el - fecha de última edición por
Jimena Saez
Presentación del webinar Community Live
Descubre el Poder de la Integración de ISE con CatC y FMC vía PxGrid
Con la colaboración de Ernesto Cruz, Luis Orozco y René García.
En este webinar, exploraremos la segunda versión del framework pxGrid y su uso por parte del Cisco Identity Service (ISE), cuya funcionalidad principal integrarse con plataformas de Cisco y de múltiples proveedores. Se abordarán temas de integración de Cisco ISE con Cisco Catalyst Center, anteriormente conocido como DNA, y con Cisco Secure Firewall Management Center (FMC). Además, trataremos técnicas de troubleshooting para optimizar la solución y resolver problemas comunes.
Recuerde que la presentación está disponible en pdf para su comodidad. Si este documento le ha resultado útil, no olvide calificar esta publicación con un voto de utilidad para validar su relevancia. ¡Muchas gracias!,
¿Cómo enviar una pregunta?
Ponemos a su disposición nuestro evento Ask Me Anything (AMA) en cuyo foro podrán externar dudas y solicitar apoyo de nuestros expertos en casos específicos de los temas abordados. ¡Esperamos sus preguntas!
Lista de las Q&A del webinar Community Live
Encuentre la lista de preguntas formuladas durante el seminario web Community Live de nuestro evento. Cualquier duda que no haya sido respondida durante la sesión será resuelta posteriormente aquí o en el foro de "Preguntas".
Lista de Preguntas y Respuestas (Q&A)
- Descubre el Poder de la Integración de ISE con CatC y FMC vía PxGrid
- Pregunta: Yo tengo una duda sobre la escalabilidad de los SGTs con respecto a ISE y Catalyst Center. ¿Existe alguna guía que me permita diseñar correctamente mi segmentación sin tener que usar decenas de miles de SGT? Gracias. - Eduardo C. (min.15)
- Pregunta: Buenos días, ¿podrían compartirme en dónde podríamos encontrar la grabación? ¡Muchas gracias! - Manuel M. (min.40)
- Pregunta: ¿El common name puede ser el que queramos? - José M. (min.49)
- Pregunta: ¿En qué parte del SAN ? - José M. (min.52)
- Pregunta: Para poder validar los usuarios, ¿es requerido tener la integración entre el FMC y el Directorio activo?, o tan solo que el Directorio activo esté integrado con el ISE ya con la herramienta pxGrid podemos ver los usuarios en el FMC. - Leona...
- Pregunta: Los privilegios del usuario deben ser admin? - Jesús S. M. (min.64)
- Pregunta: Para la integración del ISE, con el AD ¿tendrán algún detalle de los permisos que debe tener el usuario de conectividad? Porque el usuario por políticas no puede ser admin de AD. - Josué Salvador Ch. L. (min.85)
- Pregunta: Sí tengo 2 clúster de servidores ISE, No puedo utilizar en DNA - Carlos G. (min.93)
- Pregunta: ¿Talos se puede sincronizar con el ISE ? - Erick A. (min.94)
- Pregunta: ¿Es posible integrar un ISE contra un FDM en lugar de un FMC? - Fidel V. (min.94)
- Pregunta: ¿El FMC puede hacer el mapeo de usuario-IP con el AD sin la necesidad del ISE o ISE PIC? - Oliver Gabriel G. (min.94)
- Pregunta: ¿Cuáles son las aplicaciones de estas integraciones que más se utilizan? - Derlis R. (min.95)
- Pregunta: Consulta el PxGrid tenía entendido que se utiliza para 3ras marcas, ¿esto quiere decir que no se integra nativamente con ISE? - Alex L. (min.96)
- Pregunta: Para uso de laboratorio el CCC ¿qué requisitos se requieren para la máquina virtual? - R. (min.97)
- Pregunta: ¿Puedo integrarle al Catalyst Center los Wireless LAN Controller? - Jeremy David M. V. (min.98)
- Pregunta: ¿El XDR de trendmicro, se puede asociar por medio de PxGrid al ISE? - Erick A. (min.99)
- Pregunta: ¿Cuál es el objetivo o beneficio de integrar ISE con CCC y FMC? - Martín (min.103)
