Tài liệu vận hành hệ thống Cisco ISE

TÀI LIỆU VẬN HÀNH HỆ THỐNG
CISCO ISE
Hạng mục: Hệ thống mạng Campus

Đơn đặt hàng: Cung cấp hệ thống Network, Tổng đài viễn thông, hệ
thống ghi âm, cung cấp và lắp đặt thiết bị NOC, SOC
Mã số: DKDKC.DTS.86.7.2854738
Tài liệu vận hành hệ thống Cisco ISE Trang

MỤC LỤC
1. MỤC ĐÍCH.......................................................................................................................................3
2. PHẠM VI ỨNG DỤNG................................................................................................................3
3. GIẢI THÍCH CÁC TỪ VIẾT TẮT.............................................................................................3
4. KIẾN TRÚC HỆ THỐNG...........................................................................................................4
4.1. Thông tin máy chủ...........................................................................................................................4
4.2. Thông tin kết nối.............................................................................................................................5
4.3. ISE Policy cho chi nhánh.................................................................................................................6
4.4. Yêu cầu hệ thống.............................................................................................................................8
5. HƯỚNG DẪN VẬN HÀNH.............................................................................................................8
5.1. Cấu hình ISE Identity Store............................................................................................................8
5.1.1. Cấu hình thêm User Internal.....................................................................................................8
5.1.2 Cấu hình Xóa User Internal.....................................................................................................10
5.1.3. Cấu hình Add User Internal Group.........................................................................................11
5.1.4. Cấu hình Endpoint Internal Group..........................................................................................12
5.1.5 Cấu hình Add Network Device Group.....................................................................................13
5.1.6 Cấu hình Add Network Device................................................................................................15
5.2 Cấu hình Import MAC Address của Endpoint trên thiết bị cisco ISE............................................16
5.2.1 Cấu hình Import MAC Address cho từng EndPoint.................................................................16
5.2.2 Cấu hình Import MAC Address từ file CSV...............................................................................19
5.3 Kiểm tra trạng thái và vai trò của các Node Cisco ISE..................................................................22
5.4 Cấu hình Tacacs+ policy................................................................................................................23
5.5 Cấu hình Tacacs Authentication Policy..........................................................................................25
5.4 Cấu hình Tacacs Authorization Policy...........................................................................................28
5.6 Cấu hình NTP server trên cisco ISE...............................................................................................32
5.7 Tạo syslog server trên cisco ISE.....................................................................................................34
5.8 Kiểm tra live log và thông tin Endpoint trên cisco ISE...................................................................36
5.9 Cài đặt Certificate.....................................................................................................................38
5.9.1 Yêu cầu và cài đặt Certificate...................................................................................................38
5.9.2 Cấu hình Certificate Signing Request.......................................................................................40
5.9.3 Cấu hình Binding the CA-signed Certificate.............................................................................42
5.9 Monitoring......................................................................................................................................42
5.9.1 RADIUS Live Logs.................................................................................................................42
5.9.2 TACACS Live Logs................................................................................................................44
5.9.3 Report......................................................................................................................................45
5.11 System Healt Check.....................................................................................................................46

5.11.1 Kiểm tra các thông tin phần cứng, phiên bản của thiết bị......................................................46
5.11.2 Kiểm tra trạng thái Deployment............................................................................................47
5.11.3. Kiểm tra Performance của hệ thống......................................................................................47
5.11.4 Kiểm tra trạng thái License của hệ thống...............................................................................47
5.12 Troubleshooting............................................................................................................................48
6. BẢNG IP CÀI ĐẶT HỆ THỐNG.................................................................................................50
7. HIỆU LỰC THI HÀNH.................................................................................................................50

1. MỤC ĐÍCH.
Cisco ISE là một nền tảng chính sách điều khiển truy cập và định danh giúp các doanh nghiệp
thực hiện, thực thi chính sách, nâng cao hạ tầng an ninh bảo mật và đơn giản hóa các dịch vụ.
ISE cho phép các doanh nghiệp thu thập thông tin theo bối cảnh thời gian thực từ các mạng,
người dùng và thiết bị.Các nhà quản trị sẽ sử dụng các thông tin đó để đưa ra quyết định quản
trị bằng cách nhập thông tin danh tính cho các thành phần mạng như là switchs access,
WLC…
Cisco ISE là một hệ thống điều khiển truy cập dựa trên chính sách hợp nhất . ISE kết hợp các
tính năng trong nền tảng chính sách hiện tại của Cisco.
Cisco ISE thực hiện các chức năng sau :
o Kết hợp các tính năng như : authentication, authorization, accounting (AAA), posture
và profiler vào 1 thiết bị, cung cấp quản lí người dùng truy cập vào mạng một cách
toàn diện.
o Cung cấp vị trí, thông tin hồ sơ người dùng dựa vào chính sách và giám sát các thiết
bị trong mạng.
o Cho phép thực hiện chính sách thích hợp khi triển khai tập trung hoặc phân tán giúp
cho các dịch vụ được truyền tới nơi người dùng cần.
o Giúp thực hiện Security group access thông qua sử dụng SGTs và SGACLs.
Mục đích của tài liệu này để giúp cho người quản trị hệ thống hiểu rõ các chức năng và tính
năng của hệ thống Cisco ISE do đó giúp người quản trị vận hành hệ thống một cách hiệu quả.
2. PHẠM VI ỨNG DỤNG.

