-Lizenz verwenden. Die WLAN-Upgrade-Lizenz ist die gleiche wie drahtlose, aber es erweitert die Funktionalität von ISE-LAN und VPN-NetzwerkZugriffsvorrichtungen. Es wird auch auf 3- oder 5-Jahres-Bedingungen lizenziert.
Zusammen mit dem Begriff Länge, jede Lizenz hat einen Endpunkt Grenze (100, 250, 500, 1000, 1500, und so weiter). Denken Sie daran, dies ist nicht die gesamte Endpunkte, sondern gleichzeitig Endpunkte autorisiert. Wenn ein Endpunkt nicht autorisiert ist, nicht erhöht es nicht die Lizenzanzahl. Wenn ein Endpunkt autorisiert ist, und dann verlässt das Netzwerk, zählen die Lizenz dekrementiert, weil es deautorisierten.
DAMIT! Hoffentlich wird diese Informationen hilfreich. Es ist viel zu nehmen in, und es gibt viele Ecken und Winkel, um zu navigieren, um eine erfolgreiche ISE Einsatz zu haben. Halten Sie ein Auge für Teil 2: Wireless ISE Deployment, wo ich in die technischen Details des Einsatzes Art bekommen die meisten Unternehmen entscheiden, mit zu beginnen.
Wie immer, lassen Sie bei allen Fragen einen Kommentar unten oder schicken Sie mir eine E-Mail an!