首页 > 实用文体

访客网络

更新时间:2023-03-08 16:41:40 阅读：评论：0

电力安全事故应急处置和调查处理条例-云南有什么特产

2023年3月8日发(作者：东北有什么特产)

第

1页，共13页

思科IT文章

思科IT和身份服务引擎

多年的部署历程。

作者：GregRasner

思科安全客户经理

思科身份服务引擎(ISE)是一个策略引擎，可跨有线和无线网络实现基于情景的网络访问控制，并扩展到移动连接

（自带设备[BYOD]）。情景控制基于多种变量，包括人员（用户身份）、时间（时间信息）、地点（位置）、方式

（访问方法）和对象（设备）。ISE可以使用我们现有的基础设施，在所有尝试获得网络访问权限的设备上实施安

全策略。为此，ISE可以使用接入交换机、无线控制器和大多数思科®网络设备作为设备分析传感器和访问实施点，

进行边缘身份验证。

ISE还可以将身份验证服务扩展到符合802.1X标准的其他供应商硬件上。对于非802.1X标准设备，ISE可以使用

Web身份验证作为备用身份验证方式。ISE既可以作为物理设备部署，也可以在虚拟机(VM)上运行。为了响应我

们促进数据中心虚拟化和降低空间占用率的总体目标，我们选择在虚拟机上部署ISE。我们采取谨慎、可控的方法

推出新的ISE功能。

这种方法可帮助IT人员确保顺利采用ISE、收集用户反馈，并在各个阶段构建和利用ISE功能。

思科IT是ISE的早期采用者（2012年部署了ISE1.1），在过去的一年半里，我们在推出ISE功能方面取得了巨大

进展。如需了解我们在初始部署阶段的决策信息，请参阅

端到端安全策略控制。这一部署策略从2013年8月持续

到2014年7月，涵盖思科的整个2014财年。

本文着重介绍我们当前ISE部署的主要方面，包括部署策略、测试和认证流程、访客网络和增强功能、分析、无线

身份验证、有线身份验证、复制和扩展、运营支持、试点部署和有限部署以及挑战/经验教训。

第

2页，共13页

思科IT制定的ISE部署级别

2014年7月底，我们部署了ISE的几个主要功能。我们的访客基础设施由两台虚拟机进行管理（主虚拟机位于我们

在圣荷西的数据中心，辅助虚拟机位于我们在西欧的数据中心）。这两台虚拟机用于管理全球访客服务，对象是每月

创建的6万多个访客帐户。我们的访客基础设施于2013年12月底完成全部部署工作，运行ISE1.2Patch7（参见

表1）。生产集群在28台虚拟机上运行，同样使用ISE1.2Patch7。我们在生产集群上运行其他所有功能。迄今为

止，我们已在全球83个站点部署了ISE无线身份验证、802.1X监控模式和分析功能。我们还在1万多个（总共

3万个）思科虚拟办公室(CVO)系统（这些系统通常在思科800系列路由器和思科SOHO路由器上运行）上部署了

ISE无线身份验证。此外，我们还在有限的范围内对两个外联网合作伙伴部署了无线安全状况实施服务，此部署覆盖

了近1000部成功通过身份验证的连接设备。目前，我们接受分析的终端数量为55万部，我们在任何特定时间的最

大并发连接数为55000。

表部署规划图

部署策略

对于ISE，我们采用阶段式方法进行部署，以避免因为同时部署多个功能而造成混乱。为了管理功能部署和采用，

我们以捆绑包的形式实施ISE功能（参见图1）。捆绑有助于确保正确完成必要的步骤，从而成功部署各项功能。

第

3页，共13页

图功能捆绑策略

我们使用明确定义的解决方案交付方法，即与我们的项目生命周期(PLC)相一致的PLC框架。PLC定义了交付

解决方案或IT功能的几个阶段，以及每个阶段的审批关卡和具体的交付内容。所有项目都遵循以下几个阶段：

●业务承诺-清晰地阐述了业务案例和优势

●概念承诺-主要成果为解决方案架构

●执行承诺-具体设计工作和规划的出发点

在整个过程中复审架构、设计和运营就绪情况，确保仅在具备适当资源、支持和通信计划的情况下实施解决方案。

细致的项目管理加上服务管理办公室和项目管理办公室的监管，以及与项目利益相关者的定期同步，确保项目准时

完成且符合预算。快速识别偏差，并采取适当的补救措施或做出正确的业务决策，从而重新回到正轨。

最后，促使企业部署ISE的因素是我们在网络交换矩阵中嵌入安全性的策略。在无边界企业或自带设备(BYOD)

和万物互联(IoE)等趋势导致更多设备需要安全连接的环境中，依靠经过考验但已过时的基于周界的模式不能提

供必要的安全性。

我们的全球ISE部署还可简化运营和架构，从而促进企业节省大量成本。以前，我们需要在全球维护12台服务器和

长长的访问控制列表(ACL)，以提供访客接入。通过部署ISEGuest，我们将全球的设备数量减少到2台虚拟机，将

ACL减少到20行以下。要得到准确的成本节约数值，需要使用总拥有成本(TCO)计算器。我们看到，仅访客接入

服务这一项，运营、基础设施和升级成本的实际TCO就已经有所降低。

第

4页，共13页

测试和认证流程

过去两年里，ISE版本和功能的测试与认证不断发展。最初，我们使用三阶段流程来测试和认证版本及修复程序。

首先，我们使用服务验证实验室(SVL)。然后，我们在具有单独ISE集群和无线局域网控制器(WLC)的圣荷西园区

12号楼进行测试，确保修复程序可以独立运行。最后，我们移至生产集群。

我们还实施了其他ISE有限部署基础设施（参见图2）。该ISE虚拟机基础设施可镜像全球范围内的生产集群，

但利用更少的虚拟机支持集群。ISE修复程序和版本的测试与验证具备可扩展性，这是实施其他有限部署基础设施

的关键驱动因素。

我们指定全球多个关键设施（通过其WLC）使用新的SSID（不是我们的生产级无线SSID）。通过使用新的SSID，

我们可以在此基础设施上应用新代码并使其可用于特定的分支机构和园区建筑，同时不会影响用户的生产访问。新

修复程序、版本或功能的测试与验证涉及的用户可以使用新的SSID。如果出现重大问题，用户可以放弃使用新

SSID并重新使用生产级SSID，以继续工作。

图有限部署集群

ISE1.3有限可用性测试

虽然思科IT可以在本地访问创建ISE的业务部门，但我们参与ISE1.3有限可用性(LA)与应用并获准参与此计划

的客户类似。2015财年（从2014年8月开始到2015年7月结束），我们要相继发布许多功能。我们为部署和测

试ISE1.3LA制定了广泛而庞杂的计划。

我们将ISE1.3LA作为单独项目运行，以确保捕获准入和准出条件。我们要测试的主要功能有访客服务（新用户接

口、通用门户和应用程序编程接口或API更改）、终端保护服务(EPS)，以及重新获取网络接入设备(NAD)操作自

动化、管理和可扩展性测试以及登录(EAP-TLS)的IP地址。测试的延伸目标是在思科将pxGrid和移动设备管理

(MDM)与第三方MDM解决方案相集成。

访客网络和增强功能

访客无线接入控制是我们在全球部署的第一个ISE功能。我们的访客网络系统寿命即将终止。这种复杂的系统灵活

性较差，并且容易中断。简洁性对于通过ISE提供访客网络服务至关重要。我们只需要两台服务器（主服务器位于

圣荷西数据中心，辅助服务器位于西欧）。因为只使用两台服务器，所以TCO和运营开销都有所降低。

ISE将冗余功能内置于应用中。当我们的辅助服务器由于虚拟机问题发生故障时，我们将这项功能加入到了真实测

试中。所有全球访客网络请求都进入主服务器，并且所有请求均得到正确处理，同时没有对终端用户造成明显影响。

2014年12月以来，每月的平均访客数量为6万人，并且还在不断增长。该工具在访客网络方面的一些改进目前已

得到使用，包括：

●访客挂机会从网络中移除访客

●移动模板（移动模板已经过优化，可让移动设备上的登录/AUP验收更加简单）

●登录文本的本地化

●为移动设备调整登录屏幕

●通过邮件或短信向访客发送帐户通知

我们已对随ISE一起提供的访客服务进行改进。在思科，访客接入策略是基于赞助商的。这意味着访问思科设施的

访客必须让员工创建访客帐户，并为他们提供访问用户名和密码。在ISE1.2中，Patch5是允许其他应用与ISE访

