Cisco ISE คืออะไร? ทำไมถึงเป็นหัวใจของ Network Security ในปี 2026
Cisco Identity Services Engine (ISE) เป็น policy platform ที่ครบวงจรสำหรับการจัดการ network access control (NAC) identity management และ security policy enforcement บนเครือข่ายขององค์กร แต่ ISE ไม่ได้เป็นแค่ NAC solution ธรรมดา มันเป็น policy decision point ที่เชื่อมต่อทุกอย่างเข้าด้วยกัน ตั้งแต่การ authenticate ผู้ใช้งาน ตรวจสอบสถานะอุปกรณ์ กำหนดสิทธิ์การเข้าถึง ไปจนถึงการ integrate กับ security ecosystem ทั้งหมดขององค์กร
ในยุค Zero Trust ที่ไม่มีอะไรน่าไว้ใจอีกต่อไป ไม่ว่าจะอยู่ภายในหรือภายนอกเครือข่าย Cisco ISE กลายเป็นเครื่องมือสำคัญที่ช่วยให้องค์กรสามารถ verify ทุก identity, validate ทุก device, และ enforce policy ทุกจุดบนเครือข่าย จากสถิติในปี 2025-2026 พบว่ากว่า 60% ของ data breaches เกิดจาก compromised credentials หรือ unauthorized access ที่ ISE สามารถช่วยป้องกันได้
บทความนี้จะพาคุณเข้าใจ Cisco ISE ตั้งแต่ architecture พื้นฐาน ไปจนถึงการ deploy และ integrate กับ ecosystem อื่นๆ ครอบคลุมทุกฟีเจอร์สำคัญที่จำเป็นสำหรับการ implement NAC และ Zero Trust architecture ในองค์กรปี 2026
ISE Architecture: PAN, MnT, PSN คืออะไร
Cisco ISE มีสถาปัตยกรรมที่แบ่งออกเป็น 3 persona (บทบาท) หลัก แต่ละ persona มีหน้าที่เฉพาะ สามารถรันบน node เดียวกัน (standalone) หรือแยกออกเป็นหลาย nodes (distributed) เพื่อรองรับ scale ที่ใหญ่ขึ้น
PAN – Policy Administration Node
PAN เป็น admin node ที่ใช้สำหรับ configuration ทั้งหมดของ ISE ทุกการตั้งค่า policy, identity management, system configuration ทำผ่าน PAN ทั้งหมด PAN เป็น single source of truth สำหรับ configuration ที่จะ replicate ไปยัง nodes อื่นๆ ใน deployment ในระบบ distributed สามารถมี Primary PAN และ Secondary PAN สำหรับ high availability โดย Secondary PAN จะ sync configuration จาก Primary PAN อัตโนมัติ และ promote ตัวเองเป็น Primary ได้เมื่อ Primary ล่ม
MnT – Monitoring and Troubleshooting Node
MnT node ทำหน้าที่เก็บ logs, session data, reports และ analytics ทั้งหมด ทุก authentication request ทุก authorization decision ถูก log ไว้ที่ MnT ทำให้ admin สามารถ troubleshoot ปัญหา ดู live authentication logs สร้าง reports สำหรับ compliance และ monitor สุขภาพโดยรวมของ ISE deployment ได้
MnT เก็บข้อมูลปริมาณมาก ดังนั้นใน deployment ขนาดใหญ่ ควรแยก MnT node ออกมาเฉพาะและให้ disk space เพียงพอ นอกจากนี้ยังสามารถ integrate กับ SIEM solutions เช่น Splunk หรือ QRadar เพื่อส่ง syslog ไปวิเคราะห์เพิ่มเติม
PSN – Policy Service Node
PSN เป็น node ที่ทำงานหนักที่สุด เป็นตัวที่รับ authentication requests จาก network devices ทำ authentication (ตรวจสอบตัวตน), authorization (กำหนดสิทธิ์), และ accounting (บันทึกการใช้งาน) ใน deployment ขนาดใหญ่ สามารถมี PSN หลายตัวกระจายตาม location เพื่อ reduce latency และ provide redundancy
PSN communicate กับ identity stores เช่น Active Directory, LDAP, internal user database เพื่อ authenticate ผู้ใช้ จากนั้นจึง evaluate authorization policies ที่กำหนดไว้ใน PAN เพื่อตัดสินใจว่าผู้ใช้ได้สิทธิ์อะไร ส่ง RADIUS response กลับไปยัง network device เพื่อ enforce สิทธิ์นั้น
