ISE.

ISE.自定义配置文件:看不到树木的森林

谈到剖析端点时,我注意到即使是一些偏心的工程师甚至也认为它是幕后发生的神奇和模糊的东西。这也不是ISE。我不认为我已经看到了一个网络访问控制产品,其具有100%的分析保真度或颗粒,因为客户可能会期望它。我会说,ISE的内置配置文件可能会识别至少高级的90%的端点。这个博客帖子的目的是帮助删除一些“后面的场景”魔法,以便您为您提供貌相。

ISE..C3PL开关配置

在此博客文章中,我将以不同的方式进行不同的方式来为ISE配置交换机,称为Cisco Common Classification策略语言(C3PL)。我已经知道这一配置一段时间,但我会承认我并没有真正尝试学习它,直到最近。如果您读取了IBNS 2.0部署指南这里,它非常令人生畏,令人渴望的65页长度长,像典型手册一样读。我最终阅读了jamey howsy和aaron woland的Cisco ISE为BYOD第二版他们在4页上漂亮地打破了它,让我走了“c3pl。”

ISE..2.3 - 被动ID&

在这篇文章中,我将查看ISE的ISE的PassiveID功能,这是ISE 2.2和2.3的新功能。在这个特定的帖子中,我会从ISE 2.3做这一切,但请记住,也可以从ISE 2.3完成所有这些。在ISE 2.0中,有一个已添加的功能,称为easychonnect,它利用来自Active Directory域控制器的WMI日志来检查登录事件。根据这些登录事件,ISE将决定授予访问权限。这允许ISE授予超出典型802.1x和分析方法的网络访问。这效果良好,但需要大量的后端工作来准备Active Directory来共享WMI日志,如果您读过我的早期帖子这里,您将看到我的意思是ISE的创建者决定改变此过程并在ISE 2.2及更高版本中创造更好的方法。 

ISE..2.1 - TrustSec概述和ISE配置

在此博客文章中,我们将在ISE 2.1中查看TrustSec的配置。此配置也适用于ISE 2.0以及大多数情况。虽然Trustsec不是安全的ISE部署所需的配置,但它肯定有一些很大的优势。它是一种安全架构,利用安全组标签(SGT),允许网络强制执行访问控制策略,降低ACL复杂性,并且可以在其他安全设备中用于策略,当我备用PxGrid时,我将在后面的博客文章中进一步进一步在不同的系统上。 

ISE..2.0 - Profiling

在一个完美的世界中,您可以使用DOT1X向网络验证您的主机或通过Guest门户网站进行验证,但实际上,并非每个连接到网络的设备都有能力导航Guest流程或利用DOT1x。不幸的是,我们大多数人都没有生活在一个完美的世界里,并且必须将设备连接到我们的网络,如手机,IP摄像机,打印机,徽章读者,接入点等,因此,剖析进来。什么是会做什么是从NAD中收集一系列属性,即端点连接到并基于这些属性集合,ISE能够确定端点是什么样的设备

ISE..2.0 - Hotspot Policy

在这篇文章中,我将要配置热点访问权限。热点访问与ISE中的常规访客访问有点不同。热点的用例是您可能希望允许客人访问Internet而不发出凭据或直接识别它们但仍有一些级别的控制。一个例子是如果您拥有一系列零售店,您希望为您的客户提供给互联网的客人,您不希望它们必须自我注册或披露有关他们身份的信息。热点将是提供访问的解决方案。使用热点访问权限,您可以拥有一个品牌门户的营销原因,让用户接受AUP的法律原因,将它们重定向到您的公司页面或使用最新优惠/优惠券的网页,您甚至可以进入访问权限您在此位置显示的代码,以将随机连接从建立中的用户中没有位置。