CISCO ISE Sagteware Gebruikersgids

CISCO ISE Sagteware

verbyview van 'n ontplooiing van veelvuldige katalisatorsentrums

Wanneer jy meer as een Catalyst Center-kluster met 'n enkele Cisco ISE-stelsel integreer, is elke Catalyst Center-kluster onafhanklik. Geen inligting word van enige een kluster na enige ander gedeel nie. In hierdie scenario, wanneer Cisco Software-Defined Access (SD-Access) op Catalyst Center ontplooi word, is die stel virtuele netwerke (VN's) en alle ander SD-Access plaaslik vir elke kluster.
Catalyst Center bied 'n meganisme om SD-Access en Groepgebaseerde Beleid (GBP) elemente te koördineer oor verskeie Catalyst Center groepe wat geïntegreer is met 'n enkele Cisco ISE-stelsel. Om globale administrasie van SD-Access oor verskeie Catalyst Center groepe met 'n konsekwente stel VN's moontlik te maak, benut die Multiple Catalyst Center-funksie die bestaande veilige verbinding met Cisco ISE om VN's, sekuriteitsgroepe en ander te versprei. tags (SGT's), Toegangskontrakte en Groepgebaseerde Toegangsbeheer (GBAC)-beleid van een groep na 'n ander groep. Cisco ISE neem die inligting wat van een groep geleer word (bekend as die Outeurknoop) en versprei dit na die ander groepe (bekend as die Leserknooppunte).
Die Multiple Catalyst Center-funksie is beskikbaar wanneer dit met Cisco ISE Release 3.2 of later geïntegreer word.

Let wel

• Die Multiple Catalyst Center-bewerking is standaard gedeaktiveer. Om hierdie kenmerk te gebruik, kies die Aktiveer Multiple Catalyst Center-bewerking (onder Gevorderde instellings) wanneer Catalyst Center met Cisco ISE geïntegreer word. U kan hierdie kenmerk by die aanvanklike konfigurasie of later (nadat Cisco ISE reeds geïntegreer is) aktiveer. Nadat hierdie funksionaliteit geaktiveer is, kan slegs die verwydering van die Cisco ISE-integrasie die funksionaliteit deaktiveer.
• Indien u vroeëre weergawes van Cisco ISE gebruik, moet u u rekeningspan kontak om 'n versoek by die Cisco SDA Design Council in te dien vir insluiting in die Beperkte Beskikbaarheidsprogram. 'n Beperkte Beskikbaarheidspakket vir Multiple Catalyst Centers sal beskikbaar gestel word om toegang tot die beperkte beskikbaarheid (LA) weergawe van hierdie funksionaliteit toe te laat. Sien die Voorskriftelike Implementeringsgids vir Multiple Cisco DNA Center na Single Cisco ISE vir meer inligting.

Die Multiple Catalyst Center-funksie het spesifieke rolbenamings vir die groepe:

• Outeur Node-kluster
• Leserknooppuntgroep

Outeur Node-kluster

• Die Outeurknoop-rol word toegeken aan die eerste groep (met die opsie Veelvuldige Katalisatorsentrum geaktiveer) wat met die Cisco ISE-implementering integreer, of die eerste groep wat die opsie Veelvuldige Katalisatorsentrum aktiveer. Die Outeurknoop-groep is die administrasiepunt vir Groepgebaseerde Beleid (GBP) en vir Cisco SD-Access globale data. Die Outeurknoop-groep bestuur VN'e, SGT'e, Toegangskontrakte en GBAC-beleid. Skepping, wysiging of verwydering van VN'e en GBP-komponente kan slegs op die Outeurknoop-groep gedoen word.
• Die Outeurknoopgroep stuur VN- en GBP-inligting na Cisco ISE via ERS (REST) ​​API's sodat Cisco ISE hierdie inligting kan gebruik en na alle ander Cisco Catalyst Center-groepe in die Leserknoopgroeprol kan publiseer deur Cisco ISE pxGrid.
• Slegs een groep kan as die Outeurknooppunt aangewys word. Dit is die enigste nodus waar GBP en gebruikergedefinieerde globale SDA-data (soos VN'e of ekstranetbeleid) bestuur kan word.
• As SGT's of VN's op die Outeurnode in werking is, kan die SGT's of VN's nie verwyder word nie.

Leserknooppuntgroep

• Alle ander Katalisatorsentrum-groepe wat die Veelvuldige Katalisatorsentrum-funksie geaktiveer het, word die rol van Leserknoopgroep toegeken. Leserknoopgroepe het 'n leesalleen- view van VN's en SGT's.
• Alhoewel Reader Node-klusters dieselfde VN'e, SGT'e, Toegangskontrakte en GBAC-beleide verbruik en behou wat op die Outeurknoop-kluster gedefinieer is, vertoon 'n Reader Node-kluster nie Toegangskontrakte of -beleide nie.
  VN'e kan slegs op die Outeurknoopgroep geskep word. Nadat hulle geskep is, word hulle na die Leserknoopgroepe gepropageer, waar hulle in materiaalvoorsieningsbewerkings gebruik kan word. Die Leserknoopgroepe konfigureer die geassosieerde netwerkkenmerke soos Virtuele Netwerkidentifiseerders (VNID), Roeteteikens (RT) en Roete.
• Onderskeiders (RD) wat plaaslik vir daardie groep is.
  Behalwe vir die VN- en GBP-kenmerke, is elke Reader Node-kluster 'n onafhanklike kluster wat sy eie netwerkinfrastruktuur bestuur.
• Die Multiple Catalyst Center-funksie maak globale beleidsadministrasie moontlik oor verskeie Cisco Catalyst Center-groepe wat in 'n enkele Cisco ISE geïntegreer is. Hierdie vermoë verander nie die onderliggende beperkings van die bestuur van virtuele netwerke en materiale op verskeie Cisco Catalyst Center-groepe nie. 'n VN kan dieselfde naam hê oor verskeie Cisco Catalyst Center-groepe, wat dit toelaat om konsekwente sekuriteitsgroep-VN-assosiasies oor verskeie groepe te ondersteun. Maar op die individuele groepvlak is die werklike netwerkkenmerke wat met 'n VN geassosieer moet word (VRF, roeteteiken, roete-onderskeider, ensovoorts) nie identies oor groepe nie. Dit is dieselfde as wanneer onafhanklike Catalyst Center-groepe bedryf word.
• Tot vier Catalyst Center-groepe kan as Reader Node-groepe bygevoeg word. Voordat u 'n Catalyst Center-groep as 'n Reader byvoeg, moet u alle administrateur-geskepte Cisco SD-Access globale data op die Reader Node-groep verwyder sodat Catalyst Center met Cisco ISE kan integreer. Dit sluit nie-standaard VN'e in (enige VN'e anders as
  “DEFAULT_VN” en “INFRA_VN”, Extranet-beleid, ensovoorts). Indien daar enige nie-standaard GBP-data is (SGT's, toegangskontrakte, GBP), het die gebruiker die opsie om outomaties alle nie-standaard GBP-data skoon te maak (uit te vee), of om enige GBP-data wat nie reeds in Cisco ISE teenwoordig is nie, saam te voeg.

Let wel

• Slegs vyf Catalyst Center-groepe kan met 'n enkele Cisco ISE-implementering geïntegreer word. Dit beteken een Author Node-groep en tot vier Reader Node-groepe.
• Dit is moontlik om SGT's of VN's op die Outeurknoop te verwyder selfs wanneer hulle op Leserknooppunte gebruik word. In daardie geval moet die verouderde SGT's of VN's handmatig op die Leserknooppunte verwyder word (nadat enige verwysings verwyder is).

Bestuur van veelvuldige Catalyst Center-beleid

Nadat Catalyst Center met Cisco ISE geïntegreer is en GBP-sinchronisasie uitgevoer is, word beleidsinligting tussen Catalyst Center en Cisco ISE gesinchroniseer. Die beleidsouteurvoorregte is binne Catalyst.

Sentrum. Die Cisco ISE-vensters vir die bestuur van SGT's, Sekuriteitsgroep-ACL's (SGACL's) en Uitgangsbeleid word slegs leesbaar.
Jy kan groepgebaseerde beleid (Sekuriteitsgroepe, Toegangskontrakte en GBAC-beleid) in Cisco ISE bestuur in plaas van in Catalyst Center.
In die Catalyst Center GUI, klik die kieslys-ikoon en kies Beleid > Groepgebaseerde Toegangsbeheer > Beleide > GBAC-konfigurasie > Bestuur Groepgebaseerde Toegangsbeheer in Cisco ISE.

Opgraderingsaanbevelings vir Multiple Catalyst Center

In 'n Multiple Catalyst Center-omgewing word dit aanbeveel om dieselfde Catalyst Center-sagtewareweergawe oor alle Outeur- en Leserknoopgroepe te laat loop, behalwe tydens die proses van groepopgraderings. Jy kan eers alle Leserknoopgroepe opgradeer en dan die Outeurknoopgroep opgradeer om funksieverskille en funksie-onversoenbaarheid tussen sagtewareweergawes te vermy. Vermy die bevordering van 'n Leserknoopgroep na die Outeurknooprol in die middel van 'n opgraderingssiklus. Alle Catalyst Center-groepe moet opgegradeer word en dieselfde sagtewareweergawe laat loop voordat 'n Leserknoopgroep bevorder word.
Figuur 1: Opgraderingsaanbevelings vir Veelvuldige Katalisatorsentrums

Die basiese funksionaliteit van die Multiple Catalyst Center-funksie vereis nie dieselfde sagtewareweergawe in al die deelnemende Outeur- en Leserknoopgroepe nie. Die gebruik van wanpassende kodeweergawes kan egter lei tot 'n verskil in oplossings, vermoëns en kenmerke tussen die groepe. Dieselfde Catalyst Center-sagtewareweergawe word aanbeveel vir alle Outeur- en Leserknoopgroepe.

Verskeie Catalyst Center-ontplooiings

Daar is twee opsies vir die implementering van Multiple Catalyst Center.

'n Nuwe ontplooiing van verskeie Catalyst Center-groepe wat tans nie met Cisco ISE geïntegreer is nie.
'n Bestaande Catalyst Center-kluster wat met Cisco ISE geïntegreer is en nuwe bykomende Catalyst Center-klusters sonder Cisco ISE-integrasie.

Aktiveer verskeie katalisatorsentrums

Die Multiple Catalyst Center-klusterfunksionaliteit is standaard gedeaktiveer. Dit kan tydens of na integrasie met Cisco ISE geaktiveer word. Nadat die Multiple Catalyst Center-funksionaliteit geaktiveer is, kan jy dit slegs deaktiveer deur die Cisco ISE-integrasie heeltemal te verwyder.
Die Multiple Catalyst Center-bewerking vereis pxGrid-funksionaliteit. Jy kan nie pxGrid deaktiveer nadat Multiple Catalyst Center geaktiveer is nie.

Prosedure

1. Stap 1. Klik op die kieslysikoon in die Catalyst Center GUI en kies Stelsel > Instellings > Verifikasie- en Beleidsbedieners.
2. Stap 2 Voeg Cisco ISE by.
3. Stap 3 Voer die vereiste Cisco ISE-inligting in. Vir meer inligting, sien Catalyst Center en Cisco ISE-integrasie.
4. Stap 4 Kies Stelsel > Instellings > Verifikasie- en Beleidsbedieners > Voeg by > ISE > Gevorderde instellings.
   Die Gevorderde instellings-skakelaar stel verskeie gevorderde opsies bloot, insluitend die skakelaar om die Veelvuldige Katalisatorsentrum-werking te aktiveer.
5. Stap 5 Aktiveer die opsie vir veelvuldige katalisatorsentrum-werking.
6. Stap 6 (Opsioneel) As jy 'n bestaande Cisco ISE-integrasie wysig, voer die Cisco ISE-administrateurwagwoord weer in.
7. Stap 7 Klik Voeg by.

Integrasie van verskeie Catalyst Centers met 'n enkele Cisco ISE
Daar is voorvereistes vir die eerste integrasie van Catalyst Center en Cisco ISE. Vir inligting, sien Catalyst Center en Cisco ISE-integrasie.

Voordat jy begin
Wanneer Catalyst Center reeds met Cisco ISE geïntegreer is, voltooi die volgende stappe om Catalyst weer te integreer
Sentrum en Cisco ISE nadat die Veelvuldige Katalisatorsentrum-bewerking geaktiveer is. Dit laat Katalisatorsentrum toe om die Outeur- of Leserknooppunt-klusterrol te onderhandel gebaseer op of dit 'n eerste nodus of daaropvolgende nodus is wat by Cisco ISE aansluit met die Veelvuldige Katalisatorsentrum-funksie geaktiveer.

Prosedure

1. Stap 1. Klik op die kieslysikoon in die Catalyst Center GUI en kies Stelsel > Instellings > Verifikasie- en Beleidsbedieners.
2. Stap 2 Beweeg jou wyser oor die ellips-ikoon ( ) in die Aksies-kolom en kies Wysig.
3. Stap 3 Kies Stelsel > Instellings > Verifikasie- en Beleidsbedieners > Voeg by > ISE > Gevorderde instellings.
4. Stap 4 Aktiveer die opsie vir veelvuldige katalisatorsentrum-werking.
5. Stap 5 Voer die Cisco ISE-adminwagwoord weer in.
6. Stap 6 Klik Voeg by. Catalyst Center onderhandel die Outeurknooprol met Cisco ISE.
   • Indien die status van die gekonfigureerde Cisco ISE-bediener "MISLUK" wys as gevolg van 'n wagwoordverandering, klik op Herprobeer en werk die wagwoord op om die Cisco ISE-konnektiwiteit te hersinkroniseer.
   • Die status van die integrasie kan in die inskuifpaneel gesien word. Maak seker dat die integrasiestatus as Aktief in die venster Verifikasie- en Beleidsbediener vertoon word.
7. Stap 7 Om die onderhandelde rol van die groep as die Outeurknooppunt te verifieer, kies Stelsel > Instellings > Stelselkonfigurasie > Veelvuldige Katalisatorsentruminstellings.

Integrasie van ander Catalyst Center-groepe met Cisco ISE as leserknope

Om die daaropvolgende Catalyst Center-klusters met dieselfde Cisco ISE te integreer wat Multiple Catalyst Center geaktiveer het, mag die Catalyst Center-kluster geen nie-standaard VN'e bevat nie (enige VN'e anders as "DEFAULT_VN" en "INFRA_VN").

Voordat jy begin
Verifieer dat die kluster wat jy wil integreer slegs die standaard VN'e onder Beleid > Virtuele Netwerk insluit.

Prosedure

1. Stap 1. Klik op die kieslysikoon in die Catalyst Center GUI en kies Stelsel > Instellings > Verifikasie- en Beleidsbedieners.
2. Stap 2 Klik Voeg by en kies ISE.
3. Stap 3 Voer die vereiste Cisco ISE-inligting in. Sien Catalyst Center en Cisco ISE-integrasie.
4. Stap 4 Kies Stelsel > Instellings > Verifikasie- en Beleidsbedieners > Voeg by > ISE > Gevorderde instellings.
5. Stap 5 Aktiveer die opsie vir veelvuldige katalisatorsentrum-werking.
6. Stap 6 Klik Voeg by.
7. Stap 7 (Opsioneel) Wanneer die groep vir die eerste keer met Cisco ISE geïntegreer word, klik Aanvaar in die inskuifvenster sodat Catalyst Center die sertifikaat wat deur Cisco ISE gestuur word, kan aanvaar. Maak die inskuifvenster toe.
8. Stap 8 Verifieer dat die status van die integrasie as Aktief vertoon word in die venster Verifikasie- en Beleidsbediener.

Verwydering van 'n virtuele netwerk

Die Outeurknoopgroep weet nie van Virtuele Netwerk (VN) gebruik op die Leserknoopgroep nie. Jy moet alle verwysings na 'n VN op al die Leserknoopgroepe verwyder voordat jy probeer om daardie VN op die Outeurknoopgroep te verwyder. As jy 'n VN op die Outeurknoopgroep verwyder, word die VN op die Outeurknoop en op die Leserknoopgroepe wat nie verwysings daarna het nie, verwyder. Maar as een van die Leserknoopgroepe daardie VN gebruik, word die status van so 'n VN dan as Nie gesinkroniseerd met Outeur vertoon nie. Jy moet al die verwysings verwyder (bv.ample, VN-byvoeging in die gasheer-aanboordafdeling of statiese poorttoewysing) van die VN op die leserknooppuntkluster en gaan dan voort om daardie VN op die leserknooppuntkluster te verwyder.

Verwydering van 'n sekuriteitsgroep

Die Outeurknoopgroep is nie bewus van die gebruik van sekuriteitsgroepe op 'n Leserknoopgroep nie. Jy moet alle verwysings na die sekuriteitsgroep op al die Leserknoopgroepe verwyder voordat jy probeer om daardie sekuriteitsgroep op die Outeurknoopgroep te verwyder. As jy 'n sekuriteitsgroep op die Outeurknoopgroep verwyder, word daardie sekuriteitsgroep op die Outeurknoopgroep, Cisco ISE en op die Leserknoopgroep verwyder as daar geen verwysings daarna is nie. As een van die Leserknoopgroepe daardie sekuriteitsgroep gebruik, word die status van so 'n sekuriteitsgroep dan as Nie gesinchroniseer met Outeur vertoon nie. Jy moet al die verwysings van die sekuriteitsgroep op die Leserknoopgroep verwyder en dan voortgaan om daardie sekuriteitsgroep op die Leserknoopgroep te verwyder.

Bevordering van Leserknooppunte tot die Outeurrol
Die Multiple Catalyst Center-oplossingsargitektuur het verskeie Catalyst Center-groepe en slegs een groep kan die beleidsouteur wees. Daar kan gevalle wees waar die administrateur 'n Leserknoopgroep moet bevorder om die rol van die Outeurknoopgroep oor te neem. Hierdie bevordering moet slegs gedoen word wanneer:

Jy neem die Outeurknoopgroep buite werking of maak dit vir 'n lang tydperk onbeskikbaar.
Die Outeurknooppunt-kluster is permanent onbeskikbaar of reageer nie vir 'n lang tydperk nie en beleidsveranderinge is gedurende daardie tyd nodig.

Hierdie bevordering van 'n Leserknoop na 'n Outeurknoop kan op twee maniere gedoen word:

1. Grasieuse Bevordering van 'n Leserknooppunt tot die Outeurrol.
2. Forseer die bevordering van 'n leserknooppunt na die outeurrol.

Grasieuse bevordering van 'n Leserknooppunt tot die Outeurrol
Jy kan 'n Reader Catalyst Center-kluster handmatig na die Outeurrol bevorder indien nodig in die Multiple Catalyst Center-ontplooiing. Al die Reader Node-klusters het 'n "Bevorder na Outeur"-knoppie. Jy kan bevorder

'n Leserknoopgroep na 'n Outeurknoopgroep terwyl jou huidige Outeurknoopgroep steeds in werking is. Moenie egter die promosiebewerking begin terwyl die bestaande Outeurknoopgroep in die middel van 'n groepgebaseerde beleidsouteuraktiwiteit is nie (bv.ample, terwyl beleide met Cisco ISE gesinkroniseer word). As die Outeurknoopgroep besig is, is die promosiebewerking staggedraai totdat die Outeurknoop sy huidige verwerking voltooi het.

Let wel

• Na grasieuse bevordering van 'n Leserknooppunt-kluster na die Outeurrol, inisieer die Leserknooppunt-kluster 'n versoek aan Cisco ISE vir 'n rolverandering (Leser na Outeur).
• Wanneer Cisco ISE die versoek om rolverandering ontvang, versoek dit die huidige outeurknoop om die rol van beleidsouteur vry te stel. Die huidige outeurknoop stel dan die rol van beleidsouteur vry (indien geen sinchronisasie aan die gang is nie) en neem die rol van die leserknoopgroep oor.
• Die huidige Leserknooppunt wat vir bevordering gekies is, neem die rol van die Outeurknooppunt aan. Wanneer die Outeur- en Leserrol verander, werk Cisco ISE die ander Leserknooppuntgroepe op oor die nuwe Outeurknooppunt deur middel van 'n konfigurasie-opdatering.

Prosedure

1. Stap 1 Kies Stelsel > Instellings > > Stelselkonfigurasie > Veelvuldige Cisco Catalyst Center-instellings op die Leserknooppuntkluster en verifieer die Outeur- en Leserknooppunte.
2. Stap 2 Klik die Bevorder tot Outeur-knoppie.
3. Stap 3 Klik Gaan voort om die nodus na die Outeurrol te bevorder.

Die oorgangsproses kan 'n paar minute duur.

Forseer bevordering van 'n Leserknooppunt na die Outeurrol
Forceerde bevordering is 'n vorm van handmatige bevordering, wat streng bedoel is om die huidige Leserknooppuntgroep na Outeurknooppuntrol in hierdie situasies te bevorder:

• Die huidige Outeurknooppunt-kluster is buite werking.
• Die huidige Outeurknooppunt-kluster reageer nie.
• Die grasieuse bevordering van 'n Leserknooppunt na die Outeurrol neem meer as 5 minute.

Figuur 3: Forseer bevordering van 'n Leserknooppunt na die Outeurrol

Moenie die opsie vir geforseerde promosie gebruik terwyl die bestaande Outeurknoopgroep in diens is met 'n GBP-outeursaktiwiteit nie, aangesien dit kan lei tot dataverlies en die Outeurknoopgroep wat nie meer sinchroniseer met Cisco ISE nie. Daarom word geforseerde promosie slegs aanbeveel as u die diens onmiddellik moet herstel en u bereid is om die risiko te loop om data te verloor. Na die geforseerde promosie sal die bevorderde Leserknoopgroep die nuwe Outeurknoopgroep vir die ontplooiing word. Wanneer die vorige Outeurknoopgroep beskikbaar word, sal dit oorskakel na 'n leserrol en die nuutste konfigurasiedata van Cisco ISE aflaai.
Wanneer die bevordering van 'n Leserknooppuntgroep begin word, inisieer die Leserknooppuntgroep 'n versoek aan Cisco ISE vir 'n rolverandering (met ander woorde, Leser na Outeur). Wanneer Cisco ISE die rolveranderingsversoek ontvang, versoek dit die huidige Outeurknooppunt om die rol van beleidsouteur vry te stel.

Indien die huidige outeurknooppunt nie reageer nie en indien die administrateur "Forseer bevordering" kies, inisieer die leserknooppuntgroep ACA 'n versoek om die verandering van die leserknooppuntgroep na die outeurrol en andersom onmiddellik in Cisco ISE af te dwing. Hierdie konfigurasie-opdateringsboodskap word na al die nodusse gestuur.
Die stappe om 'n Leserknoopgroep na Outeurknoopgroep te forseer, is presies dieselfde as wat verduidelik word in die grasieuse bevordering van 'n Leserknoop na die Outeurrol-afdeling. Daar is 'n bykomende stap aan die einde om die Forseerbevordering-funksie te begin.