Page 1
© 2011 Cisco and/or its affiliates. All rights reserved. 1 © 2011 Cisco and/or its affiliates. All rights reserved. 1
Cisco Expo Learning Club
Управление сетевым доступом корпоративных и персональных устройств с Cisco ISE
Руслан Иванов
Инженер-консультант
[email protected]
Page 2
© 2011 Cisco and/or its affiliates. All rights reserved. 2
Управление доступом в сеть интеллектуальных устройств
1. Архитектура Cisco для управлением сетевым доступом
2. Как и зачем идентифицировать тип сетевого устройства
3. Как в сети отличить корпоративные и персональные устройства
4. Хотим управлять мобильными устройствами сотрудников - системы Mobile Device Management
5. Дизайны внедрения Cisco ISE– рекомендации и лучшие практики
6. Миграция на Cisco ISE c Cisco NAC и Cisco ACS
Page 3
© 2011 Cisco and/or its affiliates. All rights reserved. 3
РОСТ
M2M
УСТРОЙСТВ
РОСТ
ПЕРСОНАЛЬНЫХ
УСТРОЙСТ
БЫСТРЫЙ РОСТ
ЧИСЛА УСТРОЙСТВ
БЫСТРЫЙ РОСТ
ЧИСЛА УСТРОЙСТВ
К 2015 году 15
миллиардов устройств
будут подключаться к сети
На каждого пользователя
приходится 3–4 устройства
40 % сотрудников приносят
свои собственные устройства
на работу
Page 4
© 2011 Cisco and/or its affiliates. All rights reserved. 4
Принтеры
Факсы/МФУ
IP-телефоны
IP камеры
Беспроводные APs
Управляемые UPS
Неуправляемое
сетевое
оборудование
Платежные
терминалы и кассы
Медицинское оборудоваие
Сигнализация
Системы видеоконференций
Турникеты
Системы жизнеобеспечения
Торговые машины
. . . и многое другое
Кофеварки
Page 5
© 2011 Cisco and/or its affiliates. All rights reserved. 5
Набор для подключения к сети Интернет*
новый мир к@фе
Модель IMPRESSA F90 первая
совместимая с Интернетом бытовая
кофемашина для приготовления эспрессо
благодаря запатентованному комплекту
Internet Connectivity©.
С помощью набора для подключения Вы
можете связать свою машину
сперсональным компьютером и с сетью
Интернет.
Запрограммируйте на компьютере ваши
любимые рецепты и загрузите их в кофе-
машину.
Page 6
© 2011 Cisco and/or its affiliates. All rights reserved. 6
Куда должны иметь доступ пользователи и устройства?
―Кто‖ и ―Что‖ находится в моей сети?
Как управлять доступом?
Page 7
© 2011 Cisco and/or its affiliates. All rights reserved. 7
“Кто” и “Что”
находится в
моей сети?
Куда могут
иметь доступ
пользователи/ус
тройства?
Централизованное
управление Центр обработки
данных Интранет Интернет Зоны безопасности
Инфраструктура
с контролем идентификации
и учетом контекста
IP-устройства
Удаленный пользователь, подключенный
по VPN
Пользователь беспроводной
сети / гость
Сотрудник Клиент
виртуальной машины
Использование существующей
инфраструктуры
Эффективное
управление
Контроль
доступа на
основе
политики
Прозрачная
идентификация
Page 8
© 2011 Cisco and/or its affiliates. All rights reserved. 8
Управление
доступом на основе
политик
Реализация
политик
Идентификация
пользователя и
устройства
Доступ на основе идентификации — это не опция, а свойство сети,
включая проводные, беспроводные сети и VPN
Cisco 2900/3560/3700/4500/6500, Nexus 7000,
инфраструктура беспроводной сети и маршрутизации Cisco ASA, ISR, ASR 1000
Identity Services Engine (ISE)
Агент NAC Web-агент
AnyConnect или встроенный в ОС клиент
Клиент 802.1x
Бесплатные клиенты
Page 9
© 2011 Cisco and/or its affiliates. All rights reserved. 9
Безопасность основанная на идентификации и контексте
КОГДА ЧТО
ГДЕ
КАК КТО
Идентификация
в контексте
Атрибуты
аутентификации,
авторизации,
учета (AAA)
Cisco ISE
Политика
безопасности
Пользователи и устройства
Реализация политики
(VLAN, ACL, SG-ACL)
Radius SNMP DHCP
… Radius
AD/LDAP
Сетевые устройства
Внешний
каталог
Сетевые устройства
Page 10
© 2011 Cisco and/or its affiliates. All rights reserved. 11
ИДЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЯ
802.1X
NAC АГЕНТ
WebAuth
Маша Петрова Федор Калязин
Шлюз камеры
видеонаблюдения
Вася Пупкин Личный iPad
Сотрудник, служба
маркетинга
Служебный десктоп
Гость
Беспроводная сеть
MacBook Air
Автономный ресурс
Консультант
Центральный офис,
отдел стратегий
Служебный нетбук
Собственность гостя
Беспроводный центральный
офис
Сотрудник, Контрактник или Гость ?
