kandungan bersembunyi
1 Perisian CISCO ISE
2 Berakhirview penempatan Pusat Pemangkin Berbilang
3 Kelompok Nod Pengarang
4 Pengurusan dasar Pusat Pemangkin Berbilang
5 Naik taraf pengesyoran untuk Pusat Pemangkin Berbilang
6 Arahan Berbilang Pusat Pemangkin
7 Mendayakan Pusat Pemangkin Berbilang
8 Dokumen / Sumber
8.1 Rujukan

logo CISCO

Perisian CISCO ISE

CISCO-ISE-Software-PRODUCT

Berakhirview penempatan Pusat Pemangkin Berbilang

Apabila anda menyepadukan lebih daripada satu kelompok Catalyst Center dengan satu sistem Cisco ISE, setiap kelompok Catalyst Center adalah bebas. Tiada maklumat dikongsi dari mana-mana satu gugusan kepada mana-mana yang lain. Dalam senario ini, apabila Cisco Software-Defined Access (SD-Access) digunakan pada Catalyst Center, set rangkaian maya (VN) dan semua SD-Access yang lain adalah setempat untuk setiap kelompok.
Pusat Pemangkin menyediakan mekanisme untuk menyelaraskan elemen SD-Access dan Dasar Berasaskan Kumpulan (GBP) merentas berbilang kluster Pusat Pemangkin yang disepadukan dengan sistem Cisco ISE tunggal. Untuk membolehkan pentadbiran global SD-Access merentas berbilang kluster Catalyst Center dengan set VN yang konsisten, ciri Multiple Catalyst Center memanfaatkan sambungan selamat sedia ada dengan Cisco ISE untuk menyebarkan VN, kumpulan keselamatan tags (SGT), Kontrak Akses dan Polisi Kawalan Akses Berasaskan Kumpulan (GBAC) daripada satu kluster ke kluster yang lain. Cisco ISE mengambil maklumat yang dipelajari daripada satu kluster (dikenali sebagai Nod Pengarang) dan menyebarkannya ke kluster lain (dikenali sebagai Nod Pembaca).
Ciri Pusat Pemangkin Berbilang tersedia apabila disepadukan dengan Cisco ISE Release 3.2 atau lebih baru.

Perisian CISCO-ISE (2)

Nota

  • Operasi Pusat Pemangkin Berbilang dinyahdayakan secara lalai. Untuk menggunakan ciri ini, pilih Dayakan operasi Pusat Pemangkin Berbilang (di bawah Tetapan Lanjutan) apabila menyepadukan Pusat Pemangkin dengan Cisco ISE. Anda boleh mendayakan ciri ini pada konfigurasi awal atau pada masa yang akan datang (selepas Cisco ISE sudah disepadukan). Selepas kefungsian ini didayakan, hanya memadamkan integrasi Cisco ISE boleh melumpuhkan fungsi tersebut.
  • Jika anda menggunakan keluaran awal Cisco ISE, anda mesti menghubungi pasukan akaun anda untuk menyerahkan permintaan kepada Majlis Reka Bentuk Cisco SDA untuk dimasukkan dalam program Ketersediaan Terhad. Pakej Ketersediaan Terhad Pusat Pemangkin Berbilang akan disediakan untuk membolehkan akses kepada versi ketersediaan terhad (LA) fungsi ini. Lihat Pusat Berbilang Cisco DNA ke Panduan Penerapan Preskriptif Cisco ISE Tunggal untuk mendapatkan maklumat lanjut.

Ciri Pusat Pemangkin Berbilang mempunyai penetapan peranan khusus untuk kelompok:

