伊势设计-超越配置

 

 

定义安全策略

伊势要记住的一件事很重要,那就是它是对公司安全策略的控制,但不应为您编写安全策略,也不应该决定您的公司安全策略是什么。 如果不考虑公司安全策略并陈述您的目标,则永远不要开始计划ISE部署。不同的公司,行业,法规,审核员等可能会指导每个公司制定不同的安全策略,因此您应该部署ISE实施以补充该安全策略。 

我会提出的一些问题包括:

  • 我们要保护什么?
  • 我们是否需要根据角色,端点类型等来限制访问?
  • 是否需要全部或部分网络分段? 
  • 我们将要防止东西向交通以及南北向交通吗? 
  • 我们会允许BYOD吗?如果是这样,我们是否允许这些端点与内部资产对话?我们需要对这些端点进行什么级别的控制?
  • 访客访问是必需的吗?如果是这样,是否需要跟踪谁以访客身份进入网络? 
  • 我们会追踪和控制公司资产吗? 
  • 我们会根据这些公司资产的变化动态地限制访问吗?
  • 是否存在管理技术资产使用和限制的公司安全政策?我可以看看是否有吗?如果现在可以创建一个吗? 
  • 谁将在管理层中为该项目提供支持? <-这很重要。与您采用的所有新安全控制措施一样, 用户的访问权限将发生变化,如果人们没有以前拥有的自由度,那么这一定会使人们抱怨。如果您对此没有自上而下的支持,则没有简单的方法可以成功解决第8层问题。 

 

收集有关环境的更多信息

在了解了该ISE实施的目标之后,我喜欢使用Cisco 伊势高级设计之类的东西,您可以从ISE社区下载这些东西。 这里。这是一份计划文件,旨在了解公司希望实现的目标以及一些技术信息

在大多数情况下,没有人真正知道在任何给定时间该网络中有多少个端点,但是重要的是要计算出一个大概的数目以用于许可目的并计划如何调整部署规模。关于许可,请记住以下几点:许可是在网络上并发连接的端点上完成的。这意味着,如果您有一家从事轮班工作的公司,则需要一次估算出连接到网络的端点的最大数量,而不是一个24小时内网络上可能存在的端点的总数。  

有四种许可证类型:

  • 基础 -这些是永久许可证。无论连接到网络的每个端点如何,您都需要其中之一。 如果端点使用EasyConnect,802.1x,不带ISE CA的BYOD进行连接,则端点仅使用仅基本许可证 and Guest Access. 

 

  • -这些是订阅许可证,其用例如下:基于配置文件的访问,具有ISE CA的BYOD和pxGrid上下文共享。非常重要:如果要部署ISE进行有线访问,则还需要一些Plus许可证。原因是您将始终拥有要配置的设备,例如接入点,电话,打印机等。没有Plus许可证,您将制作静态MAC列表,这将无法扩展。您在Plus许可证中节省的所有资金最终将使您花费更多的管理费用,并且静态MAC列表也不是很安全。 注意:如果您的部署中具有单个Plus许可证,则您将从设备配置文件提要服务中获取详细信息,并且只要您在ISE中启用了配置文件并将数据发送到ISE进行收集,它就应该自动配置端点。不必担心这会导致您使用Plus许可证。在策略集中创建授权规则以基于该配置文件强制实施且该终结点命中该规则时,仅使用Plus许可证。除此之外,即使您没有强制执行,也不要害怕仍收集有关端点的那些详细信息。 

 

  • 顶尖 - 这些是订阅许可证。不要与AnyConnect Apex许可证混淆。当您使用姿势,MDM集成或通过Threat-Centric NAC缓解时,将消耗此许可证。  注意:如果使用的是AnyConnect而不是Temporal代理,则需要确保您具有单独的AnyConnect Apex许可证。 

 

  • 设备管理员- 这是永久许可证。可以将其视为ISE上ACS的TACACS +功能。需要注意的一件事是:每个ISE多维数据集一个许可证,而不是每个受管网络设备一个许可证,并且它不与任何其他许可证捆绑在一起。与您将根据受管设备购买的ACS不同,ISE不要求这样做。 您必须购买额外许可证的唯一例外是,如果您仅购买ddministration即可购买ISE。如果确实需要购买至少100个基本许可证,那仅仅是因为ISE需要至少100个基本许可证才能运行-它与受管网络设备数量无关。  

如果您想进一步了解许可模型,则下面将显示一个ISE许可的所有不同用例的漂亮图形:

在进一步了解基础架构之前,先了解业务需求也很重要,因为如果您发现业务需求是摆放所有公司资产而不是BYOD资产,那么在设计时要知道并牢记这一点是很好的因为您不必担心某人的电话或个人笔记本电脑。 

如前所述,很难准确确定网络上有多少个端点,但这是我的猜测的基础:

  • 企业用户-如果您考虑台式机,平板电脑或个人笔记本电脑和电话,他们中的大多数人均会有3个端点。根据最大班次在给定时间有多少用户在工作,这将给我一个总体上好的主意。 
  • 电话-IP电话通常不会断开与网络的连接,因为有人不在工作,但是企业正在使用CUCM或其他电话管理服务器,因此您可以获得非常准确的计数。根据电话制造商的不同,电话还可以使用内置的制造商证书或您在其中加载的其他证书来使用802.1x。这是为每部电话使用基本许可证与加号许可证,同时仍确保安全性的区别(没有静态MAC列表!)。 
  • 接入点-大多数企业都可以通过查看其无线控制器来大致了解这些接入点,它将帮助您确定环境中有多少接入点。它们也应始终保持连接。通常,配置它们很容易,但是根据制造商的不同,接入点也可能也执行802.1x。
  • 打印机,物联网设备等-可能很难找出来,但是应该有一个通用的数字可以找到。 

根据环境的大小,您还可以通过SNMP和NMAP分解ISE虚拟机和配置文件,以大致了解其中有多少个端点,从而作弊。它取决于环境,但是即使仅在一个示例站点上,它对于收集信息也很有用。 

有关该环境的另一项关键考虑因素是它是否是您要将ISE部署为虚拟机或设备的环境。很多人通常会很快说VM,但是在您跳到那之前,我希望您考虑一下这一点,因为它非常非常非常非常非常重要:

  • 您是否相信管理虚拟机的任何人都不会更改ISE VM或从中转移资源?

部署该ISE VM后,如果更改其上的任何资源,它将变得不稳定。即使RAM和CPU使用情况看起来不错,并且您决定仅从中取出1GB RAM,也不要这样做。它可能会导致非常大的问题,这些问题通常很难诊断。即使使用ISO在空白虚拟机上安装ISE,在安装后也不要更改它。如果您认为有人在不看时可能会改变它们,请使用物理设备。

注意:您也可以将物理设备和虚拟设备混合在一起使用。您不仅限于一种尺寸。 

 

设计您的ise多维数据集

在设计ISE多维数据集时,请考虑以下问题,并牢记从先前步骤中收集的信息:

  • 高峰时间有多少个并发连接的端点?确保在实际设计中考虑到未来20%至30%的增长(如果您不愿意,则不必许可-以后可以添加更多许可)。 
  • 部署的地理位置分布如何? 
  • 您是要将ACS迁移到ISE还是使用ISE进行设备管理?如果是这样,您的部署有多大? 
  • 您的公司希望哪种高可用性和冗余性?

在考虑并发连接的端点时,您应该更好地了解ISE角色,因为它将帮助您扩展ISE。在每个ISE部署中,您将拥有三个主要的ISE角色。它们可以生活在同一设备上,也可以分布。如何部署它们将决定如何扩展ISE。 

  • -在这里,您可以执行部署的所有管理。强烈建议您在部署中至少包含其中两个,无论您是在做两个ISE设备,且所有角色都作为“主/备用”对工作,还是具有完全分布式的部署。如果发生故障并且您没有备份,则无法管理ISE Cube
  • 锰T -这是ISE部署的日志收集器,用于存储来自各个PAN和PSN的所有日志消息。内置了高级监视和故障排除工具。还建议您在部署中至少使其中两个处于活动/备用状态。 
  • 序列号 -这些是ISE真正的主力军。他们将携带从PAN推送的配置,并回答从网络访问设备发送的所有RADIUS请求。如果这些服务已打开,它们还将执行PassiveID,SXP,设备管理(TACACS +)服务,配置文件等。 在撰写本文时,您在ISE部署中最多可以包含50个。 

另一个可选角色类型是pxGrid。这不是强制性角色,如果您不将ISE与第三方系统集成,则可能永远不需要使用它。如果您确实选择添加pxGrid节点,则可以在ISE多维数据集中最多添加2个pxGrid节点,它们以活动/备用状态运行。 

