Предписывающий знак поворот направо: Дорожный знак 4.1.2 «Движение направо»
Предписывающие знаки (39 вопросов) — СтудИзба
Вопрос 1:Разрешен ли Вам разворот в указанном месте?
1. Разрешен.
2. Не разрешен.
Знак «Круговое движение» предписывает на этом перекрестке двигаться вокруг центрального островка против часовой стрелки, в том числе и в случае, если вы хотите развернуться для движения в обратном направлении. Следовательно, разворот в этом месте запрещен.
Вопрос 2:
В какой из дворов Вы можете въехать в данной ситуации?
1. Только во двор налево.
2. Только во двор направо.
3. В любой.
4. Повороты во дворы запрещены.
Знак «Движение прямо», установленный в начале участка дороги (за перекрестком), запрещает повороты налево во дворы и развороты на этом участке, не ограничивая заезды во дворы, расположенные справа.
Обратите также внимание на наш блог!
Вопрос 3:
По какой траектории Вы можете продолжить движение?
1. Только по А.
2. Только по Б.
3. По любой.
На этом перекрестке на пересекаемой дороге три проезжие части. Знак «Движение направо» распространяет свое действие только на первое пересечение проезжих частей, перед которым он установлен, предписывая всем ТС поворот направо на первую проезжую часть, т.е. только по траектории А.
Вопрос 4:
Как следует поступить, если Вам необходимо развернуться?
1. Развернуться на этом перекрестке при отсутствии на нем других транспортных средств.
2. Проехать прямо и развернуться за перекрестком.
3. Проехать прямо и развернуться только на следующем перекрестке.
На этом перекрестке пересекаемая дорога имеет одну проезжую часть, и, следовательно, знак «Движение прямо» запрещает Вам разворот на перекрестке. Этот знак не вводит каких-либо ограничений на следующий за перекрестком участок дороги, где и можно развернуться. Правильный ответ — Проехать прямо и развернуться за перекрестком.
Вопрос 5:
Кто из водителей, совершающих поворот, нарушает Правила?
1. Только водитель легкового автомобиля.
2. Только мотоциклист.
3. Оба нарушают.
4. Оба не нарушают.
Водители обязаны выполнять требования сигналов светофора, дорожных знаков и разметки п. 1.3. В данной ситуации временный дорожный знак «Движение прямо» на переносной стойке изменяет установленный режим движения на перекрестке и предписывает двигаться только прямо независимо от того, в каких направлениях разрешают движение зеленый сигнал светофора и дополнительная секция. Сигналы светофора отменяют действие только знаков приоритета п. 6.15.
Вопрос 6:
С какой скоростью Вы можете продолжить движение в населенном пункте по правой полосе?
1. Не более 50 км/ч.
2. Не более 60 км/ч.
3. Не менее 50 км/ч и не более 60 км/ч.
В данной ситуации знак «Ограничение минимальной скорости» с табличкой «Полоса движения» распространяет свое действие только на левую полосу. Двигаясь по правой полосе дороги в населенном пункте, вы не должны превышать скорость 60 км/ч. Минимальная скорость на ней не установлена п. 10.2.
Вопрос 7:
По какой траектории Вам разрешено выполнить разворот?
1. Только на перекрестке — по траектории А.
2. Только перед перекрестком — по траектории Б.
3. По любой из предложенных траекторий.
4. Ни по одной из предложенных траекторий.
Знак «Движение прямо» установлен в начале данного участка дороги, и его действие прекращается на следующем за ним перекрестке. Значит, выполнить разворот можно лишь по траектории А. Развернуться по траектории Б нельзя, так как в этом месте еще действует предписание знака.
Вопрос 8:
Обязаны ли Вы включить указатели поворота в данной ситуации?
1. Да.
2. Нет.
3. Да, но только при наличии на перекрестке других транспортных средств.
На данном перекрестке, руководствуясь знаком «Движение направо», Вы можете продолжить движение только направо. При этом Вы обязаны включить соответствующие этому маневру правые световые указатели поворота п. 8.1.
Вопрос 9:
Обязаны ли Вы в данной ситуации включить левые указатели поворота?
1. Да.
2. Да, если будет выполняться разворот.
3. Включение указателей поворота в данной ситуации необязательно.
Знак «Движение направо или налево» исключает движение в прямом направлении. А так как вы движетесь по левой полосе, продолжить движение можно только налево или в обратном направлении п. 8.5. При этом вы обязаны включить левые световые указатели поворота п. 8.1.
Вопрос 10:
Разрешено ли водителю подъехать задним ходом к пассажиру на этом участке дороги?
1. Да.
2. Нет.
Знак «Движение прямо» не запрещает движение задним ходом.
Вопрос 11:
По какой траектории Вы можете объехать препятствие?
1. Только по А.
2. Только по Б.
3. По любой.
Временный дорожный знак «Объезд препятствия слева» разрешает Вам пересечь линию разметки 1.1 и объехать препятствие только по траектории А.
Вопрос 12:
Вы буксируете неисправный автомобиль. По какой полосе Вы можете продолжить движение?
1. Только по правой.
2. По любой.
Перед Вами знак «Начало полосы», обозначающий начало дополнительной полосы на подъеме, на котором изображен знак «Ограничение минимальной скорости». Это означает, что по левой полосе можно продолжить движение со скоростью не менее 60 км/ч. Поскольку при буксировке неисправного автомобиля скорость не должна превышать 50 км/ч, вы должны перестроиться на дополнительную полосу.
Вопрос 13:
В каких направлениях Вы можете продолжить движение по второй полосе?
1. Только налево.
2. Только налево и в обратном направлении.
3. Направо, налево и в обратном направлении.
Знак «Движение направо или налево» исключает на данном перекрестке только движение в прямом направлении. При наличии двух полос для движения крайняя левая полоса предназначена для поворота налево и разворота. Следовательно, находясь на ней, Вы можете продолжить движение только в этих направлениях п. 8.5.
Вопрос 14:
Какую ошибку совершает водитель, въезжающий во двор?
1. Поворачивает в зоне действия знака «Движение прямо».
2. Поворачивает, не включив указатели поворота.
3. Совершает обе перечисленные ошибки.
Знак «Движение прямо», установленный в начале участка дороги, не запрещает повороты направо во дворы и на другие, прилегающие к дороге территории. Однако перед выполнением маневра необходимо подавать сигналы правого поворота п. 8.1, чего водитель не сделал.
Вопрос 15:
С какой скоростью Вы можете продолжить движение вне населенного пункта по левой полосе на легковом автомобиле?
1. Не более 50 км/ч.
2. Не менее 50 км/ч и не более 70 км/ч.
3. Не менее 50 км/ч и не более 90 км/ч.
Знак «Ограничение минимальной скорости» и табличка «Полоса движения» предписывают двигаться по левой полосе со скоростью не менее 50 км/ч. Однако при этом на дороге вне населенного пункта, не относящейся к автомагистрали, вы не имеете права развивать скорость на легковом автомобиле более 90 км/ч п. 10.3.
Вопрос 16:
Нарушил ли водитель грузового автомобиля правила стоянки?
1. Нарушил.
2. Нарушил, если разрешенная максимальная масса автомобиля более 3,5 т.
3. Не нарушил.
Знаки «Парковка» и «Способ постановки транспортного средства на стоянку» указывают, что можно поставить таким способом на околотротуарную стоянку легковой автомобиль или мотоцикл. Следовательно, независимо от разрешенной максимальной массы данного грузового автомобиля водитель нарушил Правила.
Вопрос 17:
В каких направлениях Вам разрешено продолжить движение на грузовом автомобиле с разрешенной максимальной массой 3 т?
1. Только прямо.
2. Только налево или направо.
3. В любых.
Табличка «Вид транспортного средства» с изображением грузового автомобиля распространяет действие предписывающего знака «Движение прямо» только на грузовые автомобили с разрешенной максимальной массой более 3,5 т. Таким образом, Вы можете проехать перекресток в любом направлении.
Вопрос 18:
Какие знаки разрешают движение со скоростью 60 км/ч?
1. Только Б.
2. Б и В.
3. Ни один из знаков.
Из показанных знаков лишь один — «Ограничение максимальной скорости» (знак А) — запрещает движение со скоростью, превышающей указанную на знаке, т.е. 50 км/ч. Знак «Ограничение минимальной скорости» (знак Б) не только разрешает, но и обязывает водителей двигаться со скоростью, равной или больше указанной. Знак «Рекомендуемая скорость» (знак В) указывает скорость, с которой рекомендуется движение на данном участке дороги, при этом, однако, не исключается возможность двигаться с меньшей или большей скоростью. Правильный ответ — Б и В.
Вопрос 19:
В каких направлениях может продолжить движение водитель автомобиля с включенным проблесковым маячком?
1. Только направо.
2. Только прямо или направо.
3. В любом.
Водители ТС оперативных служб, выполняющие неотложное служебное задание, при включении проблескового маячка синего цвета могут отступать от требований ряда разделов Правил п. 3.1. В данном случае водитель автомобиля ДПС при условии обеспечения безопасности движения может проехать перекресток в любом направлении независимо от требований знака «Движение прямо или направо» и сигналов светофоров. Включение звукового сигнала необходимо только для получения преимущества перед другими транспортными средствами, что в данном случае не требуется.
Вопрос 20:
Какие знаки разрешают разворот?
1. Все, кроме В.
2. Все.
3. Только А.
Знак А ( «Движение налево») разрешает разворот, т.к. предписывающие знаки, разрешающие поворот налево, разрешают и разворот. Знак Б ( «Поворот налево запрещен») запрещает поворот налево, но не разворот. Знак В ( «Выезд на дорогу с односторонним движением») не запрещает разворот. Правильный ответ — Все.
Вопрос 21:
В каких направлениях Вы можете продолжить движение по второй полосе на легковом автомобиле?
1. Только прямо.
2. Только прямо и налево.
3. Только прямо и направо.
4. Прямо, налево и в обратном направлении.
Знак «Движение прямо или направо» и табличка «Вид транспортного средства» информируют о том, что в указанных направлениях должны двигаться только грузовые автомобили с разрешенной максимальной массой более 3,5 т. На легковые автомобили действие этого предписывающего знака не распространяется. Поэтому вы можете по второй полосе продолжить движение во всех разрешенных с этой полосы направлениях, т.е. прямо, налево и в обратном направлении п. 8.5.
Вопрос 22:
При повороте направо Вы должны уступить дорогу:
1. Только велосипедистам.
2. Только пешеходам.
3. Пешеходам и велосипедистам.
4. Никому.
На любых перекрестках при повороте Вы должны уступить дорогу, как пешеходам, так и велосипедистам, которые движутся по обозначенной знаком и выделенной разметкой велосипедной дорожке п. 13.1.
Вопрос 23:
Какие знаки обязывают водителя грузового автомобиля с разрешенной максимальной массой до 3,5 т повернуть направо?
1. Только А.
2. Только Б.
3. А и Б.
4. Б и В.
Только предписывающий знак Б ( «Движение направо» всегда обязывает водителя повернуть направо. Его действие не распространяется только на маршрутные ТС (Приложение 1). Знак А ( «Выезд на дорогу с односторонним движением») не обязывает вас ехать в указанном направлении — можно пересечь перекресток в прямом направлении или развернуться, а знак В ( «Направление движения для грузовых автомобилей») показывает рекомендуемое направление движения для грузовых автомобилей, тракторов и самоходных механизмов в случаях запрещения их движения в одном из направлений. Правильный ответ — Только Б.
Вопрос 24:
Вы намерены произвести разворот на перекрестке. Какие указатели поворота необходимо включить при въезде на перекресток?
1. Правые.
2. Левые.
3. Включать указатели поворота в этой ситуации нет необходимости.
Совершая разворот на перекрестке с круговым движением, вы обязаны, руководствуясь требованием знака «Круговое движение», выполнить правые повороты при въезде на перекресток и выезде с него. При этом необходимо своевременно включить правые указатели поворота п. 8.1.
Вопрос 25:
В чем особенность скоростного режима на этом участке дороги?
1. Минимальная допустимая скорость движения на этой дороге — 50 км/ч.
2. Рекомендуемая скорость движения на этой дороге — 50 км/ч.
3. Минимальная допустимая скорость движения по левой полосе — 50 км/ч.
Табличка «Полоса движения» указывает, что действие знака «Ограничение минимальной скорости» распространяется только на левую полосу, минимальная допустимая скорость движения по которой — 50 км/ч.
Вопрос 26:
По какой траектории Вы можете продолжить движение?
1. Только по А.
2. Только по А или Б.
3. По любой.
Знак «Круговое движение» предписывает Вам движение на данном перекрестке в направлении, указанном стрелками. При повороте направо Вы должны двигаться по возможности ближе к правому краю проезжей части п. 8.6. В данном случае Вы можете продолжить движение только по траектории А.
Вопрос 27:
По какой траектории Вы можете выполнить разворот?
1. Только по А.
2. Только по Б.
3. По любой.
Примыкающая слева дорога имеет две проезжие части, и знак «Движение прямо» действует только на первое пересечение проезжих частей, перед которым он установлен, запрещая здесь поворот налево и разворот, а на втором пересечении никаких ограничений на выполнение маневров нет, и здесь Вы можете развернуться (траектория Б). Правильный ответ — Только по Б.
Вопрос 28:
С какой скоростью Вы можете продолжить движение в населенном пункте по левой полосе?
1. Не более 50 км/ч.
2. Не более 60 км/ч.
3. Не менее 50 км/ч и не более 60 км/ч.
Знак «Ограничение минимальной скорости» с табличкой «Полоса движения» предписывает двигаться по левой полосе со скоростью не менее 50 км/ч. Однако при этом в населенном пункте Вы не имеете права развивать скорость более 60 км/ч п. 10.2.
Вопрос 29:
В каких направлениях Вам разрешено продолжить движение на перекрестке?
1. Только прямо.
2. Прямо или налево.
3. Прямо или в обратном направлении.
Знак «Движение прямо» разрешает Вам на этом перекрестке продолжить движение только в прямом направлении.
Вопрос 30:
Эти знаки, установленные перед перекрестком, означают, что:
1. Находясь на таком перекрестке, Вы должны будете уступать дорогу всем ТС, въезжающим на него.
