Cisco Cisco Identity Services Engine 1.3 전단

安全访问操作指南

•

  根据节点的完全限定域名 (FQDN)，每个 ISE 节点都需要一个单独的证书。 

•

  在贵组织内获取数字证书的流程是怎样的？ 

•

  建议生产部署不要采用自签名证书。如果您无法使用公共或企业 CA 签名的证书，贵组织是否完

全了解长期可用性、技术支持、迁移和扩展问题？

 

目录服务

•

  您是否会使用用户名和密码或证书来识别用户和设备？ 

•

  您是否会集成 Microsoft Active Directory 之类的现有身份库？轻量级目录访问协议 (LDAP)？RSA 

SecurID 令牌？ 

•

  您是否有多个身份域或林要进行身份验证？有多少？ 

•

  您现有的身份库集群是否会扩展至支持来自网络身份验证的负载？ 

网络接入设备

•

  您想要使用 ISE 对您的网络的哪些边缘进行身份验证？有线？无线？VPN？ 

•

  相关 NAD 是否具备适用于 TrustSec 解决方案的推荐软件？有关最新推荐网络设备及相应软件版本

的信息，请参阅

 

•

  您的现有硬件是否支持推荐的软件版本和所需的 TrustSec 功能？ 

托管终端

•

  您是否知道您的网络上目前存在多少托管网络终端？ 

•

  您是否已在使用思科或 Microsoft 提供的 802.1X 请求方？是有线或无线，还是二者都用？ 

•

  所需的 802.1X 请求方是否要求购买软件、升级或操作系统服务包?  

•

  需要或首选哪些身份验证类型？ 

•

  要使终端兼容，需要什么额外的安全软件？ 

•

  对于所有需要的终端，您是否有足够的安全软件许可证（AV、HIPS 等）？ 

无代理终端

•

  您是否有办法在您的网络上自动识别无代理终端并为其授权？ 

•

  您是否已确定您的网络上无代理设备的总数及设备类型？ 

1.  无 802.1X 请求方（其操作系统不支持或已固化，例如电话或打印机） 

2.  预执行环境 (PXE) 网络引导和重新映像 

3.  其他非托管/不可控的设备（访客、实验室等等） 

•

  您用什么方法来确定无代理终端、对其分类并为其授权？ 

1.  在硬件和/或操作系统中升级至 802.1X 功能 

2.  使用 MAC 身份验证绕行 (MAB) 在 ISE 中制作白名单 

•

  手动 MAB 或终端注册系统的预期运行成本是多少？ 

 

 
 

© 2015 思科系统公司 

第

 4 页