Professional Documents
Culture Documents
Tài liệu vận hành hệ thống Cisco ISE
Tài liệu vận hành hệ thống Cisco ISE
CISCO ISE
Thông tin kết nối hiện tại của các hệ thống ISE tại DC.
OR
Wireless_802.1x
DEVICE·Device Type EQUALS All
Device Type#North-Branch-Switch
AND
Device Type#Middle-Branch-Switch
DEVICE·Device Type EQUALS All
Device Type#South-Branch-Switch
DEVICE·Model Name EQUALS NoBypass
OR
AND
1 TCB-Branch-Bypass-newPC Network Access.EapAuthentication EQUALS EAP-MSCHAPv2 TCB-Branch-NAC-VlanX-pf
AND
2 TCB-Branch-Bypass-newPC TCB-Branch-NAC-pf
both succeeded
OR
Network Access.EapAuthentication EQUALS EAP-MSCHAPv2
OR
3 TCB-Branch-Bypass-SharedPC TCB-Branch-Employee-VlanX-pf
Network Access.EapAuthentication EQUALS EAP-MSCHAPv2
4 TCB-Branch-Bypass-SharedPC TCB-Branch-Employee-pf
Network Access.EapChainingResult EQUALS User and Machine
both succeeded
OR
5 TCB-Branch-Employee-Compliant-VlanX TCB-Branch-Employee-VlanX-pf
DEVICE·Location EQUALS All Rule cho trường hợp tuân thủ
OR
OR
OR
7 TCB-Branch-NAC-VlanX-pf
compliance-NACX Session PostureStatus EQUALS NonCompliant
DEVICE·Location EQUALS All Locations#Branch#X Rule cho trường hợp chưa
OR
8 TCB-Branch-NAC-pf
compliance Session PostureStatus EQUALS Unknown
OR
9 TCB-Branch-Coporate-User-Auth-Fail TCB-Branch-NAC-VlanX-pf
DEVICE·Location EQUALS All Locations#Branch#X Rule cho trường hợp user xác
OR
11 Network Access.EapChainingResult EQUALS User succeeded and Machine Rule cho trường hợp device
TCB-Branch-Coporate-Device-Auth-Fail DenyAccess
failed (PC,…) xác thực fail
1 TCB-Branch-IPPhone-VlanX DEVICE·Location EQUALS All Locations#Branch#X TCB-Branch-IPPhone-VlanX-pf Rule MAB cho IP Phone
OR
Authorization Rules về cơ bản sẽ có 2 điều kiện chính là Endpoint Group cho các thiết bị
IOT, IP Phone và điều kiện về NAD (Device Name, Location, Device Type,…) để trả về kết
quả phân quyền tương ứng.
4. Nhập Username và login Password của username Người quản trị muốn tạo.
5. Sau khi lựa chọn Group User. Click vào Save để tạo User.
3. Chọn User Người quản trị muốn xóa và click vào Delete.
1. Truy cập vào địa chỉ https://10.98.4.33/admin/ bằng Firefox hoặc Internet Explorer để truy
cập vào giao diện cisco ISE với username/password là admin/C!sco123.
2. Di chuyển tới Administrator > Identity Management > Groups.
3. Chọn User Identity Groups.
5. Nhập Name và Description của User Identity Group người quản trị muốn tạo.
1. Truy cập vào địa chỉ https://10.98.4.33/admin/ bằng Firefox hoặc Internet Explorer để truy
cập vào giao diện cisco ISE với username/password là admin/C!sco123.
2. Di chuyển tới Administrator > Identity Management > Groups.
3. Chọn Endpoint Identity Groups.
5. Nhập Name và Description của Endpoint Identity Group Người quản trị muốn tạo.
1. Truy cập vào địa chỉ https://10.98.4.33/admin/ bằng Firefox hoặc Internet Explorer để truy
cập vào giao diện cisco ISE với username/password là admin/C!sco123
2. Di chuyển tới Administrator > Network resources > Network Device Groups.
4. Nhập Name và Description của Network Device Group Người quản trị muốn tạo và
Parent Group là All Device Types như hình bên dưới :
5. Click Save.
Chọn Network Device Groups để kiểm tra Network Device Group Người quản trị mới tạo
Network Device Group
5. Click Submit
5.2 Cấu hình Import MAC Address của Endpoint trên thiết bị cisco ISE.
5.2.1 Cấu hình Import MAC Address cho từng EndPoint.
Các bước thực hiện Add MAC
1. Truy cập vào địa chỉ https://10.98.4.33/admin/ bằng Firefox hoặc Internet Explorer để truy
cập vào giao diện cisco ISE với username/password là admin/C!sco123.
4. Điền thông tin địa chỉ MAC của thiết bị và chọn “Static Group Assignment” để chọn
Group mà Endpoint sẽ được add vào và chọn “Save”
Chọn Group mà địa chỉ MAC của Endpoint đã được add vào.
Chọn “Filter” để search địa chỉ MAC ta vừa add và kiểm tra xem địa chỉ MAC đã được add
vào Group chưa.
3. Click “Generate a Template” Sau đó bạn sẽ nhận được 1 file CSV template từ ISE.
5. Quay trở lại giao diện ISE, import file CSV từ local laptop và click vào Submit
5.3 Kiểm tra trạng thái và vai trò của các Node Cisco ISE.
1. Truy cập vào địa chỉ https://10.98.4.33/admin/ bằng Firefox hoặc Internet Explorer để truy
cập vào giao diện cisco ISE với username/password là admin/C!sco123.
3. Ta thấy màn hình hiển thị vai trò và trạng thái của Nodes.
4. Để thêm hoặc chỉnh sửa các điều kiện, click vào icon ở cột “Condition”. Cửa sổ
“Conditions Studio” mở ra.
