De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Dit document beschrijft hoe u Cisco ISE IOS-exemplaar kunt installeren met Azure Virtual Machine. Cisco ISE IOS is beschikbaar op Azure Cloud Services.
Navigeren naar Alle services > Abonnementen. Zorg ervoor dat Azure-account met actief abonnement dat een ondernemersovereenkomst met Microsoft heeft, aanwezig is. Met behulp van Microsoft PowerShell Azure module CLI voert u opdrachten uit om ruimte te reserveren: (Raadpleeg <Hoe installeer ik Azure PowerShell > voor het installeren van power shell en relevante pakketten).
Opmerking: Vervang de huurder-ID door uw huidige huurder-ID
Voltooi de vereisten op aanvraag voor hostquota voor Azure VMware Solution voor meer informatie.
Creëer een resourcegroep na juiste abonnement, navigeren naar Alle services > Resourcegroepen. Klik op Add (Toevoegen). Voer de naam van de resourcegroep in.
Subnet die internet bereikbaarheid vereist moet de routetabel hebben geconfigureerd met volgende hop als internet. Zie voorbeelden van openbare en particuliere subnetwerken. PAN met openbare IP hebben zowel offline als online feed update werken, PAN met privé ip moet vertrouwen op offline feed updates.
a. Gebruik de zoekbalk van de startpagina van Azure Web Portal en zoek naar SSH-toetsen.
b. Klik in het volgende venster op Maken.
c. Selecteer in het volgende venster de resourcegroep en sleutelnaam. Klik vervolgens op Review + Create.
d. Klik vanuit het volgende venster op Private Key maken en downloaden.
De inhoud van dit document is gebaseerd op deze software- en cloudservices.
De informatie in dit document is gemaakt in het apparaat vanuit een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden gebruikt, zijn gestart met een uitgeschakelde (standaard) configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Als u een instantie voor algemene doeleinden als een PSN gebruikt, zijn de prestatienummers lager dan de prestaties van een instantie voor computeroptimalisatie als een PSN. De Standard_D8s_v4 VM size moet alleen worden gebruikt als een extra kleine PSN.
Opmerking: kloon geen bestaand Azure Cloud-image om een Cisco ISE-exemplaar te maken. Dit kan willekeurige en onverwachte storingen in de gemaakte ISE-machine tot gevolg hebben.
Als u Cisco ISE maakt met de Azure Virtual Machine, wijst Microsoft Azure standaard privéIP-adressen aan VM's toe via DHCP-servers. Voordat u een Cisco ISE-implementatie maakt op Microsoft Azure, moet u de voorwaartse en omgekeerde DNS-vermeldingen bijwerken met de IP-adressen die door Microsoft Azure zijn toegewezen.
U kunt ook, nadat u Cisco ISE hebt geïnstalleerd, een statisch IP-adres aan uw VM toewijzen door het netwerkinterfaceobject in Microsoft Azure bij te werken:
Stop de VM.
Klik in het gedeelte Private IP-adresinstellingen van de VM in het gedeelte Toewijzing op Statisch.
Start de VM opnieuw.
Wijs in de Cisco ISE-seriële console het IP-adres toe als Gi0.
Start de Cisco ISE-toepassingsserver opnieuw.
Dubbele NIC wordt ondersteund met slechts twee NIC's: Gigabit Ethernet 0 en Gigabit Ethernet 1. Om een secundaire NIC in uw Cisco ISE-exemplaar te configureren, moet u eerst een netwerkinterfaceobject in Azure maken, uw Cisco ISE-exemplaar uitschakelen en dit netwerkinterfaceobject vervolgens aan Cisco ISE toevoegen. Nadat u Cisco ISE op Azure hebt geïnstalleerd en gestart, gebruikt u de Cisco ISE CLI om het IP-adres van het netwerkinterfaceobject handmatig te configureren als de secundaire NIC.
Integratie die een op een wachtwoord gebaseerde verificatiemethode gebruikt om toegang tot Cisco ISE CLI te krijgen, wordt niet ondersteund, bijvoorbeeld Cisco DNA Center release 2.1.2 en eerder.
Cisco ISE IOS-implementaties in Azure maken doorgaans gebruik van VPN-oplossingen zoals Dynamic Multipoint Virtual Private Networks (DMVPN) en softwaregedefinieerde Wide Area Networks (SD-WAN), waar de overheadkosten van de IPSec-tunnel MTU en fragmentatieproblemen kunnen veroorzaken. In dergelijke scenario's ontvangen Cisco ISE IOS geen volledige RADIUS-pakketten en treedt een verificatiefout op zonder dat er een foutlogboek wordt geactiveerd.
Een mogelijke tijdelijke oplossing is het zoeken naar technische ondersteuning van Microsoft om oplossingen in Azure te onderzoeken die het mogelijk maken dat fragmenten die buiten bestelling zijn, naar de bestemming worden doorgestuurd in plaats van te worden gedropt.
a. Kies in het gebied Projectgegevens de gewenste waarden uit de vervolgkeuzelijsten Abonnement en Resourcegroep.
b. Voer in het gebied Instantiedetails een waarde in in het veld Naam virtuele machine.
c. Kies de Cisco ISE-afbeelding in de vervolgkeuzelijst Afbeelding.
d. Selecteer in de vervolgkeuzelijst Grootte de instantiegrootte waarmee u Cisco ISE wilt installeren. Kies een instantie die wordt ondersteund door Cisco ISE, zoals vermeld in de tabel Azure Cloud
Instanties die worden ondersteund door Cisco ISE, in het gedeelte Cisco ISE on Azure Cloud.
e. Klik in het gebied Administrator-account > Verificatietype op de radioknop SSH Public Key.
f. Voer in het veld Gebruikersnaam iseadmin in.
g. Kies uit de vervolgkeuzelijst van de openbare SSH-sleutelbron bestaande sleutel gebruiken die in Azure is opgeslagen.
h. Kies in de vervolgkeuzelijst Opgeslagen toetsen het sleutelpaar dat u als voorwaarde voor deze taak hebt gemaakt.
j. Klik in het gebied Inkomende poortregels op de radioknop Geselecteerde poorten toestaan.
k. Kies Overige in het gebied Licentie in de vervolgkeuzelijst Type Licentie.
Opmerking: voor het disktype zijn er meer opties in de vervolgkeuzelijst om te selecteren. U kunt kiezen die aan uw behoefte voldoet. Premium SSD is het aanbevolen type voor productie- en prestatiegevoelige werkbelastingen.
Opmerking: Het subnetnummer met een openbaar IP-adres ontvangt online en offline posteringfeed-updates, terwijl een subnetnummer met een privaat IP-adres alleen offline posteringfeed-updates ontvangt.
Volledige informatie in het veld Gebruikersgegevens:
hostname=<hostnaam van Cisco ISE>
PrimeServer=<IPv4-adres>
dnsdomain=<domeinnaam>
ntpserver=<IPv4-adres of FQDN van de NTP-server>
timezone=<timezone>
wachtwoord=<wachtwoord>
ersapi=<ja/neen>
openapi=<ja/neen>
pxGrid=<ja/neen>
pxgrid_cloud=<ja/neen>
Opmerking: u moet de juiste syntaxis gebruiken voor elk van de velden die u vormt via de gebruikersgegevensinvoer. De informatie die u in het veld Gebruikersgegevens invoert, wordt niet gevalideerd wanneer deze wordt ingevoerd. Als u de verkeerde syntaxis gebruikt, zullen Cisco ISE-services niet worden weergegeven wanneer u de afbeelding start.
Zie de Richtlijnen voor de configuraties die u via het veld Gebruikersgegevens moet indienen:
a. hostname: Voer een hostnaam in die alleen alfanumerieke tekens en koppeltekens bevat (-). De lengte van de hostname mag niet meer dan 19 tekens bedragen en mag geen underscores (_) bevatten.
b. primaire naamserver: Voer het IP-adres van de primaire naamserver in. Alleen IPv4-adressen worden ondersteund.
In deze stap kunt u slechts één DNS-server toevoegen. U kunt na de installatie extra DNS-servers toevoegen via de Cisco ISE-CLI.
c. dnsdomain: Voer de FQDN van het DNS-domein in. De ingang kan tekens, cijfers, koppeltekens (-) en periodes (.) van ASCII bevatten.
d. ntpserver: Voer het IPv4-adres of FQDN van de NTP-server in die voor synchronisatie moet worden gebruikt.
