Cisco ISE – Configurando Certificado no ISE

Boa noite, Galera.

Seguindo uma serie de post sobre o Cisco ISE, hoje iremos falar de Certificados e como realizar o procedimento para gerar um novo certificado no ISE validando-o na unidade certificadora CA.

Os certificados são cruciais para a operação do Identity Services Engine. Alguns dos usos do ISE para certificados incluem o seguinte: Certificado para autenticação dot1x, comunicação pxGrid, adicionando e comunicando com novos nós ISE, BYOD, etc…

Vamos ao procedimento.

Passo 1: Navegue até o Active Directory Certificate Service Web Enrollment, abra seu browser (https://ip do Server/certsrv/) para baixar o root certificado, e adiciona-lo em Trust Certificate no ISE. Esse é um passo critico, pois nesse caso ira precisar de uma unidade certificadora confiável na sua rede, uma vez gerado esse certificado e adicionado no ISE, se tiver problemas nessa unidade a rede toda pode ficar inoperante. Nesse caso, antes de qualquer procedimento, valide todas as políticas de segurança da sua rede.

Ao abrir a pagina click em Download a CA certificate, certificate chain, or CRL conforme link abaixo:

Passo 2: Na próxima página, em encoding method, click em Base 64 e em seguinda Download CA certificate , escolha um local na sua rede para baixar o certificado e após isso adiciona-lo no ISE, segue link:

Passo 3: Acesse o ISE e navegue até Administration > System > Certificates > Certificate Management > Trusted Certificate e click em Import: Continuar lendo

Anúncios

Cisco ISE – Criando Usuário e Grupo.

Boa tarde, Galera.

Seguindo um serie de post sobre Cisco ISE, hoje iremos falar sobre como criar um usuário, como criar um grupo e como adicionar o usuário ao grupo.

!! Adicionar usuário no ISE.
ISE > Administration > Identity Management > Identities > Users > Network Access User > *Name – ciscoplus | *Password – *Login Password – *CiscoISE@123% > Submit.

Passo 1: Abrir o ISE.

Passo 2: Navegue até o menu Administration – Identity Management – Identities.

Passo 3: Clicar em +Add.

Passo 4: Adicionar nome do usuário e login password. Continuar lendo

Cisco ISE – Upgrade via CLI

Boa noite, Galera.

Seguindo uma serie de post sobre ISE, segue procedimento de upgrade do ISE.

Primeiro passo: Obter uma ferramenta FTP ou TFTP, nesse caso geralmente uso o 3CDaemon ou filezilla client, claro que você pode usar qualquer outra ferramenta.

Segundo passo: Abrir o ISE em modo CLI, criar um repositório e verificar acesso ao repositório.

ISE/Admin# config terminal

ISE/Admin(config)# repository cisco

ISE/Admin(config-repository)# username admin password plain Ise123

ISE/Admin(config-repository)# url ftp://192.168.101.100/

ISE/Admin(config-repository)# exit

ISE/Admin(config)# exit

ISE/Admin# show repository cisco – Verificar acesso ao repositorio criado.

  Continuar lendo

Cisco ISE – Patch Installation e Patch Rollback via CLI

Boa noite, Galera.

Seguindo uma serie de posts relacionados ao ISE, hoje iremos realizar um procedimento de Patch Install e Patch Rolback.

INSTALL

Primeiro passo: Obter uma ferramenta FTP ou TFTP, nesse caso geralmente uso o 3CDaemon ou filezilla client, claro que você pode usar qualquer outra ferramenta.

Segundo passo: Abrir o ISE em modo CLI, criar um repositório e verificar acesso ao repositório.

!! Adicionar Repositorio

ISE/Admin# config terminal

ISE/Admin (config)# repository cisco

ISE/Admin (config-repository)# username admin password plain Ise123

ISE/Admin (config-repository)# url ftp://192.168.101.100/

ISE/Admin (config-repository)# exit

ISE/Admin (config)# exit

ISE/Admin # show repository cisco – Verificar repositório criado e listar arquivos.

OBS: Para realizar o download do patch, ir até o site da cisco.com realizar login e seguir com o download. Após isso, adicionar o patch no diretório que ira mapear no ISE, dessa forma ao verificar o diretório o patch ira aparecer na lista.

Terceiro passo: Instalando o Patch.

!! Instalação de Patch

ISE/Admin # patch install ise-patchbundle-2.1.0.474-Patch3-201683.SPA.x86_64.tar.gz cisco

% Warning: Patch will be installed only on this node. Install using Primary Administration node GUI to install on all nodes in deployment. Continue? (yes/no) [yes] ? Continuar lendo

Cisco ISE – Restore via CLI

Boa tarde, Galera.

Nesse post, continuando uma serie de post sobre o Cisco ISE, vamos realizar o restore das configurações.

No posto anterior, foi realizado o procedimento de backup, agora vamos realizar o procedimento inverso, restore.

Backup Cisco ISE: https://ciscoplus.wordpress.com/2017/10/28/cisco-ise-realizando-backup-via-cli/#more-688

 Vamos ao procedimento.

Primeiro passo: Obter uma ferramenta FTP ou TFTP, nesse caso geralmente uso o 3CDaemon ou filezilla client, claro que você pode usar qualquer outra ferramenta.

Segundo passo: Abrir o ISE em modo CLI, criar um repositório e verificar acesso ao repositório.

!! Criar Repository

ISE/Admin# config terminal

ISE/Admin (config)# repository cisco

ISE/Admin (config-repository)# user cisco password plain Ise123

ISE/Admin (config-repository)# url ftp://192.168.101.100/

ISE/Admin (config-repository)# exit

ISE/Admin (config)# exit

Continuar lendo

Cisco ISE – Realizando Backup via CLI

Boa noite, Galera.

Hoje vamos falar um pouco do Cisco ISE uma ferramenta incrível que dispensa apresentações, porém para aqueles que não conhece segue um pouco sobre:

O Identity Services Engine ajuda os profissionais de TI a superar os desafios da mobilidade empresarial e a proteger a rede durante todo o ciclo do ataque. E oferece diversos recursos. Veja alguns deles a seguir.

Simplifique as experiências dos usuários para facilitar a administração e a aprovação de usuários convidados. Os portais de usuários convidados em ambientes móveis e de desktop podem ser personalizados com facilidade e permitem o uso de marcas. Com esses recursos, é possível disponibilizar acesso em apenas alguns minutos. Os fluxos de trabalho visuais dinâmicos do mecanismo permitem gerenciar integralmente todos os aspectos do acesso de usuários convidados.

Otimize o BYOD e a mobilidade na empresa com configurações de aprovação e gerenciamento de dispositivos fáceis de usar, por meio de autoatendimento. O Identity Services Engine inclui uma autoridade de certificação interna, suporte a Active Directory multi-forest e software de gerenciamento de mobilidade empresarial (EMM) integrado, fornecido por parceiros.

Centralize e unifique o gerenciamento de políticas de acesso à rede para oferecer acesso confiável e muito seguro a usuários finais, independentemente de eles estarem conectados via acesso com ou sem fio, ou VPN.

Ganhe mais visibilidade e identifique dispositivos com maior precisão. O Identity Services Engine oferece um serviço de geração de perfis de dispositivos e de feed de perfis de dispositivos no dia zero de excelente qualidade, disponibilizando perfis atualizados para os mais recentes dispositivos. A combinação desses dois recursos ajuda a reduzir o número de endpoints desconhecidos (e de possíveis ameaças) na sua rede.

Essas informações foram obtidas no site da cisco: https://www.cisco.com/c/pt_br/products/security/identity-services-engine/index.html

Bom agora vamos para o que interessa.

Já imaginou seu dia a dia corrido com rotinas de TI sem tempo para nada, até aparecer um chamado P1 ou até mesmo um procedimento para realizar no ISE, bom para quem está constantemente estudando essa tecnologia incrível, já deve saber bem o procedimento a se tomar antes de qualquer troubleshoot, certo?

Bom, se você não sabe a resposta, aí vai, que tal começarmos realizando o backup do ISE?!

E sobre esse procedimento que iremos falar aqui.

Primeiro passo: Obter uma ferramenta FTP ou TFTP, nesse caso geralmente uso o 3CDaemon ou filezilla client, claro que você pode usar qualquer outra ferramenta.

Segundo passo: Abrir o ISE em modo CLI, criar um repositório e verificar acesso ao repositório.

Continuar lendo

Upgrade WLC Cisco com Pré-download.

Nesse post vou abordar um assunto muito procurado hoje em dia, Upgrade de WLC com pré-download em APs.
Você geralmente já se viu nessa situação, fazer upgrade da WLC sem impactar o ambiente por muito tempo. Bom isso existe e se chama pré-download, você consegue ganhar tempo no procedimento de Upgrade.

OBS: Antes de realizar qualquer procedimento de Upgrade, sugiro verificar o documento da release em questão para ver se os APs existentes em sua rede, suportam essa versão de IOS.

Vamos aos seguintes passos.

Primeiro você precisa de um software FTP ou TFTP para transferir a IOS para controller, seja por CLI ou GUI, geralmente uso o 3CDaemon ou Filezilla client.

Nesse caso vamos realizar o procedimento via CLI, porém para aqueles que preferem via GUI, segue o link direto da Cisco: https://www.cisco.com/c/pt_br/support/docs/wireless-mobility/wireless-lan-wlan/68835-wlc-upgrade.html

(Cisco Controller) > transfer download datatype code
(Cisco Controller) > transfer download mode tftp
(Cisco Controller) > transfer download server ip 10.77.244.196
(Cisco Controller) > transfer download path .
(Cisco Controller) > transfer downalod filename AIR-WLC5508-K9-8-0-152-178-0.aes

Próximo passo será dar um start na transferência do IOS.

(Cisco Controller) > transfer download start

Nesse ponto a WLC Controller irá realizar o procedimento de transferência, assim como extrair o arquivo e instalar na controller, porém o procedimento só é finalizado após o boot no final.
Nesse momento entramos com o pré-download para diminuir o impacto na rede.

(Cisco Controller) > config ap image predownload primary all

Agora com o comando a baixo, podemos ver o progresso do predownload realizados nos APs.

(Cisco Controller) > show ap image all

As vezes a imagem carregada pode subir como backup, nesse caso deve-se executar o comando a baixo para trocar a prioridade da imagem de backup para primaria.

(Cisco Controller) > config ap image swap all

Para verificar qual imagem está como primaria ou backup.

(Cisco Controller) > show boot.

Após realizado o predownalod em todos os APs o status passara  para complete. Nesse ponto seguimos com o boot da controller.

Pronto, upgrade realizado com sucesso!!!

Bons estudos e bom troubleshoot….