03-20-2018 11:56 AM - editado 03-21-2019 06:50 PM
Faça suas perguntas do dia 19 até 30 de março de 2018
Especialista em Destaque
William R. Neumann: é Tecnólogo em Redes de Computadores pela Universidade Cesufoz e Especialista em Gerenciamento de redes de Computadores pela UTFPR Curitiba-PR. Trabalha na Teltec Solutions em Florianópolis-SC como Especialista de soluções com foco em segurança, suas principais funções são design, configuração e implementação utilizando as tecnologias (Cisco ASA, FTD, FirePOWER, ISE, pxGrid, Ironport, VPNs, entre outros).
Vencedor do Cisco Netriders 2014 e Cisco Champion 2018, também possui certificações 2x CCIE (R/S e Security), CCNP (R/S e Security), CCDA, CCDP, CCNA (DataCenter, R/S, Security e Wireless), está atualmente em preparação para o laboratório do CCDE.
Para mais informações sobre este tema acesse:
https://supportforums.cisco.com/t5/seguran%C3%A7a/ct-p/4806-seguranca
Este evento é aberto ao público incluindo parceiros de negócio
Você sabia que quando você tem algum problema técnico você pode fazer suas perguntas antes de abrir um caso com o TAC?
** Classificações incentivam a participação! **
Por favor assegurar-se de classificar as respostas as perguntas!
Para participar deste evento, use o botão de
para fazer suas perguntas.
em 03-20-2018 01:22 PM
Olá William tudo bem?
Qual o tipo de configuração que deve ser executada em uma implantação de ISE em menor impacto?
Obrigado!
em 03-20-2018 06:45 PM
Boa noite Carlos, tudo bem?
Eu recomendaria uma abordagem de implantação em fases, você pode a o utilizar ISE com uma configuração chamada de Monitor Mode e gradualmente passar para Low Impact Mode e então para a fase final Closed Mode. Ao fazer isso, você permite que o endpoint passe por todas as fases de autenticação e assim podemos visualizar as que foram bem sucedidas e as que tiveram falhas, se um dispositivo estiver configurado incorretamente ou faltando suplicante 802.1X, pode ser visualizado no Live Logs do ISE e ajustando as configurações com o mínimo impacto para os usuários. Com uma fase de monitoramento, você tem tempo para ajustar todas as configurações necessárias e evitar problemas com os endpoints, você pode também importar manualmente os endereços MAC que serão utilizados para o MAB caso não esteja fazendo profiling. A chave para uma implantação bem sucedida de ISE é tentar não realizar todas as configurações na primeira fase e sim segmentar elas por etapas.
Um Abraço!
William Neumann
em 03-21-2018 12:41 PM
Boa tarde William,
Posso ter 2 VMs com ISE configurado as 3 personas em cada um deles e configura-los como cluster?
isso é usual?
em 03-22-2018 11:27 AM
Boa tarde clauscosta,
Com a utilização de 2 VMs é interessante analisar o cenário para configuração de HA, se você optar por uma implementação de ISE em alta disponibilidade, você tem a opção para realizar uma combinação de funcionalidade entre as personas, por exemplo, durante a configuração será definido um PAN como primário e outro PAN como secundário, para persona de Monitoring podemos alternar entre as personas de PAN para melhorar o balanceamento de carga, adicionei uma imagem que explicar esta configura. Este seria um cenário mais indicado.
Maiores informações no link abaixo.
https://www.cisco.com/c/en/us/td/docs/security/ise/2-3/admin_guide/b_ise_admin_guide_23/b_ise_admin_guide_23_chapter_011.html
em 03-22-2018 11:44 AM
Legal,
é um ambiente small, não chega a ser como a imagem que você exemplificou.
estou pensando no deploy split, alguma consideração importante que devamos nos atentar neste tipo de deploy?
em 03-22-2018 02:34 PM
clauscosta,
Um dos pontos que precisa ser levado em consideração durante o deploy para um ambiente Small é que com o tempo ele pode se tornar um ambiente Large, ou ser necessário a utilização de novas funcionalidades como, pxGrid, Profiling ou outros recursos, se a VM não estiver preparada, ela pode prejudicar o desempenho, performance, ou limitar o ambiente para ativar os novos recursos, então o dimensionamento correto da VM é muito importante para esta primeira fase.
No link abaixo está disponível um documento de 2016, mas é muito útil para ajudar no dimensionamento inicial do ISE.
https://communities.cisco.com/docs/DOC-68347#jive_content_id_ISE_24_Deployment_Scale_and_Limits
Espero tê-lo ajudado.
William Neumann
em 03-23-2018 12:03 PM
Boa,
ajudou bastante sim, valeu!
em 03-26-2018 07:24 PM
03-26-2018 07:50 PM - editado 03-26-2018 07:53 PM
Olá Mateus, tudo bem?
Você pode encontrar a opção para cadastro de novos MACs no seguinte caminho Context Visibility > Endpoints.
Selecionando a opção Import > Import From File, você também pode gerar o arquivo de template clicando sobre o link "Generate a Template" adicionei algumas imagens com os procedimentos.
Espero tê-lo ajudado.
Um Abraço!
William Neumann.
em 03-27-2018 03:02 PM
Perfect!
Obrigado
Descubra e salve suas ideias favoritas. Volte para ver respostas de especialistas, passo a passo, tópicos recentes e muito mais.
Novo por aqui? Comece com estas dicas. Como usar a Comunidade Guia do novo membro
Navegue pelos links rápidos da Comunidade e usufrua de um conteúdo personalizado e em seu idioma nativo: