Поиск...

четверг, 31 августа 2017 г.

Cisco Identity Services Engine (ISE) (Часть №1)

Доброго времени суток!!!

Раньше многие использовали (а многие используют до сих пор) Cisco ACS (Access Control Server), но, как известно, технологии не стоят на месте. В этот раз я хотел бы вам представить другой продукт компании Cisco – Identity Services Engine (ISE), который не только покрывает все возможности Cisco ACS, но и имеет у себя еще целую гору всевозможных плюшек.
Кто заинтересовался, добро пожаловать под кат…

Я разобью повествование на несколько частей. В них мы узнаем, как установить и настроить Cisco ISE в плане создания групп устройств, добавления устройств, мониторинга устройств, создания локальной группы сетевых администраторов, подключим Cisco ISE к Active Directory, настроим «authentication, authorization and accounting» с использованием протокола Radius, настроим протокол 802.1x и другие функции, которые заложены в этом продукте. Так же не пройдем мимо и настроек непосредственно на сетевых устройствах.
Начнем с установки Cisco ISE. У меня в наличии уже есть развернутый Active Directory домен и пару виртуальных машин как в нем, так и вне его для будущих проверок. Все это хозяйство крутиться на VMware ESXi 5.5.0 и управляется соответствующим vCenter-ом. Для создания виртуальной машины Cisco ISE вам необходимо раздобыть *.ova-файл. Его можно найти на просторах Интернета с бесплатным периодом эксплуатации аж 90 дней.
Итак, получив *.ova-файл, переходим на наш vCenter и сделаем Deploy новой виртуальной машины:


Откроется «wizard»:


Указываем путь к имеющемуся *.ova-файлу по кнопке «Browse…» и нажимаем «Next»:


Здесь указаны версия Cisco ISE, размер *.ova-файла и размеры дисков, которые будут созданы при развертывании. Обратите внимание, что будет создано два диска (один небольшой тонкий (thin) и один большой (thick) толстый диск, размером 200 Гб). Нажимаем «Next»:


Задаем имя виртуальной машине и указываем виртуальный датацентр для развертывания. Нажимаем «Next»:


В датацентре выбираем ESXi Host, на который установится виртуальная машина. Нажимаем «Next»:


Выбираем хранилище, где будут находиться файлы виртуальной машины (Storage у меня находится локально на ESXi Host-е). Нажимаем «Next»:


На этом этапе выбираем тип диска (который большой и д.б. «толстым»). Я выбрал «Thick Provision Eager Zeroed» (т.е. с уже отчищенными блоками). Он более быстрый, по сравнению с «Thick Provision Lazy Zeroed», так как в нем блоки уже отчищены от старых данных и готовы к работе сразу при обращении, но подготовка этого диска займет гораздо больше времени при создании. Нажимаем «Next»:


Здесь выбираем виртуальную сеть, к которой будет подключен Cisco ISE. Нажимаем «Next»:


Здесь представлена суммарная информация перед началом развертывания виртуальной машины Cisco ISE. Нажимаем «Finish». Пойдет процесс «Deployment»-а. По его завершении можно посмотреть на параметры виртуальной машины, которая была создана:


Как видно из параметров, Cisco ISE требуется не только большой HDD, но и по умолчанию 16 Гб памяти и как минимум 2 vCPU. Можно конечно поменять параметры и выделить поменьше. Работать Cisco ISE будет, но с выдачей предупреждений, что не соблюдаются рекомендуемые требования. Итак, виртуальная машина создана.
    Следует сказать, что Cisco ISE представляет собой три сервиса («Persona»), которые тесно взаимодействуют с собой:
  • - Admin Persona (PAN) – как следует из названия, этот сервис отвечает за администрирование политик, за лицензирование и так далее. Также она имеет интерфейс пользователя и осуществляет загрузку политик на сетевые компоненты («Network Nods»);
  • - Policy Service Persona (PSN) – сервис, отвечающий за выбор решения, согласно настроенных политик. Именно этот сервис отвечает за то, какая политика будет применена к тому или иному пользователю, к тому или иному сетевому устройству;
  • - Monitoring Persona (MnT) – отвечает за сбор, анализ и корреляцию всех сообщений, относящихся к мониторингу. Так же этот модуль генерирует всевозможные отчеты.
Все эти сервисы можно запустить на одном сервере (виртуальной машине) или разнести по разным, обеспечив при этом сетевую доступность между ними. Если у вас два экземпляра Cisco ISE, то можно организовать отказоустойчивую схему. Например, на первом сервере сделать «Primary Role» для «Admin Persona» и «Policy Service Persona» и «Secondary Role» для «Monitoring Persona», а на втором сделать наоборот: «Primary Role» для «Monitoring Persona» и «Secondary Role» для «Admin Persona» и «Policy Service Persona».
В нашем примере я рассмотрю так называемый «Single-node deployment», когда все сервисы расположены на одном сервере (виртуальной машине).
Возвращаемся на VMware vCenter и запускаем виртуальную машину с Cisco ISE. Затем открываем консоль для нее:


Откроется следующее окно:


Набираем, как нас просят, «setup» и нажимаем «Enter». Запустится диалог первоначальной настройки Cisco ISE:


    по порядку:
  • 1. Задаем сетевое имя Cisco ISE (символы должны быть «lowercase»);
  • 2. Указываем IP-адрес и маску подсети;
  • 3. Указываем шлюз по умолчанию;
  • 4. Указываем DNS имя домена (если он есть);
  • 5. Указываем IP-адрес DNS-сервера;
  • 6. Если есть, то прописываем второй DNS-сервер. Если нет, то «N»;
  • 7. Здесь прописываются NTPсервера. Если их нет, то «N»;
  • 8. Включение возможности доступа по SSH к CLI Cisco ISE;
  • 9. Указываем имя администратора (это же имя используется для доступа по WEB-консоли управления Cisco ISE;
  • 10. Задаем пароль для учетной записи администратора (должен состоять как минимум из 6-ти символов;
  • 11. И должен иметь как минимум одну цифру.
Запустится дальнейший процесс настройки Cisco ISE. В один момент выскочит предупреждение о том, что нет синхронизации с NTP-сервером и система может из-за этого работать нестабильно (12). Спросят надо ли попробовать еще раз. Указываем «N» и нажимаем «Enter». После этого процесс продолжится.
Когда он закончится, появится запрос на ввод Login и сразу можно проверить доступ по ssh. Открываем Putty и вводим IP-адрес сервера:


Вводим указанный ранее логин/пароль (1) и настроим корректное время (2) (так как в будущем мы будем «общаться» с Active Directory). После ввода команды ISE предупредит, что такое же время должно быть на всех NOD-ах (3) и попросит сделать рестарт сервера (4).
Стоит отметить, что если вы введете пароль неправильно 5 раз (это включено по умолчанию, но можно поменять), то учетная запись заблокируется и вы уже не попадете на ISE, кроме как через процедуру восстановления пароля с загрузкой через образ.
Еще одно замечание. Доступ по SSH необходимо включать, так как обновление Cisco ISE производится через SSH для более старых версий (для новых версий обновление можно делать и через WEB).
Все готово к первому входу на Cisco ISE через WEB-интерфейс. Открываем браузер и вводим https://<IP-адрес сервера> (или DNS-имя если вы успели его добавить на сервере DNS). Появится окно, предупреждающее о том, что соединение не защищено (что и понятно, так как используется самоподписанный сертификат):



Игнорируем предупреждение и переходим на сайт. Должно открыться окно авторизации:


Здесь вводим логин/пароль который настраивали ранее. Нажимаем «Login»:


Здесь предлагают включить анонимный сбор данных о работе Cisco ISE для улучшения работы программы. Нажимаем «Next»:


Если нет подходящей версии Adobe Flash Player, то его необходимо скачать и установить. Нажимаем «Accept and Close». Откроется главная страница администратора Cisco ISE:


Как видно, пока у нас всё пусто :). Правда есть уже кое какие «ALARMS», но они относятся больше к организационным вопросам самого сервера. В частности, недоступен NTP сервер, DEMO-версия лицензии, не настроен Backup и так далее. Справа от «ALARMS» можно увидеть блок информации о системе («SYSTEM SUMMARY»), в котором отображается загрузка процессора и использование памяти. Вот, пожалуй, и всё, что есть на данный момент.
Продолжим. Рассмотрим, как создать группы для сетевых устройств, как подключить сетевые устройства к Cisco ISE, как создать локальную группу сетевых администраторов и добавить в нее локальную учетную запись, предварительно создав её.
Создадим группу, куда будем добавлять наши сетевые устройства. Переходим в раздел меню «Administration» -- «Network Devices Group»:


Откроется окно:


Как видно, уже есть несколько групп, созданных по умолчанию. Нажимаем «Add» (1), в открывшемся дополнительном окошке вводим название группы (2) и, из выпадающего списка (3), выбираем куда ее поместить. Можно поместить ее внутрь уже существующих, или, как в моем случае, в общий список («Add as root group»). Нажимаем «Save» и новая группа должна появиться в общем списке.
Теперь добавим устройства в Cisco ISE. Переходим в «Administration» -- «Network Devices»:


Слева можно заметить три вкладки. Первая «Network Devices» отвечает за добавление устройств. Во второй «Default Device» определяются параметры, что делать с устройствами, которые не попали ни под одни параметры. Третья «Device Security Settings» задает минимальную длину «Shared Secret» ключа для протокола «Radius». Нас интересует первая вкладка. Переходим на нее и нажимаем «Add»:


Здесь указываем имя и пояснение для устройства (1), указываем IP-адрес (2) (можно указать и целый диапазон, выбрав из выпадающего меню) и далее, так как мы будем использовать протокол «Radius», то отмечаем соответствующий пункт (3). Откроются настройки «Radius Authentication Settings» (напомню, что это настройки для аутентификации сетевого оборудования при подключении к Cisco ISE, а не пользователя):


Здесь задаем пароль в поле «Shared Secret». Остальные параметры можно оставить по умолчанию.
Раз уж мы подключаем устройства к Cisco ISE, то не лишним будет указать и параметры SNMP, для дальнейшего мониторинга и, может быть управления, устройствами (заодно и попрактикуемся в настройке SNMP на устройствах). Для этого, на этой же странице чуть ниже, отмечаем пункт «SNMP Settings»:


    где:
  • 1. выбираем версию SNMP (я выбрал 3-ю, для 2-ой версии потребуется лишь указать «Community string»);
  • 2. указываем пользователя для SNMP доступа;
  • 3. выбираем использование аутентификации с шифрованием;
  • 4. выбираем протокол аутентификации;
  • 5. задаем пароль для аутентификации;
  • 6. выбираем протокол шифрования;
  • 7. задаем пароль для шифрования.
После заполнения всех полей нажимаем «Submit». Новое устройство появится в списке:


Таким же образом надо добавить в Cisco ISE все необходимые устройства. Обратите внимание, что устройство добавляется сразу во все «родительские» группы, в том числе и созданную нами. Это можно проверить в закладке «Network Device Groups» выбрав необходимую и нажав на «Show group members».
До того, как пойти на устройства для настройки, создадим еще локальную группу сетевых администраторов и, собственно, саму учетную запись сетевого администратора, который в дальнейшем будет ходить на сетевые устройства. Для этого идем в пункт «Administration»--«Groups»:


Выбираем в левой колонке «User Identity Groups». Видим список групп, созданных по умолчанию, но мы добавляем свою, поэтому нажимаем «Add»:


Здесь указываем имя создаваемой группы, если необходимо, то и пояснения (поле «Description») и нажимаем «Submit». Новая группа появится в общем списке.
Далее, для создания учетной записи, переходим в «Administration»--«Identities»:


Проверяем, чтобы мы были на вкладке «Users» (слева) и нажимаем «Add». Откроется окно:


    где:
  • 1. задаем имя пользователя;
  • 2. устанавливаем пароль для входа на устройство;
  • 3. устанавливаем пароль на вход в привилегированный режим («enable»);
  • 4. если необходимо, указываем дополнительную информацию по пользователю;
  • 5. если необходимо, указываем дополнительные опции пользователю. Например, сменить пароль при следующем входе;
  • 6. политика отключения пользователя. Можно задать время, когда данная учетная запись будет заблокирована (полезно, когда есть приходящие администраторы);
  • 7. выбираем из выпадающего списка группу, к которой относится пользователь (в нашем случае – ранее созданную нами группу).
Нажимаем «Submit» и новый пользователь появится в списке:


Итак, локальную учетную запись сетевого администратора для доступа к сетевым устройствам создали.
Немного остановимся и зададимся несколькими вопросами: а как создать администратора для доступа к WEB-консоли Cisco ISE и управлять его правами? Вдруг нам понадобится создать администратора Cisco ISE, которому нет нужды иметь полный доступ ко всем меню настроек и т.д. А где посмотреть настройки самого сервера Cisco ISE, настроить Backup/Restore, лицензии и многие другие параметры?
По всем этим вопросам я быстренько пробегусь в начале следующего поста, а затем мы продолжим нашу работу по внедрению в сетевую инфраструктуру Cisco ISE.

А на сегодня, хочу поблагодарить вас за внимание. Надеюсь, мой пост был полезен для вас.

По всем возникающим вопросам обращайтесь ко мне через комментарии или лично. Координаты можно найти вот тут.

Если есть желание отблагодарить, то киньте немного WebMoney (Яндекс.Деньги, PayPal) или дайте ссылку на мой блог, если будете еще на каких-нибудь форумах или сайтах :).

Жду вас в следующей части!!!

С уважением, Ant0ni0n

Комментариев нет:

Отправить комментарий