Installer ISE sur Azure Cloud Services

Options de téléchargement

  • PDF     (2.8 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (2.6 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (1.9 MB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:4 octobre 2023
ID du document:221026

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment installer une instance Cisco ISE IOS à l'aide d'une machine virtuelle Azure. Cisco ISE IOS est disponible sur les services cloud Azure.

    Conditions préalables

    Exigences

    Cisco vous recommande de connaître les groupes d'abonnements et de ressources.

    Composant utilisé

    Le contenu de ce document est basé sur ces logiciels et services cloud.

    • Cisco ISE version 3.2.
    • Services cloud Microsoft Azure

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Procédure

    Accédez à Tous les services > Abonnements. Assurez-vous qu'un compte Azure avec un abonnement actif et un contrat d'entreprise avec Microsoft sont présents. Utilisez l'interface de ligne de commande du module Microsoft PowerShell Azure afin d'exécuter des commandes pour réserver de l'espace : (Reportez-vous à Comment installer Azure PowerShell pour installer Power Shell et les packages appropriés).

    Powershall2

    note-icon

    Remarque : remplacez l'ID de locataire par votre ID de locataire réel.

    Remplissez les conditions requises à laDemander un quota d'hôte pour la solution Azure VMware pour plus de détails.

    Créez un groupe de ressources après l'abonnement approprié, en accédant à Tous les services > Groupes de ressources. Cliquez sur Add. Entrez le nom du groupe de ressources.

    Resource Group Name

    Réseau virtuel et groupes de sécurité

    La table de routage du sous-réseau qui nécessite l'accessibilité à Internet doit être configurée avec le tronçon suivant comme Internet. Voir des exemples de sous-réseaux publics et privés. Le PAN avec IP publique a des mises à jour de flux en ligne et hors connexion, tandis que le PAN avec IP privée doit s'appuyer sur des mises à jour de flux hors connexion.

    Requirements

    Créer une paire de clés SSH

    a. Utilisez la barre de recherche de la page d'accueil du portail Web Azure et recherchez des clés SSH.

    Search for SSH keys

    b. Dans la fenêtre suivante, cliquez sur Créer.

    Create Key

    c. Dans la fenêtre suivante, sélectionnez Groupe de ressources et Nom de clé. Cliquez ensuite sur Vérifier + Créer.

    Create SSH Key

    d. Cliquez ensuite sur Create et téléchargez Private Key.

    Download Private Key

    Tailles de VM Azure prises en charge par Cisco ISE

    ISE VM Sizing

    • Les tailles de VM Azure de la gamme Fsv2 sont optimisées pour le calcul et sont les mieux adaptées pour une utilisation en tant que PSN pour des tâches et des applications gourmandes en calcul.
    • Les machines virtuelles Dsv4 sont des tailles de machines virtuelles Azure à usage général, qui conviennent le mieux comme noeuds PAN ou MnT, ou les deux, et sont destinées aux tâches de traitement des données et aux opérations de base de données.

    Si vous utilisez une instance à usage général en tant que PSN, les performances sont inférieures à celles d'une instance optimisée pour le traitement informatique en tant que PSN. La taille de la machine virtuelle Standard_D8s_v4 doit être utilisée comme un PSN extra-petit uniquement.

    note-icon

    Remarque : ne clonez pas une image cloud Azure existante pour créer une instance Cisco ISE. Cela peut entraîner des dysfonctionnements aléatoires et inattendus dans la machine ISE créée.

    Limites de Cisco ISE dans les services cloud Microsoft Azure

    • Si vous créez Cisco ISE à l'aide de la machine virtuelle Azure, Microsoft Azure attribue par défaut des adresses IP privées aux machines virtuelles via des serveurs DHCP. Avant de créer un déploiement Cisco ISE sur Microsoft Azure, vous devez mettre à jour les entrées DNS avant et arrière avec les adresses IP attribuées par Microsoft Azure.

