Installeer ISE op Azure Cloud Services

Downloadopties

  • PDF     (2.8 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (2.6 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.9 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:4 oktober 2023
Document-id:221026

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u een Cisco ISE IOS®-exemplaar kunt installeren met Azure Virtual Machine. Cisco ISE IOS is beschikbaar op Azure Cloud Services.

    Voorwaarden

    Vereisten

    Cisco raadt u aan kennis te hebben van de abonnementen en resourcegroepen.

    Gebruikte componenten

    De inhoud van dit document is gebaseerd op deze software- en cloudservices.

    • Cisco ISE versie 3.2.1
    • Microsoft Azure Cloud-services

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Procedure

    Ga naar Alle services > Abonnementen. Zorg ervoor dat een Azure-account met een actief abonnement en een ondernemingovereenkomst met Microsoft aanwezig zijn. Gebruik Microsoft PowerShell Azure-module CLI om opdrachten uit te voeren om ruimte te reserveren: (Raadpleeg Hoe u Azure PowerShell installeert voor de installatie van de energieschaal en relevante pakketten).

    Powershall2

    note-icon

    Opmerking: Vervang de huurder-ID door uw huidige huurder-ID.

    Voltooi de vereisten opHostquota aanvragen voor Azure VMware Solution voor meer informatie.

    Creëer een resourcegroep na juiste abonnement, navigeren naar Alle services > Resourcegroepen. Klik op Add (Toevoegen). Voer de naam van de resourcegroep in.

    Resource Group Name

    Virtuele netwerk- en beveiligingsgroepen

    Subnet die internet bereikbaarheid vereist moet de routetabel hebben geconfigureerd met volgende hop als internet. Zie voorbeelden van openbare en particuliere subnetwerken. PAN met openbare IP heeft zowel offline als online feed update werken, terwijl PAN met privaat IP moet vertrouwen op offline feed updates.

    Requirements

    Een SSH-sleutelpaar maken

    a. Gebruik de zoekbalk van de startpagina van Azure Web Portal en zoek naar SSH-toetsen.

    Search for SSH keys

    b. Klik in het volgende venster op Maken.

    Create Key

    c. Kies in het volgende venster de Resourcegroep en sleutelnaam. Klik vervolgens op Review + Create.

    Create SSH Key

    d. Klik vervolgens op Maak en download Private Key.

    Download Private Key

    Azure VM Sizes ondersteund door Cisco ISE

    ISE VM Sizing

    • De Azure VM-formaten van de Fsv2-reeks zijn geoptimaliseerd voor computers en zijn het meest geschikt voor gebruik als PSN's voor verwerkingsintensieve taken en toepassingen.
    • De Dsv4-Series zijn algemene Azure VM-formaten die het meest geschikt zijn voor gebruik als PAN- of MnT-knooppunten of beide en die bedoeld zijn voor gegevensverwerkingstaken en databasebewerkingen.

    Als u een instantie voor algemene doeleinden als een PSN gebruikt, zijn de prestatienummers lager dan de prestaties van een instantie voor computeroptimalisatie als een PSN. De Standard_D8s_v4 VM-grootte moet alleen als extra kleine PSN worden gebruikt.

    note-icon

    Opmerking: Kloon geen bestaand Azure Cloud-image om een Cisco ISE-exemplaar te maken. Dit kan willekeurige en onverwachte storingen in de gemaakte ISE-machine tot gevolg hebben.

    Beperkingen van Cisco ISE in Microsoft Azure Cloud-services

    • Als u Cisco ISE maakt met de Azure Virtual Machine, wijst Microsoft Azure standaard privéIP-adressen aan VM's toe via DHCP-servers. Voordat u een Cisco ISE-implementatie maakt op Microsoft Azure, moet u de voorwaartse en omgekeerde DNS-vermeldingen bijwerken met de IP-adressen die door Microsoft Azure zijn toegewezen.

      U kunt ook, nadat u Cisco ISE hebt geïnstalleerd, een statisch IP-adres aan uw VM toewijzen door het netwerkinterfaceobject in Microsoft Azure bij te werken:

      1. Stop de VM.

      2. Klik in het gedeelte Private IP-adresinstellingen van de VM, in het gedeelte Toewijzing, op Statisch.

      3. Start de VM opnieuw.

      4. Wijs in de Cisco ISE-seriële console het IP-adres toe als Gi0.

      5. Start de Cisco ISE-toepassingsserver opnieuw.

    • Dual NIC wordt ondersteund met slechts twee NIC's: Gigabit Ethernet 0 en Gigabit Ethernet 1. Om een secundaire NIC in uw Cisco ISE-exemplaar te configureren, moet u eerst een netwerkinterfaceobject in Azure maken, uw Cisco ISE-exemplaar uitschakelen en dit netwerkinterfaceobject vervolgens aan Cisco ISE toevoegen. Nadat u Cisco ISE op Azure hebt geïnstalleerd en gestart, gebruikt u de Cisco ISE CLI om het IP-adres van het netwerkinterfaceobject handmatig te configureren als de secundaire NIC.

    • De workflow voor de upgrade van Cisco ISE is niet beschikbaar in Cisco ISE op Microsoft Azure. Alleen nieuwe installaties worden ondersteund. U kunt echter wel een back-up en herstel van de configuratiegegevens uitvoeren.
    • De openbare cloud ondersteunt alleen Layer 3-functies. Cisco ISE-knooppunten op Microsoft Azure ondersteunen geen Cisco ISE-functies die afhankelijk zijn van Layer 2-functies. Met DHCP SPAN-profieltests en CDP-protocolfuncties via Cisco ISE-CLI zijn bijvoorbeeld functies die momenteel niet worden ondersteund.
    • Wanneer u de herstel- en back-upfunctie van configuratiegegevens uitvoert nadat de back-upbewerking is voltooid, moet u Cisco ISE eerst opnieuw opstarten via de CLI. Start vervolgens de terugzetbewerking vanuit de Cisco ISE GUI.
    • SSH-toegang tot Cisco ISE CLI met wachtwoordgebaseerde verificatie wordt niet ondersteund in Azure. U hebt alleen toegang tot de Cisco ISE CLI via een sleutelpaar, en dit sleutelpaar moet veilig worden opgeslagen. Als u een Private Key (of PEM)-bestand gebruikt en het bestand kwijtraakt, kunt u de Cisco ISE-CLI niet openen. Integratie die een op een wachtwoord gebaseerde verificatiemethode gebruikt om toegang tot Cisco ISE CLI te krijgen, wordt niet ondersteund, bijvoorbeeld Cisco DNA Center release 2.1.2 en eerder.

    • Cisco ISE IOS-implementaties in Azure maken doorgaans gebruik van VPN-oplossingen zoals Dynamic Multipoint Virtual Private Networks (DMVPN) en softwaregedefinieerde Wide Area Networks (SD-WAN), waar de overheadkosten van de IPSec-tunnel MTU en fragmentatieproblemen kunnen veroorzaken. In dergelijke scenario's ontvangt Cisco ISE IOS geen volledige RADIUS-pakketten en treedt een verificatiefout op zonder dat er een foutlogboek wordt geactiveerd.

      Een mogelijke tijdelijke oplossing is het zoeken naar technische ondersteuning van Microsoft om oplossingen in Azure te verkennen die het mogelijk maken dat fragmenten die buiten bestelling zijn geplaatst, worden doorgegeven aan de bestemming in plaats van te worden gedropt.

    • CLI Admin-gebruiker moet 'iseadmin' zijn.

    Configureren

    Voorbeeld van ISE-implementatie verbonden met Azure Cloud

    Example of ISE Deployment on Azure2

    Configuraties

    • Stap 1. Ga naar het Azure-portal en log in bij uw Microsoft Azure-account.

    Login to Azure

    • Stap 2. Gebruik het zoekveld boven in het venster om naar Marketplace te zoeken.

    Search for Market Place

    • Stap 3. Gebruik het veld Zoeken op marktplaats om naar Cisco Identity Services Engine (ISE) te zoeken.

    Search for ISE in the Market Place

    • Stap 4. Klik op Virtuele machine.

    Creat VM

    • Stap 5. Klik in het nieuwe venster op Maken.

    Click Create

    • Stap 6. In het tabblad Basics:

        a. Kies in het gebied Projectgegevens de gewenste waarden uit de vervolgkeuzelijsten Abonnement en Resourcegroep

        b. Voer in het gebied Instantiedetails een waarde in het veld Naam virtuele machine in.

        c. Kies het Cisco ISE-beeld in de vervolgkeuzelijst Afbeelding

        d. Kies in de vervolgkeuzelijst Grootte de instantiegrootte waarmee u Cisco ISE wilt installeren. Kies een instantie die wordt ondersteund door Cisco ISE, zoals vermeld in de tabel met de titel Azure Cloud.

    De instanties die door Cisco ISE worden ondersteund, zijn te vinden in de sectie Cisco ISE on Azure Cloud.

        e. Klik in het gebied Administrator-account > Verificatietype op de radioknop SSH Public Key.

        f.  Voer in het veld Gebruikersnaam iseadmin in

        g. Kies uit de vervolgkeuzelijst van de openbare SSH-sleutelbron bestaande sleutel gebruiken die in Azure is opgeslagen.

        h. Kies in de vervolgkeuzelijst Opgeslagen toetsen het sleutelpaar dat u als voorwaarde voor deze taak hebt gemaakt.

        j.  Klik in het gebied Inkomende poortregels op de radioknop Geselecteerde poorten toestaan

        k. Kies Overige in het gebied Licentie in de vervolgkeuzelijst Type Licentie.

    Create a Virtual MachineEen virtuele machine maken

    • Stap 7. Klik op Volgende: Schijven.

    Create the Virtual Machine

    • Stap 8. Bewaar op het tabblad Schijven de standaardwaarden voor de verplichte velden en klik op Volgende: Networking.

    Create the Virtual Machine

    note-icon

    Opmerking: Voor het type schijf zijn er meer opties uit de vervolgkeuzelijst waaruit u kunt kiezen. U kunt kiezen die aan uw behoeften voldoet. Premium SSD is het aanbevolen type voor productie- en prestatiegevoelige werkbelastingen.

    • Stap 9. Kies in het gebied Network Interface het virtuele netwerk, Subnet en stel de vervolgkeuzelijsten voor de netwerkbeveiligingsgroep in.
    note-icon

    Opmerking: Het subnetnummer met een openbaar IP-adres ontvangt online en offline posture feed-updates, terwijl een subnetnummer met een privaat IP-adres alleen offline posture feed-updates ontvangt.

    Create the Virtual Machine

    • Stap 10. Klik op Volgende: Beheer.

    Create the Virtual Machine

    • Stap 11. Bewaar op het tabblad Beheer de standaardwaarden voor de verplichte velden en klik op Volgende: Geavanceerd.

    Create the Virtual Machine

    Create the Virtual Machine

    • Stap 12. Selecteer in het gebied Gebruikersgegevens het aanvinkvakje Gebruikersgegevens inschakelen.

    Vul in het veld Gebruikersgegevens de volgende informatie in:

        hostname=<hostnaam van Cisco ISE

        PrimeServer=<IPv4-adres

        dnsdomain=<domeinnaam

        ntpserver=<IPv4-adres of FQDN van de NTP-server

        timezone=<timezone>

        wachtwoord=<wachtwoord

        ersapi=<ja/neen>

        openapi=<ja/neen>

        pxGrid=<ja/neen>

        pxgrid_cloud=<ja/neen>

    note-icon

    Opmerking: U moet de juiste syntaxis gebruiken voor elk van de velden die u vormt via de gebruikersgegevensinvoer. De informatie die u in het veld Gebruikersgegevens invoert, wordt niet gevalideerd wanneer deze wordt ingevoerd. Als u de verkeerde syntaxis gebruikt, worden Cisco ISE-services niet weergegeven wanneer u de afbeelding start.

    Zie de Richtlijnen voor de configuraties die u via het veld met gebruikersgegevens moet indienen:

    a. hostnaam: Voer een hostnaam in die alleen alfanumerieke tekens en koppeltekens bevat (-). De lengte van de hostname mag niet meer dan 19 tekens bedragen en mag geen underscores (_) bevatten.

    b. primaire naamserver: Voer het IP-adres van de primaire naamserver in. Alleen IPv4-adressen worden ondersteund.

