Deployment Terminolojisi
Node dediğimiz Cisco ISE yazılımını çalıştıran bir yapıdır. Cisco ISE’i sanal bir ortamda çalıştıracağınız gibi fiziksel olarakta çalıştırabilirsiniz.
Yani ISE yazılımı çalıştıran herhangi bir cihaz veya sanal makine bir ISE Node’u dur.
ISE Node’unun farklı türleri vardır. Bir cihazın veya sanal örneğin olduğu ISE Node’unun türü, Node üzerinde çalışan personanın türüne göre belirlenir.
NODE
Cisco ISE ı çalıştıran herhangi bir cihaz yada sanal makina bir ISE Node’u dur.
PERSONA
Bir Node’un işlevlerini belirler. Cisco ISE ölçeklenebilirlik için tasarlanmıştır. Ölçeklenebilirliği sağlamak için hizmet verdiği işlevleri çeşitli personalara ayırır. Bir ISE Node’u , bir ISE dağıtımında mevcut olan dört personadan birini veya daha fazlasını çalıştırmak için yapılandırılmış tek bir (sanal veya fiziksel) cihazdır.
Kurulacak bir Cisco ISE Node’u Deployment türüne göre aşağıdaki personalardan birini üstlenebilir:
*Administration
*Policy Service
*Monitoring
*pxGrid
NOT: Administration, Policy Service, Monitoring Persona’larının bir ISE Node’unun temel personaları olduğunu bilmelisiniz. pxGrid personası isteğe bağlıdır.
SERVICE
Servis bir personanın sağladığı belirli bir özelliktir.
Resim-1
Personalar ve Özellikleri
Policy Admin Node (PAN): Cisco ISE üzerindeki tüm yönetim işlemlerini gerçekleştirmenizi sağlar. Authentication, Authorization ve Accounting ile ilgili yapılandırmaları yönetir.
* PAN, Cisco ISE’ın kontrol merkezidir.
* Bu Cisco ISE Administration persona özelliği, bir ağ yöneticisinin ağ güvenlik politikalarını yapılandırmasına ve optimize etmesine izin verdiği için çok önemlidir.!
* Tüm ISE policyleri PAN’da ayarlanır ve ardından diğer tüm ISE Node’ları ve personaları ile senkronize edilir.
*Lisanslama işlemleri de PAN ‘a dahildir.
* PAN ı çalıştıran en fazla iki node a sahip olabilirsiniz.
MnT (MnT) Node : Log toplama işlevi görür. PAN ve PSN personlarından gelen günlük mesajları depolar. Ayrıca bu persona bir ağı ve kaynakları etkili bir şekilde yönetmek için kullanabileceğiniz gelişmiş izleme ve sorun giderme araçları ve raporlamalar sunar. Mnt çalıştıran enfazla 2 Node’a sahip olabilirsiniz.
* Bir uç nokta bir PSN e bağlandığında, kimlik doğrulama ve yetkilendirme sürecini izlemek için olaylar oluşturulur. Bu olaylar MnT Node’u gönderilir ve bu Node bunları bir araya getirerek okunabilir bir biçime dönüştürür.
* Sorun giderme: Her bir olay MnT Node’una iletildiği için kimlik doğrulama veya yetkilendirme prosedürü başarılı veya başarısız olabilir. PSN’lerde meydana gelen ayrıntılı olay takibi nedeniyle MnT Node’undaki logların içeriği inanılmaz derecede ayrıntılıdır. Bir kullanıcı veya uç nokta ağa bağlanırken sorun yaşıyorsa, bir ağ yöneticisi soruna neyin neden olduğunu belirlemek için MnT Node u kullanabilir.
