هل يدعم ISE جهاز الوصول إلى الشبكة؟
المحتويات
المقدمة
يوضح هذا المستند كيفية التحقق من توافق محرك خدمات تعريف Cisco (ISE) مع جهاز الوصول إلى الشبكة (NAD) لديك.
يدعم ISE بروتوكولات RADIUS و TACACS
فإذا كان جهاز الشبكة لديك قادرا على إصدار طلبات التحكم في الوصول باستخدام بروتوكولي RADIUS و TACACS القياسيين، فبإمكان ISE أن يدعمها!
ويدعم ISE تقنية RADIUS لتنفيذ التحكم في الوصول باستخدام آليات التنفيذ التي تدعمها أجهزة وبرامج جهاز الشبكة.
إمكانات جهاز شبكة معينة للتحكم في الوصول القائم على المنفذ باستخدام معيار IEEE 802. 1X هي قدرات برمجية وغالبا ما تعتمد على الأجهزة! لا يعني دعم RADIUS ببساطة أن جهاز الشبكة يدعم العديد من إمكانيات الإنفاذ المفيدة مثل تجاوز مصادقة MAC (MAB)، أو تغيير تفويض RADIUS (CoA) [RFC-5176]، أو قوائم التحكم في الوصول (ACLs) من الطبقة الثالثة/الرابعة، أو قوائم التحكم في الوصول المستندة إلى المجال، أو إعادة توجيه URL أو التجزئة المعرفة للبرامج باستخدام Cisco TrustSec. لا يمكنك دائما إخبارك بأي جهاز شبكة قادر وقد تحتاج إلى بحث ذلك مع فريق المورد أو المنتج.
عندما يسأل الأشخاص، هل يدعم ISE جهاز الشبكة الخاص بي؟ ما يقصدونه هو، هل بإمكان ISE أن تمنحني جميع قدرات التحكم بالوصول الحديثة هذه حتى مع هذا المحول القديم الرخيص الثمن؟
بالنسبة لهذه المحولات الأقدم والأقل تكلفة، يوفر ISE مميزات مثل SNMP CoA وشبكة VLAN للمصادقة لتوفير بعض الإمكانات المماثلة اللازمة لمعالجة تدفق Guest و BYOD و Posture.
أدلة توافق ISE
تحقق دائما من أدلة توافق ISE لمعرفة ما قام فريق ضمان الجودة (QA) بالتحقق من صحته لكل إصدار ISE.
إمكانات جهاز الشبكة ل ISE
وهذه هي وظائف أجهزة الشبكة الحديثة المطلوبة بشكل نموذجي لتوفير إمكانات ISE:
| قدرة ISE | ميزات جهاز الشبكة |
| AAA | 802.1X، MAB، تعيين شبكة VLAN، قوائم التحكم في الوصول (ACL) القابلة للتنزيل |
| تنميط | تحقيقات RADIUS CoA وتنميط |
| بيود | RADIUS CoA، إعادة توجيه URL + SessionID |
| ضيف | RADIUS CoA، إعادة توجيه URL + SessionID، مصادقة الويب المحلية |
| عنوان URL الخاص بالنشئ للضيف | RADIUS CoA، إعادة توجيه URL + SessionID، مصادقة الويب المحلية |
| وضعية | RADIUS CoA، إعادة توجيه URL + SessionID |
| MDM | RADIUS CoA، إعادة توجيه URL + SessionID |
| تروسيك | تصنيف الرقيب |
ماذا تفعل إذا لم يكن جهاز الشبكة لديك يحتوي على جميع الميزات لإمكانية ISE؟
إنشاء توصيف جهاز الوصول إلى الشبكة (NAD).
كيف تعرف إمكانات أجهزة الشبكة لديك؟
تم توثيق إمكانات مجموعات الأجهزة والبرامج التي تم التحقق منها بشكل ملائم في أدلة توافق معيار ISE التي نقدمها. ولجميع الآخرين، تحتاج إلى إجراء بحث حول هذا الموضوع على مواقع الويب الخاصة بالموردين ووثائق المنتجات والمنتديات وما إلى ذلك. في بعض الأحيان قد يكون عليك فقط التشغيل في مختبرك لمعرفة ما يعمل وما لا يعمل وإنشاء ملف تعريف جهاز الشبكة للتركيبات المختلفة من الإمكانيات.
