Installeer ISE op Azure Cloud Services

Downloadopties

  • PDF     (2.8 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (2.7 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.9 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:4 oktober 2023
Document-id:221026

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u Cisco ISE IOS-exemplaar kunt installeren met Azure Virtual Machine. Cisco ISE IOS is beschikbaar op Azure Cloud Services.

    Voorwaarden

    • Abonnementen en resourcegroepen.

    Navigeren naar Alle services > Abonnementen. Zorg ervoor dat Azure-account met actief abonnement dat een ondernemersovereenkomst met Microsoft heeft, aanwezig is. Met behulp van Microsoft PowerShell Azure module CLI voert u opdrachten uit om ruimte te reserveren: (Raadpleeg <Hoe installeer ik Azure PowerShell > voor het installeren van power shell en relevante pakketten).

    Powershall2

    pictogram van opmerking

    Opmerking: Vervang de huurder-ID door uw huidige huurder-ID

    Voltooi de vereisten op aanvraag voor hostquota voor Azure VMware Solution voor meer informatie.

    Creëer een resourcegroep na juiste abonnement, navigeren naar Alle services > Resourcegroepen. Klik op Add (Toevoegen). Voer de naam van de resourcegroep in.

    Naam resourcegroep

    • Virtuele netwerk- en beveiligingsgroepen.

    Subnet die internet bereikbaarheid vereist moet de routetabel hebben geconfigureerd met volgende hop als internet. Zie voorbeelden van openbare en particuliere subnetwerken. PAN met openbare IP hebben zowel offline als online feed update werken, PAN met privé ip moet vertrouwen op offline feed updates.

    Vereisten

    • Maak een SSH-sleutelpaar.

       a. Gebruik de zoekbalk van de startpagina van Azure Web Portal en zoek naar SSH-toetsen.

    Zoeken naar SSH-toetsen

      b. Klik in het volgende venster op Maken.

    Sleutel maken

      c. Selecteer in het volgende venster de resourcegroep en sleutelnaam. Klik vervolgens op Review + Create.

    SSH-TOETS maken

      d. Klik vanuit het volgende venster op Private Key maken en downloaden.

    Private KEY downloaden

    Gebruikte componenten

    De inhoud van dit document is gebaseerd op deze software- en cloudservices.

    • Cisco ISE versie 3.2.1
    • Microsoft Azure Cloud-services

    De informatie in dit document is gemaakt in het apparaat vanuit een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden gebruikt, zijn gestart met een uitgeschakelde (standaard) configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Azure VM-formaten die worden ondersteund door Cisco ISE

    ISE-VM-grootte

    • De Azure VM-formaten van de Fsv2-reeks zijn geoptimaliseerd voor computers en zijn het meest geschikt voor gebruik als PSN's voor verwerkingsintensieve taken en toepassingen.
    • De Dsv4-Series zijn algemene Azure VM-formaten die het meest geschikt zijn voor gebruik als PAN- of MnT-knooppunten of beide en die bedoeld zijn voor gegevensverwerkingstaken en databasebewerkingen.

    Als u een instantie voor algemene doeleinden als een PSN gebruikt, zijn de prestatienummers lager dan de prestaties van een instantie voor computeroptimalisatie als een PSN. De Standard_D8s_v4 VM size moet alleen worden gebruikt als een extra kleine PSN.

    pictogram van opmerking

    Opmerking: kloon geen bestaand Azure Cloud-image om een Cisco ISE-exemplaar te maken. Dit kan willekeurige en onverwachte storingen in de gemaakte ISE-machine tot gevolg hebben.

    Beperkingen van Cisco ISE in Microsoft Azure Cloud-services

    • Als u Cisco ISE maakt met de Azure Virtual Machine, wijst Microsoft Azure standaard privéIP-adressen aan VM's toe via DHCP-servers. Voordat u een Cisco ISE-implementatie maakt op Microsoft Azure, moet u de voorwaartse en omgekeerde DNS-vermeldingen bijwerken met de IP-adressen die door Microsoft Azure zijn toegewezen.

