ISE 介绍
思科身份服务引擎(ISE)是一种身份验证安全服务,可以在简单而灵活的界面中显示用户和设备,查看并通过网络平台共享详细信息,使其了解用户、设备和网络的具体情况。当然Cisco还有类型的产品,比如NAC、ACS
那么三者之间的区别是什么呢?
NAC(network admission control) 是检查客户端的安全装备的,防止内网的攻击,虽然账户合法了,但是接入设备不一定合法,检查包括:操作系统,杀毒软件,补丁等若干新旧程度,不符合要求的客户端就无法接入网络
ACS (access control server)是检查客户端使用者身份的:是否拥有指定的账号,控制指定账号的访问权限,没有账号的客户端,使用者无法接入网络。 ACS 就是一个AAA服务器
nac主要针对机器,acs针对人
ISE(Identity service engine)身份服务引擎,是NAC与ACS的集合体
ISE 安装
我这里是在Vmware上安装的ISE 2.6;安装步骤,请自行百度,很简单。这里不再赘述。(当然如果还是不会的话,可以留言,我发安装步骤的链接)
ISE AAA认证
好嘞,敲黑板。重点来了,AAA认证。这里以Cisco路由器配合ISE做Radius认证和Tacacs+认证
-
启用设备管理服务
-
添加用户组
-
添加用户
-
配置AAA客户端,并配置Radius或者Tacacs+认证密钥(这里以Tacacs+为例)
-
创建Tacacs + 模板
-
配置认证和授权策略(我们修改默认的)
-
策略配置为我们手工添加的策略
搞实验
★Cisco Tacacs+测试
1、配置Tacacs+服务和认证授权方式
Router(config)#aaa new-model
Router(config)#aaa authentication login alex-tac group tacacs+
Router(config)#aaa authorization exec alex-ta group tacacs+
Router(config)#tacacs-server host 10.32.135.50 key Aa123456
Warning: The cli will be deprecated soon
'tacacs-server host 10.32.135.50 key Aa123456'
Please move to 'tacacs server <name>' CLI
Router(config)#
Router(config)#line vty 1 4
Router(config-line)#login authentication alex-tac
Router(config-line)#authorization exec alex-ta
2、在设备上使用ISE服务上的用户和密码进行测试(前提是在ISE上添加了本设备也就是客户端)
Router#test aaa group tacacs+ test Alex6 new-code
Sending password
User successfully authenticated
USER ATTRIBUTES
username 0 "test"
reply-message 0 "Password:"
3、此时在ISE上查看日志
4、可以点击“查找”的符号查看详细的信息
5、在设备上开启telnet远程服务;此时我们Telnet到此设备,使用ISE中的用户和密码
Router(config)#line vty 1 4
Router(config-line)#transport input all
★Cisco Radius测试
1、配置Radius服务和认证授权方式
Router(config)#aaa new-model
Router(config)#aaa authentication login alex-radius group radius
Router(config)#aaa authorization exec alex-radius group radius
Router(config)#radius-server host 10.32.133.170 key Aa123456
Router(config)#line vty 1 4
Router(config-line)#login
Router(config-line)#login authentication alex-radius
Router(config-line)#authorization exec alex-radius
2、在设备上使用ISE服务上的用户和密码进行测试(前提是在ISE上添加了本设备也就是客户端)
Router#test aaa group radius test1 Alex6 new-code
User successfully authenticated
USER ATTRIBUTES
username 0 "test1"
3、此时在ISE上查看日志
一起加油吧👍
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)