Cisco Support Community
отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
Cisco Employee

Спросить эксперта: "ISE, использование решения в корпоративных сетях"

с Евгением Корнейчуком

 

Read the bio

Cisco Identity Services Engine является платформой следующего поколения для управления процессами идентификации и контроля доступа, которая позволяет организациям обеспечить соблюдение нормативных требований, повысить уровень защищенности корпоративной ИТ-инфраструктуры и упростить управление работой сетевых сервисов. Благодаря уникальной архитектуре решения, предприятия могут в режиме реального времени получать из сетей, от пользователей и устройств контекстную информацию, необходимую для принятия упреждающих решений по предоставлению доступа. Все решения принимаются на основании единой политики доступа, распространяющейся на проводные сегменты сети, беспроводные сегменты сети и подключения удаленного доступа.

В ходе сессии "Спросить Эксперта" инженер Cisco TAC Евгений Корнейчук ответит на Ваши вопросы об основных настройках ISE и об использовании решения в корпоративных сетях для контроля доступа и администрирования устройств.

 

Евгений - инженер центра технической поддержки Cisco в Кракове, работает в группе Security и занимается поддержкой AAA/VPN направлений (технологий виртуалных частных сетей и контроля доступа к сети), а также продуктов/технологий линейки безопасности, что включaет в себя ISE/ACS/802.1x/GETVPN/DMVPN/AC VPN/etc. Обладает сертификатом CCIE SECURITY #43253.

 

Пожалуйста,  не забывайте оценивать ответы Евгения, чтобы он знал, что Вы получили  совет, который Вам помог. Общение может быть продолжено на нашем форуме и после окончании сессии. Сессия начнется 09 февраля и продлится до 20 февраля 2015 года.

Мы с нетерпением ждем Вашего участия.       

Теги (5)
12 ОТВЕТ.
New Member

Здраствуйте, как связать

Здраствуйте,

 

как связать Prime infrastructure+ISE.

как на ise использовать просто функционал  radius?

на данный момент существует связка ise + WLC (guest+dot1x через AD)

что где смотреть? (логи, и прочее...).

 

Cisco Employee

Куат, здравствуйте.Q1. как

Куат, здравствуйте.

Q1. как связать Prime infrastructure+ISE.

A1. Здесь описано как можно связать PI и ISE http://www.cisco.com/c/en/us/td/docs/net_mgmt/prime/infrastructure/2-0/user/guide/prime_infra_ug/setup_monitor.html.

Q2. как на ise использовать просто функционал  radius?

A2. ISE сам является Radius сервером, соответственно имея 802.1х через AD вы используете Radius.

Q3. что где смотреть? (логи, и прочее...).

A3. Логи можно посмотреть здесь:

Operations -> Authentications

 

 

New Member

Дано: Cisco ISE 1.2

Дано: Cisco ISE 1.2.1

Подскажите пожалуйста, какие модели смс-шлюзов (точно проверено, протестировано) могут работать с данной версией ISE и осуществлять функции аутентификации гостевого доступа в wifi сеть с гостевым порталом.

 

И какие возможны варианты взаимодействия: пользователь -- ISE

В частности: пользователь заходит в гостевой портал, вводит свой номер телефона и ему приходит смс с логином и паролем для доступа в wifi сеть.

 

Заранее спасибо.

 


 

Cisco Employee

Павел, здравствуйте.По поводу

Павел, здравствуйте.

По поводу поддержки SMS шлюзов:

http://www.cisco.com/c/en/us/td/docs/security/ise/1-3/admin_guide/b_ise_admin_guide_13/b_ise_admin_guide_sample_chapter_0101.html#concept_03C1F152683147A3AE4F77B4D5213D55

По поводу возможностей, вот отличный документ:

http://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/116918-configure-ise-00.html

Вообще функионал SMS лучше использовать на ISE 1.3

New Member

Добрый день!Не подскажете по

Добрый день!

Не подскажете по настройке Cisco WLC 5760 + Cisco ISE 1.3

Есть ли какие-либо best practices по настройке версии ISE 1.3

Так же возникает проблема с установкой авторизации по сертификатам. Инструкции от предыдущих версий не хотят корректно работать.

И третий вопрос по настройке сети для гостевого доступа.

http://www.cisco.com/c/en/us/support/docs/wireless/5700-series-wireless-lan-controllers/117717-config-wlc-00.html

При использовании данной инструкции в итоге получается следующее:

DHCP запрос и ответ проходят, беспроводный клиент получает адрес, ISE отправляет ответ о необходимости редиректа, но редиректа не происходит.

Cisco Employee

Здравствуйте.Q1. Есть ли

Здравствуйте.

Q1. Есть ли какие-либо best practices по настройке версии ISE 1.3

A1. Я думаю configuration guide/статьи, написанные TAC инженерами, можно считать за best practice

Q2. Так же возникает проблема с установкой авторизации по сертификатам. Инструкции от предыдущих версий не хотят корректно работать.

A2. Я так понимаю речь об EAP-TLS? Убедитесь, что все сертификаты корректно установлены. Логи с ISE тоже могут помочь.

Q3. И третий вопрос по настройке сети для гостевого доступа.

A3. Я бы копал в сторону WLC, раз ISE отправляет то, что нужно.

 

New Member

Добрый день! Пробуем

Добрый день! Пробуем настроить BYOD с сертификатами. При запросе сертификатов для устройств у AD CS в логах появляется следующая ошибка (сам сервис выдачи сертификатов доступен и работает). Не подскажете в чем может быть ошибка?

2015-02-18 13:19:56,615 INFO   [portal-http-service10][] com.cisco.cpm.scep.ScepCertRequestProcessor -:::::- About to forward certificate request CN=administrator,SERIALNUMBER=35 799705 744710 0,OU=Example unit,O=Company name,L=City,ST=State,C=RU with transaction id CFAF4ED4785C597894ECB77736562C6F3CE72EE0 to server http://192.168.232.143/certsrv/mscep/
2015-02-18 13:19:58,439 WARN   [New I/O client worker #1-3][] com.cisco.cpm.scep.ScepCertRequestProcessor -:::::- Couldn't find failover server for SCEP certificate request for CFAF4ED4785C597894ECB77736562C6F3CE72EE0 failed
java.io.IOException: org.jscep.transport.HttpException: Bad Request
    at org.jscep.transport.ScepAsyncHandlerImpl.onThrowable(ScepAsyncHandlerImpl.java:50)
    at org.jscep.transport.ScepAsyncHandlerImpl.onStatusReceived(ScepAsyncHandlerImpl.java:42)
    at com.ning.http.client.providers.netty.NettyAsyncHttpProvider.updateStatusAndInterrupt(NettyAsyncHttpProvider.java:1587)
    at com.ning.http.client.providers.netty.NettyAsyncHttpProvider.messageReceived(NettyAsyncHttpProvider.java:1242)
    at org.jboss.netty.channel.SimpleChannelUpstreamHandler.handleUpstream(SimpleChannelUpstreamHandler.java:80)
    at org.jboss.netty.channel.DefaultChannelPipeline.sendUpstream(DefaultChannelPipeline.java:545)
    at org.jboss.netty.channel.DefaultChannelPipeline$DefaultChannelHandlerContext.sendUpstream(DefaultChannelPipeline.java:754)
    at org.jboss.netty.handler.stream.ChunkedWriteHandler.handleUpstream(ChunkedWriteHandler.java:148)
    at org.jboss.netty.channel.DefaultChannelPipeline.sendUpstream(DefaultChannelPipeline.java:545)
    at org.jboss.netty.channel.DefaultChannelPipeline$DefaultChannelHandlerContext.sendUpstream(DefaultChannelPipeline.java:754)
    at org.jboss.netty.channel.Channels.fireMessageReceived(Channels.java:302)
    at org.jboss.netty.handler.codec.replay.ReplayingDecoder.unfoldAndfireMessageReceived(ReplayingDecoder.java:522)
    at org.jboss.netty.handler.codec.replay.ReplayingDecoder.callDecode(ReplayingDecoder.java:506)
    at org.jboss.netty.handler.codec.replay.ReplayingDecoder.messageReceived(ReplayingDecoder.java:443)
    at org.jboss.netty.channel.SimpleChannelUpstreamHandler.handleUpstream(SimpleChannelUpstreamHandler.java:80)
    at org.jboss.netty.handler.codec.http.HttpClientCodec.handleUpstream(HttpClientCodec.java:77)
    at org.jboss.netty.channel.DefaultChannelPipeline.sendUpstream(DefaultChannelPipeline.java:545)
    at org.jboss.netty.channel.DefaultChannelPipeline.sendUpstream(DefaultChannelPipeline.java:540)
    at org.jboss.netty.channel.Channels.fireMessageReceived(Channels.java:274)
    at org.jboss.netty.channel.Channels.fireMessageReceived(Channels.java:261)
    at org.jboss.netty.channel.socket.nio.NioWorker.read(NioWorker.java:349)
    at org.jboss.netty.channel.socket.nio.NioWorker.processSelectedKeys(NioWorker.java:280)
    at org.jboss.netty.channel.socket.nio.NioWorker.run(NioWorker.java:200)
    at org.jboss.netty.util.ThreadRenamingRunnable.run(ThreadRenamingRunnable.java:108)
    at org.jboss.netty.util.internal.DeadLockProofWorker$1.run(DeadLockProofWorker.java:44)
    at java.util.concurrent.ThreadPoolExecutor$Worker.runTask(Unknown Source)
    at java.util.concurrent.ThreadPoolExecutor$Worker.run(Unknown Source)
    at java.lang.Thread.run(Unknown Source)
Caused by: org.jscep.transport.HttpException: Bad Request
    at org.jscep.transport.ScepAsyncHandlerImpl.onStatusReceived(ScepAsyncHandlerImpl.java:41)
    ... 26 more

Cisco Employee

Здравствуйте.На вскидку:https

Здравствуйте.

На вскидку:

https://tools.cisco.com/bugsearch/bug/CSCuq80632/?reffering_site=dumpcr

Обычно такие проблемы решаются в кейсах, посоветовал бы побольше "KT" работало ли раньше, если да, то что изменилось. и так далее.

New Member

https://"ISE"/admin/#pageId

https://"ISE"/admin/#pageId=com_cisco_cpm_web_page_policy_authorization

rule  | ------------------------------- |conditions(identity) |   ----------------       | permissions|

Work_peap ============== wireless_802X_work ========      Work_peap

Work_AP ================ work and wired_MAB    ========      Work_AP

wireless_guest============guest_type and all_device========Guest_internet

wireless_CWA=================all_device=================Guest_CWA

default ===================deny access

 

вопрос:

в сети два ssid (guest(гостевой ), work(dot1x))

беспроводной клиент (802X, и guest)  спустя какое то время(видать идет переаутентификация) попадают под правило guest_CWA (получается под последнее)

и клиент гостевой и 802x, попадают в гостевой vlan.

гостевому необходимо заново вводить лого-пасс. 802.1x вкл.выкл wifi.

где искать ?

 

 

 

Cisco Employee

Куат, здравствуйте. Смотрел

Куат, здравствуйте.

 

Смотрел бы, как говорится в корень. А именно на отчеты, почему после какого-то времени пользователи не попадают под необходимые правила. Обычно это говорит о несоблюдении "conditions".

По поводу реаутентификации, интересная версия, можете сравнить время отчетов(первого и следующего проблемного), и убедиться является ли это проблемой.
 

New Member

Спс,вот при идеальном

Спс,

вот при идеальном варианте: клиент гостевой, все у него ок (кидает на веб аутентификация+маб).

1) ушел из зоны действия сети (либо сетвая карта ушла типа в режим спячки(экономии энергии)) и пришел обратно.....

какие процедуры он должен пройти?

и еще что нужно ему при себе иметь.(куки браузера?!), ("забыть сеть"-типа параметры wifi), +мак.

2).и какие процедуры пройдет 802x ? (здесь параметры wifi сохранены)

 


 

Cisco Employee

Куат, здравствуйте. Q1/Q2.

Куат, здравствуйте.

 

Q1/Q2. ушел из зоны действия сети (либо сетвая карта ушла типа в режим спячки(экономии энергии)) и пришел обратно.....

какие процедуры он должен пройти?

и еще что нужно ему при себе иметь.(куки браузера?!), ("забыть сеть"-типа параметры wifi), +мак.

A1. Здесь нужно смотреть в сторону контроллера и wi-fi карт.

661
Просмотры
25
Полезный материал
12
Ответы
СоздатьДля создания публикации, пожалуйста в систему