- Pregunta: Con ISE utilizo LADP, que pasa con Catalyst Center al decir que LDAP no está soportado - Carlos G. (min.104)
- Pregunta: Muchas gracias Ian - Martín (min.108)
- Pregunta: Con las configuraciones del usuario de permisos, en las guías es posible publicar imágenes del AD?, porque normalmente es otra área quien administra AD - Josué Salvador Ch. L. (min.110)
Pregunta: Yo tengo una duda sobre la escalabilidad de los SGTs con respecto a ISE y Catalyst Center. ¿Existe alguna guía que me permita diseñar correctamente mi segmentación sin tener que usar decenas de miles de SGT? Gracias. - Eduardo C. (min.15)
Respuesta (Glen Juárez O.): Este documento podría ayudar: https://www.cisco.com/c/dam/en/us/solutions/collateral/enterprise-networks/trustsec/branch-segmentation.pdf
Respuesta (Ian A. Huerta): Hola Eduardo, gracias por la pregunta, en caso de tener integrado Cisco CATC con Cisco ISE podemos definir políticas usando la siguiente guía:
https://www.cisco.com/c/en/us/td/docs/cloud-systems-management/network-automation-and-management/dna-center/2-3-7/user_guide/b_cisco_dna_center_ug_2_3_7/m_configure-group-based-access-control-policies-and-analytics.html
Pregunta: Buenos días, ¿podrían compartirme en dónde podríamos encontrar la grabación? ¡Muchas gracias! - Manuel M. (min.40)
Respuesta (Glen Juárez O.): La grabación se publicará aquí:
https://community.cisco.com/t5/videos-seguridad/video-el-poder-de-la-integraci%C3%B3n-de-ise-con-catc-y-fmc-v%C3%ADa/ba-p/5260190
Pregunta: ¿El common name puede ser el que queramos? - José M. (min.49)
Respuesta (Glen Juárez O.): Sí, siempre y cuando la información adecuada se encuentre en el SAN.
Pregunta: ¿En qué parte del SAN ? - José M. (min.52)
Respuesta (Iván Villegas): Aquí nos referimos al Subject Alternative Name, en el cual debe venir el FQDN del FMC, opcionalmente se puede incluir la IP del FMC también.
Pregunta: Para poder validar los usuarios, ¿es requerido tener la integración entre el FMC y el Directorio activo?, o tan solo que el Directorio activo esté integrado con el ISE ya con la herramienta pxGrid podemos ver los usuarios en el FMC. - Leonardo S. (min.54)
Respuesta (Jonathan D. Casillas): FMC no necesita conectarse con AD para recibir los mapeos de usuario-IP por parte de ISE. En las primeras versiones sí era necesario.
Respuesta (Christian Hernández R.): El ISE comparte el mapeo ¨usuario + IP¨ al FMC, pero es recomendable tener el FMC integrado con el Directorio Activo también, así el FMC tendrá acceso directo a la información de los usuarios.
Pregunta: Los privilegios del usuario deben ser admin? - Jesús S. M. (min.64)
Respuesta (Glen Juárez O.): Lo más fácil es usar privilegios de admin.
Pregunta: Para la integración del ISE, con el AD ¿tendrán algún detalle de los permisos que debe tener el usuario de conectividad? Porque el usuario por políticas no puede ser admin de AD. - Josué Salvador Ch. L. (min.85)
Respuesta (Adrián Lira R.): This question has been answered verbally.
Respuesta (Adrián Lira R.): Aquí se pueden ver los permisos que necesita la cuenta para la integración de ISE-AD: https://www.cisco.com/c/en/us/td/docs/security/ise/2-3/ise_active_directory_integration/b_ISE_AD_integration_2x.html
Pregunta: Sí tengo 2 clúster de servidores ISE, No puedo utilizar en DNA - Carlos G. (min.93)
Respuesta (Ian A. Huerta): Hola Carlos, gracias por la pregunta! Cisco DNA Center/Catalyst Center solo podrá integrarse con 1 instancia de Cisco ISE, en caso de estar hablando de un clúster de diferentes nodos de Cisco ISE, podemos integrar el clúster de Cisco ISE.