      Après avoir installé Cisco ISE, vous pouvez également attribuer une adresse IP statique à votre machine virtuelle en mettant à jour l'objet Interface réseau dans Microsoft Azure :

      1. Arrêtez la machine virtuelle.

      2. Dans la zone Private IP address settings de la VM, dans la zone Assignment, cliquez sur Static.

      3. Redémarrez la machine virtuelle.

      4. Dans la console série Cisco ISE, attribuez l'adresse IP Gi0.

      5. Redémarrez le serveur d'applications Cisco ISE.

    • La double carte réseau est prise en charge avec seulement deux cartes réseau : Gigabit Ethernet 0 et Gigabit Ethernet 1. Afin de configurer une carte réseau secondaire dans votre instance Cisco ISE, vous devez d'abord créer un objet d'interface réseau dans Azure, mettre hors tension votre instance Cisco ISE, puis attacher cet objet d'interface réseau à Cisco ISE. Après avoir installé et lancé Cisco ISE sur Azure, utilisez l'interface de ligne de commande Cisco ISE afin de configurer manuellement l'adresse IP de l'objet d'interface réseau en tant que carte réseau secondaire.

    • Le workflow de mise à niveau Cisco ISE n'est pas disponible dans Cisco ISE sur Microsoft Azure. Seules les nouvelles installations sont prises en charge. Cependant, vous pouvez effectuer une sauvegarde et une restauration des données de configuration.
    • Le cloud public prend uniquement en charge les fonctionnalités de couche 3. Les noeuds Cisco ISE sur Microsoft Azure ne prennent pas en charge les fonctions Cisco ISE qui dépendent des fonctionnalités de couche 2. Par exemple, l'utilisation de sondes de profileur SPAN DHCP et les fonctions de protocole CDP via l'interface de ligne de commande Cisco ISE sont des fonctions qui ne sont pas actuellement prises en charge.
    • Lorsque vous exécutez la fonction de restauration et de sauvegarde des données de configuration, une fois l'opération de sauvegarde terminée, redémarrez d'abord Cisco ISE via l'interface de ligne de commande. Lancez ensuite l'opération de restauration à partir de l'interface utilisateur graphique Cisco ISE.
    • L'accès SSH à l'interface de ligne de commande Cisco ISE avec authentification par mot de passe n'est pas pris en charge dans Azure. Vous ne pouvez accéder à l'interface de ligne de commande Cisco ISE que par l'intermédiaire d'une paire de clés, qui doit être stockée en toute sécurité. Si vous utilisez un fichier de clé privée (ou PEM) et que vous le perdez, vous ne pouvez pas accéder à l'interface de ligne de commande Cisco ISE. Toute intégration qui utilise une méthode d'authentification basée sur un mot de passe afin d'accéder à l'interface de ligne de commande Cisco ISE n'est pas prise en charge, par exemple, Cisco DNA Center version 2.1.2 et antérieure.

    • Les déploiements Cisco ISE IOS sur Azure utilisent généralement des solutions VPN telles que les réseaux privés virtuels multipoints dynamiques (DMVPN) et les réseaux étendus définis par logiciel (SD-WAN), où les surcharges du tunnel IPSec peuvent entraîner des problèmes de MTU et de fragmentation. Dans de tels scénarios, Cisco ISE IOS ne reçoit pas les paquets RADIUS complets et une erreur d'authentification se produit sans déclencher un journal des erreurs d'échec.

      Une solution de contournement possible consiste à demander l'assistance technique de Microsoft afin d'explorer toutes les solutions dans Azure qui peuvent permettre aux fragments dans le désordre de passer à la destination au lieu d'être abandonnés.

    • L'utilisateur Admin CLI doit être 'iseadmin'.

    Configurer

    Exemple de déploiement ISE connecté au cloud Azure

    Example of ISE Deployment on Azure2

    Configurations

    • Étape 1. Accédez au portail Azure et connectez-vous à votre compte Microsoft Azure.

    Login to Azure

    • Étape 2. Utilisez le champ de recherche en haut de la fenêtre afin de rechercher Marketplace.

    Search for Market Place

    • Étape 3. Utilisez le champ Search the Marketplace search afin de rechercher Cisco Identity Services Engine (ISE).

    Search for ISE in the Market Place

    • Étape 4. Cliquez sur Machine virtuelle.

    Creat VM

    • Étape 5. Dans la nouvelle fenêtre qui s'affiche, cliquez sur Create.

