Зміст приховати
1 Програмне забезпечення CISCO ISE
2 закінченоview розгортання кількох центрів каталізатора
3 Кластер вузлів автора
4 Керування політиками кількох центрів Catalyst
5 Рекомендації щодо оновлення для Multiple Catalyst Center
6 Кілька розгортань Catalyst Center
7 Увімкнення кількох центрів каталізаторів
8 Документи / Ресурси
8.1 Список літератури

CISCO-логотип

Програмне забезпечення CISCO ISE

Програмний продукт CISCO-ISE

закінченоview розгортання кількох центрів каталізатора

Коли ви інтегруєте більше одного кластера Catalyst Center з однією системою Cisco ISE, кожен кластер Catalyst Center є незалежним. Жодна інформація не передається між кластерами. У цьому сценарії, коли на Catalyst Center розгорнуто програмно-визначений доступ Cisco (SD-Access), набір віртуальних мереж (VN) та весь інший SD-Access є локальним для кожного кластера.
Catalyst Center надає механізм координації елементів SD-Access та групової політики (GBP) між кількома кластерами Catalyst Center, інтегрованими з єдиною системою Cisco ISE. Щоб забезпечити глобальне адміністрування SD-Access між кількома кластерами Catalyst Center з узгодженим набором віртуальних мереж (VN), функція Multiple Catalyst Center використовує існуюче безпечне з'єднання з Cisco ISE для поширення віртуальних мереж, груп безпеки. tags (SGT), контракти доступу та політику групового контролю доступу (GBAC) з одного кластера до іншого. Cisco ISE отримує інформацію, отриману з одного кластера (відомого як вузол автора), та поширює її на інші кластери (відомі як вузли зчитування).
Функція Multiple Catalyst Center доступна за умови інтеграції з Cisco ISE версії 3.2 або пізнішої.

Програмне забезпечення CISCO-ISE (2)

Примітка

  • Роботу з кількома центрами Catalyst вимкнено за замовчуванням. Щоб скористатися цією функцією, виберіть опцію «Увімкнути роботу з кількома центрами Catalyst» (у розділі «Додаткові налаштування») під час інтеграції Catalyst Center з Cisco ISE. Ви можете ввімкнути цю функцію під час початкової конфігурації або пізніше (після того, як Cisco ISE вже інтегровано). Після ввімкнення цієї функції, лише видалення інтеграції Cisco ISE може вимкнути її.
  • Якщо ви використовуєте попередні версії Cisco ISE, вам необхідно звернутися до команди з обслуговування клієнтів, щоб подати запит до Ради з проектування Cisco SDA щодо включення до програми обмеженої доступності. Буде надано пакет обмеженої доступності для кількох центрів каталізатора, щоб забезпечити доступ до версії обмеженої доступності (LA) цієї функціональності. Див. Посібник з розгортання «Від кількох центрів Cisco DNA до одного Cisco ISE» для отримання додаткової інформації.

Функція «Кілька центрів каталізаторів» має певні позначення ролей для кластерів:

  • Кластер вузлів автора
  • Кластер вузлів читання

Кластер вузлів автора

  • Роль «Вузла автора» призначається першому кластеру (з увімкненою опцією «Кілька центрів каталізатора»), який інтегрується з розгортанням Cisco ISE, або першому кластеру, який увімкнув опцію «Кілька центрів каталізатора». Кластер «Вузла автора» є точкою адміністрування для політики на основі груп (GBP) та для глобальних даних Cisco SD-Access. Кластер «Вузла автора» керує віртуальними мережами (VN), граничними трафіками (SGT), контрактами доступу та політикою GBAC. Створення, зміна або видалення віртуальних мереж та компонентів GBP можуть виконуватися лише на кластері «Вузла автора».
  • Кластер вузла автора надсилає інформацію про віртуальну мережу (VN) та GBP до Cisco ISE через API ERS (REST), щоб Cisco ISE використовувала цю інформацію та публікувала її в усіх інших кластерах Cisco Catalyst Center у ролі вузла читача через Cisco ISE pxGrid.
  • Тільки один кластер можна призначити як вузол автора. Це єдиний вузол, де можна керувати даними GBP та визначеними користувачем глобальними даними SDA (такими як віртуальні мережі або політика екстрамережі).
  • Якщо SGT або VN працюють на вузлі автора, їх не можна видалити.

Кластер вузлів читання

  • Усім іншим кластерам Catalyst Center, у яких увімкнено функцію «Кілька Catalyst Center», призначається роль кластера Reader Node. Кластери Reader Node мають доступ лише для читання. view ветеранів та сержантів.
  • Навіть якщо кластери вузлів читання використовують та зберігають ті самі віртуальні мережі, SGT, контракти доступу та політики GBAC, що визначені в кластері вузлів автора, кластер вузлів читання не відображає контракти доступу або політики.
    Віртуальні мережі (VN) можна створювати лише на кластері вузла автора. Після створення вони поширюються на кластери вузла зчитувача, де їх можна використовувати в операціях з налаштування мережі. Кластери вузла зчитувача налаштовують пов'язані мережеві атрибути, такі як ідентифікатори віртуальної мережі (VNID), цільові маршрути (RT) та маршрут.
  • Розрізнювачі (RD), які є локальними для цього кластера.
    За винятком функцій VN та GBP, кожен кластер Reader Node є незалежним кластером, який керує власною мережевою інфраструктурою.
  • Функція Multiple Catalyst Center дозволяє здійснювати глобальне адміністрування політик у кількох кластерах Cisco Catalyst Center, інтегрованих в одне середовище Cisco ISE. Ця можливість не змінює основних обмежень керування віртуальними мережами та тканинами в кількох кластерах Cisco Catalyst Center. Віртуальна мережа (VN) може мати однакове ім'я в кількох кластерах Cisco Catalyst Center, що дозволяє їй підтримувати узгоджені асоціації груп безпеки та віртуальних мереж у кількох кластерах. Але на рівні окремого кластера фактичні атрибути мережі, які потрібно пов'язати з віртуальною мережею (VRF, ціль маршруту, розрізнювач маршруту тощо), не є ідентичними в різних кластерах. Це те саме, що й під час роботи незалежних кластерів Catalyst Center.
  • До чотирьох кластерів Catalyst Center можна додати як кластери вузлів Reader. Перш ніж додавати вузол Catalyst Center як Reader, необхідно видалити всі створені адміністратором глобальні дані Cisco SD-Access у кластері вузлів Reader, щоб Catalyst Center міг інтегруватися з Cisco ISE. Це включає віртуальні мережі, які не використовуються за замовчуванням (будь-які віртуальні мережі, крім
    «DEFAULT_VN» та «INFRA_VN», політика екстранету тощо). У разі наявності будь-яких даних GBP, що не використовуються за замовчуванням (SGT, контракти доступу, GBP), користувач має можливість автоматично очистити (видалити) всі дані GBP, що не використовуються за замовчуванням, або об’єднати будь-які дані GBP, яких ще немає в Cisco ISE.

Примітка

  • Лише п'ять кластерів Catalyst Center можна інтегрувати з одним розгортанням Cisco ISE. Це означає один кластер вузла автора та до чотирьох кластерів вузла читання.
  • Видалити SGT або VN на вузлі Автора можна, навіть якщо вони використовуються на вузлах Читача. У такому разі застарілі SGT або VN необхідно видалити вручну на вузлах Читача (після видалення будь-яких посилань).

Керування політиками кількох центрів Catalyst

Після інтеграції Catalyst Center з Cisco ISE та синхронізації GBP інформація про політики синхронізується між Catalyst Center та Cisco ISE. Права на створення політик належать Catalyst.

Центр. Вікна Cisco ISE для керування SGT, ACL груп безпеки (SGACL) та політикою виходу стають доступними лише для читання.
Ви можете керувати політикою на основі груп (групи безпеки, контракти доступу та політика GBAC) у Cisco ISE, а не в Catalyst Center.
У графічному інтерфейсі Catalyst Center натисніть значок меню та виберіть Політика > Контроль доступу на основі груп > Політики > Конфігурація GBAC > Керування контролем доступу на основі груп у Cisco ISE.

Рекомендації щодо оновлення для Multiple Catalyst Center

У середовищі з кількома Catalyst Center рекомендується використовувати однакову версію програмного забезпечення Catalyst Center на всіх кластерах вузлів Автора та Зчитування, окрім випадків оновлення кластера. Ви можете спочатку оновити всі кластери вузлів Зчитування, а потім оновити кластер вузлів Автора, щоб уникнути невідповідності функцій та несумісності функцій між версіями програмного забезпечення. Уникайте підвищення кластера вузла Зчитування до ролі вузла Автора посеред циклу оновлення. Усі кластери Catalyst Center повинні бути оновлені та працювати з однаковою версією програмного забезпечення перед підвищенням кластера вузла Зчитування.
Рисунок 1: Рекомендації щодо оновлення для Multiple Catalyst Center

Програмне забезпечення CISCO-ISE (3)Базова функціональність функції Multiple Catalyst Center не вимагає однакової версії програмного забезпечення в усіх кластерах вузлів Автора та Читача, що беруть участь. Однак використання невідповідних версій коду може призвести до різниці у виправленнях, можливостях та функціях між кластерами. Рекомендується використовувати однакову версію програмного забезпечення Catalyst Center в усіх кластерах вузлів Автора та Читача.

Кілька розгортань Catalyst Center

Існує два варіанти розгортання кількох центрів Catalyst.

Нове розгортання кількох кластерів Catalyst Center, які наразі не інтегровані з Cisco ISE.
Існуючий кластер Catalyst Center, інтегрований з Cisco ISE, та нові додаткові кластери Catalyst Center без інтеграції Cisco ISE.

Увімкнення кількох центрів каталізаторів

Функцію кластера Multiple Catalyst Center вимкнено за замовчуванням. Її можна ввімкнути під час або після інтеграції з Cisco ISE. Після ввімкнення функції Multiple Catalyst Center її можна вимкнути, лише повністю видаливши інтеграцію Cisco ISE.
Для роботи Multiple Catalyst Center потрібна функціональність pxGrid. Ви не можете вимкнути pxGrid після ввімкнення Multiple Catalyst Center.

Процедура

  1. Крок 1. У графічному інтерфейсі Catalyst Center натисніть значок меню та виберіть Система > Налаштування > Сервери автентифікації та політик.
  2. Крок 2. Додайте Cisco ISE.
  3. Крок 3. Введіть необхідну інформацію про Cisco ISE. Для отримання додаткової інформації див. розділ «Центр Catalyst» та інтеграція Cisco ISE.
  4. Крок 4. Виберіть Система > Налаштування > Сервери автентифікації та політик > Додати > ISE > Додаткові налаштування.
    Перемикач «Додаткові налаштування» надає доступ до різних додаткових опцій, зокрема до перемикача для ввімкнення роботи Multiple Catalyst Center.
  5. Крок 5. Увімкніть опцію «Операція з кількома каталітичними центрами».
  6. Крок 6 (необов’язково). Якщо ви редагуєте існуючу інтеграцію Cisco ISE, повторно введіть пароль адміністратора Cisco ISE.
  7. Крок 7 Натисніть Додати.

Інтеграція кількох центрів Catalyst з однією Cisco ISE
Існують передумови для першої інтеграції Catalyst Center та Cisco ISE. Для отримання інформації див. розділ Інтеграція Catalyst Center та Cisco ISE.

Перш ніж почати
Якщо Catalyst Center вже інтегровано з Cisco ISE, виконайте такі кроки для повторної інтеграції Catalyst.
Центр каталізатора та Cisco ISE після ввімкнення операції «Кілька центрів каталізатора». Це дозволяє Центру каталізатора узгоджувати роль кластера вузла автора або читача залежно від того, чи це перший вузол, чи наступний вузол, що приєднується до Cisco ISE з увімкненою функцією «Кілька центрів каталізатора».

Процедура

  1. Крок 1. У графічному інтерфейсі Catalyst Center натисніть значок меню та виберіть Система > Налаштування > Сервери автентифікації та політик.
  2. Крок 2. У стовпці «Дії» наведіть курсор на значок трикрапки ( ) і виберіть «Редагувати».
  3. Крок 3. Виберіть Система > Налаштування > Сервери автентифікації та політик > Додати > ISE > Додаткові налаштування.
  4. Крок 4. Увімкніть опцію «Операція з кількома каталітичними центрами».
  5. Крок 5. Знову введіть пароль адміністратора Cisco ISE.
  6. Крок 6. Натисніть «Додати». Catalyst Center узгоджує роль вузла автора з Cisco ISE.
    • Якщо стан налаштованого сервера Cisco ISE відображається як «НЕВДАЧА» через зміну пароля, натисніть кнопку «Повторити» та оновіть пароль, щоб повторно синхронізувати підключення Cisco ISE.
    • Стан інтеграції можна побачити на розсувній панелі. Переконайтеся, що у вікні «Сервер автентифікації та політик» для параметра «Стан інтеграції» відображається як «Активно».
  7. Крок 7. Щоб перевірити узгоджену роль кластера як вузла автора, виберіть Система > Налаштування > Конфігурація системи > Налаштування кількох центрів каталізатора.

Інтеграція інших кластерів Catalyst Center з Cisco ISE як вузлів зчитування

Щоб інтегрувати наступні кластери Catalyst Center з тим самим Cisco ISE, у якому ввімкнено функцію Multiple Catalyst Center, кластер Catalyst Center не повинен містити жодних віртуальних мереж, що не є віртуальними мережами за замовчуванням (будь-яких віртуальних мереж, окрім «DEFAULT_VN» та «INFRA_VN»).

Перш ніж почати
Переконайтеся, що кластер, який потрібно інтегрувати, містить лише віртуальні мережі за замовчуванням у розділі Політика > Віртуальна мережа.

Процедура

  1. Крок 1. У графічному інтерфейсі Catalyst Center натисніть значок меню та виберіть Система > Налаштування > Сервери автентифікації та політик.
  2. Крок 2. Натисніть «Додати» та виберіть «ISE».
  3. Крок 3. Введіть необхідну інформацію про Cisco ISE. Див. розділ Інтеграція Catalyst Center та Cisco ISE.
  4. Крок 4. Виберіть Система > Налаштування > Сервери автентифікації та політик > Додати > ISE > Додаткові налаштування.
  5. Крок 5. Увімкніть опцію «Операція з кількома каталітичними центрами».
  6. Крок 6 Натисніть Додати.
  7. Крок 7 (необов’язково). Під час першої інтеграції кластера з Cisco ISE натисніть «Прийняти» у розкривній панелі для Catalyst Center, щоб прийняти сертифікат, надісланий Cisco ISE. Закрийте розкривну панель.
  8. Крок 8. У вікні «Сервер автентифікації та політик» перевірте, чи відображається стан інтеграції як «Активна».

Видалення віртуальної мережі

Кластер вузла автора не знає про використання віртуальної мережі (VN) у кластері вузла читача. Перш ніж намагатися видалити цю віртуальну мережу в кластері вузла автора, необхідно видалити всі посилання на віртуальну мережу в усіх кластерах вузла читача. Якщо видалити віртуальну мережу в кластері вузла автора, віртуальна мережа буде видалена на вузлі автора та в кластерах вузла читача, які не мають на неї посилань. Але якщо один із вузлів читача використовує цю віртуальну мережу, стан такої віртуальної мережі відображається як «Не синхронізовано з автором». Необхідно видалити всі посилання (наприкладampдодавання віртуальної мережі (VN у розділі Host Onboarding або призначення статичного порту) віртуальної мережі на кластері вузлів зчитування, а потім продовжити видалення цієї віртуальної мережі на кластері вузлів зчитування.

Видалення групи безпеки

Кластер вузла автора не знає про використання групи безпеки на кластері вузла читача. Перш ніж намагатися видалити цю групу безпеки на кластері вузла автора, необхідно видалити всі посилання на групу безпеки на всіх кластерах вузла читача. Якщо видалити групу безпеки на кластері вузла автора, ця група безпеки буде видалена на кластері вузла автора, Cisco ISE та на кластері вузла читача, якщо на неї немає посилань. Якщо один із кластерів вузла читача використовує цю групу безпеки, стан такої групи безпеки відображається як "Не синхронізовано з автором". Необхідно видалити всі посилання на групу безпеки на кластері вузла читача, а потім видалити цю групу безпеки на кластері вузла читача.

Підвищення вузлів читача до ролі автора
Архітектура рішення Multiple Catalyst Center має кілька кластерів Catalyst Center, і лише один кластер може бути Автором політики. Можуть бути випадки, коли Адміністратору потрібно підвищити кластер вузла читача, щоб він взяв на себе роль кластера вузла автора. Це підвищення слід виконувати лише тоді, коли:

Ви виводите кластер вузла автора з експлуатації або робите його недоступним на тривалий період часу.
Кластер вузла автора постійно недоступний або не відповідає протягом тривалого періоду часу, і протягом цього часу необхідно змінити політику.

Це підвищення вузла читача до вузла автора можна здійснити двома способами:

  1. Коректне підвищення вузла читача до ролі автора.
  2. Примусово підвищити вузол Читача до ролі Автора.

Коректне підвищення вузла читача до ролі автора
Ви можете вручну підвищити кластер Reader Catalyst Center до ролі Автора, якщо це необхідно в розгортанні Multiple Catalyst Center. Усі кластери Reader Node мають кнопку «Підвищити до Автора». Ви можете підвищити

кластера вузлів читання до вузла автора, поки ваш поточний кластер вузлів автора все ще працює. Однак не починайте операцію підвищення, поки існуючий кластер вузлів автора перебуває посеред дії створення політики на основі групи (наприкладampпід час синхронізації політик із Cisco ISE). Якщо кластер вузла автора зайнятий, операція підвищення виконуєтьсяtagзберігається, доки вузол Автора не завершить поточну обробку.

Примітка

  • Після коректного підвищення кластера вузлів читачів до ролі автора, кластер вузлів читачів ініціює запит до Cisco ISE на зміну ролі (читач на автора).
  • Коли Cisco ISE отримує запит на зміну ролі, він запитує у поточного вузла Автора звільнити роль Автора політики. Поточний вузол Автора потім звільняє роль Автора політики (якщо синхронізація не виконується) та бере на себе роль кластера вузлів Зчитувача.
  • Поточний вузол читача, вибраний для підвищення, бере на себе роль вузла автора. Після зміни ролей автора та читача Cisco ISE оновлює інші кластери вузлів читача інформацію про новий вузол автора за допомогою оновлення конфігурації.

Програмне забезпечення CISCO-ISE (4)Процедура

  1. Крок 1. У кластері вузлів зчитування виберіть Система > Налаштування > > Конфігурація системи > Кілька налаштувань центру Cisco Catalyst і перевірте вузли автора та зчитування.
  2. Крок 2. Натисніть кнопку «Підвищити до автора».
  3. Крок 3. Натисніть кнопку «Продовжити», щоб підвищити вузол до ролі автора.

Процес переходу може тривати кілька хвилин.

Примусове підвищення вузла читача до ролі автора
Примусове підвищення – це форма ручного підвищення, яка призначена виключно для підвищення ролі поточного кластера вузла читача до вузла автора в таких ситуаціях:

  • Поточний кластер вузлів автора не працює.
  • Поточний кластер вузлів автора не відповідає.
  • Коректне підвищення вузла Читача до ролі Автора займає більше 5 хвилин.

Рисунок 3: Примусове підвищення вузла Читача до ролі Автора

Програмне забезпечення CISCO-ISE (1)

Не використовуйте опцію примусового підвищення, поки існуючий кластер вузлів автора обслуговується з активністю авторингу GBP, оскільки це може призвести до втрати даних та розсинхронізації кластера вузлів автора з Cisco ISE. Тому примусове підвищення рекомендується лише в тому випадку, якщо вам необхідно негайно відновити обслуговування та ви готові ризикувати втратою даних. Після примусового підвищення підвищений кластер вузлів читача стане новим кластером вузлів автора для розгортання. Коли попередній кластер вузлів автора стане доступним, він перейде до ролі читача та завантажить останні дані конфігурації з Cisco ISE.
Після ініціювання підвищення кластера вузлів читача, кластер вузлів читача ініціює запит до Cisco ISE на зміну ролі (іншими словами, з Читача на Автора). Коли Cisco ISE отримує запит на зміну ролі, він запитує у поточного вузла Автора звільнення ролі Автора політики.

Якщо поточний вузол Автора не відповідає, і адміністратор вибирає «Примусове підвищення», ACA кластера вузлів Читача ініціює запит на примусову зміну кластера вузлів Читача на роль Автора і навпаки негайно в Cisco ISE. Це повідомлення про оновлення конфігурації надсилається всім вузлам.
Кроки для примусового підвищення кластера вузлів читачів до кластера вузлів авторів точно такі ж, як описано в розділі коректного підвищення вузла читачів до ролі автора. В кінці є додатковий крок для запуску функції примусового підвищення.

Документи / Ресурси

Програмне забезпечення CISCO ISE [pdfПосібник користувача
Програмне забезпечення ISE, програмне забезпечення

Список літератури

Залиште коментар

Ваша електронна адреса не буде опублікована. Обов'язкові поля позначені *