- 什么是 RADIUS? (基础概念)
- 为什么需要 Cisco ISE? (核心价值)
- Cisco ISE 的核心组件 (架构解析)
- 主要工作流程 (认证、授权、计费)
- 部署场景 (实际应用)
- 与第三方 RADIUS 的对比
- 基本配置思路
什么是 RADIUS?
RADIUS (Remote Authentication Dial-In User Service) 是一个客户端/服务器协议,广泛用于网络接入的认证、授权和计费,它定义了网络设备(如交换机、无线 AP、防火墙)如何与一个集中式的服务器通信,以验证用户身份并授予相应的网络访问权限。
(图片来源网络,侵删)
- 客户端: 网络设备(如 Cisco Switch, Wireless Controller),它负责向 RADIUS 服务器发送认证请求。
- 服务器: RADIUS 服务器(如 Cisco ISE),它负责接收请求,查询用户数据库,并返回“允许”或“拒绝”的响应。
- AAA 模型: RADIUS 是 AAA 模型的具体实现。
- Authentication (认证): 验证“你是谁?” (用户名/密码、数字证书)。
- Authorization (授权): 验证“你能做什么?” (允许访问哪些 VLAN、使用多大的带宽)。
- Accounting (计费): 记录“你做了什么?” (登录时间、下线时间、流量使用情况)。
为什么需要 Cisco ISE?
传统的网络设备各自管理自己的用户列表,非常混乱且难以扩展,Cisco ISE 的出现解决了这些问题,并提供了更多高级功能:
- 集中化策略管理: 在一个平台上为所有网络设备(有线、无线、VPN、数据中心)定义统一的安全策略。
- 用户和设备上下文感知: ISE 不仅知道“谁”在接入,还知道“什么设备”(公司笔记本、个人手机、IoT 设备)在接入,这可以实现更精细化的策略(公司笔记本访问内部服务器,而访客手机只能访问互联网)。
- 零信任网络访问: ISE 是实现 ZTNA 的核心组件,它在用户访问任何资源之前,都会持续验证其身份和设备状态,而不是简单地信任内网用户。
- 持续评估与适应性控制: ISE 不会只在认证时评估一次,它会持续监控会话,并根据风险评分(设备是否安装了防病毒软件、是否出现异常行为)动态调整权限(将设备隔离到修复网络)。
- 合规性报告: 内置丰富的报告功能,可以帮助你满足各种法规要求(如 PCI-DSS, HIPAA)。
- 集成生态系统: 与思科的其他产品(如 DNA Center, Duo Security, Stealthwatch)深度集成,打造一个完整的网络安全解决方案。
Cisco ISE 的核心组件
一个典型的 ISE 部署包含以下几个关键节点:
| 组件 | 功能描述 | 类比 |
|---|---|---|
| Policy Administration Node (PAN) | 策略管理节点,负责所有策略的创建、管理和分发,是整个系统的“大脑”。 | 公司总部,制定所有规章制度。 |
| Policy Service Node (PSN) | 策略服务节点,负责处理实际的 AAA 请求(认证、授权、计费),是系统的“肌肉”。 | 各个分公司/办事处的执行部门,负责执行总部的规定。 |
| Monitoring and Troubleshooting (MnT) | 监控与故障排查节点,收集所有节点的日志和遥测数据,提供仪表盘和报告功能。 | 公司的审计部门,监控各部门的运行情况。 |
| Administration (Admin) | 管理节点,在小型部署中,PAN 和 Admin 可能是同一个节点,在大型部署中,它用于集中管理所有节点。 | 系统管理员,负责维护整个系统的运行。 |
高可用性: 生产环境中,通常会部署多个 PSN 节点,以实现负载均衡和故障转移。
主要工作流程 (802.1X)
以最常见的有线/无线 802.1X 认证为例,流程如下:
(图片来源网络,侵删)
- 用户尝试接入网络: 用户将电脑插入交换机端口,或连接到 Wi-Fi。
- 交换机/无线 AP 发起请求: 网络设备(RADIUS 客户端)检测到新的连接,向 ISE PSN 发送一个
Access-RequestRADIUS 包,这个包通常包含用户的凭据(如用户名/密码)和设备信息(如 MAC 地址)。 - ISE PSN 处理请求:
- 身份识别: ISE 识别出这是一个 802.1X 认证请求。
- 策略查找: ISE 根据请求中的信息(如用户名、设备 MAC、接入点名称、交换机端口)查找匹配的身份识别规则。
- 身份评估: 规则成功匹配后,ISE 会评估该用户/设备,这通常涉及:
