Открыть список
Как стать автором
Обновить

Тестирование покажет: как подготовиться к внедрению Cisco ISE и понять, какие фичи системы вам нужны

Блог компании Инфосистемы ДжетИнформационная безопасностьТестирование IT-системCisco
Всего голосов 30: ↑30 и ↓0 +30
Просмотры5K
Комментарии 14

Комментарии 14

«Совместимо ли ваше сетевое оборудование с Cisco ISE?» ответ на этот вопрос как раз и есть та самая головная боль для многих компаний
I am escalation tech lead for Cisco ISE product AMA (ask me anything). Можно по русски :)
ООО, у меня есть вопрос ))) У меня версия 2.4 и очень криво работает радиус аутентификация с Мераки, вечно отваливается ISE. Слава богу сейчас хоть успевает отправить аппрув до того как зависнет на пару сек. Есть кстати кейс, вроде болгарские (судя по именам) инжинеры уже второй лог пак прочесывают. Ошибку они могут повторить и найти в логах, пытаются понять что такого со стороны Мераки крашит ISE.. так как вы tech lead может слышали что про это?
ПОпробуем разобраться. Попросите собрать core files into support bundle. попросите проанализировать core file (если там действительно краш) если не смогут — требуйте эскалировать выше. Дайте номер кейса сюда или в личку.
Ребяту из суппорта уже два раза собирали бандл. Сегодня кейс обновили, но выглядит как-будто они кричат «Это не мы, это все они ))))» Хотя Мераки это же тоже Циска, и у Вас там должно нормально работать сотрудничество между подразделениями, не вчера же циска купила Мераки )))

Клиенту очень сложно объяснять, что вот тот кейс что мы открывали — надо закрывать, и открывать новый в циску, только теперь Мераки (они плохиши не по RFC запросы отправляют), но, минуточку, ISE то крашится ))))

Кейс:686320639 надеюсь «топик» все еще так же хорошо работает как и раньше )))
Очень стабильно ISE работала на версии 2.3. На свою голову обновился до 2.4. Обновление шло долго. 2 ноды. Не успел за ночь сразу после обновления накатить патчи. Тупо уснул. С утра разбудили первые сотрудники. Ни Cisco IP телефоны, ни другие device, с профилированием, не проходили « паспортный контроль»

Пока проснулся, разобрался, накатил патчи — уже обед.

Спасибо Cisco ISE за полдня простоя. Так и работу можно потерять.

За 2 недели работы под вер. 2.4 определение устройств по профилированию — игра в лото.

Логику работы понять невозможно. Перемудрили в Сискари.

На след. неделе уберу профилирование, переведу все в статические EIG.

Ну а летом выброшу ISE и поставлю классический Radius. Как- то не хочется рисковать работой. Кто знает, что ещё придёт Футуристам из Cisco в голову.
Пожалуйста, не надо так эмоционально. Какой у Вас патч на 2.4? С profiler-ом всегда есть проблемы (он очень сложный, с распределенной обработкой ) но они решаемы. Всегда можно разобраться и подправить конфигурацию или починить. RADIUS очень стабилен, работает как часы, еще со времен ACS. У Вас есть официальная поддержка Cisco? Можете открыть кеис и рассказать в деталях? Попросите ребят из Кракова, там есть очень грамотные спецы, т ч. на русском.
2.4 обновлён до крайнего патча. Поддержка есть. Кейс открою на неделе

В принципе мне поддержка на русском и не обязательна, я полжизни уже работаю на немецком.

По эмоциям. Когда останавливается сеть на пару тысяч потребителей — какие тут эмоции. Тут « тушить» надо.

И ещё по ISE. Отвратительный Web Interface. Тормозит страшно. Логика меню — отсутствует. Я с удовольствием работал с ACS Server—ом, а вот от ISE аллергия.

Из—за «непредсказуемости» пришлось отказаться и от другого Cisco продукта — Prime Infrastruktur. Тоже самое было и при выборе серверной инфраструктуры. Пришлось отказаться от Hyperflex.

Кому интересно — описано у меня в блоге.

Prime — мертвый продукт уже, циска давно всем говорит идти в сторону DNA Center.. А так Вы правы, идеи у них просто супер, но всегда реализация подкачивает. Ощущение что продукты все же «бета». Хотя железо хорошее, я Nexus линейку люблю, плюс Python никто не отменял..
У Вас наверное P6. Пожалуйста, откройте кейс, я уверен Вам помогут, Если почувствуете, что кейс застрял -эскалируйте, есть инженер Jay, он супер в профилере.
По поводу интерфейса — я то же «болел» когда переключался с ACS на ISE. Но вообще то это привычка.
На каком «железе» ISE? UCS 3595? VM? Достаточно ли памяти и процессоров? ЕСли VM нужно exclusive memory and CPU allocation. Если GUI тормозит, на то есть причины… давайте разбираться.

у меня 2* Cisco SNS-3515-K9, Single Xeon E5-2620, 16 GB RAM, 1 x 600-GB disk.
Разобрались и без кейса. в версии 2.4 активировалась функция "Параноя ". Изменяет параметры в базе Endpoint. Может запросто "признать " банковский терминал "неопознанной Workstation.
"Приятная " неожиданность. Ох, быстрее бы отключить профилирование. А то глядишь и "Хозяина" скоро признавть не будет.
Грустно это.
пс. И чего это вдруг Cisco по-быстрому парч на полтора гига выпустила? Наворотили дел.

Все, отключил профилирование. Буду работать в «ручном» режиме.

Сразу же понизилось потребление памяти, GUI работает быстрее. Ну и платные лицензии продлевать не надо. Базовая лицензия бессрочная, а при отсутствии профилирования — другие и не нужны.

Еще раз спасибо автору статьи. Очень правильная тема

Если кому ещё интересно, я определился, буду менять ISE на достаточно простой и удобный NAS www.isl.de/en/arp-guard/product.html

Отлично прошёл тест, для моего Хозяйства само то. В России продукт почти не известен. А жаль.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Информация

Дата основания
1991
Местоположение
Россия
Сайт
jet.su
Численность
1 001–5 000 человек
Дата регистрации

Блог на Хабре