Device Administration mit Cisco ISE

Der administrative Zugriff auf Network-Devices, wie Router, Switche oder Firewalls, z. B. via Konsole oder SSH, kann lokal auf diesen Devices authentisiert werden. Deutlich flexibler, sicherer und skalierbarer ist allerdings eine Kontrolle durch die Cisco ISE. Im Rahmen der Device Administration können Benutzer von der ISE selbst oder über eine angebundene Benutzer-Datenbank zentral verwaltet werden. Hierbei spielt neben der Authentisierung die Zuweisung der Rechte an die Administratoren (Autorisierung) eine wesentliche Rolle. Mit RADIUS lässt sich das Verhalten der Shell, mit TACACS+ sogar einzelne Kommandos zentral kontrollieren. Über ein zentrales Reporting und Accounting sind aussagekräftige Audit-Logs verfügbar, wie sie in ISO-zertifizierten Umgebungen erforderlich sein können.

In diesem Kurs werden die Vor- und Nachteile von TACACS+ sowie RADIUS bei der Device Administration beleuchtet, und die Konfigurationsmöglichkeiten auf der ISE erklärt. Hierzu wird eine Basis-Konfiguration eines Distributed Deployments mit den unterschiedlichen ISE Nodes beschrieben, und Maintenance-Maßnahmen sowie die Einrichtung von Role Based Access Control (RBAC) erläutert. Basierend darauf werden die Authentisierung- insbesondere aber auch die Autorisierungs-Policy mit ihren unterschiedlichen Conditions und Results angesprochen. Auch die notwendige Peripherie, wie ein Active Directory und eine Microsoft PKI werden mit einbezogen.

AAA und Device Administration

• Zentrale Zugriffskontrolle auf Network Devices

  • Hintergründe

  • Zugriffskontrolle in der Praxis

• RADIUS

  • Das Paketformat

  • RADIUS-Authentisierung und Autorisierung

  • RADIUS Accounting

  • Funktion der RADIUS Attribute

• TACACS+

  • Das Paketformat

  • TACACS+ Authentisierung

  • TACACS+ Autorisierung

  • TACACS+ Accounting

• Konfiguration der Network Devices

  • Einrichten der Radius Clients

  • Einrichten der TACACS+ Clients

ISE Grundkonfiguration

• ISE-Konzept

  • Das ISE 3.x Lizenzmodell

• Installation der ISE (1/3)

  • ADE OS-Konfiguration

  • Die ISE über die CLI verwalten

• ISE-Access

  • ISE GUI

  • Launch Menü

  • Zertifikate und ISE

• ISE– Basic Device Admin Settings

  • PSN-Konfiguration

  • Device Admin – Overview

• Deployments

  • Node Registration

  • Zertifikatsverwaltung im Deployment

  • Redundanz in ISE-Deployments

Administration und Maintenance

• Admin Access

  • Administrator Groups

  • Admin Policies

  • Admin Permissions

• Maintenance

  • Backup

  • Scheduled Backups

• Network Access Devices

  • NAD für TACACS+ konfigurieren

  • Network Device Groups

  • Im- und Export von Network Devices

Authentication und Authorization bei der Device Administration

• Das ISE AAA-Konzept

• Device Admin Policy Sets

  • Condition Elements

  • Allowed Protocols

• Die Authentication Policy

  • Authentication Condition Elements

  • Identity Stores in der Authentication Policies

  • Fallback-Szenarien

• User Stores

  • Interne User

  • Interne Gruppen

  • Externe Datenbanken

  • Identity Source Sequence

• Device Admin – Authorization Policy

  • Authorization Condition

  • Device Admin Result – Shell Profiles

  • Device Admin Result – Command Set

• Device Administration per Radius

  • Network Access Policy Sets

  • Radius Authentication

  • Radius Authorization

Logging, Monitoring und Troubleshooting

• Operationen im Überblick

• TACACS+ Logging

  • TACACS+ Reports

  • TACACS+ Accounting

• Radius Logging

  • Radius Authentication und Authorization

  • Radius Accounting

• Audit Reports

• Troubleshooting mit TCP Dump

• Log und Alarm-Einstellungen

  • Log Categories

  • Alarm Settings

Der Kurs Device Administration mit Cisco ISE ist für diejenigen gedacht, die die Cisco ISE für eine zentrale Device-Administration-Kontrolle einsetzen wollen, und/oder zentrale Audit-Logs benötigen.

Neben grundlegenden Netzwerk- und IP-Kenntnissen sollte für deinen Besuch der Schulung Device Administration mit Cisco ISE ein Grundverständnis zum Betrieb eines Cisco-Netzes vorhanden sein.

Unser Device Administration mit Cisco ISE Training bieten wir dir in Dietzenbach, Düsseldorf und Live-Online an.