- 认证: 查询 Active Directory、本地用户数据库或 MFA 服务器验证密码。
- 设备合规性检查: 检查设备是否符合安全策略(操作系统是否最新,防病毒软件是否运行)。
- 策略查找与授权: 如果身份验证成功且设备合规,ISE 会查找匹配的授权策略,该策略定义了该用户/设备应该获得什么权限。
- ISE 返回响应: ISE 向网络设备发送一个
Access-AcceptRADIUS 响应包,这个包中包含了授权属性,- VLAN ID: 将用户划分到特定的 VLAN(如访客 VLAN、员工 VLAN)。
- ACL (Access Control List): 应用访问控制列表,限制用户的访问范围。
- QoS 策略: 为用户的流量分配特定的服务质量(如带宽保证)。
- 网络设备执行策略: 交换机/无线 AP 收到
Access-Accept响应后,会根据其中的属性配置端口或无线会话,端口变为“授权”状态,允许用户流量通过。 - 计费 (可选): 在会话期间和结束后,网络设备会向 ISE 发送
Accounting-Request包,记录会话的详细信息,用于审计和计费。
部署场景
- 有线网络接入控制: 保护有线端口,防止未授权设备接入公司网络。
- 无线网络接入控制: 保护 Wi-Fi 网络,区分员工、访客和 IoT 设备。
- VPN 接入控制: 验证远程访问 VPN 的用户,并根据其身份和设备状态授予访问内部资源的权限。
- 访客 Wi-Fi 管理: 为访客提供临时、安全的网络访问,并可以限制其只能访问互联网。
- IoT 设备管理: 为大量无法安装客户端的 IoT 设备(如摄像头、打印机)提供基于 MAC 地址的认证和隔离。
与第三方 RADIUS 的对比
| 特性 | Cisco ISE | 第三方 RADIUS (如 FreeRADIUS, Microsoft NPS) |
|---|---|---|
| 生态系统集成 | 极佳,与思科网络设备、DNA Center、Duo 等无缝集成。 | 一般,需要额外配置和脚本才能与特定设备深度集成。 |
| 功能丰富度 | 极高,集成了 posture、BYOD、MFA、ZTNA 等高级功能。 | 较基础,主要专注于 AAA,高级功能需要额外组件或自行开发。 |
| 用户/设备上下文 | 核心能力,内置强大的上下文感知和策略引擎。 | 较弱,通常需要复杂的配置和外部数据库来实现。 |
| 易用性和管理 | 图形化界面,易于策略管理和报告。 | 主要基于配置文件和命令行,管理复杂,报告功能有限。 |
| 成本 | 商业软件,成本较高(许可证和支持)。 | 通常免费或成本较低。 |
| 适用场景 | 大型企业、思科网络环境、需要高级安全策略的环境。 | 中小企业、非思科网络环境、预算有限、需求简单的场景。 |
基本配置思路
在 ISE 上配置 RADIUS 服务器通常涉及以下步骤:
- 部署 ISE 节点: 安装和配置 PAN、PSN、MnT 节点,并建立它们之间的信任关系。
- 配置网络设置: 为各节点配置 IP 地址、DNS、NTP 等。
- 配置身份源: 添加 Active Directory、LDAP 等作为用户和组的来源。
- 配置 RADIUS 客户端: 在 ISE 上添加你的网络设备(交换机、无线控制器)作为 RADIUS 客户端,并配置它们与 ISE 通信的共享密钥。
- 配置身份识别规则: 创建规则,将流入的 RADIUS 请求与特定的用户/设备/来源进行匹配。
- 配置授权策略:
- 创建授权策略集。
- 在策略集中添加授权规则。
(用户是 'Domain Admins' 并且设备合规) 则 (授权访问 'Admin_VLAN' 和 'Admin_ACL')。
- 配置计费策略: (可选)配置计费规则,将用户流量记录到数据库。
- 部署策略: 将配置好的策略从 PAN 分发到所有 PSN 节点。
- 配置网络设备: 在交换机、无线控制器等设备上,启用 802.1X,并配置指向 ISE PSN 的 RADIUS 服务器(主备)和共享密钥。
Cisco RADIUS 服务器(即 ISE) 早已超越了一个简单的 RADIUS 认证服务器的范畴,它是一个现代化的网络访问控制和策略执行平台,是构建安全、自适应网络的核心,通过集中化的策略、上下文感知和持续评估,它能够帮助企业实现从“城堡与护城河”模型向零信任安全模型的转变,从而更有效地应对当今复杂的网络威胁。
对于拥有思科网络基础设施且对安全性有较高要求的企业来说,ISE 是不二之选,而对于预算有限或网络环境异构的企业,像 FreeRADIUS 或 Microsoft NPS 这样的开源/商业 RADIUS 服务器则是一个更经济实惠的选择。