2. Находясь на таком перекрестке, Вы будете иметь преимущество перед всеми ТС, въезжающими на него.
Сочетание дорожного знака «Круговое движение» со знаком «Уступите дорогу» или знаком «Движение без остановки запрещено» означает, что водители, находящиеся на перекрестке с круговым движением, пользуются преимуществом перед въезжающими на него транспортными средствами п. 13.9. Находясь на таком перекрестке Вы пользуетесь преимущественным правом проезда.
Вопрос 31:
В каких направлениях Вам разрешено продолжить движение?
1. Только Б.
2. Только А или Б.
3. В любых.
Знак «Движение прямо или направо» разрешает Вам движение только в направлениях А или Б. Разворот по траектории В, даже при наличии прерывистой линии разметки 1.7 запрещен.
Вопрос 32:
Разрешено ли Вам за перекрестком въехать во двор?
1. Да.
2. Нет.
3. Да, только если Вы проживаете в этом доме.
Знак «Движение прямо» в данном случае действует только на перекресток, перед которым он установлен, и не ограничивает маневры на последующем участке дороги, где вы можете въехать во двор, расположенный слева.
Вопрос 33:
В каких направлениях Вам разрешено продолжить движение на перекрестке?
1. Только Б.
2. Б или В.
3. А или Б.
На этом перекрестке пересекаемая дорога имеет две проезжие части, знак «Движение прямо» действует только на первое пересечение проезжих частей, перед которым он установлен. Следовательно, Вам запрещен только поворот направо на первую проезжую часть (направление В). Правильный ответ — А или Б.
Вопрос 34:
В каких из указанных направлений Вы можете продолжить движение на следующем перекрестке?
1. Только Б.
2. А или Б.
3. Во всех.
Знак «Движение прямо», установленный в начале участка дороги (за перекрестком), запрещает повороты налево и развороты на этом участке. Действие знака в таких случаях распространяется до ближайшего по ходу движения перекрестка, маневры на котором этим знаком никак не ограничиваются. Следовательно, вы можете двигаться в любом из перечисленных направлений.
Вопрос 35:
В каких направлениях Вам разрешено продолжить движение?
1. Только Б.
2. А или Б.
3. Б или В.
Знак «Круговое движение», как и все «Предписывающие знаки», разрешает движение только в направлениях, указанных на знаках стрелками. Действие этих знаков ( — ) распространяется только на пересечение проезжих частей, перед которыми установлен знак. Иначе, при въезде под знак, предписывается двигаться вокруг клумбы против часовой стрелки, а, следовательно, двигаться в направлении «B» нельзя. Знак «Поворот направо запрещен» запрещает поворот в направлении А.
Вопрос 36:
Какой из знаков обозначает пешеходную дорожку?
1. Только Б.
2. Только Б и В.
3. Все знаки.
Дорожка, по которой разрешено движение только пешеходам, обозначается знаком «Пешеходная дорожка» (знак Б). Название знака «Движение пешеходов запрещено» (знак А) говорит само за себя. А знаком «Пешеходный переход» (знак В) выделяется на проезжей части участок, где пешеходы переходят дорогу. Правильный ответ — Только Б.
Вопрос 37:
По какой траектории Вам разрешено выполнить разворот?
1. Только по А.
2. Только по Б.
3. Ни по одной из предложенных.
Знак «Движение прямо» действует только на ближайшее пересечение проезжих частей, перед которыми он установлен (до разделительной полосы). Разворот на втором пересечении, т.е. по траектории А, разрешен.
Вопрос 38:
В каких направлениях Вам разрешено продолжить движение на легковом автомобиле?
1. Только прямо.
2. Только налево или направо.
3. В любых.
Табличка «Вид транспортного средства» с изображением грузового автомобиля распространяет действие предписывающего знака «Движение прямо» только на грузовые автомобили с разрешенной максимальной массой более 3,5 т. Таким образом, вы можете проехать перекресток в любом направлении.
Вопрос 39:
Водитель какого транспортного средства нарушает Правила?
1. Только легкового автомобиля.
2. Обоих транспортных средств.
3. Никто не нарушает.
Знак «Круговое движение» информирует о том, что на данном перекрестке организовано круговое движение. При въезде на такие перекрестки не обязательно занимать крайнее правое положение на проезжей части п. 8.5. Что же касается выезда с перекрестка, то здесь действует общее для всех перекрестков правило — для поворота направо необходимо занять крайнее правое положение и поворот должен осуществляться на крайнюю правую полосу п. 8.6. Этому правилу следует лишь водитель грузового автомобиля. Правильный ответ — Только легкового автомобиля.
| Предписывающий знак | Дополнительные сведения |
4.1.1 | Разрешается движение только в направлениях, указанных на знаках стрелками. Знаки, разрешающие поворот налево, разрешают и разворот (могут быть применены знаки 4.1.1 — 4.1.6 с конфигурацией стрелок, соответствующей требуемым направлениям движения на конкретном пересечении). Действие знаков 4.1.1 — 4.1.6 не распространяется на маршрутные транспортные средства. Действие знаков 4.1.1 — 4.1.6 распространяется на пересечение проезжих частей, перед которым установлен знак. Действие знака 4.1.1 , установленного в начале участка дороги, распространяется до ближайшего перекрестка. Знак не запрещает поворот направо во дворы и на другие прилегающие к дороге территории. |
4.1.2 | |
4.1.3 | |
4.1.4 | |
4.1.5 | |
4.1.6 | |
4.2.1 | Объезд разрешается только со стороны, указанной стрелкой. |
4.2.2 | |
4.2.3 | Объезд разрешается с любой стороны. |
4.3 | Разрешается движение в указанном стрелками направлении. |
4.4 | Разрешается движение только на велосипедах и мопедах. По велосипедной дорожке могут двигаться также пешеходы (при отсутствии тротуара или пешеходной дорожки). |
4.5 | Разрешается движение только пешеходам. |
4.6 | Разрешается движение только с указанной или большей скоростью (км/ч). |
4.7 | |
4.8.1 | Движение транспортных средств, оборудованных опознавательными знаками «Опасный груз», разрешается только в направлении, указанном в знаке: 4.8.1 — налево, 4.8.2 — прямо, 4.8.3 — направо. |
4.8.2 | |
4.8.3 |
4. Предписывающие знаки » 1Gai.Ru
Обратно к списку дорожных знаков
4.1.1 «Движение прямо«;
4.1.2 «Движение направо«;
4.1.3 «Движение налево«;
4.1.4 «Движение прямо или направо«;
4.1.5 «Движение прямо или налево«;
4.1.6 «Движение направо или налево«.
Разрешается движение только в направлениях, указанных на знаках стрелками. Знаки, разрешающие
поворот налево, разрешают и разворот (могут быть применены знаки 4.1.1-4.1.6 с конфигурацией
стрелок, соответствующей требуемым направлениям движения на конкретном пересечении).
Действие знаков 4.1.1-4.1.6 не распространяется на маршрутные транспортные средства.
Действие знаков 4.1.1-4.1.6 распространяется на пересечение проезжих частей, перед которым
установлен знак.
Действие знака 4.1.1, установленного в начале участка дороги, распространяется до ближайшего
перекрестка. Знак не запрещает поворот направо во дворы и на другие прилегающие к дороге
территории.
4.2.1 «Объезд препятствия справа«;
4.2.2 «Объезд препятствия слева«. Объезд разрешается только со стороны, указанной стрелкой.
4.2.3 «Объезд препятствия справа или слева«. Объезд разрешается с любой стороны.
4.3 «Круговое движение«. Разрешается движение в указанном стрелками направлении.
4.4 «Велосипедная дорожка«. Разрешается движение только на велосипедах и мопедах. По
велосипедной дорожке могут двигаться также пешеходы (при отсутствии тротуара или пешеходной
дорожки).
4.5 «Пешеходная дорожка«. Разрешается движение только пешеходам.
4.6 «Ограничение минимальной скорости
«. Разрешается движение только с указанной илибольшей скоростью (км/ч).
4.7 «Конец зоны ограничения минимальной скорости«.
4.8.1—4.8.3 «Направление движения транспортных средств с опасными грузами». Движение транспортных средств, оборудованных опознавательными знаками (информационными таблицами) «Опасный груз«, разрешается только в направлении, указанном на знаке: 4.8.1 — прямо, 4.8.2 — направо, 4.8.3 — налево.
Обратно к списку дорожных знаков
Предписывающие знаки. Правила дорожного движения
4.1.1. «Движение прямо».
4.1.2. «Движение направо».
4.1.3. «Движение налево».
4.1.4. «Движение прямо или направо».
4.1.5. «Движение прямо или налево».
4.1.6. «Движение направо или налево».
Разрешается движение только в направлениях, указанных на знаках стрелками. Знаки, разрешающие поворот налево, разрешают и разворот (могут быть применены знаки 4.1.1 — 4.1.6 с конфигурацией стрелок, соответствующей требуемым направлениям движения на конкретном пересечении).
Действие знаков 4.1.1 — 4.1.6 не распространяется на маршрутные транспортные средства.
Действие знаков 4.1.1 — 4.1.6 распространяется на пересечение проезжих частей, перед которым установлен знак.
Действие знака 4.1.1 , установленного в начале участка дороги, распространяется до ближайшего перекрестка. Знак не запрещает поворот направо во дворы и на другие прилегающие к дороге территории.
4.2.1. «Объезд препятствия справа».
4.2.2. «Объезд препятствия слева».
Объезд разрешается только со стороны, указанной стрелкой.
4.2.3. «Объезд препятствия справа или слева».
Объезд разрешается с любой стороны.
4.3. «Круговое движение».
Разрешается движение в указанном стрелками направлении.
4.4.1. «Велосипедная дорожка».
4.4.2. «Конец велосипедной дорожки».
4.5.1. «Пешеходная дорожка».
Разрешается движение пешеходам и велосипедистам в случаях, указанных в пунктах 24.2 — 24.4 настоящих Правил.
4.5.2. «Пешеходная и велосипедная дорожка с совмещенным движением (велопешеходная дорожка с совмещенным движением)».
4.5.3. «Конец пешеходной и велосипедной дорожки с совмещенным движением (конец велопешеходной дорожки с совмещенным движением)».
4.5.4, 4.5.5. «Пешеходная и велосипедная дорожка с разделением движения».
Велопешеходная дорожка с разделением на велосипедную и пешеходную стороны дорожки, выделенные конструктивно и (или) обозначенные горизонтальной разметкой 1.2, 1.23.2 и 1.23.3 или иным способом.
4.5.6, 4.5.7. «Конец пешеходной и велосипедной дорожки с разделением движения (конец велопешеходной дорожки с разделением движения)».
4.6. «Ограничение минимальной скорости».
Разрешается движение только с указанной или большей скоростью (км/ч).
4.7. «Конец зоны ограничения минимальной скорости».
4.8.1 — 4.8.3. «Направление движения транспортных средств с опасными грузами».
Движение транспортных средств, оборудованных опознавательными знаками (информационными таблицами) «Опасный груз», разрешается только в направлении, указанном на знаке:
4.8.1 — налево,
4.8.2 — прямо,
4.8.3 — направо.
Предписывающие знаки | Полезная авто информация
4.1.1 «Движение прямо» 4.1.2 «Движение направо»
4.1.3 «Движение налево»
4.1.4 «Движение прямо или направо»
4.1.5 «Движение прямо или налево»
4.1.6 «Движение право или налево»
Разрешается движение только в направлениях, указанных на знаках стрелками. Знаки, разрешающие поворот налево, разрешают и разворот (могут быть применены знаки 4.1.1 — 4.1.6 с конфигурацией стрелок, соответствующей требуемым направлениям движения на конкретном пересечении). Действие знаков 4.1.1 — 4.1.6 не распространяется на маршрутные транспортные средства. Действие знаков 4.1.1 — 4.1.6 распространяется на пересечение проезжих частей, перед которым установлен знак. Действие знака 4.1.1, установленного в начале участка дороги, распространяется до ближайшего перекрестка. Знак не запрещает поворот направо во дворы и на другие прилегающие к дороге территории.
4.2.1 «Объезд препятствия справа» Объезд разрешается только со стороны, указанной стрелкой.
4.2.2 «Объезд препятствия слева» Объезд разрешается только со стороны, указанной стрелкой.
4.2.3 «Объезд препятствия справа или слева» Объезд разрешается с любой стороны.
4.3 «Круговое движение» Разрешается движение в указанном стрелками направлении.
4.4 «Велосипедная дорожка» Разрешается движение только на велосипедах и мопедах. По велосипедной дорожке могут двигаться также пешеходы (при oтсутствии тротуара или пешеходной дорожки).
4.5 «Пешеходная дорожка» Разрешается движение только пешеходам.
4.6 «Ограничение минимальной скорости» Разрешается движение только с указанной или большей скоростью (км/ч).
4.7 «Конец зоны ограничения минимальной скорости»
4.8.1, 4.8.2, 4.8.3 «Направление движения транспортных средств с опасными грузами» Движение транспортных средств, оборудованных опознавательными знаками «Опасный груз», разрешается только в направлении, указанном в знаке:
4.8.1 — налево
4.8.2 — прямо
4.8.3 — направо
Назад в Дорожные знаки
Инструктивное руководство по развертыванию ISE Posture
Руководство по обязательному развертыванию ISE PostureВерсия 1.0
Тим Эбботт
Инженер по техническому маркетингу, Cisco Systems, Inc.
Серия видео по настройке положения Cisoc ISE на YouTube
О Cisco Identity Services Engine (ISE)
Cisco ISE — это ведущая система контроля доступа к сети и обеспечения соблюдения политик на основе идентификации.Это общий механизм политик для управления, доступа к конечным точкам и администрирования сетевых устройств для предприятий. ISE позволяет администратору централизованно управлять политиками доступа для проводных, беспроводных и оконечных точек VPN в сети. ISE создает контекст о конечных точках, который включает пользователей и группы (кто), тип устройства (что), время доступа (когда), местоположение доступа (где), тип доступа (проводной / беспроводной / VPN) (как), угрозы и уязвимости . Обменивая важные контекстные данные с интеграцией технологических партнеров и реализуя политику Cisco TrustSec® для программно определяемой сегментации, ISE превращает сеть из канала для данных в средство обеспечения безопасности, которое сокращает время обнаружения и время до обнаружения. устранение сетевых угроз.
Об этом руководстве
Это руководство предназначено для предоставления технических рекомендаций по разработке, развертыванию и эксплуатации Cisco Identity Services Engine (ISE) для оценки состояния. Первая половина документа посвящена планированию и проектированию, вторая половина описывает особенности конфигураций и операций. В этом документе четыре основных раздела. В исходной части define говорится об определении проблемной области, планировании развертывания и других аспектах.Далее, в разделе design вы увидите, как проектировать для оценки осанки. В-третьих, в части развертывания будут предоставлены различные рекомендации по настройке и передовой практике. Наконец, в разделе « работает » вы узнаете, как управлять развертыванием положения с помощью Cisco ISE. Прежде чем начать, убедитесь, что у вас есть правильная лицензия, необходимая для оценки положения, просмотрев Руководство по заказу ISE. Вы также захотите убедиться, что у вас есть все необходимые внешние ресурсы, такие как Active Directory, настроенные и работающие должным образом.
Последовательность конфигурации положения
Для настройки оценки положения в ISE необходимо учитывать несколько компонентов: условия, исправления, требования, политика положения, инициализация клиента и политика доступа. Следуя приведенному ниже потоку настройки положения, вы убедитесь, что каждый раздел, необходимый для настройки ISE для оценки положения, будет рассмотрен. Условия состояния — это набор правил в нашей политике безопасности, которые определяют совместимую конечную точку.Некоторые из этих элементов включают установку брандмауэра, антивирусного программного обеспечения, защиты от вредоносных программ, исправлений, шифрования диска и многое другое. После того, как условия позы определены, можно настроить исправления позы (при необходимости). Исправления положения — это методы, которыми AnyConnect будет обрабатывать конечные точки, которые не соответствуют требованиям. Некоторые исправления могут быть автоматически разрешены через AnyConnect, в то время как другие могут быть разрешены вручную конечным пользователем. Требования к положению — это немедленные действия, предпринимаемые AnyConnect, когда конечная точка не соответствует требованиям.Конечная точка считается совместимой, если она удовлетворяет всем условиям положения. После настройки требования к положению могут быть использованы политикой положения для обеспечения соблюдения требований. Подготовка клиента — это политика, используемая для определения используемой версии AnyConnect, а также модуля соответствия, который будет установлен на конечной точке во время процесса подготовки. Модуль соответствия — это библиотека, которую агент положения использует, чтобы определить, соответствует ли конечная точка определенным условиям положения.Наконец, политика доступа активирует нашу политику положения и определяет, какой форме политики будет подвергаться конечная точка, если она соответствует требованиям, не соответствует требованиям или требует предоставления AnyConnect.
Пример политики безопасности
Теперь, когда мы разобрались с процессом настройки, нам нужно рассмотреть варианты развертывания. Наиболее важным является определение политики безопасности. Без предопределенной политики безопасности мы не сможем настроить состояние ISE для защиты наших конечных точек и сети.Хотя ISE содержит несколько вариантов проверки соответствия конечной точки, в этом руководстве будет использоваться следующий пример политики безопасности для конечных точек Windows 10:
- Убедитесь, что брандмауэр Windows включен
- Проверить подключенные USB-устройства
- Установка защиты от вредоносных программ
- Установка критического исправления
- Установка приложения
Для обеспечения соблюдения нашего примера политики безопасности мы будем использовать следующие компоненты:
- Ядро служб идентификации 2.4
- AnyConnect 4.5
- Модуль соответствия AnyConnect 4.2.1134.0
Информация об агенте
В зависимости от вашей политики безопасности вы захотите выбрать правильный агент для своего развертывания. Поскольку в этом руководстве будет использоваться ISE 2.4, следует рассмотреть несколько вариантов. В основном можно использовать три типа агентов. У каждого есть свои преимущества и недостатки с точки зрения выбора позы.
Временный агент
Временный агент является относительно новым для ISE и предназначен для растворения.Это означает, что на конечной точке не будет установлено постоянное программное обеспечение. Возможность не принудительно устанавливать программное обеспечение на конечных точках является явным преимуществом для временного агента. В идеале вы можете использовать временный агент на конечных точках гостя или подрядчика. Недостатком использования временного агента является то, что он ограничен в количестве поддерживаемых в настоящее время состояний позы. Временному агенту требуется только лицензия ISE Apex, так как он не требует AnyConnect. Используйте его только для самой простой проверки осанки.
Stealth AnyConnect
Агент положения Stealth AnyConnect также является относительно новым и предназначен для постоянной установки на конечной точке, но в конфигурации «без головы». Преимущества агента положения Stealth AnyConnect заключаются в том, что он поддерживает практически все условия положения в качестве агента AnyConnect, однако он будет работать как фоновый процесс для конечного пользователя. Пользовательского интерфейса для положения Stealth AnyConnect нет. Однако, если вы включите другие модули, такие как AMP Enabler или VPN, вы увидите пользовательский интерфейс.Агент положения Stealth AnyConnect требует лицензии AnyConnect Apex в дополнение к лицензии ISE Apex.
AnyConnect
Агент положения AnyConnect является заменой агента NAC, а также агента OS X. Он имеет наибольшую поддержку для состояний осанки, а также автоматическую корректирующую поддержку и пассивную переоценку. Если агент NAC может быть автоматически загружен с Cisco, AnyConnect не может. Поскольку AnyConnect является отдельным продуктом от ISE, для него требуется загрузить разрешение с сайта Cisco.Наконец, он также требует лицензии AnyConnect Apex в дополнение к требованиям лицензии ISE Apex, независимо от того, настроен ли он для скрытого использования или нет.
Параметры оценки состояния Windows
| Временный агент | Стелс AnyConnect | AnyConnect | |
| Условия осанки | Поддерживаемые условия:
| Поддерживаемые условия:
| Поддерживаемые условия:
|
| Восстановительные действия | Ручные исправления | Частичное автоматическое исправление: Файл, ссылка, WSUS Показать пользовательский интерфейс, пользовательский интерфейс активации PM, текст сообщения.Исправление вручную не поддерживается. | Поддерживаются как автоматические, так и ручные исправления |
| Пассивная переоценка | Нет | Поддерживается | Поддерживается |
Параметры оценки осанки macOS
| Временный агент | Стелс AnyConnect | AnyConnect | |
| Условия осанки | Неподдерживаемые условия:
| Поддерживаемые условия:
| Поддерживаемые условия:
|
| Восстановительные действия | Не поддерживается | Не поддерживается: вручную, запуск программы, состояние файла, управление исправлениями, USB | Не поддерживается: вручную, запуск программы, состояние файла, управление исправлениями, USB |
| Пассивная переоценка | Не поддерживается | Не поддерживается | Не поддерживается |
Обновления осанки
ОбновленияPosture включают в себя набор предопределенных проверок, правил и диаграмм поддержки для антивирусного и антишпионского ПО для операционных систем Windows и Macintosh, а также информацию об операционных системах, которые поддерживаются Cisco.Вы также можете обновить Cisco ISE в автономном режиме из файла в вашей локальной системе, который содержит последние архивы обновлений. При первом развертывании Cisco ISE в сети вы можете загрузить обновления состояния из Интернета. Обычно этот процесс занимает около 20 минут. После начальной загрузки вы можете настроить Cisco ISE для проверки и автоматической загрузки дополнительных обновлений. Cisco ISE создает политики, требования и исправления состояния по умолчанию только один раз во время первоначального обновления состояния.Если вы удалите их, Cisco ISE не создаст их снова во время последующих обновлений вручную или по расписанию. Наконец, обновления состояния ISE могут быть настроены для автономных обновлений для тех развертываний, у которых нет доступа в Интернет. Просто загрузите zip-файл с сайта Cisco и загрузите его вручную в систему при необходимости.
| Шаг 1 | Выберите «Администрирование»> «Система»> «Настройки»> «Положение»> «Обновления». |
| Шаг 2 | Выберите опцию Интернет для динамической загрузки обновлений. |
| Шаг 3 | Нажмите «Установить по умолчанию», чтобы установить значение Cisco по умолчанию для поля «URL-адрес обновления». Если ваша сеть ограничивает функции перенаправления URL-адресов (например, через прокси-сервер), и вы испытываете трудности с доступом к указанному выше URL-адресу, попробуйте также указать Cisco ISE на альтернативный URL-адрес в связанных темах. |
| Шаг 4 | Измените значения на странице «Обновления положения». |
| Шаг 5 | Щелкните «Обновить сейчас», чтобы загрузить обновления от Cisco. |
| Шаг 6 | Щелкните OK, чтобы продолжить выполнение других задач на Cisco ISE. После обновления на странице «Обновления состояния» отображается информация о текущей версии обновлений Cisco в качестве подтверждения наличия обновления в разделе «Информация об обновлении» на странице «Обновления состояния». |
Периодическая переоценка
Периодическая переоценка (PRA) может проводиться только для клиентов, которые уже успешно проверены на соответствие.PRA не может произойти, если клиенты не соответствуют требованиям в вашей сети. PRA действителен и применим только в том случае, если конечные точки находятся в соответствующем состоянии. Узел службы политик проверяет соответствующие политики и компилирует требования в зависимости от роли клиента, которая определена в конфигурации для принудительного выполнения PRA. Если обнаружено совпадение конфигурации PRA, узел службы политики отвечает агенту клиента атрибутами PRA, которые определены в конфигурации PRA для клиента, перед тем, как выдать запрос CoA.Агент клиента периодически отправляет запросы PRA в зависимости от интервала, указанного в конфигурации. Клиент остается в совместимом состоянии, если PRA завершается успешно или действие, настроенное в конфигурации PRA, должно продолжаться. Если клиенту не удается выполнить PRA, клиент переводится из совместимого состояния в несовместимое состояние. Для более подробного объяснения параметров конфигурации для PRA обратитесь к руководству администратора ISE.
Состояние осанки
Как указывалось ранее, форма условий состояния — это проверка, которую мы хотим выполнить в отношении конечной точки, чтобы гарантировать соблюдение нашей политики безопасности.В нашем примере политики безопасности первая проверка состоит в том, чтобы определить, используется ли USB-устройство на конечной точке. Поскольку в нашем примере используется ISE 2.4, в нашем состоянии положения будет предварительно настроенная проверка USB. Однако мы все равно проверим, что наше состояние настроено. Перейдите к рабочим центрам> Состояние> Элементы политики> Условия> USB, чтобы просмотреть предварительно настроенную проверку USB, предоставленную ISE.
Состояние USB
Примечание: Проверка состояния USB только проверяет, подключено ли устройство USB.В настоящее время он не делает различий между типами устройств. Наконец, проверка USB — это проверка в реальном времени, а не периодическая.
Состояние межсетевого экрана
Условие брандмауэра проверяет, включен ли определенный продукт брандмауэра на конечной точке. Список поддерживаемых продуктов Firewall основан на диаграммах поддержки OPSWAT. Вы можете применять политики во время первоначального состояния и периодической переоценки (PRA). Cisco ISE обеспечивает условия брандмауэра по умолчанию для Windows и macOS. По умолчанию эти условия отключены, однако мы собираемся настроить состояние брандмауэра с нуля.Перейдите в Рабочие центры> Состояние> Элементы политики> Условия> Состояние брандмауэра.
| Шаг 1 | Перейдите в рабочие центры> Состояние> Элементы политики> Условия> Состояние брандмауэра |
| Шаг 2 | Щелкните значок «+ Добавить», чтобы настроить новое условие брандмауэра. |
| Шаг 3 | Дайте новому условию имя |
| Шаг 4 | Выберите «4.x или более поздней версии «для раскрывающегося меню модуля соответствия |
| Шаг 5 | Выберите «Windows All» для операционной системы |
| Шаг 6 | Выберите «Microsoft Corporation» в раскрывающемся списке поставщиков |
| Шаг 7 | Установите флажок «Включить» |
| Шаг 8 | Выберите «ЛЮБОЙ / ЛЮБОЙ» в качестве имени и версии брандмауэра. |
| Шаг 9 | Нажмите «Сохранить» |
Состояние защиты от вредоносных программ
Условие защиты от вредоносных программ представляет собой комбинацию условий защиты от шпионского ПО и вирусов и поддерживается OESIS версии 4.x или более поздней версии модуля соответствия. Интеллектуальные настройки по умолчанию в ISE имеют предварительно настроенные условия защиты от вредоносных программ для простоты использования. Выполните следующие действия, чтобы проверить предварительно настроенное состояние защиты от вредоносных программ.
| Шаг 1 | Рабочие центры> Осанка> Элементы осанки> Условия> Защита от вредоносных программ |
| Шаг 2 | Выберите «ANY_am_win_inst» |
| Шаг 3 | Нажмите «Изменить» |
| Шаг 4 | Проверьте конфигурацию для условия |
Критическое состояние исправления
Следующий пункт нашей политики безопасности касается установки критического патча.В этом примере мы собираемся использовать предопределенную проверку файлов, чтобы убедиться, что на наших клиентах Windows 10 установлено критическое исправление безопасности для предотвращения вредоносного ПО Wanna Cry. Чтобы просмотреть предустановленную проверку файлов, выполните следующие действия.
| Шаг 1 | Рабочие центры> Осанка> Элементы осанки> Условия> Файл |
| Шаг 2 | Щелкните значок загрузочного лотка справа, чтобы открыть меню поиска |
| Шаг 3 | В поле имени введите: pc_W10_64_KB4012606_Ms17-010_1507_WC |
| Шаг 4 | Установите флажок и нажмите кнопку просмотра вверху |
Условия применения
Последнее условие, требуемое в нашем примере политики безопасности, — это проверка установки определенного приложения.Есть две формы проверки приложений при выполнении позиции ISE. один для проверки, установлено ли приложение, а другой — для проверки, запущено ли приложение. Можно настроить как сценарии, гарантирующие установку необходимого приложения, так и сценарии, в которых не установлены какие-либо вредоносные приложения. Однако в обоих сценариях проверка установки остается прежней. В случае нежелательного приложения требуемые действия по исправлению должны быть привязаны к условию выполнения действий по завершению / удалению нежелательного приложения.В этом примере политики безопасности проверяется наличие необходимой установки VPN-клиента. Далее в этом руководстве мы рассмотрим шаги, необходимые для обеспечения соответствия приложения требованиям, которые не следует устанавливать на конечную точку. Чтобы настроить условие для установки устройства, выполните действия, указанные ниже
| Шаг 1 | Перейдите к рабочим центрам> Состояние> Элементы политики> Условия> Приложение |
| Шаг 2 | Щелкните значок «+ Добавить», чтобы настроить новое условие приложения |
| Шаг 3 | Дайте новому условию имя |
| Шаг 4 | Выберите «Windows All» в качестве операционной системы |
| Шаг 5 | В раскрывающемся списке проверки выберите «Обработка» |
| Шаг 6 | Введите имя процесса в поле имени процесса |
| Шаг 7 | Выберите «Выполняется» в раскрывающемся списке оператора приложения |
| Шаг 8 | Выберите «ЛЮБОЙ / ЛЮБОЙ» в качестве имени и версии брандмауэра. |
| Шаг 9 | Выберите «Cisco System, Inc» в раскрывающемся списке поставщиков. |
| Шаг 11 | Нажмите «Сохранить» |
Восстановление осанки
Исправления состояния — это действия, которые AnyConnect предпримет, если определит, что конечная точка не соответствует требованиям.Существует два основных типа исправлений AnyConnect: автоматическое и ручное. AnyConnect выполняет автоматическое исправление без вмешательства конечного пользователя конечной точки. Для ручного исправления требуется, чтобы конечный пользователь конечной точки решил проблему соответствия до того, как конечной точке будет разрешен доступ к сети. Чтобы понять, какие условия поддерживаются для автоматического или ручного исправления, ознакомьтесь с разделами «Параметры оценки состояния Windows» и «Параметры оценки состояния macOS» данного руководства.
Восстановление межсетевого экрана
В нашем примере политики безопасности требуется, чтобы брандмауэр Windows был включен для доступа конечной точки к сети. Чтобы настроить исправление брандмауэра, выполните следующие действия.
| Шаг 1 | Перейдите в рабочие центры> Состояние> Элементы политики> Исправления> Брандмауэр |
| Шаг 2 | Щелкните значок «+ Добавить», чтобы настроить новое условие приложения |
| Шаг 3 | Дайте новому условию имя |
| Шаг 4 | Выберите «Windows All» в качестве операционной системы |
| Шаг 5 | Выберите «Автоматически» в раскрывающемся списке типа исправления. |
| Шаг 6 | Введите значения (в секундах) для поля интервала и числа повторов |
| Шаг 7 | Выберите «Microsoft Corporation» в раскрывающемся списке поставщиков |
| Шаг 8 | Убедитесь, что установлен флажок «Параметры исправления — включить брандмауэр». |
| Шаг 9 | Выберите «Брандмауэр Windows 10.x « |
| Шаг 10 | Нажмите «Сохранить» |
Восстановление USB
В дополнение к предварительно настроенному состоянию для USB, Cisco ISE также имеет предварительно настроенное исправление для USB. Чтобы просмотреть исправление USB, выполните следующие действия.
| Шаг 1 | Перейдите в рабочие центры> Состояние> Элементы политики> Исправления> USB |
| Шаг 2 | Щелкните значок «USB_Block», затем щелкните «Изменить» |
| Шаг 3 | При необходимости вы можете изменить значения интервала и числа повторов |
| Шаг 4 | Нажмите «Сохранить» |
Требования к осанке
Теперь, когда у нас есть условия положения и исправления, определенные для отражения нашего примера политики безопасности, пора связать их вместе, используя требования положения.Подобно политике доступа, требования к состоянию — это набор правил, которые определяют состояние состояния, операционную систему, модуль соответствия, тип агента и действия по исправлению. Как и условия позы, ISE имеет предварительно настроенные требования позы, которые позволяют быстро включить требования позы. Однако в этом руководстве описаны шаги, необходимые для их создания с нуля (за исключением требований USB и требований защиты от вредоносных программ, поскольку они уже настроены по умолчанию в ISE 2.4). Выполните следующие действия, чтобы настроить требования к позе.
Требования к брандмауэру
| Шаг 1 | Перейдите в рабочие центры> Состояние> Элементы политики> Требования |
| Шаг 2 | Щелкните значок «стрелка вниз» справа от гиперссылки «Изменить». |
| Шаг 3 | Выберите «Вставить новое требование» |
| Шаг 4 | Дайте требованию имя |
| Шаг 5 | Выберите «Windows All» в качестве операционной системы |
| Шаг 6 | Выберите «4.x или более поздней версии «для модуля соответствия |
| Шаг 7 | Выберите «AnyConnect» в качестве типа положения |
| Шаг 8 | Выберите имя условия брандмауэра, настроенного ранее |
| Шаг 9 | Выберите имя исправления брандмауэра, настроенного ранее |
| Step10 | Нажмите готово |
| Шаг 11 | Нажмите сохранить внизу страницы |
Требование критического исправления
Примечание: Поскольку проверка файлов относится к Windows 10, убедитесь, что вы выбрали Windows 10 в качестве операционной системы при настройке правила.В противном случае он не будет отображаться как вариант в раскрывающемся списке.
| Шаг 1 | Перейдите в рабочие центры> Состояние> Элементы политики> Требования |
| Шаг 2 | Щелкните значок «стрелка вниз» справа от гиперссылки «Изменить». |
| Шаг 3 | Выберите «Вставить новое требование» |
| Шаг 4 | Дайте требованию имя |
| Шаг 5 | Выберите «Windows 10 All» в качестве операционной системы |
| Шаг 6 | Выберите «4.x или более поздней версии «для модуля соответствия |
| Шаг 7 | Выберите «AnyConnect» в качестве типа положения |
| Шаг 8 | Выберите «pc_W10_KB4012606_Ms17-010_1507_WC» |
| Шаг 9 | Выберите «Текст сообщения» в качестве исправления. |
| Шаг 10 | Введите сообщение для конечного пользователя |
| Шаг 11 | Нажмите готово |
| Шаг 12 | Нажмите сохранить внизу страницы |
Требования к приложению
| Шаг 1 | Перейдите в рабочие центры> Состояние> Элементы политики> Требования |
| Шаг 2 | Щелкните значок «стрелка вниз» справа от гиперссылки «Изменить». |
| Шаг 3 | Выберите «Вставить новое требование» |
| Шаг 4 | Дайте требованию имя |
| Шаг 5 | Выберите «Windows All» в качестве операционной системы |
| Шаг 6 | Выберите «4.x или более поздней версии «для модуля соответствия |
| Шаг 7 | Выберите «AnyConnect» в качестве типа положения |
| Шаг 8 | Выберите имя условия приложения, настроенного ранее |
| Шаг 9 | Выберите «Текст сообщения» в качестве исправления. |
| Шаг 10 | Введите сообщение для конечного пользователя |
| Шаг 11 | Нажмите готово |
| Шаг 12 | Нажмите сохранить внизу страницы |
Политика осанки
Политика положения — это набор требований к положению, связанных с одной или несколькими группами идентификации и операционными системами.Атрибуты словаря — это необязательные условия в сочетании с группами удостоверений и операционными системами, которые позволяют определять различные политики для клиентов. Cisco ISE предоставляет возможность настроить льготный период для устройств, которые перестают соответствовать требованиям. ISE кэширует результаты оценки осанки на настраиваемый период времени. Если обнаруживается, что устройство не соответствует требованиям, Cisco ISE ищет ранее известное хорошее состояние в своем кэше и предоставляет устройству льготу, в течение которой устройству предоставляется доступ к сети.Вы можете настроить льготный период в минутах, часах или днях (максимум до 30 дней). Конечная точка имеет право использовать этот льготный период, только если она ранее находилась в хорошем / совместимом состоянии.
Чтобы настроить политику положения, выполните следующие действия.
| Шаг 1 | Перейдите в Рабочие центры> Положение> Политика положения |
| Шаг 2 | Щелкните значок «стрелка вниз» справа от гиперссылки «Изменить». |
| Шаг 3 | Выберите «Вставить новую политику» |
| Шаг 4 | Дайте правилу имя |
| Шаг 5 | Выберите «Windows 10 All» в качестве операционной системы |
| Шаг 6 | Выберите «4.x или более поздней версии «для модуля соответствия |
| Шаг 7 | Выберите «AnyConnect» в качестве типа положения |
| Шаг 8 | В поле требований выберите все 5 требований с помощью знака «+» |
| Шаг 9 | Нажмите готово |
| Шаг 10 | Нажмите «Сохранить» |
Подготовка клиентов
Для клиентов политики ресурсов клиента определяют, какие пользователи получают какую версию (или версии) ресурсов (агентов, модули соответствия агентов и / или пакеты / профили настройки агентов) от Cisco ISE при входе в систему и инициировании сеанса пользователя.Для AnyConnect ресурсы могут быть выбраны на странице ресурсов обеспечения клиента для создания конфигурации AnyConnect, которую можно использовать на странице политики обеспечения клиента. Конфигурация AnyConnect — это программное обеспечение AnyConnect и его связь с различными файлами конфигурации, включая двоичный пакет AnyConnect для клиентов Windows и MacOS X, модуль соответствия. профили модулей, настройки и языковые пакеты для AnyConnect.
Есть два метода для обеспечения клиента с помощью только ISE.В то время как корпоративный программный продукт может обеспечивать широкое распространение программного обеспечения, ISE может предоставлять клиента двумя способами: URL-перенаправление и загрузка или инициализирующий URL. Перед тем, как вы начнете, вам нужно будет загрузить программное обеспечение AnyConnect с cisco.com, поскольку оно не может быть автоматически загружено через ресурсы обеспечения, такие как модуль соответствия. Конфигурация агента в политике обеспечения клиента требует как минимум трех компонентов: профиля AnyConnect, конфигурации AnyConnect и совместимого модуля.Начните с создания профиля AnyConnect.
| Шаг 1 | Перейдите в рабочие центры> Положение> Подготовка клиентов> Ресурсы |
| Шаг 2 | Нажмите кнопку «Добавить» и выберите профиль AnyConnect Posture |
| Шаг 3 | Введите параметры конфигурации того, как AnyConnect будет работать |
| Шаг 4 | Нажмите «Сохранить» |
Примечание: Для подробного объяснения параметров конфигурации профиля положения, пожалуйста, обратитесь к руководству по администрированию ISE или «запустив справку на уровне страницы» из меню
Теперь, когда профиль положения настроен, вы можете загрузить AnyConnect в ISE:
| Шаг 1 | Перейдите в рабочие центры> Положение> Подготовка клиентов> Ресурсы |
| Шаг 2 | Нажмите кнопку «Добавить» |
| Шаг 3 | Выберите «Ресурсы агента с локального диска» |
| Шаг 4 | Выберите «Пакеты, предоставленные Cisco» в раскрывающемся списке «Категория». |
| Шаг 5 | Выберите программное обеспечение AnyConnect на локальном диске с помощью кнопки «Обзор». |
| Шаг 6 | Нажмите «Отправить» |
После того, как AnyConnect загружен в ISE, теперь нам нужно загрузить модуль соответствия:
| Шаг 1 | Перейдите в рабочие центры> Положение> Подготовка клиентов> Ресурсы |
| Шаг 2 | Нажмите кнопку «Добавить» |
| Шаг 3 | Выберите «Ресурсы агента с сайта Cisco» |
| Шаг 4 | Выберите требуемый модуль соответствия из списка |
| Шаг 5 | Нажмите «Сохранить» |
Наконец, мы можем создать необходимую конфигурацию AnyConnect для использования в политике инициализации клиента:
| Шаг 1 | Перейдите в Рабочие центры> Положение> Подготовка клиентов> Ресурсы |
| Шаг 2 | Нажмите кнопку «Добавить» |
| Шаг 3 | Выберите «Конфигурация AnyConnect» |
| Шаг 4 | Выберите версию AnyConnect, загруженную из Cisco.com |
| Шаг 5 | Дайте конфигурации имя |
| Шаг 6 | Выберите модуль соответствия, загруженный с cisco.com |
| Шаг 7 | Выберите ранее созданный профиль положения |
| Шаг 8 | Нажмите «Сохранить» |
Наконец, создайте политику обеспечения клиентов, используя только что созданную конфигурацию AnyConnect:
| Шаг 1 | Перейдите в Рабочие центры> Положение> Подготовка клиентов |
| Шаг 2 | Щелкните гиперссылку «Изменить» для предварительно настроенного правила Windows |
| Шаг 3 | Щелкните значок «+» в поле результатов |
| Шаг 4 | Выберите конфигурацию AnyConnect из раскрывающегося списка агента |
| Шаг 5 | Нажмите вниз |
| Шаг 6 | Нажмите «Сохранить» |
Политика доступа
Последний раздел в нашем разделе развертывания — это настройка политики доступа.Cisco ISE — это основанное на политиках решение для управления доступом к сети, которое предлагает наборы политик доступа к сети, позволяющие управлять несколькими различными сценариями использования доступа к сети, такими как беспроводная, проводная, гостевая и клиентская подготовка. Наборы политик (наборы для доступа к сети и администрирования устройств) позволяют логически группировать политики аутентификации и авторизации в одном наборе. У вас может быть несколько наборов политик на основе области, например наборы политик на основе местоположения, типа доступа и подобных параметров.Когда вы устанавливаете ISE, всегда существует один определенный набор политик, который является набором политик по умолчанию, и набор политик по умолчанию содержит в себе предопределенные и стандартные правила проверки подлинности, авторизации и исключений. В этом руководстве будет использоваться предварительно настроенный набор политик для принудительного добавления примера политики безопасности.
| Шаг 1 | Перейдите к Политике> Наборы политик |
| Шаг 2 | Выберите набор политик, который будет содержать условия применения политики положения |
| Шаг 3 | Выберите «Политика авторизации» |
| Шаг 4 | Выберите правило авторизации, для которого требуется соответствующее условие |
| Шаг 5 | Щелкните поле условия, чтобы открыть студию условий |
| Шаг 6 | Нажмите кнопку «Создать» |
| Шаг 7 | Щелкните, чтобы добавить новый атрибут, и выберите «сеанс» в раскрывающемся списке «Словари». |
| Шаг 8 | Выберите атрибут «PostureStatus» |
| Шаг 9 | Нажмите «Выбрать из списка» и выберите «совместимый» |
| Шаг 10 | Нажмите «Использовать» |
| Шаг 11 | Щелкните значок шестеренки недавно измененного правила и выберите «дублировать ниже» |
| Шаг 12 | Повторите шаги с 5 по 9, но выберите «несовместимо» вместо «соответствует» |
| Шаг 13 | Нажмите «Использовать» |
| Шаг 14 | Измените «Профили результатов», чтобы запретить доступ и переименовать правило авторизации. |
| Шаг 15 | Сохранить политику авторизации |
Новая политика должна выглядеть следующим образом:
Видимость контекста
Context Visibility дает администратору ISE возможность просматривать различные детали о развертывании ISE.От аутентифицированной конечной точки до соответствия позиции, Context Visibility предоставляет обширный объем информации. Начиная с ISE 2.4, видимость контекста имеет четыре основных раздела: конечные точки, пользователи, сетевые устройства и приложение. Как указано в этом руководстве, существует два способа обеспечить соответствие приложения положению ISE: убедиться, что приложение установлено на конечной точке, и гарантировать, что приложение не установлено на конечной точке. В этом разделе мы рассмотрим шаги, необходимые для обеспечения того, чтобы приложение, обнаруженное во время инвентаризации приложений, не было установлено на конечной точке.
