Download - Управление сетевым доступом для корпоративных и персональных устройств с помощью Cisco ISE
© 2011 Cisco and/or its affiliates. All rights reserved. 1© 2011 Cisco and/or its affiliates. All rights reserved. 1
Cisco Expo2012
Управление сетевым доступом корпоративных и персональных устройств с Cisco ISEВладимир ИлибманИнженер-консультант
© 2011 Cisco and/or its affiliates. All rights reserved. 2
Управление доступом в сеть для интеллектуальных устройств1. Архитектура Cisco для управлением сетевым доступом2. Как и зачем идентифицировать тип сетевого устройства3. Как в сети отличить корпоративные и персональные
устройства 4. Хотим управлять мобильными устройствами
сотрудников - системы Mobile Device Management5. Дизайны внедрения Cisco ISE– рекомендации и лучшие
практики6. Миграция на Cisco ISE c Cisco NAC и Cisco ACS
© 2011 Cisco and/or its affiliates. All rights reserved. 3
РОСТ НЕ-ПОЛЬЗОВАТЕЛЬСКИХ
УСТРОЙСТВ
РОСТ ПЕРСОНАЛЬНЫХ
УСТРОЙСТВБЫСТРЫЙ РОСТ
ЧИСЛА УСТРОЙСТВ
БЫСТРЫЙ РОСТБЫСТРЫЙ РОСТЧИСЛА УСТРОЙСТВЧИСЛА УСТРОЙСТВ
К 2015 году 15 миллиардов устройств будут подключаться к сети
На каждого пользователя приходится 3–4 устройства
40 % сотрудников приносят свои собственные устройства на работу
© 2011 Cisco and/or its affiliates. All rights reserved. 4
Принтеры
Факсы/МФУ
IP телефоны
IP камеры
Беспроводные APs
Управляемые UPS
Хабы
Платежные терминалы и кассы
Медицинское оборудоваие
Сигнализация
Станции видеоконференций
Турникеты
Системы жизнеобеспечения
Торговые машины
. . . и многое другое
Кофеварки
© 2011 Cisco and/or its affiliates. All rights reserved. 5
Набор для подключения к сети Интернет новый мир к@фе Модель IMPRESSA F90 первая совместимая с
Интернет бытовая кофемашина для приготовления экспрессо
С помощью набора Internet Connectivity© Вы можете связать свою машину с персональным компьютером и сетью Интернет.
Запрограммируйте на компьютере ваши любимые рецепты и загрузите их в кофе-машину.
© 2011 Cisco and/or its affiliates. All rights reserved. 6
КудаКуда должны иметь должны иметь доступ доступ пользователи и устройствапользователи и устройства? ?
““КтоКто” и “” и “ЧтоЧто” находится в моей сети? ” находится в моей сети?
Как Как управлятьуправлять доступомдоступом??
© 2011 Cisco and/or its affiliates. All rights reserved. 7
Управляем доступом в сеть на основе политик“Кто” и “Что”находится в моей сети?
Куда могут иметь доступ пользователи/устройства?
Как управлятьдоступом?Центр обработки
данныхИнтранет Интернет Зоны безопасности
Инфраструктура с контролем идентификации
и учетом контекста
IP-устройства
Удаленный пользователь, подключенный
по VPN
Пользователь беспроводной
сети / гостьСотрудник
Клиент виртуальной
машины
ИспользованиеИспользование существующейсуществующей инфраструктурыинфраструктурыИспользованиеИспользование существующейсуществующей инфраструктурыинфраструктуры
Эффективноеи
централизованное
управление
Контрольдоступа на
основе политики
Прозрачная идентификация
© 2011 Cisco and/or its affiliates. All rights reserved. 8
Управление доступом на основе
политик
РеализацияРеализацияполитикполитик
ИдентификацияИдентификацияпользователя и пользователя и
устройстваустройства
Доступ на основе идентификации — это не опция, а свойство сети, включая проводные, беспроводные сети и VPN
Catalyst 2900, 3560, 3700, 4500, 6500, Nexus 7000, инфраструктура беспроводной сети и маршрутизации
Cisco ASA, ISR, ASR 1000
Identity Services Engine (ISE) Identity Services Engine (ISE)
Агент NAC Web-агент
AnyConnect или встроенный в ОС клиентКлиент 802.1x
Бесплатные клиенты
© 2011 Cisco and/or its affiliates. All rights reserved. 9
Безопасность основанная на идентификации и контексте
КОГДАЧТОГДЕ
КАККТО
Идентификацияв контексте
АтрибутыАутентификации,Авторизации,Учета (AAA) Cisco ISE
Политика безопасности
Пользователи и Устройства
Реализация политики(VLAN, ACL, SGT)
RadiusSNMPDHCPNetFlow…
Radius
AD/LDAPСетевые устройства доступаВнешний каталог
Сетевые устройства доступа
© 2011 Cisco and/or its affiliates. All rights reserved. 10
Сервисы
Технологии реализации
политик
Протоколы и стандарты
Гостевойдоступ и BYOD
MABWebAuth
Политика
Security Group ACLVLAN
Оценка состояния
(NAC)Профилирование
устройств
ИдентификацияАутентификация
Авторизация
Radius802.1X-REV
ACL
MacSec(802.1AE)
Security GroupTagging и SXP
© 2011 Cisco and/or its affiliates. All rights reserved. 11
ИДЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЯ802.1X
NAC агентWebAuth
Маша Петрова Федор Калязин
Шлюз камеры видеонаблюдения
Вася Пупкин Личный iPad
Сотрудник, служба маркетингаСлужебный десктоп
ГостьБеспроводная сетьMacBook Air
Автономный ресурсКонсультантЦентральный офис, отдел стратегийСлужебный нетбук
Собственность гостяБеспроводный центральный офис
Сотрудник, Контрактник или Гость ?Роль в организации ?Дополнительные атрибуты из внешнего каталога ?
ИДЕНТИФИКАЦИЯ УСТРОЙСТВА
MAC802.1x
Профилирован
Тип и класс устройства ?Корпоративное или персональное ?Соответствие политике ?
“Интеграция сервисов идентификации и контроля доступа. Решение Cisco ISE” :http://www.ciscoexpo.ru/expo2011/downloads/materials/секurity/voilibma_ISE_expo.pdf
© 2011 Cisco and/or its affiliates. All rights reserved. 12
© 2011 Cisco and/or its affiliates. All rights reserved. 13
PCs Non-PCsUPS Phone Printer AP
1. Идентификация может проводиться• Статически (вручную)• Динамически (профилирование)
2. Результаты идентификации (Identity Group) используются в Политике Авторизации Cisco ISE
© 2011 Cisco and/or its affiliates. All rights reserved. 14
• Одно устройствДобавляем вручную• Множество устройств
LDAP импорт
•
Импорт файлов
© 2011 Cisco and/or its affiliates. All rights reserved. 15
Профилирование обеспечивает возможность автоматической классификации устройства:
• Обнаружение и классификация основаны на цифровых отпечатках устройств
• Дополнительные преимущества профилированияНаблюдаемость: Взгляд на то, что находится в вашей сети
• Профилирование основано на эвристикеВыбирается “наилучшее” предположение
• Профилирование дополняет идентификацию по MAC-адресам или 802.1x
RADIUS
DHCP
DNS
HTTP
SNMP Query NetFlow
DHCPSPAN
SNMP TrapNMAPNMAP
© 2011 Cisco and/or its affiliates. All rights reserved. 16
Политика использует комбинацию условий для идентификации
MAC адрес из OUI Apple
DHCP:host-nameСОДЕРЖИТ iPad
IP:User-AgentСОДЕРЖИТ iPad
Библиотека профилей
ID Group “iPad”
Присвоить MAC Адрес к
ID Group “iPad”
Я считаю, что это
скорее всего iPad
Я считаю, что это устройство
скорее всего iPad
© 2011 Cisco and/or its affiliates. All rights reserved. 17
Сенсор(Probe)
Основные атрибуты
Механизм профилирования
RADIUS Calling-Station-IDFramed-IP-Address
Считывает MAC Address -> OUI = для идентификации вендораустройства. Дает информацию для работы других сканеров
SNMP MAC Address/OUICDP/LLDP, ARP
SNMP Trap и Query. Считывает информацию о MAC Address/OUICDP/LLDP, ARP таблицах с сетевых устройств
DHCP DHCP атрибуты Считывает Vendor ID уникальный для разных ОС и некоторых аппаратных платформ. Требуется SPAN или DHCP Helper
DNS FQDN Определяет тип на основании FQDN имени устройства с помощью обратного DNS запроса
HTTP User-Agent Определяет тип устройства на основании User-Agent браузера. Требуется SPAN или редирект на ISE
NetFlow Source/DestIP/Ports/Protocol
Анализирует Source/Dest IP/Ports/Protocol. Детектирует специализированные устройства с характерным трафиком и выявляет аномальный трафик устройств
NMAP Operating SystemCommon portsEndpoint SNMP data
Анализирует открытые порты и SNMP-ответы устройств. Детектирует ОС, сетевые принтеры и устройства которые слушают стандартные UDP/TCP ports.
© 2011 Cisco and/or its affiliates. All rights reserved. 18
Активное сканирование устройств с помощью Network Mapper (NMAP) Утилита NMAP встроена в ISE 1.1, и позволяет профайлеру :
Внимание: сканирование больших сетей может занимать много времени и создавать нагрузку на ISE
• детектировать новые устройства с помощью сканирования сети
• классифицировать конечные устройства, основываясь на детектировании операционной системе и анализе открытых портов
© 2011 Cisco and/or its affiliates. All rights reserved. 19
• Распределенное сканирование по протоколам CDP/LLDP, DHCP и mDNS(только Catalyst 4k)
• Автоматическое обнаружение распространённых устройств (принтеры, устройства Cisco, телефоны…)
• Централизованный сбор данных в ISE с минимальной нагрузкой на сеть
• Независимость от топологии
IOS сенсор:Распределенный сканер
ISEISE
CDP/LLDP/DHCP DHCP DHCPCDP/LLDP/DHCP CDP/LLDP/DHCP
Поддержка Device Sensor• 3560/3750 с 15.0(1)SE1• 3560C/CG running 15.0(2) SE• 4500 running 15.1(1)SG• 4500 running IOS-XE 3.3.0SG• Wireless Controllers с 7.2.110.0 (только DHCP)
© 2011 Cisco and/or its affiliates. All rights reserved. 20
© 2011 Cisco and/or its affiliates. All rights reserved. 21
Сервис обновлений профилей устройств:
• Cisco, вендоры устройств и партнеры будут предоставлять обновления профилей новых устройств и обновленную базу OUI
• ISE автоматически получает пакеты обновлений через CCO
Web-лента данных об устройствах
ISE
Планируется вПланируется вISEISE 1.21.2
© 2011 Cisco and/or its affiliates. All rights reserved. 22
Что= ? Кто= Сотрудник
Права доступа= Авторизация• Employee_PC Set VLAN = 20 (Полный доступ)• Employee_iPAD Set VLAN = 30 (Только Интернет)
© 2011 Cisco and/or its affiliates. All rights reserved. 23
© 2011 Cisco and/or its affiliates. All rights reserved. 24
Где находится BYOD ?
Управляемые устройства
Неуправляемые устройства
Управляемые пользователи
“Неуправляемые”пользователи
Гости
BYODBYOD
© 2011 Cisco and/or its affiliates. All rights reserved. 25
Среда требует жесткого контроля
Только устройства компании
Запрет
Базовый сервис и удобный
доступ
Выход в Интернет для неуправляемых
устройств
Разрешение
Разные права доступа +
автоматизация
Автоматизация конфигурации,
сертификаты, VPN
Поощрение
Корпоративный контроль персон.
устройств
Compliance – MDM, шифрование, PIN
Lock…
Контроль
© 2011 Cisco and/or its affiliates. All rights reserved. 26
Я знаю тебя, но докажи что ты используешь корпоративное устройство
• Идентификация пользователя…• Логин/пароль (802.1X или WebAuth)• Пользовательский сертификат (802.1X)
• “Идентичность” устройства … • MAC адрес?• Машинный сертификат (802.1X)
• Как я могу связать это в единой политике?
ПользовательПользователь УстройствоУстройство+ = Политика
доступа
Корпоративное устройство ?
00:11:22:AA:BB:CC
ID
Насколько достоверна информация?
Корпоративный пользователь
Привет, я Маша, мой пароль
*******
ID
ТОЛЬКО КОРПОРАТИВНЫЕ
УСТРОЙСТВА
© 2011 Cisco and/or its affiliates. All rights reserved. 27
Машинный сертификат является достаточно надежным методом идентификации, но секретный ключ и сертификат технически возможно продублировать
Можно дополнительно проверять:
• MAC-адрес соответствует адресу в сертификате
• MAC-адрес находится в корпоративном списке устройств WhiteList
• Тип устройства соответствует корпоративному (профилирование в ISE)
• В реестре и файловой системе устройства находятся корпоративные метки (NAC функционал ISE)
© 2011 Cisco and/or its affiliates. All rights reserved. 28
• Сценарий реальной используется у большого корпоративного заказчика Cisco
• Заказчик решил модифицировать DHCP User Class-ID на всех членах домена
• Обеспечивается уникальная возможность спрофилировать устройства как корпоративный ресурс
C:\>ipconfig /setclassid "Local Area Connection" CorpXYZ
Windows XP IP ConfigurationDHCP ClassId successfully modified for adapter"Local Area Connection"
http://technet.microsoft.com/en-us/library/cc783756(WS.10).aspx
© 2011 Cisco and/or its affiliates. All rights reserved. 29
2
© 2011 Cisco and/or its affiliates. All rights reserved. 30
Machine Access Restrictions (MAR)• MAR - проверка Radius-сервером предыдущих машинных аутентификаций с таким же
Calling-Station-ID (MAC-адресом) во время аутентификации пользователя.
• Устройство должно быть аутентифицировано перед входом пользователяПотенциальные проблемы при выходе из hibernation/standby, при переключении из проводной в беспроводную сеть (ведет к смене MAC-адреса)Возможен спуфинг – подстановка во время пользовательской аутентификации MAC-адрес аутентифицированного устройства
Rule Name Conditions PermissionsMachineAuth if Domain Computers then MachineAuth
Employee if Employee & WasMachineAuthenticated = true then Employee
Calling-Station-ID 00:11:22:33:44:55 – Passed
MAR Cache
© 2011 Cisco and/or its affiliates. All rights reserved. 31
• Позволяет коррелировать машинную и пользовательскую аутентификации
• Выполняет обе аутентификации как часть ЕДИНОГО EAP процесса
• Позволяет легче использовать результат проверки в политике ISE
ISE ISE 11..11..11
Поддержка EAP-Chaining есть в протоколе EAP-FASTv2: • AnyConnect 3.1• Identity Services Engine 1.1.1
Cisco в составе рабочей группы IETF в процессе стандартизации следующей версии протокола EAP -Tunneled EAP (TEAP), который также поддерживает EAP-Chaining.
© 2011 Cisco and/or its affiliates. All rights reserved. 32
Для управления доступом персональных устройств
Автоматическая конфигурация Автоматическая конфигурация сапликантасапликанта 802.1802.1x x на на поддерживаемых платформахподдерживаемых платформах
Портал регистрации устройствПортал регистрации устройств
Дифференциация сервисов на основе сертификатов. Дифференциация сервисов на основе сертификатов. Защита от копирования сертификатовЗащита от копирования сертификатов
Автоматизация выдачи сертификатов с Автоматизация выдачи сертификатов с дополнительными атрибутамидополнительными атрибутами
Ведение “черного” списка устройств и переинициализация устройств
РАЗРЕШАЕМ ПЕРСОНАЛЬНЫЕ
УСТРОЙСТВА
© 2011 Cisco and/or its affiliates. All rights reserved. 33
Автоматизация настройки и управление сетевым доступом персональных устройств NCS Prime
WLAN Controller
Wired Network Devices
Cisco Catalyst Switches
Проводной доступ Беспроводный доступ
ISE
Удаленный доступ
Cisco ASA
CSM / ASDM
AD/LDAP(External ID/ Attribute Store)
www.cisco.com/go/byod - BYOD Smart Solution Design Guide
РАЗРЕШАЕМ ПЕРСОНАЛЬНЫЕ
УСТРОЙСТВА
© 2011 Cisco and/or its affiliates. All rights reserved. 34
КОНТРОЛИРУЕМ ПЕРСОНАЛЬНЫЕ
УСТРОЙСТВА
© 2011 Cisco and/or its affiliates. All rights reserved. 35
Экосистема MDM
Wired or Wireless
Cisco CatalystSwitches
Window or OS X Computers
Cisco WLAN Controller
ISEMDM Manager
Smartphones including iOS or Android Devices
Wireless
AD/LDAP
User X User Y
?
ИНТЕГРАЦИЯ С ОСНОВНЫМИ MDM ВЕНДОРАМИ
• Экосистема делает возможным выбор решения заказчиком
Функционал: • API для интеграции с MDM• Использование в политике ISE
информации от MDM о мобильном устройстве
• Инициация действий с уcтройствомчерез интерфейс ISE
* Запланировано на начало 2013 года
Планируется вПланируется вISEISE 1.21.2
© 2011 Cisco and/or its affiliates. All rights reserved. 36
• ISE через MDM API, может проверять:Общее соответствие устройства политике ( Compliant или не-Compliant ), а также:• Наличие шифрования диска• Наличие Pin lock• Наличие джейлбрейка• Модель и серийник в “белом” списке….
• После подключения в сеть ISE делает периодический опрос MDM о соответствии устройств политике:
• Если результат проверки негативный – устройство принудительно отключается от сети (через Radius Change-of-Authorization)
ISEMDM Manager
© 2011 Cisco and/or its affiliates. All rights reserved. 37
• Предоставляет возможность администратору и пользователю в ISE удаленно инициировать действия с мобильным устройством на MDM сервере
• Производится через:• Портал “Мои устройства”• Endpoints Directory в ISE
• Редактировать• Переинициал.• Потерян?• Удалить• Полная очистка• Корпор. очистка• PIN Lock
Опции
ISEMDM Manager
© 2011 Cisco and/or its affiliates. All rights reserved. 38
© 2011 Cisco and/or its affiliates. All rights reserved. 39
Примечание. Расширенная лицензия не включает базовую
Платформы устройстваCisco ISE 3315 | Cisco ISE 3355 | Cisco ISE 3395 |
Базоваялицензия ISE
Авторизованы ли мои оконечные устройства?
• Аутентификация / авторизация
• Гостевой доступ• Политики шифрования
MacSec
• Все базовые сервисы• Все расширенные
сервисы• Только для беспроводных
устройств
Лицензия ISE длябеспроводного доступа
Бессрочная лицензия по количеству end-point
Расширеннаялицензия ISE
• Профилирование устройств• Оценка состояния узла• Доступ для групп
безопасности• Новый BYOD функционалЛицензия на срок 3 / 5 лет по
количеству end-point
Соответствуют ли мои устройства нормативным требованиям? Базовая + Расширенная
Лицензия на срок 3 / 5 лет по количеству end-point
VM Устройство для ESXi 4.x и 5.x
© 2011 Cisco and/or its affiliates. All rights reserved. 40
Роли могут совмещаться в одном устройстве
Узел сервиса политик -Policy Service Node (PSN)Применяет политику AAARADIUS сервер & профилирование & оценка состояния
Inline Posture Node (IPN)Применяют политику для сетевых устройств, которые не поддерживают CoA (VPN-концентраторы, third-party WiFi)
Узел управления -Policy Administration Node (PAN)Интерфейс для конфигурации политик и управления ISEИзменение базы данных ISE
Узел мониторинга Monitoring & Troubleshooting Node (MnT)
Сбор отчетов и логов с узлов ISEПолучатель для syslog от сетевых устройств (NAD)
© 2011 Cisco and/or its affiliates. All rights reserved. 41
Клиентскиеустройства РесурсыСетевые устройства
Узел управления
(PAN)
Внешние данные
(AD/LDAP)Узел сервиса
политик (PSN)Просмотр/ Настройка Политик
Запрос атрибутов
Запрос на доступ
Доступ к ресурсам
Журналирование
Radius SNMP
NetFlow
Узел мониторинга
(MnT)
Просмотр журналов/ отчетов
Журналирование
Журналирование(Syslog,Radius)
© 2011 Cisco and/or its affiliates. All rights reserved. 42
• Максимальное число клиентских устройств– 2000
• Отказоустойчивость для 2000 клиентских устройства
ISE NodeISE Node
Основной узел управленияОсновной узел управления
мониторингаРезервный узел мониторинга
управленияРезервный узел управления
мониториргаОсновной узел мониторирга
PSN
MnT
PAN
PSN
MnT
PAN
© 2011 Cisco and/or its affiliates. All rights reserved. 43
PSNs ≤ 2 PSNs ≤ 5 5 < PSNs ≤ 40
≤ 2,000 Admin + Monitor + PSN на одном устройстве
Admin + Monitoring на одном устройстве:
2x ISE 3355или
2x ISE-VM
Выделенные узлы Управления :2x ISE-3395
или2x ISE-VM
Выделенные узлы мониторинга:2x ISE-3395
или2x ISE-VM
≤ 5,000 -
≤ 10,000 -
Admin + Monitoring на одном устройстве:
2x ISE-3395или
2x ISE-VM
≤ 100,000 - -
Максимальное количество поддерживаемых пользовательских устройств и Узлов Политик (PSN) зависит от модели внедрения Узлов Управления и Мониторинга
© 2011 Cisco and/or its affiliates. All rights reserved. 44
Формфактор Платформа Устройство МаксимумEndpoints
Событийпрофайлера
Событий оценки состояния
Физический
Small ISE 3315 / 1121 3000 500/сек 70/сек
Medium ISE 3355 6000 500/сек 70/сек
Large ISE 3395 10,000 1200/сек 110/сек
Виртуальный S/M/L VM 10,000 * Переменная Переменная
* Аппаратная платформа для ISE VM должна обеспечивать аппаратные ресурсы выше или на уровне соответствующего физического устройства ISEКрайне рекомендуется использовать жесткие диски с RPM 10K или выше
• Узел сервиса политик – масштабирование и производительность
Кол-во аутентификаций в секунду
EAP-TLS 335 internal, 124 LDAP
MSCHAPv2 1316 internal, 277 AD
PEAP-MSCHAPv2 181
FAST-MSCHAPv2 192
Гостевой (web auth) 17
© 2011 Cisco and/or its affiliates. All rights reserved. 45
Data Center A
DC B
ФилиалA
ФилиалБ
AP
APAP
WLC 802.1X
AP
ASA VPN
Switch802.1X
Switch802.1X
Switch802.1X
WLC 802.1X
Switch802.1X
Admin (P)Admin (S)
Monitor (P)Monitor (S)
HA Inline Posture Nodes
Кластер Узлов сервисов политик
AD/LDAP(External ID/ Attribute Store)
AD/LDAP(External ID/ Attribute Store)
MnTPANPAN MnT
PSN PSN PSN PSNPSNPSN
IPNIPN Скоростной канал с небольшой задержкой
•Отказоустойчивая, распределенная архитектура внедрения между ЦОД (P=Primary / S=Secondary)
•Централизованные кластеры узлов PSN для проводного/беспроводного доступа в филиалах
•Требуется скоростной канал с небольшой задержкой для синхронизации обновлений баз данных.
•Не рекомендуется использовать удаленное профилирование по SPAN, NetFlow и NMAP
© 2011 Cisco and/or its affiliates. All rights reserved. 46
ACS
Identity Services Engine
NAC Guest NAC Profiler NAC Manager NAC Server
• ISE является развитием отдельных продуктов семейства NAC и ACS• Преимуществом ISE является тесная интеграция функционала различных до этого
момента продуктов • Во многих случаях ISE является предпочтительным выбором для новой инсталляции• Миграция с ACS/NAC на ISE нужно рассматривать с учетом реально используемого
функционала существующих продуктов
© 2011 Cisco and/or its affiliates. All rights reserved. 47
ACS
Зачем переходить:Необходимость интеграции оценки состояния, профилирования и гостевого доступаИсключения: Сценарий использования ACS для управления доступом сетевых администраторов и TACACS+Что делать с существующими устройствами:Новые устройства ACS 1121 могут быть обновлены до Cisco ISE 1.x. Заказчики со старыми устройствами 1120/1113 могут приобрести новые устройства ISE или ISE VM по специальной цене (и могут по прежнему эксплуатировать старые устройства с ACS)Защита инвестиций:Для владельцев ACS доступны специальные базовые лицензии ISE для миграцииКак переходить:Существует инструмент для автоматизации миграции данных и конфигурации c ACS 5.1/5.2 на ISE *
*http://www.cisco.com/en/US/docs/security/ise/1.1/migration_guide/ise_migration_guide.html
© 2011 Cisco and/or its affiliates. All rights reserved. 48
Зачем переходить:Необходимость внедрения 802.1x контроля и расширенных функций авторизации и профилированияИсключения для NAC Appliance: Когда нет возможности внедрить 802.1x/Radius CoA по всей сети. Необходимо полноценное inline решениеИсключения для NAC Guest Server: Используется API для интеграции с внешними системами*Что делать с существующими устройствами:Новые устройства NAC 3315/3355/3395 могут быть обновлены до Cisco ISE 1.x. Заказчики со старыми устройствами 33x0/3140 могут приобрести новые устройства для ISE или ISE VM по специальной цене Защита инвестиций:Для владельцев NAC Appliance и NAC Profiler доступны специальные расширенные лицензии ISE для миграции.Для NAC Guest доступны специальные базовые лицензии ISE для миграции
NAC Server
*Guest API появится в последующих версиях ISE
NAC Guest
NAC Profiler
NAC Manager
© 2011 Cisco and/or its affiliates. All rights reserved. 49
www.cisco.com/go/trustsec www.cisco.com/go/byod www.cisco.com/go/sba
Безопасное включаем и управляем
персональными устройствами
Идентификация устройств
Строим политики с учетом того “ЧТО”включается в сеть”
«BYOD – принесисвое собственное
устройство»Cisco ISE
Управляем доступом в сеть на основе
политикбезопасности
© 2011 Cisco and/or its affiliates. All rights reserved. 50
SXP
Nexus® 7K, 5K and 2KSwitch
Data Center
Cisco®
Catalyst® Switch
Cisco ISE
Wireless user
Campus NetworkCampus Network
Wired user Cat 6K
Egress Enforcement
MACsec
ProfilerPostureGuest ServicesRADIUS
Ingress Enforcement
Ingress Enforcement
Cisco®
Wireless Controller
Site-to-SiteVPN user WANWAN
ISR G2 with integrated switch
ASR1K
SXP
AnyConnect
Named ACLsdVLAN
dACLs / Named ACLsdVLAN
SGACLs
Спасибо!Заполняйте анкеты он-лайн и получайте подарки в Cisco Shop: http://ciscoexpo.ru/expo2012/questВаше мнение очень важно для нас!