يتعذر رؤية الأجهزة أو البرامج في دليل توافق ISE
لا يعني عدم إدراج طراز جهاز أو إصدار برنامج بشكل صريح أنه لن يعمل - فقط أنك لم تقم بالتحقق من صحته مع ISE! يوضح قسم أجهزة الوصول إلى الشبكة المدعومة من أدلة توافق ISE أن ISE يدعم RADIUS، بغض النظر عن المورد أو الطراز:
يدعم Cisco ISE إمكانية التشغيل البيني مع أي جهاز وصول إلى شبكة عميل (NAD) من Cisco أو غير Cisco RADIUS يطبق سلوك RADIUS الشائع (مماثل ل Cisco IOS 12.x) للمصادقة المستندة إلى المعايير.
يدعم ISE معايير البروتوكول مثل RADIUS، ومعايير RFC المرتبطة به وTACACS+ . إذا كان جهاز الشبكة يدعم RADIUS و/أو TACACS+، فيمكن ل ISE أن يدعمه!
هناك العديد من الأسباب التي قد لا يتم سرد كل من الأجهزة من Cisco وغيرها من الأجهزة:
- لا يستطيع فريق سج (QA) التابع لنا تحمل تكلفة إختبار كل جهاز وبرمجية على حدة بالإضافة إلى كل إصدار من ISE.
- يجب الحصول على منصات الأجهزة الجديدة واختبارها، والتي تحدث عادة في غضون 6-9 أشهر بعد طرح الأجهزة.
- لا يتم التحقق من كل طراز من فئة الأجهزة - يتم انتقاء طراز واحد ثم يتم إستخدامه لتمثيل فئة الأجهزة.
- لا يتم التحقق من كل إصدار من البرامج - يتم انتقاء إصدار واحد من برامج النظام الأساسي تم إصداره بناء على توصية من فريق النظام الأساسي، قبل أشهر قليلة من إصدار ISE الفعلي للتخطيط للتحقق من جودة الخدمة (QA).
- لا يتم إختبار الإصدارات الأقدم من ISE باستخدام برنامج جهاز الشبكة الأحدث ولكن يجب أن يتم ذلك وفقا للمعايير.
وعندئذ يتم تحديد ما يمكنك القيام به باستخدام تقنية محرك خدمات الهوية (ISE) على وجه التحديد بواسطة إمكانات الأجهزة والبرامج لجهاز الشبكة لديك. يوصى دائما بتجريب أجهزة وبرامج جهاز الشبكة في المختبر مع ISE قبل نشره على الإنتاج، وبالتالي تثق في أنه يتصرف كما هو متوقع.
توصيفات جهاز الوصول إلى شبكة ISE (NAD)
إذا كان لديك :
- أجهزة لا تنتمي إلى Cisco
- أجهزة أجهزة شبكة منخفضة التكلفة ومنخفضة التكلفة
- أجهزة جهاز شبكة قديمة
- برنامج جهاز الشبكة الأقدم
ثم يمكنك إستخدام توصيفات ISE وملفات التعريف NAD الخاصة بجهة خارجية وتكوينها أو إنشاء ملف التعريف NAD الخاص بك. باستخدام ملف تعريف NAD، يمكنك تخصيص كيفية اتصال ISE بجهاز الشبكة لديك بشكل كامل سواء كان على منافذ مخصصة ل RADIUS CoA أو إذا كنت بحاجة إلى إستخدام شبكات VLAN الخاصة بالمصادقة بدلا من إعادة توجيه URL.
دعم شبكة VLAN للمصادقة
إن يتلقى أنت بعض قديم، قديم مفتاح أن يكون غير قادر على 802.1X، ISE يتلقى القدرة أن يتحكم نقطة نهاية يستعمل صحة هوية VLANs. هذه طريقة غير دقيقة جدا للتحكم يستخدم DNS و DHCP لإعادة توجيه حركة مرور HTTP إلى مدخل ويب حيث يمكن للمستخدم المصادقة. لمزيد من المعلومات، راجع دعم جهاز شبكة الطرف الثالث في Cisco ISE في أدلة مسؤولي ISE.
مشاكل مع إستخدام شبكات VLAN للمصادقة
- لا يمكنك التحكم في أجهزة متعددة لكل منفذ.
- تصفية حركة المرور خام جدا مع شبكات VLAN من L2 - لا يوجد L3/4 IP/Protocol/Port control إلا مع VACL أو VRF.
- تعني أي تجزئة شرقية/غربية داخل شبكة VLAN أنه يمكن نشر البرامج الضارة بسهولة إلى نقاط النهاية الأخرى داخل شبكات VLAN، سواء كانت غير موثوق بها أو موثوق بها.
التعليقات