5. Thêm Conditions từ “Editor”
6. Click to add an attribute and chọn: Network Access·Protocol.
9. Click Save.
10. Chọn Equals sau đó chọn: All Device Type#Catalyst, click vào Use
11. Click vào name và Sửa tên policy theo thiết kế.
13. Trong cột Shell Profiles chọn Shell Profile đã cài đặt theo thiết kế.
14. Lặp lại các bước trên để cấu hình các authorization policy khác Người quản trị muốn tạo.
2. Từ giao diện GUI của Cisco ISE chuyển hướng đến Administration > System > Settings.
1. Từ giao diện GUI của cisco ISE. Di chuyển tới Administration > System > Logging
4. Nhập các thông tin Name, Description, IP và Port number của Server bạn muốn lưu logs
5.8 Kiểm tra live log và thông tin Endpoint trên cisco ISE.
Các bước kiểm tra thông tin Endpoint
1. Truy cập vào địa chỉ https://10.98.4.33/admin/ bằng Firefox hoặc Internet Explorer để truy
cập vào giao diện cisco ISE với username/password là admin/C!sco123.
2. Di chuyển tới “Operations > RADIUS > Live Logs ” như hình dưới.
3. Live log thể hiện toàn bộ các thông tin log việc xác thực.Để kiểm tra chi tiết các thông tin
của Endpoint Click vào biểu tượng “ ” trên màn hình.
Sử dụng tính năng Change of Authorization (CoA) trên Live Sessions để gửi yêu cầu
reauthenticate hoặc disconnect đến Network Access Device (NAD).
9. Chọn phần có tiêu đề “Trust for authentication within ISE”,Trust for client
authentication and syslog, Trust for authentication of Cisco services.
4. Chọn tiêu đề Submit a certificate request bằng cách sử dụng 1 “base-64-encoded CMC”
hoặc “PKCS #10 file” hoặc Submit a renewal request (yêu cầu gia hạn) bằng cách sử
dụng “a base- 64 – encoder PKCS #7 file ”.
5. Sử dụng notepad để mở file .pem (đã lưu ở bước 7 bên trên).
6. Copy toàn bộ file .pem
7. Paste file.pem vào mục “Saved Request” trong cửa sổ CA.Sau đó Certificate Template
sẽ được cài tới Web Server.
8. Chọn Submit.
4. Click Submit.
5.10 Monitoring
5.10.1 RADIUS Live Logs
Sử dụng Radius LiveLog để xem các thông tin về phiên xác thực của 1 Endpoint. Mục đích
chính của việc check RADIUS Live Logs là xác định được Endpoint đang được xác thực,
phân quyền bởi rule nào, từ đó biết được Endpoint đang nhận Result (Authorization Profile)
là gì. Cùng với đó là xác định được nguyên nhân Endpoint được xác thực phân quyền vào rule
đó.
1. Từ giao diện GUI của cisco ISE. Di chuyển tới Operations > RADIUS > Live Logs >
Nhập thông tin định danh của Endpoint (MAC, hostname, IP,…) vào cột tương ứng để tìm
kiếm thông tin của Endpoint.
2. Chọn Details của log để xem các thông tin chi tiết của phiên xác thực của Endpoint.
Trong phần Overview, ta có thể xác định được các thông tin quan trọng về rule xác thực,
phân quyền và kết quả phân quyền mà Endpoint nhận được qua các thông tin về
Authentication Policy (rule xác thực), Authorization Policy (rule phân quyền), Authorization
Result (kết quả phân quyền).
Trong phần Authentication Details và Other Attributes, sẽ cho ta những thông tin để biết tại
sao Endpoint được xác thực và phân quyền vào các rule trong phần Overview. Trong đó, các
thông tin quan trọng cần chú ý là: Event (Authentication Details tab), Posture Status,
Phần Result sẽ cho biết thông tin, giá trị cụ thể của kết quả phân quyền, có thể là giá trị Vlan,
SGT,…tùy theo policy được cấu hình.
2. Chọn Details của log để xem các thông tin chi tiết của phiên xác thực quản trị NAD.
3. Tương tự RADIUS Live Logs, TACACS Live Logs detail cũng sẽ cho biết thông tin về
policy xác thực quản trị NAD trả về và chi tiết các thông tin để biết tại sao trả về policy đó.
5.10.3 Report
Xem Report Log:
1. Từ giao diện GUI của ISE. Di chuyển tới Operations > Report > Report > Chọn log cần
check.
2. Lọc các thông tin log mong muốn > Chọn Details để xem chi tiết log.
Export Report Log:
1. Từ giao diện GUI của ISE. Di chuyển tới Operations > Report > Report > Chọn log cần
check.
2. Lọc các thông tin log mong muốn > Chọn Export To > Chọn định đạng
file export > Chọn nơi lưu trữ file export.
Từ giao diện GUI của cisco ISE. Click vào phím Setting ở góc phía trên cùng bên phải >
Chọn About Identity Services Engine
1. Từ giao diện GUI của cisco ISE. Di chuyển đến Home > Chọn Detach ở phần SYSTEM
SUMMARY
2. Kiểm tra các thông số về CPU, Memory Usage, Authentication Latency cho mỗi node ISE
5.11.4 Kiểm tra trạng thái License của hệ thống
Từ giao diện GUI của cisco ISE. Di chuyển đến Aministration > System > Licensing >
Kiểm tra trạng thái các Liense đang được Enabled và Compliance Status là In Compliance
4. Click vào Show Result summary để xem chẩn đoán nguyên nhân xác thực fail và cách giải
quyết.