มีเรื่องเล่าวันหยุดครับ พอดีไปอ่านเจอ สำหรับใครที่ใช้ Cisco ISE อยู่ และกำลังคิดจะอัปเป็นเวอร์ชัน 3.5 หรืออัป Patch 3.4 ล่าสุด ผมขอให้วางแก้วกาแฟลงก่อน แล้วฟังผมเล่าเรื่องนี้ไปพร้อมๆ กันครับ...
เรื่องของเรื่องคือ ตั้งแต่ Cisco ISE เวอร์ชัน 3.5 (รวมถึง Patch ล่าสุดของ 3.4) พี่แกเปลี่ยนกติกาการ consume license ของฟีเจอร์ Profiling แบบดื้อๆ ! มันก็ดูตรงไปตรงมามากขึ้นแหละ แต่ผลกระทบไม่ตรงไปตรงมาเอาซะเลย
ในเวอร์ชันก่อนหน้า ระบบ Profiling (ที่เอาไว้ดูว่าอุปกรณ์ที่มาต่อคืออะไร เป็นกล้อง IP, พรินเตอร์ หรือมือถือ) แนวคิดมันค่อนข้างแฟร์ ซึ่ง Profiling จะกิน Advantage License ก็ต่อเมื่อ
- เรา “ใช้ผล profiling จริง” เช่น เอาไปเขียน profiling-based authorization rule
- พูดง่าย ๆ คือ ใช้ก่อน ค่อยจ่าย
Empty space, drag to resize
ใน Cisco ISE 3.5 คือ แค่มี Endpoint ตัวไหนถูก "Profile" ได้ปุ๊บ พี่แกนับเป็น Advantage License ทันทีแบบเหมาเข่ง! ไม่สนว่าคุณจะเอาไปใช้ใน Rule หรือเปล่า แค่เห็นหน้าก็เสียตังค์แล้วว่างั้นเถอะ
- Endpoint ไหนก็ตามที่ถูก profiling และยัง active อยู่ (consume Advantage License ทันที)
- ไม่สนว่าคุณจะเอาผลไปใช้ใน rule หรือไม่
- แค่ profiling ทำงาน = นับ license
.
ถ้าพูดแบบง่ายๆ เหมือนเราชอบสาว คือถ้าเราแค่ "ดู" แต่ไม่ได้ "คบ" (ไม่ได้เอาไปเขียน Rule Authorization) ก็ไม่นับเป็นแฟน ซึ่งพี่ Cisco แกก็ยังไม่เก็บแต้ม ไม่กิน License ระดับ Advantage ของเรา
.
แต่ตอนนี้... กฎใหม่คือ "แค่เห็นหน้าก็ถือว่าเป็นคบเป็นแฟนแล้ว" 555+ แค่อุปกรณ์โผล่หน้ามาให้ ISE Profile ได้ปุ๊บ ไม่ว่าคุณจะเอาข้อมูลมันไปใช้งานต่อมั้ย พี่แกหัก Advantage License ทันทีแบบดื้อๆ ไม่มีถามสุขภาพสักคำ!
Empty space, drag to resize
จุดที่ทำให้เรื่องนี้หนักกว่าที่คิด คือ ปัญหาไม่ได้อยู่แค่เรื่อง license แต่เป็นข้อจำกัดเชิงสถาปัตยกรรมของ ISE เอง
- Profiling เปิด/ปิดได้เฉพาะระดับ Policy Service Node (PSN)
- ไม่มี per policy
- ไม่มี per endpoint
พูดง่ายๆคือ เปิดคือเปิดหมด ปิดคือปิดหมด !!!!
พอเอาไปอยู่ใน environment จริง ที่ PSN ชุดเดียวรับทั้ง wired และ wireless เรื่องก็เริ่มบาน
เพราะฝั่ง wireless มี session ปริมาณสูงมาก และทุก session เหล่านั้นถูก profiling อัตโนมัติ
ผลคือ Advantage License ถูกใช้ไปกับอุปกรณ์ที่เราแทบไม่ได้เอา profiling มาใช้ตัดสิน policy เลยด้วยซ้ำ
Empty space, drag to resize
แล้วทำไงดี ?? Workaround ที่พอจะช่วยให้ประหยัดงบได้บ้าง 555+
นั่นคือ การแยก Policy Service Node (PSN) แบ่งเป็น
- Node Group ที่ "เปิด" Profiling (สำหรับ Wired): เราจัด PSN กลุ่มหนึ่งไว้สำหรับดูแลฝั่ง Wired (สายแลน) อย่างเดียว เพราะปกติเครื่องที่ต่อสายมักจะมีจำนวนน้อยกว่า และเรามักจะต้องการ Profile พวกอุปกรณ์ IoT หรือ Printer ในโซนนี้เป็นพิเศษ
- Node Group ที่ "ปิด" Profiling (สำหรับ Wireless): ฝั่ง Wireless ที่ User มักจะใช้งานเยอะ เราก็โยนไปให้ PSN อีกกลุ่มที่ "ปิด Profiling" ซะ เพื่อให้มันกินแค่ License ระดับ Essentials ไม่ต้องมากิน Advantage License สำหรับทุกๆเครื่องที่ต่อเข้ามา
Empty space, drag to resize
แน่นอนว่าแนวทางนี้ต้องแลกมากับการ redesign โครงสร้าง PSN, load balancer และการผูก NAD ใหม่
บอกตรงๆ ว่าแอบเซ็งกับ Logic ใหม่นี้เหมือนกัน เพราะมันทำให้การออกแบบ Network ยากขึ้นไปอีกสเต็ป ต้องมานั่งดีไซน์ Node Group กันใหม่วุ่นวายไปหมด
แต่ถ้าไม่เอาแบบนี้ ก็ต้องเตรียมซื้อ License เพิ่มเลย
Empty space, drag to resize
