Вот моя текущая среда: кластер из 5 узлов с: - node1: основной администратор и вторичный MnT, node2: вторичный администратор и основной MnT, node3, node4, node5: PSN Все эти узлы работают в VMWare ESXi. Каждый узел имеет 24 виртуальных процессора и 128 ГБ оперативной памяти. В настоящее время все сетевые устройства направлены на node3, node4 и node5 в этом порядке, и все, похоже, работает нормально, без каких-либо проблем с нагрузкой. В среде насчитывается около 2500 пользователей Microsoft и Apple MAC 802.1x с проводным и беспроводным доступом, а также около 5000 устройств (камеры, телефоны, ИБП), которые также используют аутентификацию MAB. Мы думаем о консолидации с пяти узлов до двух; однако эти два узла будут работать на физических устройствах SNS-3815-K9. Это будет выглядеть следующим образом: узел 1: основной администратор, вторичный MnT, PSN узел 2: вторичный администратор, основной MnT, PSN Вопросы: #1- Будет ли это работать? Есть ли какие-либо недостатки? #2- Будет ли этого достаточно? TIA

Здравствуйте, Я работаю с некоторыми продуктами Fortinet, и всем, кто подключал Fortinet к Cisco ISE с помощью tacacs+, я бы очень хотел получить помощь. TACACS+ > Active Directory > Отдельная группа только для чтения и группа для чтения/записи Статья, которую я использую для настройки — https://sharifulhoque.blogspot.com/2019/09/fortigate-using-radius-server-windows_4.html (Да, там говорится о Radius, но там есть шаги по настройке Tacacs+) Можете ли вы найти в руководстве что-нибудь, чего не хватает в моей конфигурации? У меня есть успешное соединение с tacacs+. У меня есть подключение к Active Directory. У меня есть группы AD с правами чтения/записи и только чтения. Я не уверен, что еще я упустил, и не знаю, может ли кто-нибудь мне помочь. Я использую версию 3.1 и Fortigate версии 7.4.x В руководстве Fortinet не так много информации, но сторона Fortinet настроена.

Привет, команда! Я настроил интеграцию SAML с ISE, и аутентификация и авторизация работают нормально. Теперь я пытаюсь настроить ее так, чтобы ISE не отображал свой веб-портал и перенаправлял клиента прямо на веб-страницу SAML, но я не могу заставить ISE перестать отображать свой портал. Есть ли какие-нибудь идеи, как это сделать? Поток гостевого портала: ![Mafra_0-1763658523207.png] Клиент перенаправляется на портал ISE с возможностью входа через внешний (SAML) портал: ![Mafra_1-1763658650894.png] Веб-страница после нажатия на портале SAML. Я хочу, чтобы клиент переходил прямо на эту страницу, а не нажимал на опцию в портале ISE: ![Mafra_2-1763658726757.png] [image: f84e682ead13e29ec943c81eb3d6d6fb787fc792.png] [image: cce297cedfc49a0ef64405b301f7a803072bbe7d.png] [image: 806122906954d9f7b2b698bfbaed5bf799687dfe.png]

CSCwn25013 — ISE 3.2 P7: установка патча нарушает функцию сброса базы данных Это происходит во всех патчах ISEV3.2 7. Воспроизводится, поскольку патч нарушает работу: application -configure - ise опция 4 с таким симптомом: Запуск только базы данных Создание таблиц базы данных ISE M&T... cp: cannot stat '/opt/CSCOcpm/db/reset_mnt.dmp': No such file or directory chown: не удается получить доступ к '/opt/oracle/base/admin/cpm10/dpdump/reset_mnt.dmp': такого файла или каталога не существует chmod: не удается получить доступ к '/opt/oracle/base/admin/cpm10/dpdump/reset_mnt.dmp': такого файла или каталога не существует Эта ошибка преследовала меня около 3 месяцев. Исправление от TAC устраняет ее.

Уважаемые коллеги, Я планирую развернуть Cisco ISE в облаке Auze и у меня есть несколько вопросов 1. Являются ли лицензии облачные, как в Prime, в пробных лицензиях, то есть в Prime есть 90-дневная пробная версия 2- У меня есть 2 филиала и более 8 тысяч пользователей (телефоны, принтеры, беспроводные и проводные устройства). Что вы думаете о задержке, которую мне нужно учитывать? То есть, какое развертывание или архитектура будут оптимальными?

Привет, Грег, @Грег Гиббс Смотрите ссылку - [) В чем разница между EAP-TLS и TEAP (EAP-TLS), как я отметил ниже? ![MSJ1_0-1764025092802.png] [image: b085a70669b312b46ee0aaed078cf3f2e8e1f05c.png]

Приветствую всех, Я просто хочу уточнить. Возможно ли, чтобы Cisco ISE работал с двумя одинаковыми сертификатами, но с разными сроками действия? Потому что эти два сертификата скоро истекают. Итак, если возможно одновременное использование двух одинаковых сертификатов, клиент будет постепенно внедрять новые сертификаты. Спасибо. ![farihkurniawan_0-1763969719010.png] [image: 699c993452d6edb444758ca7c6a5c72f0ddecece.png]

Здравствуйте Я знаю, что с недавнего времени у нас есть возможность разрешить клиенту, чей сертификат истек или истекает, доступ к порталу регистрации. Я также помню несколько хороших слайдов (из технического руководства ISE или чего-то подобного), в которых описывалась конфигурация для различных клиентских ОС... Кто-нибудь может подсказать, где найти эти слайды? С уважением Хакан

Здравствуйте, в настоящее время мы находимся в процессе перехода на Catalyst 9800 WLC. Я работаю над настройкой TACACS и не могу добиться прогресса в настройке профиля TACACS для администраторов лобби. В старом airos wlc можно было просто выбрать «Lobby Admin» в профиле tacacs, но в новом wlc на базе IOSXE этот профиль не работает. Профиль для доступа администратора работает нормально на уровне привилегий 15. Кто-нибудь может мне с этим помочь? С уважением, Ян

Привет Я развернул виртуальную машину Cisco ISE из Azure Marketplace и выполнил инструкции из этого руководства. https://www.cisco.com/c/en/us/td/docs/security/ise/ISE_on_Cloud/b_ISEonCloud/m_ISEonAzureServices.html#concept_bft_42r_lsb Развертывание прошло успешно, я вижу, что виртуальная машина работает, и не заметил никаких ошибок. В руководстве сказано, что теперь мне нужно войти в портал администрирования ISE, чтобы убедиться, что ISE работает... К сожалению, я не могу получить доступ к порталу через URL-адрес https. https://iseIP/admin Может ли кто-нибудь подтвердить, что это правильный URL-адрес? Сервер управления, который я использую, находится в той же подсети, что и виртуальная машина ISE. Я могу подтвердить, что межподсетевая связь разрешена. Не уверен, не упустил ли я что-то... Может ли кто-нибудь дать совет по этому поводу? Спасибо!

Здравствуйте, У меня есть два узла Cisco ISE в HA, которые имеют лицензии Essentials для 2500 конечных точек с регистрацией Smart Licensing. ISE обычно имеет максимальное ежедневное использование 850 пользователей, но в разделе «Лицензирование» мне показывается, что он использует около 7300 лицензий, что не соответствует действительности. Когда я обновляю страницу, обычно отображается фактическое использование 850 лицензий. Так продолжается уже около 30 дней, и я получаю предупреждение о превышении лимита использования лицензий. Я опасаюсь, что из-за этого могу потерять контроль над оборудованием. В настоящее время активные сессии не превышают 850 пользователей. Моя версия ISE — 3.1 Patch 4. Есть ли какие-либо идеи, что может происходить?

Привет всем, Знаете ли вы, в чем заключается фактическая разница между приложением Cisco ISE Azure и Cisco ISE Azure VM? Еще один вопрос: когда я использую VMware или Hyper-V, после настройки ISE VM нельзя увеличить размер диска VM. Я читал документацию Cisco ISE Azure, и там сказано, что по умолчанию размер диска настроен на 300 ГБ, но его можно изменить. Это противоречит конфигурации локальной ISE VM. Буду благодарен за любые комментарии по поводу этой детали. Заранее спасибо.

Привет, команда! Мы хотим перейти с аутентификации PEAP на аутентификацию TEAP для пользователей беспроводной сети, и поскольку мы внедряем ее поэтапно, по отделу за отделом, я хочу, чтобы обе политики были активны. Например, в понедельник я начну внедрение в отделах ИТ и HR, переходя с PEAP на TEAP. В разделе «Политика аутентификации» набора политик я использовал «Доступ к сети — EAP-туннель равен TEAP », но эта политика не срабатывает, когда я помещаю TEAP на второе место. Когда я помещаю ее на первое место, политика PEAP перестает срабатывать, даже после того, как я попробовал изменить порядок. В чем может быть причина? Спасибо,

Привет всем, Приветствую. У нас возникла проблема с ISE 3.4 нашего клиента, работающим на AWS (установленным из AWS Marketplace) ==> Пустой журнал и панель мониторинга после восстановления конфигурации из существующего ISE. Хронология: Перед тем, как установить ISE 3.4 на AWS, мы «попытались» сделать резервную копию и восстановить существующий ISE нашего клиента, работающий под управлением 2.7 Patch 7, но с дополнительным шагом. Подробная процедура: 1. Резервное копирование конфигурации и операций из Cisco ISE 2.7 patch 7 2. Установка VM-Temp Cisco ISE 3.2 3. Восстановление конфигурации и операций из Cisco ISE 2.7 patch7 в ISE 3.2 VM-Temp 4. Установка Patch 7 для ISE 3.2 VM-Temp 5. Резервное копирование конфигурации и операций из ISE 3.2 патч 7 6. Установка ISE 3.4 на AWS --> целевой ISE 7. Восстановление конфигурации и операций из ISE 3.2 Patch 7 VM-Temp в ISE AWS 3.4 8. Установка патча 3 для ISE AWS 3.4 - Все процессы резервного копирования и восстановления работают нормально. - но когда мы пытаемся перенести сервис (Radius/TACACS) на новый ISE AWS 3.4, - клиент может подключиться и работает нормально, но нет Live Log и Dashboard пустой Для устранения неполадки мы уже попробовали: - Очистить операционные данные - Сброс базы данных MnT но ситуация осталась прежней. Live Log и Dashboard по-прежнему пустые/без значений Что является причиной и как решить эту проблему? Будем признательны за ваши советы и рекомендации. Спасибо! С уважением.

Здравствуйте, команда. Я настроил портал для спонсируемых гостей на отдельном узле ISE. Сейчас все работает нормально, но по какой-то причине электронное письмо, которое отправляется спонсору для УТВЕРЖДЕНИЯ/ОТКАЗА гостя, является стандартным, а не тем, которое я изменил в настройках портала и настройках --> Уведомления --> Электронное письмо с запросом на утверждение. Еще более странно то, что раньше отправлялось правильно отформатированное письмо, а теперь, после небольшого косметического изменения, письмо отправляется по умолчанию (я проверил, что изменения были правильно сохранены). Какие меню мне следует проверить, о каких ограничениях мне следует знать? Заранее спасибо. F.

Здравствуйте Использует ли Conditions Studio на Cisco ISE полный IETF Radius AV в качестве базы данных условий/соответствий?

Здравствуйте, сообщество Cisco! Я новичок в сообществе Cisco. Как новичок, я хочу изучить науку о данных на языке Python, чтобы сделать свои навыки востребованными. Можете ли вы подсказать мне, как пройти путь от новичка до продвинутого специалиста? С уважением, techrotten

Привет всем, у нас возникла проблема с графическим интерфейсом Cisco ISE, который иногда работает медленно и не отвечает. Я уже проверил загрузку процессора и памяти, все в норме. Поэтому я воспользовался Tech Top и обнаружил следующее: в MIB Swap показатель 0,0 free ![farihkurniawan_0-1765432355771.png] Есть ли какая-то связь с тем, что ISE GUI иногда работает медленно или не отвечает? Или, возможно, я не знаю, где правильно проверить использование ЦП и памяти. Как правильно проверить в GUI или CLI использование ЦП и памяти? И я обнаружил, что в панели инструментов виджет «Сводка системы» пустой. Как это проверить? Спасибо. ![farihkurniawan_1-1765432719381.png] [image: d2568b3432e169d379e605db7cccb623680e444c.png] [image: d7816ede94632500ca643ded6be34f0cd9c091e6.png]

Привет, Сегодня у нас был интересный опыт с Cisco ISE 3.4 patch3. Я создавал новое сетевое устройство для AnyConnect к Firepower 1120 и настраивал общий секретный ключ RADIUS и SNMP. Мы используем ISE для авторизации по групповому членству и для определения состояния. После этого на двух разных брандмауэрах, которые используются для AnyConnect, удаленный доступ перестал работать. После долгих отладок и ругательств я наконец понял, что ISE заменил общий секретный ключ и строки сообщества SNMP 2c на звездочки. ![Screenshot 2025-10-14 at 10.17.57.png] ![Screenshot 2025-10-14 at 10.18.01.png] Я уверен, что я не настолько глуп, чтобы вставлять все звездочки в два разных сетевых устройства. Кроме того, в пользовательском интерфейсе используется символ « ●» , а не «* ». Я нашел здесь похожий пример, но он относится к маршрутизаторам и беспроводным контроллерам: https://bst.cisco.com/quickview/bug/CSCvn14027 Так это еще одно забавное пасхальное яйцо? [image: 9438144940601f4f16cc78eb560547cef7d5b022.png] [image: c481f54e05c53bff515e9feb1633740613ebfa8f.png]

Здравствуйте, мы внедряем 802.1X в нашей среде. Наши рабочие станции Windows 10 успешно проходят аутентификацию с помощью EAP-TLS через TLS 1.2. Однако наши новые компьютеры с Windows 11 пытаются пройти аутентификацию с помощью EAP-TLS с TLS 1.3, и эти попытки постоянно заканчиваются неудачей. Я просмотрел документацию по Cisco Identity Services Engine (ISE) и не смог найти однозначного подтверждения того, что TLS 1.3 поддерживается для аутентификации EAP-TLS. Хотя наш сервер ISE настроен на разрешение TLS 1.3 на странице «Настройки безопасности», это, по-видимому, применимо только к некоторым службам (например, Admin GUI/API), но не обязательно к рабочим процессам AAA/EAP. Сообщите, пожалуйста, поддерживает ли ISE EAP-TLS через TLS 1.3, и если нет, то какую версию TLS и конфигурацию набора шифров вы рекомендуете для обеспечения надежной аутентификации. Примечание: мы можем вручную настроить наши компьютеры с Windows 11 для аутентификации с использованием TLS 1.2.