在计划的这一点上,您应该大致了解部署中将有多少个端点,因此让我们看一下自ISE 2.2 / 2.3起的一些可伸缩性数字:

  • 分布式部署- 这是如果您选择将PAN,MnT和PSN分离为一个完全分布式的部署:  
    • 如果您使用的是34xx系列物理设备(或类似大小的虚拟设备),则最多可以有250,000个并发连接的端点,最多可以部署40个PSN。
    • 如果使用35xx系列物理设备(或类似大小的虚拟设备),则最多可以有500,000个并发连接的端点,最多可以部署50个PSN。 
  • 中型部署- 在此部署中,您已将PAN和MnT角色合并在同一ISE设备上,但部署了单独的PSN
    • 如果您使用的是34xx系列物理设备(或类似大小的虚拟设备),则最多可以有5,000-10,000个并发连接的端点,最多可以部署5个PSN。
    • 如果您使用的是35xx系列物理设备(或类似大小的虚拟设备),则最多可以有7,500-20,000个并发连接的端点,最多可以部署5个PSN。
  • 小型部署- 这是在同一设备上具有PAN,MnT和PSN角色的部署。在此设置中,您仍然可以拥有两个设备,它们分别作为PAN / 锰T活动/备用和PSN服务的活动/活动而活动,以增加一些可用性
    • 如果使用34xx系列物理设备(或类似大小的虚拟设备),则最多可以有5,000-10,000个并发连接的端点
    • 如果使用35xx系列物理设备(或类似大小的虚拟设备),则最多可以有7,500-20,000个并发连接的端点。

完整的ISE性能& Scale Numbers

如果您认为您可能会在不久的将来扩展到超过20,000个并发连接的端点,那么您确实应该进行分布式部署。  

您还可以在以后添加节点并更改角色。如果您从小做起,并决定要分配更多的部署,则可以启动新的ISE VM或购买新的ISE设备并迁移角色,然后将该可伸缩性添加到现有ISE部署中。 

要考虑的另一件事是每种设备类型的最大并发会话数。根据您在部署中预期的端点数量,这可以决定要使用的设备类型。无论是从OVA部署ISE还是作为物理设备部署ISE,您实际上都在调整其大小,使其与物理设备的大小相同。  根据物理设备模型,您拥有有限的资源,并且需要了解每种模型的局限性:

  • SNS 3415(VM或硬件)-5,000个并发连接的端点
  • SNS 3495(VM或硬件)-10,000个并发连接的端点
  • SNS 3515(VM或硬件)-7,500个并发连接的端点
  • SNS 3595(VM或硬件)-20,000个并发连接的端点

知道这些模型限制很重要,因为如果您将太多的交换机指向同一个PSN,则如果您使单个设备过载,则ISE部署的分布将无关紧要。如果部署规模较大,则可能需要考虑以下想法,以防止单个PSN被过多的请求过载:

  • 在关键站点上具有本地ISE设备或VM,以为本地客户端提供服务,然后在数据中心中具有备份ISE设备。如果由于WAN断开而使PSN与PAN断开连接,它仍将继续为端点提供服务。 802.1x和AD登录仍然可以使用-您将无法创建新的访客帐户,配置新的端点或对PSN进行配置更改。在网络访问设备上进行配置时,可以轻松地使本地PSN成为配置中RADIUS组中的第一台RADIUS服务器,并在其后列出备份。 
  • 集中PSN,并将其放在负载均衡器后面。如果其中一个PSN发生故障,这不仅可以确保无缝故障转移,而且还可以确保如果发生故障,其余PSN之一不会过度使用。将负载平衡器放在ISE 序列号的前面是受支持的设计,您可以通过以下方式在ISE社区中阅读详细信息: 这里.
  • 按地理区域集中PSN,并确保每个区域的交换机配置都不同,以指向正确的PSN。如果这是大规模ISE部署,则我不愿采用此选项,因为我希望尽可能地标准化我的所有交换机配置,并且您必须希望每个Jr Network Admin都能为该区域正确配置区域性交换机。 

