El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe cómo instalar una instancia de Cisco ISE IOS® mediante la máquina virtual de Azure. Cisco ISE IOS está disponible en Azure Cloud Services.
Cisco recomienda que conozca las suscripciones y los grupos de recursos.
El contenido de este documento se basa en estos servicios de software y de nube.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Vaya a Todos los servicios > Suscripciones. Asegúrese de que una cuenta de Azure con una suscripción activa y un acuerdo empresarial con Microsoft estén presentes. Utilice la CLI del módulo Microsoft PowerShell Azure para ejecutar comandos que reserven espacio: (Consulte Cómo instalar Azure PowerShell para instalar PowerShell y los paquetes relevantes).
Nota: Sustituya la ID de arrendatario por la ID de arrendatario real.
Complete los requisitos previos enSolicitar cuota de host para la solución VMware de Azure para ver más detalles.
Cree el grupo de recursos después de la suscripción derecha, navegando hasta Todos los servicios > Grupos de recursos. Haga clic en Add (Agregar). Introduzca el nombre del grupo de recursos.
Red virtual y grupos de seguridad
La subred que requiere disponibilidad de Internet debe tener la tabla de rutas configurada con el salto siguiente como Internet. Vea ejemplos de subredes públicas y privadas. PAN con IP pública tiene funcionando tanto la actualización de fuente sin conexión como la de fuente con conexión, mientras que PAN con IP privada debe basarse en las actualizaciones de fuente sin conexión.
Creación de un Par de Claves SSH
a. Utilice la barra de búsqueda de la página principal del Portal web de Azure y busque claves SSH.
b. En la siguiente ventana, haga clic en Create.
c. En la siguiente ventana, seleccione el Grupo de Recursos y el Nombre de Clave. A continuación, haga clic en Revisar + Crear.
d. A continuación, haga clic en Create y descargue Private Key.
Si utiliza una instancia de uso general como PSN, los números de rendimiento son inferiores al rendimiento de una instancia optimizada para el cálculo como PSN. El tamaño de la máquina virtual Standard_D8s_v4 debe utilizarse sólo como un PSN extra pequeño.
Nota: No clone una imagen de Azure Cloud existente para crear una instancia de Cisco ISE. Esto puede provocar errores de funcionamiento aleatorios e inesperados en el equipo ISE creado.
Si crea Cisco ISE con la máquina virtual de Azure, Microsoft Azure asigna direcciones IP privadas a las VM a través de servidores DHCP. Antes de crear una implementación de Cisco ISE en Microsoft Azure, debe actualizar las entradas de DNS directo e inverso con las direcciones IP asignadas por Microsoft Azure.
Como alternativa, después de instalar Cisco ISE, asigne una dirección IP estática a su VM actualizando el objeto Network Interface en Microsoft Azure:
Detenga la máquina virtual.
En el área Configuración de la dirección IP privada de la máquina virtual, en el área Asignación, haga clic en Estático.
Reinicie la máquina virtual.
En la consola serie de Cisco ISE, asigne la dirección IP como Gi0.
Reinicie el servidor de aplicaciones de Cisco ISE.
La NIC dual solo se admite con dos NIC: Gigabit Ethernet 0 y Gigabit Ethernet 1. Para configurar una NIC secundaria en su instancia de Cisco ISE, primero debe crear un objeto de interfaz de red en Azure, apagar su instancia de Cisco ISE y, a continuación, adjuntar este objeto de interfaz de red a Cisco ISE. Después de instalar e iniciar Cisco ISE en Azure, utilice la CLI de Cisco ISE para configurar manualmente la dirección IP del objeto de interfaz de red como la NIC secundaria.
Las implementaciones de Cisco ISE IOS en Azure normalmente aprovechan soluciones VPN como las redes privadas virtuales multipunto dinámicas (DMVPN) y las redes de área extensa definidas por software (SD-WAN), donde las sobrecargas del túnel IPSec pueden causar problemas de MTU y fragmentación. En estos escenarios, Cisco ISE IOS no recibe paquetes RADIUS completos y se produce un error de autenticación sin activar un registro de errores de error.
Una posible solución alternativa es buscar soporte técnico de Microsoft para explorar cualquier solución en Azure que pueda permitir que los fragmentos fuera de orden pasen al destino en lugar de ser descartados.
a. En el área Detalles del proyecto, elija los valores necesarios de las listas desplegables Suscripción y Grupo de recursos
b. En el área Detalles de instancia, introduzca un valor en el campo Nombre de máquina virtual.
c. En la lista desplegable Image, elija la imagen de Cisco ISE.
d. En la lista desplegable Size, elija el tamaño de instancia con el que desea instalar Cisco ISE. Elija una instancia compatible con Cisco ISE, como se muestra en la tabla titulada Azure Cloud.
Las instancias admitidas por Cisco ISE se encuentran en la sección Cisco ISE en Azure Cloud.
e. En el área Administrator account > Authentication type, haga clic en el botón de opción SSH Public Key.
f. En el campo Username, ingrese iseadmin.
g En la lista desplegable origen de clave pública SSH, elija Usar clave existente almacenada en Azure.
h. En la lista desplegable Claves almacenadas, elija el par de claves que ha creado como requisito previo para esta tarea.
j. En el área Reglas de puerto entrante, haga clic en el botón de opción Permitir puertos seleccionados.
k. En el área Licensing, en la lista desplegable Licensing type, elija Other.
Nota: Para el tipo de disco, hay más opciones de la lista desplegable entre las que elegir. Puede elegir el que mejor se adapte a sus necesidades. SSD Premium es el tipo recomendado para cargas de trabajo sensibles a la producción y al rendimiento.
Nota: La subred con una dirección IP pública recibe actualizaciones de fuentes de estado en línea y sin conexión, mientras que una subred con una dirección IP privada sólo recibe actualizaciones de fuentes de estado sin conexión.
En el campo User data, complete la información:
hostname=<hostname of Cisco ISE>
primarynameserver=<dirección IPv4>
dnsdomain=<domain name>
ntpserver=<dirección IPv4 o FQDN del servidor NTP>
timezone=<timezone>
password=<password>
ersapi=<yes/no>
openapi=<yes/no>
pxGrid=<yes/no>
pxgrid_cloud=<yes/no>
Nota: Debe utilizar la sintaxis correcta para cada uno de los campos que configure mediante la entrada de datos de usuario. La información introducida en el campo Datos de usuario no se valida al introducirla. Si utiliza una sintaxis incorrecta, los servicios de Cisco ISE no se activarán al iniciar la imagen.
Consulte las Pautas para las configuraciones que debe enviar a través del campo de datos de usuario:
a. nombre del host: Introduzca un nombre de host que sólo contenga caracteres alfanuméricos y guiones (-). La longitud del nombre de host no debe superar los 19 caracteres y no puede contener caracteres de subrayado (_).
b. servidor de nombres primario: Introduzca la dirección IP del servidor de nombres principal. Solo se admiten direcciones IPv4.
En este paso sólo puede agregar un servidor DNS. Puede agregar servidores DNS adicionales mediante la CLI de Cisco ISE después de la instalación.
c. dnsdomain: Introduzca el FQDN del dominio DNS. La entrada puede contener caracteres ASCII, números, guiones (-) y puntos (.).
d. ntpserver: Introduzca la dirección IPv4 o FQDN del servidor NTP que se debe utilizar para la sincronización.
