Scribd
Importer
99 vues4 pages

Cisco ISE Guide

Ce document fournit un guide complet sur Cisco ISE, une plateforme de contrôle d'accès réseau qui combine des fonctionnalités d'authentification, d'autorisation et de comptabilité. Il couvre des concepts clés, des processus d'accès, des étapes de configuration, des fonctionnalités avancées et des bonnes pratiques pour une mise en œuvre efficace. Des ressources supplémentaires en français sont également mentionnées pour approfondir la compréhension de Cisco ISE.

Transféré par

Zahim Daouda
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd
99 vues4 pages

Cisco ISE Guide

Ce document fournit un guide complet sur Cisco ISE, une plateforme de contrôle d'accès réseau qui combine des fonctionnalités d'authentification, d'autorisation et de comptabilité. Il couvre des concepts clés, des processus d'accès, des étapes de configuration, des fonctionnalités avancées et des bonnes pratiques pour une mise en œuvre efficace. Des ressources supplémentaires en français sont également mentionnées pour approfondir la compréhension de Cisco ISE.

Transféré par

Zahim Daouda
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

Guide Complet Cisco ISE (Identity Services

Engine)
Ce document regroupe notre conversation sur Cisco ISE, avec détails théoriques, processus de
configuration et bonnes pratiques.

---

1. Définition et Vue d’Ensemble

Cisco ISE est une plateforme centralisée de contrôle d’accès réseau (NAC). Elle combine AAA
(Authentification, Autorisation, Accounting) avec des fonctionnalités de profiling, posture et
intégration avec d’autres solutions Cisco.

Il permet de répondre aux questions :


- Qui se connecte ? (utilisateur, machine, IoT)
- Où ? (LAN, WLAN, VPN)
- Comment ? (802.1X, MAB, WebAuth)
- Avec quel niveau d’accès ? (VLAN, ACL, SGT, accès Internet limité…)

---

2. Concepts Clés

### AAA
- **Authentication** : identification (AD, Certificat, DB interne).
- **Authorization** : application de politiques (VLAN, ACL, SGT).
- **Accounting** : journalisation des sessions.

### Modes d’authentification


- 802.1X : authentification forte (supplicant Windows/AnyConnect).
- MAB : fallback basé sur l’adresse MAC.
- WebAuth : portail invité.

### Composants
- **PAN (Policy Admin Node)** : configuration et gestion.
- **PSN (Policy Service Node)** : exécution des politiques RADIUS/TACACS.
- **MnT (Monitoring & Troubleshooting Node)** : logs et reporting.
- **pxGrid** : intégration avec Firepower, DNA-C, Stealthwatch.

---
3. Processus d’Accès

1. Connexion physique/logique → Switch/WLC envoie requête RADIUS.


2. ISE authentifie (AD, Certificat, Base interne).
3. ISE applique une règle d’autorisation (VLAN, ACL, SGT).
4. Switch applique les instructions (VLAN, dACL, redirection).

---

4. Étapes de Configuration

### Switch (exemple)

aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa accounting dot1x default start-stop group radius

radius server ISE1


address ipv4 [Link] auth-port 1812 acct-port 1813
key cisco123

interface Gi1/0/1
switchport mode access
authentication port-control auto
mab
dot1x pae authenticator
spanning-tree portfast

### ISE Policies


- Authentication Policy : AD + fallback DB interne.
- Authorization Policy :
- Employé → VLAN 10
- Invité → VLAN 20 + dACL Internet only
- IoT → VLAN 30
- Default → DenyAccess

---

5. Fonctionnalités Avancées

- **Guest Access** : portail sponsorisé ou self-registration.


- **BYOD** : onboarding avec certificats et profils.
- **Posture** : vérifie antivirus, patchs, conformité OS.
- **Profiling** : détection dynamique d’appareils (DHCP, SNMP, NetFlow).
- **TrustSec (SGT)** : micro-segmentation basée sur tags de sécurité.

---

6. Design et Bonnes Pratiques

- NTP et certificats obligatoires.


- Redondance : 2 PAN (actif/passif), 2 MnT (actif/passif), plusieurs PSN load-balancés.
- Utiliser EAP-TLS plutôt que PEAP-MSCHAPv2.
- VLAN critique configuré (Critical VLAN) pour continuité d’accès.

---

7. Dépannage

### Sur Switch


- `show authentication sessions interface g1/0/1`
- `debug radius authentication`

### Sur ISE


- Live Logs → Authentication Results.
- Policy Sets → vérifier règles matchées.
- CLI :
- `show application status ise`
- `tcpdump -i eth0 port 1812`

---

8. Exemple de Politiques Complètes

- Employé (AD group IT) → VLAN 10 + SGT 10


- Employé (AD group Finance) → VLAN 11 + dACL restreinte
- Invité → VLAN 20 + Internet only
- IoT → VLAN 30 accès restreint
- Non conforme (Posture Fail) → VLAN 40 (Quarantaine)
- Default → DenyAccess

---
9. Ressources Gratuites en Français

- PDF “Fonctionnalités et exemples d’utilisation dans les rapports ISE” (Cisco)


- PDF “Cisco ISE” (présentation générale) – Scribd
- PDF “Mettre en œuvre et configurer Cisco ISE” – Scribd
- Docs Cisco officielles traduites (Active Directory, Troubleshooting, Services).

---

**Fin du guide Cisco ISE – version consolidée à partir de nos échanges.**

Vous aimerez peut-être aussi