De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Dit document beschrijft hoe u een Cisco ISE IOS®-exemplaar kunt installeren met Azure Virtual Machine. Cisco ISE IOS is beschikbaar op Azure Cloud Services.
Cisco raadt u aan kennis te hebben van de abonnementen en resourcegroepen.
De inhoud van dit document is gebaseerd op deze software- en cloudservices.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Ga naar Alle services > Abonnementen. Zorg ervoor dat een Azure-account met een actief abonnement en een ondernemingovereenkomst met Microsoft aanwezig zijn. Gebruik Microsoft PowerShell Azure-module CLI om opdrachten uit te voeren om ruimte te reserveren: (Raadpleeg Hoe u Azure PowerShell installeert voor de installatie van de energieschaal en relevante pakketten).
Opmerking: Vervang de huurder-ID door uw huidige huurder-ID.
Voltooi de vereisten opHostquota aanvragen voor Azure VMware Solution voor meer informatie.
Creëer een resourcegroep na juiste abonnement, navigeren naar Alle services > Resourcegroepen. Klik op Add (Toevoegen). Voer de naam van de resourcegroep in.
Virtuele netwerk- en beveiligingsgroepen
Subnet die internet bereikbaarheid vereist moet de routetabel hebben geconfigureerd met volgende hop als internet. Zie voorbeelden van openbare en particuliere subnetwerken. PAN met openbare IP heeft zowel offline als online feed update werken, terwijl PAN met privaat IP moet vertrouwen op offline feed updates.
Een SSH-sleutelpaar maken
a. Gebruik de zoekbalk van de startpagina van Azure Web Portal en zoek naar SSH-toetsen.
b. Klik in het volgende venster op Maken.
c. Kies in het volgende venster de Resourcegroep en sleutelnaam. Klik vervolgens op Review + Create.
d. Klik vervolgens op Maak en download Private Key.
Als u een instantie voor algemene doeleinden als een PSN gebruikt, zijn de prestatienummers lager dan de prestaties van een instantie voor computeroptimalisatie als een PSN. De Standard_D8s_v4 VM-grootte moet alleen als extra kleine PSN worden gebruikt.
Opmerking: Kloon geen bestaand Azure Cloud-image om een Cisco ISE-exemplaar te maken. Dit kan willekeurige en onverwachte storingen in de gemaakte ISE-machine tot gevolg hebben.
Als u Cisco ISE maakt met de Azure Virtual Machine, wijst Microsoft Azure standaard privéIP-adressen aan VM's toe via DHCP-servers. Voordat u een Cisco ISE-implementatie maakt op Microsoft Azure, moet u de voorwaartse en omgekeerde DNS-vermeldingen bijwerken met de IP-adressen die door Microsoft Azure zijn toegewezen.
U kunt ook, nadat u Cisco ISE hebt geïnstalleerd, een statisch IP-adres aan uw VM toewijzen door het netwerkinterfaceobject in Microsoft Azure bij te werken:
Stop de VM.
Klik in het gedeelte Private IP-adresinstellingen van de VM, in het gedeelte Toewijzing, op Statisch.
Start de VM opnieuw.
Wijs in de Cisco ISE-seriële console het IP-adres toe als Gi0.
Start de Cisco ISE-toepassingsserver opnieuw.
Dual NIC wordt ondersteund met slechts twee NIC's: Gigabit Ethernet 0 en Gigabit Ethernet 1. Om een secundaire NIC in uw Cisco ISE-exemplaar te configureren, moet u eerst een netwerkinterfaceobject in Azure maken, uw Cisco ISE-exemplaar uitschakelen en dit netwerkinterfaceobject vervolgens aan Cisco ISE toevoegen. Nadat u Cisco ISE op Azure hebt geïnstalleerd en gestart, gebruikt u de Cisco ISE CLI om het IP-adres van het netwerkinterfaceobject handmatig te configureren als de secundaire NIC.
Cisco ISE IOS-implementaties in Azure maken doorgaans gebruik van VPN-oplossingen zoals Dynamic Multipoint Virtual Private Networks (DMVPN) en softwaregedefinieerde Wide Area Networks (SD-WAN), waar de overheadkosten van de IPSec-tunnel MTU en fragmentatieproblemen kunnen veroorzaken. In dergelijke scenario's ontvangt Cisco ISE IOS geen volledige RADIUS-pakketten en treedt een verificatiefout op zonder dat er een foutlogboek wordt geactiveerd.
Een mogelijke tijdelijke oplossing is het zoeken naar technische ondersteuning van Microsoft om oplossingen in Azure te verkennen die het mogelijk maken dat fragmenten die buiten bestelling zijn geplaatst, worden doorgegeven aan de bestemming in plaats van te worden gedropt.
a. Kies in het gebied Projectgegevens de gewenste waarden uit de vervolgkeuzelijsten Abonnement en Resourcegroep
b. Voer in het gebied Instantiedetails een waarde in het veld Naam virtuele machine in.
c. Kies het Cisco ISE-beeld in de vervolgkeuzelijst Afbeelding.
d. Kies in de vervolgkeuzelijst Grootte de instantiegrootte waarmee u Cisco ISE wilt installeren. Kies een instantie die wordt ondersteund door Cisco ISE, zoals vermeld in de tabel met de titel Azure Cloud.
De instanties die door Cisco ISE worden ondersteund, zijn te vinden in de sectie Cisco ISE on Azure Cloud.
e. Klik in het gebied Administrator-account > Verificatietype op de radioknop SSH Public Key.
f. Voer in het veld Gebruikersnaam iseadmin in.
g. Kies uit de vervolgkeuzelijst van de openbare SSH-sleutelbron bestaande sleutel gebruiken die in Azure is opgeslagen.
h. Kies in de vervolgkeuzelijst Opgeslagen toetsen het sleutelpaar dat u als voorwaarde voor deze taak hebt gemaakt.
j. Klik in het gebied Inkomende poortregels op de radioknop Geselecteerde poorten toestaan.
k. Kies Overige in het gebied Licentie in de vervolgkeuzelijst Type Licentie.
Opmerking: Voor het type schijf zijn er meer opties uit de vervolgkeuzelijst waaruit u kunt kiezen. U kunt kiezen die aan uw behoeften voldoet. Premium SSD is het aanbevolen type voor productie- en prestatiegevoelige werkbelastingen.
Opmerking: Het subnetnummer met een openbaar IP-adres ontvangt online en offline posture feed-updates, terwijl een subnetnummer met een privaat IP-adres alleen offline posture feed-updates ontvangt.
Vul in het veld Gebruikersgegevens de volgende informatie in:
hostname=<hostnaam van Cisco ISE>
PrimeServer=<IPv4-adres>
dnsdomain=<domeinnaam>
ntpserver=<IPv4-adres of FQDN van de NTP-server>
timezone=<timezone>
wachtwoord=<wachtwoord>
ersapi=<ja/neen>
openapi=<ja/neen>
pxGrid=<ja/neen>
pxgrid_cloud=<ja/neen>
Opmerking: U moet de juiste syntaxis gebruiken voor elk van de velden die u vormt via de gebruikersgegevensinvoer. De informatie die u in het veld Gebruikersgegevens invoert, wordt niet gevalideerd wanneer deze wordt ingevoerd. Als u de verkeerde syntaxis gebruikt, worden Cisco ISE-services niet weergegeven wanneer u de afbeelding start.
Zie de Richtlijnen voor de configuraties die u via het veld met gebruikersgegevens moet indienen:
a. hostnaam: Voer een hostnaam in die alleen alfanumerieke tekens en koppeltekens bevat (-). De lengte van de hostname mag niet meer dan 19 tekens bedragen en mag geen underscores (_) bevatten.
b. primaire naamserver: Voer het IP-adres van de primaire naamserver in. Alleen IPv4-adressen worden ondersteund.
In deze stap kunt u slechts één DNS-server toevoegen. U kunt na de installatie extra DNS-servers toevoegen via de Cisco ISE-CLI.
c. dnsdomain: Voer de FQDN van het DNS-domein in. De ingang kan tekens, cijfers, koppeltekens (-) en periodes (.) van ASCII bevatten.
d. Netwerkserver: Voer het IPv4-adres of FQDN van de NTP-server in die voor synchronisatie moet worden gebruikt.
