TAGS
red empresarial de hoy está cambiando rápidamente, sobre todo cuando se trata de la movilidad de los empleados. Los empleados ya no están atados a las estaciones de trabajo de escritorio, sino que acceden a los recursos de la empresa a través de una variedad de dispositivos: tabletas, teléfonos inteligentes, ordenadores portátiles y personales, sólo para nombrar unos pocos. La posibilidad de acceder a los recursos desde cualquier lugar en gran medida aumenta la productividad, sino que también aumenta la probabilidad de filtraciones de datos y amenazas a la seguridad, ya que no puede controlar la posición de seguridad de dispositivos que acceden a la red. Hacer un seguimiento de todos los dispositivos que acceden a la red es una tarea muy importante en sí mismo, y como la necesidad de un mayor acceso surge, más se convierte en insostenible de manejar.
La identidad del motor Servicios de Cisco (ISE) es un sistema de control de acceso a la red y la aplicación de políticas basadas en la identidad. ISE permite que un administrador de red para controlar de forma centralizada las políticas de acceso a los puntos finales cableadas e inalámbricas basadas en la información recopilada a través de mensajes RADIUS pasaron entre el dispositivo y el nodo de ISE, también conocido como perfiles. La base de datos de perfiles se actualiza de forma regular para mantenerse al día con las últimas y mejores dispositivos para que no haya lagunas en la visibilidad del dispositivo.
Esencialmente, ISE atribuye una identidad a un dispositivo basado en el usuario, función, u otros atributos para proporcionar la aplicación de políticas y cumplimiento de la seguridad antes de que el dispositivo está autorizado para acceder a la red. Con base en los resultados de una serie de variables, un punto final se puede permitir en la red con un conjunto específico de reglas de acceso aplicadas a la interfaz que se conecta a, de lo contrario puede ser completamente negada o el acceso para invitados determinado sobre la base de sus directrices específicas de la empresa .
Vamos a Analogizar ESDLA estilo de aclaración: ISE es Gandalf, y el dispositivo del usuario final es el Balrog perseguir. Creo que usted sabe a dónde va esto.
ISE un motor de la aplicación automática de políticas que se encarga de las tareas cotidianas del día a día como BYOD incorporación dispositivo, incorporación de huéspedes, cambios switchport VLAN para los usuarios finales, el acceso de gestión de listas, y muchos otros, por lo que un administrador de red puede centrarse en otra tareas importantes (y proyectos interesantes!).
La plataforma ISE es típicamente una implementación distribuida de nodos compuestos por tres personajes diferentes: Política nodo de administración (PAN), supervisar y resolver problemas de nodo (MNT), y la política de servicios de nodo (PSN). Se requieren las tres funciones de ISE para funcionar.
El personaje PAN es la interfaz de un administrador inicia sesión en el fin de configurar políticas. Es el centro de control de la implementación. Este nodo permite a un administrador para realizar cambios en la topología completa del ISE, y esos cambios son empujados hacia fuera desde el nodo de administración para los nodos Servicios de política (PSN).
El personaje de PSN es donde se toman las decisiones de política. Estos son los nodos en los que los mecanismos de control de la red envían toda la mensajería de red para; mensajería RADIUS es un ejemplo de lo que se envía al PSN. Los mensajes son procesados y el PSN da el go / no-go para el acceso a la red.
El personaje MnT es donde tendrá lugar el registro y se generan informes. Todos los registros se envían a este nodo y se ordena a través de ellos para que puedan ser reunidas en un formato legible. También se utiliza para generar diversos informes para que pueda hacer la gestión contento con bonitas imágenes y números (* guiño guiño *), así como notificarle de alarmas para ISE.
Lo que voy a decir aquí es probablemente la parte más importante de un despliegue: NO tratar de ahorrar dinero al renunciar a ALTA DISPONIBILIDAD! Estos nodos de control de acceso a toda la red. Si estos nodos bajan, que también podría tener un fallo en la red total, porque nadie saldrá autenticada o autorizado. ISE diseñar la mayor cantidad de alta disponibilidad como puede permitirse. La única vez que una implementación independiente es aceptable es que si usted está haciendo una prueba de concepto, muy pequeña que no afecta la producción de los usuarios finales.
La otra parte importante de un despliegue es el hardware elegido para poner en práctica el ISE. Ahora, Cisco ofrece una opción de ESX / ESXi, sin embargo, no recomiendo que por algunas razones. Primero y ante todo, la opción de aparato está probado y clasificado para escalar a un cierto número de puntos finales. Si se utiliza la opción de ESX / ESXi, usted está perdiendo un poco de que la previsibilidad. He dicho antes y lo diré otra vez, estos nodos de control de acceso a toda la red, por lo que si usted tiene un rendimiento impredecible, entonces usted tendrá problemas impredecibles. La otra cosa que no me gusta de una opción ESX / ESXi es la solución de problemas. Si usted tiene un problema con ISE, realmente queremos que resolvió rápidamente. Si está utilizando el despliegue VM y algo sale mal, usted tiene que abrir los billetes con Cisco, el fabricante de servidores, VMware y cualquier otra cosa que pueda ser ligado a su despliegue. Eso no es muy eficiente, y es muy probable encontrarse con un montón de proveedor señalar con el dedo antes de que finalmente obtener la emisiónresuelto. Si vas con la ruta aparato de Cisco, se abre un ticket con Cisco, y eso es todo! Smartnet cubre el software y el hardware, lo que hace que el proceso de resolución de problemas mucho más simple. Lo diré una vez más: Estos nodos de control de acceso a toda la red!
Dicho esto, vamos a entrar en las opciones de implementación reales:
Si usted está buscando las métricas de rendimiento para cada aparato, eche un vistazo a las guías de diseño he vinculado anteriormente. Hay un montón de cartas y otras golosinas para explicar todo.
¿Lo tengo? ¡Bueno! En la concesión de licencias a este chico malo!
ISE se ofrece en pocos sabores diferentes de licencias: basado en la funcionalidad o basado en el despliegue.
basado en la funcionalidad es la "a todo vapor" tipo de licencias en el que todos los dispositivos de acceso a la red son compatibles y conjuntos de características tienen licencia. Puede elegir entre la Licencia Base o Base Licencia avanzada. La Licencia Base es para implementaciones que sólo necesitan para autenticar y autorizar a los usuarios y dispositivos, usuarios prestación de huéspedes, en funciones de informes de acceso, y supervisar y solucionar problemas de acceso a la red. La licencia base es perpetua (que no tiene límite de suscripción plazo). La licencia avanzada se expande en la licencia base y permite a las organizaciones tomar decisiones más avanzados (que tiene todas las características interesantes que realmente desea en una implementación). Las características incluyen la incorporación de dispositivos y aprovisionamiento, perfiles de dispositivos y servicios de alimentación, servicios de postura, la integración de gestión de dispositivos móviles, y las capacidades de acceso a grupos de seguridad. Esta licencia es con una selección de las suscripciones de 3 ó 5 años plazo basadas plazo. La licencia de base es un requisito previo para la licencia avanzada.
licencias basado en el despliegue es el enfoque lento, gradual para la implementación de ISE. Este tipo de licencias le permite comenzar con solamente los puntos finales inalámbricos y ampliar al cable y VPN más tarde, cuando su organización está preparada. Debido a la complejidad de ISE, le recomiendo usar el enfoque por fases y realmente llegar a conocer el producto antes de extenderlo a la totalidad de la red. La Licencia Wireless incluye todo lo que hace el licencia avanzada de base, pero sólo se aplica a los dispositivos de acceso a redes inalámbricas. La licencia es inalámbrico con una selección de las suscripciones de 3 ó 5 años plazo basadas plazo. Esta licencia normalmente satisface la mayor parte de BYOD (Traiga su propio dispositivo) Gestión de políticas puede estar pidiendo. Una vez ISE ha demostrado ser eficaz en el frente inalámbrica, es por lo general bastante fácil de justificar de implementarla en los dispositivos de cable y VPN, así el uso de la licencia de actualización inalámbrica. La licencia de actualización inalámbrica es la misma que inalámbrico, pero amplía las funciones del ISE de red por cable y VPNdispositivos de acceso. También está disponible en términos de 3 ó 5 años.
Junto con la longitud del término, cada licencia tiene un límite de punto final (100, 250, 500, 1000, 1500, y así sucesivamente). Tenga en cuenta, este no es el total de puntos finales, pero los puntos finales al mismo tiempo autorizado. Si un punto final no está autorizado, esto no aumenta el número de licencias. Si un punto final está autorizado y luego sale de la red, la cantidad de licencias decrementos porque está autorizado de-.
¡ASI QUE! Espero que esta información ha sido útil. Es mucho para tomar, y hay muchos recovecos para navegar con el fin de tener una implementación exitosa ISE. Mantenga un ojo hacia fuera para la parte 2: Wireless ISE de implementación, donde voy a entrar en los detalles técnicos del tipo de despliegue mayoría de las organizaciones deciden empezar.
Como siempre, dejar un comentario más abajo o bien, enviando un correo electrónico a con cualquier pregunta!
.
