Szkolenie Cisco ISE porty unified
Marcin BiałyPoziom Intermediate, Poziom Zaawansowany, Security, Szkolenie Cisco ISE, Szkolenie Security, Wszystkie0 comments

Jedną z zalet rozwiązań, które skupiają w sobie funkcjonalności 802.1x, guest access, profiling i posture assessment jest możliwość „unifikacji” portów na przełącznikach w sieci typu Enterprise. Oznacza to, że każdy lub zdecydowana większość portów będzie miała identyczną konfigurację, a faktyczne ustawienia portu będą wynikały z bieżącej polityki skonfigurowanej na serwerze zarządzania takimi politykami (w tym przypadku na Cisco ISE). Oczywistą zaletą takiego rozwiązania jest  ograniczenie narzutu administracyjnego na zmiany w konfiguracji portów zależne od dynamicznie podłączających się użytkowników. Można sobie więc wyobrazić, że wszystkie porty w sieci (a możemy ich mieć np. 10 tysięcy, tak – wystarczy 200 przełączników Ethernet po 48 portów każdy) są konfigurowane identycznie a sieć reaguje za administratora na to kto lub co jest podłączone do danego portu.

Ale jak to możliwe?

Porty z konfiguracją zunifikowaną mają jednakowy config bazowy dotyczący podstawowych mechanizmów takich jak spanning-tree, ustawienia DHCP snooping, ARP inspection, trunk / access, ACL itp. Jednak ich ustawienia dostosowują się dynamicznie do sytuacji na bazie informacji, które przetwarzane są przez Cisco ISE w procesie AAA (authentication, authorization, accounting).

Podam przykład: Użytkownik Jan Kowalski jest pracownikiem zespołu Sales, który to zespół jako jedyny ma dostęp do CRM. Dodatkowo cały dział Sales z pewnych powodów (np. zaszłości w infrastrukturze) ma pracować w VLAN 7. W momencie uwierzytelnienia 802.1x na porcie przełącznika, ISE sprawdza tożsamość Jana i widzi, że należy do grupy Sales, co pozwala wysłać instrukcję do przełącznika o nadaniu VLAN 7 na port (switchport access vlan 7) i dodatkowo nałoży na ten port ACL o nazwie Sales (port access-list).

Dzięki takiemu podejściu użytkownik może jeździć po lokalizacjach firmy otrzymujac zawsze ten sam zestaw ustawień, a my ograniczamy ingerencję administratora w rekonfigurację portów. Kończąc, oczywiście w momencie, gdy Jan idzie do domu i wypina komputer z sieci, port wraca do konfiguracji bazowej.

Powyższe mechanizmy testujemy wzdłuż i wszerz na szkoleniu Securing Network Access with Cisco ISE.

Marcin Biały

Marcin Biały jest inżynierem sieciowym z krwi i kości, wdrożył, zaprojektował i przeprojektował ponad kilkadziesiąt dużych projektów z obszaru sieci operatorskich, bankowości, instytucji państwowych, czy sektora enterprise. Spędził setki godzin przy command line, wspierał klientów i innych inżynierów w rozwiązywaniu problemów z infrastrukturą sieciową. Co rzadkie, jest autorem wszystkich workbook’ów do szkoleń, które prowadzi. Jako twórca warsztatów, dopasował je tak do potrzeb inżynierów sieciowych, że każda minuta szkolenia wypełniona jest sensową treścią. Marcin specjalizuje się w obszarach Network Security, Routing & Switching, a przy okazji posiada kilka certyfikatów jak np.CCSI #35269, CCNP, CCNA, a także był jednym z pierwszych w Polsce uzyskując certyfikat FCNSP#7207 (dzisiejsza ścieżka NSE).

Related Articles
Jak to działa? Cykl.
Szkolenie Cisco ASA FirePOWER Services – Agenda
Czym jest Software Defined Network (SDN)?

Leave a comment

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *