المقدمة
يصف هذا المستند الخيارات المتاحة لتكوين تقييد وصول IP في ISE 3.1 و 3.2 و 3.3.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- المعرفة الأساسية ل Cisco Identity Service Engine
المكونات المستخدمة
لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
تتيح ميزة "تقييد الوصول إلى IP" للمسؤولين إمكانية التحكم في عناوين IP أو النطاقات التي يمكنها الوصول إلى مدخل إدارة ISE وخدماتها.
تنطبق هذه الميزة على مختلف واجهات ISE وخدماتها، بما في ذلك:
- الوصول إلى مدخل المسؤول و CLI (واجهة سطر الأوامر)
- وصول ERS API
- الوصول إلى بوابة الضيوف والرعاة
- الوصول إلى بوابة الأجهزة الخاصة بي
عند تمكين هذا الخيار، يسمح ISE بالاتصالات من عناوين IP أو النطاقات المحددة فقط. يتم حظر أي محاولات للوصول إلى واجهات مسؤول ISE من بروتوكولات IP غير المحددة.
في حالة التأمين العرضي، يوفر نظام ISE خيار بدء تشغيل "الوضع الآمن" الذي يمكنه تجاوز قيود الوصول إلى IP. وهذا يسمح للمسؤولين باستعادة الوصول وتصحيح أي تكوينات خاطئة.
السلوك في ISE 3.1 وأقل
انتقل إلى Administration>Admin Access>Settings (إعدادات الوصول)>Access. لديك هذه الخيارات:
- جلسة
- الوصول إلى IP
- الوصول إلى MNt
التكوين
- حدد "السماح لعناوين IP المدرجة فقط بالتوصيل"
- طقطقة "يضيف"
تكوين الوصول إلى IP
- في ISE 3.1، ليس لديك خيار تحديد بين خدمات "Admin" و"User"، مما يؤدي إلى منع إتصالات قيود وصول IP ب:
- واجهة المستخدم الرسومية
- CLI
- SNMP
- بروتوكول النقل الآمن (SSH)
- يفتح مربع حوار حيث أنت تدخل العنوان، IPv4 أو IPv6، في تنسيق CIDR.
- بمجرد تكوين IP، قم بتعيين القناع بتنسيق CIDR (التوجيه المتبادل بين المجالات بدون فئات).
تحرير IP CIDR
ملاحظة: تنسيق IP CIDR (التوجيه بين المجالات دون فئات) هو طريقة لتمثيل عناوين IP وبادئات التوجيه المرتبطة بها.
مثال:
IP: 10.8.16.32
القناع: /32
تحذير: يجب توخي الحذر عند تكوين قيود IP لتجنب قفل الوصول المشروع للمسؤول دون قصد. توصي Cisco بإجراء إختبار شامل لأي تكوين لتقييد IP قبل تنفيذه بالكامل.
تلميح: لعناوين IPv4:
- أستخدم /32 لعناوين IP المحددة.
- للشبكات الفرعية إستخدام أي خيار آخر. مثال: 10.26.192.0/18
السلوك في ISE 3.2
انتقل إلى Administration>Admin Access>Settings (إعدادات الوصول)>Access. لديك تلك الخيارات المتوفرة:
- جلسة
- الوصول إلى IP
- الوصول إلى MNt
التكوين
- حدد "السماح لعناوين IP المدرجة فقط بالتوصيل"
- طقطقة "يضيف"
تكوين الوصول إلى IP
- يفتح مربع حوار حيث أنت تدخل العنوان، IPv4 أو IPv6، في تنسيق CIDR.
- بمجرد تكوين IP، قم بتعيين القناع بتنسيق CIDR (التوجيه المتبادل بين المجالات بدون فئات).
- تتوفر هذه الخيارات لتقييد الوصول إلى IP
- خدمات الإدارة: GUI، CLI (SSH)، SNMP، ERS، OpenAPI، UDN، عبارة API، PxGrid (معطل في التصحيح 2)، تحليلات MnT
- خدمات المستخدمين: ضيف، BYOD، وضعية، وتنميط
- خدمات الإدارة والمستخدمين
تحرير IP CIDR
- انقر على زر "حفظ"
- "ON" يعني تمكين خدمات الإدارة، و"OFF" يعني تعطيل خدمات المستخدم.
تكوين الوصول إلى IP في 3.2
السلوك في ISE 3.2 P4 وأكبر
انتقل إلى Administration>Admin Access>Settings (إعدادات الوصول)>Access. لديك تلك الخيارات المتوفرة:
- جلسة
- واجهة المستخدم الرسومية (GUI) وواجهة سطر الأوامر (CLI) للمسؤول: واجهة المستخدم الرسومية (ISE) GUI (TCP 443) وواجهة سطر الأوامر (ISE) CLI (SSH TCP22) وبروتوكول إدارة شبكة الاتصال البسيط (SNMP).
- خدمات الإدارة: ERS API و Open API و pxGrid و DataConnect.
- خدمات المستخدم: ضيف و BYOD و Posture.
- MNT Access: لا يستهلك ISE بهذا الخيار رسائل syslog المرسلة من مصادر خارجية.
التكوين
- حدد "السماح لعناوين IP المدرجة فقط بالتوصيل"
- طقطقة "يضيف"
تكوين الوصول إلى IP في 3.3
- يفتح مربع حوار حيث أنت تدخل العنوان، IPv4 أو IPv6، في تنسيق CIDR.
- بمجرد تكوين IP، قم بتعيين القناع بتنسيق CIDR (التوجيه المتبادل بين المجالات بدون فئات).
- طقطقة "يضيف"
إستردت واجهة المستخدم الرسومية (GUI)/واجهة سطر الأوامر (CLI) ISE
- تسجيل الدخول باستخدام وحدة التحكم
- إيقاف خدمات ISE باستخدام ISE لإيقاف التطبيق
- بدء تشغيل خدمات ISE باستخدام بدء تشغيل التطبيق آمن
- قم بإزالة تقييد الوصول إلى IP من واجهة المستخدم الرسومية (GUI).
استكشاف الأخطاء وإصلاحها
قم بالتقاط حزمة للتحقق مما إذا كان ISE لا يستجيب أو أنه يقوم بإسقاط حركة المرور.
![علامة تمييز Alt للصور](/c/dam/en/us/support/docs/security/identity-services-engine/222103-configure-ip-access-restriction-in-ise-06.png)
فحص قواعد جدار حماية ISE
- ل 3.1 وأقل يمكنك التحقق من هذا فقط في العرض التقني.
- يمكنك أخذ تقنية عرض وتخزينها في القرص المحلي باستخدام "show tech-support file <filename>"
- ثم يمكنك نقل الملف إلى مستودع باستخدام نسخ القرص:/<filename> ftp://<ip_address>/path" تغييرات عنوان URL الخاص بالمستودع بناء على نوع المستودع الذي تستخدمه
- يمكنك تنزيل الملف إلى جهازك حتى تتمكن من قراءته والبحث عن "Running iptables -nvL"
- لا يتم تضمين القواعد الأولية في تقنية العرض أدناه. بمعنى آخر، يمكنك هنا العثور على القواعد الأخيرة الملحقة بميزة "عرض tech by IP Access Restriction".
*****************************************
Running iptables -nvL...
*****************************************
.
.
Chain ACCEPT_22_tcp_ipv4 (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- eth0 * x.x.x.x/x 0.0.0.0/0 tcp dpt:22 Firewall rule permitting the SSH traffic from segment x.x.x.x/x
461 32052 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
65 4048 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ACCEPT_161_udp_ipv4 (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT udp -- * * x.x.x.x/x 0.0.0.0/0 udp dpt:161 Firewall rule permitting the SNMP traffic from segment x.x.x.x/x
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
- ل 3.2 وأعلى، يمكنك إستخدام الأمر show firewall" للتحقق من قواعد جدار الحماية.
- 3.2 وما هو أعلى يوفر المزيد من التحكم في الخدمات التي يتم حظرها بواسطة تقييد الوصول إلى IP.
gjuarezo-311/admin#show firewall
.
.
Chain ACCEPT_22_tcp_ipv4 (1 references)
pkts bytes target prot opt in out source destination
170 13492 ACCEPT tcp -- eth0 * x.x.x.x/x 0.0.0.0/0 tcp dpt:22 Firewall rule permitting the SSH traffic from segment x.x.x.x/x
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
13 784 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ACCEPT_161_udp_ipv4 (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT udp -- * * x.x.x.x/x 0.0.0.0/0 udp dpt:161 Firewall rule permitting the SNMP traffic from segment x.x.x.x/x
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ACCEPT_8910_tcp_ipv4 (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * * x.x.x.x/x 0.0.0.0/0 tcp dpt:8910 Firewall rule permitting the PxGrid traffic from segment x.x.x.x/x
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
90 5400 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ACCEPT_8443_tcp_ipv4 (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * * x.x.x.x/x 0.0.0.0/0 tcp dpt:8443 Firewall rule permitting the HTTPS traffic from segment x.x.x.x/x
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ACCEPT_8444_tcp_ipv4 (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * * x.x.x.x/x 0.0.0.0/0 tcp dpt:8444 Firewall rule permitting the Block List Portal traffic from segment x.x.x.x/x
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ACCEPT_8445_tcp_ipv4 (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * * x.x.x.x/x 0.0.0.0/0 tcp dpt:8445 Firewall rule permitting the Sponsor Portal traffic from segment x.x.x.x/x
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
فحص سجلات التصحيح
تحذير: ليست جميع حركات المرور تقوم بإنشاء سجلات. يمكن أن يؤدي تقييد الوصول إلى IP إلى حظر حركة المرور على مستوى التطبيق باستخدام جدار حماية Linux الداخلي. يتم حظر بروتوكولات SNMP و CLI و SSH على مستوى جدار الحماية حتى لا يتم إنشاء أي سجلات.
- قم بتمكين المكون "البنية الأساسية" في تصحيح الأخطاء من واجهة المستخدم الرسومية.
- أستخدم show logging application ise-psc.log tail
يمكن الاطلاع على السجلات التالية عند إتخاذ إجراء لتقييد الوصول إلى IP.
2024-07-04 18:19:11,339 DEBUG [admin-http-pool31][] cisco.cpm.infrastructure.systemconfig.CpmIpFilterCache -::::- Low ip address10.31.126.128
2024-07-04 18:19:11,339 DEBUG [admin-http-pool31][] cisco.cpm.infrastructure.systemconfig.CpmIpFilterCache -::::- High ip address10.31.126.255
2024-07-04 18:19:11,339 DEBUG [admin-http-pool31][] cisco.cpm.infrastructure.systemconfig.CpmIpFilterCache -::::- Low ip address10.4.16.0
2024-07-04 18:19:11,339 DEBUG [admin-http-pool31][] cisco.cpm.infrastructure.systemconfig.CpmIpFilterCache -::::- High ip address10.4.23.255
2024-07-04 18:19:11,339 DEBUG [admin-http-pool31][] cisco.cpm.infrastructure.systemconfig.CpmIpFilterCache -::::- Checkin Ip in List returned false
معلومات ذات صلة