Sisu peita
1 CISCO ISE tarkvara
2 Läbiview mitme katalüsaatori keskuse juurutamise kohta
3 Autori sõlme klaster
4 Mitme Catalyst Centeri poliitika haldamine
5 Mitme katalüsaatori keskuse uuendamise soovitused
6 Mitmed Catalyst Centeri juurutused
7 Mitme katalüsaatori keskuse lubamine
8 Dokumendid / Ressursid
8.1 Viited

CISCO logo

CISCO ISE tarkvara

CISCO-ISE-tarkvara-TOODE

Läbiview mitme katalüsaatori keskuse juurutamise kohta

Kui integreerite ühe Cisco ISE süsteemiga mitu Catalyst Centeri klastri, on iga Catalyst Centeri klaster sõltumatu. Ühestki klastrist ei jagata teisega teavet. Sellisel juhul, kui Catalyst Centeris juurutatakse Cisco tarkvarapõhine juurdepääs (SD-Access), on virtuaalsete võrkude (VN-ide) komplekt ja kõik muud SD-Access seadmed iga klastri jaoks lokaalsed.
Catalyst Center pakub mehhanismi SD-Accessi ja rühmapõhiste poliitikate (GBP) elementide koordineerimiseks mitmes Catalyst Centeri klastris, mis on integreeritud ühe Cisco ISE süsteemiga. Selleks, et võimaldada SD-Accessi globaalset haldamist mitmes Catalyst Centeri klastris ühtse virtuaalsete võrkude (VN) komplektiga, kasutab mitme Catalyst Centeri funktsioon olemasolevat turvalist ühendust Cisco ISE-ga virtuaalsete võrkude, turberühmade ja turvasüsteemide levitamiseks. tags (SGT-d), juurdepääsulepingud ja rühmapõhise juurdepääsukontrolli (GBAC) poliitika ühest klastrist teise. Cisco ISE võtab ühest klastrist (tuntud kui autorisõlm) õpitud teabe ja levitab selle teistele klastritele (tuntud kui lugemissõlmed).
Mitme katalüsaatori keskuse funktsioon on saadaval, kui see on integreeritud Cisco ISE versiooniga 3.2 või uuemaga.

CISCO-ISE-tarkvara (2)

Märkus

  • Mitme Catalyst Centeri toiming on vaikimisi keelatud. Selle funktsiooni kasutamiseks valige Catalyst Centeri Cisco ISE-ga integreerimisel valik „Luba mitme Catalyst Centeri toiming” (lisas „Täpsemad sätted”). Selle funktsiooni saab lubada esmasel konfigureerimisel või hiljem (pärast seda, kui Cisco ISE on juba integreeritud). Pärast selle funktsiooni lubamist saab selle keelata ainult Cisco ISE integratsiooni kustutamisega.
  • Kui kasutate Cisco ISE varasemaid versioone, peate võtma ühendust oma kliendimeeskonnaga, et esitada Cisco SDA Design Councilile taotlus piiratud kättesaadavuse programmi lisamiseks. Selle funktsiooni piiratud kättesaadavusega (LA) versioonile juurdepääsuks tehakse kättesaadavaks mitme Cisco DNA Centeri piiratud kättesaadavuse pakett. Lisateavet leiate juhendist „Mitmest Cisco DNA Centerist ühe Cisco ISE-ni ülemineku ettekirjutav juurutamine”.

Mitme katalüsaatori keskuse funktsioonil on klastrite jaoks spetsiifilised rollimäärangud:

