المقدمة
يوضح هذا المستند كيفية تكوين مستودع على محرك خدمات الهوية (ISE).
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- معرفة أساسية بمحرك خدمات الهوية (ISE)
- معرفة أساسية بخادم بروتوكول نقل الملفات (FTP) وخادم بروتوكول نقل الملفات SSH (SFTP)
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- Cisco Identity Service Engine، الإصدار 2.x
- خادم FTP وظيفي وخادم SFTP
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
تسمح لك Cisco بإنشاء مستودعات وحذفها من خلال مدخل الإدارة. يمكنك إنشاء هذه الأنواع من المستودعات:
- قرص
- FTP
- SFTP
- NFS
- محرك أقراص مضغوطة
- HTTP
- HTTPS
ملاحظة: يوصى بأن يكون لديك حجم مستودع يبلغ 10 جيجابايت لعمليات النشر الصغيرة (100 نقطة نهاية أو أقل)، و 100 جيجابايت لعمليات النشر المتوسطة، و 200 جيجابايت لعمليات النشر الكبيرة.
يمكن تكوين مستودعات ISE من كل من واجهة المستخدم الرسومية (GUI) وواجهة سطر الأوامر (CLI) الخاصة ب ISE ويمكن إستخدامها لهذه الأغراض:
- النسخ الاحتياطي لبيانات تهيئة محرك خدمات الهوية (ISE) وتشغيلها واستعادتها
- ترقية عقد ISE
- تثبيت برامج التصحيح
- تصدير البيانات (التقارير) من المعهد المستقل
- تصدير حزمة الدعم من عقدة ISE
ملاحظة: المستودعات التي يتم تكوينها من واجهة سطر الأوامر لعقدة ISE هي مستودعات محلية لكل عقدة وتتم إزالتها عند إعادة تحميل العقدة. يتم نسخ المستودعات التي يتم تكوينها من واجهة المستخدم الرسومية (GUI) الخاصة ب ISE إلى جميع العقد قيد النشر ولا تتم إزالتها عند إعادة تحميل العقدة.
التكوين
تكوين مستودع FTP
تكوين مستودع FTP من واجهة المستخدم الرسومية
الخطوة 1. لتكوين مستودع على ISE، قم بتسجيل الدخول إلى واجهة المستخدم الرسومية (ISE) وانتقل إلى Administration > System > Maintenance > Repository. ثم انقر Add، كما هو موضح في الصورة.
الخطوة 2. قم بتوفير Repository Name البروتوكول FTP واختياره. ثم قم بإدخال Server Name, Path, User Name، Passwordوطقطقة Submit، كما هو موضح في الصورة.
تكوين مستودع FTP من واجهة سطر الأوامر
سجّل الدخول إلى واجهة سطر الأوامر (CLI) لعقدة ISE عبر بروتوكول SSH وشغّل الأوامر التالية.
ise/admin# ise/admin# configure terminal Enter configuration commands, one per line. End with CNTL/Z. ise/admin(config)# repository FTP-Repo ise/admin(config-Repository)# url ftp://10.106.37.174/ ise/adminconfig-Repository)# user <Username> password plain <Password> ise/admin(config-Repository)# exit ise/admin(config)# exit ise/admin#
تكوين مستودع SFTP
تكوين مستودع SFTP من واجهة المستخدم الرسومية (GUI)
الخطوة 1. لتكوين مستودع على ISE، قم بتسجيل الدخول إلى واجهة المستخدم الرسومية (ISE) وانتقل إلى Administration > System > Maintenance > Repository. ثم انقر Add، كما هو موضح في الصورة.
الخطوة 2. قم بتوفير Repository Name البروتوكول SFTP واختياره. ثم قم بإدخال Server Name, Path, User Name، Passwordوطقطقة Submit، كما هو موضح في الصورة.
الخطوة 3. بعد أن تنقر Submit،
تظهر رسالة منبثقة. تطالبك الرسالة باستخدام CLI لإضافة مفتاح المضيف لخادم SFTP، كما هو موضح في الصورة.
الخطوة 4. سجل الدخول إلى واجهة سطر الأوامر (CLI) لعقدة ISE عبر بروتوكول SSH واستخدم الأمر crypto host_key add host <ip address of the server> لإضافة مفتاح المضيف.
ise/admin# crypto host_key add host 10.106.37.34 host key fingerprint added Operating in CiscoSSL FIPS mode # Host 10.106.37.34 found: line 1 10.106.37.34 RSA SHA256:exFnNITDhafaNPFr35x6kC1pR0iTP6xS+LBmtIXPfnk ise/admin#
تكوين مستودع SFTP من واجهة سطر الأوامر
سجّل الدخول إلى واجهة سطر الأوامر (CLI) لعقدة ISE عبر بروتوكول SSH وشغّل الأوامر التالية:
ise/admin# ise/admin# configure terminal Enter configuration commands, one per line. End with CNTL/Z. ise/admin(config)# repository SFTP-Repo ise/admin(config-Repository)# url sftp://10.106.37.34/ ise/adminconfig-Repository)# user <Username> password plain <Password> ise/admin(config-Repository)# exit ise/admin(config)# exit ise/admin#
تكوين مستودع NFS
تكوين مستودع NFS من واجهة المستخدم الرسومية
الخطوة 1. لتكوين مستودع على ISE، قم بتسجيل الدخول إلى واجهة المستخدم الرسومية (ISE) وانتقل إلى Administration > System > Maintenance > Repository. ثم انقر فوق إضافة ، كما هو موضح في الصورة.
الخطوة 2. قم بتوفير Repository Name البروتوكول NFS واختياره. ثم قم بإدخال Server Name و Path، وانقر Submit، كما هو موضح في الصورة.
تكوين مستودع NFS من واجهة سطر الأوامر
سجّل الدخول إلى واجهة سطر الأوامر (CLI) لعقدة ISE عبر بروتوكول SSH وشغّل الأوامر التالية:
ise/admin# ise/admin# configure terminal Enter configuration commands, one per line. End with CNTL/Z. ise/admin(config)# repository NFS-Repo ise/admin(config-Repository)# url nfs://10.106.37.200:/nfs-repo ise/admin(config-Repository)# exit ise/admin(config)# exit ise/admin#
تكوين مستودع ISE المحلي
تكوين المستودع المحلي من واجهة المستخدم الرسومية
الخطوة 1. لتكوين مستودع على ISE، قم بتسجيل الدخول إلى واجهة المستخدم الرسومية (ISE) وانتقل إلى Administration > System > Maintenance > Repository. ثم انقر Add، كما هو موضح في الصورة.
الخطوة 2. قم بتوفير Repository Name البروتوكول DISK واختياره. ثم قم بإدخال Path وطقطقة Submit، كما هو موضح في الصورة.
تكوين المستودع المحلي من واجهة سطر الأوامر
سجّل الدخول إلى واجهة سطر الأوامر (CLI) لعقدة ISE عبر بروتوكول SSH وشغّل الأوامر التالية:
ise/admin# ise/admin# configure terminal Enter configuration commands, one per line. End with CNTL/Z. ise/admin(config)# repository Local-Repo ise/admin(config-Repository)# url disk:/ ise/admin(config-Repository)# exit ise/admin(config)# exit ise/admin#
ملاحظة: تخزين بيانات المستودع المحلي محليا على قرص ISE.
التحقق من الصحة
يمكن التحقق من المستودع من كل من واجهة المستخدم الرسومية (GUI) وواجهة سطر الأوامر (CLI) لخادم ISE.
التحقق باستخدام واجهة المستخدم الرسومية
لاستخدام واجهة المستخدم الرسومية (GUI) للتحقق من المستودع، انتقل إلى Administration > System > Maintenance > Repositoryالمستودع، ثم حدده، وانقر Validate، كما هو موضح في الصورة.
بعد أن تنقر Validate، أنت ينبغي حصلت Repository validated successfully الاستجابة على ال gui، كما هو موضح في الصورة.
التحقق باستخدام CLI (واجهة سطر الأوامر)
للتحقق من المستودع من واجهة سطر الأوامر (CLI)، قم بتسجيل الدخول إلى عقدة ISE عبر SSH وقم بتشغيل الأمر show repository <name of the repository>. يسرد إخراج الأمر الملفات الموجودة في المستودع.
ise/admin# ise/admin# show repository FTP-Repo Config-Backup-CFG10-200307-1043.tar.gpg ise/admin#
استكشاف الأخطاء وإصلاحها
لتصحيح أخطاء المستودع في ISE، أستخدم تصحيح الأخطاء التالية:
ise-1/pan# debug copy 7 ise-1/pan# debug transfer 7 ise-1/pan# ise-1/pan# 6 [25683]:[info] transfer: cars_xfer.c[220] [system]: ftp dir of repository FTP-Repo requested 7 [25683]:[debug] transfer: cars_xfer_util.c[2017] [system]: ftp get dir for repos FTP-Repo 7 [25683]:[debug] transfer: cars_xfer_util.c[2029] [system]: initializing curl 7 [25683]:[debug] transfer: cars_xfer_util.c[2040] [system]: full url is ftp://10.106.37.174/ISE/ 7 [25683]:[debug] transfer: cars_xfer_util.c[1928] [system]: initializing curl 7 [25683]:[debug] transfer: cars_xfer_util.c[1941] [system]: full url is ftp://10.106.37.174/ISE/Config-Backup-CFG10-200307-1043.tar.gpg 7 [25683]:[debug] transfer: cars_xfer_util.c[1962] [system]: res: 0 7 [25683]:[debug] transfer: cars_xfer_util.c[1966] [system]: res: 0-----filetime Config-Backup-CFG10-200307-1043.tar.gpg: Sat Mar 7 10:55:39 2020 7 [25683]:[debug] transfer: cars_xfer_util.c[1972] [system]: filetime Config-Backup-CFG10-200307-1043.tar.gpg: Sat Mar 7 10:55:39 2020 7 [25683]:[debug] transfer: cars_xfer_util.c[1976] [system]: filesize Config-Backup-CFG10-200307-1043.tar.gpg: 181943580 bytes 6 [25683]:[info] transfer: cars_xfer.c[130] [system]: ftp copy out of /opt/backup/backup-Config-Backup-1587433372/Config-Backup-CFG10-200421-0712.tar.gpg requested 6 [25683]:[info] transfer: cars_xfer_util.c[787] [system]: curl version: libcurl/7.29.0 OpenSSL/1.0.2s zlib/1.2.7 libidn/1.28 libssh2/1.4.2 7 [25683]:[debug] transfer: cars_xfer_util.c[799] [system]: full url is ftp://10.106.37.174/ISE/Config-Backup-CFG10-200421-0712.tar.gpg
يتم تعطيل تصحيح الأخطاء كما هو موضح هنا:
ise-1/pan# ise-1/pan# no debug copy 7 ise-1/pan# no debug transfer 7 ise-1/pan#
لضمان وجود اتصال صحيح بين ISE وخادم المستودع الذي تم تكوينه، قم بإعداد التقاط حزمة من واجهة المستخدم الرسومية (GUI) ل ISE:
- انتقل إلى العمليات > أستكشاف الأخطاء وإصلاحها > أدوات التشخيص > تفريغ TCP.
- أدخل القيمة المناسبة في "عامل التصفية" وحدد "التنسيق".
- انقر على بدء.
من أجل تشغيل بعض حركات المرور إلى المستودع والتي يجب إختبارها، انتقل إلى Administration > System > Maintenance > Repository، وحدد المستودع، وانقر Validate. ثم انتقل إلى Operations > Troubleshoot > Diagnostic tools > TCP Dump، ثم انقر Stop، ثم قم بتنزيل التقاط الحزمة كما هو موضح في الصورة.