Introdução

Neste novo documento, será demonstrado como realizar a configuração inicial do Cisco ISE. Uma configuração de grande importância para o correto funcionamento do serviço.

Versão do Cisco ISE: 3.1.0.518b

Pré-implantação

Antes da instalação do Cisco ISE, é importante que exista na rede alguns serviços em funcionamento, para que haja um adequado funcionamento e integração da solução, e aproveitar ao máximo todas as funcionalidades que o Cisco ISE oferece.

• AD DS – Active Directory Domain Services, disponível no Windows Server
• DNS Server
• DHCP Server
• Ceritificate Authority (Autoridade Ceritificadora)
• NTP – Network Time Protocol

Os serviços mencionados acima, estão disponíveis no sistema operacional Windows Server, um dos recursos que é integrado ao Cisco ISE para realizar o controle de usuários e dispositivos, e possivelmente já em funcionamento na rede antes da instalação do Cisco ISE.

Instalação do Cisco ISE

Após o boot, antes de iniciar a instalação do Cisco ISE, seja um appliance físico, ou em um ambiente virtualizado, a primeira tela que aparecerá é para iniciar o setup. Sendo assim, digite o comando setup e pressione <Enter>.

 Após este comando, preencha todas as informações/configurações que serão aplicadas ao Cisco ISE de acordo com a sua rede.

• Hostname: defina o nome a ser utilizado no Cisco ISE
• IP address: qual endereço IP será alocado. Sempre importante definir este IP com o time que administra a rede para evitar endereço duplicado, e que exista roteamento para a Subnet do IP alocado.
• IP Default Gateway: Default gateway para a subnet do Cisco ISE.
• Se deseja utilizar endereço IPv6: não utilizado na maioria das implementações, porém isso dependerá do ambiente e necessidade da rede.
• Default DNS domain: nome do DNS da rede
• IP do DNS primário da rede: IP do servidor DNS da rede
• IP do DNS secundário da rede: IP do servidor DNS secundário da rede, não mandatório, porém, importante para redundância.
• IP do NTP Server: IP do servidor NTP da rede. O NTP é um protocolo para sincronização dos relógios. Para o Cisco ISE, é fundamental que o relógio esteja sincronizado, para evitar qualquer impacto na autenticação dos dispositivos.
• Timezone: o timezone a ser usado no ISE. Neste link, https://www.cisco.com/c/en/us/td/docs/security/ise/2-4/cli_guide/b_ise_CLIReferenceGuide_24/b_ise_CLIReferenceGuide_24_chapter_011.html#wp2884933107, existe uma lista de timezones que podem ser utilizados.
• Habiliar SSH, sim ou não: sempre importante habilitar para acesso remoto.
• Primeiro usuário do ISE: Admin como padrão, porém um outro nome de usuário pode ser definido. Sempre importante salvar/guardar as credenciais de admin, e de preferência que poucos usuários tenham acesso.
• Senha para o usuário admin: a senha deve ser digitada duas vezes.

A configuração inicial leva alguns minutos para completar, e é necessário ter paciência, e como diz a mensagem, não utilizar o comando <Ctrl + C> pois isso impacta ou cancela a instalação dos serviços e aplicações.

Validação do funcionamento – CLI

Após a instalação, para acessar o CLI do ISE, basta iniciar uma sessão SSH para o endereço IP inicialmente configurado.

E então, aparecerá a tela inicial para login da conta admin na CLI do ISE.

Diferente de roteadores, switches, firewall ASA, a CLI do ISE, é mais utilizada para troubleshooting, como ping, tracert, debug, e para configurações básicas como, alteração de DNS, IP da interface, DNS, inserir um novo usuário para CLI, e todas as configurações como políticas, forma de acesso, integração com outras ferramentas, perfil, e outras, são aplicadas através da GUI (interface gráfica/web). Abaixo uma lista dos possíveis comandos de configuração e troubleshooting via CLI.

Para validar o funcionamento dos serviços do ISE, basta aplicar o comando show application status ise, e será listado todos os serviços que foram instalados no deploy inicial, e se estão em initializing (inicializando), running (em execução), ou disabled (desabilitado).

Uma observação para a versão 3.1, é que mesmo não aplicando a configuração de IPv6 no setup inicial, o IPv6 continua habilitado. Caso o IPv6 não seja utilizado na rede ou no ambiente ISE, recomendável desabilitá-lo, visto que as mensagens de DNS, ou processos relativos ao IPv6 podem ser gerados e impactar a performance do ISE. Exemplo disso visto em uma rede em produção.

Execute o comando show run e encontre a sessão ipv6 enable e a configuração da interface.

Execute o comando enable e em seguida, o comando no ipv6 enable e na configuração da interface, no ipv6 address autoconfig e no ipv6 enable.

Sempre lembre de salvar a configuração com o comando write memory.

Validação do funcionamento – Interface Gráfica

Para acessar a interface gráfica do ISE, basta digitar o endereço IP do ISE no navegador, ignorar a mensagem de página não segura, e digitar usuário e senha. A mensagem de página não segura, é devido ao ISE ainda não ter instalado em sua base de certificados, um certificado digital assinado por uma Autoridade Certificadora.

Após o acesso, a primeira mensagem é um aviso sobre a Licença, e que você deve contactar a Cisco. Caso esteja utilizando em um ambiente de laboratório, pode prosseguir com o mode de Avaliação, válido por 90 dias. Caso seja um ambiente de produção, importante instalar a licença adquirida, para que o produto esteja coberto pelo suporte do fabricante em qualquer eventualidade.

Após o clicar no botão Accept and close, você terá acesso ao dashboard principal do ISE e começar a utilizá-lo, e assim prosseguir com as configurações de acordo com o ambiente da rede.

Conclusão

Assim é realizada a configuração inicial do Cisco ISE, seja para ambiente virtualizado ou um appliance físico. Os passos são os mesmos, com exceção que para o virtualizado, deve existir a preparação e alocação do servidor e da máquina virtual, pré-instalação do ISE.