Pregunta: ¿Talos se puede sincronizar con el ISE ? - Erick A. (min.94)
Respuesta (Iván Villegas): Por el momento, ISE no se puede integrar con Talos
Respuesta (Jonathan D. Casillas): Puede usarse una feature en ISE llamada TC-NAC para integración con plataformas de seguridad para la gestión de vulnerabilidades como Qualys.
Pregunta: ¿Es posible integrar un ISE contra un FDM en lugar de un FMC? - Fidel V. (min.94)
Respuesta (Adrián Lira R.): This question has been answered verbally.
Respuesta (Glen Juárez O.): https://www.cisco.com/c/en/us/td/docs/security/firepower/660/fdm/fptd-fdm-config-guide-660/fptd-fdm-identity-sources.html
Pregunta: ¿El FMC puede hacer el mapeo de usuario-IP con el AD sin la necesidad del ISE o ISE PIC? - Oliver Gabriel G. (min.94)
Respuesta (Christian Hernández R.): No, el mapeo de Usuario - IP no lo puede hacer el FMC por sí solo, esta info es forzosa se reciba del ISE usando pxGrid.
Pregunta: ¿Cuáles son las aplicaciones de estas integraciones que más se utilizan? - Derlis R. (min.95)
Respuesta (Glen Juárez O.): Esta integración es altamente usada para segmentación. Por medio de Catalyst center configuras el Fabric y defines las reglas de segmentación. ISE procede a distribuir las políticas a los network devices y por último la integración con FMC sirve para segmentar el área de perímetro de red.
Respuesta (Iván Villegas): Otra aplicación bastante utilizada es a la hora de crear ACPs en FMC basadas en usuarios, gracias a la información que ISE provee a FMC por medio de pxGrid.
Pregunta: Consulta el PxGrid tenía entendido que se utiliza para 3ras marcas, ¿esto quiere decir que no se integra nativamente con ISE? - Alex L. (min.96)
Respuesta (Glen Juárez O.): PxGrid es un framework que se usa en 3rd party y también en productos Cisco como Catalyst center y FMC
Respuesta (Adrián Lira R.): Con respecto a ISE ¿aquí se pueden consultar los requerimientos de la máquina virtual para evaluación (laboratorio)? https://www.cisco.com/c/en/us/td/docs/security/ise/3-3/install_guide/b_ise_installationGuide33/b_ise_InstallationGuide33_chapter_2.html
Pregunta: Para uso de laboratorio el CCC ¿qué requisitos se requieren para la máquina virtual? - R. (min.97)
Respuesta (Glen Juárez O.): CCC = Cisco Catalyst Center
Respuesta (Luis Fer Orozco): https://www.cisco.com/c/en/us/td/docs/cloud-systems-management/network-automation-and-management/catalyst-center/catalyst-center-va/esxi/2-3-7/deployment-guide/b_cisco_catalyst_center_237x_on_esxi_deployment_guide.html
Respuesta (Iván Villegas): CCC tiene esta ventaja, aquí la documentación: https://www.cisco.com/c/en/us/products/collateral/cloud-systems-management/dna-center/cat-center-2-3-7-virtual-app-vmware-esxi-ds.html
Pregunta: ¿Puedo integrarle al Catalyst Center los Wireless LAN Controller? - Jeremy David M. V. (min.98)
Respuesta (Ian A. Huerta): Hola Jeremy, claro Cisco CATC soporta la integración de diferentes WLC podemos checar el soporte para esto en el siguiente link https://www.cisco.com/c/dam/en/us/td/docs/Website/enterprise/catalyst_center_compatibility_matrix/index.html
Pregunta: ¿El XDR de trendmicro, se puede asociar por medio de PxGrid al ISE? - Erick A. (min.99)
Respuesta (Glen Juárez O.): Esto depende de si XDR es capaz de usar PxGrid V2 y de si tiene el código necesario para integrarse a los tópicos de ISE. Recomiendo checar directamente con trendmicro.
