Comprar o Renovar
Comprar o Renovar
cancelar
Activar sugerencias
La sugerencia automática le ayuda a obtener, de forma rápida, resultados precisos de su búsqueda al sugerirle posibles coincidencias mientras escribe.
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
Crear un nuevo artículo
945
Visitas
0
ÚTIL
0
Comentarios

Doc - ¿Qué hay de nuevo en ISE? Funciones, versiones, parches y herramientas

Cisco Moderador
Community Manager
Community Manager

‎10-11-2023 05:43 PM - editado ‎10-18-2023 02:55 PM

Presentación del webinar Community Live

Con la colaboración de Rubén De La Vega y Víctor Montes.

En este webinar, los asistentes podrán conocer y observar las nuevas funciones de Identity Services Engine (ISE) versión 3.3, así como las novedades acerca del software de ISE, como parches y defectos destacables. Finalmente, la sesión concluirá con una breve demostración de cómo utilizar las nuevas herramientas internas de ISE para monitorear la solución.

Descargue la Presentación Ver el Video

Recuerde que la presentación está disponible en pdf para su comodidad. Si este documento le ha resultado útil, no olvide calificar esta publicación con un voto de utilidad para validar su relevancia. ¡Muchas gracias! 

¿Cómo enviar una nueva pregunta?

Ponemos a su disposición nuestro evento Ask Me Anything (AMA) en cuyo foro podrán externar dudas y solicitar apoyo de nuestros expertos en casos específicos de los temas abordados. ¡Esperamos sus preguntas!

Ir al foro de Discusión

Lista de las Q&R del webinar Community Live

Encuentre la lista de preguntas formuladas durante el seminario web Community Live de nuestro evento. Cualquier duda que no haya sido respondida durante la sesión será resuelta posteriormente aquí o en el foro de "Preguntas".

Lista de Preguntas y Respuestas Q&A

Pregunta: En esta versión hay forma de leer desde el ISE los XMLs que se usan para NAM, posture, etc.? - Luis B. (min.9)

Respuesta (Iván V.): Hola Luis, en está versión no se pueden obtener dichos XMLs desde ISE, el proceso sigue siendo el mismo de obtenerlos desde AnyConnect o Secure Client.

Pregunta: Es elegible el upgrade de versión si estoy corriendo 3.1 - Alvaro G. (min.14)

Respuesta (Iván V.): Sí Alvaro, se puede hacer upgrade a ISE 3.3 viniendo directamente de las versiones 3.0, 3.1 o 3.2

Pregunta: Es posible realizar un respaldo en una versión 2.7 y realizar el restore en una versión 3.2 ? Hay documentacion del restore y backup soportado por diferente versiones? - Fernando L. (min.16)

Respuesta (Iván V.): Fernando, desafortunadamente no es posible realizar el backup en 2.7 y restaurarlo en 3.3. Se debe realizar un paso intermedio ya que los únicos respaldos aceptados en 3.3 deben venir de la versión 3.0, 3.1 o 3.2. Respecto a la documentación, pueden consultar esta guía en donde se especifica el proceso de upgrade (y backup/restore para ISE 3.3) https://www.cisco.com/c/en/us/td/docs/security/ise/3-3/upgrade_guide/Upgrade_Journey/Cisco_ISE_3-3_Upgrade_Journey.html 

Pregunta: Desde 2.7 se puede actualizar directamente a 3.3? - Andrés C. (min.18)

Respuesta (Iván V.): Andrés, solo desde 3.0 en adelante.

Pregunta: SNS-3595-K9 se puede migrar de ISE 3.2 P3 a 3.3 ? - Rubén B. (min.18)

Respuesta (Iván V.): ISE 3.3 es compatible únicamente con SNS 36x5 y 37x5 y son los únicos OVAs disponibles en nuestra página de descargas.

Pregunta: Cuál es la versión recomendada por Cisco? Hasta el día de ayer vi en la página de Cisco que era la versión 3.2 - Elvin Ronald V. (min.19)

Respuesta (Iván V.): La versión recomendada por el momento, y al menos por el resto del año es ISE 3.2

Pregunta: Estoy por migrar de 3.1 a 3.2, ¿la versión 3.3 ya está estable?, ¿entonces puedo migrar de 3.1 a 3.3 directo? - Martín N. (min.21)

Respuesta (Iván V.): Martín, por el momento la versión recomendada es ISE 3.2

Pregunta: La versión 3.2 está disponible para Hyper-V? - Santiago E. (min.22)

Respuesta (Iván V.): Hola Santiago, ISE 3.2 sí está disponible para Hyper-V. Solo hay que contemplar un defecto que ya tiene un hotpatch que puedes pedir a TAC - CSCwf02093 - este defecto causa problemas al instalar ISE 3.2 en Hyper-V.

Pregunta: Para el Java minimum heap value is too low , entiendo que el patch solución en 2.7 es el 9 , y no el 8. - Abraham C. (min.23)

Respuesta (Iván V.): Así es Abraham, una disculpa por el typo, fue resuelto en 2.7 patch 9, 3.0 patch 7, 3.1 patch 5 y 3.2 patch 1.

Pregunta: Los parches son acumulativos? Es decir, es necesario instalar secuencialmente los parches o con instalar el último alcanza para cubrir los bugs? - Matías O. (min.24)

Respuesta (Iván V.): Los parches son cumulativos por sí mismos, se puede instalar el último para obtener todas las actualizaciones anteriores.

Pregunta: Es posible actualizar una VM en Hyper-V con ISE 3.0 a la versión 3.2? - Santiago E. (min.24)

Respuesta (Iván V.): Sí es posible hacer el upgrade.

Pregunta: Mi appliance no soporta upgrade a la 3.X, por eso la duda de hacer un backup de 2.7 y hacer restore a la version 3.2 porque es la recomendada, entonces el restore no es soportado en la versión 3.2? - Fernando L. (min.25)

Respuesta (Iván V.): Si vas a instalar ISE 3.2, el backup de 2.7 sí puede ser restaurado. Solo sería en 3.3 donde no es compatible.

Pregunta: Los últimos parches incluyen los hotfix previos? - Matías O. (min.25)

Respuesta (Iván V.): Efectivamente.

Pregunta: Tiene solucionado en las versiones de ISE 3.X el SFTP como repositorio para backups? - Abraham C. (min.25)

Respuesta (Iván V.): Hola Abraham, en los últimos parches no hemos reportado problemas con SFTP, si tienes algún defecto, te puedo ayudar a corroborarlo, pero ISE 3.x funciona bien con SFTP.

Pregunta: Hace poco configuramos la política de cambio de contraseñas para el acceso administrativo de usuarios al ISE y terminó bloqueándose el usuario super admin para acceder a la CLI del servidor del ISE a pesar que no cambiamos la password del super admin. Tienen idea por qué sucedió esto? La contraseña del usuario super admin no debería expirar y menos debería afectar al acceso por CLI cuando la configuración que te permite de política de cambio de contraseña es para el acceso por GUI. - Juan P. (min.26)

Respuesta (Iván V.): Hola Juan, el problema podría deberse a múltiples intentos de autenticación, ISE en la GUI tiene un reporte en el cual se puede ver los Admin Access y también la razón por la cual la contraseña haya expirado, o el usuario bloqueado, recomiendo revisar estos reportes y abrir un caso de TAC para que les ayuden a aislar el problema.

Pregunta: Manejando la máquina virtual en Hyper-V y el defecto que mencionas, lo mejor sería actualizar a la versión 3.1? - Santiago E. (min.27)

Respuesta (Iván V.): Sí, el problema del defecto solo es cuando se instala ISE 3.2 desde cero, y se restura el backup; si se hace upgrade de 3.1 a 3.2 el problema no aparece. Por lo cual un buen plan podría ser primero ir a 3.1 y posteriormente planear el upgrade a 3.2 o 3.3

Pregunta: Para ese feature 360, se requiere una nueva licencia? - Abraham C. (min.28)

Respuesta (Iván V.): ISE Essential o Evaluation mode

Pregunta: Dónde puedo obtener la información para actualizar mi ISE 3.0 hacia la versión recomendada 3.2 ? - José J. (min.28)

Respuesta (Iván V.): José, la información para el upgrade de 3.0 a 3.2 se puede encontrar en el siguiente link: https://www.cisco.com/c/en/us/td/docs/security/ise/3-2/upgrade_guide/Upgrade_Journey/Cisco_ISE_3-2_Upgrade_Journey.html

Pregunta: Generalmente el usuario de CLI del ISE se bloquea por intentos de acceso. Esto sigue igual en las nuevas versiones? El proceso para recuperar es muy tedioso. - Derlis R. (min.30)

Respuesta (Glen J.): El proceso de password recovery y password lock no ha cambiado en las últimas versiones.

Pregunta: Al correr un análisis de vulnerabilidades con una herramienta externa (Rapid7) se observa que el SO Linux sobre el que está ISE tiene varias vulnerabilidades, ¿cómo podemos solventar esas vulnerabilidades sin tener que hacer los cambios a nivel root? - Alejandro Yair P. (min.31)

Respuesta (Glen J.): Dependiendo del cambio que sea necesario puede que se necesite root access o no. No obstante, las vulnerabilidades en ISE son resueltas a través de parches. Recomendamos buscar el bug relacionado al CVE y verificar en cuál parche se resuelve la vulnerabilidad. De esta forma no es necesario usar root.

Respuesta (Iván V.): Complementando la respuesta de Glen, pueden usar la CVR Cisco Tool con su cuenta de Cisco para ver si el ISE es vulnerable o no.

Pregunta: Tengo versión 3.1, si tengo parches instalados y voy a instalar el último parche, es recomendable retirar primero los parches que ya están instalados o puedo dejarlos? - Marco T. (min.32)

Respuesta (Iván V.): Marco, se pueden dejar los parches e instalar el nuevo parche directamente.

Pregunta: Qué necesito para Monitoring ? - Freddy F. (min.34)

Respuesta (Iván V.): Nada, Monitoring ya viene instalado y habilitado por defecto en ISE.

Pregunta: Si se requiere almacenar más información de esos 7 días ¿es posible reenviarlos a otro componente ?, ¿es necesario tener una infraestructura de Elastic separada para ello? - Gustavo P. (min.35)

Respuesta (Iván V.): Por el momento aún no se pueden realizar configuraciones a estos cambios, si es requerido, se puede abrir un caso con TAC para la creación de un enhacenment para habilitar la configuración.

Pregunta: Al instalar ISE 3.2 en Hyper-V no tengo acceso respuesta de ping. Si deshabilito ipv6 responde pero la GUI da error. No encontré bug reportado. - Guido Catalano Guest. (min.37)

Respuesta (Iván V.): Guido, lo más probable es que esté afectado por el defecto - CSCwf02093 - Hay más detalles en el documento "Release Notes for Cisco Identity Services Engine, Release 3.2".

Pregunta: Esta integración desde que versión de ISE es posible ? - Genoveva E. (min.39)

Respuesta (Víctor M.): Las funcionalidades de System 360 están disponibles desde ISE 3.2

Pregunta: Cuentan con documentación pública o algún curso del uso de Grafana aplicado a las soluciones de Cisco? - Carlos J. (min.40)

Respuesta (Iván V.): Se está trabajando para externalizar está información.

Pregunta: Aún cuando el CSCwf02093 bug es exclusivo para hyper-v, hay algún otro relacionado con VMware? - Abraham C. (min.42)

Respuesta (Iván V.): Por el momento no hay alguno que se haya reportado.

Pregunta: Temas de Licenciamiento. Tengo ISE 2.7 con licencia perpetua, cambia el licenciamiento en ISE 3? - Guillermo S. (min.44)

Respuesta (Iván V.): Hola Guillermo, el licenciamiento sí cambia en 3.x y la licencia permanente ya no existe.

Pregunta: Si migro a 3.2 entonces puedo instalar el parche 3 directo? - Martín N. (min.45)

Respuesta (Iván V.): Es correcto, se puede ir por parche 3 directamente.

Pregunta: Se puede monitorear externamente el ISE 3.0 vía SNMP versión 2? - Juan P. (min.45)

Respuesta (Glen J.): Sí.

Pregunta: Se requiere una licencia extra para Grafana? - Abraham C. (min.45)

Respuesta (Iván V.): Cualquier licencia de ISE, ISE Essential, Advantage o Premier.

Pregunta: Buen día, actualmente tengo la versión 3.1 P3 en ambiente virtual, me han reportado una vulnerabilidad referente al nivel de seguridad para el acceso SSH desde CLI, existe algún parche para corregir esta o en la versión 3.3 estaría corregido? - América O. (min.46)

Respuesta (Glen J.): Es posible buscar el CVE en la página de Cisco, y ver los productos vinculados. Si ISE está afectado debe tener un defecto asociado en el cual puedes encontrar qué parche y qué versiones contienen el fix.

Pregunta: Solo a partir del ISE 3.3 se puede integrar ISE con Grafana? - Juan P. (min.47)

Respuesta (Glen J.): Sí.

Pregunta: Tienen antecedentes de si al instalar algún parche en 3.3 continúa dando el error "Queue link error"? - Pablo G. (min.47)

Respuesta (Glen J.): Queue link error es un problema recurrente. Sugiero abrir un caso con TAC para hacer el troubleshooting necesario.

Pregunta: En algún momento se integrara ISE con Accedian? - Josué R. (min.47)

Respuesta (Glen J.): Hasta donde nosotros (TAC) sabemos, no está en el roadmap esta integración.

Pregunta: En la versión 3.1 P3 nos está mostrando la siguiente alerta: ISE Alarm : Critical : On node XXXXXX average IO read performance directly from disk device, se ha revisado con el TAC nos comentan que se corregiría instalando la versión 3.2, sin embargo, se hizo un laboratorio y estas alertas persisten. Sabrán si en la versión 3.3 esto se corrige? - América O. (min.49)

Respuesta (Iván V.): En la versión 3.2 patch 3 debería estar arreglado, recomiendo abrir un caso con TAC si el problema persiste.

Pregunta: Algo que no entiendo bien es, si tengo un deployment con dos ISE, quiero habilitar la licencia de Device Admin, debo habilitarlo en los dos? - Marco T. (min.51)

Respuesta (Iván V.): La licencia de ISE Device Admin es por nodo, si se tienen dos nodos, se requieren dos licencias.

Pregunta: No lo escuché, Grafana sólo funciona en 3.3, correcto? - Abraham C. (min.52)

Respuesta (Iván V.): Sí.

Pregunta: Me pueden pasar un enlace para la configuración de SNMP versión 2 para ISE 3.0? - Juan P. (min.53)

Respuesta (Glen J.): https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/215521-configure-and-understand-snmp-traps-to-m.html 

Pregunta: Eso es solo para configurar traps. Para consultar al equipo por SNMP y configurarle una comunidad SNMP en versión 2 no se puede? - Juan P. (min.55)

Respuesta (Iván V.): Sí está soportado, pero no tenemos una guía pública aún, recomiendo abrir un caso con TAC para obtener asesoría.

Pregunta: Ya hay EOL de la versión 3.0? - Juan P. (min.56)

Respuesta (Iván V.): Sí, puede encontrar la información en el siguiente enlace: https://www.cisco.com/c/en/us/products/collateral/security/identity-services-engine/identity-service-engine-software-3-0.html

Pregunta del Chat: Dónde puedo encontrar un curso completo de ISE, soy nuevo en esta herramienta. Gracias. - Mauricio L. (min.33)

Respuesta (Rigo V.): Supongo que podría estar refiriéndose al curso para el examen SISE 300-715? En caso afirmativo, se recomienda el siguiente curso: https://learningnetworkstore.cisco.com/on-demand-e-learning/implementing-and-configuring-cisco-identity-services-engine-sise-v4.0/ELT-SISE-V4-027409.html 

Pero también tenemos videos gratis que son relacionados con ISE en general: https://learningnetwork.cisco.com/s/cisco-ise-training-videos 

Pregunta del Chat: ¿Hay algún curso que ustedes puedan proporcionar para aprender el uso de Grafana y las demás herramientas mencionadas aplicadas a ISE, DNA Center y las demás soluciones de Cisco que hagan uso de ellas? - Carlos J. (min.36)

Respuesta (Rigo V.): Recomendaría los siguientes videos:
https://learningnetwork.cisco.com/s/networking-experiences-training-videos 
https://learningnetwork.cisco.com/s/cisco-ise-training-videos 

Pregunta del Chat: Esta integración solo está disponible arriba de la versión 3.0? - Alex L. (min.36)

Respuesta (Iván V.): La integración mostrada está disponible de ISE 3.2 en adelante.

Pregunta del Chat: Dónde puedo descargar ISE? - David R. (min.40)

Respuesta (Iván V.): ISE se puede descargar desde el portal de cisco: https://software.cisco.com/download/home/283801620/type/283802505

Nota: Si no cuenta con acceso, puede acercase a su representate de Cisco para obtenerlo.

Pregunta del Chat: En Webex no existe algún grupo donde participen expertos Técnicos de Cisco, partners y Clientes (responsables técnicos)? Por ejemplo en Webex existe un grupo de chat que sirve bastante para noticias, actualizaciones, fallas y workarounds, etc. Me refiero a un grupo de ISE, ya participo en uno para la herramienta Webex. Gracias - Iván S. (min.44)

Respuesta (Glen J.): Sí se tiene un grupo de preguntas especificas sobre ISE pero no es un gropo en especifico para LATAM, es general y en inglés: https://eurl.io/#ryJFrhiBW 

Respuesta (Jonathan Daniel C.): ISE Bar - A Team Space for ISE - Join https://eurl.io/#ryJFrhiBW 

Pregunta del Chat: Tengo una consulta con relación a la versión 3.2, anteriormente existía el comando Write, en esta versión no la incluyeron o la retiraron, por qué? muchas gracias - Mario Andrés C. (min.47)

Respuesta (Iván V.): A partir de la versión 3.2, la función fue retirada ya que toda la configuración se guarda directamente de el ADE-OS. Posteriormente el comando fue retirado en la versión 3.3

Pregunta del Chat: Cuál es el canal de YT? - Wilmer F. M. (min.48)

Respuesta (Ivan Villegas.): YouTube https://www.youtube.com/@CiscoISE 

Respuesta (Abraham C.): En YouTube pero en inglés hay un canal bastante bueno llamado LAB MINUTES donde cubren ISE.

Respuesta (Gustavo M.): https://www.youtube.com/@CiscoISE/playlists 

Pregunta del Chat: Si quiero hacer un curso en Cisco Security Workshop, ¿tengo que esperar hasta que se publique un webinar o alguien me puede proporcionar un código para hacerlo por mi cuenta? - Abraham Ch. (min.48)

Respuesta (TBD): (en espera)

Pregunta del Chat: También hay descuentos para el CCNP? - John Ll. (min.56)

Respuesta (Sonia Ch.): No es descuento como tal, pero si no logras pasar el examen puedes tomar el examen otra vez sin costo. https://mkto.cisco.com/professional-level-exam-safeguard-offers.html?utm_campaign=fy24csam&utm_source=web&utm_medium=cx-community 

Pregunta del Chat: Una duda, tengo entendido que las certificaciones CCNP se actualizaron, ¿la nueva guía para la certificación ya está disponible? - Abraham Ch. (min.56)

Respuesta (Rigo V.): Sí. El programa de certificación de Cisco (que incluye las certificaciones profesionales de CCNP) se actualizó en Febrero de 2020. Para conocer las certificaciones actuales y el entrenamiento recomendado, por favor visite: https://learningnetwork.cisco.com/s/certifications 
Para obtener información sobre los libros de Cisco Press actualmente disponibles, visite https://www.ciscopress.com/promotions/new-cisco-certifications-142035 
De igual manera también recomendaría visitar la página de Cisco Certification Roadmaps para mantenerse informado con las últimas actualizaciones de certificaciones: https://learningnetwork.cisco.com/s/cisco-certification-roadmaps 

Comentario (Abraham C.): Para el que preguntó sobre el queue link error, este link es muy bueno para troubleshooting, https://community.cisco.com/t5/security-knowledge-base/ise-queue-link-error/ta-p/4625179 

Nuestros expertos

rudelave.jpgRubén De la Vega es Ingeniero en Comunicaciones y Electrónica egresado del IPN. Lleva cinco años en Cisco y comenzó su andadura en el equipo de Firewall TAC, y después de un año y medio regresó al equipo de ISE. Ahora tiene el rol de Ingeniero de Escalación centrándose en casos críticos. Este año asistió a Cisco Live como presentador, obteniendo el premio Presentador Distinguido. Está certificado en CCNA/DevNet Associate e Implementación y configuración de Cisco Identity Services Engine (SISE).

vimontes.jpgVíctor Montes egresó de la carrera de Ingeniería en Telecomunicaciones de la UNAM en 2017. Forma parte de Cisco TAC desde 2018, desde entonces y hasta la fecha forma parte del equipo AAA/ISE, donde actualmente tiene el rol de Ingeniero de Escalamiento. Tiene certificaciones CCNA Enterprise y DevNet Associate, y aprobó el examen SISE.

Para obtener más información, visite los foros de discusión de Security en la sección de Seguridad.
Si usted tiene dudas o está experimentando problemas técnicos con alguno de los productos Cisco, publique su pregunta, solicite información o utilice el motor de búsqueda de la Comunidad de Cisco en español, antes de abrir un caso con el TAC.
Vista previa de archivo
2474 KB
0 Útil
Vamos a comenzar

¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.

Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco:

Navegue y encuentre contenido personalizado de la comunidad

Videos de Seguridad Blogs de Seguridad Otros Eventos de Seguridad
Customers Also Viewed These Support Documents