Упатство за користење на софтверот CISCO ISE

Софтвер за CISCO ISE

Во текот наview на распоредување на Центар за повеќекратни катализатори

Кога интегрирате повеќе од еден кластер на Catalyst Center со еден систем Cisco ISE, секој кластер на Catalyst Center е независен. Ниту една информација не се споделува од еден кластер до друг. Во ова сценарио, кога Cisco Software-Defined Access (SD-Access) е распореден на Catalyst Center, множеството виртуелни мрежи (VN) и целиот друг SD-Access се локални за секој кластер.
Catalyst Center обезбедува механизам за координирање на елементите SD-Access и Group-Based Policy (GBP) низ повеќе кластери на Catalyst Center интегрирани со еден систем Cisco ISE. За да се овозможи глобална администрација на SD-Access низ повеќе кластери на Catalyst Center со конзистентен сет на VN, функцијата Multiple Catalyst Center ја користи постојната безбедна врска со Cisco ISE за ширење на VN, безбедносни групи. tags (SGT), договори за пристап и политика за контрола на пристап базирана на групи (GBAC) од еден кластер во друг кластер. Cisco ISE ги зема информациите научени од еден кластер (познат како јазол на авторот) и ги пропагира до другите кластери (познати како јазли на читачот).
Функцијата „Multiple Catalyst Center“ е достапна кога е интегрирана со Cisco ISE Release 3.2 или понова верзија.

Забелешка

• Операцијата на Центарот за повеќекратни катализатори е оневозможена по дифолт. За да ја користите оваа функција, изберете ја операцијата Овозможи Центар за повеќекратни катализатори (под Напредни поставки) кога го интегрирате Центарот за катализатори со Cisco ISE. Можете да ја овозможите оваа функција при почетната конфигурација или подоцна (откако Cisco ISE е веќе интегриран). Откако ќе се овозможи оваа функционалност, само бришењето на интеграцијата на Cisco ISE може да ја оневозможи функционалноста.
• Доколку користите претходни изданија на Cisco ISE, мора да го контактирате вашиот тим за сметки за да поднесете барање до Советот за дизајн на Cisco SDA за вклучување во програмата за ограничена достапност. Пакетот со ограничена достапност на Multiple Catalyst Center ќе биде достапен за да се овозможи пристап до верзијата со ограничена достапност (LA) на оваа функционалност. Погледнете го Водичот за препишано распоредување од Multiple Cisco DNA Center до Single Cisco ISE за повеќе информации.

Функцијата „Центар за повеќекратни катализатори“ има специфични ознаки на улоги за кластерите:

• Кластер на јазли на авторот
• Кластер на јазли на читачот

Кластер на јазли на авторот

• Улогата на авторски јазол е доделена на првиот кластер (со овозможена опцијата Центар за повеќекратни катализатори) кој се интегрира со распоредувањето на Cisco ISE или на првиот кластер кој ја овозможува опцијата Центар за повеќекратни катализатори. Кластерот на авторски јазол е административна точка за политика базирана на групи (GBP) и за глобални податоци на Cisco SD-Access. Кластерот на авторски јазол управува со VN, SGT, договори за пристап и GBAC политика. Креирањето, модификацијата или бришењето на VN и GBP компонентите може да се направи само на кластерот на авторски јазол.
• Кластерот Author Node ги испраќа информациите за VN и GBP до Cisco ISE преку ERS (REST) API-јата за Cisco ISE да ги користи овие информации и да ги објави во сите други кластери на Cisco Catalyst Center во улогата Reader Node преку Cisco ISE pxGrid.
• Само еден кластер може да се означи како авторски јазол. Тоа е единствениот јазол каде што може да се управува со GBP и кориснички дефинирани глобални SDA податоци (како што се VN или екстранет политика).
• Ако SGT или VN се оперативни на авторскиот јазол, SGT или VN не можат да се избришат.

Кластер на јазли на читачот

• На сите други кластери на Catalyst Center кои ја имаат овозможена функцијата Multiple Catalyst Center им е доделена улогата на кластер на Reader Node. Кластерите на Reader Node имаат функција само за читање. view на VN и SGT.
• Иако кластерите на Reader Node консумираат и ги перзистираат истите VN, SGT, договори за пристап и GBAC политики што се дефинирани во кластерот Author Node, кластерот Reader Node не прикажува договори за пристап или политики.
  Виртуелните мрежи (VN) можат да се креираат само на кластерот Авторски јазол. Откако ќе се креираат, тие се пренесуваат во кластерите Читачки јазол, каде што можат да се користат во операциите за обезбедување на ткаенина. Кластерите Читачки јазол ги конфигурираат поврзаните мрежни атрибути како што се Идентификатори на виртуелна мрежа (VNID), Цели на рута (RT) и Рута.
• Различувачи (RD) кои се локални за тој кластер.
  Освен карактеристиките VN и GBP, секој кластер на Reader Node е независен кластер кој управува со сопствена мрежна инфраструктура.
• Функцијата Multiple Catalyst Center овозможува глобална администрација на политики низ повеќе кластери на Cisco Catalyst Center интегрирани во еден Cisco ISE. Оваа можност не ги менува основните ограничувања на управувањето со виртуелни мрежи и ткаенини на повеќе кластери на Cisco Catalyst Center. VN може да има исто име низ повеќе кластери на Cisco Catalyst Center, што му овозможува да поддржува конзистентни асоцијации на безбедносни групи-VN низ повеќе кластери. Но, на ниво на поединечен кластер, вистинските мрежни атрибути што треба да се поврзат со VN (VRF, цел на рута, разликувач на рута и така натаму) не се идентични низ кластерите. Ова е исто како и при работа на независни кластери на Catalyst Center.
• До четири кластери на Catalyst Center можат да се додадат како кластери на Reader Node. Пред да додадете јазол на Catalyst Center како Reader, мора да ги отстраните сите глобални податоци на Cisco SD-Access креирани од администраторот од кластерот Reader Node за Catalyst Center да се интегрира со Cisco ISE. Ова ги вклучува нестандардните VN (сите VN освен
  „DEFAULT_VN“ и „INFRA_VN“, Политика за екстранет, и така натаму). Во случај да има нестандардни GBP податоци (SGT, Договори за пристап, GBP), корисникот има можност автоматски да ги исчисти (избрише) сите нестандардни GBP податоци или да ги спои сите GBP податоци што веќе не се присутни во Cisco ISE.

Забелешка

• Само пет кластери на Catalyst Center можат да се интегрираат со едно распоредување на Cisco ISE. Ова значи еден кластер на Author Node и до четири кластери на Reader Node.
• Можно е да се избришат SGT или VN на Авторскиот јазол дури и кога се користат на Читачките јазли. Во тој случај, застарените SGT или VN мора рачно да се избришат на Читачките јазли (откако ќе се отстранат сите референци).

Управување со политики на Центарот за повеќекратни катализатори

По интегрирањето на Catalyst Center со Cisco ISE и синхронизацијата на GBP, информациите за политиката се синхронизираат помеѓу Catalyst Center и Cisco ISE. Привилегиите за пишување политики се во Catalyst.

Центар. Прозорците на Cisco ISE за управување со SGT, ACL-ови на безбедносни групи (SGACL) и политика за излез стануваат само за читање.
Можете да управувате со политика базирана на групи (безбедносни групи, договори за пристап и GBAC политика) во Cisco ISE наместо во Catalyst Center.
Во графичкиот кориснички интерфејс на Catalyst Center, кликнете на иконата за мени и изберете Политика > Контрола на пристап базирана на група > Политики > Конфигурација на GBAC > Управување со контрола на пристап базирана на група во Cisco ISE.

Препораки за надградба за Центарот за повеќекратни катализатори

Во средина со повеќекратен Catalyst Center, се препорачува да се извршува истата верзија на софтверот на Catalyst Center низ сите кластери на Author и Reader Node, освен за време на процесот на надградба на кластерите. Прво можете да ги надградите сите кластери на Reader Node, а потоа да го надградите кластерот Author Node за да избегнете нееднаквост на функциите и некомпатибилност на функциите низ верзиите на софтверот. Избегнувајте промоција на кластер на Reader Node во улога на Author Node во средината на циклусот на надградба. Сите кластери на Catalyst Center треба да се надградат и да ја извршуваат истата верзија на софтверот пред да се промовира кластер на Reader Node.
Слика 1: Препораки за надградба за Центарот за повеќекратни катализатори

Основната функционалност на функцијата Multiple Catalyst Center не бара иста верзија на софтверот во сите кластери на Author и Reader Node кои учествуваат. Сепак, користењето на несовпаѓачки верзии на кодот може да резултира со разлика во поправките, можностите и функциите помеѓу кластерите. Истата верзија на софтверот на Catalyst Center се препорачува во сите кластери на Author и Reader Node.

