Здравствуйте, сообщество! Я пытаюсь реализовать следующий сценарий: RADIUS-запросы от «промежуточного клиента» должны перенаправляться в нашу LAB-ISE. Звучит просто? Да, и это работает до тех пор, пока ACCESS-ACCEPT с dACL не отправляется обратно в Authenticator, и Authenticator не пытается загрузить dACL. По крайней мере, я могу сказать, что перенаправление запроса и внешняя аутентификация/авторизация работают нормально. В этом случае dACL остается проблематичным. Я уже отследил и проанализировал tcpdump по этому вопросу и попытался разработать условия для сопоставления ACCESS-REQUEST для загрузки dACL. На уровне пакетов у меня есть следующие поля для фильтрации: - Cisco AV-Pairs (aaa:service=ip_admission, val=aaa:event=acl-download) Message-Authenticator User-Name (с именем dACL) NAS-IP-Address Я постарался сопоставить имя dACL, чтобы инициировать перенаправление на LAB-ISE, я бы добавил что-нибудь, чтобы идентифицировать запрос по имени. Я уже пробовал условие «Radius:User-Name» равно «#ACSACL#-IP-this_very_good_default-3938d9» (вместе с другими операторами) или «NetworkAccess:UserName», но это не сработало. Перенаправление по «NAS-IP-Address» также не увенчалось успехом. Затем я выполнил отладку конечной точки, чтобы обнаружить любые ошибки/опечатки, и в отладочном выводе поле иногда именовалось «UserName». Мой клиент хочет тестировать своих клиентов в любой точке нашей инфраструктуры без изменения сетевых устройств и без простого доверительного отношения к тестовому ЦС в нашей производственной среде. Мне очень интересно, сталкивался ли кто-нибудь с такой же проблемой и как она была решена. Должен ли я что-то исключить из строки, чтобы она соответствовала, или это вообще возможно? Спасибо за помощь ![] [image: 7db4161d1e335c71ec9727cd3390de65d2c73759.png]

Здравствуйте, Я пытаюсь реализовать DTLS на Catalyst. На данный момент у меня есть сертификат DTLS на ISE, и конфигурация на коммутаторе достаточно хороша, чтобы начать отправлять DTLS на ISE. В пакете захвата я вижу, что коммутатор доверяет ISE: ISE к NAD: Server Hello Done NAD к ISE : Сертификат, обмен ключами клиента, изменение спецификации шифрования, зашифрованное сообщение рукопожатия ISE к NAD : предупреждение : сбой рукопожатия Однако, расширив часть «Сертификат» в Wireshark, я не вижу сертификата клиента, а длина сертификата равна 0. Я думаю, что причина, по которой ISE отправляет сообщение об ошибке рукопожатия, заключается в том, что на самом деле нет сертификата клиента, или я что-то упускаю? На стороне коммутатора у меня есть точка доверия клиента dtls, построенная на сертификате идентификации CA+ с цифровой подписью и аутентификацией клиента EKU. Это сертификат ECDSA, поскольку вся цепочка является ECDSA. Знаете ли вы, в чем может быть проблема? Я не нашел никаких доказательств в журналах коммутатора.

Здравствуйте! Я собираюсь выполнить резервное копирование/восстановление с обновлением до версии 3.4 с использованием новых виртуальных машин, а затем настроить сетевые устройства для использования нового развертывания. Это развертывание с 18 узлами PSN. Лицензий для оценки (100 конечных точек) будет достаточно для проведения некоторых тестов. Но есть риск, что переход на новые ISE может занять несколько дней. В течение этого времени на каждом развертывании будет много конечных точек. В этом случае 100 конечных точек будет недостаточно. Можно ли зарегистрировать новое развертывание в системе интеллектуального лицензирования, чтобы использовать один и тот же пул для лицензий Essentials и Advantage, но оставить лицензию VM в режиме оценки? Или нам нужно купить дополнительные лицензии VM, которые понадобятся нам всего на несколько дней?

Здравствуйте, Я использую ISE 3.4 Patch 4. У меня есть компьютер, который управляется в Entra, и этот компьютер находится в группе под названием «EntraID-Test-Group». У меня есть соединение между ISE и Entra ID (Внешние источники идентификации -> Остальное). Там я также могу выбрать, какие группы из Entra я хочу использовать. Аутентификация одобрена, но во время авторизации обходится правило, которое гласит: «EntraIDDevice — ExternalGroups РАВНО EntraID-Test-Group». Почему это правило не срабатывает? Я использую «ENTRA DEVICE ID» в сертификате. Что я упускаю?

Здравствуйте, я знаю, что эта тема уже обсуждалась ранее. Я нашел [«Решено: ISE 2.4 Создание учетной записи администратора только для чтения. — Сообщество] [Cisco] » и [«Решено: Права доступа в ISE — Сообщество Cisco».] К сожалению , статья «Понимание административного доступа и политик RBAC в ISE — Cisco» не содержит того, что я ищу. И да, мне известны ошибки CSCvm01451 , CSCvt09639 и CSCvv10127 . Эта проблема существует уже много лет, и я, честно говоря, удивлен, что она до сих пор не решена. Я пытаюсь настроить «администратора идентификации», который также может просматривать наборы политик, но не может их редактировать. И пользователя ReadOnly с таким же измененным доступом к меню, но который не может редактировать ничего, как и измененный «администратор идентификации». У нас есть клиент, которому требуется доступ для некоторых своих инженеров, чтобы они могли добавлять MAC-адреса в EIG, но они также хотели бы просматривать политики. Пользователь ReadOnly может видеть все, но, конечно, не может ничего менять. Когда я дублирую «Identity Admin Menu Access» и добавляю доступ к меню политик, я не могу ограничить доступ в «Data Access». Поэтому, когда я создаю новую политику RBAC, «Customer-X_Identity Admin» теперь может просматривать наборы политик, но также и редактировать их. А они не должны иметь возможность редактировать наборы политик. Для ReadOnly по умолчанию работает «Super Admin Menu Access» и «Read Only Admin Data Access». Чтобы просматривать все, но не иметь возможности что-либо редактировать. Я создал новую политику RBAC с настраиваемым «Customer-X Identity Admin Menu Access» и «Read Only Admin Data Access» по умолчанию. Чтобы создать версию только для чтения с таким же, но более ограниченным просмотром, чем предоставляет пользователю флажок ReadOnly по умолчанию. Просмотр тогда работает как ожидается/требуется, но моя тестовая учетная запись пользователя в группе пользователей «Customer-X_ReadOnly» также может редактировать элементы, даже если в новой политике RBAC выбран параметр «Read Only Admin Data Access». Есть ли надежда, что это станет возможным в будущем? Заранее спасибо!

Всем привет, Мы рассматриваем возможность использования виртуальной Cisco ISE в качестве PSN для одного из наших удаленных сайтов. Похоже, что все проблемы с Live/Hot vMotion были устранены. Кто-нибудь использует виртуальную ISE и может подтвердить, что проблемы с vMotion больше не возникают? https://www.cisco.com/c/en/us/td/docs/security/ise/3-4/install_guide/b_ise_installationGuide34/b_ise_InstallationGuide_chapter_2.html Требования к виртуальной машине VMware Вы можете использовать функцию миграции VMware для переноса экземпляров виртуальных машин (работающих под любой персоной) между хостами. Cisco ISE поддерживает как горячую, так и холодную миграцию. Горячая миграция также называется миграцией в режиме реального времени или vMotion. Во время горячей миграции не требуется выключать или отключать Cisco ISE. Вы можете перенести виртуальную машину Cisco ISE без каких-либо перерывов в ее доступности. Для холодной миграции Cisco ISE необходимо выключить и отключить питание. Cisco ISE не позволяет останавливать или приостанавливать работу базы данных во время холодной миграции. Поэтому убедитесь, что Cisco ISE не работает и не активен во время холодной миграции.

Здравствуйте. Я выполнил обновление BIOS/HUU на одном из моих серверов ISE (3755), следуя этому руководству: https://www.cisco.com/c/en/us/td/docs/security/ise/sns3700hig/sns-37xx-firmware-4-x-xx_upgrade_guide.html Само обновление прошло достаточно хорошо, все вернулось в норму. Но теперь сервер загружается только в UEFI Shell, а не в ОС ISE. Как я могу это исправить? И Cisco, ради всего святого, зачем все так усложнять?

Здравствуйте, После установки патча 8 на Cisco ISE версии 3.3 Patch-7 мы заметили значительное увеличение использования диска /opt. Использование диска увеличилось с примерно 22 % до 56 % в течение месяца после установки патча, и это произошло только на PAN и SPAN. Я проверил PSN, и они работают нормально, не увеличивая диск /opt. До патча 8 рост диска был стабильным и не показывал такой тенденции. На данный момент не выявлено никаких изменений в уровне ведения журналов, профилировании или рабочем поведении, которые могли бы объяснить это увеличение, что вызывает опасения, что рост диска может быть связан с самим патчем 8. Мы проанализировали примечания к выпуску ISE 3.3 Patch 9, в которых указано, что патч в первую очередь устраняет проблему, при которой может произойти сбой принудительного применения списков контроля доступа групп безопасности (SGACL) на устройствах доступа к сети Cisco IOS XE (NAD). В этой среде SGACL не используются, поэтому исправление, описанное в патче 9, не применяется напрямую к развертыванию у клиента. Учитывая это, мы хотели бы понять: Включает ли патч 9 недокументированные исправления или улучшения, связанные с использованием диска, обработкой журналов или процессами очистки, введенными в патче 8. Рекомендует ли Cisco устанавливать патч 9 в качестве общего патча для обеспечения стабильности или обслуживания, даже если функциональность SGACL не используется. Или рекомендуется ли провести дополнительное расследование (например, конкретный рост журнала или базы данных в /opt) перед установкой другого патча. На основании имеющейся информации неясно, решит ли установка патча 9 проблему наблюдаемого роста диска /opt. Будем признательны за рекомендации по лучшим практикам в данной ситуации. С уважением,

Мы проводим регулярное оперативное резервное копирование наших узлов ISE. Мы также экспортируем операционные данные RADIUS и TACACS в хранилище перед удалением. В документации указано, что «Резервное копирование операционных данных: содержит данные мониторинга и устранения неполадок». Включены ли операционные данные RADIUS и TACACS в «данные мониторинга и устранения неполадок»? Если да, означает ли это, что мы сохраняем избыточные данные? Помимо того, что мы отправляем данные RADIUS и TACACS в SIEM.

Чтобы настроить гостевой беспроводной доступ с помощью ISE и WLC, необходимо учитывать, что ISE имеет отдельный интерфейс в DMZ. С точки зрения проектирования, Anchor WLC также должен иметь отдельный интерфейс в DMZ? Или он должен формировать мобильный туннель между Anchor и Foreign WLC с использованием интерфейсов NON DMZ WMI?

Всем привет, добрый день и приветствия! Наш промежуточный CA истекает через 60 дней. Кто-то из организации сказал мне, что я должен вместо этого обновить Root. Но когда я проверяю иерархию в Cisco ISE, она показывает «Сертификат действителен». ![renzanjocaparas_0-1771461705418.png] Этот промежуточный сертификат — именно тот, который мы действительно планируем продлить. ![renzanjocaparas_1-1771461733694.png] У меня два вопроса: 1. Он прав? 2. Где я могу экспортировать этот корневой сертификат, чтобы проверить эту цепочку? С уважением! [image: cab255d82d5f6f9a9a28fd6d6112b224578ee4b6.png] [image: 8eff89d47ab3db2998e581b938ef4babf1bee70e.png]

Привет всем, В настоящее время я изучаю варианты интеграции ISE с Azure AD. Насколько я понимаю, Azure AD Domain Services поддерживает традиционные операции присоединения для поддержки устаревших служб. Если мы перейдем на Azure AD, сможет ли ISE присоединиться к службам Azure AD Directory так же, как и к локальному серверу AD? Поддерживается ли это?

Кто-нибудь имеет опыт работы с ISE 3.4 на SNS3615? У меня ISE 3.2 работает в средней конфигурации с 2 административными узлами и 4 PSN на SNS3615. Могу ли я перейти на ISE 3.4? Будут ли проблемы с производительностью на SNS3615?

Здравствуйте, в нашей сети используется ISE для AAA. Недавно заметил, что новые устройства помещаются в гостевую сеть, dot 1x не используется, поэтому по умолчанию используется MAB. При устранении неполадки я обнаружил, что внешний источник идентификации в ISE отображается как не подключенный. Я попытался подключиться снова, используя учетную запись с правами администратора, но по-прежнему получаю ошибку «Доступ запрещен». Возможно, я что-то делаю не так? ![img3.jpg] ![img2.jpg] ![img1.jpg] [image: 1f10fce0f141f00fad65802f3dbfc99bfcd8963e.jpg] [image: 85757c5cac76f01dbb2d6c121b21b6568e2955e9.jpg] [image: 01cb7ab785932233999e662eb67a80c1bf85ae98.jpg]

Здравствуйте, команда! Мы собираемся развернуть Cisco ISE 3.0 с Azure AD. У клиента есть требование интегрировать устройства безопасности и сетевые устройства для аутентификации пользователей TACACS. Это решение возможно с Cisco ISE и Azure AD, поскольку, насколько я понимаю, между Cisco ISE и Azure AD работает только протокол ROPC. Пожалуйста, помогите. С уважением, Джитиш К. К.

Привет всем, есть ли в ISE 3.2 способ узнать, когда была удалена учетная запись гостя? С уважением,

Наш сервер Catalyst Center (DNAC) потерял связь с нашим кластером ISE. При попытке повторно подключиться к ISE DNAC выдает следующую ошибку: Один из системных сертификатов (cname=Sectigo Public Server Authentication Root R46), используемый хостом (наш сервер ISE FQDN), не найден в хранилище доверенных сертификатов основного административного узла Cisco ISE. Проверьте и импортируйте отсутствующие сертификаты в доверенные сертификаты основного административного узла, а затем повторите попытку интеграции Cisco ISE. Однако проверка хранилища доверенных сертификатов на сервере ISE показывает, что сертификат ИМЕННО находится в хранилище доверенных сертификатов, и он такой же, как у DNAC. Тот же серийный номер, тот же лот. Я попробовал отметить его как доверенный для всего, на случай, если это решит проблему, но безрезультатно. Кто-нибудь еще сталкивался с этой проблемой и смог ее решить? Catalyst Center обновлен до последней версии (2.3.7.10.70209.10), ISE — до 3.4.0.608 Patch 3 (версия с золотой звездочкой).

Здравствуйте. У меня возникла проблема при генерации запроса CSR на моем автономном узле Cisco ISE. Ранее я настроил CSR и получил подходящий сертификат от корпоративного центра сертификации, НО центр сертификации, который подписал CSR, был корневым центром сертификации, а теперь у нас есть подчиненный центр сертификации, с помощью которого я должен подписать новый CSR, получить новый сертификат и использовать его для аутентификации EAP. Вот в чем дело. Когда я пытаюсь сгенерировать новый CSR, каждый раз появляется ошибка: «ВНИМАНИЕ! Сертификат содержит неверные значения общего имени и SAN «ise01.company.local.net,ise01.company.local.net». Подтвердите, что вы все еще хотите продолжить. Я не понимаю, почему появляется эта ошибка. Полагаю, это из-за существующего сертификата, выданного узлу ise01.company.local.net Мы проделали то же самое в лаборатории, и все работало нормально. Есть какие-нибудь предложения? Cisco ISE версии 3.2.0.542 Информация о патчах: 1,2,3,4,5,6,7 Роль: STANDALONE Версия ADE-OS: 3.2.0.401

Знаете ли вы, поддерживают ли FMC и FTD интеграцию с устройством ISE Tacacs+? Версия FTD/FMC — 7.6 Жду ваших комментариев и предложений.