Deployment Models: Standalone vs Distributed
การ deploy Cisco ISE สามารถทำได้หลายรูปแบบ ขึ้นอยู่กับขนาดองค์กรและ requirements ด้าน redundancy
Standalone Deployment
ใน standalone mode ISE node เดียวทำหน้าที่ทั้ง PAN, MnT, และ PSN เหมาะสำหรับ lab environment, proof of concept, หรือองค์กรขนาดเล็กที่มี endpoints ไม่เกิน 5,000 ตัว ข้อดีคือ ง่ายต่อการติดตั้งและจัดการ ใช้ทรัพยากรน้อย ข้อเสียคือ ไม่มี redundancy หาก node ล่ม ทุกอย่างหยุดทำงาน ไม่สามารถ scale ได้
Two-Node High Availability
เพิ่ม node ที่สองเพื่อ high availability ทั้งสอง nodes ทำหน้าที่ทุก persona เหมือนกัน Primary node ทำงานหลัก Secondary node sync configuration และพร้อม takeover เมื่อ Primary ล่ม เหมาะสำหรับองค์กรขนาดเล็กถึงกลางที่ต้องการ redundancy
Distributed Deployment
สำหรับองค์กรขนาดใหญ่ แยก persona ออกเป็น nodes แต่ละตัว เช่น 2 PAN nodes (Primary/Secondary), 2 MnT nodes (Primary/Secondary), หลาย PSN nodes กระจายตาม location สามารถรองรับ endpoints มากกว่า 500,000 ตัว มี redundancy ทุกระดับ และ scale PSN เพิ่มได้ตาม load
การเลือก deployment model ควรพิจารณาจากจำนวน endpoints ที่ต้อง manage, จำนวน authentication requests ต่อวินาที (throughput), จำนวน sites หรือ locations, availability requirements (SLA), และ budget ที่มี
802.1X กับ ISE: Wired และ Wireless Authentication
802.1X เป็นมาตรฐาน IEEE สำหรับ port-based network access control เป็นหัวใจของ NAC ที่ ISE ใช้ในการ authenticate ผู้ใช้และอุปกรณ์ก่อนให้เข้าถึงเครือข่าย
การทำงานของ 802.1X
ในกระบวนการ 802.1X มี 3 องค์ประกอบหลัก Supplicant คืออุปกรณ์ที่ต้องการเข้าถึงเครือข่าย เช่น laptop, smartphone ที่รัน 802.1X client Authenticator คือ network device เช่น switch หรือ wireless access point ที่ทำหน้าที่ relay authentication request ไปยัง ISE และ Authentication Server คือ ISE ที่ทำหน้าที่ตัดสินใจว่าจะอนุญาตหรือปฏิเสธ
เมื่ออุปกรณ์เชื่อมต่อเข้ากับ switch port หรือ WiFi switch/AP จะส่ง EAP request ไปยังอุปกรณ์ อุปกรณ์ตอบกลับด้วย credentials (username/password, certificate) switch/AP forward ไปยัง ISE ผ่าน RADIUS protocol ISE ตรวจสอบ credentials กับ identity store (เช่น Active Directory) แล้ว ISE ส่ง RADIUS response กลับ (Accept/Reject) พร้อม authorization attributes
EAP Methods ที่ ISE รองรับ
ISE รองรับ EAP methods หลายแบบ EAP-TLS ใช้ certificate ทั้งฝั่ง server และ client เป็นวิธีที่ปลอดภัยที่สุดแต่ต้อง deploy PKI infrastructure PEAP (Protected EAP) ใช้ certificate เฉพาะฝั่ง server client ใช้ username/password ภายใน TLS tunnel นิยมใช้มากเพราะง่ายต่อการ deploy EAP-FAST ใช้ PAC (Protected Access Credential) แทน certificate เป็น Cisco proprietary protocol
Wired 802.1X Configuration บน Switch
! Cisco Switch configuration สำหรับ 802.1X กับ ISE
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa accounting dot1x default start-stop group radius
dot1x system-auth-control
radius server ISE-PSN-1
address ipv4 10.1.1.100 auth-port 1812 acct-port 1813
key 0 MySuperSecretKey123
automate-tester username probe-user
! Interface configuration
interface GigabitEthernet1/0/1
switchport mode access
switchport access vlan 100
authentication port-control auto
authentication order dot1x mab
authentication priority dot1x mab
dot1x pae authenticator
mab
spanning-tree portfastWireless 802.1X
สำหรับ wireless การ configure 802.1X ทำบน Wireless LAN Controller (WLC) หรือ Catalyst 9800 Series โดยสร้าง SSID ที่ใช้ WPA2/WPA3-Enterprise แล้วกำหนด RADIUS server เป็น ISE PSN ผู้ใช้เชื่อมต่อ WiFi แล้วจะถูกถาม credentials ซึ่ง ISE จะ authenticate และ authorize ตาม policy เดียวกับ wired
Guest Access: สร้างระบบ WiFi สำหรับแขก
ISE มี guest access solution ที่ครบถ้วน ช่วยให้องค์กรเปิดให้แขกเข้าถึง internet ได้อย่างปลอดภัย โดยไม่ต้องเปิด access เข้าเครือข่ายภายใน ISE รองรับ guest access หลายรูปแบบ
Sponsor Portal
พนักงานขององค์กร (sponsor) สร้าง guest account ให้แขกผ่าน web portal สามารถกำหนด duration, access level, notification method ได้ เหมาะสำหรับ corporate visitors ที่มีพนักงานรับรอง sponsor สามารถสร้าง single account หรือ bulk accounts (เช่น สำหรับ conference) ได้ แขกจะได้รับ credentials ผ่าน email, SMS, หรือ print out
Self-Registration Portal
แขกลงทะเบียนด้วยตัวเอง กรอกข้อมูล เช่น ชื่อ อีเมล หมายเลขโทรศัพท์ หลังจากลงทะเบียนอาจต้องรอ sponsor approve หรือได้ access ทันที ขึ้นอยู่กับ policy เหมาะสำหรับสถานการณ์ที่ไม่มีพนักงานรับรองโดยตรง สามารถ customize portal ให้ตรงกับ branding ขององค์กรได้
Hotspot Portal
แบบที่ง่ายที่สุด แขกเชื่อมต่อ WiFi แล้วถูก redirect ไปหน้า portal ที่แสดง acceptable use policy กดยอมรับแล้วได้ access ทันที ไม่ต้อง login ด้วย username/password เหมาะสำหรับ retail stores, cafes หรือสถานที่สาธารณะที่ต้องการให้ WiFi ง่ายที่สุด
ทุกรูปแบบของ guest access สามารถกำหนดได้ว่าแขกเข้าถึง network segment ไหน มี bandwidth limit เท่าไร ใช้ได้นานเท่าไร และต้องผ่าน terms of service หรือไม่ ISE จะ isolate guest traffic ออกจาก corporate network อัตโนมัติ ทำให้ปลอดภัย
Profiling: รู้จักทุก Device บนเครือข่าย
Profiling เป็นฟีเจอร์ของ ISE ที่ช่วยระบุและจำแนกประเภทของอุปกรณ์ที่เชื่อมต่อเข้ากับเครือข่าย ไม่ว่าจะเป็น laptop, printer, IP phone, IoT device หรือ CCTV camera ข้อมูลจาก profiling ถูกใช้ใน authorization policies เพื่อกำหนดสิทธิ์ที่เหมาะสมกับประเภทอุปกรณ์
Profiling Probes
ISE ใช้ probes หลายแบบในการเก็บข้อมูลเกี่ยวกับอุปกรณ์ RADIUS probe ใช้ข้อมูลจาก RADIUS authentication เช่น NAS-Port-Type, Calling-Station-ID (MAC address) DHCP probe ดักจับ DHCP requests เพื่อดู hostname, DHCP options HTTP probe วิเคราะห์ User-Agent string จาก HTTP requests DNS probe ตรวจสอบ DNS queries และ reverse DNS SNMP probe query switch เพื่อดู CDP/LLDP data NetFlow probe วิเคราะห์ network traffic patterns Endpoint probe ใช้ WMI หรือ SSH เข้าไปดูข้อมูลบน endpoint โดยตรง
Profiling Policy
ISE มี profiling policies ที่ built-in มาหลายพันแบบ ครอบคลุมอุปกรณ์จาก vendors ส่วนใหญ่ เช่น Apple-iPhone, Samsung-Galaxy, Cisco-IP-Phone-8800, HP-Printer แต่ละ profiling policy มี certainty factor ที่บ่งบอกว่า ISE มั่นใจแค่ไหนว่าอุปกรณ์นี้เป็นประเภทนั้นจริง ยิ่งมี probes หลายตัว match ก็ยิ่งมั่นใจมากขึ้น
ตัวอย่างการใช้ profiling ใน authorization policy IP phone ที่ถูก profile ว่าเป็น Cisco IP Phone จะได้ voice VLAN อัตโนมัติ Printer ที่ถูก profile จะถูกจำกัดให้เข้าถึงแค่ print server IoT device ที่ไม่รู้จักจะถูกใส่ใน quarantine VLAN เพื่อตรวจสอบ
Posture Assessment: ตรวจสอบ Compliance ของ Endpoints
Posture assessment เป็นฟีเจอร์ที่ช่วยตรวจสอบว่าอุปกรณ์ที่เชื่อมต่อเข้ากับเครือข่ายมีสุขภาพดีและเป็นไปตาม security policy ขององค์กรหรือไม่ ก่อนที่จะให้ full access เข้าเครือข่าย
สิ่งที่ Posture สามารถตรวจสอบได้
Posture agent สามารถตรวจสอบได้หลายอย่าง ตรวจว่า Antivirus ติดตั้งและ update ล่าสุดหรือไม่ ตรวจว่า OS patches update ล่าสุดหรือไม่ ตรวจว่า Firewall เปิดใช้งานหรือไม่ ตรวจว่า Disk encryption (BitLocker, FileVault) เปิดใช้งานหรือไม่ ตรวจว่ามี specific applications ติดตั้งหรือไม่ ตรวจว่ามี prohibited applications (เช่น torrent client) ติดตั้งหรือไม่ ตรวจ registry keys บน Windows ตรวจ USB storage ว่า enabled หรือไม่
Posture Workflow
กระบวนการ posture assessment ทำงานดังนี้ เมื่อผู้ใช้เชื่อมต่อเครือข่ายและ authenticate สำเร็จ ISE จะตรวจสอบว่าอุปกรณ์ต้อง posture check หรือไม่ (ตาม policy) หากต้อง ISE จะให้ limited access (posture remediation VLAN) ก่อน จากนั้น AnyConnect ISE Posture Module บนเครื่อง client จะ run checks ตามที่กำหนด หากผ่านทุก check ISE จะ reauthenticate และให้ full access หาก fail ISE จะแจ้งผู้ใช้ว่าต้องแก้ไขอะไร และให้ access เฉพาะ remediation resources (เช่น Windows Update server)
Posture Agent Options
ISE รองรับ posture agent หลายแบบ AnyConnect ISE Posture Module เป็น persistent agent ที่ติดตั้งถาวรบนเครื่อง ทำงานอัตโนมัติทุกครั้งที่เชื่อมต่อ เหมาะสำหรับ corporate-managed devices Temporal Agent เป็น agent แบบชั่วคราวที่ download มาใช้ทีละครั้ง ไม่ต้องติดตั้ง เหมาะสำหรับ BYOD devices Agentless Posture ใช้ WMI (Windows) หรือ SSH (Mac/Linux) เข้าไปตรวจสอบ endpoint โดยไม่ต้องติดตั้งอะไรเลย
TrustSec: SGT Assignment และ Enforcement
Cisco TrustSec เป็น technology ที่ทำงานร่วมกับ ISE เพื่อทำ software-defined segmentation บนเครือข่าย แทนที่จะ segment เครือข่ายด้วย VLAN และ ACL แบบดั้งเดิม TrustSec ใช้ Security Group Tags (SGT) ในการจำแนกและควบคุม traffic
Security Group Tags (SGT)
SGT เป็น label ที่ ISE assign ให้กับผู้ใช้หรืออุปกรณ์เมื่อ authenticate สำเร็จ เช่น SGT 10 สำหรับ Employees, SGT 20 สำหรับ Contractors, SGT 30 สำหรับ Servers, SGT 40 สำหรับ IoT Devices SGT ถูก embed ลงใน Ethernet frame header (802.1AE MACsec) ทำให้ switch และ firewall สามารถ enforce policy ตาม SGT ได้โดยไม่ต้อง inspect packet content
Security Group ACL (SGACL)
SGACL เป็น access control list ที่กำหนดว่า traffic จาก SGT หนึ่งไปยัง SGT อีกอันจะถูกอนุญาตหรือปฏิเสธ ตัวอย่างเช่น กำหนดว่า Employees (SGT 10) สามารถเข้าถึง Servers (SGT 30) ได้ผ่าน HTTP, HTTPS แต่ Contractors (SGT 20) เข้าถึงแค่ specific servers ที่กำหนด IoT Devices (SGT 40) ไม่สามารถสื่อสารกับ Servers ได้เลย
ข้อดีของ TrustSec เมื่อเทียบกับ VLAN-based segmentation คือ ไม่ต้องจัดการ VLAN จำนวนมาก ไม่ต้องเปลี่ยน IP addressing เมื่อ user ย้ายที่ policy ติดตาม user ไปทุกที่บนเครือข่าย ง่ายต่อการจัดการ policy เพราะเป็น matrix (source SGT vs destination SGT) แทนที่จะเป็น ACL ยาวๆ
TACACS+ สำหรับ Device Administration
นอกจาก RADIUS สำหรับ network access แล้ว ISE ยังรองรับ TACACS+ สำหรับ device administration ช่วยให้ admin สามารถจัดการ authentication, authorization, และ accounting สำหรับการ access network devices เช่น switch, router, firewall ผ่าน SSH หรือ console
TACACS+ vs RADIUS สำหรับ Device Admin
TACACS+ เหมาะกว่า RADIUS สำหรับ device administration เพราะ TACACS+ encrypt ทั้ง packet (RADIUS encrypt เฉพาะ password), TACACS+ แยก authentication กับ authorization ได้ (RADIUS รวมกัน), TACACS+ สามารถ authorize per-command ได้ (อนุญาตให้รัน specific commands เท่านั้น) และ TACACS+ ใช้ TCP (reliable) ขณะที่ RADIUS ใช้ UDP
Command Authorization
ฟีเจอร์สำคัญของ TACACS+ คือ command authorization ที่สามารถกำหนดได้ว่าผู้ใช้แต่ละคน (หรือแต่ละ group) สามารถรันคำสั่งอะไรบ้างบน network device ตัวอย่างเช่น Junior Network Engineer สามารถรันได้แค่ show commands ไม่สามารถ configure อะไรได้ Senior Network Engineer สามารถรันได้ทุกคำสั่งยกเว้น reload และ write erase Network Architect สามารถรันได้ทุกคำสั่ง
! Router/Switch configuration สำหรับ TACACS+ กับ ISE
aaa new-model
aaa authentication login default group tacacs+ local
aaa authorization exec default group tacacs+ local
aaa authorization commands 15 default group tacacs+ local
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
tacacs server ISE-TACACS
address ipv4 10.1.1.100
key 0 MyTacacsKey123
single-connection
ip tacacs source-interface Loopback0pxGrid: เชื่อมต่อ ISE กับ Security Ecosystem
pxGrid (Platform Exchange Grid) เป็น protocol ที่ ISE ใช้ในการแชร์ contextual data กับ security products อื่นๆ ใน ecosystem ทำให้ทุก security tool มีข้อมูลเดียวกันและทำงานร่วมกันได้อย่างมีประสิทธิภาพ
ข้อมูลที่ ISE แชร์ผ่าน pxGrid
ISE สามารถแชร์ข้อมูลหลายประเภทผ่าน pxGrid Session data ที่บอกว่าใครเชื่อมต่ออยู่ที่ไหน ด้วย IP อะไร ใช้อุปกรณ์อะไร SGT information ที่บอกว่าแต่ละ IP ได้ SGT อะไร Endpoint profile data ที่บอกว่าอุปกรณ์แต่ละตัวเป็นประเภทอะไร Threat intelligence ที่บอกว่า endpoint ไหนถูกตรวจพบว่ามี threat และ Vulnerability data จาก posture assessment
pxGrid Ecosystem Partners
products ที่ integrate กับ ISE ผ่าน pxGrid ได้แก่ Cisco Firepower/FTD ที่ใช้ identity/SGT data ในการ enforce firewall policy Cisco Stealthwatch (Secure Network Analytics) ที่ใช้ identity data ร่วมกับ flow data เพื่อ detect anomalies Splunk ที่ receive ISE logs เพื่อ security analytics ServiceNow ที่ receive endpoint data เพื่อ CMDB integration Palo Alto Networks ที่ receive user identity data สำหรับ user-based firewall policies
ISE กับ Firepower/FTD Integration
การ integrate ISE กับ Cisco Firepower Threat Defense (FTD) หรือ Firepower Management Center (FMC) ช่วยให้ firewall สามารถ enforce policy ตาม user identity และ SGT ได้ ไม่ใช่แค่ตาม IP address
Identity-Based Firewall Rules
เมื่อ integrate กับ ISE Firepower สามารถสร้าง access control rules ที่อ้างอิง AD groups หรือ usernames ได้โดยตรง เช่น อนุญาตให้เฉพาะกลุ่ม Finance เข้าถึง ERP server, บล็อก Contractors ไม่ให้เข้าถึง internal resources, อนุญาตให้ IT Admins เข้าถึง management interfaces ของ network devices ทำให้ firewall policy มีความหมายมากขึ้นเพราะอ้างอิงจาก identity จริงไม่ใช่ IP ที่อาจเปลี่ยนแปลงได้
SGT-Based Segmentation บน Firewall
Firepower สามารถ enforce SGACL ได้เช่นกัน โดยรับ SGT-to-IP mapping จาก ISE ผ่าน pxGrid แล้วใช้ใน access control rules ทำให้สามารถ segment traffic ที่ข้ามระหว่าง network segments ผ่าน firewall ได้ตาม SGT ตัวอย่างเช่น traffic จาก IoT segment (SGT 40) ไปยัง Server segment (SGT 30) ต้องผ่าน deep packet inspection บน firewall
ISE กับ SD-Access
Cisco SD-Access (Software-Defined Access) เป็น solution ที่ใช้ ISE เป็น policy engine ร่วมกับ Cisco DNA Center (Catalyst Center) ในการสร้าง automated, policy-driven network ที่ใช้ fabric architecture
ISE ใน SD-Access Architecture
ใน SD-Access ISE ทำหน้าที่เป็น policy engine ที่กำหนดว่าผู้ใช้และอุปกรณ์ได้ SGT อะไร และ enforce micro-segmentation policies DNA Center ทำหน้าที่ provision fabric devices อัตโนมัติ ISE integrate กับ DNA Center ผ่าน API เพื่อ sync policy definitions
เมื่อผู้ใช้เชื่อมต่อเข้ากับ SD-Access fabric switch จะ authenticate กับ ISE ผ่าน 802.1X ISE assign SGT ตาม identity และ device posture switch encapsulate traffic ด้วย VXLAN พร้อม SGT header fabric จะ enforce SGACL ตามที่ ISE กำหนด ทั้งหมดนี้เกิดขึ้นอัตโนมัติ ไม่ต้อง configure CLI บน switch ทีละตัว
ISE Licensing: Base, Plus, Apex
Cisco ISE ใช้ licensing model ที่แบ่งเป็น tiers ตาม features ที่ต้องการใช้ ในปี 2026 Cisco ได้ปรับ licensing model ให้เรียบง่ายขึ้น แต่ยังคงแบ่งเป็น 3 ระดับหลัก
ISE Essentials (เดิมคือ Base)
ให้ฟีเจอร์พื้นฐาน ได้แก่ 802.1X authentication, MAB (MAC Authentication Bypass), guest access (basic), TACACS+ device administration, basic profiling, RADIUS/TACACS+ services เหมาะสำหรับองค์กรที่ต้องการ basic NAC และ device administration
ISE Advantage (เดิมคือ Plus)
เพิ่มฟีเจอร์ขั้นสูง ได้แก่ advanced profiling (with feed service), BYOD (Bring Your Own Device), pxGrid integration, TrustSec SGT/SGACL, group-based access policies, context sharing กับ third-party เหมาะสำหรับองค์กรที่ต้องการ BYOD support และ advanced segmentation
ISE Premier (เดิมคือ Apex)
เพิ่มฟีเจอร์ครบถ้วนทั้งหมด ได้แก่ posture assessment (compliance checking), Threat-Centric NAC (integration กับ threat intelligence), AI Endpoint Analytics (ใช้ AI ในการ profile endpoints), third-party MDM integration, advanced compliance features เหมาะสำหรับองค์กรที่ต้องการ full Zero Trust implementation
Licensing คิดตามจำนวน concurrent endpoints ที่เชื่อมต่ออยู่ ไม่ใช่จำนวน endpoints ทั้งหมดที่ลงทะเบียน ช่วยให้ค่าใช้จ่ายสมเหตุสมผลสำหรับองค์กรที่มี endpoints จำนวนมากแต่ไม่ได้เชื่อมต่อพร้อมกันทุกตัว
ISE Deployment Best Practices
การ deploy ISE ให้สำเร็จไม่ใช่แค่ติดตั้งแล้วเปิด enforce ทันที ต้องวางแผนและดำเนินการอย่างเป็นขั้นตอน
1. เริ่มจาก Monitor Mode
ก่อน enforce 802.1X ให้เริ่มจาก monitor mode ก่อน ตั้งค่า authentication open บน switch ports ให้ทุก traffic ผ่านได้ แต่ ISE ยังคง authenticate และ log ทุก session ดูว่ามี endpoints ไหนที่ fail authentication มี devices ไหนที่ไม่มี supplicant มีอะไรที่ต้องแก้ไขก่อน enforce ขั้นตอนนี้ควรใช้เวลาอย่างน้อย 2-4 สัปดาห์
2. Low-Impact Mode
ขั้นตอนถัดไปคือ low-impact mode ที่ใช้ DACL (Downloadable ACL) เพื่อจำกัด access สำหรับ endpoints ที่ fail authentication แต่ไม่ block ทั้งหมด เช่น endpoints ที่ fail จะได้ access เฉพาะ DHCP, DNS, และ specific servers ที่จำเป็น endpoints ที่ pass จะได้ full access ขั้นตอนนี้ช่วยจับ endpoints ที่มีปัญหาโดยไม่กระทบการทำงาน
3. Closed Mode (Full Enforcement)
เมื่อมั่นใจว่าทุก endpoint สามารถ authenticate ได้สำเร็จ จึง enforce closed mode ที่ block traffic ทั้งหมดจาก endpoints ที่ fail authentication ควร enforce ทีละ switch, ทีละ building ไม่ใช่ทั้ง network พร้อมกัน
4. Certificate Management
ISE ใช้ certificates หลายใบ ต้องจัดการ renewal ให้ดี Admin certificate สำหรับ web UI, EAP certificate สำหรับ 802.1X authentication, pxGrid certificate สำหรับ pxGrid communication, Portal certificate สำหรับ guest/sponsor portals ควรใช้ internal CA (เช่น Microsoft AD CS) ในการ issue certificates และ monitor expiry dates
5. Backup Strategy
ตั้งค่า scheduled backup สำหรับ ISE configuration และ operational data เก็บ backup ไว้บน external repository (SFTP, NFS) ทดสอบ restore procedure เป็นประจำเพื่อให้มั่นใจว่าสามารถ recover ได้เมื่อจำเป็น
ISE Troubleshooting: Debug Flows และ Live Logs
การ troubleshoot ISE ต้องรู้ว่าควรดูที่ไหนและใช้ tools อะไร ISE มี built-in tools ที่ช่วยได้มาก
Live Authentications
หน้า Operations > RADIUS > Live Logs แสดง authentication attempts แบบ real-time สำหรับทุก endpoint สามารถดูรายละเอียดของแต่ละ authentication ได้ ตั้งแต่ identity store ที่ใช้ policy ที่ match result ที่ได้ (pass/fail) และ failure reason หากมี เป็น tools แรกที่ควรเข้าไปดูเมื่อมีปัญหา
Authentication Detail Report
คลิกที่แต่ละ authentication entry จะเห็น detailed report ที่แสดงทุกขั้นตอนของ authentication process ตั้งแต่ RADIUS request ที่ได้รับ identity store ที่ query ไป authentication policy ที่ match authorization policy ที่ match จนถึง RADIUS response ที่ส่งกลับ report นี้ช่วย pinpoint ปัญหาได้อย่างชัดเจน
Diagnostic Tools
ISE มี diagnostic tools ในตัว TCP Dump สามารถ capture packets บน ISE interfaces เพื่อดู RADIUS traffic จริงๆ ที่เข้ามา Session Trace ใช้ trace authentication process ของ specific endpoint (by MAC address) เพื่อดูว่า ISE ประมวลผลอย่างไร Endpoint Debug เปิด debug สำหรับ specific endpoint เพื่อดู detailed logs โดยไม่กระทบ performance ของทั้งระบบ Policy Simulator ทดสอบ policy ว่า endpoint ที่มี attributes แบบนี้จะ match policy ไหนและได้ result อะไร โดยไม่ต้องมี endpoint จริง
Common Troubleshooting Scenarios
ปัญหาที่พบบ่อย ได้แก่ authentication timeout เกิดจาก RADIUS shared secret ไม่ตรงกันระหว่าง ISE กับ switch หรือ ISE PSN ไม่ reachable จาก switch certificate trust issue เกิดจาก supplicant ไม่ trust EAP certificate ของ ISE ต้องตรวจสอบ certificate chain posture failure เกิดจาก AnyConnect module ไม่ได้ติดตั้ง หรือ posture policy เปลี่ยนแต่ endpoint ยังไม่ได้ update guest portal redirect failure เกิดจาก ACL บน switch ไม่ถูกต้อง หรือ DNS resolution ไม่ทำงาน
ISE Alternatives: ตัวเลือกอื่นนอกจาก Cisco ISE
แม้ Cisco ISE จะเป็น market leader ในด้าน NAC แต่ก็มีทางเลือกอื่นที่ควรรู้จัก เพื่อเปรียบเทียบและเลือกสิ่งที่เหมาะกับองค์กร
Aruba ClearPass
ClearPass จาก HPE Aruba เป็นคู่แข่งหลักของ ISE รองรับ 802.1X, guest access, profiling, posture assessment เช่นเดียวกัน ข้อดีคือ ทำงานได้กับ multi-vendor network ไม่จำกัดเฉพาะ Aruba devices มี UI ที่ใช้งานง่ายกว่า ISE ราคาอาจถูกกว่าในบาง deployment ข้อเสียคือ ecosystem integration ไม่กว้างเท่า ISE ไม่มี TrustSec equivalent ที่ mature เท่า
Forescout
Forescout เน้น agentless visibility และ control ไม่ต้องติดตั้ง agent บน endpoints จุดเด่นคือ deployment ง่ายมาก สามารถให้ visibility ได้ทันทีโดยไม่ต้อง configure 802.1X บน switch ports เหมาะสำหรับองค์กรที่ต้องการ visibility เป็นหลัก และมี legacy devices จำนวนมากที่ไม่รองรับ 802.1X
Microsoft Network Policy Server (NPS)
NPS เป็น built-in RADIUS server ใน Windows Server เหมาะสำหรับ basic 802.1X authentication ที่ integrate กับ Active Directory ข้อดีคือฟรี (รวมอยู่ใน Windows Server license) ข้อเสียคือ ไม่มี profiling, posture, guest access, TrustSec หรือ advanced features ใดๆ ของ ISE เหมาะสำหรับองค์กรขนาดเล็กที่ต้องการ basic NAC เท่านั้น
PacketFence (Open Source)
PacketFence เป็น open source NAC solution ที่ให้ฟีเจอร์พื้นฐานคล้าย ISE ได้แก่ 802.1X, VLAN assignment, guest registration, compliance checking ข้อดีคือฟรีและ open source ข้อเสียคือ ต้องดูแลเอง ไม่มี vendor support สำหรับ production ฟีเจอร์ advanced ไม่เท่า commercial solutions
สรุป Cisco ISE สำหรับ NAC และ Zero Trust 2026
Cisco ISE เป็น platform ที่ครบถ้วนที่สุดสำหรับ network access control และ Zero Trust implementation ในปี 2026 ด้วย architecture ที่ scalable ตั้งแต่ standalone จนถึง distributed deployment รองรับ 802.1X ทั้ง wired และ wireless มี guest access ที่ยืดหยุ่น profiling ที่ฉลาด posture assessment ที่ครบถ้วน TrustSec สำหรับ micro-segmentation และ pxGrid สำหรับ ecosystem integration
สำหรับองค์กรที่ใช้ Cisco infrastructure อยู่แล้ว ISE เป็นตัวเลือกที่เหมาะสมที่สุดเพราะ integration ที่ลึกกับ Cisco products ทั้งหมด สำหรับองค์กรที่ใช้ multi-vendor network อาจพิจารณา ClearPass หรือ Forescout เป็นทางเลือก การเลือก NAC solution ควรพิจารณาจาก existing infrastructure, required features, budget, และ team expertise เป็นหลัก
ไม่ว่าจะเลือก solution ไหน การ implement NAC เป็นขั้นตอนสำคัญในการสร้าง Zero Trust architecture ที่ช่วยปกป้ององค์กรจาก threats ทั้งภายนอกและภายใน ควรเริ่มจาก monitor mode วางแผนอย่างรอบคอบ แล้วค่อยๆ enforce ทีละขั้นตอนเพื่อลดผลกระทบต่อการทำงานประจำวัน
