Документ описывает управление сетевым доступом для корпоративных и персональных устройств с использованием Cisco ISE. Он охватывает архитектуру Cisco, методы идентификации устройств, а также рекомендации по внедрению и профилированию. Основное внимание уделяется безопасности, управлению доступом и автоматизации для мобильных устройств сотрудников.

1. Cisco Expo
Learning Club
Управление
сетевым доступом
корпоративных и
персональных
устройств с Cisco
ISE
Руслан Иванов
Инженер-консультант
ruivanov@cisco.com
© 2011 Cisco and/or its affiliates. All rights reserved. 1

2. Управление доступом в сеть интеллектуальных устройств
1. Архитектура Cisco для управлением сетевым доступом
2. Как и зачем идентифицировать тип сетевого устройства
3. Как в сети отличить корпоративные и персональные
устройства
4. Хотим управлять мобильными устройствами
сотрудников - системы Mobile Device Management
5. Дизайны внедрения Cisco ISE– рекомендации и лучшие
практики
6. Миграция на Cisco ISE c Cisco NAC и Cisco ACS
© 2011 Cisco and/or its affiliates. All rights reserved. 2

3. БЫСТРЫЙ РОСТ
ЧИСЛА УСТРОЙСТВ
На каждого пользователя
приходится 3–4 устройства
К 2015 году 15
миллиардов устройств
будут подключаться к сети
40 % сотрудников приносят
свои собственные устройства
на работу
РОСТ РОСТ
БЫСТРЫЙ РОСТ M2M
ПЕРСОНАЛЬНЫХ
ЧИСЛА УСТРОЙСТВ УСТРОЙСТВ
© 2011 Cisco and/or its affiliates. All rights reserved. УСТРОЙСТ 3

4. Принтеры IP камеры Сигнализация
Беспроводные APs Турникеты
Факсы/МФУ
Системы
Системы Управляемые UPS жизнеобеспечения
видеоконференций
Платежные Торговые машины
IP-телефоны терминалы и кассы
Медицинское Кофеварки
Неуправляемое оборудоваие
сетевое
оборудование
. . . и многое другое
© 2011 Cisco and/or its affiliates. All rights reserved. 4

5. Набор для подключения к сети Интернет*
новый мир к@фе
 Модель IMPRESSA F90 первая
совместимая с Интернетом бытовая
кофемашина для приготовления эспрессо
благодаря запатентованному комплекту
Internet Connectivity©.
 С помощью набора для подключения Вы
можете связать свою машину
с персональным компьютером и с сетью
Интернет.
 Запрограммируйте на компьютере ваши
любимые рецепты и загрузите их в кофе-
машину.
© 2011 Cisco and/or its affiliates. All rights reserved. 5

6. ―Кто‖ и ―Что‖ находится в моей сети?
Куда должны иметь
доступ пользователи и
устройства?
Как управлять доступом?
© 2011 Cisco and/or its affiliates. All rights reserved. 6

7. Пользователь Сотрудник
беспроводной Клиент
Удаленный сети / гость
пользователь,
подключенный
виртуальной
машины “Кто” и “Что”
Прозрачная по VPN
IP-устройства находится в
идентификация моей сети?
Куда могут
Контроль Инфраструктура
с контролем идентификации
иметь доступ
доступа на
и учетом контекста пользователи/ус
основе
тройства?
политики
Эффективное Централизованное
Центр обработки Интранет Интернет Зоны безопасности
управление данных управление
Использование существующей
инфраструктуры
© 2011 Cisco and/or its affiliates. All rights reserved. 7

8. Доступ на основе идентификации — это не опция, а свойство сети,
включая проводные, беспроводные сети и VPN
Управление
доступом на основе
политик
Identity Services Engine (ISE)
Реализация
политик
Cisco 2900/3560/3700/4500/6500, Nexus 7000, Cisco ASA, ISR, ASR 1000
инфраструктура беспроводной сети и маршрутизации
Идентификация
пользователя и Агент NAC Web-агент Клиент 802.1x
устройства Бесплатные клиенты AnyConnect или встроенный в ОС клиент
© 2011 Cisco and/or its affiliates. All rights reserved. 8

9. Безопасность основанная на идентификации и контексте
Внешний
AD/LDAP каталог
Сетевые устройства
Атрибуты
аутентификации, Политика
ГДЕ авторизации, безопасности
учета (AAA)
ЧТО КОГДА
КТО КАК Radius Cisco ISE
SNMP
DHCP
Реализация политики
Идентификация … (VLAN, ACL, SG-ACL) Radius
в контексте
Пользователи и устройства
Сетевые устройства
© 2011 Cisco and/or its affiliates. All rights reserved. 9

10. MAC Тип и класс устройства ?
802.1x Корпоративное или персональное ?
Профилирован
Соответствие политике ?
ИДЕНТИФИКАЦИЯ УСТРОЙСТВА
Шлюз камеры Вася Пупкин Личный iPad
видеонаблюдения Консультант Собственность гостя
Центральный офис, Беспроводный центральный
Автономный ресурс
отдел стратегий офис
Служебный нетбук
Маша Петрова Федор Калязин
Сотрудник, служба Гость
маркетинга Беспроводная сеть
Служебный десктоп MacBook Air
ИДЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЯ
802.1X Интеграция сервисов идентификации и контроля
Сотрудник, Контрактник или Гость ?
NAC АГЕНТ доступа. Решение Cisco ISE.
Роль в организации ?
http://www.ciscoexpo.ru/expo2011/downloads/material
Дополнительные атрибуты из внешнего каталога ?
WebAuth
/секurity/voilibma_ISE_expo.pdf
© 2011 Cisco and/or its affiliates. All rights reserved. 11

11. © 2011 Cisco and/or its affiliates. All rights reserved. 12

12. PCs Non-PCs
UPS Phone Printer AP
1. Идентификация может проводиться
• Статически (вручную)
• Динамически (профилирование)
2. Результаты идентификации (Identity Group) используются в
Политике Авторизации Cisco ISE
© 2011 Cisco and/or its affiliates. All rights reserved. 13

13. • Одно устройствo
Добавляем вручную
•
• Множество устройств
LDAP импорт
Импорт файлов
© 2011 Cisco and/or its affiliates. All rights reserved. 14

14. Профилирование обеспечивает возможность автоматической
классификации устройства
• Обнаружение и классификация основаны на цифровых
отпечатках устройств
RADIUS HTTP DHCPSPAN
DHCP SNMP Query NetFlow
DNS NMAP SNMP Trap
• Дополнительные преимущества профилирования
Контроль: Взгляд на то, что находится в вашей сети
• Профилирование основано на эвристике
Выбирается ―наилучшее‖ предположение
• Профилирование дополняет идентификацию по MAC-адресам
или 802.1x
© 2011 Cisco and/or its affiliates. All rights reserved. 15

15. Политика использует комбинацию условий для идентификации
MAC адрес из
OUI Apple
DHCP:host-name IP:User-Agent
СОДЕРЖИТ iPad СОДЕРЖИТ iPad
Я считаю, что это
Присвоить
устройство
MAC Адрес к
скорее всего
ID Group ―iPad‖
Библиотека iPad
профилей
© 2011 Cisco and/or its affiliates. All rights reserved. 16

16. Сканер Собираемые Механизм профилирования
(Probe) атрибуты
RADIUS Calling-Station-ID Считывает MAC Address -> OUI = для идентификации вендора
Framed-IP-Address устройства.
SNMP MAC Address/OUI Считывает информацию о MAC Address/OUI
CDP/LLDP CDP/LLDP, ARP таблицах с сетевых устройств
attributes
ARP tables
DHCP DHCP атрибуы Считывает Vendor ID уникальный для разных ОС и некоторых
аппаратных платформ.
DNS FQDN Определяет тип на основании FQDN имени устройства
HTTP User-Agent Определяет тип устройства на основании User-Agent браузера
NetFlow Source/Dest Анализирует Source/Dest IP/Ports/Protocol. Позволяет
IP/Ports/Protocol детектировать специализированные устройства с
характерным трафиком и выявлять аномальный трафик для
специализированных устройств
NMAP Operating System Анализирует открытые порты и SNMP-ответы устройств.
Common ports Детектирует ОС, сетевые принтеры и устройства которые
Endpoint SNMP data слушают стандартные UDP/TCP ports.
© 2011 Cisco and/or its affiliates. All rights reserved. 17

17. Активное сканирование устройств с помощью Network Mapper (NMAP)
Утилита NMAP встроена в ISE 1.1, и позволяет профайлеру
• детектировать новые устройства с помощью сканирования сети
• классифицировать конечные устройства, основываясь на
детектировании операционной системе и анализе открытых портов
Внимание: сканирование больших сетей может занимать много времени
и создавать нагрузку на ISE
© 2011 Cisco and/or its affiliates. All rights reserved. 18

18. • Распределенное сканирование по протоколам CDP/LLDP, DHCP и
DNS (только Catalyst 4k)
• Автоматическое обнаружение распространѐнных устройств
(принтеры, устройства Cisco, телефоны…)
• Централизованный сбор данных в ISE с минимальной нагрузкой на
сеть
Поддержка Device Sensor
• Независимость от топологии • 3560/3750 с 15.0(1)SE1
• 3560C/CG running 15.0(2) SE
ISE • 4500 running 15.1(1)SG
• 4500 running IOS-XE 3.3.0SG
• Wireless Controllers с 7.2.110.0 (только
DHCP)
CDP/LLDP/DHCP CDP/LLDP/DHCP CDP/LLDP/DHCP DHCP DHCP
Device Sensor Distributed Probes
© 2011 Cisco and/or its affiliates. All rights reserved. 19

19. © 2011 Cisco and/or its affiliates. All rights reserved. 20

20. Планируется в
ISE 1.2
Сервис обновлений профилей
устройств:
• Cisco, производители устройств и
партнеры будут предоставлять
обновления профилей новых
устройств и обновленную базу ISE
OUI
Web-лента данных
• ISE автоматически получает об устройствах
пакеты обновлений через CCO
© 2011 Cisco and/or its affiliates. All rights reserved. 21

21. Что= ? Кто= Сотрудник
Права доступа= Авторизация
• Employee_PC Set VLAN = 20 (Полный доступ)
• Employee_iPAD Set VLAN = 30 (Только Интернет)
© 2011 Cisco and/or its affiliates. All rights reserved. 22

22. © 2011 Cisco and/or its affiliates. All rights reserved. 23

23. Где находится BYOD ?
Управляемые BYOD
пользователи
Управляемые Неуправляемые
устройства устройства
Гости
“Неуправляемые”
пользователи
© 2011 Cisco and/or its affiliates. All rights reserved. 24

24. Запрет Разрешение Поощрение Контроль
Среда требует Базовый сервис Разные права Корпоративный
жесткого и удобный доступа + контроль персон.
контроля доступ автоматизация устройств
Только Выход в Интернет Автоматизация Compliance – MDM,
устройства для неуправляемых конфигурации, шифрование, PIN
компании. устройств сертификаты, VPN Lock…
© 2011 Cisco and/or its affiliates. All rights reserved. 25

25. ТОЛЬКО
КОРПОРАТИВНЫЕ
УСТРОЙСТВА
Я знаю тебя, но докажи что ты используешь корпоративное устройство
• Идентификация пользователя… Привет, я Маша,
мой пароль
• Логин/пароль (802.1X или WebAuth) *******
Корпоративный ID
• Пользовательский сертификат (802.1X) пользователь
―Идентичность‖ устройства …
00:11:22:AA:B
• B:CC
• MAC адрес? ID
• Машинный сертификат (802.1X)
Корпоративное
устройство ?
• Как я могу связать это в единой
политике?
Насколько
Политика
Пользо
+ Устройство = доступа достоверна
ватель
информация?
© 2011 Cisco and/or its affiliates. All rights reserved. 26

26. Машинный сертификат является
достаточно надежным методом
идентификации, но секретный ключ и
сертификат технически возможно
продублировать 
Поэтому можно дополнительно проверять:
• MAC-адрес соответствует адресу в сертификате
• MAC-адрес находится в корпоративном списке устройств
WhiteList
• Тип устройства соответствует корпоративному
(профилирование в ISE)
• В реестре и файловой системе устройства находятся
корпоративные метки (NAC функционал ISE)
© 2011 Cisco and/or its affiliates. All rights reserved. 27

27. • Сценарий используется у
большого корпоративного
заказчика Cisco
• Заказчик решил
модифицировать One DHCP User
Class-ID на всех членах домена
• Обеспечивается уникальная
возможность спрофилировать
устройства как корпоративный
ресурс
C:>ipconfig /setclassid "Local Area Connection" CorpXYZ
Windows XP IP Configuration
DHCP ClassId successfully modified for adapter"Local Area Connection"
http://technet.microsoft.com/en-us/library/cc783756(WS.10).aspx
© 2011 Cisco and/or its affiliates. All rights reserved. 28

28. © 2011 Cisco and/or its affiliates. All rights reserved. 29
2

29. Machine Access Restrictions (MAR)
• MAR предоставляет для Radius-сервера механизм поиска предыдущих
машинных аутентификаций с таким же Calling-Station-ID (MAC-адресом).
• Это означает, что устройство должно быть аутентифицировано перед
входом пользователя
Потенциальные проблемы при выходе из hibernation/standby, при
переключении из проводной в беспроводную сеть (ведет к смене MAC-адреса
Возможен спуфинг – подстановка во время пользовательской аутентификации
MAC-адреса аутентифицированного устройства
Rule Name Conditions Permissions
MAR Cache
MachineAuth if Domain Computers then MachineAUth
Calling-Station-ID
00:11:22:33:44:55
Employee &
– Passed Employee if then Employee
WasMachineAuthenticated = true
© 2011 Cisco and/or its affiliates. All rights reserved. 30

30. ISE
1.1.1
• Позволяет коррелировать машинную и пользовательскую аутентификации
• Выполняет обе аутентификации в рамках ЕДИНОГО EAP процесса
• Упрощает использование результата проверки в политике ISE
Поддержка EAP-Chaining есть в протоколе EAP-FASTv2:
• AnyConnect 3.1
• Identity Services Engine 1.1.1
Cisco участвует в составе рабочей группы IETF в процессе стандартизации
следующей версии протокола EAP -Tunneled EAP (TEAP), который также
поддерживает EAP-Chaining.
© 2011 Cisco and/or its affiliates. All rights reserved. 31

31. ISE
1.1.1
Для управления доступом персональных устройств
Автоматическая конфигурация сапликанта 802.1x на
поддерживаемых платформах
Портал регистрации устройств
Автоматизация выдачи сертификатов с
дополнительными атрибутами
Дифференциация сервисов на основе сертификатов.
Защита от копирования сертификатов
Ведение ―черного‖ списка устройств и
переинициализация устройств
© 2011 Cisco and/or its affiliates. All rights reserved. 32

32. Персональные
устройства
Автоматизация настройки и управление сетевым доступом персональных
устройств ISE
NCS Prime
AD/LDAP
(External ID/
Attribute Store)
Cisco Catalyst WLAN Cisco ASA
Switches Controller
CSM / ASDM
Wired
Network
Devices
Проводной доступ Беспроводный доступ Удаленный доступ
www.cisco.com/go/byod - BYOD Smart Solution Design Guide
© 2011 Cisco and/or its affiliates. All rights reserved. 33

33. © 2011 Cisco and/or its affiliates. All rights reserved. 34

34. Планируется в
ISE 1.2
Экосистема MDM
ИНТЕГРАЦИЯ С ОСНОВНЫМИ
AD/LDAP
MDM ВЕНДОРАМИ
ISE
MDM
Manager
? • Экосистема делает возможным
выбор решения заказчиком
Cisco Catalyst
Switches
Cisco WLAN
Controller Функционал:
• API для интеграции с MDM
User Y
User X
• Использование в политике ISE
информации от MDM о мобильном
устройстве
• Инициация действий с уcтройством
через интерфейс ISE
Window or OS X Smartphones including iOS
Computers or Android Devices
* Запланировано на начало 2013 года
Wired or Wireless Wireless
© 2011 Cisco and/or its affiliates. All rights reserved. 35

35. ISE
MDM
Manager
• ISE через MDM API, может проверять:
Общее соответствие устройства политике (
Compliant или не-Compliant ) -или-
• Наличие шифрования диска
• Наличие Pin lock
• Наличие джейлбрейка
• Модель и серийник в ―белом‖ списке….
• После подключения в сеть ISE делает
периодический опрос MDM о
соответствии пользовательских
устройств:
• Если результат проверки негативный –
устройство принудительно отключается от
сети
© 2011 Cisco and/or its affiliates. All rights reserved. 36

36. ISE
MDM
Manager
• Предоставляет возможность администратору и пользователю
в ISE удаленно инициировать действия с мобильным
устройством на MDM сервере
• Производится через:
• Портал ―Мои устройства‖
• Endpoints Directory в ISE
Опции
• Редактировать
• Переинициал.
• Потерян?
• Удалить
• Полная очистка
• Корпор. очистка
• PIN Lock
© 2011 Cisco and/or its affiliates. All rights reserved. 37

37. © 2011 Cisco and/or its affiliates. All rights reserved. 38

38. Лицензия ISE для
Базовая Расширенная
беспроводного
лицензия ISE лицензия ISE
доступа
Авторизованы ли мои Соответствуют ли мои устройства
оконечные устройства? нормативным требованиям? Базовая + Расширенная
• Аутентификация / • Профилирование устройств • Все базовые сервисы
авторизация • Оценка состояния узла • Все расширенные
• Гостевой доступ • Доступ для групп сервисы
• Политики шифрования безопасности • Только для беспроводных
MacSec • Новый BYOD функционал устройств
Бессрочная лицензия по Лицензия на срок 3 / 5 лет по Лицензия на срок 3 / 5 лет по
количеству end-point количеству end-point количеству end-point
Платформы устройства
VM Устройство
Cisco ISE 3315 | Cisco ISE 3355 | Cisco ISE 3395 |
для ESXi 4.x и 5.x
Примечание. Расширенная лицензия не включает базовую
© 2011 Cisco and/or its affiliates. All rights reserved. 39

39. Роли могут совмещаться
в одном устройстве
Узел сервиса политик -Policy Service Node (PSN)
Применяет политику AAA
RADIUS сервер & профилирование & оценка состояния
Узел управления -Policy Administration Node (PAN)
Интерфейс для конфигурации политик и управления ISE
Изменение базы данных ISE
Узел мониторинга Monitoring & Troubleshooting Node
(MnT)
Сбор отчетов и логов с узлов ISE
Получатель для syslog от сетевых устройств (NAD)
Inline Posture Node (IPN)
Применяют политику для сетевых устройств, которые не
поддерживают CoA (VPN-концентраторы, third-party WiFi)
© 2011 Cisco and/or its affiliates. All rights reserved. 40

40. Узел
мониторинга
Журналирование (MnT)
Журналирование
Просмотр
журналов/ отчетов
Узел Внешние
Узел сервиса
управления данные
Просмотр/ политик (PSN) Запрос
(PAN) Настройка
(AD/LDAP)
атрибутов
Политик
Radius
Журналирование
SNMP
(Syslog,Radius)
NetFlow
Клиентские
Сетевые устройства Ресурсы
устройства Запрос на Доступ к
доступ ресурсам
© 2011 Cisco and/or its affiliates. All rights reserved. 41

41. • Максимальное число клиентских устройств– 2000
• Отказоустойчивость для 2000 клиентских устройства
ISE ISE
Node Node
Основной узел PAN PAN Резервный узел
управления управления
MnT MnT Основной узел
Резервный узел
мониторирга
мониторинга
PSN PSN
© 2011 Cisco and/or its affiliates. All rights reserved. 42

42. Максимальное количество поддерживаемых пользовательских
устройств и Узлов Политик (PSN) зависит от модели внедрения
Узлов Управления и Мониторинга
PSNs ≤ 2 PSNs ≤ 5 5 < PSNs ≤ 40
Admin + Monitor + Admin +
≤ 2,000 PSN на одном Monitoring
устройстве на одном
Выделенные узлы
устройстве:
Управления :
2x ISE 3355
≤ 5,000 - или
2x ISE-3395
или
2x ISE-VM
2x ISE-VM
Admin +
Monitoring Выделенные узлы
на одном мониторинга:
≤ 10,000 - устройстве: 2x ISE-3395
2x ISE-3395 или
или 2x ISE-VM
2x ISE-VM
≤ 100,000 - -
© 2011 Cisco and/or its affiliates. All rights reserved. 43

43. • Узел сервиса политик – масштабирование и производительность
Формфактор Платфор Устройство Максимум Событий Событий
ма Endpoints профайлера оценки
состояния
Small ISE 3315 / 1121 3000 500/сек 70/сек
Физический Medium ISE 3355 6000 500/сек 70/сек
Large ISE 3395 10,000 1200/сек 110/сек
Виртуальный S/M/L VM 10,000 * Переменная Переменная
Кол-во аутентификаций в секунду * Аппаратная платформа для ISE
VM должна обеспечивать
EAP-TLS 335 internal, 124 LDAP аппаратные ресурсы выше или на
уровне соответствующего
MSCHAPv2 1316 internal, 277 AD
физического устройства ISE
PEAP-MSCHAPv2 181
FAST-MSCHAPv2 192 Крайне рекомендуется
использовать жесткие диски с
Гостевой (web auth) 17 RPM 10K или выше
© 2011 Cisco and/or its affiliates. All rights reserved. 44

44. Admin (P) Monitor (P) Кластер Узлов сервисов
Admin (S) Monitor (S) политик
PAN MnT PSN PSN PSN PSN
PAN MnT PSN PSN
AD/LDAP
(External ID/ AD/LDAP
Attribute Store) (External ID/
Data DC B Attribute Store)
IPN
Center A
IPN
Скоростной канал с небольшой задержкой WLC
ASA VPN
802.1X
HA Inline
Posture Nodes Switch
802.1X AP
WLC
802.1X
Switch •Отказоустойчивая, распределенная архитектура
802.1X
AP
внедрения между ЦОД (P=Primary / S=Secondary)
•Распределенный кластер узлов сервисов политик в
резервном ЦОД или большом кампусе
Филиал
Филиал
A
Б •Централизованные кластеры узлов PSN для
проводного/беспроводного доступа в филиалах
•Требуется скоростной канал с небольшой задержкой
AP
Switch
802.1X AP
Switch
802.1X
для синхронизации обновлений баз данных.
•Не рекомендуется использовать удаленное
профилирование по SPAN и NetFlow
© 2011 Cisco and/or its affiliates. All rights reserved. 45

45. ACS NAC Guest NAC Profiler NAC Manager NAC Server
• Существующие заказчики ACS/NAC могут мигрировать на ISE
• Исключения:
• заказчики, которые используют ACS для управления доступом сетевых администраторов и
протокола TACACS+
• заказчики NAC, которые хотят использовать SNMP для управления сетевыми устройствами
• Существует инструмент для автоматизации миграции данных и конфигурации c ACS 5.1/5.2 на ISE *
Identity Services Engine
* http://www.cisco.com/en/US/docs/security/ise/1.1/migration_guide/ise_migration_guide.html
** Инструменты миграции для NAC Appliance будут реализованы в последующих версиях ISE
© 2011 Cisco and/or its affiliates. All rights reserved. 46

46. Почему мигрировать на ISE
 Существующие заказчики ACS, если требуется оценка состояния, профилирование
или гостевые сервисы
 Существующие заказчики NAC, которые хотят внедрить контроль портов на основе
802.1X и расширенные функции авторизации (такие как метки SGT)
 Существующие заказчики NAC Profiler, которым требуется расширение лицензии
Предложение по миграции
 NAC 3315/55/95 и ACS 1121 устройства могут быть перепрошиты для
поддержки ISE. Старые устройства, NAC 33x0, NAC 3140 и ACS 1120, нет.
Заказчики со старыми устройствами могут приобрести новые устройства по
специальной цене (и могут по прежнему эксплуатировать старые устройства)
 Существующие заказчики ACS и NGS имеют право приобрести лицензии
миграции типа ―Base‖ со скидкой от стандартной цены
 Существующие заказчики NAC и NAC Profiler имеют право приобрести
Migration Steps
лицензии миграции типа ―Advanced‖ (3-YR) по нулевой цене, исходя из общего
количества лицензий NAC и/или Profiler
 Existing support contracts transition to ISE support contract but prorated
Существующие инвестиции защищены
© 2011 Cisco and/or its affiliates. All rights reserved. 47

47. Cisco Secure Network Servers
Платформа основана на Cisco UCS C220 Server,
специально укомплектованного для следующих сетевых
сервисов:
• Cisco Identity
SNS-3415-K9 & Services Engine
SNS-3495-K9 (ISE) с версии 1.1.4
(май 2013)
• Network Admission
Control (NAC)
• Access Control
Server (ACS)
© 2011 Cisco and/or its affiliates. All rights reserved. 48

48. • Appliance Specifications
http://www.cisco.com/en/US/docs/security/ise/1.0.4/install_guide/ise104_ovr.html#wp1103032
Platform Cisco Identity Services Cisco Identity Services Cisco Identity Services
Engine Appliance 3315 Engine Appliance 3355 Engine Appliance 3395
(Small) (Medium) (Large)
Processor 1 x QuadCore 1 x QuadCore 2 x QuadCore
Intel Core 2 CPU Q9400 Intel Xeon CPU E5504 Intel Xeon CPU E5504
@ 2.66 GHz @ 2.00 GHz @ 2.00 GHz
(4 total cores) (4 total cores) (8 total cores)
Memory 4 GB 4 GB 4 GB
Hard disk 2 x 250-GB SATA HDD 2 x 300-GB SAS drives 4 x 300-GB SFF SAS drives
(250 GB total disk space) (600 GB total disk space) (600 GB total disk space)
RAID No Yes (RAID 0) Yes (RAID 0+1)
Ethernet 4x Integrated Gigabit NICs 4 x Integrated Gigabit NICs 4 x Integrated Gigabit NICs
NICs
Concurrent 3,000 Max 6,000 MAX 10,000 Max
Endpoints
© 2011 Cisco and/or its affiliates. All rights reserved. 49

49. Secure Network Services Secure Network Services Appliance
Appliance SNS-3495-K9
SNS-3415-K9
Processor 1 - QuadCore Intel Xeon 2 - QuadCore Intel Xeon
2.4 GHz 2.4 GHz
CPU Model E5-2609 E5-2609
# Cores per CPU 4 (4 total cores) 4 (8 total cores)
# Threads per Core 1 (No Hyper Threading) 1 (No Hyper Threading)
Memory 16 GB DDR3-1066 (4 x 4GB) 32 GB DDR3-1066 (8 x 4GB)
Hard disk 1- 2.5 Inch 2- 2.5 Inch
600 GB SAS 10K RPM 600 GB SAS 10K RPM
RAID No Yes - RAID 1 (600 GB Total Storage)
LSI 2008 SAS RAID Mezzanine Card
Ethernet NICs 4 (2 on board; 2 on NIC) 4 (2 on board; 2 on NIC)
Power Supplies 1 x 650W 2 x 650W
Trusted Platform Module Yes Yes
SSL Acceleration Card No Yes
Concurrent 5,000 (PSN function) 20,000 (PSN function)
Endpoints
© 2011 Cisco and/or its affiliates. All rights reserved. 50

50. Thank you.
© 2011 Cisco and/or its affiliates. All rights reserved. 51

51. dVLAN
Ingress Enforcement RADIUS
Wireless Named ACLs Guest Services
user Cisco
Cisco® Posture
ISE
Wireless Profiler
Controller
SXP
Campus
Wired
Network
user
MACsec Cat 6K
Cisco® Nexus® 7K, 5K and 2K
AnyConnect Catalyst® Switch Switch
dVLAN Data Center
Ingress Enforcement
dACLs / Named ACLs
SXP Egress Enforcement
SGACLs
Site-to-Site ASR1K
VPN user WAN
ISR G2 with integrated switch
© 2011 Cisco and/or its affiliates. All rights reserved. 52