【正文】 監(jiān)控與故障排除 通過一個基于 Web 的 GUI 對組件進行集中監(jiān)控、報告和故障排除，為 網(wǎng)絡操作員提供幫助。 終端狀態(tài) 檢查 連接至網(wǎng)絡的所有類型用戶的 終端設備的 狀 態(tài)。也可動態(tài)創(chuàng)建屬性并保存，以備后用。 所有訪客的認證、授權和審計的 日志 ，都能夠記錄并保存下來。 ? 應用場景 和挑戰(zhàn) 考慮到零售 行業(yè) 遍布全國 ，存在 大量分支機構的場景。其他人在辦公室使用虛擬桌面可以訪問 Youtube 和其他與工作無關的網(wǎng)站。按照訪問制度，他不允許訪問這些數(shù)據(jù)，原因是坐在他旁邊的人有可能窺探到這些信息，甚至對這些數(shù)據(jù)拍照。要想增加更加精細的訪問控制，高安全模式通過分配動態(tài) VLAN 去隔離不同類型的接入用戶到不同的廣播域中。 下圖描述了在 低影響模式 下，交換機對接入設備是進行認證和授權的過程： 低影響 模式部署是通過在交換機端預先設置 ACL 的方式，對接入網(wǎng)絡訪問的設備進行授權，這樣做對整個 ISE 的部署有以下好處： ? 最低限度的減少對用戶的影響 ? 最低限度的減少對終端設備接入的影響 ? 最低限度的減少對網(wǎng)絡的影響 第 22 頁 . 高安全模式 完成低影響模式后，就可以進入 高安全模式，返回了傳統(tǒng)的 部署模式。比如，可以了解哪些終端主機（ PC，打印機，攝像頭等）正在連接到網(wǎng)絡中，從什么位置連接的，是否支持 ，以及他們是否有合法的訪問帳號。 在 典型的高可用性部署中， 主節(jié)點和備節(jié)點 都 可以 運行在不同的物理設備或者虛擬機 上。 在中型網(wǎng)絡的部署中，主 ISE 節(jié)點負責所有配置和管理，備 ISE 節(jié)點作為策略服務角色來完成所有的 AAA 認證和授權。 第 17 頁 ? 小型網(wǎng)絡 ISE 的 典型部署 主 ISE 節(jié)點提供了所有的配置，包括 認證和 授權 策略管理，集中了 管理、策略 執(zhí)行 、日志監(jiān)控等所有角色。 。該角色僅僅在網(wǎng)絡設備不支持 Radius 的一些控制功能 ， 如CoA 時，才 需要部署。典型的高可用性部署中， 主節(jié)點和備節(jié)點 和都 可以運行在不同的物理設備或者虛擬設備上。 . 集中 式 管理 思科 ISE 的每個節(jié)點都可以同時運行所有的角色或服務 。 . 安全組訪問 策略 思科 ISE 支持安全組訪問 Secure Group Access（簡稱 SGA）控制功能，用來對接入網(wǎng)絡的用戶或終端設備進行訪問授權。當訪客認證成功后，訪客就具備了在某個時間范圍內訪問 VLAN 或 dACL 設定的網(wǎng)絡資源。 ? 接待人 ： 是指 有創(chuàng)建臨時網(wǎng)絡訪問帳號 權限 的 企業(yè)員工 ，例如公司前臺接待人可以通過一個 Web 門戶頁面創(chuàng)建和管理訪客的臨時帳號。 第 10 頁 思科 ISE 通過 在客戶端 安裝 NAC Agent 插件 來對其進行健康狀態(tài)評估，并提供對客戶端 設備的修復功能。 . 終端設備類型的識別 思科 ISE 集成了設備識別 （稱為 Profiling） 的功能，可以檢測并識別 接入網(wǎng)絡中的設備的類型。 思科 ISE 作為控制平面，可以實現(xiàn)對有線、無線和遠程 VPN 接入網(wǎng)絡的用戶或設備進行認證和授權。 第 6 頁 ? 合規(guī)性： 通過確保執(zhí)行和審核必要的控制措施使企業(yè)符合監(jiān)管的要求，只有合規(guī)用戶才能獲得完全訪問網(wǎng)絡， 不合規(guī)用戶 被 隔離到有限的網(wǎng)絡區(qū)域 。