      U kunt ook, nadat u Cisco ISE hebt geïnstalleerd, een statisch IP-adres aan uw VM toewijzen door het netwerkinterfaceobject in Microsoft Azure bij te werken:

      1. Stop de VM.

      2. Klik in het gedeelte Private IP-adresinstellingen van de VM in het gedeelte Toewijzing op Statisch.

      3. Start de VM opnieuw.

      4. Wijs in de Cisco ISE-seriële console het IP-adres toe als Gi0.

      5. Start de Cisco ISE-toepassingsserver opnieuw.

    • Dubbele NIC wordt ondersteund met slechts twee NIC's: Gigabit Ethernet 0 en Gigabit Ethernet 1. Om een secundaire NIC in uw Cisco ISE-exemplaar te configureren, moet u eerst een netwerkinterfaceobject in Azure maken, uw Cisco ISE-exemplaar uitschakelen en dit netwerkinterfaceobject vervolgens aan Cisco ISE toevoegen. Nadat u Cisco ISE op Azure hebt geïnstalleerd en gestart, gebruikt u de Cisco ISE CLI om het IP-adres van het netwerkinterfaceobject handmatig te configureren als de secundaire NIC.

    • De workflow voor de upgrade van Cisco ISE is niet beschikbaar in Cisco ISE op Microsoft Azure. Alleen nieuwe installaties worden ondersteund. U kunt echter wel een back-up en herstel van configuratiegegevens uitvoeren.
    • De openbare cloud ondersteunt alleen Layer 3-functies. Cisco ISE-knooppunten op Microsoft Azure ondersteunen geen Cisco ISE-functies die afhankelijk zijn van Layer 2-functies. Met DHCP SPAN-profieltests en CDP-protocolfuncties via Cisco ISE-CLI zijn bijvoorbeeld functies die momenteel niet worden ondersteund.
    • Wanneer u de herstel- en back-upfunctie van configuratiegegevens uitvoert nadat de back-upbewerking is voltooid, moet u Cisco ISE eerst opnieuw opstarten via de CLI. Start vervolgens de terugzetbewerking vanuit de Cisco ISE GUI.
    • SSH-toegang tot Cisco ISE CLI met wachtwoordgebaseerde verificatie wordt niet ondersteund in Azure. U hebt alleen toegang tot de Cisco ISE CLI via een sleutelpaar, en dit sleutelpaar moet veilig worden opgeslagen. Als u een Private Key (of PEM)-bestand gebruikt en u het bestand verliest, kunt u de Cisco ISE-CLI niet openen.

       Integratie die een op een wachtwoord gebaseerde verificatiemethode gebruikt om toegang tot Cisco ISE CLI te krijgen, wordt niet ondersteund, bijvoorbeeld Cisco DNA Center release 2.1.2 en eerder.

    • Cisco ISE IOS-implementaties in Azure maken doorgaans gebruik van VPN-oplossingen zoals Dynamic Multipoint Virtual Private Networks (DMVPN) en softwaregedefinieerde Wide Area Networks (SD-WAN), waar de overheadkosten van de IPSec-tunnel MTU en fragmentatieproblemen kunnen veroorzaken. In dergelijke scenario's ontvangen Cisco ISE IOS geen volledige RADIUS-pakketten en treedt een verificatiefout op zonder dat er een foutlogboek wordt geactiveerd.

      Een mogelijke tijdelijke oplossing is het zoeken naar technische ondersteuning van Microsoft om oplossingen in Azure te onderzoeken die het mogelijk maken dat fragmenten die buiten bestelling zijn, naar de bestemming worden doorgestuurd in plaats van te worden gedropt.

    • CLI-beheerder moet "iseadmin" zijn.

    Configureren

    Voorbeeld van ISE-implementatie Connected to Azure Cloud

    Voorbeeld van ISE-implementatie op Azure2

    Configuraties

    • Stap 1: Ga naar Azure portal en log in bij uw Microsoft Azure-account.

    Aanmelden bij Azure

    • Stap 2: Gebruik het zoekveld bovenin het venster om naar Marketplace te zoeken.

    Zoeken naar marktplaats

    • Stap 3: Gebruik het veld Zoeken op marktplaats om naar Cisco Identity Services Engine (ISE) te zoeken.

    Zoek naar ISE op de markt

    • Stap 4: Klik op Virtual Machine.

