【導(dǎo)讀】思科可信網(wǎng)絡(luò)架構(gòu)。ISE解決方案建議書(shū)。思科系統(tǒng)網(wǎng)絡(luò)技術(shù)有限公司

　　

【正文】 高級(jí) QoS 的白金服務(wù)，次高 級(jí) QoS 的 金牌服務(wù)，銀牌服務(wù)，銅牌服務(wù)等諸如此類(lèi)。 滿足最低要求是服務(wù)的底線。 IT 經(jīng)理希望制定一些策略能夠自動(dòng)的實(shí)現(xiàn)這些要求。 ? ISE 解決方案 根據(jù)用戶的需求描述， ISE 解決方案部署如下圖： 第 25 頁(yè) 通過(guò) ISE 完成以下的認(rèn)證與授權(quán)策略的配置，以滿足企業(yè) 策略應(yīng)用的 要求： 角色 設(shè)備 /技術(shù) 位置 應(yīng)用 服務(wù) 動(dòng)作 全體 iPad 任意 使用 Webex 允許訪問(wèn)，并提供最優(yōu)訪問(wèn) QoS 銷(xiāo)售經(jīng)理 虛擬桌面 園區(qū)網(wǎng)或分支機(jī)構(gòu) 視頻 允許 訪問(wèn)，提供 銅牌級(jí)別QoS 總經(jīng)理 思科網(wǎng)真 分支機(jī)構(gòu) 用戶會(huì)議 允許 訪問(wèn)， 白金級(jí)別QoS(1080P 分辨率 ) . 場(chǎng)景三 ? 需求描述 確保 銷(xiāo)售門(mén)店的 POS 系統(tǒng)和部署在分支機(jī)構(gòu)的攝像頭 正常工作 ， 并 分配最高優(yōu)先級(jí) 的 QoS 服務(wù)。 ? 應(yīng)用場(chǎng)景 和挑戰(zhàn) 考慮到零售 行業(yè) 遍布全國(guó) ，存在 大量分支機(jī)構(gòu)的場(chǎng)景。分支機(jī)構(gòu)通過(guò)有限的互聯(lián)網(wǎng)鏈路連接到總部。公司管理層最關(guān)心的是客戶買(mǎi)賣(mài)交易的成功進(jìn)行，同時(shí)公司的安全部門(mén)能夠通過(guò) IP 攝像頭對(duì)分支機(jī)構(gòu)進(jìn)行視頻監(jiān)控 。 這是典型的零售行業(yè)的網(wǎng)絡(luò)環(huán)境，同時(shí)對(duì)多個(gè)分支機(jī)構(gòu)進(jìn)行各種配置，是一個(gè)耗時(shí)又容易出錯(cuò)的工作 。 任何配置的變更，比如修改“下班時(shí)間”的定義，都會(huì)給管理人員帶來(lái)繁瑣的工作。 IT 部門(mén)如何能夠提供基于設(shè)備和服務(wù)場(chǎng)景提供不同優(yōu)先級(jí)的，具備可擴(kuò)展性，可靠的服務(wù)？ ? ISE 解決方案 根據(jù)用戶的需求描述， ISE 提供了基于策略的 解決方案部署： 第 26 頁(yè) 通過(guò) ISE 完成以下的認(rèn)證與授權(quán)策略的配置 ： 設(shè)備 目標(biāo)資源 設(shè)備類(lèi)型 動(dòng)作 POS 系統(tǒng) PCI 后臺(tái)交易系統(tǒng) 公司設(shè)備 設(shè)置 白金級(jí)別 QoS 策略 安全攝像頭 總部安全部門(mén) 公司設(shè)備 設(shè)置 金牌級(jí)別 QoS 策略 完成 ISE 部署之后， ISE 提供以下的監(jiān)控與審計(jì)報(bào)表： 設(shè)備 目標(biāo)資源 時(shí)間 位置 應(yīng)用場(chǎng)景 動(dòng)作 POS 系統(tǒng) （公司設(shè)備） PCI 后臺(tái)交易系統(tǒng) 17:30 廣州分公司 白 金 級(jí) 別QoS 服務(wù) 授權(quán) 動(dòng)作 ， 授權(quán) 時(shí)間 IP 攝像頭 （公司設(shè)備） 總部 視頻服務(wù)器 18:01 濟(jì)南分公司 金 牌 級(jí) 別QoS 服務(wù) 授權(quán) 動(dòng)作 ， 授權(quán) 時(shí)間 IP 攝像頭 （未知設(shè)備） 外部視頻服務(wù)器 16:05 武漢公司 任意 拒絕 動(dòng)作 ， 發(fā)送 告警 . 場(chǎng)景四 ? 需求描述 訪客接入網(wǎng)絡(luò)需要通過(guò)認(rèn)證才能訪問(wèn)網(wǎng)絡(luò)，由不同部門(mén)的 接待人 為訪客創(chuàng)建臨時(shí)訪問(wèn)帳號(hào)。 ? 應(yīng)用場(chǎng)景 和挑戰(zhàn) 外來(lái)訪客或合作伙伴來(lái)到 公司時(shí)，有連接 互聯(lián)網(wǎng) 訪問(wèn)的需求，包括有線用戶和無(wú)線用戶，都需要經(jīng)過(guò)認(rèn)證和授權(quán)才可以訪問(wèn) 互聯(lián)網(wǎng) 。同時(shí)，這些訪客的設(shè)備不能訪問(wèn)到內(nèi)網(wǎng)的設(shè)備和資源。 所有訪客的認(rèn)證、授權(quán)和審計(jì)的 日志 ，都能夠記錄并保存下來(lái)。 對(duì)于合作伙伴允許其采用自服務(wù)的方式，接入網(wǎng)絡(luò)中，不需要每次都有 接待人 提供訪問(wèn)帳號(hào)。， ? ISE 解決方案 根據(jù)用戶的需求描述， ISE 提供了 訪客 服務(wù) 。對(duì)于一般訪客而言，通過(guò) 接待人 為其創(chuàng)建臨時(shí)帳號(hào)；對(duì)于合作伙伴或經(jīng)常來(lái)的客人，提供自服務(wù)功能，包括自帶設(shè)備（即 BYOD） 的注冊(cè)訪問(wèn)功能。 第 27 頁(yè) 通過(guò) ISE 完成以下的認(rèn)證與授權(quán)策略的配置： 用戶 角色 設(shè)備 接入方式 認(rèn)證方式 授權(quán)策略 普通 訪客 任意 任意 有線 WebAuth 訪問(wèn) 互聯(lián)網(wǎng) 普通 訪客 任意 任意 無(wú)線 WebAuth 訪問(wèn) 互聯(lián)網(wǎng) 合作伙伴 任意 BYOD 有線 自助服務(wù) 訪問(wèn) 互聯(lián)網(wǎng) 合作伙伴 任意 BYOD 無(wú)線 自助服務(wù) 訪問(wèn) 互聯(lián)網(wǎng) 第 28 頁(yè) 6. 附錄 . ISE 功能特性 思科 ISE 身份服務(wù)引擎支持以下功能特性： 特性 描述 AAA 協(xié) 議 使用標(biāo)準(zhǔn)的 RADIUS 協(xié)議進(jìn)行身份驗(yàn)證、授權(quán)和審計(jì) (AAA)。 認(rèn) 證協(xié) 議 通過(guò)安全隧道的 EAP 靈活身份驗(yàn)證 (FAST) 以及 EAP 傳輸層安全 (TLS) 支持眾多身份驗(yàn)證協(xié)議，包括 PAP、 MSCHAP、可擴(kuò)展身份驗(yàn)證協(xié)議 (EAP)MD受保護(hù)的 EAP (PEAP)。 策略模型 提供基于規(guī)則 、屬性驅(qū)動(dòng)的策略模型，用以創(chuàng)建靈活的、與業(yè)務(wù)相關(guān)的訪問(wèn)控制策略。屬性是從預(yù)定義字典提取的，包含以下信息：用戶和 終端設(shè)備 份、安全狀態(tài)驗(yàn)證、身份驗(yàn)證協(xié)議、分析身份或其他外部屬性來(lái)源，從而創(chuàng)建精細(xì)策略。也可動(dòng)態(tài)創(chuàng)建屬性并保存，以備后用。 訪問(wèn)控制 提供了多種使用思科網(wǎng)絡(luò)設(shè)備高級(jí)功能的訪問(wèn)控制機(jī)制，包括可下載的訪問(wèn)控制列表 (dACL)、 VLAN 分配、 URL 重定向以及 SGA 標(biāo)簽。 設(shè)備識(shí)別 設(shè)備出場(chǎng)就預(yù)置了 各種 終端設(shè)備 （如 IP 電話、打印機(jī)、 IP 相機(jī)、智能手機(jī)和平板電腦）的 設(shè)備模板。此外，管理員還可以創(chuàng)建屬于自己的設(shè)備模板。當(dāng)終端設(shè)備 連接至網(wǎng)絡(luò)時(shí)，這些模板可用于自動(dòng)檢測(cè)、分類(lèi)和關(guān)聯(lián)管理員定義的身份 組 。管理員還可以根據(jù)設(shè)備類(lèi)型關(guān)聯(lián) 與其相關(guān)的 授權(quán)策略。 訪客生命周期管理 支持全面 訪 客生命周期管理，由此訪客用戶可以通過(guò)管理員授權(quán)身份或通過(guò)訪客門(mén)戶頁(yè)面 進(jìn)行自 服務(wù) 的方式在限定時(shí)間 段內(nèi)訪問(wèn)網(wǎng)絡(luò)。允許管理員根據(jù)企業(yè)的具體需求自定義門(mén)戶 或策略。 終端狀態(tài) 檢查 連接至網(wǎng)絡(luò)的所有類(lèi)型用戶的 終端設(shè)備的 狀 態(tài)。無(wú)論是通過(guò)一個(gè)永久的基于客戶端的 Agent 程序 還是通過(guò)臨時(shí) Agent 程序進(jìn)行操作，都可以驗(yàn)證終端設(shè)備符合 企業(yè)的狀態(tài)策略?？蓜?chuàng)建強(qiáng)大的 評(píng)估 策略，檢查 終端設(shè)備 的以下?tīng)顟B(tài)信息：最新操作 系統(tǒng)補(bǔ)丁、使用當(dāng)前定義文件變量（版本、日期等）的防病毒 /反間諜軟件包、注冊(cè)表（項(xiàng)、值等）以及應(yīng)用 程序 。此外，身份服務(wù)引擎還支持客戶端 的自動(dòng)修復(fù)，以及定期重新評(píng)估，以確保終端設(shè)備沒(méi)有違反公司策略。 終端保護(hù)服務(wù) 讓管理員能夠?qū)W(wǎng)絡(luò)中有泄漏危險(xiǎn)的終端快速采取糾正操作（隔離、解除隔離或關(guān)機(jī)）。這樣有助于減少網(wǎng)絡(luò)風(fēng)險(xiǎn) ，增強(qiáng)安全性。 集中管理 支持管理員在單個(gè)基于 Web 的 GUI 控制臺(tái)上集中配置和管理分析器、狀態(tài)、訪客、身份驗(yàn)證和授權(quán)服務(wù)。通過(guò)統(tǒng)一管理所有服務(wù)大大簡(jiǎn)化管理工作。 監(jiān)控與故障排除 通過(guò)一個(gè)基于 Web 的 GUI 對(duì)組件進(jìn)行集中監(jiān)控、報(bào)告和故障排除，為 網(wǎng)絡(luò)操作員提供幫助。提供所有服務(wù)的 全面歷史和實(shí)時(shí)報(bào)告、所有活動(dòng)的記錄以及連接至網(wǎng)絡(luò)的所有用戶和設(shè)備 的 狀態(tài) 。 平臺(tái)選擇 可用平臺(tái)包括 物理 設(shè)備 或虛擬設(shè)備， 共 有三個(gè)物理設(shè)備型號(hào)和 基于 VMware ESX 或 ESXi 的虛擬 設(shè)備 第 29 頁(yè) . ISE 設(shè)備型號(hào)與規(guī)格 思科 ISE 身份服務(wù)引擎 提供了兩種安裝方式：安裝在硬件物理設(shè)備或安裝在VMWare 虛擬機(jī)上。 安裝 ISE 的物理設(shè)備型號(hào)有以下 3 種： 思科身份服務(wù)引擎設(shè)備 3315（小型） 思科身份服務(wù)引擎設(shè)備 3355（中型） 思科身份服務(wù)引擎 3395（大型） 處理器 1 個(gè) 四核英特爾酷睿 2 CPU Q9400（ GHz） 1 個(gè)四核英特爾至強(qiáng) CPU E5504（ GHz） 2 個(gè)四核英特爾至強(qiáng) CPU E5504（ GHz） 內(nèi)存 4 GB 4 GB 4 GB 硬盤(pán) 2 個(gè) 250GB SATA 硬盤(pán) 2 個(gè) 300GB SAS 驅(qū)動(dòng)器 4 個(gè) 300GB SFF SAS 驅(qū)動(dòng)器 RAID 否 是 (RAID 0) 是 (RAID 0+1) 可移動(dòng)介質(zhì) CD/DVDROM 光驅(qū) CD/DVDROM 光驅(qū) CD/DVDROM 光驅(qū) 網(wǎng)絡(luò)連接 以太網(wǎng)卡 單個(gè) 集成的千兆網(wǎng)卡 4 個(gè)集成的千兆以太網(wǎng)卡 4 個(gè)集成的千兆以太網(wǎng)卡 10BASET 電纜支持 Cat 4 或 5 無(wú)屏蔽雙絞線 (UTP) 長(zhǎng)達(dá) 328 英尺 （ 100 米 ） Cat 4 或 5 UTP 長(zhǎng)達(dá) 328 英尺（ 100 米） Cat 4 或 5 UTP 長(zhǎng)達(dá) 328 英尺（ 100 米） 10/100/1000BASETX 電纜支持 Cat 5 UTP 長(zhǎng)達(dá) 328 英尺（ 100 米） Cat 5 UTP 長(zhǎng)達(dá) 328 英尺（ 100 米） Cat 5 UTP 長(zhǎng)達(dá) 328 英尺（ 100 米） 安全套接層 (SSL) 加速卡 無(wú) Cavium CN1620400NHBG Cavium CN1620400NHBG 接口 串行端口 1 個(gè) 1 個(gè) 1 個(gè) USB 端口 4 個(gè)（ 2 個(gè)前置、 2 個(gè)后置） 4 個(gè)（ 1 個(gè)前置、 1 個(gè)內(nèi)置、 2 個(gè)后置 4 個(gè)（ 1 個(gè)前置、 1 個(gè)內(nèi)置、 2 個(gè)后置） 視頻端口 1 個(gè) 1 個(gè) 1 個(gè) 外部 SCSI 端口 無(wú) 無(wú) 無(wú) 系統(tǒng)部件 外形 機(jī)架安裝式 1 RU 機(jī)架安裝式 1 RU 機(jī)架安裝式 1 RU 重量 全配置情況下 28 磅（ 千克 ） 全配置情況下 35 磅（ 千克） 全配置情況下 35 磅（ 千克） 尺寸 x x 22 英寸 （ 43 x 440 x 毫米 ） x x 英寸 （ 43 x x 711 毫米 ） x x 英寸 （ 43 x x 711 毫米 ） 電源 350W 雙 675W（冗余） 雙 675W（冗余） 散熱風(fēng)扇 6 個(gè)，非熱插拔，無(wú)冗余 9 個(gè)，冗余 9 個(gè)，冗余 第 30 頁(yè) BTU 額定率 1024 BTU/小時(shí) (300W) 2661 BTU/小時(shí) (120V) 2661 BTU/小時(shí) (120V) 法規(guī)與標(biāo)準(zhǔn)合規(guī)性 行業(yè)認(rèn)證 Criteria EAL2 Criteria EAL2 Criteria EAL2 思科 ISE 也可以安裝在 VMWare ESX 或 ESXi 虛擬機(jī)上 ，但要求虛擬機(jī)的硬件配置不能上面 3 中硬件設(shè)備的配置。 . 網(wǎng)絡(luò)設(shè)備的功能特性 思科 ISE 與網(wǎng)絡(luò)設(shè)備的組件的功能兼容性列表 ，請(qǐng)?jiān)L問(wèn)以下 鏈接：