Brukerhåndbok for CISCO ISE-programvare

CISCO ISE-programvare

Overview av en utplassering av flere katalysatorsentre

Når du integrerer mer enn én Catalyst Center-klynge med et enkelt Cisco ISE-system, er hver Catalyst Center-klynge uavhengig. Ingen informasjon deles fra noen klynge til noen annen. I dette scenariet, når Cisco Software-Defined Access (SD-Access) distribueres på Catalyst Center, er settet med virtuelle nettverk (VN-er) og all annen SD-Access lokalt for hver klynge.
Catalyst Center tilbyr en mekanisme for å koordinere SD-Access og Group-Based Policy (GBP)-elementer på tvers av flere Catalyst Center-klynger integrert med et enkelt Cisco ISE-system. For å tillate global administrasjon av SD-Access på tvers av flere Catalyst Center-klynger med et konsistent sett med virtuelle numre (VN-er), utnytter Multiple Catalyst Center-funksjonen den eksisterende sikre forbindelsen med Cisco ISE for å spre virtuelle numre, sikkerhetsgrupper tags (SGT-er), tilgangskontrakter og gruppebasert tilgangskontroll (GBAC) fra én klynge til en annen klynge. Cisco ISE tar informasjonen som læres fra én klynge (kjent som forfatternoden) og forplanter den til de andre klyngene (kjent som lesernodene).
Funksjonen Multiple Catalyst Center er tilgjengelig når den er integrert med Cisco ISE versjon 3.2 eller nyere.

Note

• Multiple Catalyst Center-operasjonen er deaktivert som standard. For å bruke denne funksjonen, velg Aktiver Multiple Catalyst Center-operasjon (under Avanserte innstillinger) når du integrerer Catalyst Center med Cisco ISE. Du kan aktivere denne funksjonen ved den første konfigurasjonen eller på et senere tidspunkt (etter at Cisco ISE allerede er integrert). Etter at denne funksjonaliteten er aktivert, kan bare sletting av Cisco ISE-integrasjonen deaktivere funksjonaliteten.
• Hvis du bruker tidligere versjoner av Cisco ISE, må du kontakte kundeteamet ditt for å sende inn en forespørsel til Cisco SDA Design Council om inkludering i programmet for begrenset tilgjengelighet. En Multiple Catalyst Center Limited Availability-pakke vil bli gjort tilgjengelig for å gi tilgang til versjonen med begrenset tilgjengelighet (LA) av denne funksjonaliteten. Se veiledningen for forskriftsmessig distribusjon av Multiple Cisco DNA Center til Single Cisco ISE for mer informasjon.

Funksjonen Multiple Catalyst Center har spesifikke rollebetegnelser for klyngene:

• Forfatternodeklynge
• Lesernodeklynge

Forfatternodeklynge

• Rollen som forfatternode tilordnes den første klyngen (med alternativet Multiple Catalyst Center aktivert) som integreres med Cisco ISE-distribusjonen, eller den første klyngen som aktiverer alternativet Multiple Catalyst Center. Klyngen som forfatternode er administrasjonspunktet for gruppebasert policy (GBP) og for globale data fra Cisco SD-Access. Klyngen som forfatternode administrerer virtuelle numre (VN-er), SGT-er, tilgangskontrakter og GBAC-policy. Oppretting, endring eller sletting av VN-er og GBP-komponenter kan bare gjøres på klyngen som forfatternode.
• Author Node-klyngen sender VN- og GBP-informasjon til Cisco ISE via ERS (REST) API-er, slik at Cisco ISE kan bruke denne informasjonen og publisere til alle andre Cisco Catalyst Center-klynger i Reader Node-rollen gjennom Cisco ISE pxGrid.
• Bare én klynge kan angis som forfatternode. Det er den eneste noden der GBP og brukerdefinerte globale SDA-data (som VN-er eller ekstranettpolicy) kan administreres.
• Hvis SGT-er eller VN-er er operative på forfatternoden, kan ikke SGT-ene eller VN-ene slettes.

Lesernodeklynge

• Alle andre Catalyst Center-klynger som har Multiple Catalyst Center-funksjonen aktivert, tildeles rollen som Reader Node-klynge. Reader Node-klynger har skrivebeskyttet view av VN-er og SGT-er.
• Selv om Reader Node-klynger bruker og lagrer de samme VN-ene, SGT-ene, tilgangskontraktene og GBAC-policyene som er definert i Author Node-klyngen, viser ikke en Reader Node-klynge tilgangskontrakter eller -policyer.
  VN-er kan bare opprettes på Author Node-klyngen. Etter at de er opprettet, spres de til Reader Node-klyngene, hvor de kan brukes i fabric provisioning-operasjoner. Reader Node-klyngene konfigurerer de tilknyttede nettverksattributtene, for eksempel Virtual Network Identifies (VNID), Route Targets (RT) og Route.
• Distinkturer (RD) som er lokale for den klyngen.
  Med unntak av VN- og GBP-funksjonene er hver Reader Node-klynge en uavhengig klynge som administrerer sin egen nettverksinfrastruktur.
• Funksjonen Multiple Catalyst Center muliggjør global policyadministrasjon på tvers av flere Cisco Catalyst Center-klynger integrert i én Cisco ISE. Denne funksjonaliteten endrer ikke de underliggende begrensningene ved å administrere virtuelle nettverk og strukturer på flere Cisco Catalyst Center-klynger. En VN kan ha samme navn på tvers av flere Cisco Catalyst Center-klynger, noe som gjør at den kan støtte konsistente sikkerhetsgruppe-VN-tilknytninger på tvers av flere klynger. Men på det individuelle klyngenivået er de faktiske nettverksattributtene som skal tilknyttes en VN (VRF, rutemål, ruteskiller osv.) ikke identiske på tvers av klynger. Dette er det samme som når man bruker uavhengige Catalyst Center-klynger.
• Opptil fire Catalyst Center-klynger kan legges til som Reader Node-klynger. Før du legger til en Catalyst Center-node som en Reader, må du fjerne alle administratoropprettede globale Cisco SD-Access-data på Reader Node-klyngen for at Catalyst Center skal kunne integreres med Cisco ISE. Dette inkluderer ikke-standard virtuelle numre (alle virtuelle numre unntatt
  «DEFAULT_VN» og «INFRA_VN», Extranet Policy, osv.). Dersom det finnes GBP-data som ikke er standard (SGT-er, tilgangskontrakter, GBP), har brukeren muligheten til å automatisk rydde opp (slette) alle ikke-standard GBP-data, eller å slå sammen GBP-data som ikke allerede finnes i Cisco ISE.

Note

• Bare fem Catalyst Center-klynger kan integreres med én Cisco ISE-distribusjon. Dette betyr én Author Node-klynge og opptil fire Reader Node-klynger.
• Det er mulig å slette SGT-er eller VN-er på forfatternoden selv om de er i bruk på lesernoder. I så fall må de foreldede SGT-ene eller VN-ene slettes manuelt på lesernodene (etter at eventuelle referanser er fjernet).

Flere Catalyst Center-policyadministrasjon

Etter integrering av Catalyst Center med Cisco ISE og synkronisering med GBP, synkroniseres policyinformasjon mellom Catalyst Center og Cisco ISE. Policyredigeringsrettighetene er innenfor Catalyst.

Center. Cisco ISE-vinduene for administrasjon av SGT-er, sikkerhetsgruppe-ACL-er (SGACL-er) og utgangspolicy blir skrivebeskyttet.
Du kan administrere gruppebaserte retningslinjer (sikkerhetsgrupper, tilgangskontrakter og GBAC-retningslinjer) i Cisco ISE i stedet for i Catalyst Center.
I Catalyst Center GUI klikker du på menyikonet og velger Policy > Gruppebasert tilgangskontroll > Policyer > GBAC-konfigurasjon > Administrer gruppebasert tilgangskontroll i Cisco ISE.

Oppgraderingsanbefalinger for Multiple Catalyst Center

I et miljø med flere Catalyst Center-enheter anbefales det å kjøre samme Catalyst Center-programvareversjon på tvers av alle Author- og Reader Node-klynger, bortsett fra under klyngeoppgraderinger. Du kan oppgradere alle Reader Node-klynger først, og deretter oppgradere Author Node-klyngen for å unngå funksjonsforskjeller og funksjonsinkompatibilitet på tvers av programvareversjoner. Unngå å forfremme en Reader Node-klynge til Author Node-rollen midt i en oppgraderingssyklus. Alle Catalyst Center-klynger bør oppgraderes og kjøre samme programvareversjon før du forfremmer en Reader Node-klynge.
Figur 1: Oppgraderingsanbefalinger for Multiple Catalyst Center

Den grunnleggende funksjonaliteten til Multiple Catalyst Center-funksjonen krever ikke samme programvareversjon i alle de deltakende Author- og Reader Node-klyngene. Bruk av uoverensstemmelser i kodeversjoner kan imidlertid føre til forskjeller i rettelser, muligheter og funksjoner mellom klyngene. Samme Catalyst Center-programvareversjon anbefales på tvers av alle Author- og Reader Node-klynger.

Flere Catalyst Center-distribusjoner

Det finnes to distribusjonsalternativer for Multiple Catalyst Center.

En ny utrulling av flere Catalyst Center-klynger som for øyeblikket ikke er integrert med Cisco ISE.
En eksisterende Catalyst Center-klynge som er integrert med Cisco ISE og nye Catalyst Center-klynger uten Cisco ISE-integrasjon.

Aktivering av flere katalysatorsentre

Funksjonen for Multiple Catalyst Center-klyngen er deaktivert som standard. Den kan aktiveres under eller etter integrering med Cisco ISE. Etter at Multiple Catalyst Center-funksjonaliteten er aktivert, kan du bare deaktivere den ved å fjerne Cisco ISE-integrasjonen fullstendig.
Multiple Catalyst Center-operasjonen krever pxGrid-funksjonalitet. Du kan ikke deaktivere pxGrid etter at Multiple Catalyst Center er aktivert.

Prosedyre

1. Trinn 1 I Catalyst Center GUI klikker du på menyikonet og velger System > Innstillinger > Autentiserings- og policyservere.
2. Trinn 2 Legg til Cisco ISE.
3. Trinn 3. Skriv inn nødvendig Cisco ISE-informasjon. Se Catalyst Center og Cisco ISE-integrasjon for mer informasjon.
4. Trinn 4. Velg System > Innstillinger > Godkjennings- og policyservere > Legg til > ISE > Avanserte innstillinger.
   Bryteren Avanserte innstillinger viser diverse avanserte alternativer, inkludert bryteren for å aktivere driften av flere katalysatorsentre.
5. Trinn 5 Aktiver alternativet for drift av flere katalysatorsentre.
6. Trinn 6 (Valgfritt) Hvis du redigerer en eksisterende Cisco ISE-integrasjon, skriver du inn Cisco ISE-administratorpassordet på nytt.
7. Trinn 7 Klikk på Legg til.

Integrering av flere Catalyst Center med én Cisco ISE
Det finnes forutsetninger for å integrere Catalyst Center og Cisco ISE for første gang. Hvis du vil ha mer informasjon, kan du se Integrering av Catalyst Center og Cisco ISE.

Før du begynner
Når Catalyst Center allerede er integrert med Cisco ISE, fullfør følgende trinn for å integrere Catalyst på nytt
Center og Cisco ISE etter at Multiple Catalyst Center-operasjonen er aktivert. Dette lar Catalyst Center forhandle om forfatter- eller lesernodeklyngerollen basert på om det er en første node eller en påfølgende node som blir med i Cisco ISE med Multiple Catalyst Center-funksjonen aktivert.

Prosedyre

1. Trinn 1 I Catalyst Center GUI klikker du på menyikonet og velger System > Innstillinger > Autentiserings- og policyservere.
2. Trinn 2 I Handlinger-kolonnen holder du markøren over ellipseikonet ( ) og velger Rediger.
3. Trinn 3. Velg System > Innstillinger > Godkjennings- og policyservere > Legg til > ISE > Avanserte innstillinger.
4. Trinn 4 Aktiver alternativet for drift av flere katalysatorsentre.
5. Trinn 5 Skriv inn Cisco ISE-administratorpassordet på nytt.
6. Trinn 6 Klikk på Legg til. Catalyst Center forhandler forfatternode-rollen med Cisco ISE.
   • Hvis statusen til den konfigurerte Cisco ISE-serveren viser «FAILED» på grunn av en passordendring, klikker du på Prøv på nytt og oppdaterer passordet for å synkronisere Cisco ISE-tilkoblingen på nytt.
   • Statusen for integrasjonen kan sees i den uttrekkbare ruten. Sørg for at integrasjonsstatusen vises som Aktiv i vinduet Autentiserings- og policyserver.
7. Trinn 7 For å bekrefte den forhandlede rollen til klyngen som forfatternode, velg System > Innstillinger > Systemkonfigurasjon > Flere innstillinger for katalysatorsenter.

Integrering av andre Catalyst Center-klynger med Cisco ISE som lesernoder

For å integrere de påfølgende Catalyst Center-klyngene med den samme Cisco ISE som har Multiple Catalyst Center aktivert, må ikke Catalyst Center-klyngen inneholde noen ikke-standard virtuelle numre (noen andre virtuelle numre enn «DEFAULT_VN» og «INFRA_VN»).

Før du begynner
Kontroller at klyngen du vil integrere bare inkluderer standard virtuelle nettverk under Policy > Virtuelt nettverk.

Prosedyre

1. Trinn 1 I Catalyst Center GUI klikker du på menyikonet og velger System > Innstillinger > Autentiserings- og policyservere.
2. Trinn 2 Klikk på Legg til og velg ISE.
3. Trinn 3. Skriv inn den nødvendige Cisco ISE-informasjonen. Se Catalyst Center og Cisco ISE-integrasjon.
4. Trinn 4. Velg System > Innstillinger > Godkjennings- og policyservere > Legg til > ISE > Avanserte innstillinger.
5. Trinn 5 Aktiver alternativet for drift av flere katalysatorsentre.
6. Trinn 6 Klikk på Legg til.
7. Trinn 7 (Valgfritt) Når du integrerer klyngen med Cisco ISE for første gang, klikker du på Godta i den viste ruten for at Catalyst Center skal godta sertifikatet som sendes av Cisco ISE. Lukk den viste ruten.
8. Trinn 8 I vinduet Autentiserings- og policyserver kontrollerer du at statusen til integrasjonen vises som Aktiv.

Slette et virtuelt nettverk

Forfatternodeklyngen kjenner ikke til bruk av virtuelle nettverk (VN) på lesernodeklyngen. Du må fjerne alle referanser til en VN på alle lesernodeklyngene før du prøver å slette den VN-en på forfatternodeklyngen. Hvis du sletter en VN på forfatternodeklyngen, slettes VN-en på forfatternoden og på lesernodeklyngene som ikke har referanser til den. Men hvis en av lesernodene bruker den VN-en, vises statusen til en slik VN som Ikke synkronisert med forfatter. Du må fjerne alle referansene (for eksempelample, VN-tillegg i vertsonboarding-delen eller statisk porttildeling) til VN-en på lesernodeklyngen, og fortsett deretter med å slette den VN-en på lesernodeklyngen.

Slette en sikkerhetsgruppe

Forfatternodeklyngen er ikke klar over bruk av sikkerhetsgrupper på en lesernodeklynge. Du må fjerne alle referanser til sikkerhetsgruppen på alle lesernodeklyngene før du prøver å slette sikkerhetsgruppen på forfatternodeklyngen. Hvis du sletter en sikkerhetsgruppe på forfatternodeklyngen, slettes sikkerhetsgruppen på forfatternodeklyngen, Cisco ISE og på lesernodeklyngen hvis det ikke finnes referanser til den. Hvis en av lesernodeklyngene bruker sikkerhetsgruppen, vises statusen til en slik sikkerhetsgruppe som Ikke synkronisert med forfatter. Du må fjerne alle referansene til sikkerhetsgruppen på lesernodeklyngen og deretter fortsette med å slette sikkerhetsgruppen på lesernodeklyngen.

Forfremmelse av lesernoder til forfatterrollen
Løsningsarkitekturen for flere Catalyst Center-klynger har flere Catalyst Center-klynger, og bare én klynge kan være policyforfatter. Det kan være tilfeller der administratoren må forfremme en Reader Node-klynge for å overta rollen som Author Node-klyngen. Denne forfremmelsen bør bare gjøres når:

Du tar Author Node-klyngen ut av drift eller gjør den utilgjengelig i en lengre periode.
Forfatternodeklyngen er permanent utilgjengelig eller ikke svarer i en lengre periode, og endringer i retningslinjene er nødvendige i løpet av denne tiden.

Denne promoteringen av en lesernode til en forfatternode kan gjøres på to måter:

1. Grensefull forfremmelse av en lesernet til forfatterrollen.
2. Tving frem forfremmelse av en lesernode til forfatterrollen.

Elegant promotering av en lesernode til forfatterrollen
Du kan manuelt forfremme en Reader Catalyst Center-klynge til forfatterrollen om nødvendig i Multiple Catalyst Center-distribusjonen. Alle Reader Node-klyngene har en knapp for forfremmelse til forfatter. Du kan forfremme

en lesernodeklynge til en forfatternode mens den nåværende forfatternodeklyngen fortsatt er i drift. Ikke start promoteringsoperasjonen mens den eksisterende forfatternodeklyngen er midt i en gruppebasert policyredigeringsaktivitet (for eksempelample, mens policyer synkroniseres med Cisco ISE). Hvis Author Node-klyngen er opptatt, er promoteringsoperasjonen staglagres inntil forfatternoden fullfører sin nåværende behandling.

Note

• Ved grasiøs forfremmelse av en lesernodeklynge til forfatterrollen, starter lesernodeklyngen en forespørsel til Cisco ISE om en rolleendring (leser til forfatter).
• Når Cisco ISE mottar forespørselen om rolleendring, ber den gjeldende forfatternode om å frigi rollen som policyforfatter. Gjeldende forfatternode frigir deretter rollen som policyforfatter (hvis ingen synkronisering pågår) og overtar rollen til lesernodeklyngen.
• Den nåværende lesernoden som er valgt for forfremmelse, overtar rollen som forfatternode. Når forfatter- og leserrollen endres, oppdaterer Cisco ISE de andre lesernodeklyngene om den nye forfatternoden gjennom en konfigurasjonsoppdatering.

Prosedyre

1. Trinn 1 I Reader Node-klyngen velger du System > Innstillinger > > Systemkonfigurasjon > Flere Cisco Catalyst Center-innstillinger og bekrefter forfatter- og lesernodene.
2. Trinn 2 Klikk på knappen Forfremm til forfatter.
3. Trinn 3. Klikk på Fortsett for å forfremme noden til forfatterrollen.

Overgangsprosessen kan ta noen minutter.

Tving frem forfremmelse av en lesernode til forfatterrollen
Tvungen forfremmelse er en form for manuell forfremmelse, som utelukkende er ment å forfremme den nåværende Reader Node-klyngen til forfatternode-rollen i disse situasjonene:

• Den nåværende Author Node-klyngen er ute av drift.
• Den nåværende Author Node-klyngen svarer ikke.
• Den elegante forfremmelsen av en lesernenode til forfatterrollen tar mer enn fem minutter.

Figur 3: Tving frem forfremmelse av en lesernode til forfatterrollen

Ikke bruk alternativet for tvungen forfremmelse mens den eksisterende Author Node-klyngen er i tjeneste med en GBP-redigeringsaktivitet, da dette kan føre til datatap og at Author Node-klyngen blir usynkronisert med Cisco ISE. Derfor anbefales tvungen forfremmelse bare hvis du må gjenopprette tjenesten umiddelbart og du er villig til å risikere å miste data. Etter den tvungne forfremmelsen vil den forfremmede Reader Node-klyngen bli den nye Author Node-klyngen for utrullingen. Når den tidligere Author Node-klyngen blir tilgjengelig, vil den gå over til en leserrolle og laste ned de nyeste konfigurasjonsdataene fra Cisco ISE.
Når forfremmelsen av en Reader Node-klynge startes, sender Reader Node-klyngen en forespørsel til Cisco ISE om en rolleendring (med andre ord, fra leser til forfatter). Når Cisco ISE mottar forespørselen om rolleendring, ber den gjeldende forfatternode om å frigi rollen som policyforfatter.

Hvis den gjeldende forfatternoden ikke svarer, og administratoren velger Tving frem forfremmelse, starter Reader Node-klyngens ACA en forespørsel om å tvinge frem endringen av Reader Node-klyngen til forfatterrollen og omvendt umiddelbart i Cisco ISE. Denne konfigurasjonsoppdateringsmeldingen sendes til alle nodene.
Trinnene for å tvinge frem en Lesernode-klynge til Forfatternode-klynge er nøyaktig de samme som forklart i delen om grasiøs forfremmelse av en Lesernode til Forfatterrollen. Det er et ekstra trinn på slutten for å starte Tving frem forfremmelsesfunksjonen.