anyweb practice circle: cisco ise verbindet aci und …€¦ · anyweb practice circle: cisco ise...
TRANSCRIPT
AnyWeb Practice Circle: Cisco ISE verbindet ACI und SDA
Wim van MoorselFabian AeppliMaria KocebaEdi Layritz
AnyWeb AGPractice Circle Oktober 2017Page 2
ISE
End-to-End
Campus Data Center
Security / PolicyScalability
AnyWeb AGPractice Circle Oktober 2017Page 3
Präsentationen
Die Präsentationen stehen nach der Veranstaltung auf der AnyWeb Homepage zum Download bereit: https://www.anyweb.ch/events/
AnyWeb AGPractice Circle Oktober 2017Page 4
Begrüssung und Einführung 13:30 Use case: Segmentierung und Zonierung 13:45 Labor Aufbau: End-zu-End Segmentierung 14:00 DNA/SDA Einstieg 14:30 Kurze Pause 14:45 Einführung DNA Center mit Demo 15:00 ACI vergleichbar mit SDA 15:30 End-zu-End Geschichte mit DNA 15:45 DNA Readiness (Migration) 16:00 Networking und Apéro 16:15
– Austausch mit den Spezialisten
Agenda Practice Circle, 30. Oktober 2017
WvM1
Setup
End-2-End Segmentierungmit Cisco TrustSecMaria Koceba
AnyWeb AGPractice Circle Oktober 2017Page 6
Authentisierte Netzwerkinfrastruktur Rollenbasierte Zugriffskontrolle Sichere Kommunikation mit L2 Encryption
Cisco TrustSec
AnyWeb AGPractice Circle Oktober 2017Page 7
Rollenbasierte Zugriffskontrolle
- statisch- dynamisch
- Inline tagging- SXP
- Group Based Policies ACLs - Firewall Rules
- Die Lösung ist Netzwerktopologie unabhängig- basiert auf Security Group Tags – einer Software
definierten Segmentierung (SDN)
AnyWeb AGPractice Circle Oktober 2017Page 8
Labor Aufbau
1. Anbindung Switch – ISE (mit IBNS 2.0)2. Anbindung ISE – ACI3. Aufbau von TrustSec Domain4. Klassifizierung
ISE
SGT #1
AnyWeb AGPractice Circle Oktober 2017Page 9
1. Anbindung Switch - ISE- Switch in ISE erfassen- RADIUS Konfiguration
auf dem SwitchISE
AnyWeb AGPractice Circle Oktober 2017Page 10
2. Anbindung ISE - ACI
- Server Zertifikat von ACI in die ISE importieren
- Nur ein Tenant ist momentan möglich!
ISE
AnyWeb AGPractice Circle Oktober 2017Page 11
2. Anbindung ISE - ACI
ISE
AnyWeb AGPractice Circle Oktober 2017Page 12
3. Aufbau von TrustSec DomainISE
- Ermöglicht Download von Environment Data (SG, SGACLs) von ISE
- Die AAA Konfiguration des Seed Devices unterscheidet sich von Non-Seed Devices
AnyWeb AGPractice Circle Oktober 2017Page 13
Klassifizierungsmethoden
AnyWeb AGPractice Circle Oktober 2017Page 14
AuthN/AuthZ Policy
RADIUS (permit access + VLAN ID)
TrustSec (Tag)
Switchport Konfiguration mit dem IBNS 2.0
ISE
AnyWeb AGPractice Circle Oktober 2017Page 15
AuthN/AuthZ Results ISE
AnyWeb AGPractice Circle Oktober 2017Page 16
Propagation – inline tagging
- Vorteile:- Gute Skalierbarkeit- SGT Information bleibt
im Data Paket
- Zu beachten:- Einfluss auf L2 Frame
(MTU Grösse) - Es muss durch
Hardware unterstützt werden
AnyWeb AGPractice Circle Oktober 2017Page 17
Propagation – SXP (SGT eXchange Protokoll)
- Vorteile:- Einfach
implementierbar- Keine Hardware
Abhängigkeit
- Nachteile:- Eine Tabelle mehr…- Skaliert nicht so gut
FirepowerNGFW
SXP
pxGrid
SXP IP‐SGT Binding TableIP Address SGT SRC
10.1.100.98 50 Local
ISE
Ecosystem vendor products
www
WSARouter 2
Router 3Router 1
Switch 1ANY network device
ISE supports (e.g. 3rd party)_
ISE generiert IP‐SGT Zuweisung
Die IP‐SGT Informationenwerden zu pxGrid und SXP peers geschickt
AnyWeb AGPractice Circle Oktober 2017Page 18
Propagation – SXP (SGT eXchange Protokoll)
- ISE erfährt IP zu SGT Zuweisung (von Switch) in AAA AccoutingPaket
- IP zu SGT Informationen werden dann mittels SXP zu ACI weitergegeben.
ISE
AnyWeb AGPractice Circle Oktober 2017Page 19
Propagation – SXP (SGT eXchange Protokoll)
ISE
AnyWeb AGPractice Circle Oktober 2017Page 20
Enforcment auf ACI
- ACI default Verhalten: gibt es kein Contractzwischen zwei EPGs –wird der Verkehr geblockt.
Contract ACL
AnyWeb AGPractice Circle Oktober 2017Page 21
Enforcment auf dem Switch
- Default Verhalten: gibt es keine Policyzwischen zwei SG – wird der Verkehr zugelassen.
ISE
- Enforcment auf dem Switch muss noch ausdrücklich erlaubt werden
AnyWeb AGPractice Circle Oktober 2017Page 22
Enforcment auf dem Switch
- Aufgrund vom Tag und nicht von IP Adresse!
ISE
AnyWeb AGPractice Circle Oktober 2017Page 23
Zentral definierte Policy(auf dem ISE) mit dezentralen Forcierung
Komplexe Policies sind einfach zum Umsetzen
Flexibilität beim Erstellen neuen Client Gruppen
Aber immer noch relativ viel initiale (manuelle) Konfiguration auf den Switches
Vorteile von Cisco TrustSec
AnyWeb AGPractice Circle Oktober 2017Page 24
Wie geht es weiter???
… cool … aber geht’s auch einfacher?
Cisco DNA / SDA
Edi Layritz
AnyWeb AGPractice Circle Oktober 2017Page 26
Weniger tippen Gleiche Konfiguration auf allen Client Switchen Hohe Sicherheit
– End to End Policies– Sicherer Zugang zum Netz– Segmentierung / Zonierung
Gleiche IOS Version auf allen Switchen …
Was möchten wir?
Automatisierung kann uns helfen
AnyWeb AGPractice Circle Oktober 2017Page 27
DNA / SDA
Isches no wiit? Nei, neiiii
AnyWeb AGPractice Circle Oktober 2017Page 28
DNA ist nicht Desoxyribonukleinsäure ;-)
DNA / SDA - Begriffe
AnyWeb AGPractice Circle Oktober 2017Page 29
DNA – Digital Network Architecture
DNA / SDA - Begriffe
Eine Architektur:
AnyWeb AGPractice Circle Oktober 2017Page 30
SDA – Software Defined Access
DNA / SDA - Begriffe
Die Umsetzung:
BB
APIC-EM1.X
CampusFabric
ISE NDP
Automation
ISEAssurance
(NPD)
DNA Center
C
AnyWeb AGPractice Circle Oktober 2017Page 31
Ein homogenes Netz– Access - Control– Segmentierung– Policy Enforcement– Insights & Telemetrie – Ende November 2017
Automatisierung beim Ausrollen Einfacher Betrieb
Was bietet DNA?
AnyWeb AGPractice Circle Oktober 2017Page 32
It’s a journey
AnyWeb AGPractice Circle Oktober 2017Page 33
SDA – Campus Fabric
BB
APIC-EM1.X
CampusFabric
ISE NDP
Automation
ISEAssurance
(NPD)
DNA Center
C
BB
CampusFabric
C
AnyWeb AGPractice Circle Oktober 2017Page 34
SDA – Campus Fabric
BB
CampusFabric
C
Campus FabricAPIC-EM
1.X
ISE NDP
Automation
ISEAssurance
(NPD)
DNA Center
AnyWeb AGPractice Circle Oktober 2017Page 35
SDA – Campus Fabric
Die Fabric bildet ein Overlay Netz
AnyWeb AGPractice Circle Oktober 2017Page 36
Ein Overlay Netz bildet eine virtuelle Topologie um Geräte miteinander zu verbinden
Beispiele: MPLS VPN, DMVPN, CAPWAP
Campus Fabric verwendet LISP– Dies ermöglicht die fixe Zugehörigkeit von IP Adressen und
Standort (L3-Device) Einfacher Betrieb IP Mobility
– LISP – Locator ID Separation Protocol
Zur Enkapsulierung wird VXLAN mit SGT verwendet Jedes Packet wird mit der Gruppenzugehörigkeit
des Absender markiert
Layer 3 bis in den Access
SDA – Campus Fabric
AnyWeb AGPractice Circle Oktober 2017Page 37
SDA – Campus Fabric
AnyWeb AGPractice Circle Oktober 2017Page 38
SDA – Campus Fabric
APIC-EM1.X
ISE NDP
Automation
ISEAssurance
(NPD)
DNA Center
B
CampusFabric
C
B
CampusFabric
Edge Node– Hier werden die Endgeräte
angeschlossen
Border Node– Stellt den Übergang zum
restlichen Netz, dem DC und dem Internet sicher
Control Node– Führt Buch darüber wo
sich eine IP Adresse befindet
BB
C
BB
C
AnyWeb AGPractice Circle Oktober 2017Page 39
SDA – DNAC
APIC-EM1.X
ISE NDP
Automation
ISEAssurance
(NPD)
DNA Center
B
CampusFabric
C
B
CampusFabric
Campus Fabric DNA-Center
C
BB
AnyWeb AGPractice Circle Oktober 2017Page 40
SDA – DNAC
AnyWeb AGPractice Circle Oktober 2017Page 41
SDA – ISE
ISE NDP
Automation
ISEAssurance
(NPD)
DNA Center
B
CampusFabric
C
B
CampusFabric
Campus Fabric DNA-Center ISE
C
BB
AnyWeb AGPractice Circle Oktober 2017Page 42
SDA – ISE
AnyWeb AGPractice Circle Oktober 2017Page 43
It’s a journey
AnyWeb AGPractice Circle Oktober 2017Page 44
SDA - Hardware
APIC-EM1.X
ISE NDP
Automation
ISEAssurance
(NPD)
DNA Center
B
CampusFabric
C
B
CampusFabric
Campus Fabric DNA-Center Hardware
C
BB
AnyWeb AGPractice Circle Oktober 2017Page 45
SDA - Hardware
CBB
Border Node Cat 9500 Cat 3850 Cat 6800 ASR 1000 ISR 4430/4450 Nexus 7700
– M3 Cards
Control Node Cat 9500 Cat 3850 Cat 6800 ASR 1000 ISR 4430/4450
Edge Node Cat 9300/9400 Cat 3650/3850 Cat 4500
Switches
WLC 3504 5520 8540
AnyWeb AGPractice Circle Oktober 2017Page 46
SDA - Hardware
Zum jetzigen Zeitpunkt nur als Appliance lieferbar
Gründe dafür nach Cisco– Braucht viel Leistung– Leistung ist so garantiert
DNA-Center
AnyWeb AGPractice Circle Oktober 2017Page 47
DNA Center
Yet to come
AnyWeb AGPractice Circle Oktober 2017Page 48
DNA CenterEinbindung vom DNA Center
AnyWeb AGPractice Circle Oktober 2017Page 49
DNA CenterDNA-Center lernt die SGT’s vom ISE oder dem AD
SGT: Scalable Groups, Scalable Group Tags
AnyWeb AGPractice Circle Oktober 2017Page 50
DNA CenterSDA@AnyWeb – Laboraufbau
AnyWeb AGPractice Circle Oktober 2017Page 51
DNA CenterAufbau eines SDA mit DNA Center
Vorbereitungen Manuel– Grundkonfiguration der Switches
Netzwerkeinstellungen DNAC
Einfache Policies DNAC
Komplexe Policies ISE
Restliche Konfiguration DNAC
AnyWeb AGPractice Circle Oktober 2017Page 52
DNA Center
AnyWeb AGPractice Circle Oktober 2017Page 53
DNA CenterDiscover | Topology | Design | Policy | Provision
AnyWeb AGPractice Circle Oktober 2017Page 54
DNA Center
AnyWeb AGPractice Circle Oktober 2017Page 55
DNA CenterDiscover | Topology | Design | Policy | Provision
AnyWeb AGPractice Circle Oktober 2017Page 56
DNA Center
AnyWeb AGPractice Circle Oktober 2017Page 57
DNA CenterDiscover | Topology | Design | Policy | Provision
Add Location | set common Network Params | Device Credentials | IP Pools
AnyWeb AGPractice Circle Oktober 2017Page 58
DNA CenterDiscover | Topology | Design | Policy | Provision
Add Location | set common Network Params | Device Credentials | IP Pools
AnyWeb AGPractice Circle Oktober 2017Page 59
DNA CenterDiscover | Topology | Design | Policy | Provision
Add Location | set common Network Params | Device Credentials | IP Pools
AnyWeb AGPractice Circle Oktober 2017Page 60
DNA CenterDiscover | Topology | Design | Policy | Provision
Add Location | set common Network Params | Device Credentials | IP Pools
AnyWeb AGPractice Circle Oktober 2017Page 61
DNA CenterDiscover | Topology | Design | Policy | Provision
Ein virtuelles Netzwerk (vrf) erstellen und Scalable Groups (VLAN) zufügen
Hinweis: Die eigentlichen Policies werden später erstellt
AnyWeb AGPractice Circle Oktober 2017Page 62
DNA CenterDiscover | Topology | Design | Policy | Provision
Assign Switch to Site | Add a Fabric | Assign Roles to Switches | onboard Hosts
AnyWeb AGPractice Circle Oktober 2017Page 63
DNA CenterDiscover | Topology | Design | Policy | Provision
Assign Switch to Site | Add a Fabric | Assign Roles to Switches | onboard Hosts
AnyWeb AGPractice Circle Oktober 2017Page 64
DNA CenterDiscover | Topology | Design | Policy | Provision
Assign Switch to Site | Add a Fabric | Assign Roles to Switches | onboard Hosts
AnyWeb AGPractice Circle Oktober 2017Page 65
DNA CenterDiscover | Topology | Design | Policy | Provision
Assign Switch to Site | Add a Fabric | Assign Roles to Switches | onboard Hosts
AnyWeb AGPractice Circle Oktober 2017Page 66
DNA CenterDiscover | Topology | Design | Policy | Provision
Assign Switch to Site | Add a Fabric | Assign Roles to Switches | onboard Hosts
Hier wird festgelegt, wie die Hosts der richtigen Gruppe zugewiesen werdenzur Auswahl stehen: Dynamisch Statisch
AnyWeb AGPractice Circle Oktober 2017Page 67
DNA CenterDiscover | Topology | Design | Policy | Provision
Assign Switch to Site | Add a Fabric | Assign Roles to Switches | onboard Hosts
Dynamische Zuweisung des VLAN basierend auf der Rolle
AnyWeb AGPractice Circle Oktober 2017Page 68
DNA CenterDiscover | Topology | Design | Policy | Provision
Assign Switch to Site | Add a Fabric | Assign Roles to Switches | onboard Hosts
Statische Zuweisung des VLAN zu einem Port
AnyWeb AGPractice Circle Oktober 2017Page 69
It’s a journey
So oder so?
AnyWeb AGPractice Circle Oktober 2017Page 70
DNA Center
Mit dem DNA-Center bauen wir ein Netzwerk auf
Einfach Klicken? Es werden:
– Adressen festgelegt– Segmentierungen und Zonen festgelegt– DHCP Server … bekanntgegeben– …
Ein Konzept ist wichtiger denn je!
AnyWeb AGPractice Circle Oktober 2017Page 71
DNA Center
Hands-on DNA-Center
AnyWeb AGPractice Circle Oktober 2017Page 72
DNA Center
Hands-on: Host Onbarding festlegenInterface Gi1/0/5 auf Switch Edge-1 statisch zuweisen
Aktueller Zustand: dynamischZiel: Port ist für einen Office Benutzer ohne Dot1x eingerichtet
AnyWeb AGPractice Circle Oktober 2017Page 73
DNA Center - Hands-on: Host Onbarding festlegen
Konfig auf Switch-Port vor der Änderung:
AnyWeb AGPractice Circle Oktober 2017Page 74
DNA Center - Hands-on: Host Onbarding festlegen
Port Gi 1/0/5 konfigurieren:
AnyWeb AGPractice Circle Oktober 2017Page 75
DNA Center - Hands-on: Host Onbarding festlegen
Port Gi 1/0/5 Änderungen speichern:
Port Gi 1/0/5 nach derÄnderung
AnyWeb AGPractice Circle Oktober 2017Page 76
It’s a journey
Isches no wiet? Nüd würkli
AnyWeb AGPractice Circle Oktober 2017Page 77
DNA Center
Hands-on: Policy erstellenBenutzer der Gruppe Office sollen PC’s der Gruppe NetMgtnicht erreichen können
Aktueller Zustand: Beide Gruppen sind im gleichen Virtuellen Netz, als im gleichen VRF. Verkehr zwischen diesen beiden Gruppen ist im SDA erlaubt
Ziel: Eine Policy die den Verkehr verhindert
AnyWeb AGPractice Circle Oktober 2017Page 78
DNA Center - Hands-on: Policy erstellen
Policy Dashboard
AnyWeb AGPractice Circle Oktober 2017Page 79
DNA Center - Hands-on: Policy erstellen
Add a Policy- Policy Name- Source- und Destination-gruppe bestimmen
AnyWeb AGPractice Circle Oktober 2017Page 80
DNA Center - Hands-on: Policy erstellen
Add a Policy- Deny Contract zufüge
AnyWeb AGPractice Circle Oktober 2017Page 81
DNA Center - Hands-on: Policy erstellen
Add a Policy- Policy speichern
Setup
End-2-End Segmentierungmit Cisco DNAMaria Koceba
AnyWeb AGPractice Circle Oktober 2017Page 83
Putting it together..
ISE
CISCO DNA CENTER
API
POLICY DOWNLOAD
Source Destination
Contract
FABRIC POLICIES
PERMITEmployees ProductionVersion
1.0
SGT #1
AnyWeb AGPractice Circle Oktober 2017Page 84
Access Control/Host On-boarding (User/Device Authentication)
Role-based Segmentation Guest Wireless Setup
Rolle von ISE in DNA Center
AnyWeb AGPractice Circle Oktober 2017Page 85
Macro- und Micro-Segmentierung dank DNA
Building Management VN
Network
Office Users VN
Inter-VN routing and policy enforcement on ‘Fusion Router’
Macro segmentation with ‘Virtual Networks’
Micro segmentation with ‘Scalable Groups
Contracts control access between SGTs
AnyWeb AGPractice Circle Oktober 2017Page 86
ISE & DNA Begriffe
Security Group Tag(SGT)
DNA-Center
Scalable Groups(SG)
TrustSec Matrix/Security Group ACL
(SGACL)
Policy Matrix/Contracts
AuthC & AuthZPolicies
Access Policies(Host On-Boarding)
TrustSec Policy Access ControlPolicies
ISE
Cisco ISE Cisco DNAC
AnyWeb AGPractice Circle Oktober 2017Page 87
Vision
Building Management VN
Office Users VN
Campus / BranchISEFirewall Management
APIC-DC
Web ServersPN
ACL Management
Email ServersPN
Data Center Fabric
Geteilten Gruppeninformationen
Cloud
AnyWeb AGPractice Circle Oktober 2017Page 88
DNA Readiness
Wie kann DNA / SDA eingeführt werden?
It’s a journey
AnyWeb AGPractice Circle Oktober 2017Page 89
It’s a journey
Isches no wiet? Nüd würkli
1.0? Ich han ken Ufwandgschücht!
AnyWeb AGPractice Circle Oktober 2017Page 90
DNA Readiness
Wie kann DNA / SDA eingeführt werden?
Warten auf Release 1.1 November 2017
Ziele festlegen
HW auf readiness prüfen inklusive IOS Stand
Vorgehen festlegen
Konzept erarbeiten
Aufbau, Test, Migration
AnyWeb AGPractice Circle Oktober 2017Page 91
DNA Readiness
Ziele festlegen
Welche Bereiche des Netzwerkes sollen umgestellt werden– Ergibt u.a. eine Liste der betroffenen Komponenten
Soll das Data Center eingebunden werden
Wird WLAN eingebunden
Zeitrahmen festlegen– Kann das Projekt mit dem regulären Lifecycle realisiert
werden– SDA Einführung Lifecycle anpassen oder umgekehrt
AnyWeb AGPractice Circle Oktober 2017Page 92
DNA Readiness
Ziele festlegen
Welche Funktionen sollen im SDA unterstützt werden?
Soll ein Proof of Concept durchgeführt werden– Anyweb empfiehlt das klar
AnyWeb AGPractice Circle Oktober 2017Page 93
DNA Readiness
Betroffene Komponenten (Switches, WLC, …) prüfen
Welche Hardware wird unterstützt?
Passt die Lizenz?
Materialliste erstellen– DNA-Center Appliance– ISE 2.3– Switches?– WLC?
AnyWeb AGPractice Circle Oktober 2017Page 94
DNA Readiness
Vorgehen festlegen
PoC / PoV– Aufbau– Tests
Migration– Schrittweise– Alles auf einmal – nicht empfohlen
Materialbestellung
AnyWeb AGPractice Circle Oktober 2017Page 95
DNA Readiness
Konzept erarbeiten
Das Netz wird neu gebaut!
Dem Konzept kommt eine grosse Bedeutung zu
Konzeptionelle Änderungen sind auch mit SDA nicht cool
Viele Bereiche des Netzwerkes inklusive Segmentierung und Benutzerauthentication sind betroffen
AnyWeb AGPractice Circle Oktober 2017Page 96
DNA Readiness
Aufbau, Tests, Migration
Grundlemente aufbauen– DNA-Center– ISE einbinden
Border vorbereiten– Wenn möglich eine nicht auf einem produktiven Router
Erster Edge/Access Switch einbinden
Ausführlich Testen
(schrittweise) Migration
AnyWeb AGPractice Circle Oktober 2017Page 97
It’s a journey
Ischs no wiit?Nei, jetzt simmer da Schatz!
AnyWeb AGPractice Circle Oktober 2017Page 98
Ausbildung– Standardkurse
• Network Programmability
– Zugeschnitten Planungsworkshop
– Design– PoC
Quick start– Mentoring
Mache den ersten Schritt– ACI– DNA– ISE
Weitere Schritte
AnyWeb AGPractice Circle Oktober 2017Page 99
AnyWeb AGPractice Circle Oktober 2017Page 100
Präsentationen
Die Präsentationen stehen nach der Veranstaltung auf der AnyWeb Homepage zum Download bereit– http://www.anyweb.ch/events/
AnyWeb AGPractice Circle Oktober 2017Page 101
30. November: AnyWeb Practice Circle Cyber Security
AnyWeb AGPractice Circle Oktober 2017Page 102
Networking und Apéro
AnyWeb AGPractice Circle Oktober 2017Page 103
DNA Center