    Click Create

    • Étape 6. Dans l'onglet Notions de base :

        a. Dans la zone Détails du projet, sélectionnez les valeurs requises dans les listes déroulantes Abonnement et Groupe de ressources

        b. Dans la zone Détails de l'instance, entrez une valeur dans le champ Nom de la machine virtuelle.

        c. Dans la liste déroulante Image, sélectionnez l'image Cisco ISE

        d. Dans la liste déroulante Taille, sélectionnez la taille d'instance avec laquelle vous souhaitez installer Cisco ISE. Sélectionnez une instance prise en charge par Cisco ISE, comme indiqué dans le tableau Azure Cloud.

    Les instances prises en charge par Cisco ISE, se trouvent dans la section Cisco ISE sur le cloud Azure.

        e. Dans la zone Administrator account > Authentication type, cliquez sur la case d'option SSH Public Key.

        f. Dans le champ Username, saisissez iseadmin

        g. Dans la liste déroulante SSH public key source, sélectionnez Use existing key storage in Azure.

        h. Dans la liste déroulante Clés stockées, sélectionnez la paire de clés que vous avez créée comme condition préalable à cette tâche.

        j. Dans la zone Inbound port rules, cliquez sur la case d'option Allow selected ports

        k. Dans la zone Licensing, dans la liste déroulante Licensing type, sélectionnez Other.

    Create a Virtual MachineCréer une machine virtuelle

    • Étape 7. Cliquez sur Next : Disks.

    Create the Virtual Machine

    • Étape 8. Dans l'onglet Disks, conservez les valeurs par défaut pour les champs obligatoires et cliquez sur Next : Networking.

    Create the Virtual Machine

    note-icon

    Remarque : pour le type de disque, vous avez le choix entre plusieurs options dans la liste déroulante. Vous pouvez choisir celui qui répond à vos besoins. Le disque SSD Premium est le type recommandé pour les charges de travail sensibles à la production et aux performances.

    • Étape 9. Dans la zone Network Interface, dans les listes déroulantes Virtual network, Subnet, and Configure network security group, choisissez le réseau virtuel et le sous-réseau que vous avez créés.
    note-icon

    Remarque : le sous-réseau avec une adresse IP publique reçoit des mises à jour de flux de positionnement en ligne et hors connexion, tandis qu'un sous-réseau avec une adresse IP privée reçoit uniquement des mises à jour de flux de positionnement hors connexion.

    Create the Virtual Machine

    • Étape 10. Cliquez sur Next : Management.

    Create the Virtual Machine

    • Étape 11. Dans l'onglet Management, conservez les valeurs par défaut pour les champs obligatoires et cliquez sur Next : Advanced.

    Create the Virtual Machine

    Create the Virtual Machine

    • Étape 12. Dans la zone Données utilisateur, cochez la case Activer les données utilisateur.

    Dans le champ Données utilisateur, renseignez les informations suivantes :

        hostname=<nom d'hôte de Cisco ISE

        primarynameserver=<adresse IPv4

        dnsdomain=<nom de domaine

        ntpserver=<adresse IPv4 ou nom de domaine complet du serveur NTP

        timezone=<fuseau horaire>

        password=<mot de passe

        ersapi=<oui/non>

        openapi=<oui/non>

        pxGrid=<oui/non>

        pxgrid_cloud=<oui/non>

    note-icon

    Remarque : vous devez utiliser la syntaxe correcte pour chacun des champs que vous configurez via l'entrée de données utilisateur. Les informations que vous saisissez dans le champ Données utilisateur ne sont pas validées lorsqu'elles sont saisies. Si vous utilisez une syntaxe incorrecte, les services Cisco ISE ne s'affichent pas lorsque vous lancez l'image.

    Reportez-vous aux Instructions pour les configurations que vous devez soumettre via le champ de données utilisateur :

    a. hostname : saisissez un nom d'hôte contenant uniquement des caractères alphanumériques et des tirets (-). La longueur du nom d'hôte ne doit pas dépasser 19 caractères et ne peut pas contenir de traits de soulignement (_).

    b. primary name server : saisissez l'adresse IP du serveur de noms principal. Seules les adresses IPv4 sont prises en charge.

    Vous ne pouvez ajouter qu'un seul serveur DNS à cette étape. Vous pouvez ajouter des serveurs DNS supplémentaires via l'interface de ligne de commande Cisco ISE après l'installation.

    c. dnsdomain : saisissez le nom de domaine complet du domaine DNS. L'entrée peut contenir des caractères ASCII, des chiffres, des tirets (-) et des points (.).

    d. ntpserver : saisissez l'adresse IPv4 ou le nom de domaine complet du serveur NTP qui doit être utilisé pour la synchronisation.

    Vous ne pouvez ajouter qu'un seul serveur NTP à cette étape. Vous pouvez ajouter des serveurs NTP supplémentaires via l'interface de ligne de commande Cisco ISE après l'installation. Utilisez un serveur NTP valide et accessible, car il est nécessaire pour les opérations ISE.

    e. fuseau horaire : saisissez un fuseau horaire, par exemple, Etc/UTC. Il est recommandé de définir tous les noeuds Cisco ISE sur le fuseau horaire UTC (Coordinated Universal Time), en particulier si vos noeuds Cisco ISE sont installés dans un déploiement distribué. Cette procédure garantit que les horodatages des rapports et des journaux des différents noeuds de votre déploiement sont toujours synchronisés.

    f. password : configurez un mot de passe pour la connexion à Cisco ISE via l'interface utilisateur graphique. Le mot de passe que vous entrez doit être conforme à la politique de mot de passe de Cisco ISE. Le mot de passe doit contenir entre 6 et 25 caractères et inclure au moins un chiffre, une lettre majuscule et une lettre minuscule. Le mot de passe ne peut pas être le même que le nom d'utilisateur ou son inverse (iseadmin ou nimdaesi), cisco ou ocsic. Les caractères spéciaux autorisés sont @~*!, +=_-. Reportez-vous à la section « Politique de mot de passe utilisateur » du chapitre « Configuration de base » du Guide de l'administrateur Cisco ISE pour connaître votre version. 

    g. ersapi : saisissez yes pour activer ERS ou no pour désactiver ERS.

    h. openapi : Entrez yes afin d'activer OpenAPI, ou no pour désactiver OpenAPI. 

    i. pxGrid : saisissez yes pour activer pxGrid ou no pour désactiver pxGrid. 

    j. pxgrid_cloud : saisissez yes pour activer pxGrid Cloud ou no pour désactiver pxGrid Cloud. Pour activer pxGrid Cloud, vous devez activer pxGrid. Si vous désactivez pxGrid, mais activez pxGrid Cloud, les services pxGrid Cloud ne sont pas activés au lancement.

    User Data SectionSection Données utilisateur

    • Étape 13. Cliquez sur Next : Tags.

    Create the Virtual Machine

    • Étape 14. Afin de créer des paires nom-valeur qui vous permettent de catégoriser des ressources et de consolider plusieurs ressources et groupes de ressources, entrez des valeurs dans les champs Nom et Valeur

    Create the Virtual Machine

    • Étape 15. Cliquez sur Next : Review + Create.

    Review and Created

    • Étape 16. Vérifiez les informations que vous avez fournies jusqu'à présent et cliquez sur Create.

    La fenêtre Le déploiement est en cours s'affiche. Il faut environ 30 minutes pour que l'instance Cisco ISE soit créée et disponible. L'instance de machine virtuelle Cisco ISE s'affiche dans la Virtuel Fenêtre Machines (utilisez le champ de recherche principal afin de trouver la fenêtre).

    Create the Virtual Machine

    Deployment in Progress

    Que faire ensuite ?

    En raison d'un paramètre Microsoft Azure par défaut, la machine virtuelle Cisco ISE que vous avez créée est configurée avec une taille de disque de 300 Go uniquement. Les noeuds Cisco ISE nécessitent généralement une taille de disque supérieure à 300 Go. Vous pouvez voir l'alarme Mémoire virtuelle insuffisante lorsque vous lancez Cisco ISE pour la première fois à partir de Microsoft Azure.

    Une fois la création de la machine virtuelle Cisco ISE terminée, connectez-vous au portail d'administration Cisco ISE afin de vérifier que Cisco ISE est configuré. Ensuite, dans le portail Microsoft Azure, effectuez et complétez les étapes dans la fenêtre Machines virtuelles afin de modifier la taille du disque :

    1. Arrêtez l'instance Cisco ISE.

    Stop ISE VM

    2. Cliquez sur Disk dans le volet de gauche et cliquez sur le disque que vous utilisez avec Cisco ISE.

    Click the Disk

    3. Cliquez sur Taille + performances dans le volet de gauche.

    Select Size-Performance Page

    4. Dans le champ Taille de disque personnalisée, saisissez la taille de disque souhaitée, en Go.

    Change Disck Size

    Tâches post-installation

    Pour obtenir des informations sur les tâches de post-installation que vous devez effectuer après avoir créé une instance Cisco ISE, reportez-vous au chapitre « Vérification de l'installation et tâches de post-installation » du Guide d'installation Cisco ISE correspondant à votre version de Cisco ISE.

    Récupération et réinitialisation de mot de passe sur le cloud Azure

    Effectuez les tâches qui vous aident à réinitialiser ou à récupérer le mot de passe de votre machine virtuelle Cisco ISE. Choisissez les tâches dont vous avez besoin et suivez les étapes détaillées.

    1. Réinitialisez le mot de passe de l'interface utilisateur graphique Cisco ISE via la console série

    • Étape 1. Connectez-vous au cloud Azure et sélectionnez le groupe de ressources qui contient votre machine virtuelle Cisco ISE.
    • Étape 2. Dans la liste des ressources, cliquez sur l'instance Cisco ISE pour laquelle vous souhaitez réinitialiser le mot de passe.
    • Étape 3. Dans le menu de gauche, dans la section Support + Troubleshooting, cliquez sur Serial Console.

    Click Serial Console

    • Étape 4. Si un message d'erreur s'affiche ici, vous devez activer les diagnostics de démarrage en procédant comme suit :

    a. Dans le menu de gauche, cliquez sur Boot Diagnostics.

    Diagnostic

    b. Cliquez sur Activer avec un compte de stockage personnalisé. Cliquez ensuite sur Enregistrer.

    Click Save

    • Étape 5. Dans le menu de gauche, dans la section Support + Troubleshooting, cliquez sur Serial Console. Azure Cloud Shell s'affiche dans une nouvelle fenêtre. Si l'écran est noir, appuyez sur Entrée afin d'afficher l'invite de connexion.

    Logging Prompt

    • Étape 8. Connectez-vous à la console série. Pour vous connecter à la console série, vous devez utiliser le mot de passe d'origine configuré lors de l'installation de l'instance.
    • Étape 9. Utilisez la commande application reset-passwd ise iseadmin afin de configurer un nouveau mot de passe GUI pour le compte iseadmin.

    2. Créer une nouvelle paire de clés publiques pour l'accès SSH

    Cette tâche vous permet d'ajouter des paires de clés supplémentaires à un référentiel. La paire de clés existante créée lors de la configuration de l'instance Cisco ISE n'est pas remplacée par la nouvelle clé publique que vous avez créée.

    • Étape 1. Créez une nouvelle clé publique dans le cloud Azure.

    Create SSH Key

    Vous obtenez une fenêtre contextuelle pour choisir Télécharger la clé privée et créer une ressource qui télécharge la clé SSH en tant que fichier .pem.

    Download the Key

    • Étape 2. Afin de créer un nouveau référentiel dans lequel enregistrer la clé publique, consultez la documentation Azure Repos. Si vous disposez déjà d'un référentiel accessible via l'interface de ligne de commande, passez à l'étape 3.
    • Étape 3. Afin d'importer la nouvelle clé publique, utilisez la commande crypto key import <public key filename> repository <nom du référentiel>.
    • Étape 4. Une fois l'importation terminée, vous pouvez vous connecter à Cisco ISE via SSH à l'aide de la nouvelle clé publique.

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    04-Oct-2023
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Ameer Al Azzawi
      Ingénieur-conseil technique en sécurité

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits