Ajout/modification d'une entrée de périphérique d'accès réseau dans ISE par Catalyst Center

Introduction

Ce document décrit la procédure de reconfiguration de l'entrée Network Access Device (NAD) dans ISE qui est soit modifiée soit supprimée d'ISE.

Informations générales

Il peut y avoir plusieurs scénarios dans lesquels l'entrée NAD d'un périphérique réseau (qui est géré par Catalyst Center) doit être modifiée. Exemple :
un périphérique est renvoyé, le numéro de série a changé et un nouveau numéro de série doit être mis à jour dans l'entrée NAD de ce périphérique réseau (Advanced TrustSec Settings).

Dans le cas contraire, l'authentification TrustSec du périphérique n'aurait pas lieu, ce qui aurait empêché le téléchargement des données PAC/env. 

Il peut y avoir un autre scénario où l'entrée NAD est supprimée d'Identity Services Engine (ISE) (en raison d'une erreur manuelle ou d'une autre cause). et maintenant, toute l'authentification du périphérique échoue car il n'y a pas d'entrée NAD dans ISE. 

Problème

Le problème dans les scénarios mentionnés ci-dessus est qu'il n'y a pas d'option prédéfinie dans Catalyst Center pour créer l'entrée NAD directement une fois que le périphérique réseau est affecté au site et que l'entrée NAD est créée pour la première fois, ce qui oblige les utilisateurs à configurer/modifier manuellement l'entrée NAD dans ISE, ce qui peut prendre du temps et entraîner des erreurs. 

Ce document décrit la procédure/les étapes pour reconfigurer l'entrée NAD (Network Access Device) pour tout périphérique réseau dans ISE qui est soit modifié soit supprimé d'ISE NAD. Cette procédure s'applique à tout périphérique réseau géré par Catalyst Center.

Solution

Pour que Catalyst Center configure l'entrée NAD dans ISE, nous devons changer l'adresse IP de gestion du périphérique (en n'importe quelle adresse IP factice) qui est le moteur qui déclenche le workflow de création d'entrée NAD.
Cette procédure s'applique à tout périphérique réseau géré par Catalyst Center. L'entrée NAD sera créée avec l'adresse IP d'origine (car le workflow se déclenche avant la modification de l'adresse IP de gestion). Dans cet exemple, les paramètres TrustSec avancés d'une entrée NAD sont désactivés dans ISE : 

Entrée NAD ISE pour un périphérique réseau

Les paramètres TrustSec avancés sont désactivés pour cette entrée NAD

Comme le montre cette image, les paramètres avancés TrustSec de l'entrée NAD du périphérique sont désactivés (généralement, lorsque Catalyst Center crée l'entrée NAD, cette section est activée). Dans Catalyst Center, modifiez l'adresse IP de gestion en IP factice qui déclenche le workflow pour reconfigurer l'entrée NAD dans ISE. Lorsque vous modifiez l'adresse IP de gestion, elle fait passer l'état de gestion du périphérique à Synchronisation et l'entrée NAD ISE doit être modifiée. 

Remplacement de l'adresse IP de gestion du périphérique réseau dans Catalyst Center par une adresse IP fictive

Le périphérique réseau passe en état de synchronisation

Le périphérique réseau devient inaccessible et non géré car l'adresse IP de gestion est une adresse IP factice et n'est pas accessible depuis Catalyst Center

L'entrée NAD ISE pour les paramètres TrustSec mis à jour et avancés est maintenant activée : 

Les paramètres TrustSec avancés ont été activés après la mise à jour de l'adresse IP de gestion depuis Catalyst Center

Une fois cette adresse créée, nous pouvons rétablir l'adresse IP d'origine de la gestion. 

Remplacement de l'adresse IP de gestion par son adresse IP d'origine

Une fois l'adresse IP de gestion mise à jour, le périphérique passe à l'état « Synchronisation » et devient « Géré ». 

Voici un autre scénario où l'entrée NAD a été supprimée : 

L'entrée NAD n'existe pas dans ISE pour le périphérique réseau

Comme vous le voyez, l'entrée NAD du même périphérique n'existe pas. Nous utilisons la même procédure, c'est-à-dire que nous modifions l'adresse IP de gestion dans Catalyst Center en IP factice). Après avoir suivi cette procédure, une entrée NAD est créée pour le périphérique réseau avec son adresse IP d'origine.