Phạm vi sử dụng tài liệu này cho người quản trị hệ thống tại tòa nhà hội sở D’cap -
Techcombank 119 Trần Duy Hưng . Mang tính chất bảo mật tuyệt đối không chia sẻ dưới bất
cứ hình thức nào để đảm bảo an toàn, anh ninh của hệ thống.
3. GIẢI THÍCH CÁC TỪ VIẾT TẮT.
Thuật ngữ viết tắt Ý Nghĩa

ISE Identity Services Engine
PAN Policy Administration Node
MnT Monitoring and Troubleshooting Node
PSN Policy Service Node
WLC Wireless LAN Controller
AP Access Point
CoA Change of Authorization

4. KIẾN TRÚC HỆ THỐNG.
4.1. Thông tin máy chủ.

Mô hình triển khai ISE của Techcombank sử dụng kiến trúc phân tán với tất cả các nodes
được đặt tại DC và DR.
Mỗi một nodes ISE có thể thực hiện một hoặc đồng thời nhiều dịch vụ.
Bảng dưới thể hiện vị trí và vai trò của các nodes ISE.
Hostname Persona Location
DC-ISE-01 Primary PAN, PxGrid DC
DC-ISE-02 Primary MNT DC
DC-ISE-03 PSN, TACACS+ DC
DC-ISE-04 PSN DC
DC-ISE-05 PSN DC
DC-ISE-06 PSN DC
DR-ISE-01 Secondary PAN, PxGrid DR
DR-ISE-02 PSN, TACACS+ DR
DR-ISE-03 Secondary MNT DR
DR-ISE-04 PSN DR
DR-ISE-05 PSN DR
 Thông tin cài đặt IP của nodes ISE.

Hostname Location Production IP/GW CIMC IP/GW
IP: 10.98.4.33 IP: 192.168.14.143
DC-ISE-01 DC
GW: 10.98.4.1 GW: 192.168.14.1
IP: 10.98.4.34 IP: 192.168.14.144
DC-ISE-02 DC
GW: 10.98.4.1 GW: 192.168.14.1
IP: 10.98.4.35 IP: 192.168.14.145
DC-ISE-03 DC
GW: 10.98.4.1 GW: 192.168.14.1
IP: 10.98.4.36 IP: 192.168.14.8
DC-ISE-04 DC
GW: 10.98.4.1 GW: 192.168.14.1
IP: 10.98.4.37 IP: 192.168.14.9
DC-ISE-05 DC
GW: 10.98.4.1 GW: 192.168.14.1
IP: 10.98.4.104 IP: 192.168.14.10
DC-ISE-06 DC
GW: 10.98.4.1 GW: 192.168.14.1
IP: 10.108.4.33 IP: 192.168.16.160
DR-ISE-01 DR
GW: 10.108.4.1 GW: 192.168.16.1
IP: 10.108.4.34 IP: 192.168.16.161
DR-ISE-02 DR
GW: 10.108.4.1 GW: 192.168.16.1
IP: 10.108.4.35 IP: 192.168.16.8
DR-ISE-03 DR
GW: 10.108.4.1 GW: 192.168.16.1
IP: 10.108.4.36 IP: 192.168.16.9
DR-ISE-04 DR
GW: 10.108.4.1 GW: 192.168.16.1
IP: 10.108.4.37 IP: 192.168.16.10
DR-ISE-05 DR
GW: 10.108.4.1 GW: 192.168.16.1
 Thông tin phần cứng.

 Thông tin phiên bản software.
Cisco ISE sử dụng phiên bản software 2.7.
ISE Version Patch Level
ISE 2.7 Patch 3
4.2. Thông tin kết nối.

Mô hình triển khai ISE của Techcombank sử dụng kiến trúc phân tán với tất cả các nodes
được đặt tại DC và DR.
 Thông tin kết nối hiện tại của các hệ thống ISE tại DC.

Rack Local Device Name Local Interface Patch Panel Port Cross Connect Port Cross Connect Port Patch Panel Port Remote Interface Remote Device Name Rack
Local Side Remote Side
DC
DC-ISE-01 Gi0/0 AE08-PP42-09 AE01-PP05-09 AE01-PP19-04 AE04-PP35-04 Eth1/4 DC-LF-93108-2110 AE-04
AE-08
AE-09
AE-09
AE-08
AE-08
AE-08
4.3. ISE Policy cho TCBS

- Policy set: TCB_Branch_Dot1x_NoBypass, TCB_MAB (dùng chung với các tòa HO)
1. TCB_Branch_Dot1x_NoBypass (Rule xác thực qua 802.1x)
- Policy Set Conditions:
Allowed Protocols
Policy Sets Descriptions Conditions
/Server Sequence
Wired_802.1x
OR
Wireless_802.1x
DEVICE·Device Type EQUALS All
Device Type#North-Branch-Switch
AND
TCB-Branch-Dot1x-NoBypass TCB-Branch-Dot1x DEVICE·Device Type EQUALS All Default Network Access