设计中要考虑的重要问题不是仅使用适当数量的PSN进行扩展,而是要确保一个或两个PSN的故障情况不会使您陷入一个PSN因过度使用而导致性能下降的情况。 

就地理距离和延迟而言,它在ISE的早期版本中曾经是一个更大的问题,但在ISE的更高版本中已得到改进。当ISE 1.1发布时,PAN与任何其他ISE设备之间的延迟只有100毫秒,这使得大型地理部署变得更加棘手。值得庆幸的是,从ISE 2.1及更高版本开始,任何单独的ISE设备之间最多可以有300毫秒的延迟。在大多数情况下,这通常可以很好地解决问题,但某些亚洲国家/地区对美国可能会有问题,因此提前进行评估很重要。以我的经验,如果您超过300ms,它将不会破坏ISE中的任何内容 情况,但此时用户体验将开始受到损害,您不希望那样做。 

需要考虑不同ISE节点之间的某些带宽需求。为了规划您的带宽需求,思科提供了ISE带宽和延迟计算器 这里。如果带宽有限, 我强烈建议在不同的ISE节点之间实施一些QoS。 

在将ISE用于TACACS +时,如果您具有中小型部署,最好将其全部与一个服务一起在一个ISE多维数据集上运行。如果您认为自己是中型或大型部署,我将指导您转向针对这些设备管理服务的单独ISE多维数据集。 TACACS +的每个平台的性能确实取决于,但是这里是来自 伊势 2.2+部署规模和限制指南 在ISE社区中找到:

如果您只有几个网络工程师,那看起来似乎可以很好地扩展,但是假设您有一些脚本化的进程或每天或每两个小时运行一次进程的网络管理系统?如果您有成百上千的交换机,那将开始加起来。同样重要的是要注意,执行TACACS +服务的PSN也使用相同的MnT,如果您要对脚本或管理系统所做的一切进行大量的命令说明,则如果将MnT节点与大型ISE结合使用,可能会给MnT节点带来压力。网络访问的部署。如果您担心您的部署太大而无法部署在同一个ISE多维数据集中,那么我要谨慎一点,只是站起一个专用于TACACS +的单独ISE多维数据集。 

当谈到ISE时,我接下来要谈的就是高可用性和冗余。取决于业务,被认为是可接受的风险是高度主观的。例如,军事或国防部门可能要求,除非首先进行识别和认证,否则什么都不能进入网络;如果发生故障,则拒绝服务是首选选择,而医疗行业则倾向于“失败开放”策略因为服务的可用性比锁定它更重要。

以下是我通常与客户讨论的一些常见选项: 

  • 完全冗余 -如果安全性对您至关重要,并且即使在WAN发生故障的情况下也必须对所有内容进行网络身份验证,则需要考虑这一点。在这里,您可以在每个站点或关键站点上部署PSN-可能还与域控制器一起部署。如果PSN完全失去了与PAN和MnT的连接,它将仍然能够为其现有的会话,802.1x,现有的访客,现有的已配置终结点等提供服务。它将无法配置新设备或创建新设备。来宾帐户,但是在这种情况下,安全性比立即为环境添加新来宾更为重要。
  • 伊势节点位于集中位置,但仍是冗余的 -如果WAN完全掉线,这会带来一定的风险,但仍然是可以接受的设计-尤其是如果站点上有多余的WAN电路会降低风险。 
  • RADIUS无效方案:退回到VLAN或无法打开 -如果您已经集中了PSN,而网络访问设备无法访问它,则它们最终将达到RADIUS服务器的停滞时间。根据交换机的配置方式,如果RADIUS服务器被声明为死机,则可以使它本质上“失败打开”,或者仅对特定VLAN失败。当RADIUS服务器再次处于活动状态时,端点将通过常规身份验证并根据其应具有的访问权限来更改访问权限。  
  • RADIUS停用方案: Critical ACL -IBNS 2.0部署指南中对此进行了介绍,您可以阅读有关它的更多信息 这里。如果部署指南对您来说有点密集(对我来说),那么我建议您阅读Aaron Woland BYOD第二版的第11章,将其精妙地分解为4页。此选项使您能够在RADIUS服务器无法访问的情况下应用“关键ACL”。您还可以将其配置为“ ip allow any any”,并且实质上无法打开它。 

根据企业希望接受的风险,如果公司对我上面指定的其中一个无效场景没有问题,那么这可以指导您确定部署了多少个ISE设备,其数量是否超过端点数量或更少。

 

为ISe部署准备环境

这可能是我在任何初始ISE部署中看到最多问题的部分。如果您已经完成了高级设计,拥有了管理层的支持,确定了网络上有多少个端点,并且已经设置了ISE设备,就可以开始了。向右走?等一下!仍有几件事情要考虑: 

#1-请求方配置和对Active Directory的依赖关系  如果您使用的是802.1x,则需要确保正确配置了端点。如果您仅打开有线的802.1x,而不对端点进行任何操作, 我的朋友,您将会度过非常糟糕的一天。进行部署时,我希望使该配置对用户尽可能透明,以便让您的服务器管理员参与创建组策略,以将请求方配置推送到PC。您还可以按一下SSID设置,以便它们立即无缝地跳到正确的SSID上。与您的管理员讨论将要部署哪种802.1x设置(EAP-TLS,PEAP-MSCHAP等),并确保在开始测试任何强制措施之前首先部署该策略。 

有关如何配置证书模板的说明,请阅读以下博客文章: 服务器 2012配置-证书模板

F或有关如何配置组策略对象并使所有配置对最终用户完全无缝的说明,请阅读以下博客文章: 服务器 2012配置-组策略创建

最后但并非最不重要的一点是,我希望您的企业拥有某种系统,以确保企业拥有的PC获得某种定期的修补程序。  802.1x几乎不是什么新鲜事物,但是您可能需要考虑在环境中的旧PC上检查驱动程序,以确保它们是最新的并支持802.1x。如果没有,请确保更新驱动程序。我不认为这是一个大问题,因为大多数组织都对其企业PC进行了某种生命周期管理,但是每隔一段时间,我会遇到一台古老的企业拥有的PC,它们以某种方式被遗漏了以进行修补,这是一个终点有问题。通常,更新驱动程序可以解决此问题。

如果要改用PassiveID的路线,我将确保与服务器团队进行通信,将代理部署在域控制器上,或者推送适用的WMI设置。在继续之前,进行测试以确保您从PassiveID的ISE实时日志中看到登录事件。 

 

#2-网络设备- 尽管我想说的是那古老的CatOS交换机上已有15年历史的代码可以与ISE或任何其他NAC完美配合,但可能不行,我们不要尝试。  我知道我在这里听起来很傻,但是这些都是我以前曾尝试在生产中部署的东西,我敦促任何将部署ISE的人生活和爱上它。 伊势兼容性矩阵 哪种礼品包装了您的ISE版本所支持的平台,最低的代码版本和 经过验证的操作系统。我的建议是对经过验证的操作系统进行标准化,或者使其尽可能接近标准化,以便您接近ISE业务部门已经过全面测试和验证的代码版本。

我的用于确定在ISE部署中使用哪种代码的系统通常涉及提取ISE兼容性列表,然后在该平台的Cisco.com下载页面上进行比较。如果该平台有TAC推荐的通用代码版本,并且与兼容性列表中的经过验证的版本接近,那么我将在生产中部署该版本。在下图中,Catalyst 3850声明运行ISE的IOS的最低版本为IOS-XE 3.3.5.E,但有效的操作系统版本为3.6.5E。在“下载”页面上,TAS建议使用IOS-XE 3.6.6E(MD),它与经过验证的版本非常接近。在这种情况下,我将在3.6.6E(MD)上标准化我的所有IOS-XE 3850,从而避免过去遇到任何奇怪的开关错误。 

 

另一个原因是代码很重要,因为根据代码的发行版或系列,您可能在推荐代码与非推荐代码中具有某些功能。例如,某些交换机支持ISE的最低代码版本为12.2列,但直到15.x才引入设备传感器。必须在较旧的代码上使用SNMP会增加CPU周期。

我想说的是,在任何大型企业中,您通常都会对代码版本进行一些标准化,但是过去我一直对此感到失望。 如果不是这样,我建议您在部署ISE之前这样做,以减少使用不同网络访问设备出现问题的可能性。 还有一些工具,例如Prime Infrastucture或Solarwinds,它们可以为您提供交换机代码版本并为您推送升级。另一个选项是称为ISE部署助手(IDA)的工具,您可以试用5天,该工具将与您的基础架构联系,以检查型号,代码版本等,以查看您的网络访问设备是否已准备好用于ISE。如果您想试用ISE部署助手,可以下载它 这里

#3-标准化网络访问设备配置- 可能是因为环境中存在大量不同的代码,因为未遵循建议2,或者由于有人开始删除配置以解决不相关的问题,而是创建了一个模板来配置所有交换机并坚持使用。我什至会使用我的网络管理工具来确保它们保持合规性。

