↑ Retornar para Problemas do mundo real

Cisco ISE + BYOD

Home Fórum Problemas do mundo real Cisco ISE + BYOD

Este tópico contém 15 respostas, possui 7 vozes e foi atualizado pela última vez por  alexandrevprado 5 anos, 10 meses atrás.

Visualizando 16 posts - 1 até 16 (de 16 do total)
  • Autor
    Posts
  • #47981

    miovieira
    Participante

    Boa noite á todos.

    Estou em um projeto para a implementação do Cisco ISE, vamos utilizar com 802.1x e mab. Estou em lab fazendo testes, a integração com o A.D. foi tranquilo ainda está pendente a instalação da WLC, onde vamos fazer os testes de BYOD e Wireless. Gostaria de saber se alguem já implementou o Cisco ISE e trocar experiencia, pois essa é a primeira vez que implemento esse equipamento.

    Abs!

    0

    0
    #108695

    thiago.mello
    Participante

    @miovieira,

    Não tenho experiência com esta tecnologia mas tenho curiosidade em aprender sobre ela. Não posso te ajudar muito mas caso possível poste detalhes sobre a implantação e utilização da solução BYOD.

    Valeuu

    0

    0
    #108696

    zekkerj
    Participante

    @miovieira: "vamos utilizar com 802.1x e mab"

    ??? mab ???

    0

    0

    -----------------------------------------------------------------------------
    Receba Johrei e purifique seu Espírito.
    http://www.messianica.org.br/o-johrei.jsp

    #108697

    miovieira
    Participante

    @zekkerj – Isso mesmo, o mab será usado para impressoras, relógios de ponto, catracas eletronicas, ou seja, todo elemento que não suporte 802.1x. Atualmente muitas empresas removem 802.1x e colocam port-security para estes devices conseguirem acessar a rede.

    @thiago.mello – Conforme conseguir avançar com certeza posso colocar mais detalhes aqui, realmento estou achando muito interessante, inclusive as configurações de Switch que são necessárias para suportar o ISE.

    0

    0
    #108698

    Wellington
    Participante

    miovieira,

    Estou atuando em um projeto parecido, no entanto, estou apenas com a parte de wireless, a qual já implantei e está funcionando com o ACS.

    Só que agora iremos trocar as funcionalidades de 802.1X do ACS para o 802.1X no ISE e utilizar mais features que o ISE nos dispõe, de postura e etc, com CWA para Guest e etc.

    Atualmente o 802.1x do ACS só está para parte de wireless com Dynamic VLAN por grupo no AD, com a vinda do ISE, iremos manter o mesmo ambiente wireless e realizar pequenas alterações, iremos aplicar 802.1X para cabeada que ainda não tem, após isso realizar as configurações de postura para ambos ( wireless e cabeada ).

    Estou acompanhando a parte do ISE em conjunto com o especialista da minha empresa para esta e futuras implantações. Atuo hoje diretamente com o ACS e NPS da Microsoft para autenticações 802.1X, estou acompanhando o especialista para começar a realizar futuras implantações, caso necessário.

    0

    0
    #108699

    miovieira
    Participante

    Olá Wellyngton, obrigado pela resposta.

    Estou estudando bastante pelo PEC e pelos materiais disponíveis no site da Cisco, o ISE parece ter muitas funcionalidades e estou achando muito legal, hoje eu tambem trabalho com o ACS 5.x. Já estou com a configuração para aplicar 802.1x na cabeada praticamente pronta, vou testar amanhã logo cedo. Talvez a pessoa que está te acompanhando já saiba, mas NTP e DNS são obrigatórios. Amanhã posto os resultados dos 802.1x.

    Abraço.

    0

    0
    #108700

    Wellington
    Participante

    Sim, tem muitas funcionalidades miovieira, eu e meu companheiro de trabalho estamos fazendo um laboratório para validação antes da implementação simulando o ambiente do cliente e está funcionando muito bem tanto em cabeada quanto em wireless, interessantíssimo.

    Em relação ao DNS e NTP é obrigatório até para a integração/sincronização com o AD, além de um certificado válido deve ser emitido para o ISE da CA e o da CA também deve ser inserido no mesmo para integração e confiabilidade, similar ao ACS.

    Aguardo o post dos resultados.

    Abraços.

    0

    0
    #108694

    thdiani
    Participante

    mioiveira,

    Ja fiz integração total (cabeada + wireless) com o ISE. Te digo que para mab a solução ainda esta mto “crua” e apresenta diversos problemas, sendo necessário aplicações de patch em cima patch.

    A integração com o wireless é de certa forma tranquila, dependendo do que você ira implantar (postura, pre-auth, etc…).

    Se tiver duvidas, me fale que posso te ajudar.

    Abs

    0

    0
    #108701

    miovieira
    Participante

    Olá pessoal!

    @Wellyngton como vai? Na segunda-feira fiz os testes e com MAB e funcionou perfeitamente, amanhã vou fazer os testes com o dot1x, já tenho uma máquina no dominio e outra ficará fora do Dominio, ou seja, espero uma funcionar e a outra não. Ainda preciso subir uma CA no Win2k8 e fazer a config do ISE.

    @thdiani tudo bem? Que legal saber que já fez a integração, ainda estou em LAB e vou postando aqui os resultados positivos e negativos. Estou me baseando pelo TrustSec 2.1, onde possui diversos exemplos praticos e bem interessantes, mas nada como uma experiencia pratica como a sua.

    Obrigado.

    0

    0
    #108702

    miovieira
    Participante

    Boa noite á todos.

    Wellyngton hoje fiz os testes de dot1x wired e funcionou, mas tive que fazer um “tchu-bira-biron” como eu não tenho uma CA não fiz o procedimento do certificado, desta forma o computer client com Windows7, tentava se autenticar mas como não validava o certificado tomava erro de authenticação, no Windows desmarquei a opção para validar o certificado e a autenticação funcionou. Vou instalar uma CA no Windows 2k8 e ver se resolvo esse problema. O próximo passo agora é alterar a autenticação default, no lugar de Drop ativar o Captive Portal, vamos ver se vai dar certo.

    Abs!

    0

    0
    #108703

    Wellington
    Participante

    miovieira,

    Interessante.

    Acredito ser muito importante instalar a CA para testes de autenticação com EAP-TLS e EAP-PEAP com integração com o AD e o ISE tanto na cabeada quanto na wireless.

    Abraços.

    0

    0
    #108704

    miovieira
    Participante

    Bom dia.

    Eu vou ver se consigo instalar amanhã e alterar a authentication default para Captive Portal.

    Algo que ainda estou estudando é sobre o uso do certificado entre o AD e uma maquina que não faz parte do domínio, como isso vai beneficiar principalmente a parte de byod.

    É isso ae, vamos que vamos!

    0

    0
    #108705

    miovieira
    Participante

    Boa noite a todos.

    Wellyngton/thdiani – Fiz a parte do certificado e funcionou numa boa no Windows xP SP3, no Windows7 a maquina recusava o certificado, acredito ser algum patch do Windows que esteja faltando, desativando a opção de validar o certificado funcionou numa boa.

    Criei a rede Guest e a WEBAUTH para Captive Portal e alterei a authorização Default de Deny any any para WEBAUTH, mas não funcionou.

    Coloquei uma maquina no Switch, a porta configurada com dot1x/mab, entretanto esse device é como se fosse um computador do usuário, sem regra no dot1x (pq não está no domínio) e sem MAB (pq não está cadastrada), esperava que a máquina pegasse um IP da minha vlan e depois fosse redirecionada, mas ela tomava um Deny direto na porta do Switch. Se vcs tiverem alguma recomendação para me passar agradeço, ainda assim continuo estudando por conta e quebrando o coco mas está valendo muito a pena.

    Abs!

    0

    0
    #108706

    alexandrevprado
    Participante

    Boa tarde Pessoal,

    O ISE pode ser implementado em qualquer máquina virtual ou precisa ser apenas no BE6000?

    Abcs!

    0

    0
    #108707

    Edson
    Participante

    Na verdade o ISE tem uma máquina física específica, teoricamente o BE6K seria apenas para aplicações de collaboration, mas como é um ESXi, nada impede de instalar outras coisas.
    Eu coloquei um Prime Security num BE6K essa semana para fazer uns testes…
    Casa de ferreiro, espeto de pau, rsrs

    0

    0
    #108708

    alexandrevprado
    Participante

    Edson,

    Ouvi dizer que o ISE tem um appliance ou poderia ser virtualizado.
    A minha dúvida é que se a opção virtualizada deverá ser apenas em servidores Cisco ou qualquer hardware desde que as VMs atendam às especificações.

    Abcs.

    0

    0
Visualizando 16 posts - 1 até 16 (de 16 do total)

Você deve fazer login para responder a este tópico.