Adicionar/Modificar Entrada de Dispositivo de Acesso à Rede no ISE pelo Catalyst Center

Introdução

Este documento descreve o procedimento para reconfigurar a entrada Network Access Device (NAD) no ISE que é modificada ou removida do ISE.

Informações de Apoio

Pode haver vários cenários em que a entrada NAD para um dispositivo de rede (que é gerenciado pelo Catalyst Center) precise ser modificada. Por exemplo:
um dispositivo é devolvido, o número de série é alterado e um novo número de série deve ser atualizado na entrada NAD desse dispositivo de rede (Configurações avançadas do TrustSec).

Caso contrário, a autenticação do Device TrustSec não aconteceria, resultando em falha no download de dados PAC/env. 

Pode haver outro cenário em que a entrada NAD é excluída do Identity Services Engine (ISE) (devido a um erro manual ou outra causa). e agora toda a autenticação do dispositivo falha, pois não há entrada NAD no ISE. 

Problema

O problema nos cenários mencionados acima é que não há uma opção predefinida no Catalyst Center para criar a entrada NAD diretamente depois que o dispositivo de rede é atribuído ao site e a entrada NAD é criada pela primeira vez, resultando em usuários tendo que configurar/modificar a entrada NAD no ISE manualmente, o que pode ser demorado e sujeito a erros. 

Este documento descreve o procedimento/as etapas para reconfigurar a entrada NAD (Network Access Device, dispositivo de acesso à rede) para qualquer dispositivo de rede no ISE que seja modificado ou removido do ISE NAD. Este procedimento é aplicável a qualquer dispositivo de rede gerenciado pelo Catalyst Center.

Solução

Para que o Catalyst Center configure a entrada NAD no ISE, precisamos basicamente alterar o endereço IP de gerenciamento do dispositivo (para qualquer IP fictício) que é o back-end que dispara o fluxo de trabalho de criação de entrada NAD.
Este procedimento é aplicável a qualquer dispositivo de rede gerenciado pelo Catalyst Center. A entrada NAD será criada com o IP original (conforme o fluxo de trabalho é acionado antes da alteração no endereço IP de gerenciamento). Neste exemplo, as Configurações avançadas do TrustSec para uma entrada NAD estão desabilitadas no ISE: 

ISE de entrada NAD para um dispositivo de rede

As Configurações Avançadas do TrustSec estão desabilitadas para esta entrada NAD

Como visto nesta imagem, a entrada NAD para o dispositivo tem Configurações avançadas do TrustSec desabilitadas (geralmente quando o Catalyst Center cria a entrada NAD, esta seção está habilitada). Altere o endereço IP de gerenciamento no Catalyst Center para IP fictício que dispara o fluxo de trabalho para reconfigurar a entrada NAD no ISE. Quando você altera o endereço IP de gerenciamento, ele move a Gerenciabilidade do dispositivo para o estado Sincronização e a entrada ISE NAD deve ser modificada. 

Alterando o endereço IP de gerenciamento do dispositivo de rede no Catalyst Center para o IP fictício

O Dispositivo de Rede entra no Estado de Sincronização

O dispositivo de rede torna-se inalcançável e não gerenciado, pois o endereço IP de gerenciamento é um IP fictício e não pode ser acessado do Catalyst Center

A entrada NAD do ISE para as "Configurações avançadas do TrustSec" agora está habilitada: 

As Configurações Avançadas do TrustSec foram ativadas após a atualização do endereço IP de Gerenciamento do Catalyst Center

Depois que isso for criado, podemos alterar o endereço IP de gerenciamento de volta ao seu IP original. 

Alterar o endereço IP de gerenciamento de volta ao seu IP original

Depois de atualizar o endereço IP de gerenciamento para seu endereço IP original, o dispositivo entra no estado de "sincronização" e torna-se "Gerenciado". 

Aqui está outro cenário em que a entrada NAD foi excluída: 

A entrada NAD não existe no ISE para o dispositivo de rede

Como você vê, a mesma entrada NAD do dispositivo não existe. Usamos o mesmo procedimento, isto é, modificamos o endereço IP de gerenciamento no Catalyst Center para o IP fictício). Depois de usar esse procedimento, é criada a entrada NAD para o dispositivo de rede com seu endereço IP original.