Dot1x

– به منظور Authentication  و احراز هویت کاربران شبکه داخلی اعم از Wired  و Wireless  و VPN صورت میگیرد و بر اساس احراز هویتی که انجام می دهد می توانیم دسترسی های متفاوتی را ارائه دهیم . در واقع به منظور ایجاد یک بستر امن از دید تیم IT که مانع ورود افرادی که Trust  شبکه و سازمان نیستند می شود . در این قابلیت که به نام Dot1x نامیده می شود و با ادغام شدن با سرویس اصلی سازمان که Active Directory  می باشد میتوانیم کاربرانی که در Domain Control ثبت شده اند را مجاز کنیم و بر اساس گروه های مختلف کاری دسترسی های مشخصی به هر گروه اعمال کنیم

–  Profiling

در این راهکار و با استفاده از این Feature  ، قابلیت توانایی شناسایی دستگاهایی که کاربران در سازمان با آنها احراز هویت انجام داده اند را می توانیم ارائه دهیم و به منظور Device Context Aware  از این راه کار استفاده کنیم و حتی با استفاده از Profiling  که در دیتابیس ISE برای اکثر Vendorها وجود دارد پالیسی هایی را بوجود بیاوریم که جدا از کاربرانی باشد که در مرحله Dot1x برای آنها مجوز قرار دادیم  و دسترسی های منظمی را بوجود آوریم

– Posture Assessment

به منظور رعایت امنیت بیشتر در سازمان و همچنین ارزیابی کاربران به منظور نصب نرم افزار خاصی که در پالیسی  سازمان است تعریف شده است و کاربران می بایست بر سیستم خودشان از آن بهره گیرند مورد استفاده قرار میگیرد . به عوان مثال اگر سازمان مقرر کرده که بر روی سیستم کاربران سازمان می بایست از Agent  آنتی ویروس خاصی استفاده گردد و کاربرانی که آن را بر روی سیستم خود دارند می توانند به طور کامل به شبکه دسترسی داشته باشند و حتی برای اینکه سخت گیرانه تر رفتار کنیم می بایست نرم افزار فوق به آخرین آپدیت برسد که در غیر این صورت کاربر فقط به سرور خاصی دسترسی می تواند داشته باشد و پس از نصب و حتی Update  نرم افزار و Agent  فوق می تواند دسترسی کامل داشته باشد .

DVLAN Assignment

بدلیل اینکه در سازمان ها و شبکه های امروزی Rooming کاربران بسیار زیاد می باشد و احتمال جابجایی در سازمان وجود دارد و به همبن دلیل دسترسی های کاربران که از قبل برای آنها تعریف شده بود دچار مشکل می شود و Admin  یک سازمان می بایست به منظور انجام سطح دسترسی تمام تنظمیات را در شبکه مقصد ( اعم ازVLAN و ACL)  را دوباره تعریف نماید و خود این موضوع برای کاربران بسیار زیادی اگر اتفاق بیافتد باعث پیچیدگی در پیکربندی دستگاه ها میگردد به همین منظور پلتفرم ISE این مشکل را با استفاده از قابلیتDVLAN Assignment  رفع کرده که در آن  احتیاج به دخالت Admin  شبکه به صورت Manual  وجوود ندارد

Sponsor and Guest

از این راهکار برای سازمان زمانی استفاده می شود که بخواهیم در بستر Wired  و Wireless  برای مهمانان که احتیاج به دسترسی خاصی به عنوان مثال اینترنت داشته باشن استفاده میکنیم . به عنوان مثال هنگامی که یک کاربر مهمان بخواهد اینترنت داشته باشد به یک SSID از قبل تعریف شده متصل می گردد و صفحه به صورت خودکار به سمت سرور ISE هدایت می گردد و پس از وارد نمودن اطلاعات ، درخواست به سمت Sponsor  هدایت می شود و پس از بررسی تصمیم گرفته می شود که Sponsor  درخواست را Approve  و یا Reject  کند و پس از موافقت با درخواست ، کاربر می تواند به اینترنت و در بازه های زمانی خاص که توسط Sponsor  تعیین می گردد متصل گردد

Device Admin

 به منظور سهولت در مدیریت ، کنترل و دسترسی به سوییچ ها و روترها و همچنین فایروال های سازمان ( سیسکو) می توانیم از این راهکار استفاده کنیم و هنگامی که به عنوان مثال یک شخص بخواهد دسترسی خاصی بر روی سوییچ ها و یا هر Device  که تحت مدیریت ISE را داشته باشد، کافیست آن را در گروهی که از قبل به منظور دسترسی ایجاد کرده ایم اضافه کنیم . همچنین به منظورایجاد  دسترسی خاص برای پیکربندی دستگاه نیز به صورت Command Authorization  دستورات را محدود کنیم و اجازه دسترسی در Privilege خاص را به آن فرد دهیم

Trust SEC

از قابلیت های جذاب سرور ISE  که یکی از Component  های اصلی Cisco SD Access  نیز می باشد مفهوم Trust Sec  است که در این قابلیت سرور ISE به هر کاربری که Authenticate  می شود یک TAG  اختصاص می دهد که بر اساس TAG اختصاص داده شده به کاربر دسترسی خاصی از طریق SGACL داده می شود . مزیت این قابلیت در واقع به این گونه است که وابستگی به پارامترهای IP  و MAC  وجود ندارد و کاربران بر اساس TAG  های اختصاص داده شده به آنها در شبکه دیده می شوند و کنترل می شوند و حتی می توانیم از این قابلیت هنگامی که پلتفرم ISE  را با Firepower  ادغام کردیم استفاده کنیم .