Софтуер CISCO ISE

крайview на внедряване на множество катализаторни центрове

Когато интегрирате повече от един клъстер Catalyst Center с една Cisco ISE система, всеки клъстер Catalyst Center е независим. Не се споделя информация от един клъстер към друг. В този сценарий, когато Cisco Software-Defined Access (SD-Access) е внедрен в Catalyst Center, наборът от виртуални мрежи (VN) и всички останали SD-Access са локални за всеки клъстер.
Catalyst Center предоставя механизъм за координиране на елементите на SD-Access и Group-Based Policy (GBP) в множество клъстери на Catalyst Center, интегрирани с една Cisco ISE система. За да се позволи глобално администриране на SD-Access в множество клъстери на Catalyst Center с последователен набор от виртуални мрежи (VN), функцията Multiple Catalyst Center използва съществуващата защитена връзка с Cisco ISE за разпространение на VN, групи за сигурност. tags (SGT), договори за достъп и политика за групов контрол на достъпа (GBAC) от един клъстер към друг. Cisco ISE взема информацията, получена от един клъстер (известен като възел на автора), и я разпространява към другите клъстери (известни като възли на четене).
Функцията „Multiple Catalyst Center“ е налична, когато е интегрирана с Cisco ISE Release 3.2 или по-нова версия.

Забележка

• Операцията „Множество катализаторни центрове“ е деактивирана по подразбиране. За да използвате тази функция, изберете опцията „Активиране на операцията „Множество катализаторни центрове“ (под „Разширени настройки“), когато интегрирате катализаторния център с Cisco ISE. Можете да активирате тази функция при първоначалната конфигурация или по-късно (след като Cisco ISE вече е интегриран). След като тази функционалност е активирана, само изтриването на интеграцията на Cisco ISE може да я деактивира.
• Ако използвате по-ранни версии на Cisco ISE, трябва да се свържете с екипа си за обслужване на клиенти, за да подадете заявка до Съвета за дизайн на Cisco SDA за включване в програмата за ограничена наличност. Ще бъде предоставен пакет с ограничена наличност за множество катализаторни центрове, който ще позволи достъп до версията с ограничена наличност (LA) на тази функционалност. Вижте Ръководството за предписано внедряване от множество Cisco DNA центрове към един Cisco ISE за повече информация.

Функцията „Множествен катализаторен център“ има специфични обозначения на ролите за клъстерите:

• Клъстер от авторски възли
• Клъстер от Reader Node

Клъстер от авторски възли

• Ролята на Авторски възел се присвоява на първия клъстер (с активирана опцията „Множество катализаторни центрове“), който се интегрира с внедряването на Cisco ISE, или на първия клъстер, който активира опцията „Множество катализаторни центрове“. Клъстерът Авторски възел е точката за администриране за групово-базирани политики (GBP) и за глобални данни на Cisco SD-Access. Клъстерът Авторски възел управлява виртуални мрежи (VN), SGT, договори за достъп и GBAC политики. Създаването, промяната или изтриването на виртуални мрежи и GBP компоненти може да се извършва само в клъстера Авторски възел.
• Клъстерът Author Node изпраща информация за VN и GBP към Cisco ISE чрез ERS (REST) ​​API, за да може Cisco ISE да използва тази информация и да я публикува към всички останали клъстери на Cisco Catalyst Center в ролята Reader Node чрез Cisco ISE pxGrid.
• Само един клъстер може да бъде определен като Авторски възел. Това е единственият възел, където могат да се управляват GBP и потребителски дефинирани глобални SDA данни (като виртуални мрежи или политика за екстранет).
• Ако SGT или VN работят на възела Author, те не могат да бъдат изтрити.

Клъстер от Reader Node

• Всички останали клъстери на Catalyst Center, които имат активирана функцията „Множество Catalyst Center“, получават ролята на клъстер Reader Node. Клъстерите Reader Node имат достъп само за четене. view на виетнамски военнослужещи и сержанти.
• Въпреки че клъстерите Reader Node консумират и съхраняват същите VN, SGT, договори за достъп и GBAC политики, които са дефинирани в клъстера Author Node, клъстерът Reader Node не показва договори или политики за достъп.
  Виртуални мрежи (VN) могат да бъдат създадени само в клъстера на авторския възел. След създаването им те се разпространяват към клъстерите на четецките възли, където могат да се използват в операции по осигуряване на мрежа. Клъстерите на четецките възли конфигурират свързаните мрежови атрибути, като например идентификатори на виртуална мрежа (VNID), цели на маршрута (RT) и маршрут.
• Разграничители (RD), които са локални за този клъстер.
  С изключение на функциите VN и GBP, всеки клъстер Reader Node е независим клъстер, който управлява собствената си мрежова инфраструктура.
• Функцията „Множество катализаторни центрове“ (Multiple Catalyst Center) позволява глобално администриране на политики в множество клъстери на Cisco Catalyst Center, интегрирани в една Cisco ISE. Тази възможност не променя основните ограничения за управление на виртуални мрежи и тъкани в множество клъстери на Cisco Catalyst Center. Виртуална мрежа (VN) може да има едно и също име в множество клъстери на Cisco Catalyst Center, което ѝ позволява да поддържа последователни асоциации между група за сигурност и VN в множество клъстери. Но на ниво отделен клъстер, действителните мрежови атрибути, които да се асоциират с VN (VRF, цел на маршрута, разграничител на маршрута и т.н.), не са идентични в различните клъстери. Това е същото както при работа с независими клъстери на Catalyst Center.
• До четири клъстера Catalyst Center могат да бъдат добавени като клъстери Reader Node. Преди да добавите възел Catalyst Center като Reader, трябва да премахнете всички създадени от администратора глобални данни на Cisco SD-Access в клъстера Reader Node, за да може Catalyst Center да се интегрира с Cisco ISE. Това включва виртуални мрежи, които не са по подразбиране (всякакви виртуални мрежи, различни от
  „DEFAULT_VN“ и „INFRA_VN“, Extranet Policy и т.н.). В случай че има данни за GBP, които не са по подразбиране (SGTs, Access Contracts, GBP), потребителят има възможност автоматично да почисти (изтрие) всички данни за GBP, които не са по подразбиране, или да обедини всички данни за GBP, които не са по подразбиране в Cisco ISE.

Забележка

• Само пет клъстера Catalyst Center могат да бъдат интегрирани с едно внедряване на Cisco ISE. Това означава един клъстер Author Node и до четири клъстера Reader Node.
• Възможно е да изтриете SGT или VN на възела Author, дори когато те се използват на възлите Reader. В този случай, остарелите SGT или VN трябва да бъдат изтрити ръчно на възлите Reader (след премахване на всички препратки).

Управление на множество политики в Catalyst Center

След интегриране на Catalyst Center с Cisco ISE и синхронизиране на GBP, информацията за политиките се синхронизира между Catalyst Center и Cisco ISE. Правата за създаване на политики са в Catalyst.

Център. Прозорците на Cisco ISE за управление на SGT, ACL на групи за сигурност (SGACL) и политика за изход стават само за четене.
Можете да управлявате групови политики (групи за сигурност, договори за достъп и GBAC политики) в Cisco ISE, вместо в Catalyst Center.
В графичния потребителски интерфейс на Catalyst Center щракнете върху иконата на менюто и изберете Политика > Контрол на достъпа, базиран на групи > Политики > Конфигурация на GBAC > Управление на контрол на достъпа, базиран на групи, в Cisco ISE.

Препоръки за надграждане за Multiple Catalyst Center

В среда с множество Catalyst Center се препоръчва да се използва една и съща версия на софтуера на Catalyst Center във всички клъстери на Reader Node и Reader Node, освен по време на процеса на надстройка на клъстера. Можете първо да надстроите всички клъстери на Reader Node, а след това да надстроите клъстера на Reader Node, за да избегнете несъответствие във функциите и несъвместимост на функциите между версиите на софтуера. Избягвайте повишаването на клъстер на Reader Node до ролята на Reader Node по средата на цикъл на надстройка. Всички клъстери на Catalyst Center трябва да бъдат надстроени и да работят с една и съща версия на софтуера, преди да се повиши клъстер на Reader Node.
Фигура 1: Препоръки за надграждане за Multiple Catalyst Center

Основната функционалност на функцията „Множество Catalyst Center“ не изисква една и съща версия на софтуера във всички участващи клъстери от авторски и читателски възли. Използването на несъответстващи версии на кода обаче може да доведе до разлика в корекциите, възможностите и характеристиките между клъстерите. Препоръчва се една и съща версия на софтуера на Catalyst Center във всички клъстери от авторски и читателски възли.

Множество внедрявания на Catalyst Center

Има две опции за внедряване на Multiple Catalyst Center.

Ново внедряване на множество клъстери Catalyst Center, които в момента не са интегрирани с Cisco ISE.
Съществуващ клъстер Catalyst Center, интегриран с Cisco ISE, и нови допълнителни клъстери Catalyst Center без Cisco ISE Integration.

Активиране на множество катализаторни центрове

Функционалността за клъстер Multiple Catalyst Center е деактивирана по подразбиране. Тя може да бъде активирана по време или след интеграция с Cisco ISE. След като функционалността Multiple Catalyst Center е активирана, можете да я деактивирате само като премахнете напълно интеграцията с Cisco ISE.
Операцията „Множество катализаторни центрове“ изисква функционалност pxGrid. Не можете да деактивирате pxGrid след активиране на „Множество катализаторни центрове“.

Процедура

1. Стъпка 1 В графичния потребителски интерфейс на Catalyst Center щракнете върху иконата на менюто и изберете Система > Настройки > Сървъри за удостоверяване и правила.
2. Стъпка 2. Добавете Cisco ISE.
3. Стъпка 3. Въведете необходимата информация за Cisco ISE. За информация вижте Catalyst Center и интеграция с Cisco ISE.
4. Стъпка 4. Изберете Система > Настройки > Сървъри за удостоверяване и правила > Добавяне > ISE > Разширени настройки.
   Превключвателят „Разширени настройки“ предоставя различни разширени опции, включително превключвателя за активиране на работата на Multiple Catalyst Center.
5. Стъпка 5. Активирайте опцията за работа с множество катализаторни центрове.
6. Стъпка 6 (по избор) Ако редактирате съществуваща интеграция с Cisco ISE, въведете отново администраторската парола на Cisco ISE.
7. Стъпка 7 Щракнете върху Добавяне.

Интегриране на множество катализаторни центрове с един Cisco ISE
Има предварителни изисквания за интегриране на Catalyst Center и Cisco ISE за първи път. За информация вижте Интеграция на Catalyst Center и Cisco ISE.

Преди да започнете
Когато Catalyst Center вече е интегриран с Cisco ISE, изпълнете следните стъпки, за да реинтегрирате Catalyst
Център и Cisco ISE след активиране на операцията „Множество катализаторни центрове“. Това позволява на Центъра за катализатор да договори ролята на клъстера „Авторски или Четецки възел“ въз основа на това дали е първи или следващ възел, присъединяващ се към Cisco ISE с активирана функция „Множество катализаторни центрове“.

Процедура

1. Стъпка 1 В графичния потребителски интерфейс на Catalyst Center щракнете върху иконата на менюто и изберете Система > Настройки > Сървъри за удостоверяване и правила.
2. Стъпка 2. В колоната „Действия“ задръжте курсора на мишката върху иконата с многоточие ( ) и изберете „Редактиране“.
3. Стъпка 3. Изберете Система > Настройки > Сървъри за удостоверяване и правила > Добавяне > ISE > Разширени настройки.
4. Стъпка 4. Активирайте опцията за работа с множество катализаторни центрове.
5. Стъпка 5. Въведете отново паролата за администратор на Cisco ISE.
6. Стъпка 6. Щракнете върху Добавяне. Catalyst Center договаря ролята на възел Author с Cisco ISE.
   • Ако състоянието на конфигурирания Cisco ISE сървър показва „НЕУСПЕШНО“ поради промяна на паролата, щракнете върху „Опитай отново“ и актуализирайте паролата, за да синхронизирате отново връзката на Cisco ISE.
   • Състоянието на интеграцията може да се види в плъзгащия се панел. Уверете се, че състоянието на интеграцията се показва като Активно в прозореца „Сървър за удостоверяване и правила“.
7. Стъпка 7. За да проверите договорената роля на клъстера като Авторски възел, изберете Система > Настройки > Системна конфигурация > Настройки на множество катализаторни центрове.

Интегриране на други клъстери на Catalyst Center с Cisco ISE като Reader Nodes

За да се интегрират следващите клъстери на Catalyst Center със същата Cisco ISE, която има активирана функцията „Множество Catalyst Center“, клъстерът на Catalyst Center не трябва да съдържа никакви виртуални имена, които не са по подразбиране (всякакви виртуални имена, различни от „DEFAULT_VN“ и „INFRA_VN“).

Преди да започнете
Проверете дали клъстерът, който искате да интегрирате, включва само виртуалните мрежи по подразбиране в „Политика“ > „Виртуална мрежа“.

Процедура

1. Стъпка 1 В графичния потребителски интерфейс на Catalyst Center щракнете върху иконата на менюто и изберете Система > Настройки > Сървъри за удостоверяване и правила.
2. Стъпка 2. Кликнете върху „Добавяне“ и изберете „ISE“.
3. Стъпка 3. Въведете необходимата информация за Cisco ISE. Вижте Catalyst Center и интеграция с Cisco ISE.
4. Стъпка 4. Изберете Система > Настройки > Сървъри за удостоверяване и правила > Добавяне > ISE > Разширени настройки.
5. Стъпка 5. Активирайте опцията за работа с множество катализаторни центрове.
6. Стъпка 6 Щракнете върху Добавяне.
7. Стъпка 7 (по избор) Когато интегрирате клъстера с Cisco ISE за първи път, щракнете върху „Приемам“ в плъзгащия се панел за Catalyst Center, за да приемете сертификата, изпратен от Cisco ISE. Затворете плъзгащия се панел.
8. Стъпка 8. В прозореца „Сървър за удостоверяване и правила“ проверете дали състоянието на интеграцията се показва като „Активно“.

Изтриване на виртуална мрежа

Клъстерът „Author Node“ не знае за използването на виртуална мрежа (VN) в клъстера „Reader Node“. Трябва да премахнете всички препратки към VN във всички клъстери „Reader Node“, преди да се опитате да изтриете тази VN в клъстера „Author Node“. Ако изтриете VN в клъстера „Author Node“, VN се изтрива във възела „Author“ и в клъстерите „Reader Node“, които нямат препратки към нея. Но ако един от възлите „Reader“ използва тази VN, състоянието на такава VN се показва като „Out of sync with Author“. Трябва да премахнете всички препратки (напримерamp(например, добавяне на виртуална мрежа (VN) в секцията за хостинг или присвояване на статичен порт) на виртуалната мрежа (VN) в клъстера Reader Node и след това продължете с изтриването на тази VN в клъстера Reader Node.

Изтриване на група за сигурност

Клъстерът „Author Node“ не е запознат с използването на група за сигурност в клъстер „Reader Node“. Трябва да премахнете всички препратки към групата за сигурност във всички клъстери „Reader Node“, преди да се опитате да изтриете тази група за сигурност в клъстера „Author Node“. Ако изтриете група за сигурност в клъстера „Author Node“, тази група за сигурност се изтрива в клъстера „Author Node“, Cisco ISE и в клъстера „Reader Node“, ако няма препратки към нея. Ако един от клъстерите „Reader Node“ използва тази група за сигурност, състоянието на такава група за сигурност се показва като „Не е синхронизирано с Author“. Трябва да премахнете всички препратки към групата за сигурност в клъстера „Reader Node“ и след това да продължите с изтриването на тази група за сигурност в клъстера „Reader Node“.

Повишаване на възлите на четец до ролята на автор
Архитектурата на решението Multiple Catalyst Center има множество клъстери Catalyst Center и само един клъстер може да бъде автор на правилата. Възможно е да има случаи, в които администраторът трябва да повиши клъстер Reader Node, за да поеме ролята на клъстер Author Node. Това повишаване трябва да се извършва само когато:

Изваждате клъстера Author Node от експлоатация или го правите недостъпен за продължителен период от време.
Клъстерът Author Node е постоянно недостъпен или не отговаря за продължителен период от време и през този период са необходими промени в правилата.

Това повишаване на възел „Читател“ до възел „Автор“ може да се извърши по два начина:

1. Грациозно повишаване на възел „Читател“ до ролята на „Автор“.
2. Принудително повишаване на възел Reader до ролята Author.

Грациозно повишаване на възел Reader до ролята Author
Можете ръчно да повишите клъстер Reader Catalyst Center до ролята на автор, ако е необходимо, в разгръщането на Multiple Catalyst Center. Всички клъстери Reader Node имат бутон „Повишаване до автор“. Можете да повишите

клъстер от Reader Node към Author Node, докато текущият ви клъстер от Author Node все още работи. Не стартирайте обаче операцията по повишаване, докато съществуващият клъстер от Author Node е в процес на групово-базирана дейност по създаване на правила (напримерampле, докато синхронизирате политики с Cisco ISE). Ако клъстерът Author Node е зает, операцията по промоция е stagобработва се, докато възелът Автор не завърши текущата си обработка.

Забележка

• При коректно повишаване на клъстер от Reader Node до Author Role, клъстерът Reader Node инициира заявка към Cisco ISE за промяна на ролята (Reader към Author).
• Когато Cisco ISE получи заявка за промяна на ролята, той изисква от текущия възел на автора да освободи ролята на автор на политиката. След това текущият възел на автора освобождава ролята на автор на политиката (ако не се извършва синхронизация) и поема ролята на клъстера от възли на четеца.
• Текущият възел на четец, избран за повишение, поема ролята на възел на автор. При промяна на ролята на автор и четец, Cisco ISE актуализира другите клъстери на възли на четец относно новия възел на автор чрез актуализация на конфигурацията.

Процедура

1. Стъпка 1 В клъстера Reader Node изберете System > Settings > > System Configuration > Multiple Cisco Catalyst Center Settings и проверете Author и Reader Nodes.
2. Стъпка 2. Кликнете върху бутона „Повишаване до автор“.
3. Стъпка 3. Щракнете върху „Продължи“, за да повишите възела до ролята на автор.

Процесът на преход може да отнеме няколко минути.

Принудително повишаване на възел „Читател“ до ролята на автор
Принудителното повишаване е форма на ръчно повишаване, която е предназначена единствено да повиши текущия клъстер от възли на четец до ролята на възел на автор в следните ситуации:

• Текущият клъстер на авторски възел е извън експлоатация.
• Текущият клъстер на авторски възел не отговаря.
• Грациозното повишаване на възел Reader до ролята Author отнема повече от 5 минути.

Фигура 3: Принудително повишаване на възел Reader до ролята Author

Не използвайте опцията за принудително повишение, докато съществуващият клъстер от възли на автори е в експлоатация с дейност по създаване на GBP, тъй като това може да доведе до загуба на данни и клъстерът от възли на автори да не се синхронизира с Cisco ISE. Следователно, принудителното повишение се препоръчва само ако трябва незабавно да възстановите услугата и сте готови да рискувате загуба на данни. След принудителното повишение, повишеният клъстер от възли на четец ще стане новият клъстер от възли на автори за внедряването. Когато предишният клъстер от възли на автори стане достъпен, той ще премине към роля на четец и ще изтегли най-новите конфигурационни данни от Cisco ISE.
При иницииране на повишението на клъстер от Reader Node, клъстерът от Reader Node инициира заявка към Cisco ISE за промяна на ролята (с други думи, Reader към Author). Когато Cisco ISE получи заявката за промяна на ролята, той изисква от текущия Author Node да освободи ролята на Policy Author.

Ако текущият възел „Автор“ не отговаря и администраторът избере „Принудително повишаване“, ACA на клъстера „Четещ възел“ инициира заявка за незабавно принудително преминаване на клъстера „Четещ възел“ към ролята „Автор“ и обратно в Cisco ISE. Това съобщение за актуализация на конфигурацията се изпраща до всички възли.
Стъпките за принудително повишаване на клъстер от Reader Node до Author Node са абсолютно същите, както са обяснени в раздела за коректно повишаване на Reader Node до Author Role. В края има допълнителна стъпка за иницииране на функцията Force Promotion.

Документи / Ресурси

Софтуер CISCO ISE [pdf] Ръководство за потребителя ISE софтуер, софтуер

Референции

• Ръководство за потребителя