  • Kelompok Nod Pengarang
  • Kelompok Nod Pembaca

Kelompok Nod Pengarang

  • Peranan Nod Pengarang diberikan kepada kluster pertama (dengan pilihan Pusat Pemangkin Berbilang didayakan) yang disepadukan dengan penggunaan Cisco ISE, atau kluster pertama yang mendayakan pilihan Pusat Pemangkin Berbilang. Kelompok Node Pengarang ialah titik pentadbiran untuk Dasar Berasaskan Kumpulan (GBP) dan untuk data global Cisco SD-Access. Kelompok Node Pengarang mengurus VN, SGT, Kontrak Akses dan Dasar GBAC. Penciptaan, pengubahsuaian atau pemadaman komponen VN dan GBP hanya boleh dilakukan pada kelompok Nod Pengarang.
  • Kelompok Node Pengarang menolak maklumat VN dan GBP ke Cisco ISE melalui API ERS (REST) untuk Cisco ISE untuk menggunakan maklumat ini dan menerbitkan kepada semua Kluster Pusat Pemangkin Cisco yang lain dalam peranan Nod Pembaca melalui Cisco ISE pxGrid.
  • Hanya satu kluster boleh ditetapkan sebagai Nod Pengarang. Ia merupakan satu-satunya nod tempat GBP dan data SDA global yang ditentukan pengguna (seperti VN atau dasar extranet) boleh diurus.
  • Jika SGT atau VN beroperasi pada Nod Pengarang, SGT atau VN tidak boleh dipadamkan.

Kelompok Nod Pembaca

  • Semua kluster Pusat Pemangkin lain yang mempunyai ciri Pusat Pemangkin Berbilang didayakan diberikan peranan kluster Nod Pembaca. Kelompok Nod Pembaca mempunyai baca-sahaja view daripada VN dan SGT.
  • Walaupun kluster Nod Pembaca menggunakan dan mengekalkan VN, SGT, Kontrak Akses dan Polisi GBAC yang sama yang ditakrifkan pada kluster Nod Pengarang, kluster Nod Pembaca tidak memaparkan Kontrak atau dasar Akses.
    VN hanya boleh dibuat pada kelompok Nod Pengarang. Selepas dibuat, ia disebarkan ke kluster Nod Pembaca, di mana ia boleh digunakan dalam operasi penyediaan fabrik. Kelompok Nod Pembaca mengkonfigurasi atribut rangkaian yang berkaitan seperti Virtual Network Identify (VNID), Route Targets (RT) dan Route
  • Distinguisher (RD) yang tempatan kepada kluster itu.
    Kecuali untuk ciri VN dan GBP, setiap kluster Nod Pembaca ialah kluster bebas yang mengurus infrastruktur rangkaiannya sendiri.
  • Ciri Pusat Pemangkin Berbilang membolehkan pentadbiran dasar global merentas berbilang kluster Pusat Pemangkin Cisco yang disepadukan kepada satu Cisco ISE. Keupayaan ini tidak mengubah had asas mengurus rangkaian dan fabrik maya pada berbilang kelompok Cisco Catalyst Center. VN mungkin mempunyai nama yang sama merentas berbilang kluster Cisco Catalyst Center, yang membolehkannya menyokong persatuan kumpulan-VN keselamatan yang konsisten merentas berbilang kluster. Tetapi pada peringkat kluster individu, atribut rangkaian sebenar untuk dikaitkan dengan VN (VRF, sasaran laluan, pembeza laluan dan sebagainya) tidak sama merentas kluster. Ini adalah sama seperti semasa mengendalikan kluster Pusat Catalyst bebas.
  • Sehingga empat kluster Pusat Pemangkin boleh ditambah sebagai kluster Nod Pembaca. Sebelum menambah nod Pusat Pemangkin sebagai Pembaca, anda mesti mengalih keluar semua data global Cisco SD-Access ciptaan pentadbir pada kluster Nod Pembaca untuk Pusat Pemangkin untuk disepadukan dengan Cisco ISE. Ini termasuk VN bukan lalai (mana-mana VN selain daripada
    “DEFAULT_VN” dan “INFRA_VN”, Dasar Extranet, dan sebagainya). Sekiranya terdapat sebarang data GBP bukan lalai (SGT, Kontrak Akses, GBP), pengguna mempunyai pilihan untuk membersihkan (memadam) secara automatik semua data GBP bukan lalai, atau untuk menggabungkan mana-mana data GBP yang belum ada dalam Cisco ISE.

Nota

  • Hanya lima kelompok Pusat Pemangkin boleh disepadukan dengan penggunaan Cisco ISE tunggal. Ini bermakna satu kluster Nod Pengarang dan sehingga empat kluster Nod Pembaca.
  • Anda boleh memadamkan SGT atau VN pada Nod Pengarang walaupun semasa ia digunakan pada Nod Pembaca. Dalam keadaan itu, SGT atau VN yang lapuk mesti dipadamkan secara manual pada Nod Pembaca (selepas mengalih keluar sebarang rujukan).

Pengurusan dasar Pusat Pemangkin Berbilang

Selepas menyepadukan Catalyst Center dengan Cisco ISE dan melakukan penyegerakan GBP, maklumat dasar disegerakkan antara Catalyst Center dan Cisco ISE. Keistimewaan pengarangan dasar berada dalam Catalyst

Pusat. Tetingkap Cisco ISE untuk pengurusan SGT, Security Group ACLs (SGACLs) dan Egress Policy menjadi baca sahaja.
Anda boleh mengurus dasar berasaskan kumpulan (Kumpulan Keselamatan, Kontrak Akses dan Dasar GBAC) dalam Cisco ISE dan bukannya dalam Catalyst Center.
Dalam GUI Pusat Pemangkin, klik ikon menu dan pilih Dasar > Kawalan Akses Berasaskan Kumpulan > Polisi > Konfigurasi GBAC > Urus Kawalan Akses Berasaskan Kumpulan dalam Cisco ISE.

Naik taraf pengesyoran untuk Pusat Pemangkin Berbilang

Dalam persekitaran Pusat Pemangkin Berbilang, adalah disyorkan untuk menjalankan versi perisian Catalyst Center yang sama merentas semua kluster Nod Pengarang dan Pembaca, kecuali semasa proses naik taraf kluster. Anda boleh menaik taraf semua kluster Nod Pembaca dahulu, dan kemudian menaik taraf kluster Nod Pengarang untuk mengelakkan perbezaan ciri dan ketidakserasian ciri merentas versi perisian. Elakkan promosi kluster Nod Pembaca kepada peranan Nod Pengarang di tengah-tengah kitaran peningkatan. Semua kluster Catalyst Center hendaklah dinaik taraf dan menjalankan versi perisian yang sama sebelum mempromosikan kluster Nod Pembaca.
Rajah 1: Naik taraf pengesyoran untuk Pusat Pemangkin Berbilang

Perisian CISCO-ISE (3)Kefungsian asas ciri Pusat Pemangkin Berbilang tidak memerlukan versi perisian yang sama dalam semua kumpulan Nod Pengarang dan Pembaca yang mengambil bahagian. Walau bagaimanapun, menggunakan versi kod yang tidak padan boleh mengakibatkan perbezaan dalam pembetulan, keupayaan dan ciri antara kluster. Versi perisian Catalyst Center yang sama disyorkan merentas semua kelompok Nod Pengarang dan Pembaca.

Arahan Berbilang Pusat Pemangkin

Terdapat dua pilihan penempatan Pusat Pemangkin Berbilang.

Penggunaan baharu berbilang kluster Pusat Catalyst yang tidak disepadukan dengan Cisco ISE pada masa ini.
Kluster Pusat Catalyst sedia ada yang disepadukan dengan Cisco ISE dan kluster Pusat Catalyst tambahan baharu tanpa Integrasi Cisco ISE.

Mendayakan Pusat Pemangkin Berbilang

Fungsi gugusan Pusat Pemangkin Berbilang dilumpuhkan secara lalai. Ia boleh didayakan semasa atau selepas penyepaduan dengan Cisco ISE. Selepas fungsi Multiple Catalyst Center didayakan, anda boleh melumpuhkannya hanya dengan mengalih keluar integrasi Cisco ISE sepenuhnya.
Operasi Pusat Pemangkin Berbilang memerlukan kefungsian pxGrid. Anda tidak boleh melumpuhkan pxGrid selepas mendayakan Pusat Pemangkin Berbilang.

Prosedur

  1. Langkah 1 Dalam GUI Pusat Pemangkin, klik ikon menu dan pilih Sistem > Tetapan > Pengesahan dan Pelayan Dasar.
  2. Langkah 2 Tambah Cisco ISE.
  3. Langkah 3 Masukkan maklumat Cisco ISE yang diperlukan. Untuk maklumat, lihat Catalyst Center dan integrasi Cisco ISE.
  4. Langkah 4 Pilih Sistem > Tetapan > Pengesahan dan Pelayan Dasar > Tambah > ISE > Tetapan Lanjutan.
    Suis Tetapan Lanjutan mendedahkan pelbagai pilihan lanjutan, termasuk suis untuk mendayakan operasi Pusat Pemangkin Berbilang.
  5. Langkah 5 Dayakan pilihan Operasi Pusat Pemangkin Berbilang.
  6. Langkah 6 (Pilihan) Jika anda sedang mengedit integrasi Cisco ISE sedia ada, masukkan semula kata laluan pentadbir Cisco ISE.
  7. Langkah 7 Klik Tambah.

Mengintegrasikan Pusat Pemangkin Berbilang dengan satu Cisco ISE
Terdapat prasyarat untuk menyepadukan Catalyst Center dan Cisco ISE buat kali pertama. Untuk maklumat, lihat Catalyst Center dan integrasi Cisco ISE.

Sebelum anda bermula
Apabila Pusat Catalyst sudah disepadukan dengan Cisco ISE, lengkapkan langkah berikut untuk menyepadukan semula Catalyst
Center dan Cisco ISE selepas mendayakan operasi Multiple Catalyst Center. Ini membolehkan Pusat Pemangkin untuk merundingkan peranan kluster Pengarang atau Nod Pembaca berdasarkan sama ada nod pertama atau nod berikutnya yang menyertai Cisco ISE dengan ciri Pusat Pemangkin Berbilang didayakan.

Prosedur

  1. Langkah 1 Dalam GUI Pusat Pemangkin, klik ikon menu dan pilih Sistem > Tetapan > Pengesahan dan Pelayan Dasar.
  2. Langkah 2 Dalam lajur Tindakan, tuding kursor anda pada ikon elipsis ( ) dan pilih Edit.
  3. Langkah 3 Pilih Sistem > Tetapan > Pengesahan dan Pelayan Dasar > Tambah > ISE > Tetapan Lanjutan.
  4. Langkah 4 Dayakan pilihan Operasi Pusat Pemangkin Berbilang.
  5. Langkah 5 Masukkan kata laluan Pentadbir Cisco ISE sekali lagi.
  6. Langkah 6 Klik Tambah. Pusat Catalyst merundingkan peranan Nod Pengarang dengan Cisco ISE.
    • Jika status pelayan Cisco ISE yang dikonfigurasikan memaparkan "GAGAL" kerana perubahan kata laluan, klik Cuba Semula dan kemas kini kata laluan untuk menyegerakkan semula sambungan Cisco ISE.
    • Status penyepaduan boleh dilihat dalam anak tetingkap slaid masuk. Pastikan Status integrasi dipaparkan sebagai Aktif dalam tetingkap Pengesahan dan Pelayan Dasar.
  7. Langkah 7 Untuk mengesahkan peranan rundingan kluster sebagai Nod Pengarang, pilih Sistem > Tetapan > Konfigurasi Sistem > Tetapan Pusat Pemangkin Berbilang.

Mengintegrasikan kluster Pusat Catalyst lain dengan Cisco ISE sebagai Nod Pembaca

Untuk menyepadukan gugusan Pusat Catalyst seterusnya dengan Cisco ISE yang sama yang mempunyai Pusat Pemangkin Berbilang didayakan, gugusan Pusat Pemangkin tidak boleh mengandungi sebarang VN bukan lalai (mana-mana VN selain daripada "DEFAULT_VN" dan "INFRA_VN").

Sebelum anda bermula
Sahkan bahawa kluster yang anda ingin sepadukan termasuk hanya VN lalai di bawah Dasar > Rangkaian Maya.

Prosedur

  1. Langkah 1 Dalam GUI Pusat Pemangkin, klik ikon menu dan pilih Sistem > Tetapan > Pengesahan dan Pelayan Dasar.
  2. Langkah 2 Klik Tambah dan pilih ISE.
  3. Langkah 3 Masukkan maklumat Cisco ISE yang diperlukan. Lihat Catalyst Center dan integrasi Cisco ISE.
  4. Langkah 4 Pilih Sistem > Tetapan > Pengesahan dan Pelayan Dasar > Tambah > ISE > Tetapan Lanjutan.
  5. Langkah 5 Dayakan pilihan Operasi Pusat Pemangkin Berbilang.
  6. Langkah 6 Klik Tambah.
  7. Langkah 7 (Pilihan) Apabila menyepadukan kluster dengan Cisco ISE buat kali pertama, klik Terima dalam anak tetingkap slaid masuk untuk Catalyst Center untuk menerima sijil yang ditolak oleh Cisco ISE. Tutup anak tetingkap slaid masuk.
  8. Langkah 8 Dalam tetingkap Pelayan Pengesahan dan Dasar, sahkan bahawa status penyepaduan dipaparkan sebagai Aktif.

Memadam rangkaian maya

Kluster Nod Pengarang tidak mengetahui penggunaan Rangkaian Maya (VN) pada kluster Nod Pembaca. Anda mesti mengalih keluar semua rujukan kepada VN pada semua kluster Nod Pembaca sebelum cuba memadamkan VN itu pada kluster Nod Pengarang. Jika anda memadamkan VN pada kluster Nod Pengarang, VN dipadamkan pada nod Pengarang dan pada kluster Nod Pembaca yang tidak mempunyai rujukan kepadanya. Tetapi jika salah satu Nod Pembaca menggunakan VN itu, status VN tersebut kemudiannya dipaparkan sebagai Tidak segerak dengan Pengarang. Anda mesti mengalih keluar semua rujukan (contohnyaample, Penambahan VN dalam Bahagian Onboarding Hos atau penugasan port statik) VN pada gugusan Nod Pembaca dan kemudian teruskan untuk memadamkan VN itu pada gugusan Nod Pembaca.

Memadamkan kumpulan keselamatan

Kluster Nod Pengarang tidak mengetahui penggunaan kumpulan keselamatan pada kluster Nod Pembaca. Anda mesti mengalih keluar semua rujukan kepada kumpulan keselamatan pada semua kluster Nod Pembaca sebelum cuba memadamkan kumpulan keselamatan itu pada kluster Nod Pengarang. Jika anda memadamkan kumpulan keselamatan pada kluster Nod Pengarang, kumpulan keselamatan itu dipadamkan pada kluster Nod Pengarang, Cisco ISE dan pada kluster Nod Pembaca jika tiada rujukan kepadanya. Jika salah satu kluster Nod Pembaca menggunakan kumpulan keselamatan itu, status kumpulan keselamatan tersebut kemudiannya dipaparkan sebagai Tidak segerak dengan Pengarang. Anda mesti mengalih keluar semua rujukan kumpulan keselamatan pada kluster Nod Pembaca dan kemudian teruskan memadam kumpulan keselamatan itu pada kluster Nod Pembaca.

Promosi Nod Pembaca kepada Peranan Pengarang
Seni bina penyelesaian Pusat Pemangkin Berbilang mempunyai berbilang kelompok Pusat Pemangkin dan hanya satu kelompok boleh menjadi Pengarang dasar. Mungkin terdapat keadaan di mana Pentadbir perlu mempromosikan kluster Nod Pembaca untuk mengambil alih peranan kluster Nod Pengarang. Promosi ini hanya perlu dilakukan apabila:

Anda mengeluarkan kluster Nod Pengarang daripada perkhidmatan atau menjadikannya tidak tersedia untuk tempoh masa yang panjang.
Kelompok Nod Pengarang tidak tersedia secara kekal atau tidak bertindak balas untuk tempoh masa yang panjang dan perubahan dasar diperlukan pada masa itu.

Promosi Nod Pembaca kepada Nod Pengarang ini boleh dilakukan dalam dua cara:

  1. Promosi Anggun Nod Pembaca kepada peranan Pengarang.
  2. Paksa Promosikan Nod Pembaca kepada peranan Pengarang.

Promosi anggun Nod Pembaca kepada Peranan Pengarang
Anda boleh mempromosikan gugusan Pusat Pemangkin Pembaca secara manual kepada Peranan Pengarang jika perlu dalam penempatan Pusat Pemangkin Berbilang. Semua kluster Nod Pembaca mempunyai butang Naikkan kepada Pengarang. Anda boleh mempromosikan

kluster Nod Pembaca kepada Nod Pengarang semasa kluster Nod Pengarang semasa anda masih beroperasi. Walau bagaimanapun, jangan mulakan operasi promosi semasa kluster Nod Pengarang sedia ada berada di tengah-tengah aktiviti pengarangan dasar berasaskan kumpulan (contohnyaample, sambil menyegerakkan dasar dengan Cisco ISE). Jika kluster Nod Pengarang sibuk, operasi promosi ialah staggered sehingga Nod Pengarang melengkapkan pemprosesan semasanya.

Nota

  • Selepas promosi anggun kluster Nod Pembaca kepada Peranan Pengarang, kluster Nod Pembaca memulakan permintaan kepada Cisco ISE untuk pertukaran peranan (Pembaca kepada Pengarang).
  • Apabila Cisco ISE menerima permintaan perubahan peranan, ia meminta Nod Pengarang semasa untuk melepaskan peranan Pengarang dasar. Nod Pengarang semasa kemudiannya melepaskan peranan Pengarang dasar (jika tiada penyegerakan sedang dijalankan) dan mengambil alih peranan gugusan Nod Pembaca.
  • Nod Pembaca semasa yang dipilih untuk promosi mengambil alih peranan Nod Pengarang. Selepas perubahan Peranan Pengarang dan Pembaca, Cisco ISE mengemas kini kluster Nod Pembaca yang lain tentang Nod Pengarang baharu melalui kemas kini konfigurasi.

Perisian CISCO-ISE (4)Prosedur

  1. Langkah 1 Pada kelompok Nod Pembaca, pilih Sistem > Tetapan > > Konfigurasi Sistem > Berbilang Tetapan Pusat Pemangkin Cisco dan sahkan Nod Pengarang dan Pembaca.
  2. Langkah 2 Klik butang Naikkan kepada Pengarang.
  3. Langkah 3 Klik Teruskan untuk mempromosikan nod kepada Peranan Pengarang.

Proses peralihan mungkin mengambil masa beberapa minit.

Paksa promosi Nod Pembaca kepada Peranan Pengarang
Promosi paksa ialah satu bentuk promosi manual, yang bertujuan untuk mempromosikan gugusan Nod Pembaca semasa kepada peranan Nod Pengarang dalam situasi ini:

  • Kelompok Nod Pengarang semasa tidak berfungsi.
  • Kelompok Nod Pengarang semasa tidak bertindak balas.
  • Promosi anggun Nod Pembaca kepada Peranan Pengarang mengambil masa lebih daripada 5 minit.

Rajah 3: Paksa promosi Nod Pembaca kepada Peranan Pengarang

Perisian CISCO-ISE (1)

Jangan gunakan pilihan promosi paksa semasa kluster Node Pengarang sedia ada dalam perkhidmatan dengan aktiviti pengarangan GBP, kerana ini boleh mengakibatkan kehilangan data dan kluster Node Pengarang tidak segerak dengan Cisco ISE. Oleh itu, promosi paksa hanya disyorkan jika anda mesti memulihkan perkhidmatan dengan segera dan anda sanggup berisiko kehilangan data. Selepas promosi paksa, kluster Nod Pembaca yang dipromosikan akan menjadi kluster Nod Pengarang baharu untuk penempatan. Apabila kluster Node Pengarang bekas tersedia, ia akan beralih kepada peranan pembaca dan memuat turun data konfigurasi terkini daripada Cisco ISE.
Setelah memulakan promosi kluster Nod Pembaca, kluster Nod Pembaca memulakan permintaan kepada Cisco ISE untuk perubahan Peranan (dengan kata lain, Pembaca kepada Pengarang). Apabila Cisco ISE menerima permintaan perubahan peranan, ia meminta Nod Pengarang semasa untuk melepaskan peranan Pengarang dasar.

Jika Nod Pengarang semasa tidak bertindak balas dan jika pentadbir memilih Force Promotion, kluster Nod Pembaca ACA memulakan permintaan untuk memaksa perubahan kluster Nod Pembaca kepada Peranan Pengarang dan begitu juga sebaliknya dengan segera dalam Cisco ISE. Mesej kemas kini konfigurasi ini dihantar ke semua nod.
Langkah-langkah untuk memaksa mempromosikan kluster Nod Pembaca kepada kluster Nod Pengarang adalah sama seperti yang dijelaskan dalam promosi anggun Nod Pembaca kepada bahagian Peranan Pengarang. Terdapat langkah tambahan pada penghujung untuk memulakan fungsi Force Promotion.

Dokumen / Sumber

Perisian CISCO ISE [pdf] Panduan Pengguna
Perisian ISE, Perisian

Rujukan

Tinggalkan komen

Alamat e-mel anda tidak akan diterbitkan. Medan yang diperlukan ditanda *