Catalyst CenterによるISEでのネットワークアクセスデバイスエントリの追加/変更

はじめに

このドキュメントでは、ISEでネットワークアクセスデバイス(NAD)エントリを変更または削除して再設定する手順について説明します。

背景説明

（Catalyst Centerによって管理される）ネットワークデバイスのNADエントリを変更する必要があるシナリオは複数あります。例：
デバイスが返され、シリアル番号が変更されます。そのネットワークデバイスのNADエントリで新しいシリアル番号を更新する必要があります（TrustSecの詳細設定）。

そうしないと、デバイスTrustSec認証が実行されず、PAC/env.データのダウンロードが失敗します。 

NADエントリがIdentity Services Engine(ISE)から削除される別のシナリオ（手動エラーによるその他の原因による）がある可能性があります。ISEにNADエントリがないため、すべてのデバイス認証が失敗します。 

問題

前述のシナリオの問題は、ネットワークデバイスがサイトに割り当てられ、NADエントリが最初に作成された後にNADエントリを直接作成する事前定義オプションがCatalyst Centerにないため、ユーザがISEでNADエントリを手動で設定/変更しなければならず、時間がかかり、エラーが発生する可能性があることです。 

このドキュメントでは、ISE NADで変更または削除されたISEのネットワークデバイス(NAD)のNAD（ネットワークアクセスデバイス）エントリを再設定する手順について説明します。この手順は、Catalyst Centerによって管理されるすべてのネットワークデバイスに適用されます。

解決方法

Catalyst CenterでISEのNADエントリを設定するには、基本的に、バックエンドがNADエントリ作成ワークフローをトリガーするデバイスの管理IPアドレス（任意のダミーIP）を変更する必要があります。
この手順は、Catalyst Centerによって管理されるすべてのネットワークデバイスに適用されます。NADエントリは元のIPで作成されます（管理IPアドレスが変更される前にワークフローがトリガーされるため）。次の例では、NADエントリのTrustSecの詳細設定がISEで無効になっています（デフォルト）。 

ネットワークデバイスのNADエントリISE

このNADエントリではTrustSecの詳細設定が無効になっています

次の図に示すように、デバイスのNADエントリではTrustSecの詳細設定が無効になっています（通常、Catalyst CenterがNADエントリを作成する際に、このセクションは有効になっています）。Catalyst Centerで管理IPアドレスをダミーIPに変更します。これにより、ワークフローがトリガーされ、ISEでNADエントリが再設定されます。管理IPアドレスを変更すると、デバイスの管理可能性が同期状態に移行するため、ISE NADエントリを変更する必要があります。 

Catalyst Centerでのネットワークデバイスの管理IPアドレスのダミーIPへの変更

ネットワークデバイスが同期状態になる

管理IPアドレスがダミーIPであり、Catalyst Centerから到達不能なため、ネットワークデバイスが到達不能になり、管理不能になる

更新された「高度なTrustSec設定」のISE NADエントリが有効になりました（図1を参照）。 

Catalyst Centerから管理IPアドレスを更新した後、TrustSecの詳細設定が有効になりました

これが作成された後、管理IPアドレスを元のIPに戻すことができます。 

管理IPアドレスを元のIPアドレスに戻す

管理IPアドレスを元のIPアドレスに更新した後、デバイスは「同期中」状態になり、「管理対象」になります。 

NADエントリが削除された別のシナリオを次に示します（図1を参照）。 

ネットワークデバイスのNADエントリがISEに存在しない

同じデバイスNADエントリが存在しないことがわかります。同じ手順を使用します。つまり、Catalyst Centerの管理IPアドレスをダミーIPに変更します。この手順を実行すると、ネットワークデバイスのNADエントリが元のIPアドレスで作成されます。