Comprar o Renovar
Comprar o Renovar
cancelar
Activar sugerencias
La sugerencia automática le ayuda a obtener, de forma rápida, resultados precisos de su búsqueda al sugerirle posibles coincidencias mientras escribe.
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
Iniciar una conversación
304
Visitas
2
ÚTIL
3
Respuestas

Foro - Implementación y Configuración de Cisco ISE

Jimena Saez
Community Manager
Community Manager

el ‎06-20-2024 08:33 AM

Foro Ask Me Anything (del 20 al 28 de junio de 2024)

Este foro está dedicado a las preguntas relacionadas con el webinar "Implementación y Configuración de Cisco ISE", del pasado jueves 20 de junio de 2024. Revisen la grabación, envíenos sus dudas o comentarios, y compartan su experiencia. 
Nota: Favor de publicar su post como comentario aquí abajo a más tardar el 28 de junio de 2024. 

Conéctese y publique su pregunta a continuación dando clic en "Responder"

(Las respuestas serán tratadas en función de la disponibilidad de los expertos)
¡ No olvide agradecer al experto dándole un voto de utilidad !

Documentación Ver el Video

Nuestros expertos

avalonso.jpgAvril Alonso es Ingeniera en Comunicaciones y Electrónica egresada del IPN de México (ESIME Culhuacán), Con más de 15 años de experiencia en la industria de TI, especializada en tecnologías Enterprise y Seguridad. Los últimos ocho años en Cisco ha formado parte del equipo de HTTS de Seguridad en México, encargada de brindar soporte a clientes Premium a nivel global en las tecnologías de Seguridad: NGFW, VPN y AAA/ISE, siendo esta última la tecnología primaria en la que brinda soporte a clientes alrededor del mundo. Actualmente se desempeña con el rol de Capitán de Equipo enfocada en brindar apoyo al equipo en asistencia técnica, administrativa o manejo de clientes. Cuenta con las certificaciones: CCNA, CCPN Enterprise y CCNP Security.

juliorom.jpgJulio Román cuenta con un amplia experiencia en el sector de TI desde 2007, tanto en integraciones CTI (computer-telephone-integration) / CRM (customer relationship management), como IVR (interactive voice response), grabación y WFO/M (workforce optimization / management) para sector de Contact Center bancario, y más reciente en temas de seguridad AAA relacionados con la identificación de usuarios / endpoints, el nivel de acceso, la micro-segmentación y visibilidad granular de los mismos. Julio se unió a Cisco en 2017 y actualmente se desempeña como Escalation Engineer dentro del equipo de HTTS-Security, con la especialidad en AAA/ISE.

Próximos Eventos Eventos Anteriores
Para obtener más información, visite los contenidos de la sección de Seguridad.
Si usted tiene dudas o está experimentando problemas técnicos con alguno de los productos Cisco, publique su pregunta, solicite información o utilice el motor de búsqueda de la Comunidad de Cisco en español, antes de abrir un caso con el TAC.
Etiquetas:
3 RESPUESTAS 3

emunguia23
Level 1
Level 1

el ‎06-20-2024 03:44 PM

Muy buenas tardes, muchas gracias por el webinar.

Estoy indagando sobre la implementación de ISE en nuestra infraestructura ya que actualmente contamos con un ACS version 5.2.

Tenia pensado utilizar la herramienta de migración pero lamentablemente solo es posible desde ACS 5.5 o superior, por lo cual estoy revisando la implementación de ISE desde "0" en Standalone.

1.- Una de las primeras preguntas que tengo es sobre las versiones de OVA disponibles y su diferencia entre ellas, asumiendo que cada ova tiene diferentes tamaños de nodo y a su vez requisitos minimos de harware (CPU, RAM, HDD), existe otra caracteristica que me ayude a saber cual OVA debo utilizar ?

Por ejemplo 

Cisco-vISE-300-3.3.0.430.ova (Extra small, small, medium)

vs

Cisco-vISE-600-3.3.0.430a.ova (small, medium)

 

2.- Para los usuarios con acceso remoto a traves de Anyconnect o Secure Client a traves de ASA o FTD se realiza a traves de perfiles donde se tiene split tunneling con las IPs o segmentos permitidos y me gustaria saber como se puede realizar en ISE para que un usuario que esta en el perfil A no pueda conectarse a traves del perfil B.

Observe esta guia e ise identifica al usuario local y asigna los recursos correspondientes al grupo al que pertenece pero no impide el registro si utiliza un perfil diferente.

Ejemplo:

Test1: usuario local en ISE, pertenece al Grupo A de ISE y le corresponderia el  perfil del GroupPolicy_A de Anyconnect

Test2: usuario local en ISE, pertenece al Grupo B de ISE y le corresponderia el  perfil del GroupPolicy_B de Anyconnect

Pero al loguear por anyconnect el usuario Test2 selecciona el perfil Group_Policy_A, ISE le brinda el acceso y asigna los recursos asignados en la politica de ISE, pero en anyconnect se asigna el split tunneling del Group_Policy_A lo cual no deberia de ser correcto ya que el usuario Test2 no le corresponderia utilizar ese Group_Policy.

3.- Sobre el licenciamiento, mencionaron que el servicio de TACACs se realiza por nodo, por lo que si tengo 10 dispositivos que utilizaran TACACs tendria que adquirir 10 licencias de nodo de administración ?

 

Para mayor contexto sobre la implementación de ISE

ACS utiliza radius (Acceso remoto) y tacacs aproximadamente para adminsitrar 15 dispositivos.

No se cuenta con AD pero se esta viendo la posibilidad de implementarlo en un futuro. 

Se plantea integrar con FMC.

Implementación en nube privada con Vmware Esxi.

Quedo atento a su respuesta.

Saludos coordiales.

 

 

gjuarezo
Cisco Employee
Cisco Employee

el ‎06-26-2024 10:24 AM

1.- Para el punto numero 1 es importante seguir los lineamientos de la guia de escalamiento: https://www.cisco.com/c/en/us/td/docs/security/ise/performance_and_scalability/b_ise_perf_and_scale.html 
El que OVA vas a utilizar depende de la carga actual y futura de tu red. Es muy importante resaltar que el tamaño de los PSN va a depender del numero de "conexiones simultaneas" además de tener muy en cuenta el numero de Autenticaciones por segundo. Ejemplo, no es lo mismo autenticar 1000 dispositivos en 10 min que en 1 segundos. ISE tiene limites en cuanto al numero de autenticaciones por segundo. Esto se ve reflejado en la documentacion como TPS (Transactions per second). Para el calculo de TPS se toma en consideración paquetes tanto de autenticación como de accounting.

2.- La configuración que deseas require de configuraciones del lado del firewall. Es posible configurar el VPN profile para que no despliegue ninguna opción de selección de policy group. De tal forma el usuario obtiene el policy group dependiendo de la politica de ISE que este evaluando al dispositivo. 

3.- La licencia de "device administration" se compra por PSN con TACACS activado, no por dispositivo. Ejemplo, si tu tienes solo 10 dispositivos (routers, WLCs, switches) esos 10 dispositivos pueden ser autenticados con un solo nodo de tacacs por lo que solo necesitarias 1 licencia. La licencia es necesaria para activar TACACS en los PSN. 
1 licencia te permitirá activar TACACS en 1 solo PSN, el numero de dispositivos que podrás autenticar con TACACs dependerá de los recursos que tenga tu PSN. 

0 Útil

Jimena Saez
Community Manager
Community Manager

el ‎06-26-2024 03:54 PM

Muchas gracias a @avalonso y @juliorom por este webinar!

Recibimos también una pregunta en la documentación de @Igor LVG para que me ayuden a responderla.

 

 
‎06-20-2024 03:58 PM

Muchas gracias por la presentación. Les quería consultar sobre el mapeo de usuario - equipo al momento de poder ingresar a la red. Suponiendo una integración con LDAP/AD con el ISE ya funcional, me gustaría saber si se puede saber si es posible tener el mapeo del usuario que ingresa, desde que equipo ingresa (llámese endpoint) y que más información se podría aprovechar. Tengo entendido que se tendría que usar las capacidades de licenciamiento advantage.

muchas gracias!

0 Útil

Navegue y encuentre contenido personalizado de la comunidad

Documentos de Seguridad Videos de Seguridad Otros Eventos de Seguridad
Customers Also Viewed These Support Documents