Условия применения
| Шаг 1 | Перейдите в Рабочие центры> Положение> Элементы политики> Условия> Приложение |
| Шаг 2 | Нажмите кнопку «Добавить» |
| Шаг 3 | Дайте условию имя |
| Шаг 4 | Выберите «Windows All» в качестве операционной системы |
| Шаг 5 | Выберите «Приложение» для проверки в раскрывающемся списке |
| Шаг 6 | Выберите «Установлено» и «Выполняется» для состояния приложения |
| Шаг 7 | В раскрывающемся списке выберите «Все». |
| Шаг 8 | Нажмите «Сохранить» |
Требования к приложению
| Шаг 1 | Перейдите в рабочие центры> Состояние> Элементы политики> Требования |
| Шаг 2 | Щелкните стрелку вниз слева от одного из правил и выберите «Вставить новое требование». |
| Шаг 3 | Выберите «Конфигурация AnyConnect» |
| Шаг 4 | Дайте правилу имя |
| Шаг 5 | Выберите «Windows All» в качестве операционной системы |
| Шаг 6 | Выберите «4.x или более поздней версии «для модуля соответствия |
| Шаг 7 | Выберите «AnyConnect» для типа положения |
| Шаг 8 | Выберите имя условия приложения, использованное в предыдущем разделе |
| Шаг 9 | Щелкните «Готово» в крайнем левом углу |
| Шаг 10 | Нажмите «Сохранить» |
Политика осанки
| Шаг 1 | Перейдите в Рабочие центры> Положение> Политика |
| Шаг 2 | Щелкните гиперссылку «Изменить» для правила положения Windows |
| Шаг 3 | Выберите «Конфигурация AnyConnect» |
| Шаг 4 | Добавить требование положения, созданное в последнем разделе, в список требований |
| Шаг 5 | Нажмите готово |
| Шаг 6 | Нажмите «Сохранить» |
Создание соответствия приложения видимости контекста
После того, как AnyConnect отправит ISE список приложений для каждой установленной конечной точки, список приложений будет виден в Видимости контекста под разделом Приложения.Здесь администратор ISE сможет просмотреть список установленных приложений для каждой конечной точки и при необходимости создать соответствие приложений. Чтобы создать соответствие приложения, выполните следующие действия:
| Шаг 1 | Перейдите в Видимость контекста> Приложение |
| Шаг 2 | В поле поиска «Имя приложения» введите имя приложения |
| Шаг 3 | Установите переключатель рядом с приложением |
| Шаг 4 | В разделе «Действия политики» выберите создать соответствие приложения |
| Шаг 5 | Выберите версию программного обеспечения для соответствия правилу |
| Шаг 6 | Дайте правилу соответствия имя |
| Шаг 7 | Выберите «Установлено» и / или «Выполняется» для состояния приложения. |
| Шаг 8 | Выберите тип исправления |
| Шаг 9 | Выберите вариант исправления «Удалить» или «Завершить процесс». |
| Шаг 10 | При необходимости выберите необходимую идентификационную группу |
| Шаг 11 | Щелкните политику сохранения |
На этом этапе ISE as автоматически создает условие приложения, исправление приложения и требование приложения.Он также создал отдельное правило политики положения для оконечных устройств Windows с новым требованием положения:
Отчетность
УISE есть два отчета, доступных администратору: «Оценка положения по состоянию» и «Оценка положения по конечной точке». Чтобы запустить любой из этих отчетов, перейдите в «Операции»> «Отчеты»> «Конечные точки и пользователи». Отчет «Оценка состояния по условиям» покажет общий статус соответствия конечной точки и какие условия пройдены или не выполнены.Отчет «Оценка состояния по конечным точкам» показывает, какие конечные точки были подвергнуты оценке состояния, а также дает администратору возможность просматривать подробности отчета об оценке состояния каждой конечной точки.
Инструктивное руководство по развертыванию Cisco ISE BYOD
| Чтобы получить автономную или распечатанную копию этого документа, просто выберите ⋮ Параметры> Версия для печати, страница .Затем вы можете распечатать, распечатать в PDF или скопировать и вставить в любой другой формат документа, который вам нравится. |
Это руководство по развертыванию предназначено для предоставления всех необходимых руководств по проектированию, развертыванию и эксплуатации для запуска Cisco Identity Services Engine (ISE) для использования собственного устройства (BYOD), в частности, на контроллерах Cisco Unified Wireless Network (CUWN).
Автор: Хосук Вон
Содержание
О Cisco Identity Services Engine (ISE)
Cisco Identity Services Engine (ISE) — это ведущая на рынке система управления доступом к сети на основе идентификационных данных и применения политик.Это общий механизм политик для контроля, доступа к конечным точкам и администрирования сетевых устройств на вашем предприятии. ISE позволяет администратору централизованно управлять политиками доступа для проводных беспроводных и оконечных точек VPN в сети.
ISE создает контекст о конечных точках, который включает пользователей и группы (кто), тип устройства (что), время доступа (когда), местоположение доступа (где), тип доступа (проводной / беспроводной / VPN) (как) , угрозы и уязвимости. Благодаря обмену жизненно важными контекстными данными с интеграцией технологических партнеров и реализации политики Cisco TrustSec® для программно определяемой сегментации Cisco ISE превращает сеть из простого канала для данных в средство обеспечения безопасности, которое ускоряет время обнаружения и время разрешения сетевых угроз.
Об этом руководстве
Это руководство предназначено для предоставления технических рекомендаций по разработке, развертыванию и эксплуатации Cisco Identity Services Engine (ISE) для использования собственного устройства (BYOD). Особое внимание будет уделено конфигурациям контроллера Cisco Unified Wireless Networks для обработки двух потоков развертывания BYOD; BYOD с одним SSID и BYOD с двумя SSID. В документе представлены оптимальные конфигурации для типичной среды для сценария использования BYOD.
Несмотря на то, что Cisco ISE BYOD поддерживает варианты использования проводного доступа, в этом руководстве не рассматривается поток BYOD через проводное соединение.
Первая половина документа посвящена планированию и проектированию, вторая половина касается специфики конфигураций и операций.
В этом документе четыре основных раздела. В исходной части define говорится об определении проблемной области, планировании развертывания и других аспектах. Далее, в разделе design , мы увидим, как проектировать для BYOD. В-третьих, в части развертывания будут предоставлены различные рекомендации по настройке и передовой практике.Наконец, в разделе , управляйте , мы узнаем, как управлять BYOD, управляемым Cisco ISE
.Определите свои требования BYOD
Если вы читаете этот документ, значит, вы уже решили разрешить пользователям вводить личные устройства или, возможно, изучаете возможность разрешения личных устройств. По общему мнению, BYOD увеличивает производительность пользователей, поскольку им не нужно предоставлять дополнительные устройства для доступа к внутренней сети. Прежде чем мы углубимся в подробности ISE BYOD, давайте обсудим, что такое BYOD.BYOD, как говорится в этом термине, предназначен для подключения персональных устройств к управляемой сети. Это достаточно простая концепция, но «соединяющая» часть может иметь множество значений для разных клиентов. Для некоторых это может означать просто подключение к гостевой сети для доступа к Интернету, для других это может означать предоставление доступа к внутренним ресурсам, а также к Интернету, а для других это может означать предоставление цифровых сертификатов и агента MDM, а также предоставление администратору сети некоторых контроль над устройствами, а также предоставление доступа к внутренним ресурсам, недоступным для гостевых пользователей.Как видите, у BYOD могут быть разные цели в зависимости от клиента. Однако, прежде чем разрешать личные устройства в сети, важно определить требования для доступа BYOD. Требования могут включать, кому будет разрешено вводить личные устройства и насколько технически подкованы пользователи, какой уровень доступа будет предоставлен BYOD, какие типы устройств будут разрешены для подключения, как вы собираетесь подключиться к конечной точке подключенных к сети устройств, чтобы обеспечить безопасную настройку конечных точек? Ниже приводится руководство по требованиям:
Кто должен иметь возможность приносить личные устройства и получать доступ к сети? Для сети пользовательского доступа, как правило, есть сотрудники-пользователи, подрядчики и гостевые пользователи.В типичных случаях использования BYOD, BYOD разрешен для пользователей-сотрудников и потенциально для пользователей-подрядчиков. Дальнейшее управление возможно путем разрешения BYOD для определенного набора пользователей на основе групп пользователей, если это необходимо. Когда пользователи приносят личные устройства, какова роль пользователей-администраторов? | Какие типы устройств разрешены в сети как часть BYOD? Это пользовательские устройства, на которых пользователь может интерактивно настраивать устройства, такие как ПК или мобильные устройства? Или это устройства без головы, где нет пользовательского интерфейса (UI), например устройства IoT? Поддерживает ли устройство 802.1X или только PSK? Являются ли эти устройства персональными или вы собираетесь рассматривать корпоративные устройства как BYOD? Также необходимо учитывать, сколько устройств можно будет привязать к одному пользователю. |
По сравнению с управляемыми устройствами, организации обычно не контролируют конечные точки BYOD. Из-за отсутствия контроля конечные точки BYOD не могут быть подтверждены на соответствие перед предоставлением доступа, тогда как управляемые устройства могут иметь определенные элементы, такие как защита от вредоносных программ, MDM, исправления и т. Д.Из-за отсутствия контроля администраторы могут ограничить конечные точки BYOD доступом только к Интернету или к определенному набору веб-приложений. Управление доступом может быть достигнуто путем назначения различных разрешений в форме ACL, VLAN или SGT. | В зависимости от требований клиента, BYOD может быть простым, поскольку позволяет персональным конечным точкам подключаться к сети без автоматического процесса подключения. Предполагается, что конечный пользователь несет ответственность за настройку конечной точки для подключения и получения доступа к сети.Для многих организаций этот уровень BYOD может удовлетворить их требования. Однако преимущество потока ISE BYOD состоит в том, что ISE может помочь конечному пользователю подключить свои конечные точки, предоставив сертификат конечной точки, подписанный CA, а также настроить сетевой интерфейс и собственный соискатель ОС для использования предоставленного сертификата для доступа к сети. Другое преимущество ISE BYOD — это «порт для моих устройств», который позволяет конечным пользователям создавать / читать / обновлять / удалять (CRUD) на принадлежащих им конечных точках. |
Рекомендации по развертыванию решения
Как упоминалось ранее, существуют разные способы подключения конечных точек к сети.Один из способов — просто позволить пользователям подключать свои личные устройства к существующей гостевой или внутренней сети, где конечная точка просто получает доступ только к Интернету, или, в случае внутренней сети, конечная точка получит доступ на том же уровне, что и управляемые устройства. На другом конце спектра конечная точка подключена через поток ISE BYOD. Когда ISE BYOD подключает конечную точку, ISE может выдать сертификат, подписанный центром сертификации (CA), а также автоматически настроить параметры сети конечной точки для использования сертификата конечной точки, который был подписан для получения доступа к сети.В то же время ISE может пометить устройство как конечную точку BYOD, а также связать конечную точку с пользователем. Кроме того, конечный пользователь может войти в систему на портале ISE my devices для управления конечной точкой, которой он / она владеет, без необходимости участия ИТ-команды.
Когда дело доходит до ISE BYOD, существует два различных способа проектирования потоков взаимодействия с пользователем; Один SSID BYOD и Dual SSID BYOD поток. Если цель состоит в том, чтобы минимизировать количество SSID, нет отдельной гостевой WLAN или если гостевой доступ использует доступ к точке доступа (а не доступ к именованной гостевой учетной записи), то рекомендуется использовать BYOD с одним SSID, поскольку открытый SSID с использованием портала точки доступа не может быть одновременно используется для начального портала BYOD.При использовании BYOD с одним SSID конечная точка, связанная с защищенной WLAN, становится подключенной, а затем после того, как конечная точка автоматически повторно подключается, конечной точке предоставляется полный доступ к сети через ту же WLAN.
Если гостевой доступ использует одну из названных гостевых учетных записей, то этот же гостевой портал может использоваться для портала BYOD сотрудника. Этот поток называется BYOD Dual-SSID, где конечная точка связана с обеспечивающей WLAN, которая обычно используется совместно с гостевым доступом. Когда ISE подтверждает, что пользователь является пользователем-сотрудником, тогда ISE направит пользователя в поток BYOD, где конечная точка будет подключена.После предоставления настроек WLAN и, возможно, сертификата, подписанного CA, конечная точка повторно подключается к защищенной WLAN для полного доступа к сети.
Подключение конечной точки
При использовании ISE для BYOD существует несколько действий, которые конечная точка должна выполнить, включая запуск связи с надлежащим узлом ISE через портал BYOD, создание пар цифровых сертификатов, отправку запроса на подпись сертификата и настройку сетевого профиля. Некоторые операционные системы имеют встроенные средства для таких функций, в то время как другие требуют загрузки и временного запуска приложения для поддержки потока.Помимо мобильных устройств Apple (iOS), ISE использует Ассистент настройки сети (NSA или AKA Supplicant Provisioning Wizard (SPW)), чтобы упростить поток BYOD для пользователей. NSA — это приложение, которое загружается в конечную точку либо из самой ISE, либо из магазина приложений для каждого из типов конечных точек. NSA помогает пользователю сгенерировать пару сертификатов, установить подписанный сертификат и настроить параметры сети и прокси на конечной точке.
ОС Windows и macOS
Для Windows и macOS NSA находится в самом ISE PSN.Когда конечная точка проходит процесс адаптации, ISE инструктирует пользователя загрузить и установить NSA, которое, в свою очередь, направляет пользователя через процесс BYOD. Поскольку на рынке представлены более новые версии Windows и macOS, пользователю с правами администратора потребуется периодически обновлять NSA на ISE, чтобы обеспечить поддержку более новой ОС.
Мобильные устройства Apple (iOS)
Принцип работы Apple iOS отличается от других ОС тем, что не требует приложения ISE NSA для потока BYOD.Скорее, ISE будет использовать существующие возможности iOS (Apple Over-the-air (OTA)) для создания пары ключей, установки подписанного сертификата и настройки параметров WiFi. Несмотря на то, что ISE использует OTA, iOS получает инструкции от ISE в виде профилей, которые устанавливаются на iOS. Поскольку нет приложений для загрузки, iOS можно установить без доступа к магазину приложений Apple.
устройств Android
Для устройств Android ISE принудительно установит NSA во время процесса подключения, если оно еще не установлено.АНБ помогает пользователю сгенерировать пару ключей, установить подписанный сертификат и настроить параметры WiFi. Поскольку устройства Android загружают приложения из магазина Google Play, временный ACL, назначенный во время процесса адаптации, необходимо изменить, чтобы разрешить такой доступ. Поскольку использование ACL на основе IP-адреса для разрешения доступа к магазину воспроизведения нецелесообразно, рекомендуется использовать DNS ACL на NAD для разрешения доступа. Это гарантирует, что доступ к магазину воспроизведения разрешен, даже если есть изменения IP для служб, связанных с доступом к магазину воспроизведения.Помимо разрешения доступа к игровому магазину, также рекомендуется направлять пользователей на предварительную загрузку NSA с помощью других средств, таких как сотовая сеть или другая WLAN, чтобы упростить процесс подключения, когда конечная точка подключена к сети.
Chromebook
BYOD на устройствах Chromebook отличается от других ОС. В отличие от других ОС, в которых не требуется предварительная регистрация конечных точек, устройства Chromebook необходимо зарегистрировать в Google-Suite, прежде чем они смогут пройти через поток ISE BYOD.Администратору G-Suite необходимо настроить политику Chromebook в G-Suite, чтобы принудительно установить расширение NSA для Chrome. Также администратору G-Suite необходимо настроить параметры Wi-Fi в консоли администратора Google. Это отличается от других ОС, где они получают сетевые настройки напрямую от ISE. Как и устройства Android, Chromebook требует, чтобы конечная точка имела доступ к ресурсам Google для работы BYOD. Временный ACL, назначенный во время процесса подключения, необходимо изменить, чтобы разрешить такой доступ.Поскольку использование ACL на основе IP-адреса для разрешения доступа к магазину воспроизведения нецелесообразно, рекомендуется использовать DNS ACL на NAD для разрешения доступа. Это гарантирует, что доступ к ресурсам G-Suite разрешен, даже если есть изменения IP для служб, связанных с доступом к игровому магазину
Неподдерживаемые конечные точки
Как отмечалось выше, ISE поддерживает Windows, macOS, iOS, Android и Chromebook для потока BYOD. Для других операционных систем глобальные настройки ISE можно переключать, чтобы определить, какой доступ будет предоставлен неподдерживаемым устройствам.Вы можете указать, какой уровень доступа будет предоставлен в случае неподдерживаемых устройств, с помощью политики или безоговорочно предоставить доступ к сети. Другой вариант — вручную встроить устройства, выпуская сертификаты с портала сертификатов и разрешив сетевым настройкам подключаться к сети. Вы можете дополнительно защитить сеть, заставив конечные точки регистрироваться в ISE с помощью портала моих устройств. Наконец, если используется поток BYOD с двумя SSID, вы можете предоставить возможность разрешить доступ к Интернету только в том случае, если пользователь решит не проходить поток BYOD.
Ниже приведены характеристики различных конечных точек, проходящих через поток ISE BYOD:
| Конечная точка | Характеристики |
| MS Windows | NSA, расположенное на узле ISE PSN Последнюю версию NSA можно загрузить в ISE из графического интерфейса пользователя ISE Может использовать сертификат ECC (Windows 8+) В рамках процесса адаптации можно настроить следующие параметры: — Беспроводной и проводной интерфейс — Настройки веб-прокси Можно настроить пользователя, машину или и то, и другое для идентификации |
| Apple macOS | NSA, расположенное на узле ISE PSN Последнюю версию NSA можно загрузить в ISE из графического интерфейса пользователя ISE Также поддерживает EAP-FAST В рамках процесса адаптации можно настроить следующие параметры: — Беспроводной и проводной интерфейс — Настройки веб-прокси |
| Apple iOS | Использовать собственные возможности iOS (по воздуху (OTA)) вместо NSA С iOS 11+ и самозаверяющий сертификат удостоверения используется для графического интерфейса администратора ISE, тогда сертификат удостоверения ISE должен быть явно доверен, прежде чем поток BYOD сможет завершить Также поддерживает EAP-FAST Параметры веб-прокси можно настроить вместе с профилем беспроводной сети Более новая версия iOS может не работать, если домен верхнего уровня (TLD) FQDN не является допустимым, например.местный. |
| Google Android | NSA находится в магазине Google Play Необходимо предварительно загрузить NSA, или Play Store должен быть доступен во время потока BYOD Может использовать сертификат ECC (Android 4.4+) |
| Google Chromebook | NSA находится в расширении G-Suite для Chrome. Chromebook требует управления устройствами Политика приложения G-Suite должна быть настроена для принудительной предварительной установки расширения NSA |
| Прочие ОС | В случае потока с двумя SSID портал BYOD может быть настроен так, чтобы разрешить гостевой доступ, если сотрудник не хочет проходить поток BYOD Политика ISE может использоваться для разрешения устройств на основе профилирования Глобальные настройки могут быть настроены для безоговорочного доступа к сети My Devices Portal можно использовать для разрешения конечных точек без 802.1X возможность подключения Портал подготовки сертификатов может использоваться для выдачи сертификатов для дополнительной безопасности, однако настройка сетевых параметров конечной точки для использования сертификата выполняется вручную |
Пароль против цифрового сертификата
Хотя ISE поддерживает различные типы EAP для аутентификации 802.1X, с ISE BYOD можно использовать три типа EAP; EAP-TLS, EAP-PEAP-MSCHAPv2 и EAP-FAST. С EAP-TLS ISE идентифицирует себя, предоставляя сертификат EAP Identity конечной точке, после того как сертификат идентичности ISE подтвержден конечной точкой, конечная точка предоставит свой собственный сертификат идентификации конечной точки, который ранее был подписан ISE.Как только ISE подтверждает свою действительность, конечная точка авторизуется в сети. С EAP-PEAP-MSCHAPv2 ISE идентифицирует себя, предоставляя сертификат EAP Identity для конечной точки, после того как сертификат идентичности ISE подтвержден конечной точкой, конечная точка предоставляет комбинацию имени пользователя и пароля, которую ISE может аутентифицировать. Как только ISE проверяет пользователя, конечная точка авторизуется в сети. В обоих типах EAP первый ISE предоставляет конечной точке свой собственный сертификат, и основное различие заключается в том, предоставляет ли конечная точка цифровой сертификат или имя пользователя / пароль.ISE поддерживает оба идентификатора конечных точек, но рекомендуется использовать сертификаты конечных точек для лучшей безопасности и управляемости.
| Пароль (EAP-PEAP-MSCHAPv2 и EAP-FAST) | Цифровой сертификат (EAP-TLS) | |
| Плюсы | Простота использования | Сертификаты обычно действительны дольше, чем пароли. Добавлена безопасность, поскольку сертификат предназначен только для BYOD СертификатыISE BYOD привязаны к MAC-адресу конечной точки |
| Минусы | Обычно пароли необходимо менять каждые X дней.Когда пароль был изменен, пользователь должен вручную изменить его на всех конечных точках в короткие периоды времени, чтобы избежать проблем с подключением. | Возможно, потребуется рассмотреть возможность интеграции с корпоративной PKI для лучшего взаимодействия с пользователем BYOD |
Устройство доступа к сети
ISE BYOD поддерживается в беспроводных и проводных сетях независимо от производителя сетевого устройства. Однако в зависимости от набора функций, доступного в NAD, развертывание может быть проще для устройств, поддерживающих стандартные функции.Например, Cisco WLC поддерживает перенаправление URL-адресов на основе стандартов CoA и RADIUS, а также списки контроля доступа DNS, что упрощает развертывание ISE BYOD. Кроме того, Cisco WLC поддерживается Мастером безопасного доступа ISE, где ISE может настраивать политики WLC и ISE для пользовательских случаев BYOD. В случае других сетевых устройств, которым не хватает определенных функций, ISE все еще может поддерживать поток BYOD, используя поддержку NAD 3 rd сторонних производителей. ISE можно настроить для использования возможностей WebAuth, встроенных в NAD 3 rd для BYOD.А для коммутаторов, в которых отсутствуют CoA и WebAuth, ISE можно настроить для обеспечения перенаправления с использованием DNS Sink-holing. Обратите внимание, что хотя ISE поддерживает коммутаторы Cisco и 3 сторонних NAD для BYOD, этот документ будет сосредоточен на развертывании BYOD только на платформе Cisco WLC. В следующей таблице описывается необходимая функция NAD, и в случае 3 rd сторонних устройств, в которых эта функция отсутствует, как сторонняя функция NAD ISE 3 rd может поддерживать сетевые устройства.
| NAD Элемент | Описание | ISE 3 rd party NAD Feature |
| URL-перенаправление | Это позволяет перенаправлять конечные точки на веб-портал, когда пользователь открывает браузер на конечной точке.Это важно для ISE BYOD, поскольку ISE необходимо взаимодействовать с конечным пользователем, чтобы провести через процесс. URL-Redirect состоит из двух основных компонентов. Первый — это ACL, который определяет, какой трафик будет разрешен без перенаправления, а второй — это URL-адрес, на который будет направлен веб-трафик, когда трафик запрещен. Кроме того, существует два различных способа выполнения перенаправления URL: — Dynamic URL-Redirect: когда конечная точка аутентифицируется через RADIUS, ISE может отправить обратно имя ACL и URL-адрес назначения как часть ответа RADIUS.Большинство устройств Cisco и ограниченное количество 3 сторонних NAD поддерживают этот метод — Статическое перенаправление URL: адрес назначения URL и ACL предварительно определены в NAD как статическая конфигурация. Это распространенный метод URL-Redirect в большинстве 3 сторон NAD | В случае NAD без функции URL-Redirect, ISE может быть настроен для обеспечения URL-Redirect с использованием DNS-Sinkholing. С DNS-Sinkholing любые места назначения веб-запросов переписываются с IP-адресом ISE, где ISE может предоставить веб-портал |
| CoA | Изменение авторизации необходимо для BYOD, поскольку оно предоставляет способы перехода от ограниченного доступа во время предварительной адаптации к полному доступу после ее завершения.У ISE есть два разных способа предоставления CoA: — CoA на основе RADIUS: использует RADIUS для связи между ISE и NAD — CoA на основе SNMP: для некоторых 3 rd сторонних NAD, которые не поддерживают CoA на основе RADIUS, ISE может использовать SNMP для изменения доступа. Это делается ISE, выдающим команду записи SNMP к NAD для интерфейса, чтобы выключить интерфейс и немедленно вернуть его в рабочее состояние. Когда интерфейс восстановлен, ISE может назначать различные разрешения для интерфейса . | ISE SNMP CoA по-прежнему требует, чтобы MAB был настроен и функционировал на интерфейсе. |
| ACL на основе DNS | Для Google Android и Chromebook требуется доступ к NSA, которое находится в облаке. NSA может быть предустановлено, но если требуется загрузить NSA во время процесса адаптации, необходимо изменить ACL, чтобы разрешить доступ к облачным ресурсам. Cisco WLC под управлением версии 7.6 (8.2 и выше поддерживает до 20 записей DNS на каждый ACL, тогда как более старые версии поддерживают 10 записей) и выше имеет функцию создания ACL на основе FQDN | .Некоторые 3 rd NDA поддерживают списки ACL на основе DNS, для других без этой функции можно использовать ISE DNS-Sinkholing для обеспечения этой функции. |
Цифровые сертификаты
ISE полагается на цифровые сертификаты для различных аспектов решения. Как отмечалось выше, ISE использует сертификаты для идентификации себя конечным точкам для EAP, но также использует сертификаты для идентификации себя для веб-порталов. В некоторых случаях сертификат идентичности EAP и сертификат веб-портала могут отличаться, но во многих случаях для экономии затрат на управление может использоваться один и тот же сертификат. Это особенно верно, когда сертификат подписан известным центром сертификации (CA).
Одним из основных преимуществ ISE BYOD является то, что ISE может предоставлять подписанный сертификат для конечных точек как часть потока BYOD. Для сертификатов конечных точек ISE может использовать внутренний CA для выдачи подписанных сертификатов. ISE уже поддерживает внутреннюю PKI, которая может быть интегрирована с существующей инфраструктурой PKI клиента, а также предоставляет веб-портал для управления сертификатами конечных точек. Вот характеристики ISE Internal CA:
— Обычно используется для BYOD
— Может также использоваться для других целей, например для защиты связи pxGrid
— Полное управление жизненным циклом сертификата, включая несколько шаблонов, истечение срока действия, отзыв (OCSP)
— Поддерживает срок действия до 10 лет для сертификатов конечных точек
— поддерживает до 1 миллиона сертификатов
Интеграция с MDM / EMM
ISE может использовать MDM / EMM для проверки состояния мобильных конечных точек перед предоставлением полного доступа к сети.Сама ISE не предоставляет встроенных возможностей MDM / EMM, таких как проверка блокировки пин-кода, шифрования, статуса взломанной тюрьмы, но когда конечные точки подключаются к сети, ISE может ссылаться на систему MDM / EMM, чтобы проверить, соответствует ли конечная точка. Если совместимый ISE может обеспечить полный доступ к сети, однако, если конечная точка не зарегистрирована в MDM / EMM или не соответствует требованиям, ISE может направить конечного пользователя для решения проблемы без необходимости привлечения ИТ-специалистов.
Когда портал «Мои устройства» используется вместе с MSM / EMM, портал позволяет конечному пользователю выполнять команды MDM / EMM, такие как удаленная блокировка, удаленная очистка, корпоративная очистка и т. Д.
Кроме того, если конечные точки управляются через MDM / EMM, некоторые поставщики MDM / EMM могут выдавать сертификаты, а также настраивать параметры сети без необходимости использования ISE BYOD. При использовании MDM / EMM для предоставления сертификатов и конфигурации сети ISE можно настроить на доверие к подписанному MDM / EMM сертификату конечной точки для лучшего взаимодействия с пользователем. Ниже приведен пример атрибутов MDM, которые ISE может искать конечную точку во время авторизации:
| Атрибут MDM | Описание |
| дней с момента последней проверки | Сколько дней прошло с последней проверки MDM для конкретной конечной точки |
| Статус соответствия устройства | Атрибут подтверждает, что статус жалобы подтвержден сервером MDM для конкретной конечной точки |
| DeviceRegisterStatus | Конечная точка известна серверу MDM и ранее была зарегистрирована |
| DiskEncryptionStatus | Шифрование диска не включено на конечной точке |
| IMEI | Значение IMEI.Соответствие на основе значения IMEI конечной точки из ответа сервера MDM |
| JailBrokenStatus | Соответствие статусу конечной точки JailBroken на основе ответа сервера MDM |
| Производитель | Название производителя. Соответствие на основе имени производителя мобильного устройства из ответа сервера MDM |
| MDMFailureReason | Значение FailureReason |
| MDMServerName | Соответствие на основе MDMServerName из атрибутов конечной точки |
| MDMServerReachable | Соответствует статусу доступности сервера MDM |
| MEID | Значение MEID.Соответствие на основе значения идентификатора мобильного оборудования конечной точки (MEID) из ответа сервера MDM |
| Модель | Стоимость модели. Соответствие на основе модели мобильного устройства из ответа сервера MDM |
| OsVersion | Значение OsVersion. Соответствие на основе версии ОС мобильного устройства из ответа сервера MDM |
| Телефон | Значение телефонного номера. Соответствие по номеру мобильного устройства |
| PinLockStatus | Pinlock отключен на конечной точке |
| Серийный номер | Значение SerialNumber.Соответствие на основе серийного номера мобильного устройства из ответа сервера MDM |
| ServerType | Сервер, на котором зарегистрирована конечная точка, относится к типу Desktop Device Manager (например, Microsoft System Center) или типу Mobile Device Manager (обычный сервер MDM) |
| UDID | Значение UDID. Соответствие на основе уникального идентификатора устройства (только для Apple) |
| UserNotified | Пользователь ранее не был уведомлен о необходимости регистрации устройства (специальная проверка Desktop Device Manager) |
Обратите внимание, что в этом документе не рассматривается интеграция ISE с MDM / EMM.
Сравнение одиночного SSID и двойного потока
Как отмечалось ранее, существует два потока BYOD. Здесь мы сравним два потока BYOD. Сначала давайте посмотрим на поток Single SSID:
Как следует из названия, для подключения используется только один SSID, защищенный 802.1X. Пользователь сначала подключается с использованием имени пользователя / пароля и регистрируется, а затем может получить подписанный сертификат конечной точки, выданный конечной точке, который используется для повторного подключения к тому же SSID и получает повышенный доступ.
Теперь давайте посмотрим на поток с двумя SSID:
В случае потока с двумя SSID, пользователь сначала запускает один SSID, который может использоваться совместно с гостевым доступом. Но после подключения конечная точка повторно подключается к защищенному SSID, чтобы получить повышенный доступ. Первоначальный SSID может быть защищен через WPA-PSK, если WLC поддерживает WPA-PSK и ISE-NAC (RADIUS-NAC в одной и той же WLAN).
Обратите внимание, что когда гостевой портал используется для потока BYOD, все пользователи-сотрудники будут проходить через тот же портал BYOD, поскольку портал BYOD привязан к гостевому порталу.Вместо использования портала BYOD, который привязан к гостевому порталу, как показано выше, можно использовать несколько порталов BYOD в зависимости от условия авторизации. Этот поток позволяет, например, различным группам пользователей иметь разные порталы BYOD, а также позволяет каждой группе регистрировать устройства в разных группах конечных точек.
Обратите внимание, что в любом потоке после подключения устройств нет никакой разницы в терминах доступа к защищенной сети. Вот плюсы и минусы различных потоков BYOD:
| Одиночный SSID | Двойной SSID | Двойной SSID с дифференцированным порталом BYOD | |
| Плюсы | Пользовательский интерфейс лучше для пользователей iOS, поскольку переключение SSID с OPEN на SECURED не требует вмешательства пользователя. Это уникальная возможность ISE, где решение конкурента заставляет пользователя входить в систему дважды, в то время как ISE может получать информацию о пользователе из 802.Сеанс 1X без запроса пользователя на повторный вход на веб-портал . Может предоставлять другой портал BYOD в зависимости от условий авторизации. Портал BYOD может быть привязан к другой группе конечных точек для регистрации. | Некоторые организации предпочитают иметь выделенный SSID для бортовых устройств. Может предоставлять пользователю видимые инструкции по процессу BYOD перед входом в систему Повышенная безопасность: пользователь может подтвердить, что сервер BYOD является законным, поскольку пользователю не предлагается вручную доверять сертификату EAP ID Store — LDAP и не может начать с PEAP с MSCHAPv2 в настоящее время в хранилище LDAP Проводное развертывание, при котором нельзя предполагать, что у клиента уже есть 802.1X включен на проводном интерфейсе Может быть настроен для использования защищенного SSID, который не транслируется В случае потока с двумя SSID портал BYOD может быть настроен для разрешения гостевого доступа, если сотрудник не хочет проходить поток BYOD | Некоторые организации предпочитают иметь выделенный SSID для бортовых устройств. Может предоставлять пользователю видимые инструкции по процессу BYOD перед входом в систему Повышенная безопасность: пользователь может подтвердить, что сервер BYOD является законным, поскольку пользователю не предлагается вручную доверять сертификату EAP ID Store — LDAP и не может начать с PEAP с MSCHAPv2 в настоящее время в хранилище LDAP Проводное развертывание, при котором нельзя предполагать, что у клиента уже есть 802.1X включен на проводном интерфейсе Может быть настроен на использование защищенного SSID, который не транслирует Может предоставлять другой портал BYOD в зависимости от условия авторизации. Портал BYOD можно привязать к разным группам конечных точек для регистрации. |
| Минусы | Необходимо включить настройку быстрого изменения SSID на WLC для поддержки устройств iOS Когда конечные пользователи подключаются к SSID в первый раз, нет простого способа проверить, получен ли сертификат, предоставленный сервером, из надежного источника | Другие считают двойной SSID дополнительным бременем для управления. Второй SSID увеличивает нагрузку на канал и может снизить производительность беспроводной сети. Требует, чтобы пользователи iOS вручную переключили SSID. ACL предварительной аутентификации совместно используется гостями и пользователями | Другие считают двойной SSID дополнительным бременем для управления. Второй SSID увеличивает нагрузку на канал и может снизить производительность беспроводной сети. Требует, чтобы пользователи iOS вручную переключили SSID. В некоторых клиентских ОС могут возникать проблемы с несколькими перенаправлениями |
PKI и ISE Внутренний CA
Хотя выпуск подписанных сертификатов на конечные точки для BYOD является необязательным, многие клиенты рассмотрят возможность выдачи сертификатов конечным точкам, поскольку это обеспечивает лучшую безопасность и удобство для пользователей при последующих подключениях.Когда установлен ISE, внутренний CA устанавливается и включается по умолчанию. Вот характеристики внутреннего CA ISE.
— Основной узел администратора является корневым CA
— И первичный, и вторичный административный узел также является суб-центром сертификации корня, называемого Node_CA. Этот добавленный уровень иерархии позволяет использовать единую корневую иерархию, которая упрощает развертывание, когда добавляются новые PSN, когда основной узел не является активным узлом администратора
— PSN запускает как CA, RA, так и ответчик OCSP
Когда ISE установлен, первый узел станет Root_CA.Тогда каждый узел администратора, включая первый узел, станет подчиненным ЦС иерархии под названием Node_CA. Этот добавленный уровень иерархии CA был сделан, чтобы гарантировать, что центр сертификации ISE BYOD настроен с одним корнем. Это значительно упрощает развертывание, поскольку позволяет добавлять PSN позже, независимо от того, какой узел администратора активен во время добавления PSN. На приведенной ниже диаграмме, даже несмотря на то, что PSN3 был добавлен в то время, когда был активен S-PAN (вторичный PAN), иерархия сертификатов по-прежнему поддерживается вплоть до корневого CA.Это позволяет другим PSN доверять сертификатам, созданным PSN3, без дополнительной работы.
Также обратите внимание, что все узлы запускают службы RA и CA вместе с OCSP. И центр регистрации (RA), и центр сертификации (CA) необходимы ISE для проверки запросов и выдачи сертификатов конечным точкам. Наличие обеих служб на каждом узле гарантирует, что сертификаты могут выдаваться автономно каждым PSN. Кроме того, служба Online Certificate Status Protocol (OCSP) подтверждает, действителен ли сертификат, а наличие службы OCSP локально на узле PSN гарантирует, что все аспекты работы BYOD могут быть покрыты каждым PSN.Обратите внимание, что внутренний центр сертификации ISE не поддерживает CRL, поскольку OCSP доступен для проверки CRL.
Когда дело доходит до PKI, ISE можно развернуть в трех вариантах. Первые два используют функцию внутреннего CA и являются взаимоисключающими, в то время как последний вариант просто проксирует запросы подписи на сервер CA 3 rd и также может быть включен вместе с первым или вторым вариантом.
| Самоподписанный CA Это начальное состояние настройки ISE BYOD.Внутренний ЦС включен по умолчанию и готов выдавать сертификаты для конечных точек BYOD. Никаких дополнительных действий по настройке центра сертификации не требуется. Этот режим развертывания будет идеальным для PoC, пилотного проекта, или если заказчик намеревается разделить PKI для BYOD, вместо того, чтобы иметь унифицированный PKI для корпоративного использования и BYOD. С отдельной PKI проще назначать разные разрешения для конечных точек BYOD по сравнению с конечными точками предприятия. | |
| Подчиненный CA Внутренний CA ISE может быть интегрирован с существующей PKI клиента, такой как службы MS CA.В этом режиме ISE сможет подписывать сертификаты BYOD, которые распознаются другими объектами, которые уже доверяют существующему ЦС. Если это режим работы, который желателен, то рекомендуется добавить начальный узел ISE в качестве суб-CA существующей PKI перед добавлением вторичных узлов ISE к развертыванию. | |
| Прокси-сервер SCEP Это унаследованный режим работы, в котором ISE не использует свой внутренний CA, а ISE пересылает запрос на подпись сертификата внешнему CA.После подписания ISE передает сертификат конечной точке, которая использует его для идентификации. В этом режиме управление сертификатами может осуществляться только самим центром сертификации. Дополнительную информацию об этом режиме см. В следующем руководстве: https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine-software/116068-configure-product- 00.html |
В следующей таблице приведены 3 способа, которыми ISE может выдавать подписанные сертификаты конечной точке:
| SCEP для предприятия CA | Суб-ЦС предприятия PKI | ISE Самоподписанный CA | |
| Плюсы | Обеспечьте единую точку управления для всех сертификатов конечных точек; 3 rd сторонняя консоль CA, поскольку ISE просто проксирует все запросы подписи сертификата на 3 rd party CA | Внутренние сертификаты ISE необходимо перевыпустить, если они уже развернуты как распределенное развертывание | Самый простой способ развертывания.Конфигурация не требуется. ISE уже включен с самоподписанным ЦС для использования с конечными точками BYOD Если существует PKI, внутренний ЦС ISE обеспечивает различие между сертификатами, выданными ЦС предприятия для управляемых устройств, и BYOD |
| Минусы | Самый сложный режим развертывания Проверено только с помощью MS CA (требуется корпоративная лицензия MS для функции SCEP) Может потребоваться лицензионная плата с 3 сторонним CA для каждого подписанного сертификата конечной точки | Для каждого подписанного сертификата конечной точки может потребоваться лицензия на 3 сторонних центров сертификации. | Могут потребоваться дополнительные усилия, чтобы убедиться, что самозаверяющий CA пользуется доверием в сети. |
Ассистент подключения к сети
Apple CNA (Captive Network Assistant, AKA Apple mini browser) — это функция Apple iOS, которая позволяет открывать всплывающее окно, подобное окну браузера, всякий раз, когда требуется доступ к сети, и CNA определяет, что для получения полного доступа к сети требуется взаимодействие с пользователем. Обычно это происходит, когда пользователь подключается к открытой беспроводной локальной сети, и даже несмотря на то, что IP-адрес предоставляется устройству, сеть по-прежнему ограничивает пользователя для выполнения дальнейших действий, таких как принятие страницы допустимого использования (AUP), предоставление общего пароля , или войдя в систему как гость.Это улучшает взаимодействие с пользователем, поскольку избавляет пользователя от необходимости вручную открывать окно браузера Safari. Он также обеспечивает поддержку даже во время не начального подключения к WLAN. Например, если оконечное устройство переходит в спящий режим и сеанс прерывается на WLC, а затем пользователь пытается использовать приложение, не являющееся веб-браузером, которое требует подключения к сети, устройство iOS может определить, что устройство находится в адаптируемом портале. состояние и всплывающее окно мини-браузера, чтобы пользователь мог предпринять дальнейшие действия для получения доступа к сети.Как можно видеть, использование функции CNA iOS в гостевой сети — хорошая идея, однако, когда BYOD включен в той же WLAN, как в случае с потоком с двумя SSID ISE, CNA нарушает процесс ISE BYOD. Одна из причин этого заключается в том, что процесс ISE BYOD заставляет мини-браузер CNA переходить в фоновый режим, поскольку он просит конечного пользователя принять профили iOS, которые включают сертификат CA и пакет регистрации, и когда мини-браузер CNA перемещается в фоновом режиме он немедленно отключает устройство от WLAN, что, в свою очередь, нарушает процесс BYOD.
До ISE 2.2, ISE был настроен, чтобы предупреждать пользователя о том, что браузер не поддерживается, и у пользователя не было простого способа, кроме сообщения об этом сетевому администратору, и впоследствии администратор должен был включить Captive Bypass на WLC, который отключил всплывающее окно макет мини-браузера CNA на уровне контроллера. К сожалению, функция Captive bypass на WLC 8.3 и ниже требовала запуска для всего контроллера, что означало, что все WLAN, которые обслуживал контроллер, отключили яблочный CNA.Cisco ISE версии 2.2 — это первая версия, которая поддерживает поток BYOD с двумя SSID через Apple CNA. Вот ссылка на документ, в котором объясняется, как настроить ISE и Cisco WLC для обеспечения BYOD Dual-SSID, даже если функция обхода адаптивного портала отключена на WLC https://communities.cisco.com/docs/DOC-71398
Чтобы узнать о других вариантах работы с Apple CNA, перейдите к следующему документу: Работа с Apple CNA (AKA Mini browser) для ISE BYOD https://communities.cisco.com/docs/DOC-71469
DNS ACL
Для устройства Android и Chromebook ОС конечной точки требует доступа конечной точки к магазину Google Play и расширениям Chrome при прохождении процесса ISE BYOD.Это отличается от процесса BYOD для Apple iOS, macOS и Windows. Для Apple iOS ISE использует собственные возможности OTA для предоставления сертификатов и сетевых настроек, а для macOS и Windows ISE предоставляет помощника по настройке сети, который отправляется на конечную точку локально с узла ISE, который не требует доступа к конечной точке за пределами самого узла ISE.
Чтобы позволить устройствам Android и Chromebook загружать Помощник по настройке сети, самый простой способ загрузить NSA на конечную точку — это сделать это до прохождения потока BYOD.Это можно сделать по внеполосному каналу, уведомив пользователей о необходимости загрузить его из магазина воспроизведения при подключении к Интернету другими способами. Однако, если конечная точка, проходящая через BYOD, не имеет предварительно загруженного NSA, способ управления доступом к магазину Google Play и расширению Chrome — через функцию DNS ACL, доступную в Cisco WLC 7.6 и выше. Эта функция работает путем отслеживания DNS-запроса конечной точки от точки доступа и динамической вставки IP ACL для ответа DNS, который конечная точка получает от DNS-сервера.Помимо версии WLC, вот дополнительные примечания к этой функции:
- ACL добавляет в начало и конец подстановочный знак, что означает, что строковое значение .google.co будет соответствовать play.google.com, а также www.google.co.ca
- Не поддерживается в WLAN с автоматической привязкой
- WLC AireOS версии 8.2 и выше может поддерживать до 20 DNS ACE, в то время как предыдущие версии могут поддерживать до 10 DNS ACE
- WLC AireOS версии 8.7 и выше поддерживает DNS-ACL с FlexConnect ACL
- Не поддерживается в WLAN с автоматической привязкой
Чтобы понять конфигурацию, необходимую для работы ISE BYOD, этот раздел разбит на более мелкие части.
Во-первых, это часть установки, которая описывает шаги, необходимые для настройки WLC и общих глобальных параметров BYOD на ISE. Основная часть конфигурации будет в разделе «Политика». ISE использует несколько политик для управления потоками аутентификации и авторизации, а также для управления подключением конечных точек для BYOD. Таким образом, есть две основные политики, которые необходимо изменить: одна — это набор политик, который включает как аутентификацию, так и авторизацию, а другая политика — это политика клиентской подготовки, которая контролирует, какая ОС поддерживается для BYOD и как конечные точки будут подключены, а также как сертификаты будут подписаны.В следующей таблице показана разница между двумя политиками:
| Тип политики | Описание |
| Политика предоставления клиентам | Это политика для управления тем, какой профиль BYOD будет отправлен, в зависимости от типа конечной точки или группы пользователей. Профиль BYOD включает шаблон сертификата, имя SSID, настройки прокси-сервера и т. Д. |
| Политика аутентификации и авторизации | Это политика для управления тем, какой портал будет представлен пользователю, проходящему через поток BYOD.Он также определяет, как пользователь будет аутентифицироваться и какая сеть или SSID будет принудительно проходить через BYOD. Он также может контролировать, что делать в случае истечения срока действия сертификатов. |
Помимо политик, есть элементы, которые составляют политику, такие как шаблон сертификата и собственный профиль соискателя. Шаблон сертификата определяет способ подписания сертификата конечной точки, включая имя субъекта, размер ключа и продолжительность. NSP контролирует, какой шаблон сертификата использовать и как будут настроены параметры сети на конечной точке, включая имя SSID, тип EAP, настройки прокси-сервера и многое другое.
Наконец, есть два портала, которые конечный пользователь может использовать как часть ISE BYOD. Портал «Мои устройства» и портал предоставления сертификатов. В этом документе будет описано, где расположены настройки для этих двух порталов, и показано, как управлять доступом к порталам.
Следующая диаграмма показывает взаимосвязь между различными элементами и двумя политиками.
Настроить сетевое устройство
В этом разделе предполагается, что Cisco WLC и сеть уже настроены с базовыми настройками, включая IP-адрес управления, интерфейсы и DHCP.В этом разделе будет проходить настройка связи WLC / ISE с использованием RADIUS, относительных WLAN и ACL. Для полной конфигурации Cisco WLC для ISE используйте: https://communities.cisco.com/docs/DOC-68172
Включить функцию быстрой смены ssid (опционально)
Это необходимо для потока Dual-SSID для лучшего взаимодействия с пользователем. Включение этой функции позволяет беспроводным клиентам без задержки переходить с открытого SSID на защищенный. В потоке с двойным SSID, если переход от открытого к защищенному SSID продолжает давать сбой на конечной точке, проверьте следующее в настройках WLC:
- Получите доступ к графическому интерфейсу WLC и перейдите в Контроллер> Общие
- Включить быстрое изменение SSID
- Нажмите Применить и сохраните конфигурацию
Настроить ISE как сервер аутентификации и учета RADIUS
- Перейдите в раздел Безопасность> Аутентификация RADIUS
- Щелкните New… в правом верхнем углу, чтобы добавить новый сервер аутентификации RADIUS Настройки сервера аутентификации
- RADIUS перечислены в таблице ниже (используйте значение по умолчанию, если не указано)
Атрибут Значение или описание Индекс сервера (приоритет) {Доступное значение индекса} IP-адрес сервера {ISE PSN IP} Общий секретный формат ASCII Общий секрет {Общий ключ RADIUS} Номер порта 1812 Статус сервера Включено Поддержка RFC 3576 Включено (этот параметр включен CoA) Тайм-аут сервера 5 (рекомендуется использовать 5 секунд или больше) Пользователь сети Отключено (поскольку сервер RADIUS определен в разделе AAA беспроводной сети, его можно отключить глобально) Менеджмент Отключено - Нажмите Применить и сохранить конфигурацию.
- Щелкните Учет и Создать …, чтобы добавить серверы учета RADIUS. Настройки сервера учета
- RADIUS перечислены в таблице ниже (используйте значение по умолчанию, если не указано)
Атрибут Значение или описание Индекс сервера (приоритет) {Доступное значение индекса} IP-адрес сервера {ISE PSN IP} Общий секретный формат ASCII Общий секрет {Общий ключ RADIUS} Номер порта 1813 Статус сервера Включено Тайм-аут сервера 5 Пользователь сети Отключено - Нажмите Применить и сохранить конфигурацию (при наличии нескольких узлов ISE PSN добавьте аутентификацию RADIUS и учет для каждого PSN).
Создать ACL перенаправления
Одиночный ACL будет создан для перенаправления, которое применяется как к потоку с одним SSID, так и к потоку с двумя SSID.
- Перейдите в раздел Безопасность> Списки контроля доступа> Списки контроля доступа
- Нажмите «Создать» и создайте ACL «ACL_WEBAUTH_REDIRECT» со следующими параметрами.Имя ACL «ACL_WEBAUTH_REDIRECT» является именем ACL по умолчанию, на которое ссылается ISE, поэтому при использовании другого имени ACL на WLC не забудьте также изменить его в профиле авторизации ISE. Обратите внимание, что ACL WLC не имеет состояния, поэтому необходимо создать обратную сторону разрешенного ACE.
Примечание: Даже если явно не указано, DHCP и DNS разрешены до веб-аутентификации на WLC.Если вы хотите запретить доступ к DNS-серверам Интернета, можно добавить ACL, чтобы ограничить DNS определенными серверами. Также обратите внимание, что этот ACL работает с ISE 2.4, однако более старая версия ISE может потребовать открытия дополнительных TCP-портов.Действие IP-адрес источника / маска Цел. IP / маска Протокол Порт источника Порт назначения Направление Разрешение {ISE} / 255.255.255.255 0.0.0.0 / 0.0.0.0 TCP 8443 Любые Исходящий Разрешение 0.0.0.0 / 0.0.0.0 {ISE} /255.255.255.255 TCP Любые 8443 Входящий Разрешение {ISE} /255.255.255.255 0.0.0.0 / 0.0.0.0 TCP 8905 Любые Исходящий Разрешение 0.0,0.0 / 0.0.0.0 {ISE} /255.255.255.255 TCP Любые 8905 Входящий Разрешение
{ISE} /255.255.255.255 0.0.0.0 / 0.0.0.0 TCP 8084 Любые Исходящий Разрешение
0.0.0.0 / 0.0.0.0 {ISE} /255.255.255.255 TCP Любые 8084 Входящий - Нажмите «Назад» в правом верхнем углу.
- Щелкните стрелку вниз рядом с ACL и выберите «Добавить / удалить URL».
- Здесь введите следующие записи одну за другой
.google.co accounts.youtube.com gstatic.com .googleapis.com .appspot.com ggpht.com gvt1.com market.android.com android.pool.ntp.org .googleusercontent.com .google-analytics.com - Нажми назад
- Нажмите Применить
Создать черный список ACL
Будет создан единый ACL для портала Blacklist
- Перейдите в раздел Безопасность> Списки контроля доступа> Списки контроля доступа
- Нажмите «New» и создайте ACL «BLACKHOLE» со следующими параметрами.Имя ACL «BLACKHOLE» — это имя ACL по умолчанию, на которое ссылается ISE, поэтому при использовании другого имени ACL на WLC не забудьте также изменить его в профиле авторизации ISE. Обратите внимание, что ACL WLC не имеет состояния, поэтому необходимо создать обратную сторону разрешенного ACE. Обратите внимание, что этот ACL разрешает полный IP-доступ к узлу ISE, но может быть изменен для ограничения воздействия ISE от конечных пользователей.
прописать vs. прописать
В чем разница между прописать и прописать ?
Термины предписывают и запрещают часто путают из-за их сходства в написании, произношении и использовании.
При осторожном произношении прописать произносится / pr ɪ ˈskraɪb /, а proscribe произносится / pr oʊ ˈskraɪb /. Однако в повседневной речи первые гласные обоих слов обычно сокращаются до звука шва (/ ə /), что приводит к одинаковому произношению: / pr ə ˈskraɪb /.
Есть также некоторое совпадение в том, как эти термины используются в предложении, хотя их значения совершенно разные. Prescribe означает «установить или установить в качестве правила, закона, директивы или приказа» или (чаще всего в современном английском языке) «заказать лекарство или лечение или их использование. Запретить , с другой стороны, означает «осудить, осудить, запретить, запретить или объявить вне закона» или «изгнать или изгнать». Например:
- «Правительство предписывает условий, при которых государства могут формировать и обеспечивать соблюдение своих собственных законов».
- «Врач прописал экспериментальное лечение, чтобы помочь в борьбе с редким заболеванием».
- «Поведение и образ жизни, которые когда-то запрещались пуританскими обществами, теперь приняты как норма по всей стране.
- «Правительство запретило спорную группу после их плана демонстрации».
Еще более часто путают, чем эти два глагола, их прилагательные: предписывающий и предписывающий .
В чем разница между предписывающим и предписывающим ?
В то время как прописывать — довольно распространенный глагол из-за его использования в медицине, прилагательное предписывающее теряет эту ассоциацию и, в свою очередь, гораздо реже встречается в повседневной речи и письме.
Предписывающий означает «из или связанных с созданием правил, законов или указаний.В дискуссиях о лингвистике он описывает установление правил или норм того, как язык должен или не должен использоваться (по сравнению с тем, как язык фактически используется в обычной повседневной речи или письме).
В этом случае термин часто путают с прилагательным proscriptive , которое описывает человека или группу людей, которые что-то запрещают или осуждают. Поскольку предписывающих грамматиков советуют, что следует, а что не следует использовать в языке, они также могут считаться предписывающими , потому что они осуждают определенные вещи.
Разница может быть очень незначительной, но она может изменить структуру предложений, в которых встречаются слова. Например, рассмотрим следующие два предложения:
- « Prescriptive лингвисты по-прежнему утверждают, что , из которых следует использовать вместо , кто как объект глагола или предлога».
- « Правительственные лингвисты по-прежнему утверждают, что who не может использоваться вместо who как объект глагола или предлога.
Оба предложения по сути означают одно и то же, но их фокус слегка меняется в зависимости от того, какое прилагательное мы решаем использовать. Предложение, в котором используется предписывающий , фокусируется на том, что рекомендуется или установлено как правило, в то время как предложение, в котором используется предписывающий , фокусируется на том, что не разрешено.
Уловки и советы по правописанию
Может быть полезно вспомнить, что pro scribe и pro scriptive имеют дело с pro , что-то гибнет.Если вы говорите о правилах или законах об отправке до , то правильными терминами являются до писец или до сценарий .