cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
370
Visitas
0
ÚTIL
0
Comentarios
Cisco Moderador
Community Manager
Community Manager

Presentación del webinar Community Live

Cisco TrustSec a Fondo: Resolución de Problemas de Extremo a Extremo en SD-Access y SD-WAN

Con la colaboración de Kassandra Hernández, Alejandro Jon Torres y Daniel Maldonado.

Descubra las etapas esenciales que le permiten integrar Cisco Identity Services Engine (ISE) con Catalyst Center; y aprenda a crear Security Group Tags (SGT), políticas y reglas de Cisco TrustSec. Vea cómo estas configuraciones pueden ser efectivas dentro del fabric de SD-Access, el tránsito de SD-WAN y la red de área local. Esta sesión le proporcionará conocimientos prácticos y estrategias avanzadas para asegurar y gestionar su red de una manera eficiente y segura.

 

 

Recuerde que la presentación está disponible en pdf para su comodidad. Si este documento le ha resultado útil, no olvide calificar esta publicación con un voto de utilidad para validar su relevancia. ¡Muchas gracias! 


¿Cómo enviar una pregunta?

Ponemos a su disposición nuestro evento Ask Me Anything (AMA) en cuyo foro podrán externar dudas y solicitar apoyo de nuestros expertos en casos específicos de los temas abordados. ¡Esperamos sus preguntas!

Ir al foro de Discusión


Lista de las Q&A del webinar Community Live

Encuentre la lista de preguntas formuladas durante el seminario web Community Live de nuestro evento. Cualquier duda que no haya sido respondida durante la sesión será resuelta posteriormente aquí o en el foro de "Preguntas".

Lista de Preguntas y Respuestas (Q&A)


Pregunta: Buen día, ¿cómo interactúa SGT con las licencias de ISE? - Luis B. (min.13)

Respuesta (Carlos N.): Hola, Luis buen día! Para el uso de Security Group Access services SLA licencia de Advanced es la que lo contiene , para más información puedes consultar el siguiente enlace:
https://www.cisco.com/en/US/docs/security/ise/1.0/user_guide/ise10_man_license.html#wp1053140 

Pregunta: ¿Se puede asignar un SGT-MAP estático de una IP fuera del fabric? (ej. una IP de un servidor de DC) - Patricio F. (min.16)

Respuesta (Carlos N.): Hola buen día Patricio, gracias por tu consulta. Sí, se pueden asignar los SGT estáticamente por CLI para endpoints fuera del Fabric, esto puede ser usando SXP o asignamiento estático con el comando cts role-based sgt-map vrf sgt

Pregunta: Mi consulta es por CLI - Patricio F. (min.16)

Respuesta (Carlos N.): La pregunta ha sido respondida en la sección de Q&A

Pregunta: ¿Dónde se recomienda aplicar la clasificación estática? ¿en que equipos de la red? - Derlis R. (min.17)

Respuesta (Carlos N.): Que tal Derlis buen día, para la clasificación estática de un endpoint podría ser en el punto más cercano al endpoint. Esto permite que las políticas de seguridad se apliquen desde el momento en que el dispositivo se conecta a la red. Recordando que las reglas serán aplicadas en el dispositivo de destino.

Pregunta: ¿Hay alguna recomendación para utilizar (Permit o Deny) en la política por default de la matriz de trustsec? - Sergio C. (min.27)

Respuesta (Carlos N.): Hola Sergio, qué tal? Gracias por tu consulta, esto dependerá mucho de qué tan explicito es el manejo de tu red. Default Permit es más usada y fácil de implementar, Default Deny, va a denegar todo el tráfico IP por defecto y requiere un estudio detallado del tráfico de la red para saber específicamente cual el tipo de tráfico que tienes y permitir específicamente lo que se desee. Para más información te invito a visitar el siguiente enlace
https://www.cisco.com/c/en/us/support/docs/cloud-systems-management/dna-center/215516-trustsec-whitelist-model-with-sda.html 

Pregunta: ¿Qué equipos utilizan el Shared Secret? Es decir, ¿dónde se debe configurar dicha contraseña? - David E. (min.30)

Respuesta (Carlos N.): Buen día David, esta contraseña debe existir en los dispositivos de red Edge nodes y también en la sección de Network devices en el servidor ISE, regularmente para ambientes de SD Access es el Serial Number del dispositivo.

Pregunta: Lo relacionado al contrato tcp stablished ¿es sólo unidireccional? Si queremos denegar en ambos sentidos ¿no es necesario verdad? - Patricio F. (min.37)

Respuesta (Carlos N.): Hola Patricio, es correcto. Si el tráfico es en ambos sentidos, ya no será necesario.

Pregunta: Para tener una propagación de SGT entre un cEdge Hub (DC) hacia cEdge spoke (branch) ¿se utiliza solo in-line tagging? - Patricio F. (min.53)

Respuesta (Kassandra H.): No. Tenemos el segundo método de propagación que es SXP, con el uso del servidor ISE. Inlinee tagging es utilizado únicamente cuando no se tiene la capacidad de habilitar TrustSec.