    VM maken

    • Stap 5: Klik in het nieuwe venster op Maken

    Klik op Aanmaken

    • Stap 6: In het tabblad Basics

        a. Kies in het gebied Projectgegevens de gewenste waarden uit de vervolgkeuzelijsten Abonnement en Resourcegroep

        b. Voer in het gebied Instantiedetails een waarde in in het veld Naam virtuele machine

        c. Kies de Cisco ISE-afbeelding in de vervolgkeuzelijst Afbeelding

        d. Selecteer in de vervolgkeuzelijst Grootte de instantiegrootte waarmee u Cisco ISE wilt installeren. Kies een instantie die wordt ondersteund door Cisco ISE, zoals vermeld in de tabel Azure Cloud

            Instanties die worden ondersteund door Cisco ISE, in het gedeelte Cisco ISE on Azure Cloud

        e. Klik in het gebied Administrator-account > Verificatietype op de radioknop SSH Public Key.

        f.  Voer in het veld Gebruikersnaam iseadmin in

        g. Kies uit de vervolgkeuzelijst van de openbare SSH-sleutelbron bestaande sleutel gebruiken die in Azure is opgeslagen.

        h. Kies in de vervolgkeuzelijst Opgeslagen toetsen het sleutelpaar dat u als voorwaarde voor deze taak hebt gemaakt.

        j.  Klik in het gebied Inkomende poortregels op de radioknop Geselecteerde poorten toestaan

        k. Kies Overige in het gebied Licentie in de vervolgkeuzelijst Type Licentie

    Een virtuele machine makenEen virtuele machine maken

    • Stap 7: Klik op Volgende: Schijven.

    De virtuele machine maken

    • Stap 8: Op het tabblad Schijven behoudt u de standaardwaarden voor de verplichte velden en klikt u op Volgende: Netwerken.

    De virtuele machine maken

    pictogram van opmerking

    Opmerking: voor het disktype zijn er meer opties in de vervolgkeuzelijst om te selecteren. U kunt kiezen die aan uw behoefte voldoet. Premium SSD is het aanbevolen type voor productie- en prestatiegevoelige werkbelastingen.

    • Stap 9: Kies in het gebied Network Interface uit de vervolgkeuzelijsten Virtual Network, Subnet and Configure Network Security Group het virtuele netwerk en het subnet dat u hebt gemaakt.
    pictogram van opmerking

    Opmerking: Het subnetnummer met een openbaar IP-adres ontvangt online en offline posteringfeed-updates, terwijl een subnetnummer met een privaat IP-adres alleen offline posteringfeed-updates ontvangt.

    De virtuele machine maken

    • Stap 10: Klik op Volgende: Beheer

    De virtuele machine maken

    • Stap 1: Op het tabblad Beheer behoudt u de standaardwaarden voor de verplichte velden en klikt u op Volgende: Geavanceerd.

    De virtuele machine maken

    De virtuele machine maken

    • Stap 12: Selecteer in het gebied Gebruikersgegevens het aanvinkvakje Gebruikersgegevens inschakelen

        Volledige informatie in het veld Gebruikersgegevens:

        hostname=<hostnaam van Cisco ISE

        PrimeServer=<IPv4-adres

        dnsdomain=<domeinnaam

        ntpserver=<IPv4-adres of FQDN van de NTP-server

        timezone=<timezone>

        wachtwoord=<wachtwoord

        ersapi=<ja/neen>

        openapi=<ja/neen>

        pxGrid=<ja/neen>

        pxgrid_cloud=<ja/neen>

    pictogram van opmerking

    Opmerking: u moet de juiste syntaxis gebruiken voor elk van de velden die u vormt via de gebruikersgegevensinvoer. De informatie die u in het veld Gebruikersgegevens invoert, wordt niet gevalideerd wanneer deze wordt ingevoerd. Als u de verkeerde syntaxis gebruikt, zullen Cisco ISE-services niet worden weergegeven wanneer u de afbeelding start.

    Zie de Richtlijnen voor de configuraties die u via het veld Gebruikersgegevens moet indienen:

    a. hostname: Voer een hostnaam in die alleen alfanumerieke tekens en koppeltekens bevat (-). De lengte van de hostname mag niet meer dan 19 tekens bedragen en mag geen underscores (_) bevatten. 

    b. primaire naamserver: Voer het IP-adres van de primaire naamserver in. Alleen IPv4-adressen worden ondersteund.

    In deze stap kunt u slechts één DNS-server toevoegen. U kunt na de installatie extra DNS-servers toevoegen via de Cisco ISE-CLI.

    c. dnsdomain: Voer de FQDN van het DNS-domein in. De ingang kan tekens, cijfers, koppeltekens (-) en periodes (.) van ASCII bevatten.

    d. ntpserver: Voer het IPv4-adres of FQDN van de NTP-server in die voor synchronisatie moet worden gebruikt.

    U kunt in deze stap slechts één NTP-server toevoegen. U kunt na de installatie extra NTP-servers toevoegen via de Cisco ISE-CLI. Gebruik een geldige en bereikbare NTP-server omdat dit nodig was voor ISE-bewerkingen.

    e. tijdzone: Voer een tijdzone in, bijvoorbeeld Etc/UTC. Het is raadzaam alle Cisco ISE-knooppunten in te stellen op de gecoördineerde Universal Time (UTC)-tijdzone, met name als uw Cisco ISE-knooppunten zijn geïnstalleerd in een gedistribueerde implementatie. Deze procedure zorgt ervoor dat de tijdstempels van de rapporten en logboeken van de diverse knooppunten in uw plaatsing altijd gesynchroniseerd zijn. 

    f. wachtwoord: stel een wachtwoord in voor op GUI gebaseerde aanmelding bij Cisco ISE. Het wachtwoord dat u invoert, moet voldoen aan het Cisco ISE-wachtwoordbeleid. Het wachtwoord moet 6 tot 25 tekens bevatten en ten minste één cijfer, één hoofdletter en één kleine letter bevatten. Het wachtwoord kan niet hetzelfde zijn als de gebruikersnaam of het omgekeerde wachtwoord (iseadmin of nimdaesi), cisco of OCSIC. De toegestane speciale tekens zijn @~*!,+=_-. Zie de sectie "Gebruikerswachtwoord" in het hoofdstuk "Basisinstellingen" van de Cisco ISE-beheerdershandleiding voor uw release. 

    g. ersapi: ja om ERS in te schakelen, of nee om ERS niet toe te staan.

    h. openapi: Voer ja in om OpenAPI in te schakelen, of nee om OpenAPI te verbieden. 

    i. pxGrid: Voer ja in om pxGrid in te schakelen, of nee om pxGrid uit te schakelen. 

    j. pxgrid_cloud: Voer ja in om pxGrid Cloud in te schakelen of nee om pxGrid Cloud niet toe te staan. Om pxGrid Cloud in te schakelen, moet u pxGrid inschakelen. Als u pxGrid niet toestaat, maar pxGrid Cloud inschakelt, worden pxGrid Cloud-services niet ingeschakeld bij de start. 

    Sectie GebruikersgegevensSectie Gebruikersgegevens

    • Stap 13: Klik op Volgende: Tags

    De virtuele machine maken

    • Stap 14: Om naam-waarde paren te maken waarmee u bronnen kunt categoriseren en meerdere bronnen en resourcegroepen kunt consolideren, voert u waarden in de velden Naam en Waarde in

    De virtuele machine maken

    • Stap 15: Klik op Volgende: Review + Maken.

    Bekijken en maken

    • Stap 16: Bekijk de informatie die u tot nu toe hebt verstrekt en klik op Maken.

      Het venster Implementatie wordt weergegeven. Het maken van de Cisco ISE-instantie duurt ongeveer 30 minuten en is beschikbaar voor gebruik. Het Cisco ISE VM-exemplaar wordt weergegeven in het

       venster Virtuele machines (gebruik het hoofdzoekveld om het venster te vinden). 

    De virtuele machine maken

    Implementatie wordt uitgevoerd

    Wat te doen

    Als gevolg van een standaardinstelling van Microsoft Azure wordt de door u gemaakte Cisco ISE-VM geconfigureerd met een schijfgrootte van slechts 300 GB. Cisco ISE-knooppunten vereisen doorgaans een schijfgrootte van meer dan 300 GB. U kunt het alarm Inafgaand virtueel geheugen zien wanneer u Cisco ISE voor het eerst start vanuit Microsoft Azure.