  • Autori sõlme klaster
  • Lugeja sõlme klaster

Autori sõlme klaster

  • Autorisõlme roll määratakse esimesele klastrile (kus on lubatud valik „Mitme katalüsaatorikeskuse“), mis integreerub Cisco ISE juurutusega või esimesele klastrile, mis lubab valiku „Mitme katalüsaatorikeskuse“. Autorisõlme klaster on rühmapõhise poliitika (GBP) ja Cisco SD-Access globaalsete andmete halduspunkt. Autorisõlme klaster haldab virtuaalseid nn. (VN), pääsulepinguid (SGT), juurdepääsulepinguid (Juurdepääsulepinguid) ja GBAC-poliitikat. VN-ide ja GBP komponentide loomine, muutmine või kustutamine saab toimuda ainult autorisõlme klastris.
  • Autorisõlme klaster saadab VN- ja GBP-teabe Cisco ISE-le ERS (REST) API-de kaudu, et Cisco ISE saaks seda teavet kasutada ja avaldada kõigile teistele Cisco Catalyst Centeri klastritele lugejasõlme rollis Cisco ISE pxGridi kaudu.
  • Autorisõlmeks saab määrata ainult ühe klastri. See on ainus sõlm, kus saab hallata GBP-d ja kasutaja määratletud globaalseid SDA-andmeid (nt virtuaalseid võrgustikke või ekstranetipoliitikat).
  • Kui SGT-d või VN-id autori sõlmel töötavad, ei saa SGT-sid ega VN-e kustutada.

Lugeja sõlme klaster

  • Kõikidele teistele Catalyst Centeri klastritele, millel on lubatud mitme Catalyst Centeri funktsioon, määratakse lugejasõlme klastri roll. Lugemissõlme klastritel on kirjutuskaitstud view VN-idest ja SGT-dest.
  • Kuigi lugejasõlme klastrid tarbivad ja säilitavad samu virtuaalseid nüansse (VN), SGT-sid (SGT-sid), juurdepääsulepinguid ja GBAC-poliitikaid, mis on määratletud autorisõlme klastris, ei kuva lugemissõlme klaster juurdepääsulepinguid ega poliitikaid.
    Virtuaalseid võrguvõrke saab luua ainult autorisõlme klastris. Pärast loomist edastatakse need lugejasõlme klastritesse, kus neid saab kasutada võrguühenduse loomise toimingutes. Lugejasõlme klastrid konfigureerivad seotud võrguatribuudid, näiteks virtuaalse võrgu identifikaatorid (VNID), marsruudi sihtmärgid (RT) ja marsruudi sihtmärgid.
  • Eristuvad tunnused (RD), mis on sellele klastrile lokaalsed.
    Välja arvatud VN ja GBP funktsioonid, on iga Reader Node klaster iseseisev klaster, mis haldab oma võrguinfrastruktuuri.
  • Mitme Catalyst Centeri funktsioon võimaldab globaalset poliitikate haldamist mitmes Cisco Catalyst Centeri klastris, mis on integreeritud ühte Cisco ISE-sse. See funktsioon ei muuda virtuaalsete võrkude ja kangaste haldamise aluseks olevaid piiranguid mitmes Cisco Catalyst Centeri klastris. Virtuaalsel võrgul (VN) võib olla sama nimi mitmes Cisco Catalyst Centeri klastris, mis võimaldab tal toetada järjepidevaid turberühma ja VN-i seoseid mitmes klastris. Kuid üksiku klastri tasandil ei ole VN-iga seostatavad tegelikud võrguatribuudid (VRF, marsruudi sihtmärk, marsruudi eristaja jne) klastrite vahel identsed. See on sama mis sõltumatute Catalyst Centeri klastrite haldamisel.
  • Lugemissõlme klastritena saab lisada kuni neli Catalyst Centeri klastrit. Enne Catalyst Centeri sõlme lisamist lugejana peate eemaldama lugemissõlme klastrist kõik administraatori loodud Cisco SD-Access globaalsed andmed, et Catalyst Center saaks integreeruda Cisco ISE-ga. See hõlmab mittevaikimisi virtuaalseid nn-e (kõik virtuaalsed nn-id peale ...).
    „DEFAULT_VN” ja „INFRA_VN”, ekstranetipoliitika jne). Juhul kui leidub mittevaikimisi GBP andmeid (SGT-d, juurdepääsulepingud, GBP), on kasutajal võimalus kõik mittevaikimisi GBP andmed automaatselt puhastada (kustutada) või liita kõik GBP andmed, mida Cisco ISE-s veel pole.

Märkus

  • Ühe Cisco ISE juurutusega saab integreerida ainult viis Catalyst Centeri klastrit. See tähendab ühte autorisõlme klastrit ja kuni nelja lugemissõlme klastrit.
  • Autorisõlmes on võimalik SGT-sid või VN-e kustutada isegi siis, kui need on lugemissõlmedes kasutusel. Sellisel juhul tuleb aegunud SGT-d või VN-id lugemissõlmedes käsitsi kustutada (pärast viidete eemaldamist).

Mitme Catalyst Centeri poliitika haldamine

Pärast Catalyst Centeri integreerimist Cisco ISE-ga ja GBP sünkroniseerimist sünkroniseeritakse poliitikateave Catalyst Centeri ja Cisco ISE vahel. Poliitika loomise õigused on Catalysti sees.

Keskus. Cisco ISE aknad SGT-de, turberühma pääsuloendite (SGACL-ide) ja väljumispoliitika haldamiseks muutuvad kirjutuskaitstud.
Rühmapõhiseid poliitikaid (turberühmad, juurdepääsulepingud ja GBAC-poliitika) saate hallata Cisco ISE-s, mitte Catalyst Centeris.
Klõpsake Catalyst Centeri graafilises kasutajaliideses menüüikoonil ja valige Policy > Group-Based Access Control > Policies > GBAC Configuration > Manage Group-Based Access Control in Cisco ISE.

Mitme katalüsaatori keskuse uuendamise soovitused

Mitme Catalyst Centeri keskkonnas on soovitatav käitada sama Catalyst Centeri tarkvaraversiooni kõigis autori- ja lugejasõlmede klastrites, välja arvatud klastri uuendamise ajal. Funktsioonide erinevuste ja ühildumatuse vältimiseks tarkvaraversioonide vahel saate kõigepealt uuendada kõik lugejasõlmede klastrid ja seejärel uuendada autorisõlmede klastri. Vältige lugejasõlmede klastri ülendamist autorisõlme rolli uuendamistsükli keskel. Enne lugejasõlmede klastri ülendamist tuleks kõik Catalyst Centeri klastrid uuendada ja need peaksid käitama sama tarkvaraversiooni.
Joonis 1: Mitme katalüsaatori keskuse uuendamise soovitused

CISCO-ISE-tarkvara (3)Mitme Catalyst Centeri funktsiooni põhifunktsionaalsus ei nõua sama tarkvaraversiooni kõigis osalevates autori ja lugeja sõlme klastrites. Erinevate koodiversioonide kasutamine võib aga klastrite vahel põhjustada erinevusi parandustes, võimalustes ja funktsioonides. Soovitatav on sama Catalyst Centeri tarkvaraversiooni kasutamine kõigis autori ja lugeja sõlme klastrites.

Mitmed Catalyst Centeri juurutused

Mitme katalüsaatorikeskuse juurutamiseks on kaks võimalust.

Mitme Catalyst Centeri klastri uus juurutus, mis pole praegu Cisco ISE-ga integreeritud.
Olemasolev Catalyst Centeri klaster, mis on integreeritud Cisco ISE-ga, ja uued täiendavad Catalyst Centeri klastrid ilma Cisco ISE integratsioonita.

Mitme katalüsaatori keskuse lubamine

Mitme Catalyst Centeri klastri funktsioon on vaikimisi keelatud. Selle saab lubada Cisco ISE-ga integratsiooni ajal või pärast seda. Pärast Mitme Catalyst Centeri funktsiooni lubamist saate selle keelata ainult Cisco ISE integratsiooni täieliku eemaldamisega.
Mitme katalüsaatorikeskuse toimimiseks on vaja pxGridi funktsionaalsust. Pärast mitme katalüsaatorikeskuse lubamist ei saa pxGridi keelata.

Menetlus

  1. 1. samm Klõpsake Catalyst Centeri graafilises kasutajaliideses menüüikoonil ja valige Süsteem > Seaded > Autentimis- ja poliitikaserverid.
  2. 2. samm Lisage Cisco ISE.
  3. 3. samm Sisestage nõutav Cisco ISE teave. Lisateavet leiate jaotisest Catalyst Center ja Cisco ISE integratsioon.
  4. 4. samm Valige Süsteem > Seaded > Autentimis- ja poliitikaserverid > Lisa > ISE > Täpsemad seaded.
    Lisaseadete lüliti avab mitmesuguseid lisavalikuid, sealhulgas lüliti mitme katalüsaatori keskuse töö lubamiseks.
  5. 5. samm Lubage valik „Mitme katalüsaatorikeskuse toimimine”.
  6. 6. samm (valikuline) Kui muudate olemasolevat Cisco ISE integratsiooni, sisestage uuesti Cisco ISE administraatori parool.
  7. Samm 7 Klõpsake nuppu Lisa.

Mitme Catalyst Centeri integreerimine ühe Cisco ISE-ga
Catalyst Centeri ja Cisco ISE esmakordseks integreerimiseks on eeltingimused. Lisateavet leiate jaotisest Catalyst Centeri ja Cisco ISE integratsioon.

Enne alustamist
Kui Catalyst Center on juba Cisco ISE-ga integreeritud, toimige Catalysti uuesti integreerimiseks järgmiselt.
Center ja Cisco ISE pärast Multiple Catalyst Centeri toimingu lubamist. See võimaldab Catalyst Centeril pidada läbirääkimisi autori või lugeja sõlme klastri rolli üle, lähtudes sellest, kas tegemist on esimese või järgneva sõlmega, mis liitub Cisco ISE-ga, millel on Multiple Catalyst Centeri funktsioon lubatud.

Menetlus

  1. 1. samm Klõpsake Catalyst Centeri graafilises kasutajaliideses menüüikoonil ja valige Süsteem > Seaded > Autentimis- ja poliitikaserverid.
  2. 2. samm Veerus Toimingud hõljutage kursorit ellipsiikooni ( ) kohal ja valige Redigeeri.
  3. 3. samm Valige Süsteem > Seaded > Autentimis- ja poliitikaserverid > Lisa > ISE > Täpsemad seaded.
  4. 4. samm Lubage valik „Mitme katalüsaatorikeskuse toimimine”.
  5. 5. samm Sisestage uuesti Cisco ISE administraatori parool.
  6. 6. samm Klõpsake nuppu „Lisa“. Catalyst Center lepib autori sõlme rolli Cisco ISE-ga kokku.
    • Kui konfigureeritud Cisco ISE serveri olek kuvatakse parooli muutmise tõttu „FAILED”, klõpsake nuppu „Proovi uuesti” ja värskendage parooli, et Cisco ISE ühenduvus uuesti sünkroonida.
    • Integratsiooni olekut saab vaadata sisse- ja väljalülitataval paanil. Veenduge, et integratsiooni olek kuvatakse autentimis- ja poliitikaserveri aknas kui „Aktiivne”.
  7. 7. samm Klastri kokkulepitud rolli autorisõlmena kontrollimiseks valige Süsteem > Seaded > Süsteemi konfiguratsioon > Mitme katalüsaatorikeskuse sätted.

Teiste Catalyst Centeri klastrite integreerimine Cisco ISE-ga lugemissõlmedena

Järgmiste Catalyst Centeri klastrite integreerimiseks sama Cisco ISE-ga, millel on lubatud mitu Catalyst Centerit, ei tohi Catalyst Centeri klaster sisaldada ühtegi mittevaikimisi virtuaalset võrgu (VN-i peale „DEFAULT_VN” ja „INFRA_VN”).

Enne alustamist
Veenduge, et integreeritav klaster sisaldab ainult vaike-VN-e jaotises Policy > Virtual Network.

Menetlus

  1. 1. samm Klõpsake Catalyst Centeri graafilises kasutajaliideses menüüikoonil ja valige Süsteem > Seaded > Autentimis- ja poliitikaserverid.
  2. 2. samm Klõpsake nuppu Lisa ja valige ISE.
  3. 3. samm Sisestage vajalik Cisco ISE teave. Vaadake Catalyst Centeri ja Cisco ISE integratsiooni.
  4. 4. samm Valige Süsteem > Seaded > Autentimis- ja poliitikaserverid > Lisa > ISE > Täpsemad seaded.
  5. 5. samm Lubage valik „Mitme katalüsaatorikeskuse toimimine”.
  6. Samm 6 Klõpsake nuppu Lisa.
  7. 7. samm (valikuline) Klastri esmakordsel integreerimisel Cisco ISE-ga klõpsake avamispaanil nuppu „Nõustu“, et Catalyst Center aktsepteeriks Cisco ISE edastatud sertifikaadi. Sulgege avamispaan.
  8. 8. samm Veenduge, et aknas Autentimine ja poliitikaserver kuvatakse integratsiooni olekut Aktiivne.

Virtuaalse võrgu kustutamine

Autorisõlme klaster ei tea virtuaalvõrgu (VN) kasutusest lugemissõlme klastris. Enne VN-i kustutamist autorisõlme klastrist peate eemaldama kõik viited VN-ile kõigist lugemissõlme klastritest. Kui kustutate VN-i autorisõlme klastrist, kustutatakse VN nii autorisõlmest kui ka lugemissõlme klastritest, millel pole sellele viiteid. Kui aga üks lugemissõlmedest seda VN-i kasutab, kuvatakse selle VN-i olek kui „Autoriga sünkroonis pole“. Peate eemaldama kõik viited (ntample, VN-i lisamine hosti sissejuhatuse osas või staatiline pordi määramine) lugejasõlme klastris ja seejärel selle VN-i kustutamine lugejasõlme klastris.

Turberühma kustutamine

Autorisõlme klaster ei ole lugejasõlme klastris turberühma kasutusest teadlik. Enne turberühma kustutamist autorisõlme klastrist peate eemaldama kõik viited turberühmale kõigist lugejasõlme klastritest. Kui kustutate turberühma autorisõlme klastrist, kustutatakse see turberühm ka autorisõlme klastrist, Cisco ISE-st ja lugejasõlme klastrist, kui sellele pole viiteid. Kui üks lugejasõlme klastritest seda turberühma kasutab, kuvatakse selle turberühma olekut kui „Autoriga sünkroonis pole“. Peate eemaldama kõik turberühma viited lugejasõlme klastrist ja seejärel kustutama selle turberühma lugejasõlme klastrist.

Lugejasõlmede ülendamine autori rolli
Mitme Catalyst Centeri lahenduse arhitektuuril on mitu Catalyst Centeri klastrit ja ainult üks klaster saab olla poliitika autor. Võib esineda juhtumeid, kus administraator peab lugejasõlme klastri ülendama, et see võtaks üle autorisõlme klastri rolli. Seda ülendamist tuleks teha ainult siis, kui:

Te võtate Autorisõlme klastri teenusest välja või muudate selle pikemaks ajaks kättesaamatuks.
Autorisõlme klaster on pikemat aega püsivalt kättesaamatu või ei reageeri ning selle aja jooksul on vaja poliitikat muuta.

Lugejasõlme edutamist autorisõlmeks saab teha kahel viisil:

  1. Lugeja sõlme graatsiline edutamine autori rolli.
  2. Lugeja sõlme sundedasi edutamine autori rolli.

Lugeja sõlme graatsiline ülendamine autori rolli
Vajadusel saate Reader Catalyst Centeri klastri käsitsi autori rolliks edutada Multiple Catalyst Centeri juurutuses. Kõigil Reader Node'i klastritel on nupp „Edenda autoriks“. Saate edutada

lugejasõlme klastri autorisõlmeks, kui teie praegune autorisõlme klaster on veel töös. Ärge aga alustage edutamistoimingut ajal, mil olemasolev autorisõlme klaster on keset rühmapõhist poliitika loomise tegevust (ntamp(nt poliitikate sünkroonimisel Cisco ISE-ga). Kui autorisõlme klaster on hõivatud, siis edutamistoiming on staghoitakse seni, kuni autorisõlm lõpetab oma praeguse töötlemise.

Märkus

  • Pärast lugejasõlme klastri sujuvat edutamist autori rolliks algatab lugemissõlme klaster Cisco ISE-le rolli muutmise taotluse (lugejalt autoriks).
  • Kui Cisco ISE saab rolli muutmise taotluse, taotleb see praeguselt autorisõlmelt poliitika autori rolli vabastamist. Seejärel vabastab praegune autorisõlm poliitika autori rolli (kui sünkroonimist pole pooleli) ja võtab üle lugejasõlme klastri rolli.
  • Praegune lugejasõlm, mis edutamiseks valitud on, võtab üle autorisõlme rolli. Autori ja lugeja rolli muutumisel värskendab Cisco ISE teisi lugemissõlme klastreid uue autorisõlme kohta konfiguratsioonivärskenduse kaudu.

CISCO-ISE-tarkvara (4)Menetlus

  1. 1. samm Valige lugejasõlmede klastris Süsteem > Seaded > > Süsteemi konfiguratsioon > Mitme Cisco Catalyst Centeri seaded ja kontrollige autori- ja lugejasõlmi.
  2. 2. samm Klõpsake nuppu „Edenda autoriks“.
  3. 3. samm Sõlme autori rolli edutamiseks klõpsake nuppu Jätka.

Üleminekuprotsess võib võtta paar minutit.

Lugeja sõlme sundüleminek autori rolli
Sundkõrgendamine on käsitsi edutamise vorm, mille eesmärk on rangelt edutada praegune lugejasõlme klaster autorisõlme rolliks järgmistes olukordades:

  • Praegune autorisõlmede klaster ei tööta.
  • Praegune autorisõlme klaster ei reageeri.
  • Lugejasõlme sujuvaks autori rolliks ülendamiseks kulub rohkem kui 5 minutit.

Joonis 3: Lugejasõlme sundüleminek autori rolli

CISCO-ISE-tarkvara (1)

Ärge kasutage sundedasimise valikut ajal, mil olemasolev autorisõlme klaster on kasutusel GBP autorimistegevusega, kuna see võib põhjustada andmete kadu ja autorisõlme klastri sünkroonist väljalangemist Cisco ISE-ga. Seetõttu on sundedasimise soovitatav ainult siis, kui peate teenuse kohe taastama ja olete valmis riskima andmete kaotamisega. Pärast sundedasimist saab ülendatud lugejasõlme klastrist juurutuse uus autorisõlme klaster. Kui endine autorisõlme klaster kättesaadavaks muutub, läheb see üle lugeja rollile ja laadib Cisco ISE-st alla uusimad konfiguratsiooniandmed.
Lugejasõlme klastri edutamise algatamisel esitab lugemissõlme klaster Cisco ISE-le rolli muutmise taotluse (teisisõnu, lugejast autoriks). Kui Cisco ISE saab rolli muutmise taotluse, taotleb see praeguselt autorisõlmelt poliitika autori rolli vabastamist.

Kui praegune autorisõlm ei reageeri ja administraator valib suvandi „Sundedokumendimine”, algatab lugejasõlme klaster ACA taotluse, et sundida lugejasõlme klastri muutuma autorirolliks ja vastupidi kohe Cisco ISE-s. See konfiguratsiooni värskendussõnum saadetakse kõigile sõlmedele.
Lugejasõlme klastri autorisõlme klastriks sundüleviimise sammud on täpselt samad, mis on selgitatud lugejasõlme autori rolliks sujuva üleviimise osas. Lõpus on täiendav samm sundüleviimise funktsiooni käivitamiseks.

Dokumendid / Ressursid

CISCO ISE tarkvara [pdfKasutusjuhend
ISE tarkvara, tarkvara

Viited

Jäta kommentaar

Teie e-posti aadressi ei avaldata. Kohustuslikud väljad on märgitud *