2.3.9 身份服務引擎
思科 ISE(身份服務引擎)作為網絡安全通路平台,能夠增強使用者和終端裝置通路網絡時的安全管理意識,保證安全政策的控制和一緻性。ISE的職責是實施安全政策,是軟體定義通路不可或缺的組成部分,它可以将使用者和終端裝置動态地映射到可擴充組并簡化端到端安全政策的實施。通過在ISE上使用思科平台交換架構(pxGrid)和 RESTAPI與 DNA中心內建,兩者互相交換用戶端資訊并自動完成與網絡交換矩陣相關的配置,同時,通過 ISE圖形化界面,網絡使用者和終端裝置将以簡單靈活的形式呈現出來。軟體定義通路解決方案內建了思科TrustSec來實作基于組的端到端政策,在支援虛拟網絡的同時于 VXLAN報頭中加入用于資料平面通信的可擴充組資訊。組、政策、身份驗證、授權和計費(AAA)服務以及終端類型分析都是由ISE驅動并由 DNA中心的政策制定工作流程進行編排的。
可擴充組以 SGT進行辨別,SGT是 VXLAN報頭中的一個 16位字段。SGT由思科 ISE集中定義、建立和管理。ISE和 DNA中心通過 RESTAPI緊密內建,組政策的管理由 DNA中心驅動(如圖 2-10所示)。
圖 2-10DNA 中心和身份服務引擎內建
ISE支援獨立和分布式部署模型。此外,ISE可以将多個分布式節點內建在一起并支援故障失效備援。ISE支援高達幾十萬用戶端和使用者的數量,其對于軟體定義通路的裝置名額将在後面進行介紹。對于軟體定義通路最低限度的部署建議是:至少采用雙 ISE節點,每個 ISE節點都運作所有的服務并互相備援。
軟體定義通路網絡交換矩陣邊緣節點交換機将身份驗證請求發送到 ISE 的政策服務節點
(PSN)。在獨立部署以及具備或不具備節點備援的情況下,PSN均由單個 IP位址代表。ISE 分布式部署模型使用多個活動的 PSN,每個 PSN都有一個唯一的 IP位址。所有的 PSN位址都是通過 DNA中心學習到的,DNA中心再将網絡交換矩陣邊緣節點交換機映射到各個 PSN。
![nmap –script 使用:nmap-vulners 和 vulscan出現錯誤 ‘/usr/bin/../share/nmap/scripts/vulscan’ found, but will[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)