伊势 2.0-分析

在理想情况下,您可以使用dot1x或通过访客门户对主机进行身份验证以进入网络,但现实情况是,并非每个连接到网络的设备都具有导航访客流或使用dot1x的能力。不幸的是,我们大多数人并不生活在一个完美的世界中,必须将设备连接到我们的网络,例如电话,IP摄像头,打印机,徽章读取器,访问点等,因此,配置文件应运而生。通过从端点所连接的NAD收集一系列属性,并基于这些属性集合,ISE能够确定该端点是哪种设备

伊势 2.0-热点政策

在这篇文章中,我将配置热点访问。热点访问与ISE中的常规访客访问有所不同。 Hotspot的用例是您可能希望允许访客访问Internet而无需颁发凭据或直接识别它们,但仍具有一定程度的控制权。这方面的一个示例是,如果您拥有连锁零售店,并且希望让客户可以访问互联网,而又不想让他们自行注册或披露有关其身份的信息。热点将是提供访问权限的解决方案。使用热点访问,您可以出于营销原因而拥有品牌门户,让用户出于法律原因而接受AUP,将其重定向到您公司的页面或带有最新交易/优惠券的网页,甚至可以让他们输入访问权限您在此位置显示的代码,以减少用户不在企业中的网络随机连接。 

伊势 2.0-访客政策

在这篇文章中,我将创建我的访客无线策略。来宾访问通常是您在访问公司,连接到无线设备然后进入初始页面以输入您提供的某种凭证或自行注册以获取自己的凭证时所想到的。我将创建一个基本的访客无线策略,但是如果您想在自己的实验室中尝试使用该策略,或者想要在其中部署该策略,我将带您逐步了解该策略可以使用的一些其他选项。您的生产网络。

伊势 2.0初始配置-启用服务和身份映射/ PassiveID配置

在这篇文章中,我们将为我们的ISE节点启用服务,并在此博客文章中配置ISE和Active Directory之间的身份映射服务(在ISE 2.1中称为PassiveID)。身份映射服务使ISE能够监视由域控制器而非ISE认证的用户。此功能对于EasyConnect配置非常有用,我将在以后的文章中进行介绍。它可以通过使用Microsoft WMI界面连接到Active Directory以及通过查询Windows事件消息中的日志来收集此信息。 

伊势 2.0初始配置-创建证书认证配置文件

在下一篇文章中,我们是 将创建证书身份验证配置文件。对于我们将在以后的帖子中创建的身份验证方法,此配置文件是必需的。由于我们将在策略中使用基于EAP证书的身份验证方法,因此ISE会将从客户端收到的证书与服务器中的证书进行比较,以验证用户或计算机的真实性。这被认为比传统的用户名和密码方法安全得多。 

伊势 2.0初始配置-将证书添加到ISE

证书对于身份服务引擎的操作至关重要。 伊势用于证书的一些用途包括:dot1x身份验证,Pxgrid通信,添加和与新ISE节点进行通信,BYOD等。除非您在网络上仅使用Guest门户和基本配置文件使用单个ISE节点,这将是您想要尽可能多地关注的帖子。