注意: 可能无法使每个开关标准化。例如,如果您具有混合的Cisco和非Cisco环境,则可能必须在非Cisco交换机上使用SNMP,并在Cisco交换机上使用设备传感器进行配置。我仍将为类似组的网络访问设备创建标准模板。

#4-了解网络访问设备的硬件限制- 根据您的业务需求以及所需的粒度,如果采用某种部署策略,您可能会发现自己具有一定的硬件限制。  例如,如果您有严格的策略仅允许访问50多个不同端口上的某些域控制器或服务器,而您的策略是在该访问列表中定义20个左右的服务器IP,则可能会发现自己的TCAM空间已用尽与DACL。如果您的业务需求是更大的东西向分段,而简单的VLAN分段则无法解决,并且您具有TCAM限制,那么您可能必须考虑使用安全组标记(SGT)的不同实施策略。在开始实际部署ISE之前了解这些限制非常重要,因为在部署过程中进行大规模重新设计从来都不是一件容易的事。 

#5-尽快开始分析- 在执行任何形式的强制措施之前,我建议配置网络访问设备以将所有配置信息发送回ISE。配置并打开RADIUS,DHCP,Active Directory,DNS等探针,并尽可能多地获取有关网络上端点的详细信息,以便您可以将类似的端点分组在一起以制定策略。能够制定有效策略的一半是首先了解网络中的内容。 
 

#6-了解您的请求者- 不,我不是要剖析。例如,如果您的企业中有Mac或Linux计算机,则应考虑它们。与Windows PC可以通过组策略轻松地配置其请求者不同,某些公司端点可能需要通过BYOD功能之类来注册,或者只是通过Casper之类的方式推动其配置,以确保您在所有范围内都提供可扩展且一致的配置您的端点。 

 

#7-了解端点的局限性- VLAN是一种流行的分段方法,但是我很少看到的一件事是DHCP更改。借助AnyConnect状态模块,您可以使其触发DHCP释放并在PC端点上续订,但是对于不知道您刚刚更改了VLAN的非PC设备,他们如何知道应该发出DHCP请求?电话应该是一个问题,因为它仅在语音VLAN上获得IP,并且您可以允许语音域权限,但其他端点可能有问题。您可以将ISE配置为在成功进行身份验证后执行端口反弹,这将触发端点上的DHCP,但是这可能会导致PoE设备必须在初始连接时重新启动。设计实现时需要深思熟虑,并且需要考虑一些事项。 

#8-一直在测试- 伊势具有出色的将策略置于监控器模式的能力,并且能够逐个交换机甚至逐个端口地将端点迁移到实施模式。使用监控器模式,您可以像执行策略一样测试策略,而不会破坏单个端点。这使您能够在迁移到住宅之前真正微调您的策略。经过测试 我将从试点用户组开始执行,然后根据结果,将其缓慢地推广到环境的其他部分。 

#9-与最终用户交流- 每当您限制对资源的访问时,它肯定会引起某人的注意。如果部署了ISE,而您突然开始阻止用户的个人设备,则他们会很快注意到。沟通是关键。让他们知道您将要进行更改,以及他们将遵循的新政策是什么。这有助于保持期望的一致性,并避免打给您的服务台的电话。

 

部署期间和之后

现在,您已开始在强制模式下推出ISE。你现在在干什么?首先,我建议您在到达那里之前先制定第2天的计划。如果出现任何问题,谁来支持?如果您没有对此进行适当的计划,那么您将得到每次呼叫服务台的错误密码输入。 

我建议为服务台创建一个故障排除指南,以解决诸如密码输入错误或请求方配置错误之类的简单问题。强迫他们在给您打电话之前使用它,以免您被困于支持作为ISE问题而传递的粗手指。这是过去几年中我多次使用的好模板:

服务台故障排除指南

我要提出的另一项建议是彻底记录ISE部署并说明部署的设置方式。使用Visio可以创建一个图表,说明如何在网络中设置单个ISE设备,以便其他设备在您不在时可以进行故障排除。思科非常友善,还提供可以下载的Visio模具 这里。我建议您既要进行任何设备堆叠的物理图,又要进行设计的逻辑图。 

我建议创建的另一个文档是ISE部署和策略的AS构建。本文档应详细说明策略,设置,体系结构,DACL,配置文件,证书等,以使他人知道其构建方式以及构建原因。作为成功完成的项目的一部分和移交给运营的一部分,这应该是可交付的。 这是我最近几年使用的一个模板:

伊势 AS-Build