Policy Services Node (PSN): Network access, posture, guest access, client provisioning ve profiling oluşturma hizmetlerini sağlar. Bu persona policyleri değerlendirip en uygun olanın işlenmesini sağlar. Birden fazla Node’un bu personayı üstlenmesini sağlayabilirsiniz. Bu personayı üstlenebilecek Node’ların sayısı deployment türüne bağlıdır.
pxGrid Node: Cisco ISE oturum dizinindeki içeriğe duyarlı bilgileri ISE Eco sistem ortak sistemleri ve diğer Cisco platformları gibi diğer ağ sistemleriyle paylaşmak için kullanılır.
ROLE
Rol Standalone, Primary veya Secondary olabilir ve yalnızca Administration ve Monitoring Node için geçerlidir.
ISE Deployment Model
Deployment seçenekleri
- Standalone Deployment (tek bir ISE node u)
- Distributed Deployment (birden fazla ISE node u)
- Small
- Medium
- Large
STANDALONE
*Bu deployment türünde, tüm personalar aynı node da çalışır.
Resim-2
*Bu methodda yedeklilikten bahsedemeyiz.
Small Distributed Deployment
* Bir Node’un primary olarak işlev gördüğü iki Cisco ISE Node’undan oluşur.
* Primary node tüm yapılandırma, kimlik doğrulama ve policy işlevlerini sağlarken secondary node yedek olarak işlev görür.
Resim-3
Small Distributed Deployment da, tüm personlar tıpkı standalone da olduğu gibi aynı Node da çalışır. Aradaki fark personalar iki node da çalışır. Yani Pri PAN, Pri MnT, PSN ve/veya pxGrid Node 1’de çalışırken Sec PAN, Sec MnT, PSN ve/veya pxGrid Node 2’de çalışır. PAN ve MnT personaları, aşağıdaki tabloda olduğu gibi eklenebilir:
Resim-4
Medium Distributed Deployment
Bu deployment türünde, PAN ve MnT personları aynı Node da. Policy Personası PAN ve MnT ile aynı Node da bulunmayacaktır. Bu deployment türünde en fazla 5 PSN barındırabilir.( 34xx serisi fiziksel cihazları (veya benzer boyutta sanal cihazları) kullanıyorsanız, eşzamanlı olarak en fazla 5.000-10.000 bağlı uç noktaya ve 5 adede kadar PSN’ye sahip olabilirsiniz.35xx serisi fiziksel veya sanal kullanıyosanız 7.500-20.000 uç noktaya ve 5 adede kadar PSN e sahip olabilirsiniz.)
Resim-5
Not: Birden fazla PSN e sahip olmak opsiyoneldir.
Not-2: Deployment ta pxGrid hizmetlerini kullanmayı düşünüyorsanız, pxGrid Personalarını Admin/MnT Node’uyla birlikte konumlandırabilir veya pxGrid için ayrı Node ayırabilir ve PSN sayısını 2 node ‘a kadar azaltabilirsiniz, yani Maks PSN + PXG node ları= 5. Bu deployment türünde, iki adede kadar pxGrid personası barındırabilir.
Resim-6
Large Distributed Deployment
Bu tür dağıtımda, her persona özel bir Node muş gibi varsayılır. 2.4 ve üzeri sürümlerde çalıştırılıyorsa desteklenen maksimum pxGrid persona sayısı dörttür (pxGrid persona’nın burada özel bir Node da çalışıyomuş gibi varsayılır).toplam 54 ISE node nuz olabilir. İki Node PAN personasını çalıştıracak, 2 node MnT personasını çalıştıracak ve 50’ye kadar Node özel PSN personaları olarak çalışacaktır.
Bu makalemde , Cisco ISE kurulumuna başlamadan önce bilinmesi gereken temel teknik terimler hakkında bilgi aktarmak istedim. Oldukça karmaşık görünen bu yapıyı elimden geldiğince basit anlatmaya çalıştım. Bir sonraki makelemde Cisco ISE kurulum ve yapılandırmasından bahsediyor olacağım.
Faydalı olması dileğiyle.
Referanslar
