отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 

Вебинар: "Cisco ISE в управлении доступом к сети" - вопросы и ответы

Введение

 

Read the bio

В ходе презентации преподаватель учебного центра «Сетевая Академия ЛАНИТ» Александр Стрельцов расскажет вам о решении, которое позволяет управлять процессами идентификации и контроля доступа к сети. А также вы сможете ознакомитьсяь с сервисами, предоставляемыми платформой Cisco ISE, и способами их внедрения в сетевую инфраструктуру.

 

Вопросы и ответы

 

Q: ­Интересно, в России есть успешные реализации этого хозяйства на предприятиях >> 1000 пользовтелей?­

A: При автономной реализации Cisco ISE поддерживает до 2000 конечных устройств. При распределенной реализации может поддерживать несколько десятков тысч конечных устройств.

 

Q: ­Можно ли в правилах авторизации использовать аттрибуты из радиус запросов напрямую и как? Есть примеры?­

A: ISE использует атрибуты для создания правил аутентификации и авторизации, имеет системные словари и словари, которые вы можете редактировать.

 

Q: ­Умеет ли Cisco ISE защищать сетевой порт от атаки типа MAC Spoofing?­

A: Cisco ISE позволяет проверить, кто подключается к порту сетевого устройства, по множеству параметров. При этом, позволяет одновременно аутентифицировать пользователя и устройство.

 

Q: ­Как Cisco ISE будет реагировать с точки зрения профилирования устройства, если под одним и тем же MAC вначале был телефон, потом Windows машина, потом UNIX?­

A: Думаю, что создаст несколько профилей, а как на это реагировать вы определите в политике.

 

Q: ­Может ли Cisco ISE выполнять проверку машины по реестру или на работающий антивирус (posture check) без установки агента на машину пользователя?­

A: Эти функции выполняет сервис Posture.

 

Q: ­Можно ли держать в каждом филиале свой сервер PSN, на котором будет свой гостевой портал?­

A: Можно

 

Q: ­Матрица Trustsec хранится в ISE или для этого нужен Cisco Prime?­

A: Не нужен. Матрица разрешений создается в ISE и передается сетевым устройствам

 

Q: ­Как работает Concurrent Authentication? Аутетнтификация же происходит последовательно, а здесь явно распараллелизация процесса­

  • Устройство пытается получить доступ к сети через NAD
  • Начинается аутентификация
  • В зависимости от условий, к NAD передается политика авторизации (может быть ограниченной)
  • Сервисы posture и профилирования не обязательны. Если они используются то механизм CoA (изменение авторизации) может передать к NAD другие привилегии

 

Q: Может ли политика профилирования изменить категорию устройства по мере исследования устройства, и в этом случае сработают ли автоматически заново политики аутентификации/авторизации?­

A: Да. Сервис профилирования в ISE – отдельный информационный поток. Можно считать, что этот сервис предоставляет атрибут конечному устройству в группе идентичности для политики авторизации. В зависимости от принадлежности к определенной или неопределенной группе идентичности устройству можно назначить разные привилегии. Для модернизации политики авторизации используется сообщение CoA.

 

Q: ­А возможна передача SGT-метки через устройства, которые про SGT ничего не знают?­

A: Да, для этого используют протокол SXP

 

Q: ­Добрый день. По какому протоколу ISE управляет устройствами доступа? Например добавляются dACL.

A: dACLs передаются к NAD в сообщениях RADIUS

 

Q: ­Где применяются списки доступа для сеанса устройства ­

A: На устройствах NAD

 

Q: ­Подскажите, пожалуйста, в каком месте сети, с точки зрения архитерктуры, должна ставиться система ISE? Через нее нужно передавать весь трафик для применения политик, или все устройства так или иначе обращаются к ISE, и на основе политик принимаются решения­

A: ISE можно разместить в центральном месте сети. ISE принимает политические решения, в ней определяется политка. Применение политики реализуют NAD.

 

Q: ­Имелась ввиду снижение задержек во времени при аутентификации, т.к. при заданной последоватльности 802.1х->mab->webauth придется долго ждать, для этого есть в последних версиях Concurrent Authentication, вот и вопрос про то как это работает?­

A: Если в вашей сети есть много устройств, которые используют MAB, можно указать нужную вам последовательнось методов аутентификации на интерфейсе, командой authentication order .

 

Q: ­Что нового в версии 2.0 и для кого имеет смысл переходить на нее с версии 1.4 ?­

A: В новой версии ISE позволяет разворачивать такие сервисы, как профилирование, оценка состояния, гостевой доступ и BYOD на устройствах сетевого доступа, произведенных сторонними производителями (не Cisco).

Добавлена  поддержка TACACS+, протокола позволяющего контролировать административный доступ к сетевому оборудованию.

 

Хотите узнать больше информации об этом событии?

 

Спросить эксперта    Contest-green-button-russian.jpg 

     

История версий
Редакция №
1 из 1
Последнее обновление:
‎12-24-2015 07:42 AM
Автор обновления:
 
Метки (1)