el 10-03-2024 08:04 AM - fecha de última edición 10-11-2024 05:59 PM por Jimena Saez
Presentación del webinar Community Live
Con la colaboración de Kassandra Hernández, Alejandro Jon Torres y Daniel Maldonado.
Descubra las etapas esenciales que le permiten integrar Cisco Identity Services Engine (ISE) con Catalyst Center; y aprenda a crear Security Group Tags (SGT), políticas y reglas de Cisco TrustSec. Vea cómo estas configuraciones pueden ser efectivas dentro del fabric de SD-Access, el tránsito de SD-WAN y la red de área local. Esta sesión le proporcionará conocimientos prácticos y estrategias avanzadas para asegurar y gestionar su red de una manera eficiente y segura.
Recuerde que la presentación está disponible en pdf para su comodidad. Si este documento le ha resultado útil, no olvide calificar esta publicación con un voto de utilidad para validar su relevancia. ¡Muchas gracias!
¿Cómo enviar una pregunta?
Ponemos a su disposición nuestro evento Ask Me Anything (AMA) en cuyo foro podrán externar dudas y solicitar apoyo de nuestros expertos en casos específicos de los temas abordados. ¡Esperamos sus preguntas!
Lista de las Q&A del webinar Community Live
Encuentre la lista de preguntas formuladas durante el seminario web Community Live de nuestro evento. Cualquier duda que no haya sido respondida durante la sesión será resuelta posteriormente aquí o en el foro de "Preguntas".
Lista de Preguntas y Respuestas (Q&A)
Respuesta (Carlos N.): Hola, Luis buen día! Para el uso de Security Group Access services SLA licencia de Advanced es la que lo contiene , para más información puedes consultar el siguiente enlace:
https://www.cisco.com/en/US/docs/security/ise/1.0/user_guide/ise10_man_license.html#wp1053140
Respuesta (Carlos N.): Hola buen día Patricio, gracias por tu consulta. Sí, se pueden asignar los SGT estáticamente por CLI para endpoints fuera del Fabric, esto puede ser usando SXP o asignamiento estático con el comando cts role-based sgt-map vrf sgt
Respuesta (Carlos N.): La pregunta ha sido respondida en la sección de Q&A
Respuesta (Carlos N.): Que tal Derlis buen día, para la clasificación estática de un endpoint podría ser en el punto más cercano al endpoint. Esto permite que las políticas de seguridad se apliquen desde el momento en que el dispositivo se conecta a la red. Recordando que las reglas serán aplicadas en el dispositivo de destino.
Respuesta (Carlos N.): Hola Sergio, qué tal? Gracias por tu consulta, esto dependerá mucho de qué tan explicito es el manejo de tu red. Default Permit es más usada y fácil de implementar, Default Deny, va a denegar todo el tráfico IP por defecto y requiere un estudio detallado del tráfico de la red para saber específicamente cual el tipo de tráfico que tienes y permitir específicamente lo que se desee. Para más información te invito a visitar el siguiente enlace
https://www.cisco.com/c/en/us/support/docs/cloud-systems-management/dna-center/215516-trustsec-whitelist-model-with-sda.html
Respuesta (Carlos N.): Buen día David, esta contraseña debe existir en los dispositivos de red Edge nodes y también en la sección de Network devices en el servidor ISE, regularmente para ambientes de SD Access es el Serial Number del dispositivo.
Respuesta (Carlos N.): Hola Patricio, es correcto. Si el tráfico es en ambos sentidos, ya no será necesario.
Respuesta (Kassandra H.): No. Tenemos el segundo método de propagación que es SXP, con el uso del servidor ISE. Inlinee tagging es utilizado únicamente cuando no se tiene la capacidad de habilitar TrustSec.
Respuesta (Alejandro Jon T.): No requiere versión específica; en el laboratorio se usó 2.3.5 e ISE 3.0
Respuesta (Alejandro Jon T.): Usando dominios de SXP o filtros de SXP; en ocasiones, SXP puede importar todos los mapeos de radius de la red a los SXP listeners. Si no es necesario, se puede desactivar.
Respuesta (Alejandro Jon T.): Lo ideal sería usar un SXP reflector para que el ISE no tenta tantos SXP listeners y sólo el reflector.
Respuesta (Alejandro Jon T.): Las sesiones de SXP pueden ser varias en el mismo dispositivo, y se requieren por cada VRF, la del underlay solo sería necesaria si quisieras aplicar reglas para el underlay.
Respuesta (Alejandro Jon T.): Depende del tipo de deployment de ISE; Standalone soporta 30,40 o 50 sesiones; PSNs dedicados de 200 a 400.
Respuesta (Alejandro Jon T): Para ver la grabación del webinar: https://community.cisco.com/t5/videos-routing-y-switching/video-cisco-trustsec-a-fondo-trbl-de-extremo-a-extremo-en-sda-y/ba-p/5203011
Para descargar la presentación: https://community.cisco.com/t5/eventos-de-tecnolog%C3%ADa-en-linea-y-webinars/cisco-trustsec-a-fondo-trbl-de-extremo-a-extremo-en-sda-y-sd-wan/ev-p/5169539
Para enviar nuevas preguntas: https://community.cisco.com/t5/eventos-de-tecnolog%C3%ADa-en-linea-y-webinars/ama-cisco-trustsec-a-fondo-trbl-de-extremo-a-extremo-en-sda-y-sd/ev-p/5203015
Nuestros expertos
Kassandra Hernández es Ingeniera en Comunicaciones y Electrónica -con especialidad en Comunicaciones- del Instituto Politécnico Nacional (IPN) en México. Ella Ingresó al programa de incubadoras de Cisco Academy en 2019 y posteriormente se unió al equipo del TAC de Cisco para la tecnología SD-WAN. Actualmente cuenta con cuatro años de experiencia en esta tecnología y se desempeña como Team Captain de SD-WAN. Ha creado documentación y además es miembro del comité organizador de nuestros webinars Community Live para español.
Alejandro Jon Torres es un Líder Técnico en las tecnologías de Catalyst Center (anteriormente Cisco DNA Center) y Software Defined Access. Con más de seis años de experiencia en Cisco, se ha especializado en tecnologías como Catalyst Switching, LISP, BGP, VXLAN y Fabric Wireless. También ha presentado en Cisco Live America, creando contenido para soluciones como Fabric Routing, Streamming Telemetry y Wide Area Bonjour. Además, Alejandro cuenta con la certificación de CCIE en Enterprise Infrastructure.
Daniel Maldonado es Ingeniero en Telecomunicaciones y Electrónica de la Universidad Del Valle de México (UVM). Ingresó al equipo del TAC de Cisco en 2022 para la tecnología SD-WAN y actualmente cuenta con dos años de experiencia en SD-WAN. Daniel también se ha desempeñado como ingeniero de TAC para la Tecnología Cisco Digital Network Architecture (Cisco DNA). Daniel ha creado videos públicos de SD-WAN para Cisco.
¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.
Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco:
Navegue y encuentre contenido personalizado de la comunidad