Continguts amagar
1 Programari CISCO ISE
2 Acabatview d'un desplegament de Multiple Catalyst Center
3 Clúster de nodes d'autor
4 Gestió de polítiques del Centre de Catalitzadors Múltiples
5 Recomanacions d'actualització per al Centre de catalitzadors múltiples
6 Diversos desplegaments de Catalyst Center
7 Habilitació del Centre de catalitzadors múltiples
8 Documents/Recursos
8.1 Referències

Logotip de CISCO

Programari CISCO ISE

CISCO-ISE-Software-PRODUCT

Acabatview d'un desplegament de Multiple Catalyst Center

When you integrate more than one Catalyst Center cluster with a single Cisco ISE system, each Catalyst Center cluster is independent. No information is shared from any one cluster to any other. In this scenario, when Cisco Software-Defined Access (SD-Access) is deployed on Catalyst Center, the set of virtual networks (VNs) and all other SD-Access is local to each cluster.
Catalyst Center provides a mechanism to coordinate SD-Access and Group-Based Policy (GBP) elements across multiple Catalyst Center clusters integrated with a single Cisco ISE system. In order to allow global administration of SD-Access across multiple Catalyst Center clusters with a consistent set of VNs, the Multiple Catalyst Center feature leverages the existing secure connection with Cisco ISE to propagate VNs, security group tags (SGTs), Access Contracts, and Group-Based Access Control (GBAC) Policy from one cluster to another cluster. Cisco ISE takes the information learned from one cluster (known as the Author Node) and propagates it to the other clusters (known as the Reader Nodes).
The Multiple Catalyst Center feature is available when integrated with Cisco ISE Release 3.2 or later.

CISCO-ISE-Software (2)

Nota

  • The Multiple Catalyst Center operation is disabled by default. To use this feature, select the Enable Multiple Catalyst Center operation (under Advanced Settings) when integrating Catalyst Center with Cisco ISE. You can enable this feature at the initial configuration or at a later time (after Cisco ISE is already integrated). After this functionality is enabled, only deleting the Cisco ISE integration can disable the functionality.
  • If you are using earlier releases of Cisco ISE, you must contact your account team to submit a request to the Cisco SDA Design Council for inclusion in the Limited Availability program. A Multiple Catalyst Center Limited Availability package will be made available to provided to allow access to the limited availability (LA) version of this functionality. See the Multiple Cisco DNA Center to Single Cisco ISE Prescriptive Deployment Guide for more information.

The Multiple Catalyst Center feature has specific role designations for the clusters:

  • Clúster de nodes d'autor
  • Clúster de nodes de lector

Clúster de nodes d'autor

  • El rol de node d'autor s'assigna al primer clúster (amb l'opció Multiple Catalyst Center habilitada) que s'integra amb el desplegament de Cisco ISE, o al primer clúster que habilita l'opció Multiple Catalyst Center. El clúster de node d'autor és el punt d'administració per a la política basada en grups (GBP) i per a les dades globals de Cisco SD-Access. El clúster de node d'autor gestiona VN, SGT, contractes d'accés i la política GBAC. La creació, modificació o supressió de components VN i GBP només es pot fer al clúster de node d'autor.
  • El clúster de nodes d'autor envia la informació de VN i GBP a Cisco ISE mitjançant les API d'ERS (REST) perquè Cisco ISE utilitzi aquesta informació i la publiqui a tots els altres clústers de Cisco Catalyst Center amb el rol de node de lector a través de Cisco ISE pxGrid.
  • Només es pot designar un clúster com a node d'autor. És l'únic node on es poden gestionar les dades GBP i les dades SDA globals definides per l'usuari (com ara VN o política d'extranet).
  • Si els SGT o els VN estan operatius al node d'autor, no es poden suprimir.

Clúster de nodes de lector

  • A tots els altres clústers de Catalyst Center que tenen la funció Multiple Catalyst Center habilitada se'ls assigna el rol de clúster de nodes de lector. Els clústers de nodes de lector tenen un accés de només lectura. view de VN i SGT.
  • Tot i que els clústers de nodes de lector consumeixen i persisteixen els mateixos VN, SGT, contractes d'accés i polítiques GBAC que es defineixen al clúster de nodes d'autor, un clúster de nodes de lector no mostra els contractes ni les polítiques d'accés.
    VNs can only be created on the Author Node cluster. After created they are propagated to the Reader Node clusters, where they may be used in fabric provisioning operations. The Reader Node clusters configure the associated network attributes such as Virtual Network Identifies (VNID), Route Targets (RT), and Route
  • Distinguishers (RD) which are local to that cluster.
    Excepte les funcions VN i GBP, cada clúster de nodes de lector és un clúster independent que gestiona la seva pròpia infraestructura de xarxa.
  • La funció Multiple Catalyst Center permet l'administració global de polítiques en diversos clústers de Cisco Catalyst Center integrats en un únic Cisco ISE. Aquesta capacitat no canvia les limitacions subjacents de la gestió de xarxes i teixits virtuals en diversos clústers de Cisco Catalyst Center. Una VN pot tenir el mateix nom en diversos clústers de Cisco Catalyst Center, cosa que li permet admetre associacions coherents de grup de seguretat-VN en diversos clústers. Però a nivell de clúster individual, els atributs de xarxa reals que s'han d'associar amb una VN (VRF, objectiu de ruta, distintiu de ruta, etc.) no són idèntics entre clústers. Això passa el mateix que quan es fan funcionar clústers independents de Catalyst Center.
  • Up to four Catalyst Center clusters can be added as Reader Node clusters. Before adding a Catalyst Center node as a Reader, you must remove all admin-created Cisco SD-Access global data on the Reader Node cluster for Catalyst Center to integrate with Cisco ISE. This includes nondefault VNs (any VNs other than
    “DEFAULT_VN” and “INFRA_VN”, Extranet Policy, and so on). In the event there’s any nondefault GBP data (SGTs, Access Contracts, GBP), the user has the option to automatically clean up (delete) all nondefault GBP data, or to merge any GBP data not already present in Cisco ISE.

Nota

  • Only five Catalyst Center clusters can be integrated with a single Cisco ISE deployment. This means one Author Node cluster and up to four Reader Node clusters.
  • It’s possible to delete SGTs or VNs on the Author Node even when they are in use on Reader Nodes. In that event, the stale SGTs or VNs must be deleted manually on the Reader Nodes (after removing any references).

Gestió de polítiques del Centre de Catalitzadors Múltiples

Després d'integrar Catalyst Center amb Cisco ISE i fer la sincronització GBP, la informació de les polítiques es sincronitza entre Catalyst Center i Cisco ISE. Els privilegis de creació de polítiques es troben dins de Catalyst.

Centre. Les finestres de Cisco ISE per a la gestió de SGT, ACL de grup de seguretat (SGACL) i política de sortida passen a ser de només lectura.
Podeu gestionar la política basada en grups (grups de seguretat, contractes d'accés i política GBAC) a Cisco ISE en comptes de a Catalyst Center.
A la GUI del Catalyst Center, feu clic a la icona del menú i trieu Política > Control d'accés basat en grups > Polítiques > Configuració GBAC > Gestiona el control d'accés basat en grups a Cisco ISE.

Recomanacions d'actualització per al Centre de catalitzadors múltiples

En un entorn amb diversos Catalyst Center, es recomana executar la mateixa versió de programari de Catalyst Center a tots els clústers de nodes d'autor i de lector, excepte durant el procés d'actualitzacions del clúster. Podeu actualitzar primer tots els clústers de nodes de lector i, a continuació, actualitzar el clúster de nodes d'autor per evitar la disparitat de funcions i la incompatibilitat de funcions entre versions de programari. Eviteu promocionar un clúster de nodes de lector al rol de node d'autor enmig d'un cicle d'actualització. Tots els clústers de Catalyst Center s'han d'actualitzar i executar la mateixa versió de programari abans de promocionar un clúster de nodes de lector.
Figura 1: Recomanacions d'actualització per a Multiple Catalyst Center

CISCO-ISE-Software (3)The basic functionality of the Multiple Catalyst Center feature doesn’t require the same software version in all the participating Author and Reader Node clusters. However, using mismatched code versions may result in a difference in fixes, capabilities, and features between the clusters. The same Catalyst Center software version is recommended across all Author and Reader Node clusters.

Diversos desplegaments de Catalyst Center

Hi ha dues opcions de desplegament de Multiple Catalyst Center.

A new deployment of multiple Catalyst Center clusters that aren’t currently integrated with Cisco ISE.
An existing Catalyst Center cluster that is integrated with Cisco ISE and new additional Catalyst Center clusters without Cisco ISE Integration.

Habilitació del Centre de catalitzadors múltiples

La funcionalitat del clúster Multiple Catalyst Center està desactivada per defecte. Es pot habilitar durant o després de la integració amb Cisco ISE. Un cop habilitada la funcionalitat Multiple Catalyst Center, només la podeu desactivar eliminant completament la integració de Cisco ISE.
The Multiple Catalyst Center operation requires pxGrid functionality. You can’t disable pxGrid after enabling Multiple Catalyst Center.

Procediment

  1. Step 1 In the Catalyst Center GUI, click the menu icon and choose System > Settings > Authentication and Policy Servers.
  2. Step 2 Add Cisco ISE.
  3. Step 3 Enter the required Cisco ISE information. For information, see Catalyst Center and Cisco ISE integration.
  4. Step 4 Choose System > Settings > Authentication and Policy Servers > Add > ISE > Advanced Settings.
    El commutador Configuració avançada exposa diverses opcions avançades, inclòs el commutador per habilitar l'operació Multiple Catalyst Center.
  5. Step 5 Enable the Multiple Catalyst Center Operation option.
  6. Step 6 (Optional) If you are editing an existing Cisco ISE integration, re-enter the Cisco ISE admin password.
  7. Pas 7 Feu clic a Afegeix.

Integració de Multiple Catalyst Center amb un únic Cisco ISE
Hi ha requisits previs per integrar Catalyst Center i Cisco ISE per primera vegada. Per obtenir informació, consulteu Integració de Catalyst Center i Cisco ISE.

Abans de començar
When Catalyst Center is already integrated with Cisco ISE, complete the following steps to reintegrate Catalyst
Center and Cisco ISE after enabling the Multiple Catalyst Center operation. This allows Catalyst Center to negotiate the Author or Reader Node cluster role based on whether it’s a first node or subsequent node joining Cisco ISE with the Multiple Catalyst Center feature enabled.

Procediment

  1. Step 1 In the Catalyst Center GUI, click the menu icon and choose System > Settings > Authentication and Policy Servers.
  2. Step 2 In the Actions column, hover your cursor over the ellipsis icon ( ) and choose Edit.
  3. Step 3 Choose System > Settings > Authentication and Policy Servers > Add > ISE > Advanced Settings.
  4. Step 4 Enable the Multiple Catalyst Center Operation option.
  5. Step 5 Enter the Cisco ISE Admin password again.
  6. Step 6 Click Add. Catalyst Center negotiates the Author Node role with Cisco ISE.
    • If the status of the configured Cisco ISE server displays “FAILED” because of a password change, click Retry, and update the password to resynchronize the Cisco ISE connectivity.
    • The status of the integration can be seen in the slide-in pane. Ensure that the integration Status displays as Active in the Authentication and Policy Server window.
  7. Step 7 To verify the negotiated role of the cluster as the Author Node, choose System > Settings > System Configuration > Multiple Catalyst Center Settings.

Integració d'altres clústers de Catalyst Center amb Cisco ISE com a nodes lectors

Per integrar els clústers posteriors de Catalyst Center amb el mateix Cisco ISE que té habilitat Multiple Catalyst Center, el clúster de Catalyst Center no ha de contenir cap VN que no sigui per defecte (cap VN que no sigui "DEFAULT_VN" i "INFRA_VN").

Abans de començar
Verify that the cluster that you want to integrate includes only the default VNs under Policy > Virtual Network.

Procediment

  1. Step 1 In the Catalyst Center GUI, click the menu icon and choose System > Settings > Authentication and Policy Servers.
  2. Step 2 Click Add and choose ISE.
  3. Step 3 Enter the required Cisco ISE information. See Catalyst Center and Cisco ISE integration.
  4. Step 4 Choose System > Settings > Authentication and Policy Servers > Add > ISE > Advanced Settings.
  5. Step 5 Enable the Multiple Catalyst Center Operation option.
  6. Pas 6 Feu clic a Afegeix.
  7. Step 7 (Optional) When integrating the cluster with Cisco ISE for the first time, click Accept in the slide-in pane for Catalyst Center to accept the certificate pushed by Cisco ISE. Close the slide-in pane.
  8. Step 8 In the Authentication and Policy Server window, verify that the status of the integration displays as Active.

Eliminació d'una xarxa virtual

El clúster de nodes d'autor no coneix l'ús de la xarxa virtual (VN) al clúster de nodes de lector. Heu d'eliminar totes les referències a una VN a tots els clústers de nodes de lector abans d'intentar eliminar aquesta VN al clúster de nodes d'autor. Si elimineu una VN al clúster de nodes d'autor, la VN s'elimina al node d'autor i als clústers de nodes de lector que no en tenen referències. Però si un dels nodes de lector utilitza aquesta VN, l'estat d'aquesta VN es mostra com a Fora de sincronia amb l'autor. Heu d'eliminar totes les referències (per exemple,ampés a dir, addició de VN a la secció d'incorporació de l'amfitrió o assignació de port estàtica) del VN al clúster de nodes lectors i, a continuació, procedir a suprimir aquest VN al clúster de nodes lectors.

Supressió d'un grup de seguretat

El clúster de nodes d'autor no coneix l'ús del grup de seguretat en un clúster de nodes de lector. Heu d'eliminar totes les referències al grup de seguretat de tots els clústers de nodes de lector abans d'intentar eliminar aquest grup de seguretat al clúster de nodes d'autor. Si elimineu un grup de seguretat al clúster de nodes d'autor, aquest grup de seguretat s'elimina al clúster de nodes d'autor, a Cisco ISE i al clúster de nodes de lector si no hi ha referències. Si un dels clústers de nodes de lector utilitza aquest grup de seguretat, l'estat d'aquest grup de seguretat es mostra com a Fora de sincronia amb l'autor. Heu d'eliminar totes les referències del grup de seguretat al clúster de nodes de lector i, a continuació, procedir a eliminar aquest grup de seguretat al clúster de nodes de lector.

Promoció dels nodes de lector al rol d'autor
L'arquitectura de la solució Multiple Catalyst Center té diversos clústers de Catalyst Center i només un clúster pot ser l'autor de la política. Hi pot haver casos en què l'administrador hagi de promoure un clúster de nodes de lector per assumir el rol del clúster de nodes d'autor. Aquesta promoció només s'ha de fer quan:

You are taking the Author Node cluster out of service or making it unavailable for an extended period of time.
The Author Node cluster is permanently unavailable or unresponsive for an extended period of time and policy changes are required during that time.

This promotion of a Reader Node to an Author Node can be done in two ways:

  1. Graceful Promotion of a Reader Node to the Author role.
  2. Force Promotion of a Reader Node to the Author role.

Promoció elegant d'un node lector al rol d'autor
Podeu promoure manualment un clúster de Reader Catalyst Center al rol d'autor si cal a la implementació de múltiples Catalyst Center. Tots els clústers de nodes de lector tenen un botó Promoure a autor. Podeu promoure

un clúster de nodes de lector a un node d'autor mentre el clúster de nodes d'autor actual encara està en funcionament. Tanmateix, no inicieu l'operació de promoció mentre el clúster de nodes d'autor existent estigui enmig d'una activitat de creació de polítiques basada en grups (per exemple,amp(per exemple, mentre es sincronitzen les polítiques amb Cisco ISE). Si el clúster del node d'autor està ocupat, l'operació de promoció es duu a termetaggered fins que el node d'autor completi el seu processament actual.

Nota

  • Upon graceful promotion of a Reader Node cluster to the Author Role, the Reader Node cluster initiates a request to Cisco ISE for a role change (Reader to Author).
  • When Cisco ISE receives the role change request, it requests the current Author Node to release the role of policy Author. The current Author node then releases the role of policy Author (if no sync in progress) and takes over the role of the Reader Node cluster.
  • The current Reader Node that selected for promotion assumes the role of the Author Node. Upon the Author and Reader Role change, Cisco ISE updates the other Reader Node clusters about the new Author Node through a configuration update.

CISCO-ISE-Software (4)Procediment

  1. Step 1 On the Reader Node cluster, choose System > Settings > > System Configuration > Multiple Cisco Catalyst Center Settings and verify the Author and Reader Nodes.
  2. Step 2 Click the Promote to Author button.
  3. Step 3 Click Continue to promote the node to the Author Role.

El procés de transició pot trigar uns minuts.

Forçar la promoció d'un node de lector al rol d'autor
La promoció forçada és una forma de promoció manual, que té com a objectiu estrictament promoure el clúster actual de nodes de lector al rol de node d'autor en aquestes situacions:

  • The current Author Node cluster is out of service.
  • The current Author Node cluster is nonresponsive.
  • The graceful promotion of a Reader Node to the Author Role is taking more than 5 minutes.

Figura 3: Forçar la promoció d'un node de lector al rol d'autor

CISCO-ISE-Software (1)

Do not use the force promotion option while the existing Author Node cluster is in service with a GBP authoring activity, as this may result in data loss and the Author Node cluster going out of sync with Cisco ISE. Therefore, force promotion is only recommended if you must restore service immediately and you are willing to risk losing data. After the forced promotion, the promoted Reader Node cluster will become the new Author Node cluster for the deployment. When the former Author Node cluster becomes available, it will transition to a reader role and download the latest configuration data from Cisco ISE.
Upon initiating the promotion of a Reader Node cluster, the Reader Node cluster initiates a request to Cisco ISE for a Role change (in other words, Reader to Author). When Cisco ISE receives the role change request, it requests the current Author Node to release the role of policy Author.

If the current Author Node is unresponsive and if the administrator selects Force Promotion, the Reader Node cluster ACA initiates a request to force the change of the Reader Node cluster to the Author Role and vice versa immediately in Cisco ISE. This configuration update message is sent to all the nodes.
The steps to force promote a Reader Node cluster to Author Node cluster are exactly the same as exlained in the graceful promotion of a Reader Node to the Author Role section. There is an additional step at the end to initiate the Force Promotion function.

Documents/Recursos

Programari CISCO ISE [pdfGuia de l'usuari
Programari ISE, Programari

Referències

Deixa un comentari

La teva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats *