11下一代Cisco服務(wù)引擎設(shè)客戶可以使用一系列下一代物理設(shè)備或虛擬設(shè)備部署Cisco識別服務(wù)引擎。Cisco身份服務(wù)引擎物理設(shè)備與當前為Cisco1121安全控制系統(tǒng)設(shè)備和CiscoNAC設(shè)備3300系列所配備的設(shè)備相同。識別服務(wù)引擎部署可以包含一臺或多臺設(shè)備（也稱為節(jié)點）。這些設(shè)備可以集中放在一起以及/或者分散放置。表1概括了客戶可以的設(shè)備 Cisco識別服務(wù)引擎設(shè)備選購331533553395Cisco識別服務(wù)引擎設(shè)備服管理服務(wù)（也稱為策略管理點[PAP]）：識別服務(wù)引擎部署的管理角色和用戶界面。此服務(wù)處理所有系統(tǒng)相關(guān)配置，以及與功能（例如驗證、和審計）相關(guān)的配置。通過將一個節(jié)點用作主節(jié)點，將另一節(jié)點用作輔助節(jié)點，可以配置管理服務(wù)以實現(xiàn)高可用性。服務(wù)（也稱為和故障排除）：這一和故障排除角色也為識別服務(wù)引擎部署收集和日志消息。提供高級、故障排除和報告工具，這些工具可用來有效地管理網(wǎng)絡(luò)。通過Cisco識別服務(wù)引擎，您可以將兩個服務(wù)節(jié)點配置為一對主動-備用節(jié)點。通過將一個節(jié)點用作主節(jié)點，將另一個節(jié)點用作輔助節(jié)點，可以配置服務(wù)以實現(xiàn)高可用性?？稍谕辉O(shè)備中并用這些角色，也可在多個設(shè)備中分別運行這些角色。通過這種靈活的可擴展架構(gòu)，識PAGE2NUMPAGES12Cisco識別服務(wù)引擎具有第四種角色/服務(wù)類型，即狀態(tài)執(zhí)行服務(wù)（也稱為內(nèi)聯(lián)策略執(zhí)行點[iPEP]），但此服務(wù)必須在識別服務(wù)引擎物理設(shè)備中作為獨立式服務(wù)運行。只有在網(wǎng)絡(luò)設(shè)備不支持所需高級RADIUS控制功能集中器）后實施?？赏ㄟ^一對主動-備用節(jié)點配置該服務(wù)，以實現(xiàn)高可用性。Cisco識別服務(wù)引擎具有高度可用的可擴展架構(gòu)，支持獨立式部署、集中部署和/或分布式部署。在分布式環(huán)境基本證適用于想要在其網(wǎng)絡(luò)（有線、無線和）中對用戶和設(shè)備進行驗證和的組織。它包AAA服務(wù)、訪客生命周期管理、合規(guī)報告，以及端到端和故障排除。基本證是一種永久證高級證在基本證的基礎(chǔ)上進行了擴展；通過高級證，組織可以根據(jù)用戶和設(shè)備合規(guī)情況作出策略決策。高級證的功能包括設(shè)備概況分析、狀態(tài)服務(wù)，以及在整個網(wǎng)絡(luò)（有線、無線和）中執(zhí)行安全組的功能。高級證是一種預(yù)訂期的證，可選擇3年期或5年期預(yù)訂。無線證適用于開始部署服務(wù)引擎只是為了針對無線端點進行策略決策的組織無線證的功能包括基本證和高級證。無線證是一種基于預(yù)訂期限的證，預(yù)訂期限為無線升級證適用于僅為無線端點部署了識別服務(wù)引擎和升級證在裝有無線證的情況下安裝，是一種有期限的證，其期限與原有的無線證相同。證或無線證）。Cisco識別服務(wù)引擎證適用于整個系統(tǒng)，并且特定于部署，而不是特定于部署中的各個設(shè)備。Cisco識別服務(wù)引擎證可在訂購設(shè)備時訂購，也可單獨訂購。請注意，要使用Cisco識別服務(wù)高級證數(shù)量絕過基本證數(shù)量。同樣，無線升級證只能在裝有無線證的情況下安裝。要安裝無線升級證，無線升級證數(shù)量必須與無線證數(shù)量一致。表2和表3重點說明Cisco識別服務(wù)引擎表 Cisco服務(wù)引擎基于功能的證選證100250500100025003500500010,00025,00050,000100,00035證100250500100025003500500010,00025,00050,000安全組控100,000表 Cisco服務(wù)引擎基于部署的證選100250500100025003500AAA/RADIUS驗安全組控500010,00025,00050,000100,000100AAA/RADIUS驗安全組控250500100025003500500010,00025,00050,000100,000PAGE4NUMPAGES12部署中所需的設(shè)備總數(shù)取決于一系列因素，包括但的據(jù)是與網(wǎng)絡(luò)相連的并發(fā)端點的數(shù)量以及這些端點所需的服務(wù)。有關(guān)確定部署規(guī)模的問題，請咨詢當?shù)氐陌踩a(chǎn)品銷售專員，或者發(fā)送郵件至cis-is@ ?，F(xiàn)通過以下方案，舉例說明一些Cisco服務(wù)引擎部署場景機，并且所有三個位置分布了不到50臺無外設(shè)設(shè)備（、 本的802.1X端點驗證，對無外設(shè)設(shè)備實施MAC驗證繞行。該客戶更愿意進行集中部署并使用物理設(shè)備，ISE-3315-適用于500個端點的基本證 驗證2一個總部位置（有400個用戶）和附近的一個倉庫（有100個用戶）。該客戶希望在這兩個位置為承包商和合作伙伴（用戶數(shù)量估計多達200個）提供只能互聯(lián)網(wǎng)的無線接入。Cisco統(tǒng)一IP 員工?？偛康?0個會議室和倉庫中的五個會議室都有Cisco統(tǒng)一IP會議工作站。此外，這兩個位置還分布了25IT部門工作人員希望對所有IP端點和進行驗證和?？偛康?00名員工都有公司提供的筆記本電腦，但因為這些筆記本電腦會被帶回家，所以IT部門希望先確保這些筆記本電腦合規(guī)，然后再授予其網(wǎng)絡(luò)權(quán)限。此外，該客戶還為50位經(jīng)理、主管和副配備了黑莓智能。需要驗證這些智能為黑莓智能，并且在授予黑莓智對公司網(wǎng)絡(luò)的無線權(quán)限之前，每位員工都必須首先經(jīng)過驗證iPadiPadiPad每天都要簽入和簽出。系統(tǒng)每天早晨都需要對每臺iPad進行驗證，倉庫用戶必須先經(jīng)過網(wǎng)絡(luò)驗證，然后才能內(nèi)部資源。IT部門希望在這兩個位置實施高可用性控制，并且在總部以外集中管理部署。該客戶更愿意使用虛擬設(shè)備而不是物理設(shè)備，并且僅會為高級功能3年期證。PAGE5NUMPAGES124臺Cisco識別服務(wù)引擎虛擬設(shè)2臺21500基本為400臺筆記本電腦、100臺iPad、525臺IP 設(shè)備、25臺和50部黑莓智2001300高級兩個3年期高級證，一個適用于1000個端點，一個適用于100個端點400為100臺iPad、525臺 設(shè)備、25 和50部黑莓智能提供分析服總共有1100個端點，這些端點除需要基 驗證服務(wù)之外還需要狀態(tài)或分析服L-ISE-ADV3Y-1000=L-場景3一個總部位置（有3000個用戶）、三個分部（每個位置都有200個用戶）以及八個地區(qū)（每個辦公室都有50個用戶）。在總部，所有用戶都有CiscoUnifiedIPPhones，并且會議室中有100個CiscoUnifiedIPConferenceStation。該客戶不打算在網(wǎng)絡(luò)更新?lián)Q代之前向其他推行IP 蓋額外的1000臺IP 和25個CiscoUnifiedIPConferenceStation的證。整個企業(yè)有400臺。該客戶希望在所有中為訪客（用戶數(shù)量估計多達250個）提供只能互聯(lián)網(wǎng)的無線接入。該客戶有125臺裝在天花板上的基于IP的安全頭，以及125臺基于IP的室內(nèi)，但不需要對其進行概況分析。IT部門工作人員有意對IP端點進行驗證和，但他們必須將這項工作拆分到兩個預(yù)算周期內(nèi)完成。第一年，他們只想，以便更好地了解如何重新組織IT運營活動。4000IT部門希望先確保程位置之間都可能有多達1500個用戶（在兩個位置都通過虛擬網(wǎng)集中器連接），但負載卻通常會小得多。移動工作人員能否順利進行工作，服務(wù)起著至關(guān)重要的作用，因此該服務(wù)必須具備故障保護能力。沒有筆記本電腦的1000名員工使用屬于公司的基于Linux的瘦客戶端（這些客戶端VDI基礎(chǔ)設(shè)施），因此這些瘦客戶端只需通過網(wǎng)絡(luò)對于有線接入、無線接入和接入，IT部門希望在總部和異地備份數(shù)據(jù)中心實施高可用性控制。每個分部辦公室都應(yīng)該能執(zhí)行本地驗證，并在總部提供備份，而八個地區(qū)中的每一個都要靠余N該客戶更愿意使用物理設(shè)備而不是虛擬設(shè)備，并且考慮到每年均攤成本較低，他們愿意5年期的高級功能證。612證L-ISE-BSE-1為3000臺員工筆記本電腦、1000個瘦客戶端、3100臺IP 和250臺基于IP的提供經(jīng)過驗證的250第一年總共可對8000個潛在的并發(fā)端點進行驗由于適用于10,000個端點的基本 加上一份適用于3500個端點的基 證3000為400臺提供概況分總共有3400個端點，這些端點需要在基本驗證的基礎(chǔ)上獲得狀態(tài)或概況分析服務(wù)為現(xiàn)有的3100個 端點和新增的1025個 端點提供概況分由于適用于5000個端點的高級證的價格，低于一份適用于1000個端點的高級證加上一份適用于3500個端點的高級證的價格，因此該客戶將升級到的端點數(shù)量。因為該客戶有意讓所有證都在同一日期到期，所以該客戶決定讓新的5000端點高級4電腦已被帶回家，所以IT部門希望先確保這些筆記本電腦合規(guī)，然后再對其授予網(wǎng)絡(luò)接入權(quán)限。此外，該客戶還為50位經(jīng)理、主管和副配備了黑莓智能。這些智能必須以黑莓智能的形式進行驗證，并且每位員工的憑據(jù)也必須先經(jīng)過驗證，然后才能對黑莓智能授予對公司網(wǎng)絡(luò)的無線接入權(quán)限。其中的100名員工使用公司都需要對每臺iPad進行驗證，用戶必須先經(jīng)過Web驗證，然后才能內(nèi)部資源。PAGE7NUMPAGES12IT部門希望實施高可用性控制。該客戶更愿意使用物理設(shè)備而不是虛擬設(shè)備1臺Cisco識別服務(wù)引擎3315設(shè)備適用ISE-3315-基本為承包商和合作伙伴的500臺筆記本電腦、100臺iPad、500臺IP 設(shè)備、50部黑莓智能和300個端點提供經(jīng)過驗證的1500高級適用于Cisco識別服務(wù)引擎3315設(shè)備的相應(yīng)CiscoSMARTnet服場景5：在物理設(shè)備中將簡單的無線部署升級到有線部署和部署該客戶希望從“場景4”擴展網(wǎng)絡(luò)，以50020001臺Cisco識別服務(wù)引擎3315設(shè)證適用于1500個端點的無線證50部黑莓智能和300個端點提供經(jīng)過驗證的適用于Cisco識別服務(wù)引擎3315設(shè)備的相應(yīng)CiscoSMARTnet服證用于涵蓋500個端點的附加無線證用于支持總共2000個端點的無線升級場景6：從CiscoSecureACS遷移到識別服務(wù)引該客戶使用一對Cisco1120控制系統(tǒng)設(shè)備中的CiscoSecureACS5.x，對1000臺計算機（通過802.1X）和300臺無外設(shè)設(shè)備（通過MAC驗證忽略）進行驗證，并且還使用CiscoSecureACS來進行設(shè)備管理。該100NACGuestServer，但從長遠觀點來遷移到2臺Cisco識別服務(wù)引擎3315設(shè)備3315遷移到適用于1500個端點的基本證適用于Cisco識別服務(wù)引擎3315設(shè)備的相應(yīng)CiscoSMARTnet服場景7：從NACProfiler遷移到識別服務(wù)引該客戶使用一對Cisco1121控制系統(tǒng)設(shè)備中的SecureACS5.x，對1500臺計算機（通過802.1X）和1500臺無外設(shè)設(shè)備（包括數(shù)量不斷增多的智能）（通過MAC驗證忽略）進行驗證。當前，Cisco3355識別NACProfiler和Collector故障切換對。該客戶對當前的解決方案很滿意，但希望添加通用故障排除間的邏輯聯(lián)系（從而關(guān)注Cisco識別服務(wù)引擎）。該客戶希望盡量利用現(xiàn)有的投資。無Profiler提取到識別服務(wù)引擎中基本遷移到適用于1500個端點的基本高級用于1500個端點的3年期高級表4、表5和表6列出了用于Cisco識別服務(wù)引擎設(shè)備和證的部件編號。表7、表8和表9列出了用于遷移到Cisco識別服務(wù)引擎設(shè)備和證的部件編號。表 用于Cisco識別服務(wù)引擎設(shè)備的部件編Cisco識別服務(wù)引擎3315設(shè)Cisco識別服務(wù)引擎3355設(shè)Cisco識別服務(wù)引擎3395設(shè)Cisco識別服務(wù)引擎虛擬設(shè)備510臺Cisco識別服務(wù)引擎虛擬設(shè)備表 適用于100個端點的基本證適用于250個端點的基本適用于500個端點的基本適用于1000個端點的基本適用于1500個端點的基本適用于2500個端點的基本適用于3500個端點的基本PAGE9NUMPAGES12適用于5000個端點的基本證適用于10,000個端點的基本證適用于25,000個端點的基 適用于50,00個端點的基本適用于100,00個端點的基本表 適用于100個端點的3年期高級適用于250個端點的3年期高 適用于500個端點的3年期高級適用于1000個端點的3年期高 L-ISE-ADV3Y-2500= 適用于1500個端點的3年期高級適用于2500個端點的3年期高 適用于3500個端點的3年期高級適用于5000個端點的3年期高 適用于10,000個端點的3年期高級適用于25,000個端點的3年期高級適用于50,000個端點的3年期高級適用于100,000個端點的3年期高級適用于100個端點的5年期高級適用于250個端點的5年期高級適用于500個端點的5年期高級適用于1000個端點的5年期高級適用于1500個端點的5年期高級適用于2500個端點的5年期高級適用于3500個端點的5年期高級適用于5000個端點的5年期高級適用于10,000個端點的5年期高級適用于25,000個端點的5年期高級適用于50,000個端點的5年期高級適用于100,000個端點的5年期高級表 1005證 2505 5005證10005證15005證25005證35005證PAGE10NUMPAGES12適用于5000個端點的5年期無 適用于10,000個端點的5年期無線適用于25,000個端點的5年期無 適用于50,000個端點的5年期無線適用于100,000個端點的5年期無 表 用于無線升級證的部件編適用于100個端點的無線升級 適用于250個端點的無線升 適用于500個端點的無線升級 適用于1000個端點的無線升 適用于1500個端點的無線升級 適用于2500個端點的無線升 適用于3500個端點的無線升級 適用于5000個端點的無線升 適用于10,000個端點的無線升級 適用于25,000個端點的無線升 適用于50,000個端點的無線升級適用于100,000個端點的無線升 表 用于遷移Cisco識別服務(wù)引擎設(shè)備的部件編遷移到Cisco識別服務(wù)引擎3315設(shè)遷移到 識別服務(wù)引擎3355設(shè)遷移到Cisco識別服務(wù)引擎3395設(shè) Cisco 識別服務(wù)引擎虛擬設(shè) 5臺Cisco識別服務(wù)引擎虛擬設(shè)包10臺Cisco 識別服務(wù)引擎虛擬設(shè) 表 用于遷移到基本證的部件編遷移到適用于100證 適移到適用于250個端點的基 適移到適用于500證適移到適用于1000證移到適用于1500證移到適用于2500證移到適用于3500證移到適用于5000證移到適用于10,000證移到適用于25,000證PAGE11NUMPAGES12遷移到適用于50,000個端點的基本證遷到適用于100,000個端點的基本 用于遷移到高級證的部件編100+證遷移到適用于250+3證500+證10003證15003證25003證35003證50003證10,000證+3證25,000證+3證遷移到適用于50,000個端點的基本證+3年期高級遷移到適用于100,000個端點的基本證+3年期高級8x5xNBD：下一工作日（必須在截止時間之間收到訂單8x5x4：標準4