U kunt in deze stap slechts één NTP-server toevoegen. U kunt na de installatie extra NTP-servers toevoegen via de Cisco ISE-CLI. Gebruik een geldige en bereikbare NTP-server omdat dit nodig is voor ISE-bewerkingen.
e. tijdzone: Voer een tijdzone in, bijvoorbeeld Etc/UTC. Het wordt aanbevolen om alle Cisco ISE-knooppunten in te stellen op de gecoördineerde Universal Time (UTC)-tijdzone, met name als uw Cisco ISE-knooppunten zijn geïnstalleerd in een gedistribueerde implementatie. Deze procedure zorgt ervoor dat de tijdstempels van de rapporten en logboeken van de diverse knooppunten in uw plaatsing altijd gesynchroniseerd zijn.
f. wachtwoord: Configureer een wachtwoord voor op GUI gebaseerde aanmelding bij Cisco ISE. Het wachtwoord dat u invoert, moet voldoen aan het Cisco ISE-wachtwoordbeleid. Het wachtwoord moet 6 tot 25 tekens bevatten en ten minste één cijfer, één hoofdletter en één kleine letter bevatten. Het wachtwoord kan niet hetzelfde zijn als de gebruikersnaam of het omgekeerde wachtwoord (iseadmin of nimdaesi), cisco of OCSIC. De toegestane speciale tekens zijn @~*!,+=_-. Zie de sectie 'Gebruikerswachtwoord' in het hoofdstuk 'Basisinstellingen' van de Cisco ISE-beheerdershandleiding voor uw release.
g. ersapi: Vul ja in om ERS in te schakelen, of nee om ERS niet toe te staan.
h. openapi: Voer ja in om OpenAPI in te schakelen, of nee om OpenAPI te verbieden.
i. PxGrid: Voer ja in om pxGrid in te schakelen, of nee om pxGrid uit te schakelen.
j. pxgrid_cloud: Voer ja in om pxGrid Cloud in te schakelen of nee om pxGrid Cloud niet toe te staan. Om pxGrid Cloud in te schakelen, moet u pxGrid inschakelen. Als u pxGrid niet toestaat, maar pxGrid Cloud inschakelt, worden pxGrid Cloud-services niet ingeschakeld bij de start.
Het venster Implementatie wordt weergegeven. Het maken van de Cisco ISE-instantie duurt ongeveer 30 minuten en is beschikbaar voor gebruik. Het Cisco ISE VM-exemplaar wordt weergegeven in het Virtueel Het venster Machines (gebruik het hoofdzoekveld om het venster te vinden).
Als gevolg van een standaardinstelling van Microsoft Azure wordt de door u gemaakte Cisco ISE-VM geconfigureerd met slechts een schijfgrootte van 300 GB. Cisco ISE-knooppunten vereisen doorgaans een schijfgrootte van meer dan 300 GB. U kunt het alarm Inafgaand virtueel geheugen zien wanneer u Cisco ISE voor het eerst start vanuit Microsoft Azure.
Nadat de Cisco ISE-VM is gemaakt, meldt u zich aan bij het Cisco ISE-beheerportal om te controleren of Cisco ISE is geïnstalleerd. Vervolgens voert u in het Microsoft Azure-portal stappen uit en voltooit u deze in het venster Virtuele machines om de schijfgrootte te bewerken:
1. Stop de Cisco ISE-instantie.
2. Klik op Disk in het linkerdeelvenster en klik op de schijf die u met Cisco ISE gebruikt.
3. Klik in het linker deelvenster op Grootte + prestaties.
4. Voer in het veld Aangepaste schijfgrootte de gewenste schijfgrootte in in GiB.
Raadpleeg het hoofdstuk 'Installatieverificatie en post-installatietaken' in de Cisco ISE-installatiegids voor de Cisco ISE-release voor informatie over de taken die u na de installatie moet uitvoeren nadat u met succes een Cisco ISE-instantie hebt gemaakt.
Voltooi de taken die u helpen het wachtwoord van uw Cisco ISE virtuele machine opnieuw in te stellen of te herstellen. Kies de taken die u nodig hebt en voer de stappen gedetailleerd uit.
a. Klik in het menu aan de linkerkant op Boot Diagnostics (Opstartdiagnostiek).
b. Klik op Inschakelen met een aangepaste opslagaccount. Klik vervolgens op Opslaan.
Via deze taak voegt u extra sleutelparen toe aan een repository. Het bestaande sleutelpaar dat is gemaakt ten tijde van de Cisco ISE-instantieconfiguratie, wordt niet vervangen door de nieuwe openbare sleutel die u hebt gemaakt.
U krijgt een pop-up venster om te kiezen Download private sleutel en maak een resource dat de SSH-sleutel als een .pem bestand downloadt.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
04-Oct-2023 |
Eerste vrijgave |