In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Dokument wird beschrieben, wie Sie eine Cisco ISE IOS®-Instanz mithilfe von Azure Virtual Machine installieren. Cisco ISE IOS ist für Azure Cloud Services verfügbar.
Cisco empfiehlt, dass Sie über Kenntnisse der Abonnements und Ressourcengruppen verfügen.
Der Inhalt dieses Dokuments basiert auf dieser Software und den Cloud-Services.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Navigieren Sie zu Alle Services > Abonnements. Stellen Sie sicher, dass ein Azure-Konto mit einem aktiven Abonnement und einer Enterprise-Vereinbarung mit Microsoft vorhanden ist. Verwenden Sie die CLI des Microsoft PowerShell Azure-Moduls, um Befehle zum Reservieren von Speicherplatz auszuführen: (Informationen zum Installieren der Power Shell und relevanter Pakete finden Sie unter How to install Azure PowerShell).
Anmerkung: Ersetzen Sie die Tenant-ID durch Ihre tatsächliche Tenant-ID.
Erfüllen Sie die Voraussetzungen unterHost-Kontingent für Azure VMware-Lösung anfordern für weitere Informationen.
Erstellen Sie eine Ressourcengruppe nach dem richtigen Abonnement, und navigieren Sie zu Alle Dienste > Ressourcengruppen. Klicken Sie auf Hinzufügen. Geben Sie den Namen der Ressourcengruppe ein.
Virtuelles Netzwerk und Sicherheitsgruppen
Für das Subnetz, das eine Interneterreichbarkeit erfordert, muss die Routing-Tabelle mit dem nächsten Hop als Internet konfiguriert sein. Siehe Beispiele für öffentliche und private Subnetze. PAN mit öffentlicher IP-Adresse hat sowohl Offline- als auch Online-Feed-Updates im Einsatz, während PAN mit privater IP auf Offline-Feed-Updates angewiesen ist.
Erstellen eines SSH-Schlüsselpaars
antwort: Verwenden Sie die Suchleiste auf der Startseite des Azure-Webportals, und suchen Sie nach SSH-Schlüsseln.
b. Klicken Sie im nächsten Fenster auf Erstellen.
c. Wählen Sie im nächsten Fenster die Ressourcengruppe und den Schlüsselnamen aus. Klicken Sie dann auf Prüfen + Erstellen.
d. Klicken Sie dann auf Erstellen und Privaten Schlüssel herunterladen.
Wenn Sie eine Allzweck-Instanz als PSN verwenden, sind die Leistungszahlen niedriger als die Leistung einer für Computing optimierten Instanz als PSN. Die VM-Größe Standard_D8s_v4 darf nur als extra kleines PSN verwendet werden.
Anmerkung: Klonen Sie kein vorhandenes Azure Cloud-Image, um eine Cisco ISE-Instanz zu erstellen. Dies kann zufällige und unerwartete Fehlfunktionen im erstellten ISE-System verursachen.
Wenn Sie die Cisco ISE mit dem virtuellen Azure-Computer erstellen, weist Microsoft Azure den virtuellen Systemen standardmäßig private IP-Adressen über DHCP-Server zu. Bevor Sie eine Cisco ISE-Bereitstellung auf Microsoft Azure erstellen, müssen Sie die DNS-Vorwärts- und -Rückwärtseinträge mit den von Microsoft Azure zugewiesenen IP-Adressen aktualisieren.
Alternativ können Sie nach der Installation der Cisco ISE dem virtuellen System eine statische IP-Adresse zuweisen, indem Sie das Network Interface-Objekt in Microsoft Azure aktualisieren:
Stoppen Sie das virtuelle System.
Klicken Sie im Bereich Private IP address settings der VM im Bereich Assignment (Zuordnung) auf Static (Statisch).
Starten Sie das virtuelle System neu.
Weisen Sie in der seriellen Cisco ISE-Konsole die IP-Adresse als Gi0 zu.
Starten Sie den Cisco ISE-Anwendungsserver neu.
Eine duale Netzwerkkarte wird nur mit zwei Netzwerkkarten unterstützt - Gigabit Ethernet 0 und Gigabit Ethernet 1. Um eine sekundäre Netzwerkkarte in der Cisco ISE-Instanz zu konfigurieren, müssen Sie zunächst ein Netzwerkschnittstellenobjekt in Azure erstellen, die Cisco ISE-Instanz ausschalten und dieses Netzwerkschnittstellenobjekt dann an die Cisco ISE anschließen. Verwenden Sie nach der Installation und dem Start von Cisco ISE auf Azure die Cisco ISE-CLI, um die IP-Adresse des Netzwerkschnittstellenobjekts manuell als sekundäre NIC zu konfigurieren.
Cisco ISE IOS-Bereitstellungen auf Azure nutzen in der Regel VPN-Lösungen wie Dynamic Multipoint Virtual Private Networks (DMVPN) und Software-Defined Wide Area Networks (SD-WAN), wobei die IPSec-Tunnelgemeinkosten MTU- und Fragmentierungsprobleme verursachen können. In solchen Szenarien empfängt Cisco ISE IOS keine vollständigen RADIUS-Pakete, und ein Authentifizierungsfehler tritt auf, ohne ein Fehlerprotokoll auszulösen.
Eine mögliche Problemumgehung besteht darin, den technischen Support von Microsoft in Anspruch zu nehmen, um Lösungen in Azure zu erkunden, bei denen außer Betrieb befindliche Fragmente an das Ziel weitergeleitet werden können, anstatt verworfen zu werden.
antwort: Wählen Sie im Bereich Projektdetails die erforderlichen Werte aus den Dropdown-Listen Abonnement und Ressourcengruppe aus.
b. Geben Sie im Bereich Instanzdetails einen Wert in das Feld Name des virtuellen Computers ein.
c. Wählen Sie aus der Dropdown-Liste Image (Image) das Cisco ISE-Image aus.
d. Wählen Sie aus der Dropdown-Liste Size (Größe) die Instanzgröße aus, mit der die Cisco ISE installiert werden soll. Wählen Sie eine von der Cisco ISE unterstützte Instanz aus, wie in der Tabelle Azure Cloud aufgeführt.
Von der Cisco ISE unterstützte Instanzen finden Sie im Abschnitt Cisco ISE auf Azure Cloud.
e. Klicken Sie im Bereich Administratorkonto > Authentifizierungstyp auf das Optionsfeld Öffentlicher SSH-Schlüssel.
f. Geben Sie im Feld Username (Benutzername) iseadmin ein.
g. Wählen Sie in der Dropdown-Liste SSH-Quelle für öffentlichen Schlüssel die Option Vorhandenen Schlüssel verwenden, der in Azure gespeichert ist.
h. Wählen Sie aus der Dropdown-Liste Gespeicherte Schlüssel das Schlüsselpaar aus, das Sie als Voraussetzung für diese Aufgabe erstellt haben.
j) Klicken Sie im Bereich Inbound port rules (Regeln für eingehenden Port) auf das Optionsfeld Allow selected ports (Ausgewählte Ports zulassen).
K. Wählen Sie im Bereich Licensing (Lizenzierung) in der Dropdown-Liste Licensing Type (Lizenztyp) die Option Other (Andere).
Anmerkung: Für den Festplattentyp stehen in der Dropdown-Liste weitere Optionen zur Auswahl. Sie können den auswählen, der Ihren Bedürfnissen entspricht. Premium SSD ist der empfohlene Typ für produktions- und leistungsempfindliche Workloads.
Anmerkung: Das Subnetz mit einer öffentlichen IP-Adresse empfängt Online- und Offline-Statusfeed-Updates, während ein Subnetz mit einer privaten IP-Adresse nur Offline-Statusfeed-Updates empfängt.
Geben Sie im Feld Benutzerdaten die erforderlichen Informationen ein:
hostname=<Hostname der Cisco ISE>
primarynameserver=<IPv4-Adresse>
dnsdomain=<Domänenname>
ntpserver=<IPv4-Adresse oder FQDN des NTP-Servers>
timezone=<Zeitzone>
password=<Kennwort>
ersapi=<ja/nein>
openapi=<ja/nein>
pxGrid=<ja/nein>
pxgrid_cloud=<ja/nein>
Anmerkung: Sie müssen für jedes der Felder, die Sie über die Benutzerdateneingabe konfigurieren, die richtige Syntax verwenden. Die Informationen, die Sie in das Feld Benutzerdaten eingeben, werden bei der Eingabe nicht validiert. Wenn Sie die falsche Syntax verwenden, werden die Cisco ISE-Services beim Start des Images nicht angezeigt.
Siehe Richtlinien für Konfigurationen, die Sie über das Feld "Benutzerdaten" senden müssen:
antwort: hostname: Geben Sie einen Hostnamen ein, der nur alphanumerische Zeichen und Bindestriche (-) enthält. Der Hostname darf maximal 19 Zeichen lang sein und keine Unterstriche (_) enthalten.
b. Primärer Namenserver: Geben Sie die IP-Adresse des primären Namenservers ein. Nur IPv4-Adressen werden unterstützt.
In diesem Schritt können Sie nur einen DNS-Server hinzufügen. Sie können nach der Installation über die Cisco ISE-CLI weitere DNS-Server hinzufügen.
c. dnsdomain: Geben Sie den FQDN der DNS-Domäne ein. Der Eintrag kann ASCII-Zeichen, Ziffern, Bindestriche (-) und Punkte (.) enthalten.
d. ntpserver: Geben Sie die IPv4-Adresse oder den FQDN des NTP-Servers ein, der für die Synchronisierung verwendet werden soll.