Роль в организации ?
Дополнительные атрибуты из внешнего каталога ?
ИДЕНТИФИКАЦИЯ УСТРОЙСТВА
MAC
802.1x
Профилирован
Тип и класс устройства ?
Корпоративное или персональное ?
Соответствие политике ?
Интеграция сервисов идентификации и контроля
доступа. Решение Cisco ISE.
http://www.ciscoexpo.ru/expo2011/downloads/materials
/секurity/voilibma_ISE_expo.pdf
Page 11
© 2011 Cisco and/or its affiliates. All rights reserved. 12
Page 12
© 2011 Cisco and/or its affiliates. All rights reserved. 13
PCs Non-PCs
UPS Phone Printer AP
1. Идентификация может проводиться
• Статически (вручную)
• Динамически (профилирование)
2. Результаты идентификации (Identity Group) используются в
Политике Авторизации Cisco ISE
Page 13
© 2011 Cisco and/or its affiliates. All rights reserved. 14
• Одно устройствo
Добавляем вручную
• Множество устройств
LDAP импорт
•
Импорт файлов
Page 14
© 2011 Cisco and/or its affiliates. All rights reserved. 15
Профилирование обеспечивает возможность автоматической классификации устройства
• Обнаружение и классификация основаны на цифровых отпечатках устройств
• Дополнительные преимущества профилирования
Контроль: Взгляд на то, что находится в вашей сети
• Профилирование основано на эвристике
Выбирается ―наилучшее‖ предположение
• Профилирование дополняет идентификацию по MAC-адресам или 802.1x
RADIUS
DHCP
DNS
HTTP
SNMP Query NetFlow
DHCPSPAN
SNMP Trap NMAP
Page 15
© 2011 Cisco and/or its affiliates. All rights reserved. 16
Политика использует комбинацию условий для идентификации
MAC адрес из
OUI Apple
DHCP:host-name
СОДЕРЖИТ iPad
IP:User-Agent
СОДЕРЖИТ iPad
Библиотека
профилей
Присвоить
MAC Адрес к
ID Group ―iPad‖
Я считаю, что это
устройство
скорее всего
iPad
Page 16
© 2011 Cisco and/or its affiliates. All rights reserved. 17
Сканер
(Probe)
Собираемые
атрибуты
Механизм профилирования
RADIUS Calling-Station-ID
Framed-IP-Address
Считывает MAC Address -> OUI = для идентификации вендора
устройства.
SNMP MAC Address/OUI
CDP/LLDP
attributes
ARP tables
Считывает информацию о MAC Address/OUI
CDP/LLDP, ARP таблицах с сетевых устройств
DHCP DHCP атрибуы Считывает Vendor ID уникальный для разных ОС и некоторых
аппаратных платформ.
DNS FQDN Определяет тип на основании FQDN имени устройства
HTTP User-Agent Определяет тип устройства на основании User-Agent браузера
NetFlow Source/Dest
IP/Ports/Protocol
Анализирует Source/Dest IP/Ports/Protocol. Позволяет
детектировать специализированные устройства с
характерным трафиком и выявлять аномальный трафик для
специализированных устройств
NMAP Operating System
Common ports
Endpoint SNMP data
Анализирует открытые порты и SNMP-ответы устройств.