OR
Device Type#Middle-Branch-Switch
DEVICE·Device Type EQUALS All
Device Type#South-Branch-Switch
DEVICE·Model Name EQUALS NoBypass
- Authentication Rules Summary:

Authentication Policy Name Protocols Identity Source Options
If Auth fail: Reject
Wired_802.1x OR
TCB-User All_User_ID_Stores If User not found: Reject
Wireless_802.1x
If Process fail: Drop
- Authorization Rules Summary:

Authorization Rules gồm có các nhóm rule chính sau:
+ Rule bypass cho trường hợp NewPC chưa join domain
+ Rule bypass cho trường hợp PC share máy in, PC remote WFH
+ Rule cho trường hợp PC xác thực fail
+ Rule cho trường hợp user xác thực fail
+ Rule cho trường hợp chưa tuân thủ về Posture
+ Rule cho trường hợp tuân thủ user, PC xác thực thành công và tuân thủ posture check
Trong mỗi nhóm Rule này, với mỗi kết quả trả về khác nhau sẽ dùng điều kiện về NAD
(Device Name, Location,…) để phân biệt các rule trả về các kết quả khác nhau.

Seq Authorization Policy Name Condition Result Ý nghĩa
IdentityGroup Name EQUALS Endpoint Identity Groups:
TCB_Branch_Bypass_NewPC
Network Access.EapChainingResult EQUALS User and Machine
both succeeded
OR
AND
1 TCB-Branch-Bypass-newPC Network Access.EapAuthentication EQUALS EAP-MSCHAPv2 TCB-Branch-NAC-VlanX-pf
DEVICE·Location EQUALS All Locations#Branch#X

Rule bypass cho trường hợp
DEVICE.Device Name EQUALS X NewPC chưa join domain

TCB_Branch_Bypass_NewPC
AND
2 TCB-Branch-Bypass-newPC TCB-Branch-NAC-pf
both succeeded
OR
Network Access.EapAuthentication EQUALS EAP-MSCHAPv2

TCB_Branch_Bypass_SharedPC
OR IdentityGroup Name EQUALS Endpoint Identity Groups:
TCB_Branch_Bypass_RDP
both succeeded
AND
OR
3 TCB-Branch-Bypass-SharedPC TCB-Branch-Employee-VlanX-pf
DEVICE·Location EQUALS All Locations#Branch#X Rule bypass cho trường hợp

PC share máy in, PC remote
DEVICE.Device Name EQUALS X WFH

TCB_Branch_Bypass_SharedPC
OR

TCB_Branch_Bypass_RDP
AND
4 TCB-Branch-Bypass-SharedPC TCB-Branch-Employee-pf
both succeeded
OR
Network Access.EapChainingResult EQUALS User and Machine both

succeeded
Session.PostureStatus EQUALS Compliant
IdentityGroup Name EQUALS Endpoint

Identity Groups: TCB_Branch_Corp_VlanX
AND
AND
5 TCB-Branch-Employee-Compliant-VlanX TCB-Branch-Employee-VlanX-pf
DEVICE·Location EQUALS All Rule cho trường hợp tuân thủ
OR
OR
Locations#Branch#X user, PC xác thực thành công

và tuân thủ posture check
DEVICE.Device Name EQUALS X

TCB_Branch_Bypass_VlanX
AND
6 TCB-Branch-Employee-Compliant-Vlan1-2 succeeded TCB-Branch-Employee-pf

Session.PostureStatus EQUALS Compliant
succeeded
TCB-Branch-posture-unknown-non- Session PostureStatus EQUALS Unknown

AND
OR
7 TCB-Branch-NAC-VlanX-pf
compliance-NACX Session PostureStatus EQUALS NonCompliant
DEVICE·Location EQUALS All Locations#Branch#X Rule cho trường hợp chưa
OR
DEVICE.Device Name EQUALS X tuân thủ về Posture

TCB-Branch-posture-unknown-non- succeeded
AND
8 TCB-Branch-NAC-pf
compliance Session PostureStatus EQUALS Unknown
OR
Session PostureStatus EQUALS NonCompliant

Network Access.EapChainingResult EQUALS User failed and Machine
succeeded
AND
9 TCB-Branch-Coporate-User-Auth-Fail TCB-Branch-NAC-VlanX-pf
DEVICE·Location EQUALS All Locations#Branch#X Rule cho trường hợp user xác
OR
DEVICE.Device Name EQUALS X thực fail
10 Network Access.EapChainingResult EQUALS User failed and Machine

TCB-Branch-Coporate-User-Auth-Fail TCB-Branch-NAC-pf
succeeded
11 Network Access.EapChainingResult EQUALS User succeeded and Machine Rule cho trường hợp device
TCB-Branch-Coporate-Device-Auth-Fail DenyAccess
failed (PC,…) xác thực fail
2. TCB_MAB (Rule xác thực bằng MAC của Endpoint)

- Policy Set Conditions:
Allowed Protocols
Policy Sets Descriptions Conditions
/Server Sequence
IP Phones,Printer,Camera,BMS Wired_MAB
OR
TCB-MAB Default Network Access