In diesem Schritt können Sie nur einen NTP-Server hinzufügen. Sie können nach der Installation über die Cisco ISE-CLI weitere NTP-Server hinzufügen. Verwenden Sie einen gültigen und erreichbaren NTP-Server, da dieser für den ISE-Betrieb benötigt wird.
e. Zeitzone: Geben Sie eine Zeitzone ein, z. B. Etc/UTC. Es wird empfohlen, alle Cisco ISE-Knoten auf die UTC-Zeitzone (Coordinated Universal Time) zu setzen, insbesondere wenn die Cisco ISE-Knoten in einer verteilten Bereitstellung installiert sind. Mit diesem Verfahren wird sichergestellt, dass die Zeitstempel der Berichte und Protokolle der verschiedenen Knoten in der Bereitstellung immer synchronisiert werden.
f. password: Konfigurieren Sie ein Kennwort für die GUI-basierte Anmeldung bei der Cisco ISE. Das eingegebene Kennwort muss mit der Cisco ISE-Kennwortrichtlinie übereinstimmen. Das Passwort muss zwischen 6 und 25 Zeichen lang sein und mindestens eine Ziffer, einen Großbuchstaben und einen Kleinbuchstaben enthalten. Das Passwort darf nicht mit dem Benutzernamen oder dessen Umkehrung (iseadmin oder nimdaesi), cisco oder ocsic identisch sein. Die zulässigen Sonderzeichen lauten @~*!,+=_-. Weitere Informationen finden Sie im Abschnitt "Richtlinie für Benutzerkennwörter" im Kapitel "Grundlegende Einrichtung" des Cisco ISE Administratorhandbuchs für Ihre Version.
g. Sersapi: Geben Sie Ja ein, um ERS zu aktivieren, oder Nein, um ERS zu deaktivieren.
h. openapi: Geben Sie yes ein, um OpenAPI zu aktivieren, oder no, um OpenAPI zu deaktivieren.
i. pxGrid: Geben Sie Ja ein, um pxGrid zu aktivieren, oder Nein, um pxGrid zu deaktivieren.
j) pxgrid_cloud: Geben Sie Ja ein, um pxGrid Cloud zu aktivieren, oder Nein, um pxGrid Cloud zu deaktivieren. Um pxGrid Cloud zu aktivieren, müssen Sie pxGrid aktivieren. Wenn Sie pxGrid nicht zulassen, aber pxGrid Cloud aktivieren, werden pxGrid Cloud-Services beim Start nicht aktiviert.
Das Fenster Deployment is in progress wird angezeigt. Es dauert ca. 30 Minuten, bis die Cisco ISE-Instanz erstellt wurde und einsatzbereit ist. Die Cisco ISE VM-Instanz wird im Virtuell Fenster "Maschinen" (verwenden Sie das Hauptsuchfeld, um das Fenster zu finden).
Aufgrund einer Microsoft Azure-Standardeinstellung ist die von Ihnen erstellte Cisco ISE VM mit nur 300 GB Festplattengröße konfiguriert. Cisco ISE-Knoten benötigen in der Regel mehr als 300 GB Festplattenkapazität. Der Alarm "Unzureichender virtueller Arbeitsspeicher" wird angezeigt, wenn Sie die Cisco ISE zum ersten Mal von Microsoft Azure aus starten.
Melden Sie sich nach Abschluss der Erstellung der Cisco ISE VM beim Cisco ISE-Administrationsportal an, um zu überprüfen, ob die Cisco ISE eingerichtet ist. Führen Sie dann im Microsoft Azure-Portal die Schritte im Fenster Virtuelle Maschinen aus, und führen Sie sie aus, um die Festplattengröße zu bearbeiten:
1. Beenden Sie die Cisco ISE-Instanz.
2. Klicken Sie im linken Bereich auf Datenträger, und klicken Sie auf den Datenträger, den Sie mit Cisco ISE verwenden.
3. Klicken Sie im linken Bereich auf Größe + Leistung.
4. Geben Sie im Feld Benutzerdefinierte Festplattengröße die gewünschte Festplattengröße in GiB ein.
Informationen zu den Aufgaben, die Sie nach der Installation durchführen müssen, nachdem Sie eine Cisco ISE-Instanz erfolgreich erstellt haben, finden Sie im Kapitel "Verification and Post Installation Tasks" im Cisco ISE-Installationshandbuch für Ihre Cisco ISE-Version.
Führen Sie die Aufgaben aus, mit denen Sie Ihr Kennwort für das virtuelle Cisco ISE-System zurücksetzen oder wiederherstellen können. Wählen Sie die Aufgaben aus, die Sie benötigen, und führen Sie die detaillierten Schritte aus.
antwort: Klicken Sie im Menü auf der linken Seite auf Systemstart-Diagnose.
b. Klicken Sie auf Mit einem benutzerdefinierten Speicherkonto aktivieren. Klicken Sie dann auf Speichern.
Durch diese Aufgabe fügen Sie einem Repository zusätzliche Schlüsselpaare hinzu. Das vorhandene Schlüsselpaar, das zum Zeitpunkt der Cisco ISE-Instanzkonfiguration erstellt wurde, wird nicht durch den neuen öffentlichen Schlüssel ersetzt, den Sie erstellt haben.
Sie erhalten ein Popup-Fenster, in dem Sie Privaten Schlüssel herunterladen auswählen und eine Ressource erstellen können, die den SSH-Schlüssel als .pem-Datei herunterlädt.
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
04-Oct-2023 |
Erstveröffentlichung |