labaccessnow/ise-lab-demo

# ise-lab-demo 一个独立的、自助式的**多供应商安全演示实验室**。演示访客完全通过一个受控的网站进行驱动，无需其他实验室访问权限，即可实现： - **基础设施自动化**：重建 / 快速重置 Cisco ISE、Windows DC、Cisco WLC 和 Palo Alto 防火墙。 - **API 自动化**：大部分 ISE **OpenAPI + ERS**、WLC **RESTCONF** 和 **PAN-OS** REST/XML —— 包括跨设备的**证书续期**。 它**仅用于演示**：销毁并重建实验室*本身就是*演示过程。访客的默认操作是**黄金快照重置（约 1–2 分钟）**，而不是从零开始的构建（ISE 首次启动需要 45–65 分钟）。 ## 架构（三层架构，严格的权限分离） ``` Internet → Oracle/BunkerWeb edge (LE+WAF, Authelia/visitor-gate) → PORTAL FRONTEND (DMZ; no secrets; visitor|admin) → BACKEND/RUNNER (trusted; holds Proxmox token + SOPS key + SSH; allowlisted action catalog) → ENCLAVE (VLAN 1800 + sub-VLANs; isolated; snapshots) — ISE · DC(+CA) · WLC · PA · NAD · endpoint · AP ``` 即使访客的会话被完全攻陷，也无法运行任意命令或读取机密信息：访客只能访问前端，而前端只能向后端请求固定的白名单内容，只有后端才持有权限。 ## 目录结构 ``` ansible/ the engine — provision/reset VMs + device config (lifted + extended) roles/ proxmox_vm · cisco_ise · (palo_alto, nac_endpoint — to add) drivers/ headless console drivers (shot.sh, kbd.py, ise_serial.py, wlc_serial.py, answer/) backend/ FastAPI + ansible-runner + the allowlisted catalog engine + guardrails frontend/ the visitor portal (buttons + live logs) catalog/ generated API operation catalog (ISE/WLC/PA), tagged read/write + visitor/admin infra/ portal + runner VM provisioning, edge config secrets/ project SOPS store (encrypted; own age key) docs/ MkDocs ``` ## 状态 **阶段 0–1（基础设施 + 核心引擎提升）—— 进行中。** 完整的分阶段计划和实时状态请参见项目记忆库 `proj-ise-lab-demo`。在进行此项构建的同时，现有的 `demo.lab` 隔离区保持不变。

标签：Ansible, AV绕过, FastAPI, Proxmox, 系统提示词, 网络接入控制, 网络运维自动化, 自动化演示平台, 虚拟化, 请求拦截, 逆向工具