Endpoint,Access Control Wireless_MAB

- Authentication Rules Summary:
Authentication Policy Name Protocols Identity Source Options
If Auth fail: Continue
Wired_MAB OR
TCB-MAB-Profiling All_User_ID_Stores If User not found: Continue
Wireless_MAB
If Process fail: Continue
- Authorization Rules Summary:

Seq Authorization Policy Name Condition Result Ý nghĩa
TCB_Branch_IPPhone_VlanX
AND
1 TCB-Branch-IPPhone-VlanX DEVICE·Location EQUALS All Locations#Branch#X TCB-Branch-IPPhone-VlanX-pf Rule MAB cho IP Phone
OR

TCB_Branch_IOT
OR

Rule MAB cho các thiết bị
TCB_Branch_Server
AND
2 TCB-Branch-IOT-VlanX TCB-Branch-IOT-VlanX-pf IOT (Camera, ATM, Printer,

DEVICE·Location EQUALS All Locations#Branch#X máy ghi âm,…) và Server
OR
Authorization Rules về cơ bản sẽ có 2 điều kiện chính là Endpoint Group cho các thiết bị
IOT, IP Phone và điều kiện về NAD (Device Name, Location, Device Type,…) để trả về kết
quả phân quyền tương ứng.
4.4. Yêu cầu hệ thống.

Các thiết bị mạng như Switch, AP, WLC có khả năng hỗ trợ 802.1x, Radius, CoA,
MAB,SGT…
Các thiết bị đầu cuối (PC) của User phải cài Cisco Anyconnect như agent để việc đánh giá
hiện trạng (posture) và thực thi kiểm soát được chi tiết, chính xác và hiệu quả hơn.
5. HƯỚNG DẪN VẬN HÀNH.
5.1. Cấu hình ISE Identity Store.

5.1.1. Cấu hình thêm User Internal.
Các bước để tạo một User Internal.
1. Truy cập vào địa chỉ https://10.98.4.33/admin/ bằng Firefox hoặc Internet Explorer để truy
cập vào giao diện cisco ISE với username/password là admin/C!sco123.
2. Di chuyển tới Work Centers> Device Administration > Identities.

3. Click vào Add để tạo User
4. Nhập Username và login Password của username Người quản trị muốn tạo.

Ngoài ra ở phần này khi tạo user, Người quản trị có thể kéo xuống bên dưới có trường User
Group. Tại đây Người quản trị có thể lựa chọn Group User mà người quản trị muốn gán User
vào .
5. Sau khi lựa chọn Group User. Click vào Save để tạo User.

5.1.2 Cấu hình Xóa User Internal.
2. Di chuyển tới Work Centers> Device Administration > Identities.
3. Chọn User Người quản trị muốn xóa và click vào Delete.

4. Click vào Delete Selected và chọn OK
5.1.3. Cấu hình Add User Internal Group.

Các Group này được sử dụng như là điều kiện chính sách cấp quyền. Các Endpoint thuộc các
Group khác nhau sẽ có các mức độ truy cập vào mạng khác nhau.
 Các bước để tạo ISE Internal User Group :
2. Di chuyển tới Administrator > Identity Management > Groups.
3. Chọn User Identity Groups.

4. Click vào Add để tạo một User Group mới
5. Nhập Name và Description của User Identity Group người quản trị muốn tạo.
6. Click Submit để tạo User Identity Group.

5.1.4. Cấu hình Endpoint Internal Group.
Các Group này được sử dụng như là điều kiện chính sách cấp quyền. Các Endpoint thuộc các
Group khác nhau sẽ có các mức độ truy cập vào mạng khác nhau.
Note: Danh sách các Endpoint Group và ý nghĩa của từng Group: Tham chiếu file: TCB NAC
II Stage II - Endpoint Group.
 Các bước để tạo ISE Internal Endpoint Group :
2. Di chuyển tới Administrator > Identity Management > Groups.
3. Chọn Endpoint Identity Groups.

4. Click vào Add để tạo một User Group mới.
5. Nhập Name và Description của Endpoint Identity Group Người quản trị muốn tạo.
6. Click Submit để tạo.

5.1.5 Cấu hình Add Network Device Group.
 Các bước để tạo ISE Internal Endpoint Group :
cập vào giao diện cisco ISE với username/password là admin/C!sco123
2. Di chuyển tới Administrator > Network resources > Network Device Groups.

3. Click Add để tạo Network Device Group.
4. Nhập Name và Description của Network Device Group Người quản trị muốn tạo và
Parent Group là All Device Types như hình bên dưới :
5. Click Save.
Chọn Network Device Groups để kiểm tra Network Device Group Người quản trị mới tạo
Network Device Group
5.1.6 Cấu hình Add Network Device.

 Các bước Add Network Device
2. Di chuyển tới Administrator > Network resources > Network Device.