U kunt in deze stap slechts één NTP-server toevoegen. U kunt na de installatie extra NTP-servers toevoegen via de Cisco ISE-CLI. Gebruik een geldige en bereikbare NTP-server omdat dit nodig was voor ISE-bewerkingen.
e. tijdzone: Voer een tijdzone in, bijvoorbeeld Etc/UTC. Het is raadzaam alle Cisco ISE-knooppunten in te stellen op de gecoördineerde Universal Time (UTC)-tijdzone, met name als uw Cisco ISE-knooppunten zijn geïnstalleerd in een gedistribueerde implementatie. Deze procedure zorgt ervoor dat de tijdstempels van de rapporten en logboeken van de diverse knooppunten in uw plaatsing altijd gesynchroniseerd zijn.
f. wachtwoord: stel een wachtwoord in voor op GUI gebaseerde aanmelding bij Cisco ISE. Het wachtwoord dat u invoert, moet voldoen aan het Cisco ISE-wachtwoordbeleid. Het wachtwoord moet 6 tot 25 tekens bevatten en ten minste één cijfer, één hoofdletter en één kleine letter bevatten. Het wachtwoord kan niet hetzelfde zijn als de gebruikersnaam of het omgekeerde wachtwoord (iseadmin of nimdaesi), cisco of OCSIC. De toegestane speciale tekens zijn @~*!,+=_-. Zie de sectie "Gebruikerswachtwoord" in het hoofdstuk "Basisinstellingen" van de Cisco ISE-beheerdershandleiding voor uw release.
g. ersapi: ja om ERS in te schakelen, of nee om ERS niet toe te staan.
h. openapi: Voer ja in om OpenAPI in te schakelen, of nee om OpenAPI te verbieden.
i. pxGrid: Voer ja in om pxGrid in te schakelen, of nee om pxGrid uit te schakelen.
j. pxgrid_cloud: Voer ja in om pxGrid Cloud in te schakelen of nee om pxGrid Cloud niet toe te staan. Om pxGrid Cloud in te schakelen, moet u pxGrid inschakelen. Als u pxGrid niet toestaat, maar pxGrid Cloud inschakelt, worden pxGrid Cloud-services niet ingeschakeld bij de start.
Het venster Implementatie wordt weergegeven. Het maken van de Cisco ISE-instantie duurt ongeveer 30 minuten en is beschikbaar voor gebruik. Het Cisco ISE VM-exemplaar wordt weergegeven in het
venster Virtuele machines (gebruik het hoofdzoekveld om het venster te vinden).
Als gevolg van een standaardinstelling van Microsoft Azure wordt de door u gemaakte Cisco ISE-VM geconfigureerd met een schijfgrootte van slechts 300 GB. Cisco ISE-knooppunten vereisen doorgaans een schijfgrootte van meer dan 300 GB. U kunt het alarm Inafgaand virtueel geheugen zien wanneer u Cisco ISE voor het eerst start vanuit Microsoft Azure.
Nadat de Cisco ISE-VM is gemaakt, meldt u zich aan bij het Cisco ISE-beheerportal om te controleren of Cisco ISE is geïnstalleerd. Vervolgens, in het Microsoft Azure-portal, voert u stappen uit in het venster Virtual Machines om de schijfgrootte te bewerken:
1. Stop de Cisco ISE-instantie.
2. Klik op Disk in het linkerdeelvenster en klik op de schijf die u met Cisco ISE gebruikt.
3. Klik in het linker deelvenster op Grootte + prestaties.
4. Voer in het veld Aangepaste schijfgrootte de gewenste schijfgrootte in in GiB.
Raadpleeg het hoofdstuk "Installatieverificatie en post-installatietaken" in de Cisco ISE-installatiegids voor de Cisco ISE-release voor informatie over de post-installatietaken die u moet uitvoeren nadat u met succes een Cisco ISE-instantie hebt gemaakt.
Voltooi de taken die u helpen uw wachtwoord voor uw Cisco ISE virtuele machine opnieuw in te stellen of te herstellen. Kies de taken die u nodig hebt en voer de stappen gedetailleerd uit.
a. Klik in het linkermenu op Opstartdiagnostiek.
b. Klik op Inschakelen met aangepaste opslagaccount. Klik vervolgens op Opslaan.
Via deze taak voegt u extra sleutelparen toe aan een repository. Het bestaande sleutelpaar dat is gemaakt ten tijde van de Cisco ISE-instantieconfiguratie, wordt niet vervangen door de nieuwe openbare sleutel die u maakt.
U krijgt een pop-up venster om te selecteren Download private sleutel en maken bron die de SSH-sleutel als een .pem bestand downloadt.
Als u al een opslagplaats hebt die toegankelijk is via de CLI, gaat u verder met stap 3.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
04-Oct-2023 |
Eerste vrijgave |