【正文】 ............................................................................................ 14 . 組件描述 ............................................................................................................................................... 14 . ISE 工作流程 ........................................................................................................................................ 15 . 小型網(wǎng)絡部署 ....................................................................................................................................... 16 . 中型網(wǎng)絡部署 ....................................................................................................................................... 18 . 大型網(wǎng)絡部署 ....................................................................................................................................... 18 4. 分階段部署 ................................................................................................................................................... 20 . 監(jiān)控模式 ............................................................................................................................................... 20 . 低影響模式 ........................................................................................................................................... 21 . 高安全模式 ........................................................................................................................................... 22 5. 思科 ISE應用場景 ...................................................................................................................................... 23 . 場景一 ................................................................................................................................................... 23 . 場景二 ................................................................................................................................................... 24 . 場景三 ................................................................................................................................................... 25 . 場景四 ................................................................................................................................................... 26 6. 附錄 ................................................................................................................................................................ 28 . ISE 功能特性 ........................................................................................................................................ 28 . ISE 設備型號與規(guī)格 ........................................................................................................................... 29 . 網(wǎng)絡設備的功能特性 .......................................................................................................................... 30 第 3 頁 1. 概述 . 背景 與挑戰(zhàn) 隨著 網(wǎng)絡技術的不斷發(fā)展，企業(yè)網(wǎng)絡的 訪問和 接入方式呈現(xiàn)多樣化的趨勢，包括無線、有線以及遠程接入 VPN 等 方式 ，得到了越來越多的應用 。思科 ISE 的獨特 架構可幫助企 業(yè)從網(wǎng)絡、用戶和設備收集實時 信息，通過在有線、無線和遠程網(wǎng)絡 訪問等多種情景下， 實施 訪問控制策略，并以此 制定出有效 的管理決策。 ? 提供可定制門戶網(wǎng)站及網(wǎng)頁托管，簡化業(yè)務定義工作流程，提升整體的用戶訪問體驗。通過該服務，管理員可以對某個終端設備進行操作，例如將終端設備分配 到新的 VLAN、返回原始 VAN、或將此終端完全與網(wǎng)絡隔離。 第 7 頁 2. 思科可信網(wǎng)絡 架構 . 身份和訪問策略控制 思科 ISE 是思科可信網(wǎng)絡解決方案的關鍵組件。分組授權可以通過動態(tài) VLAN 或者 dACL，以及 URL 重定向等方式對訪問企業(yè)資源進行進一步的限制。 思科 ISE 可以使用以下屬性來識別設備類型： ? MAC OUI ? DHCP 信息 ? RADIUS 信息 ? HTTP 信息 ? DNS 查詢信息 第 9 頁 ? NetFlow 信息 ? NMAP ? SNMPQUERY ? SNMPTRAP ISE 的 設備識別是一個持續(xù)的過程。 NAC Agent 可以幫助完成防病毒和防惡意軟件特征庫的更新，發(fā)布文件到策略服務節(jié)點上，發(fā)布用于更新防病毒特征庫的網(wǎng)站的鏈接。 ? 管理員 ： 是指 能夠對 在 ISE 上對接待人權限 進行配置和管理的帳號。 ? 訪客行為報表 ： 監(jiān)控已經(jīng)通過認證的，已經(jīng)連接到網(wǎng)絡中的訪客。 如下圖所示， 醫(yī)生和 IT 管理員接入網(wǎng)絡后，分別分配了 SGT=6 和 SGT=10 的標 第 12 頁 簽，根據(jù) SGACL 列表中分配的訪問權限，醫(yī)生可以訪問敏感信息服務器，但是禁止訪問 IT 服務器，而 IT 管理員運行訪問 IT 服務器，但是禁止訪問敏感信息服務器。 思科 ISE 的管理員能夠通過用戶界面集中進行網(wǎng)絡身份的管理，分配不同的管理員角色和權限，賦予不同的管理任務，包括： ? 用戶角色和 分配 任務的數(shù)據(jù)庫 ? 集中式的管理工作區(qū) ? 網(wǎng)絡監(jiān)控與安全狀況概覽 ? 復雜數(shù)據(jù)的直觀可視化 ISE 提供全面的的報表 ，能夠顯示認證、授權、審計、終端檢查、探測、訪客管理等詳細的當前和歷史信息。 Administration 節(jié)點整合了傳統(tǒng)的思科 NAC Manager 的功能，以及 ACS功能以及 ACS 視圖功能。 ISE 支持 同時 部署兩個 在線策略 節(jié)點，配置為 ActiveStandby 的高可用部署模式。 o MAB 對于不支持 認證的終端設備，如打印機、 IP 話機、 IP 攝像頭等 不支持交互式認證的 設備， 在接入有線或無線網(wǎng)絡時， 可以在交換機端口或無線控制器啟用 MAB（ MAC Authentication Bypass）方式進行認證 ，思科 ISE 作為 Radius 服務器的 ，完成對這類終端設備的 MAB 認證。 在這種部署模式下， 所有的認證、授權和審計的行為都是通過網(wǎng)絡設備與 主 ISE節(jié)點完成的 ，只有在主節(jié)點出現(xiàn)故障時，才會訪問備節(jié)點 。 . 大型網(wǎng)絡部署 在大型網(wǎng)絡部署中，通常要包括一個主 ISE 節(jié)點，多個備 ISE 節(jié)點，這種部署可以支持最大 10000 個并發(fā)的終端設備。 下面是 三種部署模式， 對應不同的部署階段： ? 監(jiān)控 模式 ? 低影響 模式 ? 高安全 模式 . 監(jiān)控 模式 監(jiān)控模式部署的目的是，監(jiān)控網(wǎng)絡狀況，評估潛在風險，為啟用認證和授權的訪問控制部署做好準備。 思科 ISE 在監(jiān)控模式部署階段中， 提供了整個網(wǎng)絡的可視性， 詳細地記錄了認證 第 21 頁 和審計的信息，這些信息包括： ? 通過或失敗的 EAP 認證請求 支持 的終端設備列表 不支持 的終端設備列表 ? 通過或失敗的 MAB 認證請求 有效的 MAC 地址列表 無效的或者未知 的 MAC 地址列表 管理員根據(jù)這些 設備列表 信息，將對認證失敗或無效 MAC 的終端設備進行故障排除，直到所有終端設備都能成功通過認證 ，就可以結束監(jiān)控模式，進入 低影響 模式。 在高安全部署模式中，交換機端口是關閉的，只有通過認證后才會打開。 對于認證失敗或者不支持認證的設備，交換機