    Nadat de Cisco ISE-VM is gemaakt, meldt u zich aan bij het Cisco ISE-beheerportal om te controleren of Cisco ISE is geïnstalleerd. Vervolgens, in het Microsoft Azure-portal, voert u stappen uit in het venster Virtual Machines om de schijfgrootte te bewerken:

    1. Stop de Cisco ISE-instantie.

    ISE-VM stoppen

    2. Klik op Disk in het linkerdeelvenster en klik op de schijf die u met Cisco ISE gebruikt. 

    Klik op de schijf

    3. Klik in het linker deelvenster op Grootte + prestaties

    Selecteer de pagina Grootte-Prestaties

    4. Voer in het veld Aangepaste schijfgrootte de gewenste schijfgrootte in in GiB. 

    Schijfgrootte wijzigen

    Installatietaken achteraf

    Raadpleeg het hoofdstuk "Installatieverificatie en post-installatietaken" in de Cisco ISE-installatiegids voor de Cisco ISE-release voor informatie over de post-installatietaken die u moet uitvoeren nadat u met succes een Cisco ISE-instantie hebt gemaakt.

    Wachtwoordherstel en opnieuw instellen op Azure Cloud

    Voltooi de taken die u helpen uw wachtwoord voor uw Cisco ISE virtuele machine opnieuw in te stellen of te herstellen. Kies de taken die u nodig hebt en voer de stappen gedetailleerd uit.

    1. Reset Cisco ISE GUI-wachtwoord via seriële console

    • Stap 1: Meld u aan bij Azure Cloud en kies de resourcegroep die uw Cisco ISE virtuele machine bevat.
    • Stap 2: Klik in de lijst met bronnen op de Cisco ISE-instantie waarvoor u het wachtwoord wilt herstellen.
    • Stap 3: Klik in het linkermenu in het gedeelte Ondersteuning + probleemoplossing op Seriële console

    Klik op Seriële console

    • Stap 4: Als u hier een foutmelding bekijkt, zou u bootdiagnostiek door uit te voeren en volledige stappen moeten toelaten:

        a. Klik in het linkermenu op Opstartdiagnostiek.

    diagnostisch

      b. Klik op Inschakelen met aangepaste opslagaccount. Klik vervolgens op Opslaan.

    Klik op Opslaan

    • Stap 5: Klik in het linkermenu in het gedeelte Ondersteuning + probleemoplossing op Seriële console. De Azure Cloud Shell wordt in een nieuw venster weergegeven. Als het scherm zwart is, drukt u op ENTER om de inlogprompt te bekijken.

    Logboekprompt

    • Stap 8: Log in op de seriële console. Als u wilt inloggen op de seriële console, moet u het oorspronkelijke wachtwoord gebruiken dat is ingesteld bij de installatie van de instantie.
    • Stap 9: Gebruik de opdracht iseadmin van de application reset-passwd om een nieuw GUI-wachtwoord voor de iseadmin-account te configureren. 

    2. Nieuwe publieke sleutelpaar maken voor SSH-toegang

    Via deze taak voegt u extra sleutelparen toe aan een repository. Het bestaande sleutelpaar dat is gemaakt ten tijde van de Cisco ISE-instantieconfiguratie, wordt niet vervangen door de nieuwe openbare sleutel die u maakt.

    • Stap 1: Maak een nieuwe openbare sleutel in Azure Cloud.

    SSH-TOETS maken

    U krijgt een pop-up venster om te selecteren Download private sleutel en maken bron die de SSH-sleutel als een .pem bestand downloadt.

    Download de sleutel

    • Stap 2: Voor het aanmaken van een nieuwe repository om de openbare sleutel op te slaan, zie Azure Repos documentatie

        Als u al een opslagplaats hebt die toegankelijk is via de CLI, gaat u verder met stap 3.

    • Stap 3: Om de nieuwe Public Key te importeren, gebruik de opdracht crypto key import <public key filename> repository <naam repository>.
    • Stap 4: Wanneer de import is voltooid, kunt u inloggen op Cisco ISE via SSH met behulp van de nieuwe public key.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    04-Oct-2023
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Ameer Al Azzawi
      Security technische consultingengineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten