Agregar/modificar entrada de dispositivo de acceso a la red en ISE mediante Catalyst Center

Introducción

Este documento describe el procedimiento para reconfigurar la entrada Network Access Device (NAD) en ISE que se modifica o se elimina de ISE.

Antecedentes

Puede haber varias situaciones en las que sea necesario modificar la entrada NAD de un dispositivo de red (que administra Catalyst Center). Por ejemplo:
Cuando se devuelve un dispositivo, se cambia el número de serie y se debe actualizar un nuevo número de serie en la entrada NAD de dicho dispositivo de red (Configuración avanzada de TrustSec).

De lo contrario, la autenticación de Device TrustSec no se llevaría a cabo, lo que provocaría un error al descargar los datos PAC/env. 

Podría haber otra situación en la que la entrada NAD se eliminara de Identity Services Engine (ISE) (debido a un error manual por alguna otra causa). y ahora toda la autenticación del dispositivo falla porque no hay ninguna entrada NAD en ISE. 

Problema

El problema en los escenarios antes mencionados es que no existe una opción predefinida en Catalyst Center para crear la entrada NAD directamente una vez que se asigna el sitio al dispositivo de red y la entrada NAD se crea por primera vez, lo que da como resultado que los usuarios tengan que configurar/modificar manualmente la entrada NAD en ISE, lo que puede llevar mucho tiempo y ser propenso a errores. 

Este documento describe el procedimiento/los pasos para reconfigurar la entrada NAD (Network Access Device, Dispositivo de acceso a la red) para cualquier dispositivo de red en ISE que se modifique o se elimine de ISE NAD. Este procedimiento se aplica a cualquier dispositivo de red que administre Catalyst Center.

Solución

Para que Catalyst Center configure la entrada NAD en ISE, necesitamos básicamente cambiar la dirección IP de administración del dispositivo (a cualquier IP ficticia) que es backend y activa el flujo de trabajo de creación de entradas NAD.
Este procedimiento se aplica a cualquier dispositivo de red que administre Catalyst Center. La entrada NAD se creará con la dirección IP original (a medida que se active el flujo de trabajo antes del cambio en la dirección IP de administración). En este ejemplo, la configuración avanzada de TrustSec para una entrada NAD está deshabilitada en ISE : 

ISE de entrada NAD para un dispositivo de red

La configuración avanzada de TrustSec está deshabilitada para esta entrada de NAD

Como se ve en esta imagen, la entrada NAD para el dispositivo tiene la configuración de TrustSec avanzada desactivada (generalmente cuando el centro de Catalyst crea la entrada NAD, esta sección está habilitada). Cambie la dirección IP de administración en Catalyst Center por IP ficticia, que activa el flujo de trabajo para volver a configurar la entrada NAD en ISE. Cuando cambia la dirección IP de administración, mueve la capacidad de administración del dispositivo al estado de sincronización y se debe modificar la entrada de ISE NAD. 

Cambio de la dirección IP de administración del dispositivo de red en Catalyst Center a IP falsa

El dispositivo de red entra en estado de sincronización

El dispositivo de red se vuelve inalcanzable y no se gestiona, ya que la dirección IP de gestión es una IP ficticia y no se puede acceder a ella desde Catalyst Center

La entrada de ISE NAD para la configuración actualizada y "Advanced TrustSec Settings" está ahora habilitada: 

La configuración avanzada de TrustSec se habilitó después de actualizar la dirección IP de administración de Catalyst Center

Después de crear esto, podemos cambiar la dirección IP de administración nuevamente a su IP original. 

Cambio de la dirección IP de administración a su IP original

Después de actualizar la dirección IP de administración a su dirección IP original, el dispositivo pasa al estado de "sincronización" y se convierte en "administrado". 

Aquí hay otro escenario donde la entrada NAD fue eliminada : 

La entrada NAD no existe en ISE para el dispositivo de red

Como puede ver, la entrada NAD del mismo dispositivo no existe. Utilizamos el mismo procedimiento, es decir, modificamos la dirección IP de administración en Catalyst Center a IP ficticia). Después de utilizar este procedimiento, se crea la entrada NAD para el dispositivo de red con su dirección IP original.