Детектирует ОС, сетевые принтеры и устройства которые
слушают стандартные UDP/TCP ports.
Page 17
© 2011 Cisco and/or its affiliates. All rights reserved. 18
Активное сканирование устройств с помощью Network Mapper (NMAP)
Утилита NMAP встроена в ISE 1.1, и позволяет профайлеру
• детектировать новые устройства с помощью сканирования сети
• классифицировать конечные устройства, основываясь на детектировании операционной системе и анализе открытых портов
Внимание: сканирование больших сетей может занимать много времени и создавать нагрузку на ISE
Page 18
© 2011 Cisco and/or its affiliates. All rights reserved. 19
• Распределенное сканирование по протоколам CDP/LLDP, DHCP и DNS (только Catalyst 4k)
• Автоматическое обнаружение распространѐнных устройств (принтеры, устройства Cisco, телефоны…)
• Централизованный сбор данных в ISE с минимальной нагрузкой на сеть
• Независимость от топологии
Device Sensor Distributed Probes
ISE
CDP/LLDP/DHCP DHCP DHCP CDP/LLDP/DHCP CDP/LLDP/DHCP
Поддержка Device Sensor
• 3560/3750 с 15.0(1)SE1
• 3560C/CG running 15.0(2) SE
• 4500 running 15.1(1)SG
• 4500 running IOS-XE 3.3.0SG
• Wireless Controllers с 7.2.110.0 (только
DHCP)
Page 19
© 2011 Cisco and/or its affiliates. All rights reserved. 20
Page 20
© 2011 Cisco and/or its affiliates. All rights reserved. 21
Сервис обновлений профилей
устройств:
• Cisco, производители устройств и
партнеры будут предоставлять
обновления профилей новых
устройств и обновленную базу
OUI
• ISE автоматически получает
пакеты обновлений через CCO
Web-лента данных об устройствах
ISE
Планируется в
ISE 1.2
Page 21
© 2011 Cisco and/or its affiliates. All rights reserved. 22
Что= ? Кто= Сотрудник
Права доступа= Авторизация • Employee_PC Set VLAN = 20 (Полный доступ) • Employee_iPAD Set VLAN = 30 (Только Интернет)
Page 22
© 2011 Cisco and/or its affiliates. All rights reserved. 23
Page 23
© 2011 Cisco and/or its affiliates. All rights reserved. 24
Где находится BYOD ?
Управляемые
устройства
Неуправляемые
устройства
Управляемые
пользователи
“Неуправляемые”
пользователи
Гости
BYOD
Page 24
© 2011 Cisco and/or its affiliates. All rights reserved. 25
Среда требует
жесткого
контроля
Только
устройства
компании.
Запрет
Базовый сервис
и удобный
доступ
Выход в Интернет
для неуправляемых
устройств
Разрешение
Разные права
доступа +
автоматизация
Автоматизация
конфигурации,
сертификаты, VPN
Поощрение
Корпоративный
контроль персон.
устройств
Compliance – MDM,
шифрование, PIN
Lock…
Контроль
Page 25
© 2011 Cisco and/or its affiliates. All rights reserved. 26
Я знаю тебя, но докажи что ты используешь корпоративное устройство
• Идентификация пользователя…
• Логин/пароль (802.1X или WebAuth)
• Пользовательский сертификат (802.1X)
• ―Идентичность‖ устройства …
• MAC адрес?
• Машинный сертификат (802.1X)
• Как я могу связать это в единой политике?
Пользо
ватель Устройство + =
Политика
доступа
Корпоративное
устройство ?
00:11:22:AA:BB:CC
ID
Насколько
достоверна
информация?
Корпоративный
пользователь
Привет, я Маша,
мой пароль
*******
ID
ТОЛЬКО
КОРПОРАТИВНЫЕ
УСТРОЙСТВА
Page 26
© 2011 Cisco and/or its affiliates. All rights reserved. 27
Машинный сертификат является
достаточно надежным методом
идентификации, но секретный ключ и
сертификат технически возможно
продублировать
Поэтому можно дополнительно проверять:
• MAC-адрес соответствует адресу в сертификате
• MAC-адрес находится в корпоративном списке устройств
WhiteList
• Тип устройства соответствует корпоративному
(профилирование в ISE)
• В реестре и файловой системе устройства находятся
корпоративные метки (NAC функционал ISE)
Page 27
© 2011 Cisco and/or its affiliates. All rights reserved. 28
• Сценарий используется у большого корпоративного заказчика Cisco
• Заказчик решил модифицировать One DHCP User Class-ID на всех членах домена
• Обеспечивается уникальная возможность спрофилировать устройства как корпоративный ресурс
C:\>ipconfig /setclassid "Local Area Connection" CorpXYZ
Windows XP IP Configuration
DHCP ClassId successfully modified for adapter"Local Area Connection"
http://technet.microsoft.com/en-us/library/cc783756(WS.10).aspx
Page 28
© 2011 Cisco and/or its affiliates. All rights reserved. 29
2
9
Page 29
© 2011 Cisco and/or its affiliates. All rights reserved. 30
Machine Access Restrictions (MAR)
• MAR предоставляет для Radius-сервера механизм поиска предыдущих машинных аутентификаций с таким же Calling-Station-ID (MAC-адресом).
• Это означает, что устройство должно быть аутентифицировано перед входом пользователя
Потенциальные проблемы при выходе из hibernation/standby, при переключении из проводной в беспроводную сеть (ведет к смене MAC-адреса
Возможен спуфинг – подстановка во время пользовательской аутентификации MAC-адреса аутентифицированного устройства
Rule Name Conditions Permissions
MachineAuth if Domain Computers then MachineAUth
Employee if Employee &
WasMachineAuthenticated = true then Employee
Calling-Station-ID
00:11:22:33:44:55
– Passed
MAR Cache
Page 30
© 2011 Cisco and/or its affiliates. All rights reserved. 31
• Позволяет коррелировать машинную и пользовательскую аутентификации
• Выполняет обе аутентификации в рамках ЕДИНОГО EAP процесса
• Упрощает использование результата проверки в политике ISE
ISE
1.1.1
Поддержка EAP-Chaining есть в протоколе EAP-FASTv2:
• AnyConnect 3.1
• Identity Services Engine 1.1.1
Cisco участвует в составе рабочей группы IETF в процессе стандартизации
следующей версии протокола EAP -Tunneled EAP (TEAP), который также
поддерживает EAP-Chaining.
Page 31
© 2011 Cisco and/or its affiliates. All rights reserved. 32
Для управления доступом персональных устройств
Автоматическая конфигурация сапликанта 802.1x на поддерживаемых платформах
Портал регистрации устройств
Дифференциация сервисов на основе сертификатов. Защита от копирования сертификатов
Автоматизация выдачи сертификатов с дополнительными атрибутами
Ведение ―черного‖ списка устройств и переинициализация устройств
ISE
1.1.1
Page 32
© 2011 Cisco and/or its affiliates. All rights reserved. 33
Автоматизация настройки и управление сетевым доступом персональных
устройств NCS Prime
WLAN Controller
Wired Network Devices
Cisco Catalyst Switches
Проводной доступ Беспроводный доступ
ISE
Удаленный доступ
Cisco ASA
CSM / ASDM
AD/LDAP
(External ID/
Attribute Store)
Персональные
устройства
www.cisco.com/go/byod - BYOD Smart Solution Design Guide
Page 33
© 2011 Cisco and/or its affiliates. All rights reserved. 34
Page 34
© 2011 Cisco and/or its affiliates. All rights reserved. 35
Экосистема MDM
Wired or Wireless
Cisco Catalyst Switches
Window or OS X Computers
Cisco WLAN Controller
ISE MDM
Manager
Smartphones including iOS or Android Devices
Wireless
AD/LDAP
User X User Y
?
ИНТЕГРАЦИЯ С ОСНОВНЫМИ MDM ВЕНДОРАМИ
• Экосистема делает возможным
выбор решения заказчиком
Функционал:
• API для интеграции с MDM
• Использование в политике ISE
информации от MDM о мобильном
устройстве
• Инициация действий с уcтройством
через интерфейс ISE
* Запланировано на начало 2013 года
Планируется в
ISE 1.2
Page 35
© 2011 Cisco and/or its affiliates. All rights reserved. 36
• ISE через MDM API, может проверять:
Общее соответствие устройства политике ( Compliant или не-Compliant ) -или-
• Наличие шифрования диска
• Наличие Pin lock
• Наличие джейлбрейка
• Модель и серийник в ―белом‖ списке….