3. Click Add để add một Device mới
4. Nhập các thông tin Name, Description, IP Address và Shared Secret.
5. Click Submit
5.2 Cấu hình Import MAC Address của Endpoint trên thiết bị cisco ISE.
5.2.1 Cấu hình Import MAC Address cho từng EndPoint.
 Các bước thực hiện Add MAC

2. Di chuyển tới “Work Centers > Network Access > Identities” và Click vào Endpoint ở
bên trái màn hình.

3. Click vào biểu tượng dấu “ ” như hình dưới để add MAC của thiết bị muốn Bypass.
4. Điền thông tin địa chỉ MAC của thiết bị và chọn “Static Group Assignment” để chọn
Group mà Endpoint sẽ được add vào và chọn “Save”
5. Kiểm tra kết quả sau khi add MAC

Di chuyển tới “Work Centers > Network Access > Identities” và Click vào Endpoint
Identity Groups ở bên trái màn hình.
Chọn Group mà địa chỉ MAC của Endpoint đã được add vào.
Chọn “Filter” để search địa chỉ MAC ta vừa add và kiểm tra xem địa chỉ MAC đã được add
vào Group chưa.

5.2.2 Cấu hình Import MAC Address từ file CSV.
 Các bước thực hiện Add MAC
1. Di chuyển tới “Work Centers > Network Access > Identities ” và click vào “Endpoint” ở
bên phải màn hình.
2. Click vào Import và chọn “Import From File”
3. Click “Generate a Template” Sau đó bạn sẽ nhận được 1 file CSV template từ ISE.

4. Hoàn thành cột A (MAC Address) và cột C (Endpoint Group Name ), các cột khác để
trống.
5. Quay trở lại giao diện ISE, import file CSV từ local laptop và click vào Submit

6. Sau khi import , kiểm tra kết quả import.
5.3 Kiểm tra trạng thái và vai trò của các Node Cisco ISE.

2. Từ giao diện GUI của cisco ISE . Di chuyển tới Administration > System > Deployment.
3. Ta thấy màn hình hiển thị vai trò và trạng thái của Nodes.

5.4 Cấu hình Tacacs+ policy.
1. Truy cập vào Primary Administration node <DC-ISE-01>.
2. Chuyển hướng tới Work Centers > Device Administration > Device Admin Policy Sets
3. Click vào biểu tượng và chọn “Insert new row above”
4. Để thêm hoặc chỉnh sửa các điều kiện, click vào icon ở cột “Condition”. Cửa sổ
“Conditions Studio” mở ra.
5. Thêm Conditions từ “Editor”
6. Click to add an attribute and chọn: Network Access·Protocol.

7. Chọn Equals sau đó chọn TACACS+, click use.
8. Trong cột Allowed Protocols/Server Sequence, chọn Default Device Admin.

9. Click Save.
5.5 Cấu hình Tacacs Authentication Policy.

> TCB_TACACS_Policy_Sets > Authentication policy.

4. Click vào icon
5. Thêm Condition từ Editor.
6. Click to add an attribute và chọn : DEVICE·Location
7. Chọn Equals sau đó chọn All Locations, click use.

8. Trong cột Use chọn All_User_ID_Stores identity store.
9. Click Save.
5.4 Cấu hình Tacacs Authorization Policy.

> TCB_TACACS_Policy_Sets > Authorization policy.

4. Click vào icon .

5. Thêm Condition trong phần Editor.
6. Click to add an attribute và chọn : IdentityUser·IdentityGroup.
7. Chọn Equals sau đó chọn User Identity Groups: DNAC
8. Click vào nút “AND” để tạo thêm điều kiện.

9. Chọn “new” sau đó chọn Click to add an attribute và chọn DEVICE·Device Type
10. Chọn Equals sau đó chọn: All Device Type#Catalyst, click vào Use
11. Click vào name và Sửa tên policy theo thiết kế.

12. Trong cột Commands Set, chọn Commands Set đã cài đặt theo thiết kế.
13. Trong cột Shell Profiles chọn Shell Profile đã cài đặt theo thiết kế.
14. Lặp lại các bước trên để cấu hình các authorization policy khác Người quản trị muốn tạo.

5.6 Cấu hình NTP server trên cisco ISE.
2. Từ giao diện GUI của Cisco ISE chuyển hướng đến Administration > System > Settings.
3. Chọn “System Time” ở bên trái màn hình

4. Trong phần “NTP Server Configuration” nhập địa chỉ của primary và secondary NTP
Server.
5. Click vào Save để lưu cài đặt NTP server.

5.7 Tạo syslog server trên cisco ISE.
1. Từ giao diện GUI của cisco ISE. Di chuyển tới Administration > System > Logging
2. Chọn Remote Logging Targets ở bên trái màn hình.

3. Click vào Add để tạo Syslog Server trỏ log tới.
4. Nhập các thông tin Name, Description, IP và Port number của Server bạn muốn lưu logs

5. Click Save để lưu cài đặt Syslog Server.
5.8 Kiểm tra live log và thông tin Endpoint trên cisco ISE.
 Các bước kiểm tra thông tin Endpoint
2. Di chuyển tới “Operations > RADIUS > Live Logs ” như hình dưới.
3. Live log thể hiện toàn bộ các thông tin log việc xác thực.Để kiểm tra chi tiết các thông tin
của Endpoint Click vào biểu tượng “ ” trên màn hình.

 Các thông tin overview
 Thông tin chi tiết xác thực của Endpoint

7. Click vào Live Sessions để hiện thị các phiên kết nối hiện tại.
Sử dụng tính năng Change of Authorization (CoA) trên Live Sessions để gửi yêu cầu
reauthenticate hoặc disconnect đến Network Access Device (NAD).
5.9 Cài đặt Certificate

5.9.1 Yêu cầu và cài đặt Certificate
Trước khi cài đặt cert ta phải thực hiện các bước sau để chấp nhận (tin tưởng) Techcombank
CA là root certificate :
1. Truy cập vào Techcombank Root CA (TCB-PKI-CA)
2. Nhấn vào link download CA certificate, certificate chain, hoặc CRL.
3. Nhấn vào download CA certificate
4. Lưu file đã tải với đuôi .cer (ví dụ Root-CA.cer)
5. Truy cập vào PAN (primary administration node) <DC-ISE-01>
6. Từ giao diện ISE, Hướng tới Administration > System > Certificates > Certificate
Management > Trusted Certificates.
7. Nhấn vào Import.

8. Tìm Techcombank Root CA certificate (đã lưu ở bước 4 là Root-CA.cer)
9. Chọn phần có tiêu đề “Trust for authentication within ISE”,Trust for client
authentication and syslog, Trust for authentication of Cisco services.
10. Chọn Submit

5.9.2 Cấu hình Certificate Signing Request
Các bước thực hiện để tạo Certificate Signing Request :
1. Truy cập vào PAN <DC-ISE-01> với địa chỉ https://10.98.4.33/admin/ bằng Firefox
hoặc Internet Explorer để truy cập vào giao diện cisco ISE với username/password là
admin/C!sco123.
2. Chuyển hướng đến Administration > System > Certificates.
3. Chọn Certificate Signing Requests.
4. Nhấn vào Generate Certificate Signing Request (CSR).

5. Chọn “Multi-Use” trong phần Usage.
6. Hoàn thành các thông tin ở bảng dưới đây

7. Nhấn vào “Generate”và export CSR file dưới dạng file.pem
8. Techcombank có thể sử dụng CSR để phát hành certificate
Note: Lặp lại tất cả các bước trên cho mỗi node.
Các bước thực hiện để đăng kí CSR đã tạo ở trên.
1. Truy cập vào Techcombank CA.
2. Nhấn vào “Request a certificate”
3. Chọn “advanced certificate request”
4. Chọn tiêu đề Submit a certificate request bằng cách sử dụng 1 “base-64-encoded CMC”
hoặc “PKCS #10 file” hoặc Submit a renewal request (yêu cầu gia hạn) bằng cách sử
dụng “a base- 64 – encoder PKCS #7 file ”.
5. Sử dụng notepad để mở file .pem (đã lưu ở bước 7 bên trên).
6. Copy toàn bộ file .pem
7. Paste file.pem vào mục “Saved Request” trong cửa sổ CA.Sau đó Certificate Template
sẽ được cài tới Web Server.
8. Chọn Submit.

9. Chọn Download certificate và lưu dưới dạng file .cer (CA-signed.cer) vào nơi người
quản trị có thể truy cập dễ dàng.
5.9.3 Cấu hình Binding the CA-signed Certificate.
1. Truy cập vào PAN <DC-ISE-01> với địa chỉ https://10.98.4.33/admin/ bằng Firefox
hoặc Internet Explorer để truy cập vào giao diện cisco ISE với username/password là
admin/C!sco123.
2. Chuyển hướng tới Administration > System > Certificates > Certificate Signing
Requests, Chọn Add > CA certificates
3. Tìm kiếm certificate mà Techcombank CA đã phát hành cho ISE (đã lưu dưới
dang .cer ở trên <CA-signed.cer>).Chọn mục Admin, EAP Authentication, Portal
(sẽ được sử dụng cho posture) và Pxgrid như hình dưới.
4. Click Submit.
5.10 Monitoring
5.10.1 RADIUS Live Logs
Sử dụng Radius LiveLog để xem các thông tin về phiên xác thực của 1 Endpoint. Mục đích
chính của việc check RADIUS Live Logs là xác định được Endpoint đang được xác thực,
phân quyền bởi rule nào, từ đó biết được Endpoint đang nhận Result (Authorization Profile)
là gì. Cùng với đó là xác định được nguyên nhân Endpoint được xác thực phân quyền vào rule
đó.
1. Từ giao diện GUI của cisco ISE. Di chuyển tới Operations > RADIUS > Live Logs >
Nhập thông tin định danh của Endpoint (MAC, hostname, IP,…) vào cột tương ứng để tìm
kiếm thông tin của Endpoint.
2. Chọn Details của log để xem các thông tin chi tiết của phiên xác thực của Endpoint.