En este paso sólo puede agregar un servidor NTP. Puede agregar servidores NTP adicionales mediante la CLI de Cisco ISE después de la instalación. Utilice un servidor NTP válido y accesible, ya que es necesario para las operaciones de ISE.
e. zona horaria: Introduzca una zona horaria, por ejemplo, Etc/UTC. Se recomienda establecer todos los nodos de Cisco ISE en la zona horaria de hora universal coordinada (UTC), especialmente si los nodos de Cisco ISE están instalados en una implementación distribuida. Este procedimiento garantiza que las marcas de tiempo de los informes y registros de los distintos nodos de la implementación estén siempre sincronizadas.
f. contraseña: configure una contraseña para el inicio de sesión basado en GUI en Cisco ISE. La contraseña que introduzca debe cumplir la política de contraseñas de Cisco ISE. La contraseña debe tener entre 6 y 25 caracteres e incluir al menos un número, una letra mayúscula y una letra minúscula. La contraseña no puede ser igual que el nombre de usuario o su inversa (iseadmin o nimdaesi), cisco o ocsic. Los caracteres especiales permitidos son @~*!,+=_-. Consulte la sección "User Password Policy" (Política de contraseñas de usuario) del capítulo "Basic Setup" (Configuración básica) de la Guía del administrador de Cisco ISE para su versión.
g ersapi: Ingrese yes para habilitar ERS, o no para deshabilitar ERS.
h. openapi: Ingrese yes para habilitar OpenAPI, o no para no permitir OpenAPI.
i. pxGrid: Ingrese yes para habilitar pxGrid, o no para no permitir pxGrid.
j. pxgrid_cloud: Introduzca yes para habilitar pxGrid Cloud o no para deshabilitar pxGrid Cloud. Para habilitar pxGrid Cloud, debe habilitar pxGrid. Si no permite pxGrid, pero activa pxGrid Cloud, los servicios de pxGrid Cloud no se habilitan al iniciar.
Se muestra la ventana Deployment is in progress. La instancia de Cisco ISE tarda unos 30 minutos en crearse y estar disponible para su uso. La instancia de Cisco ISE VM se muestra en el Virtual Ventana de máquinas (utilice el campo de búsqueda principal para encontrar la ventana).
Debido a una configuración predeterminada de Microsoft Azure, la máquina virtual de Cisco ISE que ha creado está configurada con un tamaño de disco de solo 300 GB. Los nodos Cisco ISE suelen requerir más de 300 GB de tamaño de disco. Puede ver la alarma Inenough Virtual Memory cuando inicia por primera vez Cisco ISE desde Microsoft Azure.
Una vez finalizada la creación de la máquina virtual de Cisco ISE, inicie sesión en el portal de administración de Cisco ISE para verificar que Cisco ISE está configurado. Luego, en el portal de Microsoft Azure, lleve a cabo y complete los pasos en la ventana Máquinas virtuales para editar el tamaño del disco:
1. Detenga la instancia de Cisco ISE.
2. Haga clic en Disk en el panel izquierdo y haga clic en el disco que está utilizando con Cisco ISE.
3. Haga clic en Tamaño + rendimiento en el panel izquierdo.
4. En el campo Tamaño de disco personalizado, introduzca el tamaño de disco que desee, en GiB.
Para obtener información sobre las tareas posteriores a la instalación que debe realizar después de crear correctamente una instancia de Cisco ISE, consulte el capítulo "Tareas posteriores a la instalación y de verificación de la instalación" de la Guía de instalación de Cisco ISE para su versión de Cisco ISE.
Complete las tareas que le ayudarán a restablecer o recuperar la contraseña de la máquina virtual de Cisco ISE. Elija las tareas que necesita y lleve a cabo los pasos detallados.
a. En el menú de la izquierda, haga clic en Diagnóstico de inicio.
b. Haga clic en Habilitar con una cuenta de almacenamiento personalizada. A continuación, haga clic en Guardar.
Mediante esta tarea, se agregan pares de claves adicionales a un repositorio. El par de claves existente que se creó en el momento de la configuración de la instancia de Cisco ISE no se sustituye por la nueva clave pública que creó.
Aparece una ventana emergente donde puede elegir Descargar clave privada y crear un recurso que descargue la clave SSH como un archivo .pem.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
04-Oct-2023 |
Versión inicial |