伊势 2.0初始配置-润色

这篇文章将重点介绍我在设置时希望在ISE上进行调整的其余初始配置,并且不保证自己的文章。 

在我的实验室中,我只有一个ISE节点,因此它在同一VM上具有所有ISE角色,并充当策略服务节点(PSN)。  在生产或网络中,通常需要配置PSN将接受的配置文件类型。 伊势将为您提供配置以下一项或多项探针的选项:

  • 净流量探针
  • DHCP探针
  • DHCP SPAN探针
  • HTTP探针
  • 半径 Probe
  • DNS探针
  • SNMP查询探针
  • SNMP陷阱探针
  • Active Directory探针(ISE 2.1中的新增功能)

每个探针将提供有关端点的其他信息。在生产部署中,您可能不会打开所有探针,因为可以发送很多相同的冗余信息,并且可以减少冗余信息。我们将在以后的文章中介绍。 

要使ISE PSN的接口能够接受探测,请导航至 行政>System>Deployment 然后单击您的PSN的主机名。在“编辑节点”窗口下,导航至 剖析 Configuration 标签。在这里,您可以选中每种探针类型旁边的复选框,并选择一个接口和端口以接受这些探针。通常,我喜欢配置以下探针:

  • DHCP-查看来自IP Helper的DHCP数据包,该数据包可帮助ISE解析端点属性 
  • HTTP-检查浏览器发送的身份信息,该信息通常通过向其操作对等方提交特征标识字符串来识别浏览器,应用程序类型,操作系统,软件供应商和软件版本。这会将附加上下文添加到要进行概要分析的端点。 
  • 半径-收集诸如NAS-IP地址,NAS端口,呼叫站ID,加速会话ID,帧IP地址,加速会话时间和加速终止原因之类的属性。我要说的是,始终启用它很重要。 
  • DNS-该探针允许探查器查找端点并获取该端点的FQDN。这会将新属性添加到端点的属性列表,该属性可用于端点概要分析策略评估。 
  • SNMP查询-默认情况下,它允许查询网络访问设备(NAD)的配置,例如链接和新MAC通知,链接上的CDP SNMP和新MAC通知以及默认情况下每个交换机每小时一次的SNMP查询
  • SNMP陷阱-允许PSN从支持MAC通知,链接,链接断开和通知的特定NAD接收信息。为了使SNMP陷阱充分发挥功能,还必须启用SNMP查询。这对于在网络中端口上升和下降以及端点连接和断开时接收信息非常重要
  • Active Directory探针(仅在ISE 2.1和更高版本中)-提高了Windows终结点的OS信息的保真度,因为Active Directory详细介绍了加入AD的计算机的OS信息,包括版本和Service Pack级别。 AD探针直接使用AD Runtime连接器检索此信息,以提供高度可靠的客户端OS信息源。它还可以帮助您区分公司资产和非公司资产。 

有关每种探针的更多详细信息,并确定哪种探针对您的环境有利,请单击 这里.

在节点上完成性能分析配置后,请单击 救。

您应该意识到的下一件事是如何向ISE添加补丁。 伊势修补程序是累积性的,因此最新的修补程序应包括先前修补程序中的修补程序。如果需要从Cisco.com安装的补丁,请导航至 行政>System>Maintenance>Patch Management 并安装补丁。成功安装后,ISE应该重新启动其服务,您应该能够重新登录而不会出现问题。

如果要使用ISE创建或计划常规备份,则首先需要创建存储库。在里面 行政>System>Maintenance>Repository page, click 创建一个新的存储库。创建存储库后,可以通过导航到ISE创建操作备份或配置备份 行政>System>Backup & Restore. 

 

要注意的另一重要事项是,默认情况下,ISE在访客/赞助人/热点/等门户中使用思科品牌的页面。您可以选择上传CSS门户,但是如果您像我一样,那么网页设计可能并不是最好的选择。思科使快速创建自定义和品牌门户页面变得非常容易。如果您导航到 这里 并使用您的Cisco CCO ID登录,您可以在几分钟内为每个ISE门户创建自定义页面。要将其上载到ISE,您需要按照链接页面和ISE GUI上的说明安装Firefox插件,您需要使用HTML和JavaScript启用门户自定义。为此,请导航至 行政>System>Admin Access>Settings>Portal Customization 并将单选拨盘更改为 Enable 门户定制 with HTML and JavaScript and click .

 

尽管在实验室环境中可能并不重要,但大多数人希望能够使用AD凭据而不是本地凭据登录ISE管理门户。为了配置此,请导航对 行政>System>Admin Access>Authentication 并在 身份来源 下拉菜单,选择您的AD服务器,然后单击

然后导航到 行政>System>Admin Access>Administrators>Admin Groups 并选择创建一个新组。选中复选框 外部 并在 外部团体 下拉菜单中,选择 域管理员 组(或您喜欢的任何其他组)。请点击 提交.

导航 管理员>System>Admin Access>Authorization>Policy 然后点击任意政策旁边的齿轮标志,然后选择 Insert 政策。将策略命名为友好名称。在下面 管理员组 字段中,选择您刚刚创建的策略,并在 权限 领域。就我而言, 域管理员 group access as a 超级管理员 使该广告组中的任何人都可以完全访问ISE:

保存此RBAC策略后,您可以通过退出ISE Admin门户并使用身份源重新登录来对其进行测试。如果您的AD服务器无法访问,您仍然可以通过更改新的身份源来使用本地登录凭据登录。 身份来源 登录页面上的下拉菜单:

另一个要注意的好事是,有一个默认的“帮助台菜单访问”权限,该权限授予对ISE中某些菜单的只读访问权限。为了减少ISE的管理开销,我认为最好的方法是让您的帮助台人员拥有此权限,并接受有关如何阅读RADIUS Livelog的培训。这样,您的服务台可以解决诸如密码错误或EAP超时之类的问题,而无需将其上报给网络或安全团队,因为他们认为ISE存在问题。它使ISE的日常管理更轻松,更无缝,并为所有人创造了更好的用户体验。

 

我将在ISE中调整的下一个设置是Profiler设置。导航 行政>System>Settings>Profiling 并确保 CoA类型 下拉菜单设置为 重新认证。在以下情况下,探查器将实施CoA:

  • 端点的静态分配
  • 配置了异常操作(稍后对修复任务很重要)
  • 首次配置端点
  • 端点被删除
  • 为端点更新的配置文件

需要注意的一件事:如果不想,则不必更改此设置。在大型环境中,您可能不希望这样做。

我还建议将SNMP字符串更改为对您更有意义的内容,因为默认值为 上市 我想没人会在生产中使用它(我希望!)。

出于本实验的目的,我们将不会启用“端点属性过滤器”,因为对于这么小的实验室来说并不需要它。在生产环境中,您可能希望过滤某些属性以节省性能:

 

接下来,导航至 行政>System>Settings>Protocols>RADIUS and uncheck the 禁止异常客户 框。如果以后需要,此选项对于故障排除很有用:

 

为了简化构建策略集并使之更具逻辑性,我喜欢启用策略集。默认情况下,这是禁用的。没有启用它,您将有一个页面用于“身份验证策略”,另一个页面具有“授权策略”。您将不得不在这两个地方分别为每个规则创建规则,并且创建策略的逻辑会变得有些棘手。启用策略集后,它使您能够在同一逻辑标识内对认证和授权策略进行逻辑分组。它还使阅读和对策略进行故障排除变得容易得多。始终启用策略集是我的个人理念。在未打开策略集的情况下,朋友不允许朋友配置ISE。 :)

 要启用此功能,以便您可以更轻松地遵循我的政策创建,请导航至 行政>System>Settings>Policy Sets 然后选择单选按钮 已启用:

 

如果您的环境中有代理服务器,并且ISE需要通过它才能连接到Internet,请通过导航到 行政>System>Settings>Proxy

如果要将ISE配置为发送邮件,请通过导航到来配置SMTP服务器。 行政>System>Settings>SMTP 服务器。 伊势可以使用SMTP向来宾发送文本和电子邮件,以向他们提供其凭据以及向管理员发送警报。 

要使Client Provisioning提要能够启用自动下载,ISE必须能够访问Internet,并且您必须通过导航到它来启用它。 行政>System>Settings>Client Provisioning 并选择启用 启用自动下载  drop-down:

 

要为ISE中的姿势更新启用自动更新,请导航至 行政>System>Settings>Posture>Updates 并选中旁边的框 从初始延迟开始自动检查更新 然后点击 救。 (可选)您也可以手动开始下载:

 

(可选)如果您希望将MSE实例添加到ISE部署中,以便可以基于位置服务创建策略,则可以导航至 行政>Network Resources>Location Services 然后点击 加:

 

为了不断获取更新的配置文件,我希望启用Profiler 饲料服务,以便可以定期下载任何新的配置文件。要启用此服务,请导航至 行政>Feed Service 并选中旁边的框 启用Profiler Feed服务。请点击 完成后:

 

在结束本文之前,我要特别注意的一个是ISE 2.0中很棒的页面是Endpoints页面。在进行概要分析或仅检查网络中的内容时,此页面将非常有用。 您可以转到 行政>Identity Management>Endpoints:

在“端点”页面上,您可以单击主机以进行向下钻取,以查看ISE为该特定端点收集的属性信息。根据配置的探针,此列表可以提供很多详细信息。如果这是与概要文件不匹配的端点,并且您想创建概要文件,则可以使用此属性列表中的信息来创建自定义概要文件。我们将在以后的文章中深入介绍配置文件配置,但是我想在这里引起注意:

在ISE 2.1中,用仪表板和“上下文可见性”代替了此页面,以我的诚实地说,这甚至更好,并为您提供了更多可以跟踪的内容。 伊势 2.1还使您能够创建自定义仪表板,这对于不同级别的访问(如服务台)或仅以对您有意义的格式立即提供您要查看的信息非常有用。 

这样,我将结束这篇博客文章。感谢您检出此页面,并随时发表任何评论!