ISE Terminologia
| MnT (Monitoring & Troubleshooting Node) |
. cada ISE Deployment deve ter pelo menos um
. no máximo dois ... Primary MnT (active) e Secondary MnT (standby) |
| NAD (Network Access Device) |
. são os Policy Enforcement Point, responsáveis por aplicarem as Authorization Result do Authentication Server.
|
| Node |
. instancia individual do ISE ... seja o applicance físico ou virtual
|
| PAN (Policy Administration Node) |
. cada ISE Deployment deve ter pelo menos um
. no máximo dois ... Primary PAN (active) e Secondary PAN (standby)
. interface utilizada para configurar e visualizar as Policies
. acesso total ao Administration GUI
|
| PSN (Policy Services Node) |
. cada ISE Deployment deve ter pelo menos um
. é o responsável por lidar com o tráfego entre o NAD e o ISE
|
| PxG (Platform Exchange Grid Node) |
. facilita o compartilhamento de Context com outros Policy Network Systems (como por ex.: ASA) |
| SNS (Secure Network Server) |
. ISE hardware (appliance) |
| Supplicant |
software executado no Endpoint que provê as credenciais para o NAD (Authenticator), ex.: Cisco AnyConnect Secure Mobility Client.
|
ISE Hardware
ISE Release & Patch
2.4.0.357 desde MAR/2018 ... Patch 14 lançado em ABR/2021 (considerado o Suggested Release em AGO/2019)
2.6.0.156 desde FEV/2019 ... Patch 12 lançado em SET/2022 (considerado o Suggested Release em NOV/2019)
2.7.0.356 desde NOV/2019 ... Patch 8 lançado em NOV/2022 (considerado o Suggested Release em JUN/2020)
3.0.0.458 desde SET/2020 ... Patch 6 lançado em JUN/2022 (considerado o Suggested Release em MAI/2021)
3.1.0.518 desde AGO/2021 ... Patch 5 lançado em DEZ/2022 (considerado o Suggested Release em FEV/2022)
3.2.0.542 desde OUT/2022 ... Patch 1 lançado em JAN/2023
ISE Licenciamento
| Traditional Licensing |
licenças instaladas diretamente no ISE (default) |
| Smart Licensing |
uso obrigatório a partir da release 3.0.0.458 ... licenças disponíveis de forma centralizada via Cisco Smart Account |
| Pacotes (Novo) |
Evaluation: 90 dias de teste
Essentials: AAA e 802.1x (Licença por Assinatura)
Advantage: para BYOD, Profiling, pxGrid (Licença por Assinatura)
Premier: para Posture (Licença por Assinatura)
|
| Pacotes (Antigo) |
Evaluation: 90 dias de teste
Base: obrigatório ... cada Endpoint ativo consome uma Base License (Licença Perpétua)
Plus: para BYOD, Profiling, pxGrid (Licença por Assinatura)
Apex: para Posture (Licença por Assinatura)
|
ISE Compatibilidade
Para uma lista de equipamentos validados, visite o link Cisco ISE Compatibility Matrix.
ISE Deployment
| Standalone Deployment |
PAN, MnT e PSN sendo executados simultaneamente no mesmo Appliance Físico ou Appliance Virtual. |
| Hybrid Deployment |
PAN e MnT sendo executados simultaneamente no mesmo Node e PSN num Node específico.
Máximo de 5 PSNs.
|
Fully Distributed Deployment
|
PAN, MnT e PSN sendo executados em Nodes específicos (máximo de 50 PSNs).
|
ISE Componentes
| Endpoints (Supplicant) |
. Users
. Devices
. Things |
| NAD (Authenticator) |
. Wired Ethernet Switches
. WLCs / APs
. VPN Gateways (por ex.: ASA)
. Load Balancer |
| ISE (Authentication Server) |
|
| External Services (Identiy Store) |
. AD/LDAP
. MDM
. Security Services
|
ISE Metodos de Autenticação
| Active Identity |
. IEEE 802.1X
. Web Authentication (Central WebAuth ou Local WebAuth)
. Remote access VPN |
| Passive Identity |
. MAB
. Easy Connect - uma solução intermediária em relação ao 802.1X e MAB.
|
Nota:
. 802.1X - o mais seguro
. Web Auth - segurança média
. Easy Connect - segurança média
. MAB - o menos seguro
ISE Histórico
A primeira versão do ISE foi disponibilizada em Abr/2011, versão 1.0.4 ... desde Ago/2017 se tornou a principal solução de NAC da Cisco após o EoS Date do Cisco ACS (Cisco Secure Access Control Server).
Atualmente na versão 3.2.0 é considerado um Policy Enforcement platform, concentrando todas as Network Identities Policy em um só lugar,
ISE Links
Cisco ISE
ISE Performance & Scale
ISE Secure Wired Access Prescriptive Deployment Guide
Cisco ISE & NAC Resources
Cisco ISE Network Compatibility
