Cisco ISE можно развернуть как в виде одного сервера, так и в виде distributed deployment.
Distributed deployment необходим для поддержки отказоустойчивости и для увеличения производительности.
Cisco ISE в режиме distributed deployment админится и мониторится централизованно; обработка же запросов клиентов происходит в режиме распределения нагрузки.

Термины:

Cisco Mobility Express Deployment Guide–Release 8.3.102.0
https://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/8-3/...

Convert CAPWAP Cisco 1852I Access Point to Mobility Express
http://itadminguide.com/convert-capwap-cisco-1852i-access-point-to-mobil...

Cisco ISR 1100 - это новый роутер, который на момент написания материала только недавно начали завозить в Россию.
Cisco ISR 1100 позиционируется как следующее поколение серии 8xx, базируется на платформе IOS-XE, и обладает высокой производительностью.
У роутера есть порты PoE, а начиная с версии 9.16.12 роутер поддерживает CME и CUBE.
Модели C1111-4PWR и C1111-8PWR идут с wifi на борту.
А модель cisco C1111-8PLTEEAWR (1RU) имеют вообще полный набор.

"Сложные" провайдеры - это те ITSP, работу с которыми работу невозможно настроить, пользуясь только стандартными средствами настроек CUBE типа incoming called number или translation patterns.

Для того, чтобы внешний интерфейс роутера получал IP по DHCP, необходимо прописать следующую конструкцию:

ip access-list extended acl_dhcp
 permit udp any any eq 67
 permit udp any any eq 68
!
class-map type inspect match-any cm_dhcp
 match access-group name acl_dhcp

Далее помещаем созданный cm_dhcp в начало существующих policy-map self-outside и outside-self.

В данном материале мы рассмотрим кластеризацию SRX на примере Juniper SRX 1500.

Кластеризация SRX характеризуется термином High Availability, и обладает характеристиками:

В данном материале опишем процедуру установки лицензий на маришрутизаторы 3-го поколения на примере SL-1100-8P-SEC=.
В отличие от материала
http://ciscomaster.ru/content/ustanovka-licenziy-na-cisco-routers-3-go-p...
здесь мы рассмотрим установку в случае если нам придёт письмо от Cisco: eDelivery Order Notification, т.е. когда вытаскивать файл lic придется самим.

Cisco ISR 1100 - это новый роутер, который на момент написания материала только недавно начали завозить в Россию.
Cisco ISR 1100 позиционируется как следующее поколение серии 8xx, базируется на платформе IOS-XE, и обладает высокой производительностью.
У роутера есть порты PoE, а начиная с версии 9.16.12 роутер поддерживает CME и CUBE.

Данный материал описывает настройку маршрутизатора модели cisco C1111-8PLTEEAWR (1RU)
Роутер c1111 имеет на борту два слота под сим карты. Также ему нужно докупить антенну.

Изначально настраиваем ASA в соответствии с материалом:
http://ciscomaster.ru/content/rabota-s-asa-anyconnect-ssl-vpn-hub

Добиваемся, чтобы клиент не спрашивал какой профиль использовать:

У Cisco IOS есть полезная защита от подбора пароля:

login block-for 60 attempts 3 within 20

В данном случае, если в течение 20 секунд было введено 3 неправильных пароля, логин будет рефьюзиться в течение одной минуты.
Причем refuse достигается тем, что на VTY на минуту вешается ACL sl_def_acl, и соответственно через минуту снимается.

Event manager - это среда, позволяющая облегчать жизнь сетевого инженера.

В данном примере автор столкнулся с багом, прикотором по неизвестным причинам выключался Интернет.
Лечилось это только через shut/no shut внешнего интерфейса.
Конечно это повод для обращенияв TAC.
Но для того чтобы по быстрому решить эту проблему была создана следующая конструкция:

Есть несколько удобных утилит, позволяющих быстро определить источник проблемы в работе сети.

В связи с проблемой https://dnsflagday.net/ понадобилось внутреннему серверу BIND работать с пакетами EDNS.
Но данные пакеты дропает Juniper DNS ALG.
Есть два пути:

В cisco IOS нет команды типа copy all files, но для архивации содержимого Flash можно использовать команду:

archive tar /create tftp://192.168.254.49/Flash_Files.tar flash:

В данном материале опишем процедуру установки лицензий SL-44-SEC-K9 и FL-44-HSEC-K9 на маршрутизатор cisco ISR4431/K9.
Мне лицензии пришли от продавца в виде двух файлов:
- SL-44-SEC-K9.zip
- FL-44-HSEC-K9.zip

Внутри каждого архива располагаются инструкция pdf, а также собственно лицензионный файл с расширением .lic
Лицензионный файл привязан к серийному номеру устройства.
Серийный номер устройства можно посмотреть через команду:

В новом поколении маршрутизаторов настройка netflow поменялась. Теперь это можно настроить через Flexible NetFlow и нужно вводить следующие команды:

Туннель GRE поднимается быстро и без проблем. "голый" GRE очень полезен в ситуациях при авариях с IPsec туннелями.

Сохранение конфигурации

Проще всего это сделать через WinSCP
- current and previous 0 to 3 configurations: В папке /config. Тут текущий конфиг будет файл juniper.conf.gz
- 4 to 49 configurations: В папке /var/db/config

Данный файл(ы) можно забрать через WinSCP

Аварийное восстановление через SCP Server

Тестировалось на Juniper SRX 345.
Предположим мы полностью потеряли конфигурацию, но у нас есть сохранённый фал конфигурации.

Иногда бывают ситуации когда удобно подключаться консолью методом AUX to Console.
Т.е. с управляемого оборудования на консоль другого.