客功能交互的访客API。我们通过将思科大楼（现场有前台接待员）中使用的登记系统链接到ISE访客服务来利用

此功能。当访客到达并收到访问该大楼的登记信息时，登记软件会通过API调用ISE上的访客服务，然后在ISE中

填写访客帐户的必要信息。信息会和访问密码一同发回登记系统。访客会收到两个徽章：一个用于显示他们的员工

已获得进入现场的适当访问权，另一个包含登录所需的信息。此增强功能可减少访客和员工赞助商所需的步骤。

我们希望在ISE1.3中安排更多API，这将进一步改善客户体验。

分析802.1X监控模式

分析用于对尝试访问网络的设备进行分类和管理。此ISE功能使用思科交换机、WLC和无线接入点中嵌入的感知

功能，分析网络边缘的设备。ISE分析器使用最合适的终端配置文件（在ISE内配置，用于指定终端身份组）对

设备进行分类。此身份组可在定义身份验证和授权策略的条件时使用。

作为增强802.1X功能的一个步骤，您需要清楚了解您网络上的设备。您需要了解哪些设备能够执行802.1X协议，

哪些设备不能执行802.1X协议，以及这些设备的位置。然后，您可以评估您可能必须要更改的用户体验来得出结果。

通过结合使用分析和监控模式，IT可了解哪些设备身份验证失败，并采取相应的措施。

第

6页，共13页

思科IT使用RADIUS、简单网络管理协议(SNMP)、动态主机配置协议(DHCP)助手、域名系统(DNS)和HTTP

进行分析。借助ISE分析器，我们可以：

●执行自动终端分析

●提供终端行为监控

●构建没有思科网络准入控制的终端存储库

无线身份验证

2014年2月，我们开始部署ISE以对全球的无线终端执行身份验证。初始计划需要进行三次规模不断扩大的有限

部署(Ld)，以确保我们的方法稳定有效，并在进行更大规模的全球部署之前解决LD中遇到的所有问题。2014年

5月，我们完成无线身份验证（从访问控制系统[ACS]到ISE）的最后一次LD。在最后一次LD中，我们的目标是

让终端总数达到已知终端数的50%（来自ACS数据）。早期的LD侧重于全球各种大型站点（通过终端），以便

我们能完成50%的目标。达到此目标后，剩余的50%得到快速迁移。

剩余50%的全球无线基础设施的常规部署非常顺利，这主要归功于我们从LD中得到的经验教训。项目团队实施了

多个运营流程来简化部署和支持。我们利用现有的ACS基础设施将无线身份验证从ACS移动到ISE。在WLC上，

我们让前三个身份验证服务器成为ISE节点，并让其余两个指向ACS节点。如果ISE系统出现身份验证问题，那

么指向前三个ISE节点的身份验证会失败，剩余的身份验证会转到ACS基础设施。此外，我们启用了夜间分析报告，

该报告可搜索从ISE切换到ACS的WLC。运营团队将审核报告并对故障切换实例进行故障排除。连续一个月没有

发生过故障切换后，该团队将运行一个自动化脚本，从WLC中删除ACS引用。所有身份验证将由ISE自行完成，

无需回滚到ACS。然后，管理ACS基础设施的团队可决定将来实施中需要的ACS虚拟机数量。

思科IT将继续使用ACS执行多项任务（如适用于设备控制的TACACS+），直至ISE可以执行这些功能。然

而，随着ISE接管这些功能，在我们准备好关闭ISE负责运行的系统之前，会出现两个系统先后运行的情况。

复制、扩展和集群规模调整

在我们的ISE部署中调整设备集群规模时，思科IT使用“3+1”公式：我们假设每个人有三台设备（笔记本电脑、

智能手机和平板电脑）加一个后台设备（安全摄像头、打印机、网络接入设备等）。在类似于思科这种规模的公司

中，大约有8万名员工，这相当于同时要对32万台设备进行身份验证，不过员工遍布全球，不太可能出现所有设

备同时进行身份验证的情况。鉴于此，最初的规模为4集群环境，我们称之为“ISECube”（参见图3）。

第

7页，共13页

图3.最初的多ISECube

最初有五个主要集群，包括一个美国中心集群。我们在2011年开始设计文档，主要侧重于ISE1.0的功能和扩展性。

此版本的ISE最多可以处理10万台设备。考虑到将来要推出的功能，我们假设需要集群来处理有线和无线的

802.1X全球部署；因此，我们选定四个生产集群（除以10万后，每个集群大约32万台设备）。由于某些地区（如

美国）的用户/设备基数较大，因此需要多个集群。我们从四个集群开始部署，并在ISE可以处理更多终端时进行调

整。例如，随着产品规划图日渐成熟，我们计划将美国东部和西部的集群进一步整合为一个集群。

这项部署工作的很大一部分是万物互联的基础。早期围绕ISE基础设施规模调整的讨论主要关注构建基础设施的

需求，以便我们网络上的所有内容都可以获得授权和访问权限。

我们已在全球部署访客网络、802.1X监控模式和分析，正在进行用于无线的802.1X部署。由于这些功能已投入生

产环境，因此它们已从项目支持变为运营支持。支持此基础设施的团队也支持在生产环境中使用ACS。这支经验丰

富的团队为生产支持问题提供了宝贵见解。

ISE的第一次正式部署是在ISE1.1.3版本中，计划先升级到最新修复程序，然后升级到ISE1.2。对全球集群配置

的支持增加了团队的开销，同时引发了有关修复程序和升级管理的一些问题。运营团队和项目团队同意我们对当前

功能和定于2014年年底推出的短期功能采用不同的规模调整方式。这种方法可以在将会达到上限的网络上分阶段逐

渐增加设备数量。此外，我们还部署了上限为25万台设备的ISE1.2。由于我们没有在全球完整部署802.1X有线，

因此对于某些存在高度知识产权风险的环境，我们不需要规模完全符合3+1公式。相反，我们朝着单一ISE全球集

群的方向发展（参见图4）。

第

8页，共13页

图4.单一全球ISE1.2版

向单一集群的转变让我们不必等待预计会在ISE更高版本中提供的ManagerofManagers(MoM)。多个集群意味

着要登录单独的管理控制台。必须对每个集群单独进行修复和升级。在最新版本中，没有可以集中处理这些工作的

MoM。由于要面临下一版中可能不存在静止员工和产品限制的情况，运营支持团队决定将这四个集群合并为一个

全球集群。

这个集群将调整为单个部署中允许的最大策略服务节点(PSN)数量(40)，在即将达到25万个并发终端的限制时，

备用策略管理节点(PAN)/M&T对将拆分为两个部署。拆分后可立即将容量双倍增加到50万个并发终端，无需利

用虚拟IP地址(VIP)和思科应用控制引擎负载均衡器来添加额外的PSN或更改NAD配置。

在较高的水平，我们按照以下步骤合并集群：

●基础设施必备条件：

◦确保所有集群位于同一版本和修复程序级别

◦禁用所有备份

◦确保SFTP和ISE服务器有足够的可用存储空间

◦提前完成备份（包含多个步骤，没有具体列出）

◦确保克隆主要PAN和M&T虚拟机

◦将所有PSN配置整合到我们的开发环境

◦在对应的VIP和已安装的ISE中添加六个新的PSN虚拟机

●主要步骤：

◦将美国西部、亚太地区以及欧洲、中东和非洲的集群合并到美国东部的PSN

◦分别注销美国西部、亚太地区以及欧洲、中东和非洲集群中支持各个VIP的PSN

◦在美国东部集群中注册PSN

◦将PSN添加到其他集群

第

9页，共13页

◦确认美国东部集群的指标是否正确（现在，单一全球集群位于我们在德克萨斯州艾伦市的数据中心）

◦检查集群主机上的复制和ActiveDirectory状态

●迁移后：

◦恢复之前关闭的服务

◦执行备份

◦检查所有监控系统是否存在问题

这项工作是在2013年12月完成的，在所有集群合并成一个集群之前，我们用四个周末从ISE1.1.3升级至ISE

1.2，每个周末升级一个集群。

我们正在敲定如果在下一版本之前达到任何产品限制，应该如何分割部署。第一种选择是在东部和西部之间分割部

署，例如，美国是一个部署，欧洲、中东和非洲是另一个部署。第二种选择是保留全球部署，然后通过使用VIP来

分割部署，以指向PSN的子集。这可以是功能性分割（按服务）或选择性分割（按数量）。

我们的支持团队已经体会到单个全球集群的优势。我们对一个集群的全球ISE基础设施应用Patch3和Patch6。

此过程只涉及登录PAN和上传修复程序文件；主服务器以串行方式管理各个辅助服务器的修复程序分配。如果没

有单一集群，我们需要单独将修复程序应用于各个集群。此外，通过使用单个集群，即使其中一个集群中的修复程

序出现故障，我们也无需担心版本会不同步。

通过整合集群，我们只有原来四分之一的工作量，并且只升级一个集群大大降低了风险。我们已根据目前的需求调整

基础设施。与第一次部署时就构建将来所有的功能相反，我们采取一种适时调整的方法，不需要为目前未部署的将来

功能预留多余的容量。

我们可能仍需要使用多个集群，事实上，我们很可能会使用多个集群。但现在还无法确定什么时候需要分割集群。

我们不知道最终连接到我们企业的万物互联和所有设备的全部影响。使用优质的容量管理技术是任何IT组织一直努

力的方向；因为运营团队可以通过多种方式查看和应对负载变化，因此这同样适用于此情况。

我们最近正在致力于升级运行生产ISE的虚拟机基础设施，这是有效管理容量的一个很好的例子。在部署时，我们

就虚拟机问题与内部调配团队进行接洽，并为此服务选择一组标准菜单项。在生产环境中运行一年后，添加的功能

对系统产生了一些影响。该团队注意到该服务占用大量磁盘I/O和内存使用空间。因此，我们在过去三个月里升级

了此服务（参见表2）。

第

10页，共13页

表2.生产虚拟机中的最新标准

关于集群和服务器规模调整的决策绝不是一成不变的。不断的观察和产品知识让我们有了目前最优的部署配置。

随着不断的观察、分析容量并采取应对措施，配置将不断变化。

运营支持

运营支持分为两大类：直接支持和基础设施/上层技术支持。直接支持人员负责接听电话并执行故障排除和上报。从

数量方面看，ISE部署的直接支持团队在过去两年内一直没有改变。在思科2015财年，我们尚未预算或预测此级别

支持的任何更改。

基础设施和上层支持由管理ACS和ISE基础设施的团队处理。此团队另外新增了两名人员负责处理ISE提供的

新服务。在即将到来的财年中，我们计划大力实行功能部署，包括在全球部署MDM和有线身份验证扩展。根据预

算，我们继续保留这两个额外的业务改变(CtB)人员。因为功能会在2015财年完全部署，所以该CtB成本将成为

运行业务(RtB)成本。负责提供此类基础设施支持的是为某些服务（如运营中使用的PEAP、MS-CHAP和EAP-

TLS）开发和部署监视器的团队。这些人员的使用完全符合CtB成本，并且只在聘用期间向其支付薪资。在该项

目生命周期内，我们预算在该团队中每年增加一名要使用的人员。

挑战和经验教训

从2012年ISE1.1版本开始，多年来我们一直在部署ISE功能。在这个过程中，我们总结了一些经验教训。

部署访客无线访问

●沟通至关重要。此功能涉及用户体验，因此，通过各种方式与终端客户沟通更改非常重要。尽可能多找一些

途径来沟通这些更改。这种情况下，过度分享绝对是一个好习惯。

●在前一周或前两周设计一个由专门团队负责处理的上报流程。对于用户而言，此类更改是突然出现，因此，

设立专门的团队可以缓解第1天作战室的情况。

●为用户提供一种途径（论坛或邮件程序），指导他们如何提出问题，提供反馈或表达担忧。

第

11页，共13页

部署802.1X监控模式和分析

●考虑使用大型分析引擎。思科IT使用大型商用分析引擎分析来自ISE的数据。尽管ISE提供报告，但使用

大型分析引擎能提供其他功能。

●部署之前执行平台测试。思科IT的综合实验室中有全球网络上部署的所有网络设备。有些情况下，某些思

科IOS软件版本没有很好地执行ISE的功能，因此，我们安排此部署与版本升级保持一致，以确保达到理

想性能。

部署无线和有线认证

●识别旧的AD服务器。网络上旧版的WindowsAD服务器(2005)会导致身份验证出现间歇性问题。这是在

为无线身份验证运行ACS（不只是ISE）时观察到的。

●阶段性有限部署。首先，有限部署可帮助您确保平台兼容性正常。其次，ISE基础设施上的负载能为项目团

队提供一种理想的方式来管理全球部署。

●评估不同地区的ActiveDirectory服务器性能。

●评估现有无线RADIUS身份验证日志。

●为了避免不一致的权限策略，只使用PEAP“机器身份验证”或只使用“用户身份验证”，不要使用来自

Windows请求者的“机器或用户身份验证”。

●要实现故障切换，请使用两个思科应用控制引擎虚拟IP地址（思科应用控制引擎VIP），而不是在WLC中

使用一个VIP，即使已经有多个身份服务引擎支持VIP。

●使用日志记录鉴别器过滤不必要的系统日志。接入层交换机的802.1XSNMP身份验证/授权系统消息已经

泛洪。

●允许使用UDP端口1645/1656或1812/1813接收来自ISE的身份验证/记帐流量。

●在接入层交换机上启用dot1X后，身份验证状态为“未知”。这种情况需要手动关闭/打开交换机端口或手

动插/拔终端。

●确保不允许为无线访问机制使用MAB身份验证。

●确认L2设备上运行的IOS版本没有ISE已知问题。已经发表过出现内存泄漏或其他问题的情况，提前发现

这些问题并进行规避是任何软件部署的首选方式。

项目规划过程中的指标和沟通步骤

●在尝试派生ROI或服务指标时，ISE提供的很多功能都不能直接节省成本；但是，服务指标的提高是ISE部

署的直接结果。

●与终端用户沟通能改变用户体验的更改非常重要，并且需要使用多种渠道。不要只依赖邮件，因为很多用户每

天会收到数百封邮件。标记、其他警报机制和管理支持都是很理想的选择。

ISE部署和支持人员

●已要求新ISE支持人员只负责上层支持。但是，这不是ISE的职能，而是功能部署的职能。

●如果有可能，充分利用全球的工程人员让思科IT找到更有利的人员开销方案。

第

12页，共13页

●项目开始时吸引所有利益相关者（结构、设计、实施、支持、托管和存储等）的注意力。

●为实施和支持团队提供实际操作培训以帮助确保部署和转换顺利。

●设置有关哪些设备将100%受支持，哪些设备受支持，但没有经过完全测试的期望。

●评估现有的基于ACS的无线身份验证状态。

●为最常见的终端用户请求者配置开发内部Wiki页面。

2015财年部署计划

思科IT计划在2015财年大力部署功能。我们预计会继续在全球部署有线802.1X监控模式和分析。在2014财年

期间，由于资源和平台修补问题，我们决定着重于ISE的无线身份验证。如前所述，启用802.1X监控模式和分析

能在802.1X身份验证模式之前提供重要信息。因为我们已完成部署并规避了802.1X监控模式中发现的问题，所以

我们将在这些位置部署指向有线访问的802.1X身份验证模式。

我们已在试点模式下在多个关键位置运行EPS（隔离），我们计划将ISEEPS部署到知识产权具有高风险的所有

地区。移动设备和MDM设备控制的安全状态评估（通过API将我们的第三方MDM引擎连接到ISE）也定在2015

财年实施。最后，我们希望将SGA/SGT部署扩展到实验室并用于存在TCAM耗尽争议的交换机。