Повеќекратни распоредувања на Catalyst Center

Постојат две опции за распоредување на Multiple Catalyst Center.

Ново распоредување на повеќе кластери на Catalyst Center кои моментално не се интегрирани со Cisco ISE.
Постоечки кластер на Catalyst Center кој е интегриран со Cisco ISE и нови дополнителни кластери на Catalyst Center без интеграција со Cisco ISE.

Овозможување на Центар за повеќекратни катализатори

Функционалноста на кластерот Multiple Catalyst Center е оневозможена по дифолт. Може да се овозможи за време или по интеграцијата со Cisco ISE. Откако ќе се овозможи функционалноста Multiple Catalyst Center, можете да ја оневозможите само со целосно отстранување на интеграцијата со Cisco ISE.
Операцијата на Центарот за повеќекратни катализатори бара функционалност на pxGrid. Не можете да го оневозможите pxGrid откако ќе го овозможите Центарот за повеќекратни катализатори.

Постапка

1. Чекор 1 Во графичкиот кориснички интерфејс на Catalyst Center, кликнете на иконата за мени и изберете Систем > Поставки > Сервери за автентикација и политика.
2. Чекор 2 Додадете Cisco ISE.
3. Чекор 3 Внесете ги потребните информации за Cisco ISE. За информации, видете Интеграција со Catalyst Center и Cisco ISE.
4. Чекор 4 Изберете Систем > Поставки > Сервери за автентикација и политика > Додај > ISE > Напредни поставки.
   Прекинувачот за напредни поставки прикажува разни напредни опции, вклучувајќи го и прекинувачот за овозможување на работата на Центарот за повеќекратни катализатори.
5. Чекор 5 Овозможете ја опцијата „Работење на центарот за повеќе катализатори“.
6. Чекор 6 (опционално) Ако уредувате постоечка интеграција со Cisco ISE, повторно внесете ја администраторската лозинка за Cisco ISE.
7. Чекор 7 Кликнете Додај.

Интегрирање на повеќекратен катализаторски центар со еден Cisco ISE
Постојат предуслови за интегрирање на Catalyst Center и Cisco ISE за прв пат. За информации, видете Интеграција на Catalyst Center и Cisco ISE.

Пред да започнете
Кога Catalyst Center е веќе интегриран со Cisco ISE, завршете ги следните чекори за повторно интегрирање на Catalyst
Center и Cisco ISE откако ќе се овозможи операцијата Multiple Catalyst Center. Ова му овозможува на Catalyst Center да преговара за улогата на кластерот на јазолот Автор или Читач врз основа на тоа дали станува збор за прв јазол или последователен јазол што се приклучува на Cisco ISE со овозможена функција Multiple Catalyst Center.

Постапка

1. Чекор 1 Во графичкиот кориснички интерфејс на Catalyst Center, кликнете на иконата за мени и изберете Систем > Поставки > Сервери за автентикација и политика.
2. Чекор 2 Во колоната Дејства, задржете го курсорот над иконата за елипса ( ) и изберете Уреди.
3. Чекор 3 Изберете Систем > Поставки > Сервери за автентикација и политика > Додај > ISE > Напредни поставки.
4. Чекор 4 Овозможете ја опцијата „Работење на центарот за повеќе катализатори“.
5. Чекор 5 Внесете ја повторно администраторската лозинка на Cisco ISE.
6. Чекор 6 Кликнете на Додај. Catalyst Center преговара за улогата на авторски јазол со Cisco ISE.
   • Ако статусот на конфигурираниот Cisco ISE сервер прикажува „НЕ ВОЗМОЖЕНИЕ“ поради промена на лозинката, кликнете „Обиди се повторно“ и ажурирајте ја лозинката за повторно да ја синхронизирате поврзаноста на Cisco ISE.
   • Статусот на интеграцијата може да се види во прозорецот со слајдови. Осигурајте се дека статусот на интеграцијата се прикажува како Активен во прозорецот Сервер за автентикација и политика.
7. Чекор 7 За да ја потврдите договорената улога на кластерот како авторски јазол, изберете Систем > Поставки > Конфигурација на системот > Поставки на повеќекратен катализаторски центар.

Интегрирање на други кластери на Catalyst Center со Cisco ISE како јазли за читање

За да се интегрираат последователните кластери на Catalyst Center со истиот Cisco ISE што има овозможен Multiple Catalyst Center, кластерот Catalyst Center не смее да содржи никакви нестандардни VN (никакви VN освен „DEFAULT_VN“ и „INFRA_VN“).

Пред да започнете
Потврдете дека кластерот што сакате да го интегрирате ги вклучува само стандардните виртуелни мрежи под Политика > Виртуелна мрежа.

Постапка

1. Чекор 1 Во графичкиот кориснички интерфејс на Catalyst Center, кликнете на иконата за мени и изберете Систем > Поставки > Сервери за автентикација и политика.
2. Чекор 2 Кликнете на Додај и изберете ISE.
3. Чекор 3 Внесете ги потребните информации за Cisco ISE. Видете Интеграција со Catalyst Center и Cisco ISE.
4. Чекор 4 Изберете Систем > Поставки > Сервери за автентикација и политика > Додај > ISE > Напредни поставки.
5. Чекор 5 Овозможете ја опцијата „Работење на центарот за повеќе катализатори“.
6. Чекор 6 Кликнете Додај.
7. Чекор 7 (опционално) Кога го интегрирате кластерот со Cisco ISE за прв пат, кликнете на „Прифати“ во прозорецот за да го прифати Catalyst Center сертификатот внесен од Cisco ISE. Затворете го прозорецот за лизгање.
8. Чекор 8 Во прозорецот Authentication and Policy Server (Сервер за автентикација и политика), потврдете дека статусот на интеграцијата се прикажува како Активн.

Бришење на виртуелна мрежа

Кластерот Авторски јазол не знае за употреба на Виртуелна мрежа (VN) на кластерот Читачки јазол. Мора да ги отстраните сите референци до VN на сите кластери на Читачки јазол пред да се обидете да го избришете тој VN на кластерот Авторски јазол. Ако избришете VN на кластерот Авторски јазол, VN се брише на јазолот Автор и на кластерите на Читачки јазол кои немаат референци до него. Но, ако еден од Читачките јазоли го користи тој VN, статусот на таков VN потоа се прикажува како Несинхронизирано со Авторот. Мора да ги отстраните сите референци (на пр.ampле, додавање на VN во делот за вклучување на домаќинот или доделување на статички порт) на VN на кластерот Reader Node, а потоа продолжете со бришење на таа VN на кластерот Reader Node.

Бришење на безбедносна група

Кластерот Авторски јазол не е свесен за употребата на безбедносната група на кластерот Читачки јазол. Мора да ги отстраните сите референци до безбедносната група на сите кластери на Читачки јазол пред да се обидете да ја избришете таа безбедносна група на кластерот Авторски јазол. Ако избришете безбедносна група на кластерот Авторски јазол, таа безбедносна група се брише од кластерот Авторски јазол, Cisco ISE и од кластерот Читачки јазол ако нема референци до неа. Ако еден од кластерите на Читачки јазол ја користи таа безбедносна група, статусот на таквата безбедносна група потоа се прикажува како Несинхронизирано со Авторот. Мора да ги отстраните сите референци на безбедносната група на кластерот Читачки јазол, а потоа да продолжите со бришење на таа безбедносна група на кластерот Читачки јазол.

Промоција на Читачките јазли во улогата на автор
Архитектурата на решението на Multiple Catalyst Center има повеќе кластери на Catalyst Center и само еден кластер може да биде автор на политиката. Може да има случаи кога администраторот треба да промовира кластер на Reader Node за да ја преземе улогата на кластерот на Author Node. Ова промовирање треба да се прави само кога:

Го исклучувате кластерот Author Node од употреба или го правите недостапен подолг временски период.
Кластерот Author Node е трајно недостапен или не реагира подолг временски период и во тој период се потребни промени во политиката.

Ова промовирање на Читачки јазол во Авторски јазол може да се направи на два начина:

1. Благородно промовирање на Читачки јазол во улога на Автор.
2. Присилно унапредување на јазолот на читателот во улогата на авторот.

Елегантна промоција на Читачки јазол во улога на автор
Можете рачно да го промовирате кластерот на Reader Catalyst Center во улога на автор доколку е потребно во распоредувањето на Multiple Catalyst Center. Сите кластери на Reader Node имаат копче „Промовирај во автор“. Можете да го промовирате

кластер на јазол на читач во јазол на автор додека вашиот тековен кластер на јазол на автор сè уште работи. Сепак, не ја започнувајте операцијата за промоција додека постоечкиот кластер на јазол на автор е во средината на активност за пишување политики базирана на група (на пр.ampле, додека се синхронизираат политиките со Cisco ISE). Ако кластерот Author Node е зафатен, операцијата за промоција е stagзачувано сè додека јазолот на авторот не ја заврши својата тековна обработка.

Забелешка

• По елегантното промовирање на кластерот на јазол на читателот во улога на автор, кластерот на јазол на читателот иницира барање до Cisco ISE за промена на улогата (од читател во автор).
• Кога Cisco ISE ќе го прими барањето за промена на улогата, тој бара од тековниот јазол на авторот да ја ослободи улогата на автор на политиката. Потоа, тековниот јазол на авторот ја ослободува улогата на автор на политиката (доколку нема синхронизација во тек) и ја презема улогата на кластерот на јазолот на читачот.
• Тековниот Читачки јазол што е избран за промоција ја презема улогата на Авторски јазол. По промената на Авторската и Читачката улога, Cisco ISE ги ажурира другите кластери на Читачки јазол за новиот Авторски јазол преку ажурирање на конфигурацијата.

Постапка

1. Чекор 1 На кластерот Читачки јазол, изберете Систем > Поставки > > Конфигурација на системот > Поставки на повеќекратни Cisco Catalyst Center и потврдете ги јазлите на авторот и читачот.
2. Чекор 2 Кликнете на копчето Промовирајте во автор.
3. Чекор 3 Кликнете на Продолжи за да го промовирате јазолот во улога на автор.

Процесот на транзиција може да потрае неколку минути.

Присилно промовирање на Читачки јазол во улога на автор
Присилната промоција е форма на рачно промовирање, која е строго наменета да го промовира тековниот кластер на Читачки јазол во улога на Авторски јазол во следниве ситуации:

• Тековниот кластер на авторски јазол е надвор од употреба.
• Тековниот кластер на Author Node не реагира.
• Беспрекорното унапредување на Читачки јазол во улога на автор трае повеќе од 5 минути.

Слика 3: Присилно промовирање на Читачки јазол во улога на Автор

Не ја користете опцијата за принудно унапредување додека постоечкиот кластер на јазол на автор е во функција со активност за авторизација на GBP, бидејќи тоа може да резултира со губење на податоци и кластерот на јазол на автор не е синхронизиран со Cisco ISE. Затоа, принудното унапредување се препорачува само ако мора веднаш да ја вратите услугата и сте спремни да ризикувате губење на податоци. По принудното унапредување, промовираниот кластер на јазол на читач ќе стане новиот кластер на јазол на автор за распоредувањето. Кога поранешниот кластер на јазол на автор ќе стане достапен, тој ќе премине во улога на читач и ќе ги преземе најновите податоци за конфигурација од Cisco ISE.
По започнувањето на промоцијата на кластерот Reader Node, кластерот Reader Node иницира барање до Cisco ISE за промена на улогата (со други зборови, од Reader во Author). Кога Cisco ISE ќе го прими барањето за промена на улогата, бара од тековниот Author Node да ја ослободи улогата на Author на политиката.

Ако тековниот јазол на авторот не реагира и ако администраторот избере Присилно унапредување, кластерот ACA на јазолот на читателот иницира барање за присилна промена на кластерот на јазолот на читателот во улогата на авторот и обратно веднаш во Cisco ISE. Оваа порака за ажурирање на конфигурацијата се испраќа до сите јазли.
Чекорите за принудно промовирање на кластер од Читачки јазол во кластер од Авторски јазол се потполно исти како што е објаснето во делот за елегантно промовирање на Читачки јазол во Улога на автор. На крајот има дополнителен чекор за иницирање на функцијата за принудно промовирање.