Cisco · Software · ficha YoctoIT

ISE

El control de accesos a la red: quién entra, desde dónde, en qué VLAN — la microsegmentación que empieza en la toma.

FOCUS · LA RED QUE PIDE LOS DOCUMENTOS802.1X, profiling y políticas: el dispositivo desconocido no navega
Material YoctoIT para clientes y partners · Cisco, Meraki, Splunk, Duo y los demás productos citados son marcas de Cisco Systems, Inc. o di sue affiliate.
01 · Qué es

Identity Services Engine, en claro.

ISE decide quién entra en la red y qué puede hacer: autentica usuarios y dispositivos (802.1X, MAB), los perfila (¿ese MAC es una impresora o un portátil?), los pone en la VLAN/SGT correcta y — con la segmentación software-defined — impone quién habla con quién. La toma de la sala de reuniones deja de ser una puerta abierta al corazón de la empresa.

802.1X
la autenticación en el puerto: la red pide las credenciales
Profiling
los dispositivos reconocidos por cómo se comportan: el IoT censado solo
SGT
las etiquetas de seguridad: la política sigue al usuario, no a la toma
Identity Services Engine
IMAGEN OFICIAL CISCO · ISE
INTERFACCIA UFFICIALE · CISCO ISE · FONTE: CISCO
INTERFAZ OFICIAL · CISCO ISE · FUENTE: CISCO
02 · Cómo usarlo bien

Las cosas que marcan la diferencia.

El portero educado

Quién se conectaempleados, invitados, IoT, proveedores
AuthN (dot1x/MAB)
Profiling
Authorization
quién eres · qué eres · adónde vas
ISE · política centrallas reglas, una vez
Switches, Wi-Fi, VPNaplicadas en todas partes
Cada puerto, un control

Rollout por etapas

Monitor mode primero, enforcement después: la red controlada sin bloquear la empresa el lunes.

Guest y BYOD civilizados

Portales sponsor y onboarding: el invitado navega, pero solo donde debe.

IoT segmentado

Impresoras, cámaras y sensores en su burbuja: el dispositivo débil ya no es el puente.

Con la fábrica

ISE + redes industriales: también el OT dentro del control de accesos, con juicio.

03 · En profundidad

NAC y segmentación por identidad

ISE decide quién entra en la red y con qué derechos: 802.1X para lo gestionado, MAB y profiling para el IoT, los posture checks verifican el endpoint (parches, AV) antes del acceso, los resultados (autorizaciones, SGT TrustSec) segmentan por identidad en lugar de por VLAN; el guest portal gestiona invitados y BYOD; el pxGrid comparte contexto con firewalls y XDR: la cuarentena se vuelve automática (ANC).

  • 802.1X + MAB — cada puerto y SSID autenticados: el cable libre ya no existe
  • Profiling — el IoT reconocido (cámaras, impresoras, PLC) y puesto en su recinto
  • Posture — sin parches, sin red: el endpoint verificado a la entrada
  • TrustSec/SGT — la segmentación por etiqueta: las VLAN dejan de proliferar
  • pxGrid + ANC — el contexto compartido: el XDR pide, ISE aísla el dispositivo
  • Guest & BYOD — portales y sponsors: el invitado sin post-it con la contraseña
04 · Números y ciclo de vida

Los números que cuentan.

100%
de los dispositivos identificados antes del acceso
s
la cuarentena vía ANC: la contención automática
NIS2
el control de accesos a la red con evidencias
HA
despliegue distribuido multinodo: el NAC que no se cae
El NAC es un proyecto de procesos: inventario, políticas por olas y monitor-mode antes del enforcement — la red que pide los documentos.
05 · Casos de uso

Dónde rinde de verdad.

Compliance de accesos

Quién estaba en la red, cuándo, desde dónde: respuesta lista.

Entornos mixtos

Empleados, consultores y máquinas sobre la misma infraestructura, separados.

Zero trust de red

El complemento de Duo: identidad sobre el acceso, ISE sobre la red.

La red abierta es un acto de fe: con ISE se convierte en una lista de invitados.