Pregunta: Hola! Buenos días, ¿el permit TCP established está a partir de alguna versión en particular del ise o DNA? - Nixon R. (min.54)

Respuesta (Alejandro Jon T.): No requiere versión específica; en el laboratorio se usó 2.3.5 e ISE 3.0

Pregunta: ¿Cómo se puede solucionar el problema de TCAM en equipos ASR por exceso de mapeo de endpoint por SXP? - Camilo V. (min.59)

Respuesta (Alejandro Jon T.): Usando dominios de SXP o filtros de SXP; en ocasiones, SXP puede importar todos los mapeos de radius de la red a los SXP listeners. Si no es necesario, se puede desactivar.

Pregunta: Entonces, en base a esa respuesta lo ideal es habilitar SXP en los cEdge Branch... pero si mi red tiene muchos cEdge branchs (>500) no sería escalable para el rendimiento del ise, ¿o me equivoco? - Patricio F. (min.59)

Respuesta (Alejandro Jon T.): Lo ideal sería usar un SXP reflector para que el ISE no tenta tantos SXP listeners y sólo el reflector.

Pregunta: Hola! buen día, ¿cuál es la recomendación de túnel sxp en caso de tener más de una VRF, uno por cada VRF (incluyendo la que se encarga del tráfico underlay) o solo por las VRF de servicio (overlay)? - Danilo M. (min.73)

Respuesta (Alejandro Jon T.): Las sesiones de SXP pueden ser varias en el mismo dispositivo, y se requieren por cada VRF, la del underlay solo sería necesaria si quisieras aplicar reglas para el underlay.

Pregunta: ¿Cuánto es el límite de túneles SXP que soporta un nodo (large) de ISE? - Danilo M. (min.94)

Respuesta (Alejandro Jon T.): Depende del tipo de deployment de ISE; Standalone soporta 30,40 o 50 sesiones; PSNs dedicados de 200 a 400. 

https://www.cisco.com/c/en/us/td/docs/security/ise/performance_and_scalability/b_ise_perf_and_scale.html 

Pregunta: ¿La sesión se puede ver en línea o descargar? - Nixon R. (min.96)

Respuesta (Alejandro Jon T): Para ver la grabación del webinar: https://community.cisco.com/t5/videos-routing-y-switching/video-cisco-trustsec-a-fondo-trbl-de-extremo-a-extremo-en-sda-y/ba-p/5203011 
Para descargar la presentación: https://community.cisco.com/t5/eventos-de-tecnolog%C3%ADa-en-linea-y-webinars/cisco-trustsec-a-fondo-trbl-de-extremo-a-extremo-en-sda-y-sd-wan/ev-p/5169539 
Para enviar nuevas preguntas: https://community.cisco.com/t5/eventos-de-tecnolog%C3%ADa-en-linea-y-webinars/ama-cisco-trustsec-a-fondo-trbl-de-extremo-a-extremo-en-sda-y-sd/ev-p/5203015 


Nuestros expertos

kasherna.jpgKassandra Hernández es Ingeniera en Comunicaciones y Electrónica -con especialidad en Comunicaciones- del Instituto Politécnico Nacional (IPN) en México. Ella Ingresó al programa de incubadoras de Cisco Academy en 2019 y posteriormente se unió al equipo del TAC de Cisco para la tecnología SD-WAN. Actualmente cuenta con cuatro años de experiencia en esta tecnología y se desempeña como Team Captain de SD-WAN. Ha creado documentación y además es miembro del comité organizador de nuestros webinars Community Live para español.

jalejand.jpgAlejandro Jon Torres es un Líder Técnico en las tecnologías de Catalyst Center (anteriormente Cisco DNA Center) y Software Defined Access. Con más de seis años de experiencia en Cisco, se ha especializado en tecnologías como Catalyst Switching, LISP, BGP, VXLAN y Fabric Wireless. También ha presentado en Cisco Live America, creando contenido para soluciones como Fabric Routing, Streamming Telemetry y Wide Area Bonjour. Además, Alejandro cuenta con la certificación de CCIE en Enterprise Infrastructure.

danmaldo.pngDaniel Maldonado es Ingeniero en Telecomunicaciones y Electrónica de la Universidad Del Valle de México (UVM). Ingresó al equipo del TAC de Cisco en 2022 para la tecnología SD-WAN y actualmente cuenta con dos años de experiencia en SD-WAN. Daniel también se ha desempeñado como ingeniero de TAC para la Tecnología Cisco Digital Network Architecture (Cisco DNA). Daniel ha creado videos públicos de SD-WAN para Cisco.

Para obtener más información, visite los contenidos de la sección de Networking (antes R&S).
Si usted tiene dudas o está experimentando problemas técnicos con alguno de los productos Cisco, publique su pregunta, solicite información o utilice el motor de búsqueda de la Comunidad de Cisco en español, antes de abrir un caso con el TAC.
Vamos a comenzar

¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.

Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco: