Comments 32
А какой тип фильтрации используется? DACL или SGT?
Я правильно понимаю, что у вас несколько несвязанных между собой ISE доменов? Как происходит деление? По региону? И синхронизируются ли правила?
Раньше было несколько кластеров. Сейчас ISE один, но мы не всю сеть еще закрыли и поэтому в потолок 250 тысяч активных устройств и до 1 миллиона зарегистрированных устройств пока не уперлись.
А как вы собираетесь жить с ограничением в 65536 SGT с таким количеством EndPoints? =) и сколько у вас сейчас правил авторизации?
И еще момент — по вашим же рекомендациям, между ADM-нодой и PSN должен быть RTT <= 100-150 ms. Как вы планируете это обходить, если вам нужно накрывать, считай, весь шарик? Размещать PSN централизованно в HQ, например?
И еще момент — по вашим же рекомендациям, между ADM-нодой и PSN должен быть RTT <= 100-150 ms. Как вы планируете это обходить, если вам нужно накрывать, считай, весь шарик? Размещать PSN централизованно в HQ, например?
А зачем каждому endpoint свой SGT? Я же выше обрисовал, что мы активно группируем устройства и пользователей по атрибутам
ну допустим. А по остальным вопросам? ;) и сколько времени занимает авторизация endpoint?
28 слайд http://www.cisco.com/assets/global/RU/events/cisco-connect/presentation/kon1/18/18_00_19_00.pdf
Авторизация endpoint укладывается в разумные рамки даже для самых дальних офисов. Равно как и аутентификация (как показывает опыт, беспроводные клиенты более толерантны к задержкам, чем проводные).
Авторизация endpoint укладывается в разумные рамки даже для самых дальних офисов. Равно как и аутентификация (как показывает опыт, беспроводные клиенты более толерантны к задержкам, чем проводные).
Матрица безопасности относительно небольшая — несколько десятков групп пользователей и около двух десятков ресурсов. Уж чего чего, а меток — более чем достаточно ;)
Проще всего посмотреть мою презентацию с прошлогоднего Cisco Connect — ответы на большинство вопросов там даны.
Если коротко — есть две независимые сети, гостевая (Cisco ION — Internet Only Network) и сеть для сотрудников. Это два независимых кластера ISE. Оба развёрнуты глобально. Политики отличаются.
Если коротко — есть две независимые сети, гостевая (Cisco ION — Internet Only Network) и сеть для сотрудников. Это два независимых кластера ISE. Оба развёрнуты глобально. Политики отличаются.
А как контора относится к публикации таких обзоров?
А мы всегда делимся собственным опытом использования собственных продуктов в своей сети. На Cisco Live даже более детальная информация дана по внедрению Cisco ISE у нас внутри — https://www.ciscolive.com/online/connect/sessionDetail.ww?SESSION_ID=89384&tclass=popup
Есть целый поток на глобальных Cisco конференциях — Cisco Live, он так и называется, Cisco on Cisco. Наши коллеги из IT на нём и делятся опытом эксплуатации.
>>Поэтому помимо аутентификации надо было проверять еще и состояние устройства — наличие необходимых средств защиты, антивируса, актуальных антивирусных баз, патчей
Возникают ли при этом проблемы у сотрудников, работающих с не-Windows десктопов?
Возникают ли при этом проблемы у сотрудников, работающих с не-Windows десктопов?
Ага, интересно про Linux в частности, с OS X проблем, по идее, быть не должно.
На Linux работает не весь функционал проверки состояния устройства, но у нас таких машин мало — их загоняют в отдельную группу с дополнительной политикой.
Мало, это сколько в процентном соотношении? Что за дополнительная политика?
По состоянию на январь Linux у нас 10107 машин (Винда — 87864, Мак — 37103) с незначительной тенденцией к сокращению. Все зависит от того, что делает машина с Linux. Им может быть прописана жесткая политика доступа после аутентификации и автоматического профилирования. Либо ISE работает с установленным на Linux агентом MDM, который и отдает нам информацию о статусе
Нет, не возникает. Но все зависит от платформы. На MacOS проблем никаких.
А как реализован доступ в сеть с рабочих мест девелоперов/тестировщиков. Не знаю как у вас в Cisco, но у нас типичное рабочее место выглядит следующим образом:
На рабочее место выведена розетка с коммутатора уровня доступа. В эту розетку включен SOHO-роутер в который уже включен свич, уже за которым сотрудник разворачивает свое окружение для разработки (специфика такова, что у девелопера на рабочем месту куча устройств требующих сетевое подключение с доступом в интернет + нужна изоляция от соседних рабочих мест). У тестировщиков — еще сложнее, т.к. количество устройств намного больше чем у девелоперов.
802.1x использовать не удасться, других вариантов придумать не можем. Может поделитесь своими наработками в этом направлении?
На рабочее место выведена розетка с коммутатора уровня доступа. В эту розетку включен SOHO-роутер в который уже включен свич, уже за которым сотрудник разворачивает свое окружение для разработки (специфика такова, что у девелопера на рабочем месту куча устройств требующих сетевое подключение с доступом в интернет + нужна изоляция от соседних рабочих мест). У тестировщиков — еще сложнее, т.к. количество устройств намного больше чем у девелоперов.
802.1x использовать не удасться, других вариантов придумать не можем. Может поделитесь своими наработками в этом направлении?
А что не так с 802.1x?
На роутер ведь не поставить суппликант…
У нас внутри вся инфраструктура на Cisco, так что проблем с поддержкой 802.1x и TrustSec на сетевых устройствах нет
Вот по этому я и спрашивал как организованы рабочие места девелоперов/тестировщиков… Ведь не поставишь на 300+ рабочих мест на каждое рабочее место по роутеру cisco пусть даже младшей модели. Роутер используется для изоляции рабочего места от внешней сети а так-же для эмуляции окружения работы оборудования а не для расширения сети самой компании. Самими роутерами рулят девелоперы/тестировщики, конфигуря его каждый раз под текущие задачи. Опорная сеть компании построена исключительно на оборудовании Cisco.
Как реализовать разграничение доступа в таком случае — ума приложить не можем.
Как реализовать разграничение доступа в таком случае — ума приложить не можем.
У нас это зависит от того, что разрабатывается/тестируется. У нас активно используется виртуализация и поэтому в тестовом окружении мы на базе Cisco UCS можем оперативно нарезать нужные нам сервера и строить на базе виртуальных свитчей (Nexus 1000v) и рутеров (CSR) нужную нам инфраструктуру для тестирования. А Nexus и CSR поддерживают SGT.
Если речь идет о тестировании железа, то вот тут — http://www.cisco.com/c/en/us/about/cisco-on-cisco/enterprise-networks/separate-network-alpha-testing-web.html — чуть больше деталей о том, как у нас реализована схема с тестовым окружением.
Если речь идет о тестировании железа, то вот тут — http://www.cisco.com/c/en/us/about/cisco-on-cisco/enterprise-networks/separate-network-alpha-testing-web.html — чуть больше деталей о том, как у нас реализована схема с тестовым окружением.
Кстати еще вопрос о лицензировании — в лицензии учитываются все endpoints, или конкурентные?
Sign up to leave a comment.
Как реализуется контроль сетевого доступа внутри компании Cisco?