Respuesta (Jonathan D. Casillas): Hola Eric, en el siguiente enlace puedes encontrar también las integraciones disponibles https://community.cisco.com/t5/security-knowledge-base/ise-berg/ta-p/5041171/redirect_from_archived_page/true
Pregunta: ¿Cuál es el objetivo o beneficio de integrar ISE con CCC y FMC? - Martín (min.103)
Respuesta (Adrián Lira R.): This question has been answered verbally.
Respuesta (Ian A. Huerta): Hola Martin, gracias por la pregunta añadiendo información a la respuesta en vivo, también es posible el macro y micro segmentation de la red con la ayuda de Cisco ISE en Cisco CATC, ya que con Cisco CATC es posible hacer el deployment de redes SDA
Pregunta: Con ISE utilizo LADP, que pasa con Catalyst Center al decir que LDAP no está soportado - Carlos G. (min.104)
Respuesta (Jimena Sáez S.): This question has been answered verbally.
Respuesta (Luis Fer Orozco): Tenemos que usar OCPS o CDP. Ya que si la CA pide LDAP, CCC no es capaz de validar el certificado. Se espera que en un futuro esto sea soportado.
Pregunta: Muchas gracias Ian - Martín (min.108)
Pregunta: Con las configuraciones del usuario de permisos, en las guías es posible publicar imágenes del AD?, porque normalmente es otra área quien administra AD - Josué Salvador Ch. L. (min.110)
Respuesta (Adrián Lira R.): This question has been answered verbally.
Nuestros expertos
Ernesto Cruz es Ingeniero en Sistemas Digitales y Robótica egresado del Instituto Tecnológico y de Estudios Superiores de Monterrey, Campus Estado de México. Se unió a Cisco en 2019 a través del programa de prácticas profesionales, para posteriormente trabajar en tecnologías como VPN, SD-WAN y AAA, siendo esta última su especialidad. Está certificado en CCNP Enterprise, DevNet y Cybersecurity lo que le permite ofrecer soluciones efectivas a problemas en la plataforma ISE (Identity Services Engine) y sus múltiples integraciones. En la actualidad, se desempeña como Experto en Materia (SME) dentro de su equipo, especialmente en temas relacionados con pxGrid, API y performance, consolidándose como un punto de escalación clave para estos tópicos.
Luis Orozco es Ingeniero en Tecnologías de Información y Comunicaciones con especialidad en Desarrollo de Software egresado del Instituto Tecnológico y de Estudios Superiores de Monterrey (ITESM), Campus Chihuahua. Se unió a Cisco en 2017 a través de un programa de reclutamiento para recién egresados obteniendo la certificación CCNP R&S. Inicialmente se desempeñó como consultor de R&S y Data Center, y desde 2019 se ha desempeñado como ingeniero de soporte para el equipo de TAC de switching y Cisco Catalyst Center. Luis está certificado en CCNP Enterprise, CCNA DevNet, CCDA y CCNP Data Center. Actualmente se desempeña como Ingeniero Senior de Escalación para el equipo de Catalyst Center.
René García es Ingeniero en Telecomunicaciones y Sistemas Electrónicos egresado del Tecnológico y Estudios Superiores de Monterrey, Campus Ciudad de México. Cuenta con más de ocho años de experiencia en el sector de soporte para tecnologías de la información. Se unió a Cisco en 2020 al equipo de NGFW como ingeniero de soporte, y ha desarrollado su carrera en el sector de Seguridad con especialización en Firewall. Actualmente se desempeña como Experto en Materia (SME) para temas de integración de Identity y LINA.
Si usted tiene dudas o está experimentando problemas técnicos con alguno de los productos Cisco, publique su pregunta, solicite información o utilice el motor de búsqueda de la Comunidad de Cisco en español, antes de abrir un caso con el TAC.