Cuprins ascunde
1 Software-ul CISCO ISE
2 Pesteview a unei implementări Multiple Catalyst Center
3 Cluster de noduri de autor
4 Gestionarea politicilor Multiple Catalyst Center
5 Recomandări de upgrade pentru Multiple Catalyst Center
6 Implementări multiple Catalyst Center
7 Activarea Centrului Multiple Catalyst
8 Documente/Resurse
8.1 Referințe

Sigla CISCO

Software-ul CISCO ISE

CISCO-ISE-Software-PRODUCT

Pesteview a unei implementări Multiple Catalyst Center

Când integrați mai multe clustere Catalyst Center cu un singur sistem Cisco ISE, fiecare cluster Catalyst Center este independent. Nicio informație nu este partajată de la un cluster la altul. În acest scenariu, când Cisco Software-Defined Access (SD-Access) este implementat pe Catalyst Center, setul de rețele virtuale (VN) și toate celelalte SD-Access sunt locale pentru fiecare cluster.
Catalyst Center oferă un mecanism pentru coordonarea elementelor SD-Access și a politicilor bazate pe grupuri (GBP) în mai multe clustere Catalyst Center integrate cu un singur sistem Cisco ISE. Pentru a permite administrarea globală a SD-Access în mai multe clustere Catalyst Center cu un set consistent de VN-uri, funcția Multiple Catalyst Center valorifică conexiunea securizată existentă cu Cisco ISE pentru a propaga VN-uri, grupuri de securitate... tags (SGT-uri), contracte de acces și politici de control al accesului bazate pe grupuri (GBAC) de la un cluster la altul. Cisco ISE preia informațiile învățate de la un cluster (cunoscut sub numele de Nod de autor) și le propagă către celelalte clustere (cunoscute sub numele de Noduri de citire).
Funcția Multiple Catalyst Center este disponibilă atunci când este integrată cu Cisco ISE versiunea 3.2 sau o versiune ulterioară.

Software CISCO-ISE (2)

Nota

  • Operațiunea Multiple Catalyst Center este dezactivată în mod implicit. Pentru a utiliza această funcție, selectați Activare operațiune Multiple Catalyst Center (sub Setări avansate) atunci când integrați Catalyst Center cu Cisco ISE. Puteți activa această funcție la configurarea inițială sau ulterior (după ce Cisco ISE este deja integrat). După ce această funcționalitate este activată, numai ștergerea integrării Cisco ISE poate dezactiva funcționalitatea.
  • Dacă utilizați versiuni anterioare de Cisco ISE, trebuie să contactați echipa dvs. de cont pentru a trimite o solicitare către Cisco SDA Design Council pentru includerea în programul Limited Availability. Un pachet Multiple Catalyst Center Limited Availability va fi pus la dispoziție pentru a permite accesul la versiunea cu disponibilitate limitată (LA) a acestei funcționalități. Consultați Ghidul de implementare prescriptivă Multiple Cisco DNA Center către Single Cisco ISE pentru mai multe informații.

Funcția Multiple Catalyst Center are denumiri specifice de rol pentru clustere:

  • Cluster de noduri de autor
  • Cluster de noduri de citire

Cluster de noduri de autor

  • Rolul de Nod Autor este atribuit primului cluster (cu opțiunea Multiple Catalyst Center activată) care se integrează cu implementarea Cisco ISE sau primului cluster care activează opțiunea Multiple Catalyst Center. Clusterul de Nod Autor este punctul de administrare pentru Politica bazată pe grup (GBP) și pentru datele globale Cisco SD-Access. Clusterul de Nod Autor gestionează VN-uri, SGT-uri, Contracte de acces și Politica GBAC. Crearea, modificarea sau ștergerea componentelor VN și GBP se poate face numai în clusterul de Nod Autor.
  • Clusterul de noduri de autor transmite informații VN și GBP către Cisco ISE prin intermediul API-urilor ERS (REST) ​​pentru ca Cisco ISE să utilizeze aceste informații și să le publice în toate celelalte clustere Cisco Catalyst Center din rolul de nod de citire prin intermediul Cisco ISE pxGrid.
  • Doar un singur cluster poate fi desemnat ca Nod de Autor. Este singurul nod în care pot fi gestionate datele GBP și datele SDA globale definite de utilizator (cum ar fi VN-urile sau politica extranet).
  • Dacă SGT-urile sau VN-urile sunt operaționale pe Nodul de Autor, SGT-urile sau VN-urile nu pot fi șterse.