3. Một RADIUS Log Detail sẽ gồm 4 phần là Overview, Authentication Details, Other
Attributes và Result.
Trong phần Overview, ta có thể xác định được các thông tin quan trọng về rule xác thực,
phân quyền và kết quả phân quyền mà Endpoint nhận được qua các thông tin về
Authentication Policy (rule xác thực), Authorization Policy (rule phân quyền), Authorization
Result (kết quả phân quyền).
Trong phần Authentication Details và Other Attributes, sẽ cho ta những thông tin để biết tại
sao Endpoint được xác thực và phân quyền vào các rule trong phần Overview. Trong đó, các
thông tin quan trọng cần chú ý là: Event (Authentication Details tab), Posture Status,

(Authentication Details tab), Network Device (Authentication Details tab), NAS Port Type
(Authentication Details tab), EAPChainingResult (Other Attributes tab).
Phần Result sẽ cho biết thông tin, giá trị cụ thể của kết quả phân quyền, có thể là giá trị Vlan,
SGT,…tùy theo policy được cấu hình.
5.10.2 TACACS Live Logs

TACACS Live Logs được sử dụng để kiểm tra việc xác thực phân quyền cho việc quản trị
NAD.

1. Từ giao diện GUI của ISE. Di chuyển tới Operations > TACACS > Live Logs > Nhập
thông tin định danh để lọc thông tin phiên xác thực quản trị NAD.
2. Chọn Details của log để xem các thông tin chi tiết của phiên xác thực quản trị NAD.
3. Tương tự RADIUS Live Logs, TACACS Live Logs detail cũng sẽ cho biết thông tin về
policy xác thực quản trị NAD trả về và chi tiết các thông tin để biết tại sao trả về policy đó.
5.10.3 Report
Xem Report Log:
1. Từ giao diện GUI của ISE. Di chuyển tới Operations > Report > Report > Chọn log cần
check.
2. Lọc các thông tin log mong muốn > Chọn Details để xem chi tiết log.
Export Report Log:
1. Từ giao diện GUI của ISE. Di chuyển tới Operations > Report > Report > Chọn log cần
check.
2. Lọc các thông tin log mong muốn > Chọn Export To > Chọn định đạng
file export > Chọn nơi lưu trữ file export.

5.11 System Healt Check
5.11.1 Kiểm tra các thông tin phần cứng, phiên bản của thiết bị
Từ giao diện GUI của cisco ISE. Click vào phím Setting ở góc phía trên cùng bên phải >
Chọn About Identity Services Engine
Kiểm tra cụ thể các patch version đã được cài đặt:

Từ giao diện GUI của cisco ISE. Di chuyển đến Aministration > System > Maintenance >
Patch Management

5.11.2 Kiểm tra trạng thái Deployment
Từ giao diện GUI của cisco ISE. Di chuyển đến Aministration > System > Deployment
5.11.3. Kiểm tra Performance của hệ thống
1. Từ giao diện GUI của cisco ISE. Di chuyển đến Home > Chọn Detach ở phần SYSTEM
SUMMARY
2. Kiểm tra các thông số về CPU, Memory Usage, Authentication Latency cho mỗi node ISE
5.11.4 Kiểm tra trạng thái License của hệ thống
Từ giao diện GUI của cisco ISE. Di chuyển đến Aministration > System > Licensing >
Kiểm tra trạng thái các Liense đang được Enabled và Compliance Status là In Compliance

5.12 Troubleshooting
Sử dụng RADIUS Authentication Troubleshooting Tool để kiểm tra thông tin phiên xác thực.
1. Từ giao diện GUI của cisco ISE. Di chuyển tới Operations > Troubleshoot > Diagnostic
Tools.
2. Di chuyển tới General Tools > RADIUS Authentication Troubleshooting.

Bạn có thể search theo username, Endpoint ID để kiểm tra thông tin xác thực của User, ngoài
ra bạn có thể điều chỉnh Time range để xem thông tin các phiên trong khoảng time bạn muốn
sau đó click vào Search để xem thông tin xác thực.

3. Chọn phiên xác thực bạn muốn kiểm tra xong đó click vào Troubleshoot để thực hiện
Troubleshoot.
4. Click vào Show Result summary để xem chẩn đoán nguyên nhân xác thực fail và cách giải
quyết.

6. BẢNG IP CÀI ĐẶT HỆ THỐNG
Hostname Location Production IP/GW CIMC IP/GW

IP: 10.98.4.33 IP: 192.168.14.143
DC-ISE-01 DC
GW: 10.98.4.1 GW: 192.168.14.1
IP: 10.98.4.34 IP: 192.168.14.144
DC-ISE-02 DC
GW: 10.98.4.1 GW: 192.168.14.1
IP: 10.98.4.35 IP: 192.168.14.145
DC-ISE-03 DC
GW: 10.98.4.1 GW: 192.168.14.1
IP: 10.98.4.36 IP: 192.168.14.8
DC-ISE-04 DC
GW: 10.98.4.1 GW: 192.168.14.1
IP: 10.98.4.37 IP: 192.168.14.9
DC-ISE-05 DC
GW: 10.98.4.1 GW: 192.168.14.1
IP: 10.98.4.104 IP: 192.168.14.10
DC-ISE-06 DC
GW: 10.98.4.1 GW: 192.168.14.1
IP: 10.108.4.33 IP: 192.168.16.160
DR-ISE-01 DR
GW: 10.108.4.1 GW: 192.168.16.1
IP: 10.108.4.34 IP: 192.168.16.161
DR-ISE-02 DR
GW: 10.108.4.1 GW: 192.168.16.1
IP: 10.108.4.35 IP: 192.168.16.8
DR-ISE-03 DR
GW: 10.108.4.1 GW: 192.168.16.1
IP: 10.108.4.36 IP: 192.168.16.9
DR-ISE-04 DR
GW: 10.108.4.1 GW: 192.168.16.1
IP: 10.108.4.37 IP: 192.168.16.10
DR-ISE-05 DR
GW: 10.108.4.1 GW: 192.168.16.1
7. HIỆU LỰC THI HÀNH
Tiêu chuẩn có có hiệu lực kể từ ngày ký.

Việc bổ sung, sửa đổi, thay thế do bộ phận Vận hành hạ tầng công nghệ thực hiện, trình Giám
đốc Hỗ trợ và vận hành hạ tầng công nghệ hội sở phê duyệt.

Tài liệu vận hành hệ thống Cisco ISE

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Tài liệu vận hành hệ thống Cisco ISE

Uploaded by

Copyright:

Available Formats

TÀI LIỆU VẬN HÀNH HỆ THỐNG

Hạng mục: Hệ thống mạng Campus

Tài liệu vận hành hệ thống Cisco ISE Trang

Tài liệu vận hành hệ thống Cisco ISE Trang

Tài liệu vận hành hệ thống Cisco ISE Trang

2. PHẠM VI ỨNG DỤNG.

3. GIẢI THÍCH CÁC TỪ VIẾT TẮT.

Thuật ngữ viết tắt Ý Nghĩa

Tài liệu vận hành hệ thống Cisco ISE Trang

4.1. Thông tin máy chủ.

 Thông tin cài đặt IP của nodes ISE.

 Thông tin phần cứng.

Tài liệu vận hành hệ thống Cisco ISE Trang

4.2. Thông tin kết nối.

Tài liệu vận hành hệ thống Cisco ISE Trang

4.3. ISE Policy cho TCBS

TCB-Branch-Dot1x-NoBypass TCB-Branch-Dot1x DEVICE·Device Type EQUALS All Default Network Access

- Authentication Rules Summary:

- Authorization Rules Summary:

Tài liệu vận hành hệ thống Cisco ISE Trang

DEVICE·Location EQUALS All Locations#Branch#X

IdentityGroup Name EQUALS Endpoint Identity Groups:

IdentityGroup Name EQUALS Endpoint Identity Groups:

DEVICE·Location EQUALS All Locations#Branch#X Rule bypass cho trường hợp

IdentityGroup Name EQUALS Endpoint Identity Groups:

IdentityGroup Name EQUALS Endpoint Identity Groups:

Network Access.EapAuthentication EQUALS EAP-MSCHAPv2

Network Access.EapChainingResult EQUALS User and Machine both

Session.PostureStatus EQUALS Compliant

IdentityGroup Name EQUALS Endpoint

Locations#Branch#X user, PC xác thực thành công

IdentityGroup Name EQUALS Endpoint Identity Groups:

6 TCB-Branch-Employee-Compliant-Vlan1-2 succeeded TCB-Branch-Employee-pf

TCB-Branch-posture-unknown-non- Session PostureStatus EQUALS Unknown

DEVICE.Device Name EQUALS X tuân thủ về Posture

Session PostureStatus EQUALS NonCompliant

DEVICE.Device Name EQUALS X thực fail

10 Network Access.EapChainingResult EQUALS User failed and Machine

2. TCB_MAB (Rule xác thực bằng MAC của Endpoint)

TCB-MAB Default Network Access

Tài liệu vận hành hệ thống Cisco ISE Trang

- Authorization Rules Summary:

DEVICE.Device Name EQUALS X

IdentityGroup Name EQUALS Endpoint Identity Groups:

IdentityGroup Name EQUALS Endpoint Identity Groups:

2 TCB-Branch-IOT-VlanX TCB-Branch-IOT-VlanX-pf IOT (Camera, ATM, Printer,

DEVICE.Device Name EQUALS X

4.4. Yêu cầu hệ thống.

5. HƯỚNG DẪN VẬN HÀNH.

5.1. Cấu hình ISE Identity Store.

Tài liệu vận hành hệ thống Cisco ISE Trang

Tài liệu vận hành hệ thống Cisco ISE Trang

Tài liệu vận hành hệ thống Cisco ISE Trang

2. Di chuyển tới Work Centers> Device Administration > Identities.

Tài liệu vận hành hệ thống Cisco ISE Trang

5.1.3. Cấu hình Add User Internal Group.

Tài liệu vận hành hệ thống Cisco ISE Trang

6. Click Submit để tạo User Identity Group.

Tài liệu vận hành hệ thống Cisco ISE Trang

6. Click Submit để tạo.

Tài liệu vận hành hệ thống Cisco ISE Trang

5.1.6 Cấu hình Add Network Device.

Tài liệu vận hành hệ thống Cisco ISE Trang

Tài liệu vận hành hệ thống Cisco ISE Trang