通過對指定的終端設備進行具體設備屬性掃描來增加基于網(wǎng)絡的 設備識別 ，從而更準確、更全面地了解網(wǎng)絡狀況。 ? 阻止未授權的網(wǎng)絡訪問，保護企業(yè)敏感數(shù)據(jù)和信息。 解決方案和 SecureX 架構的不可或缺的組成部分。此外 ，隨著企業(yè)開始重視自身的 敏感 數(shù)據(jù)和信息的安全性，嚴格控制對敏感信息和重要數(shù)據(jù)的訪問權限，對網(wǎng)絡的使用者，包括公司員工、合作伙伴或者臨時訪客，都需要依據(jù)其身份進行 訪問 權限的分配。這樣極大地降低了復雜性，實現(xiàn)了整個企業(yè) 網(wǎng)絡安全策略 的一致性。 ? 無需管理員操作，能夠通過阻止、隔離和在隔離區(qū)域內修復不合規(guī)設備來實施安全策略 。 思科 ISE 借助于各種類型的設備探測與識別，靈活的終端訪問控制，提供了全面的 BYOD解決方案，是唯一能夠 利用網(wǎng)絡設備傳感器和實時地 終端設備掃描 的廠商，幫助企業(yè)用戶為種類繁多的 BYOD 提供訪問 控制 策略。 思科 ISE 支持以下訪問應用場景： ? 實現(xiàn) 用戶和 終端 設備 的 AAA 功能 ； ? 通過檢查連接到網(wǎng)絡中的所有 終端 設備的健康狀態(tài)，實現(xiàn)終端設備的合規(guī)性檢查； ? 所有基于 IP 類型的設備，包括 IP 話機，打印機等，對其進行設備識別，分類和授權，以及設備接入網(wǎng)絡后的授權變更； ? 各種合規(guī)性報表； ? 訪客生命周期管理； ? 高級的 安全組訪問 策略控制 。 這包括了高級 RADIUS 的特性，比如 FlexAuth，監(jiān)控模式，多域認證 (MultiDomain Authentication)。 思科 ISE 提供了預配置設備類型庫，同時也支持用戶自定義各種類型的設備類型庫。 ISE 管理員可以根據(jù)用戶類型，角色和時間確定是否可以訪問內網(wǎng)或者公網(wǎng)。 通過訪客服務，可以大大降低企業(yè) IT 第 11 頁 人員的工作 負荷，同時對所有訪客的訪問記錄都進行了審計。 ? 訪客接待人 報表 ： 顯示接待人創(chuàng)建的訪客帳號的情況，以及通過自助服務方式登錄到網(wǎng)絡的訪客的數(shù)量。 . MACSec 加密 思科 ISE 支持基于 標準 的 MACSec 加密 功能， 即在媒體訪問控制層提供數(shù)據(jù)加密， 能夠提供從客戶端到網(wǎng)絡設備，以及網(wǎng)絡設備之間的數(shù)據(jù)以密文 方式 進行傳輸， 實現(xiàn)了等同于無線或 VPN 接入 的 數(shù)據(jù) 加密， 解決了有線用戶局域網(wǎng)接入的數(shù)據(jù) 傳輸 安全的問題 。 ISE 典型部署架構 . 組件描述 思科 ISE包含了四個組件： 管理節(jié)點 Administration)， 策略服務節(jié)點 Policy Service，在線策略執(zhí)行 Inline Posture 和 報表與監(jiān)控節(jié)點 Monitoring and Troubleshooting，這些組件也可以稱為 ISE 的 角色，每個角色提供不同的服務，每個部署節(jié)點可以承擔一個或多個角色的功能。部署中可以有多種高可用性的部署選項。該節(jié)點還還對相關數(shù)據(jù)進行整理，通過各種形式的報表呈現(xiàn)出來。 o 下載 ACL 通過認證的用戶或終端設備，思科 ISE 可以通過預先定義的 ACL，將其下發(fā)到終端設備連接的交換機的接口上。這種方式要求每個節(jié)點都能夠支持所有的 AAA 認證負載，這樣可以確保任意一個節(jié)點出現(xiàn)故障時，另一個節(jié)點都可以支持所有的認證請求。 