    In deze stap kunt u slechts één DNS-server toevoegen. U kunt na de installatie extra DNS-servers toevoegen via de Cisco ISE-CLI.

    c. dnsdomain: Voer de FQDN van het DNS-domein in. De ingang kan tekens, cijfers, koppeltekens (-) en periodes (.) van ASCII bevatten.

    d. Netwerkserver: Voer het IPv4-adres of FQDN van de NTP-server in die voor synchronisatie moet worden gebruikt.

    U kunt in deze stap slechts één NTP-server toevoegen. U kunt na de installatie extra NTP-servers toevoegen via de Cisco ISE-CLI. Gebruik een geldige en bereikbare NTP-server omdat dit nodig is voor ISE-bewerkingen.

    e. tijdzone: Voer een tijdzone in, bijvoorbeeld Etc/UTC. Het wordt aanbevolen om alle Cisco ISE-knooppunten in te stellen op de gecoördineerde Universal Time (UTC)-tijdzone, met name als uw Cisco ISE-knooppunten zijn geïnstalleerd in een gedistribueerde implementatie. Deze procedure zorgt ervoor dat de tijdstempels van de rapporten en logboeken van de diverse knooppunten in uw plaatsing altijd gesynchroniseerd zijn.

    f. wachtwoord: Configureer een wachtwoord voor op GUI gebaseerde aanmelding bij Cisco ISE. Het wachtwoord dat u invoert, moet voldoen aan het Cisco ISE-wachtwoordbeleid. Het wachtwoord moet 6 tot 25 tekens bevatten en ten minste één cijfer, één hoofdletter en één kleine letter bevatten. Het wachtwoord kan niet hetzelfde zijn als de gebruikersnaam of het omgekeerde wachtwoord (iseadmin of nimdaesi), cisco of OCSIC. De toegestane speciale tekens zijn @~*!,+=_-. Zie de sectie 'Gebruikerswachtwoord' in het hoofdstuk 'Basisinstellingen' van de Cisco ISE-beheerdershandleiding voor uw release. 

    g. ersapi: Vul ja in om ERS in te schakelen, of nee om ERS niet toe te staan.

    h. openapi: Voer ja in om OpenAPI in te schakelen, of nee om OpenAPI te verbieden. 

    i. PxGrid: Voer ja in om pxGrid in te schakelen, of nee om pxGrid uit te schakelen. 

    j. pxgrid_cloud: Voer ja in om pxGrid Cloud in te schakelen of nee om pxGrid Cloud niet toe te staan. Om pxGrid Cloud in te schakelen, moet u pxGrid inschakelen. Als u pxGrid niet toestaat, maar pxGrid Cloud inschakelt, worden pxGrid Cloud-services niet ingeschakeld bij de start.

    User Data SectionSectie Gebruikersgegevens

    • Stap 13. Klik op Volgende: Tags.

    Create the Virtual Machine

    • Stap 14. Om naam-waarde paren te maken die u in staat stellen resources te categoriseren en meerdere bronnen en resourcegroepen te consolideren, voert u waarden in de velden Naam en Waarde in

    Create the Virtual Machine

    • Stap 15. Klik op Volgende: Review + Maken.

    Review and Created

    • Stap 16. Bekijk de informatie die u tot nu toe hebt opgegeven en klik op Maken.

    Het venster Implementatie wordt weergegeven. Het maken van de Cisco ISE-instantie duurt ongeveer 30 minuten en is beschikbaar voor gebruik. Het Cisco ISE VM-exemplaar wordt weergegeven in het Virtueel Het venster Machines (gebruik het hoofdzoekveld om het venster te vinden).

    Create the Virtual Machine

    Deployment in Progress

    Wat te doen

    Als gevolg van een standaardinstelling van Microsoft Azure wordt de door u gemaakte Cisco ISE-VM geconfigureerd met slechts een schijfgrootte van 300 GB. Cisco ISE-knooppunten vereisen doorgaans een schijfgrootte van meer dan 300 GB. U kunt het alarm Inafgaand virtueel geheugen zien wanneer u Cisco ISE voor het eerst start vanuit Microsoft Azure.

    Nadat de Cisco ISE-VM is gemaakt, meldt u zich aan bij het Cisco ISE-beheerportal om te controleren of Cisco ISE is geïnstalleerd. Vervolgens voert u in het Microsoft Azure-portal stappen uit en voltooit u deze in het venster Virtuele machines om de schijfgrootte te bewerken:

    1. Stop de Cisco ISE-instantie.

    Stop ISE VM

    2. Klik op Disk in het linkerdeelvenster en klik op de schijf die u met Cisco ISE gebruikt.

    Click the Disk

    3. Klik in het linker deelvenster op Grootte + prestaties.

    Select Size-Performance Page

    4. Voer in het veld Aangepaste schijfgrootte de gewenste schijfgrootte in in GiB.

    Change Disck Size

    Installatietaken achteraf

    Raadpleeg het hoofdstuk 'Installatieverificatie en post-installatietaken' in de Cisco ISE-installatiegids voor de Cisco ISE-release voor informatie over de taken die u na de installatie moet uitvoeren nadat u met succes een Cisco ISE-instantie hebt gemaakt.

    Wachtwoordherstel en opnieuw instellen op Azure Cloud

    Voltooi de taken die u helpen het wachtwoord van uw Cisco ISE virtuele machine opnieuw in te stellen of te herstellen. Kies de taken die u nodig hebt en voer de stappen gedetailleerd uit.

    1. Reset Cisco ISE GUI-wachtwoord via seriële console

    • Stap 1. Meld u aan bij Azure Cloud en kies de resourcegroep die uw Cisco ISE virtuele machine bevat.
    • Stap 2. Klik vanuit de lijst met bronnen op de Cisco ISE-instantie waarvoor u het wachtwoord wilt herstellen.
    • Stap 3. Klik in het linkermenu in het gedeelte Ondersteuning + probleemoplossing op Seriële console.

    Click Serial Console

    • Stap 4. Als u hier een foutmelding bekijkt, moet u opstartdiagnostiek inschakelen door de volledige stappen uit te voeren:

    a. Klik in het menu aan de linkerkant op Boot Diagnostics (Opstartdiagnostiek).

    Diagnostic

    b. Klik op Inschakelen met een aangepaste opslagaccount. Klik vervolgens op Opslaan.

    Click Save

    • Stap 5. Klik in het linkermenu in het gedeelte Support + Problemen oplossen op Seriële console. De Azure Cloud Shell wordt weergegeven in een nieuw venster. Als het scherm zwart is, drukt u op ENTER om de inlogprompt te bekijken.

    Logging Prompt

    • Stap 8. Log in op de seriële console. Om in de seriële console te kunnen inloggen, moet u het oorspronkelijke wachtwoord gebruiken dat bij de installatie van de instantie is geconfigureerd.
    • Stap 9. Gebruik de opdracht iseadmin om een nieuw GUI-wachtwoord voor de iseadmin-account te configureren.

    2. Maak een nieuw publiek sleutelpaar voor SSH-toegang

    Via deze taak voegt u extra sleutelparen toe aan een repository. Het bestaande sleutelpaar dat is gemaakt ten tijde van de Cisco ISE-instantieconfiguratie, wordt niet vervangen door de nieuwe openbare sleutel die u hebt gemaakt.

    • Stap 1. Maak een nieuwe openbare sleutel in Azure Cloud.

    Create SSH Key

    U krijgt een pop-up venster om te kiezen Download private sleutel en maak een resource dat de SSH-sleutel als een .pem bestand downloadt.

    Download the Key

    • Stap 2. Om een nieuwe opslagplaats te maken om de openbare sleutel op te slaan, zie Azure Repos-documentatie. Als u al een repository hebt die toegankelijk is via de CLI, gaat u naar Stap 3.
    • Stap 3. Om de nieuwe Public Key te importeren, gebruikt u de opdracht crypto key import <public key filename> repository <naam repository>.
    • Stap 4. Wanneer de import is voltooid, kunt u zich via SSH aanmelden bij Cisco ISE met de nieuwe openbare sleutel.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    04-Oct-2023
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Ameer Al Azzawi
      Security technische consultingengineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten