2.3.9 身份服务引擎
思科 ISE(身份服务引擎)作为网络安全访问平台,能够增强用户和终端设备访问网络时的安全管理意识,保证安全策略的控制和一致性。ISE的职责是实施安全策略,是软件定义访问不可或缺的组成部分,它可以将用户和终端设备动态地映射到可扩展组并简化端到端安全策略的实施。通过在ISE上使用思科平台交换架构(pxGrid)和 RESTAPI与 DNA中心集成,两者互相交换客户端信息并自动完成与网络交换矩阵相关的配置,同时,通过 ISE图形化界面,网络用户和终端设备将以简单灵活的形式呈现出来。软件定义访问解决方案集成了思科TrustSec来实现基于组的端到端策略,在支持虚拟网络的同时于 VXLAN报头中加入用于数据平面通信的可扩展组信息。组、策略、身份验证、授权和计费(AAA)服务以及终端类型分析都是由ISE驱动并由 DNA中心的策略制定工作流程进行编排的。
可扩展组以 SGT进行标识,SGT是 VXLAN报头中的一个 16位字段。SGT由思科 ISE集中定义、创建和管理。ISE和 DNA中心通过 RESTAPI紧密集成,组策略的管理由 DNA中心驱动(如图 2-10所示)。
图 2-10DNA 中心和身份服务引擎集成
ISE支持独立和分布式部署模型。此外,ISE可以将多个分布式节点集成在一起并支持故障失效备援。ISE支持高达几十万客户端和用户的数量,其对于软件定义访问的设备指标将在后面进行介绍。对于软件定义访问最低限度的部署建议是:至少采用双 ISE节点,每个 ISE节点都运行所有的服务并互相冗余。
软件定义访问网络交换矩阵边缘节点交换机将身份验证请求发送到 ISE 的策略服务节点
(PSN)。在独立部署以及具备或不具备节点冗余的情况下,PSN均由单个 IP地址代表。ISE 分布式部署模型使用多个活动的 PSN,每个 PSN都有一个唯一的 IP地址。所有的 PSN地址都是通过 DNA中心学习到的,DNA中心再将网络交换矩阵边缘节点交换机映射到各个 PSN。