Cluster de noduri de citire

  • Toate celelalte clustere Catalyst Center care au activată funcția Multiple Catalyst Center au rolul de cluster Reader Node. Clusterele Reader Node au drept de acces doar pentru citire. view ale VN-urilor și SGT-urilor.
  • Chiar dacă clusterele de noduri de citire consumă și persistă aceleași VN-uri, SGT-uri, contracte de acces și politici GBAC care sunt definite în clusterul de noduri de autor, un cluster de noduri de citire nu afișează contracte sau politici de acces.
    VN-urile pot fi create doar în clusterul de noduri de autor. După creare, acestea sunt propagate către clusterele de noduri de citire, unde pot fi utilizate în operațiuni de furnizare a fabric-ului. Clusterele de noduri de citire configurează atributele de rețea asociate, cum ar fi Identificări de rețea virtuală (VNID), Ținte de rută (RT) și Rută.
  • Distinctive (RD) care sunt locale pentru acel cluster.
    Cu excepția funcțiilor VN și GBP, fiecare cluster de noduri de citire este un cluster independent care își gestionează propria infrastructură de rețea.
  • Funcția Multiple Catalyst Center permite administrarea globală a politicilor în mai multe clustere Cisco Catalyst Center integrate într-un singur Cisco ISE. Această capacitate nu modifică limitările de bază ale gestionării rețelelor virtuale și a structurilor (fabricate) pe mai multe clustere Cisco Catalyst Center. Un VN poate avea același nume în mai multe clustere Cisco Catalyst Center, ceea ce îi permite să suporte asocieri consistente între grupuri de securitate și VN în mai multe clustere. Dar la nivel de cluster individual, atributele de rețea reale care trebuie asociate cu un VN (VRF, țintă de rută, distinctor de rută etc.) nu sunt identice în toate clusterele. Acest lucru este valabil și atunci când se operează clustere Catalyst Center independente.
  • Pot fi adăugate până la patru clustere Catalyst Center ca clustere de noduri Reader. Înainte de a adăuga un nod Catalyst Center ca Reader, trebuie să eliminați toate datele globale Cisco SD-Access create de administrator din clusterul de noduri Reader pentru ca Catalyst Center să se integreze cu Cisco ISE. Acestea includ VN-uri neimplicite (orice VN-uri altele decât
    „DEFAULT_VN” și „INFRA_VN”, Politica Extranet etc.). În cazul în care există date GBP care nu sunt implicite (SGT-uri, Contracte de acces, GBP), utilizatorul are opțiunea de a curăța (șterge) automat toate datele GBP care nu sunt implicite sau de a îmbina orice date GBP care nu sunt deja prezente în Cisco ISE.

Nota

  • Doar cinci clustere Catalyst Center pot fi integrate cu o singură implementare Cisco ISE. Aceasta înseamnă un cluster de noduri de autor și până la patru clustere de noduri de citire.
  • Este posibil să ștergeți SGT-uri sau VN-uri de pe Nodul Autor chiar și atunci când sunt utilizate pe Nodurile Cititor. În acest caz, SGT-urile sau VN-urile învechite trebuie șterse manual pe Nodurile Cititor (după eliminarea oricăror referințe).

Gestionarea politicilor Multiple Catalyst Center

După integrarea Catalyst Center cu Cisco ISE și sincronizarea GBP, informațiile despre politici sunt sincronizate între Catalyst Center și Cisco ISE. Privilegiile de creare a politicilor se află în Catalyst.

Centru. Ferestrele Cisco ISE pentru gestionarea SGT-urilor, ACL-urilor grupului de securitate (SGACL-uri) și politicii de ieșire devin doar pentru citire.
Puteți gestiona politicile bazate pe grupuri (grupuri de securitate, contracte de acces și politici GBAC) în Cisco ISE în loc să le utilizați în Catalyst Center.
În interfața grafică Catalyst Center, faceți clic pe pictograma meniu și alegeți Politică > Control acces bazat pe grup > Politici > Configurare GBAC > Gestionare control acces bazat pe grup în Cisco ISE.

Recomandări de upgrade pentru Multiple Catalyst Center

Într-un mediu cu mai multe Catalyst Center, se recomandă rularea aceleiași versiuni de software Catalyst Center în toate clusterele de noduri de autor și de citire, cu excepția perioadei în care se fac upgrade-urile clusterelor. Puteți mai întâi să actualizați toate clusterele de noduri de citire, apoi să actualizați clusterul de noduri de autor pentru a evita disparitățile și incompatibilitatea caracteristicilor între versiunile de software. Evitați promovarea unui cluster de noduri de citire la rolul de nod de autor în mijlocul unui ciclu de upgrade. Toate clusterele Catalyst Center ar trebui să fie actualizate și să ruleze aceeași versiune de software înainte de a promova un cluster de noduri de citire.
Figura 1: Recomandări de upgrade pentru Multiple Catalyst Center

Software CISCO-ISE (3)Funcționalitatea de bază a funcției Multiple Catalyst Center nu necesită aceeași versiune de software în toate clusterele de noduri de autor și de cititor participante. Cu toate acestea, utilizarea unor versiuni de cod nepotrivite poate duce la diferențe în ceea ce privește remedierile, capacitățile și caracteristicile între clustere. Aceeași versiune de software Catalyst Center este recomandată în toate clusterele de noduri de autor și de cititor.

Implementări multiple Catalyst Center

Există două opțiuni de implementare Multiple Catalyst Center.

O nouă implementare a mai multor clustere Catalyst Center care nu sunt integrate în prezent cu Cisco ISE.
Un cluster Catalyst Center existent integrat cu Cisco ISE și noi clustere Catalyst Center suplimentare fără integrare Cisco ISE.

Activarea Centrului Multiple Catalyst

Funcționalitatea clusterului Multiple Catalyst Center este dezactivată în mod implicit. Poate fi activată în timpul sau după integrarea cu Cisco ISE. După ce funcționalitatea Multiple Catalyst Center este activată, o puteți dezactiva doar prin eliminarea completă a integrării Cisco ISE.
Operațiunea Multiple Catalyst Center necesită funcționalitatea pxGrid. Nu puteți dezactiva pxGrid după activarea Multiple Catalyst Center.

Procedură

  1. Pasul 1 În interfața grafică Catalyst Center, faceți clic pe pictograma meniu și alegeți Sistem > Setări > Servere de autentificare și politici.
  2. Pasul 2 Adăugați Cisco ISE.
  3. Pasul 3 Introduceți informațiile Cisco ISE necesare. Pentru informații, consultați Integrarea Catalyst Center și Cisco ISE.
  4. Pasul 4. Selectați Sistem > Setări > Servere de autentificare și politici > Adăugare > ISE > Setări avansate.
    Comutatorul Setări avansate expune diverse opțiuni avansate, inclusiv comutatorul pentru activarea funcționării Multiple Catalyst Center.
  5. Pasul 5. Activați opțiunea Operare cu mai multe centre de catalizator.
  6. Pasul 6 (opțional) Dacă editați o integrare Cisco ISE existentă, introduceți din nou parola de administrator Cisco ISE.
  7. Pasul 7 Faceți clic pe Adăugare.

Integrarea Multiple Catalyst Center cu un singur Cisco ISE
Există cerințe preliminare pentru prima integrare a Catalyst Center și Cisco ISE. Pentru informații, consultați Integrarea Catalyst Center și Cisco ISE.

Înainte de a începe
Când Catalyst Center este deja integrat cu Cisco ISE, urmați pașii următori pentru a reintegra Catalyst.
Centrul și Cisco ISE după activarea operațiunii Multiple Catalyst Center. Acest lucru permite Catalyst Center să negocieze rolul de cluster al nodului Autor sau Cititor în funcție de faptul că este vorba de un prim nod sau de un nod ulterior care se alătură Cisco ISE cu funcția Multiple Catalyst Center activată.

Procedură

  1. Pasul 1 În interfața grafică Catalyst Center, faceți clic pe pictograma meniu și alegeți Sistem > Setări > Servere de autentificare și politici.
  2. Pasul 2 În coloana Acțiuni, treceți cursorul peste pictograma punctelor de suspensie ( ) și alegeți Editare.
  3. Pasul 3. Selectați Sistem > Setări > Servere de autentificare și politici > Adăugare > ISE > Setări avansate.
  4. Pasul 4. Activați opțiunea Operare cu mai multe centre de catalizator.
  5. Pasul 5 Introduceți din nou parola de administrator Cisco ISE.
  6. Pasul 6. Faceți clic pe Adăugare. Catalyst Center negociază rolul Nodului Autor cu Cisco ISE.
    • Dacă starea serverului Cisco ISE configurat afișează „FAILED” (EȘUAT) din cauza unei modificări a parolei, faceți clic pe Retry (Reîncercare) și actualizați parola pentru a resincroniza conectivitatea Cisco ISE.
    • Starea integrării poate fi vizualizată în panoul glisant. Asigurați-vă că Starea integrării este afișată ca Activă în fereastra Server de autentificare și politici.
  7. Pasul 7 Pentru a verifica rolul negociat al clusterului ca Nod de Autor, selectați Sistem > Setări > Configurație sistem > Setări multiple Catalyst Center.

Integrarea altor clustere Catalyst Center cu Cisco ISE ca noduri de citire

Pentru a integra clusterele Catalyst Center ulterioare cu același Cisco ISE care are activat Multiple Catalyst Center, clusterul Catalyst Center nu trebuie să conțină niciun VN neimplicit (altele decât „DEFAULT_VN” și „INFRA_VN”).

Înainte de a începe
Verificați dacă clusterul pe care doriți să îl integrați include doar rețelele virtuale (VN) implicite din Politică > Rețea virtuală.

Procedură

  1. Pasul 1 În interfața grafică Catalyst Center, faceți clic pe pictograma meniu și alegeți Sistem > Setări > Servere de autentificare și politici.
  2. Pasul 2. Faceți clic pe Adăugare și alegeți ISE.
  3. Pasul 3 Introduceți informațiile Cisco ISE necesare. Consultați secțiunea Integrare Catalyst Center și Cisco ISE.
  4. Pasul 4. Selectați Sistem > Setări > Servere de autentificare și politici > Adăugare > ISE > Setări avansate.
  5. Pasul 5. Activați opțiunea Operare cu mai multe centre de catalizator.
  6. Pasul 6 Faceți clic pe Adăugare.
  7. Pasul 7 (Opțional) Când integrați clusterul cu Cisco ISE pentru prima dată, faceți clic pe Accept în panoul glisant pentru ca Catalyst Center să accepte certificatul transmis de Cisco ISE. Închideți panoul glisant.
  8. Pasul 8 În fereastra Server de autentificare și politici, verificați dacă starea integrării este afișată ca Activă.

Ștergerea unei rețele virtuale

Clusterul de noduri de autor nu cunoaște utilizarea rețelei virtuale (VN) în clusterul de noduri de citire. Trebuie să eliminați toate referințele la o rețea virtuală (VN) din toate clusterele de noduri de citire înainte de a încerca să ștergeți acel VN din clusterul de noduri de autor. Dacă ștergeți un VN din clusterul de noduri de autor, VN-ul este șters din nodul de autor și din clusterele de noduri de citire care nu au referințe la acesta. Dar dacă unul dintre nodurile de citire utilizează acel VN, starea unui astfel de VN se afișează ca Nesincronizat cu autorul. Trebuie să eliminați toate referințele (de exemplu,ampadică, adăugarea de VN în secțiunea de integrare a gazdei sau atribuirea statică a portului) a VN-ului din clusterul de noduri cititor și apoi continuați să ștergeți acel VN din clusterul de noduri cititor.

Ștergerea unui grup de securitate

Clusterul de noduri de autor nu este conștient de utilizarea grupului de securitate pe un cluster de noduri de citire. Trebuie să eliminați toate referințele la grupul de securitate din toate clusterele de noduri de citire înainte de a încerca să ștergeți acel grup de securitate din clusterul de noduri de autor. Dacă ștergeți un grup de securitate din clusterul de noduri de autor, acel grup de securitate este șters din clusterul de noduri de autor, Cisco ISE și din clusterul de noduri de citire dacă nu există referințe la acesta. Dacă unul dintre clusterele de noduri de citire utilizează acel grup de securitate, starea unui astfel de grup de securitate se afișează ca Nesincronizat cu autorul. Trebuie să eliminați toate referințele grupului de securitate din clusterul de noduri de citire și apoi să continuați ștergerea acelui grup de securitate din clusterul de noduri de citire.

Promovarea nodurilor de cititor la rolul de autor
Arhitectura soluției Multiple Catalyst Center are mai multe clustere Catalyst Center și doar un cluster poate fi Autorul politicii. Pot exista cazuri în care Administratorul trebuie să promoveze un cluster de Noduri Cititor pentru a prelua rolul clusterului de Noduri Autor. Această promovare ar trebui făcută numai atunci când:

Scoateți din funcțiune clusterul de noduri de autor sau îl faceți indisponibil pentru o perioadă extinsă de timp.
Clusterul de noduri de autor este permanent indisponibil sau nu răspunde pentru o perioadă extinsă de timp, iar modificările politicii sunt necesare în acest interval.

Această promovare a unui Nod Cititor la Nod Autor se poate face în două moduri:

  1. Promovarea elegantă a unui Nod Cititor la rolul de Autor.
  2. Forțați promovarea unui nod Cititor la rolul de Autor.

Promovarea elegantă a unui Nod Cititor la rolul de Autor
Puteți promova manual un cluster Reader Catalyst Center la rolul de autor, dacă este necesar, în implementarea Multiple Catalyst Center. Toate clusterele de noduri Reader au un buton Promovare la rolul de autor. Puteți promova

un cluster de noduri de citire către un nod de autor în timp ce clusterul curent de noduri de autor este încă în funcțiune. Cu toate acestea, nu porniți operațiunea de promovare în timp ce clusterul existent de noduri de autor se află în mijlocul unei activități de creare de politici bazate pe grup (de exemplu,amp(de exemplu, în timp ce se sincronizează politicile cu Cisco ISE). Dacă clusterul de noduri de autor este ocupat, operațiunea de promovare este efectuatătaggestionat până când Nodul Autor își finalizează procesarea curentă.

Nota

  • La promovarea corectă a unui cluster de noduri de citire la rolul de autor, clusterul de noduri de citire inițiază o solicitare către Cisco ISE pentru o schimbare de rol (de la cititor la autor).
  • Când Cisco ISE primește cererea de schimbare a rolului, acesta solicită Nodului Autor curent să elibereze rolul de Autor al politicii. Nodul Autor curent eliberează apoi rolul de Autor al politicii (dacă nu există nicio sincronizare în curs) și preia rolul clusterului de Noduri Cititor.
  • Nodul Cititor curent, selectat pentru promovare, preia rolul de Nod Autor. La schimbarea rolului de Autor și Cititor, Cisco ISE actualizează celelalte clustere de Noduri Cititor despre noul Nod Autor printr-o actualizare de configurație.

Software CISCO-ISE (4)Procedură

  1. Pasul 1. În clusterul de noduri Reader, selectați Sistem > Setări > > Configurație sistem > Setări multiple Cisco Catalyst Center și verificați nodurile Author și Reader.
  2. Pasul 2. Faceți clic pe butonul Promovare la autor.
  3. Pasul 3. Faceți clic pe Continuare pentru a promova nodul la rolul de autor.

Procesul de tranziție poate dura câteva minute.

Forțați promovarea unui Nod Cititor la Rolul Autor
Promovarea forțată este o formă de promovare manuală, care are scopul strict de a promova clusterul curent de noduri cititor la rolul de nod autor în următoarele situații:

  • Clusterul actual de noduri de autor este indisponibil.
  • Clusterul actual de noduri de autor nu răspunde.
  • Promovarea elegantă a unui Nod Cititor la rolul de Autor durează mai mult de 5 minute.

Figura 3: Forțarea promovării unui nod Cititor la rolul de Autor

Software CISCO-ISE (1)

Nu utilizați opțiunea de promovare forțată în timp ce clusterul de noduri de autor existent este în funcțiune cu o activitate de creare GBP, deoarece acest lucru poate duce la pierderea datelor și la desincronizarea clusterului de noduri de autor cu Cisco ISE. Prin urmare, promovarea forțată este recomandată numai dacă trebuie să restabiliți serviciul imediat și sunteți dispus să riscați pierderea datelor. După promovarea forțată, clusterul de noduri de cititor promovat va deveni noul cluster de noduri de autor pentru implementare. Când fostul cluster de noduri de autor devine disponibil, acesta va trece la un rol de cititor și va descărca cele mai recente date de configurare de la Cisco ISE.
La inițierea promovării unui cluster de noduri de citire, clusterul de noduri de citire inițiază o solicitare către Cisco ISE pentru o schimbare de rol (cu alte cuvinte, de la Cititor la Autor). Când Cisco ISE primește solicitarea de schimbare a rolului, solicită Nodului de Autor curent să elibereze rolul de Autor al politicii.

Dacă Nodul Autor curent nu răspunde și dacă administratorul selectează Forțare Promovare, ACA-ul clusterului de Noduri Cititor inițiază o cerere pentru a forța schimbarea clusterului de Noduri Cititor la Rolul de Autor și invers imediat în Cisco ISE. Acest mesaj de actualizare a configurației este trimis tuturor nodurilor.
Pașii pentru promovarea forțată a unui cluster de Noduri Cititor la rolul de Noduri Autor sunt exact aceiași cu cei explicați în secțiunea de promovare grațioasă a unui Nod Cititor la rolul de Autor. Există un pas suplimentar la final pentru a iniția funcția de Promovare Forțată.

Documente/Resurse

Software-ul CISCO ISE [pdfGhid de utilizare
Software ISE, Software

Referințe

Lasă un comentariu

Adresa ta de e-mail nu va fi publicată. Câmpurile obligatorii sunt marcate *