在大型網(wǎng)絡集中式部署場景中，通常使用多臺 ISE 作為策略服務節(jié)點，因此使用負載均衡設備可以 大大地簡化 AAA 認證設備的配置，同時還提供了 認證請求的負載均衡和高可用性機制。 Open Access 模式在啟用認證，如 、 MAB 或 WebAuth 等 情況下，即使在認證失敗的情況下，仍然允許接入到網(wǎng)絡中。低影響模式 同時保留 了 原有的網(wǎng)絡可視化 功能 。這是因為交換機總是先采用最安全的認證方式，直到超時后轉到 MAB等認證方式。 ，允許 連接到公司內網(wǎng)的 公司 配發(fā) 筆記本電腦訪問，禁止通過 iPad 訪問。 ? 應用場景 和挑戰(zhàn) Joe 使用了虛擬桌面。 滿足最低要求是服務的底線。 IT 部門如何能夠提供基于設備和服務場景提供不同優(yōu)先級的，具備可擴展性，可靠的服務？ ? ISE 解決方案 根據(jù)用戶的需求描述， ISE 提供了基于策略的 解決方案部署： 第 26 頁 通過 ISE 完成以下的認證與授權策略的配置 ： 設備 目標資源 設備類型 動作 POS 系統(tǒng) PCI 后臺交易系統(tǒng) 公司設備 設置 白金級別 QoS 策略 安全攝像頭 總部安全部門 公司設備 設置 金牌級別 QoS 策略 完成 ISE 部署之后， ISE 提供以下的監(jiān)控與審計報表： 設備 目標資源 時間 位置 應用場景 動作 POS 系統(tǒng) （公司設備） PCI 后臺交易系統(tǒng) 17:30 廣州分公司 白 金 級 別QoS 服務 授權 動作 ， 授權 時間 IP 攝像頭 （公司設備） 總部 視頻服務器 18:01 濟南分公司 金 牌 級 別QoS 服務 授權 動作 ， 授權 時間 IP 攝像頭 （未知設備） 外部視頻服務器 16:05 武漢公司 任意 拒絕 動作 ， 發(fā)送 告警 . 場景四 ? 需求描述 訪客接入網(wǎng)絡需要通過認證才能訪問網(wǎng)絡，由不同部門的 接待人 為訪客創(chuàng)建臨時訪問帳號。 認 證協(xié) 議 通過安全隧道的 EAP 靈活身份驗證 (FAST) 以及 EAP 傳輸層安全 (TLS) 支持眾多身份驗證協(xié)議，包括 PAP、 MSCHAP、可擴展身份驗證協(xié)議 (EAP)MD受保護的 EAP (PEAP)。管理員還可以根據(jù)設備類型關聯(lián) 與其相關的 授權策略。這樣有助于減少網(wǎng)絡風險 ，增強安全性。 安裝 ISE 的物理設備型號有以下 3 種： 思科身份服務引擎設備 3315（小型） 思科身份服務引擎設備 3355（中型） 思科身份服務引擎 3395（大型） 處理器 1 個 四核英特爾酷睿 2 CPU Q9400（ GHz） 1 個四核英特爾至強 CPU E5504（ GHz） 2 個四核英特爾至強 CPU E5504（ GHz） 內存 4 GB 4 GB 4 GB 硬盤 2 個 250GB SATA 硬盤 2 個 300GB SAS 驅動器 4 個 300GB SFF SAS 驅動器 RAID 否 是 (RAID 0) 是 (RAID 0+1) 可移動介質 CD/DVDROM 光驅 CD/DVDROM 光驅 CD/DVDROM 光驅 網(wǎng)絡連接 以太網(wǎng)卡 單個 集成的千兆網(wǎng)卡 4 個集成的千兆以太網(wǎng)卡 4 個集成的千兆以太網(wǎng)卡 10BASET 電纜支持 Cat 4 或 5 無屏蔽雙絞線 (UTP) 長達 328 英尺 （ 100 米 ） Cat 4 或 5 UTP 長達 328 英尺（ 100 米） Cat 4 或 5 UTP 長達 328 英尺（ 100 米） 10/100/1000BASETX 電纜支持 Cat 5 UTP 長達 328 英尺（ 100 米） Cat 5 UTP 長達 328 英尺（ 100 米） Cat 5 UTP 長達 328 英尺（ 100 米） 安全套