• После подключения в сеть ISE делает периодический опрос MDM о соответствии пользовательских устройств:
• Если результат проверки негативный – устройство принудительно отключается от сети
ISE MDM
Manager
Page 36
© 2011 Cisco and/or its affiliates. All rights reserved. 37
• Предоставляет возможность администратору и пользователю в ISE удаленно инициировать действия с мобильным устройством на MDM сервере
• Производится через:
• Портал ―Мои устройства‖
• Endpoints Directory в ISE
• Редактировать
• Переинициал.
• Потерян?
• Удалить
• Полная очистка
• Корпор. очистка
• PIN Lock
Опции
ISE MDM
Manager
Page 37
© 2011 Cisco and/or its affiliates. All rights reserved. 38
Page 38
© 2011 Cisco and/or its affiliates. All rights reserved. 39
Примечание. Расширенная лицензия не включает базовую
Платформы устройства
Cisco ISE 3315 | Cisco ISE 3355 | Cisco ISE 3395 |
Базовая лицензия ISE
Авторизованы ли мои
оконечные устройства?
• Аутентификация /
авторизация
• Гостевой доступ
• Политики шифрования
MacSec
• Все базовые сервисы
• Все расширенные
сервисы
• Только для беспроводных
устройств
Лицензия ISE для беспроводного
доступа
Бессрочная лицензия по
количеству end-point
Расширенная лицензия ISE
• Профилирование устройств
• Оценка состояния узла
• Доступ для групп
безопасности
• Новый BYOD функционал
Лицензия на срок 3 / 5 лет по
количеству end-point
Соответствуют ли мои устройства
нормативным требованиям? Базовая + Расширенная
Лицензия на срок 3 / 5 лет по
количеству end-point
VM Устройство
для ESXi 4.x и 5.x
Page 39
© 2011 Cisco and/or its affiliates. All rights reserved. 40
Роли могут совмещаться
в одном устройстве
Узел сервиса политик -Policy Service Node (PSN)
Применяет политику AAA
RADIUS сервер & профилирование & оценка состояния
Узел управления -Policy Administration Node (PAN)
Интерфейс для конфигурации политик и управления ISE
Изменение базы данных ISE
Узел мониторинга Monitoring & Troubleshooting Node (MnT)
Сбор отчетов и логов с узлов ISE
Получатель для syslog от сетевых устройств (NAD)
Inline Posture Node (IPN)
Применяют политику для сетевых устройств, которые не
поддерживают CoA (VPN-концентраторы, third-party WiFi)
Page 40
© 2011 Cisco and/or its affiliates. All rights reserved. 41
Клиентские
устройства Ресурсы Сетевые устройства
Узел
управления
(PAN)
Внешние
данные
(AD/LDAP)
Узел сервиса
политик (PSN) Просмотр/
Настройка
Политик
Запрос
атрибутов
Запрос на
доступ Доступ к
ресурсам
Журналирование
Radius
SNMP
NetFlow
Узел
мониторинга
(MnT)
Просмотр
журналов/ отчетов
Журналирование
Журналирование
(Syslog,Radius)
Page 41
© 2011 Cisco and/or its affiliates. All rights reserved. 42
ISE
Node
• Максимальное число клиентских устройств– 2000
• Отказоустойчивость для 2000 клиентских устройства
ISE
Node
Основной узел
управления
Резервный узел
мониторинга
Резервный узел
управления
Основной узел
мониторирга
PSN
MnT
PAN
PSN
MnT
PAN
Page 42
© 2011 Cisco and/or its affiliates. All rights reserved. 43
PSNs ≤ 2 PSNs ≤ 5 5 < PSNs ≤ 40
≤ 2,000 Admin + Monitor +
PSN на одном
устройстве
Admin +
Monitoring
на одном
устройстве:
2x ISE 3355
или
2x ISE-VM
Выделенные узлы
Управления :
2x ISE-3395
или
2x ISE-VM
Выделенные узлы
мониторинга:
2x ISE-3395
или
2x ISE-VM
≤ 5,000 -
≤ 10,000 -
Admin +
Monitoring
на одном
устройстве:
2x ISE-3395
или
2x ISE-VM
≤ 100,000 - -
Максимальное количество поддерживаемых пользовательских
устройств и Узлов Политик (PSN) зависит от модели внедрения
Узлов Управления и Мониторинга
Page 43
© 2011 Cisco and/or its affiliates. All rights reserved. 44
Формфактор Платфор
ма
Устройство Максимум
Endpoints
Событий
профайлера
Событий
оценки
состояния
Физический
Small ISE 3315 / 1121 3000 500/сек 70/сек
Medium ISE 3355 6000 500/сек 70/сек
Large ISE 3395 10,000 1200/сек 110/сек
Виртуальный S/M/L VM 10,000 * Переменная Переменная
* Аппаратная платформа для ISE
VM должна обеспечивать
аппаратные ресурсы выше или на
уровне соответствующего
физического устройства ISE
Крайне рекомендуется
использовать жесткие диски с
RPM 10K или выше
• Узел сервиса политик – масштабирование и производительность
Кол-во аутентификаций в секунду
EAP-TLS 335 internal, 124 LDAP
MSCHAPv2 1316 internal, 277 AD
PEAP-MSCHAPv2 181
FAST-MSCHAPv2 192
Гостевой (web auth) 17
Page 44
© 2011 Cisco and/or its affiliates. All rights reserved. 45
Data
Center A DC B
Филиал
A
Филиал
Б
AP
AP AP
WLC
802.1X
AP
ASA VPN
Switch
802.1X
Switch
802.1X
Switch
802.1X
WLC
802.1X
Switch
802.1X
Admin (P)
Admin (S)
Monitor (P) Monitor (S)
HA Inline
Posture Nodes
Кластер Узлов сервисов
политик
AD/LDAP
(External ID/
Attribute Store) AD/LDAP
(External ID/
Attribute Store)
MnT PAN
PAN MnT
PSN PSN PSN PSN
PSN PSN
IPN
IPN Скоростной канал с небольшой задержкой
•Отказоустойчивая, распределенная архитектура
внедрения между ЦОД (P=Primary / S=Secondary)
•Распределенный кластер узлов сервисов политик в
резервном ЦОД или большом кампусе
•Централизованные кластеры узлов PSN для
проводного/беспроводного доступа в филиалах
•Требуется скоростной канал с небольшой задержкой
для синхронизации обновлений баз данных.
•Не рекомендуется использовать удаленное
профилирование по SPAN и NetFlow
Page 45
© 2011 Cisco and/or its affiliates. All rights reserved. 46
ACS
Identity Services Engine
NAC Guest NAC Profiler NAC Manager NAC Server
• Существующие заказчики ACS/NAC могут мигрировать на ISE
• Исключения:
• заказчики, которые используют ACS для управления доступом сетевых администраторов и
протокола TACACS+
• заказчики NAC, которые хотят использовать SNMP для управления сетевыми устройствами
• Существует инструмент для автоматизации миграции данных и конфигурации c ACS 5.1/5.2 на ISE *
* http://www.cisco.com/en/US/docs/security/ise/1.1/migration_guide/ise_migration_guide.html
** Инструменты миграции для NAC Appliance будут реализованы в последующих версиях ISE
Page 46
© 2011 Cisco and/or its affiliates. All rights reserved. 47
Предложение по миграции
Существующие заказчики ACS, если требуется оценка состояния, профилирование или гостевые сервисы
Существующие заказчики NAC, которые хотят внедрить контроль портов на основе 802.1X и расширенные функции авторизации (такие как метки SGT)
Существующие заказчики NAC Profiler, которым требуется расширение лицензии
Почему мигрировать на ISE
Migration Steps
NAC 3315/55/95 и ACS 1121 устройства могут быть перепрошиты для поддержки ISE. Старые устройства, NAC 33x0, NAC 3140 и ACS 1120, нет. Заказчики со старыми устройствами могут приобрести новые устройства по специальной цене (и могут по прежнему эксплуатировать старые устройства)
Существующие заказчики ACS и NGS имеют право приобрести лицензии миграции типа ―Base‖ со скидкой от стандартной цены
Существующие заказчики NAC и NAC Profiler имеют право приобрести лицензии миграции типа ―Advanced‖ (3-YR) по нулевой цене, исходя из общего количества лицензий NAC и/или Profiler
Existing support contracts transition to ISE support contract but prorated
Существующие инвестиции защищены
Page 47
© 2011 Cisco and/or its affiliates. All rights reserved. 48
• Cisco Identity
Services Engine
(ISE) с версии 1.1.4
(май 2013)
• Network Admission
Control (NAC)
• Access Control
Server (ACS)
SNS-3415-K9 &
SNS-3495-K9
Cisco Secure Network Servers
Платформа основана на Cisco UCS C220 Server,
специально укомплектованного для следующих сетевых
сервисов:
Page 48
© 2011 Cisco and/or its affiliates. All rights reserved. 49
Platform Cisco Identity Services
Engine Appliance 3315
(Small)
Cisco Identity Services
Engine Appliance 3355
(Medium)
Cisco Identity Services
Engine Appliance 3395
(Large)
Processor 1 x QuadCore
Intel Core 2 CPU Q9400
@ 2.66 GHz
(4 total cores)
1 x QuadCore
Intel Xeon CPU E5504
@ 2.00 GHz
(4 total cores)
2 x QuadCore
Intel Xeon CPU E5504
@ 2.00 GHz
(8 total cores)
Memory 4 GB 4 GB 4 GB
Hard disk 2 x 250-GB SATA HDD
(250 GB total disk space)
2 x 300-GB SAS drives
(600 GB total disk space)
4 x 300-GB SFF SAS drives
(600 GB total disk space)
RAID No Yes (RAID 0) Yes (RAID 0+1)
Ethernet
NICs
4x Integrated Gigabit NICs 4 x Integrated Gigabit NICs 4 x Integrated Gigabit NICs
Concurrent
Endpoints
3,000 Max 6,000 MAX 10,000 Max
• Appliance Specifications http://www.cisco.com/en/US/docs/security/ise/1.0.4/install_guide/ise104_ovr.html#wp1103032
Page 49
© 2011 Cisco and/or its affiliates. All rights reserved. 50
Secure Network Services
Appliance
SNS-3415-K9
Secure Network Services Appliance
SNS-3495-K9
Processor 1 - QuadCore Intel Xeon
2.4 GHz
2 - QuadCore Intel Xeon
2.4 GHz
CPU Model E5-2609 E5-2609
# Cores per CPU 4 (4 total cores) 4 (8 total cores)
# Threads per Core 1 (No Hyper Threading) 1 (No Hyper Threading)
Memory 16 GB DDR3-1066 (4 x 4GB) 32 GB DDR3-1066 (8 x 4GB)
Hard disk 1- 2.5 Inch
600 GB SAS 10K RPM
2- 2.5 Inch
600 GB SAS 10K RPM
RAID No Yes - RAID 1 (600 GB Total Storage)
LSI 2008 SAS RAID Mezzanine Card
Ethernet NICs 4 (2 on board; 2 on NIC) 4 (2 on board; 2 on NIC)
Power Supplies 1 x 650W 2 x 650W
Trusted Platform Module Yes Yes
SSL Acceleration Card No Yes
Concurrent
Endpoints
5,000 (PSN function) 20,000 (PSN function)
Page 50
© 2011 Cisco and/or its affiliates. All rights reserved. 51
Thank you.
Page 51
© 2011 Cisco and/or its affiliates. All rights reserved. 52
SXP
Nexus® 7K, 5K and 2K
Switch
Data Center
Cisco®
Catalyst® Switch
Cisco
ISE
Wireless
user
Campus
Network Wired
user Cat 6K
Egress Enforcement
MACsec
Profiler Posture
Guest Services RADIUS
Ingress Enforcement
Ingress Enforcement
Cisco®
Wireless
Controller
Site-to-Site
VPN user WAN
ISR G2 with integrated switch
ASR1K
SXP
AnyConnect
Named ACLs
dVLAN
dACLs / Named ACLs dVLAN
SGACLs