通过Catalyst Center在ISE中添加/修改网络接入设备条目

简介

本文档介绍在ISE中重新配置网络接入设备(NAD)条目的过程，ISE已修改或从中删除。

背景信息

可能存在多个需要修改网络设备（由Catalyst Center管理）的NAD条目的场景。例如：
返回设备，更改序列号，并且必须在网络设备的NAD条目中更新新的序列号（高级TrustSec设置）。

否则，不会进行设备TrustSec身份验证，导致无法下载PAC/环境数据。 

可能还有另一种情况，即从身份服务引擎(ISE)中删除NAD条目（由于手动错误或其他原因）。现在，由于ISE中没有NAD条目，所有设备身份验证都失败。 

问题

上述场景中的问题是，Catalyst Center中没有预定义的选项，用于在网络设备分配站点后直接创建NAD条目，并且首次创建NAD条目，导致用户必须手动配置/修改ISE中的NAD条目，这非常耗时而且容易出错。 

本文档介绍重新配置ISE中任何网络设备的NAD（网络接入设备）条目的过程/步骤，该设备已修改或从ISE NAD中删除。此过程适用于由Catalyst Center管理的所有网络设备。

解决方案

要让Catalyst Center在ISE中配置NAD条目，我们基本上需要更改设备的管理IP地址（更改为任何虚构IP），因为后端会触发NAD条目创建工作流程。
此过程适用于由Catalyst Center管理的所有网络设备。需要使用原始IP创建NAD条目（因为工作流程在更改管理IP地址之前触发）。在本示例中，NAD条目的高级TrustSec设置在ISE中禁用： 

网络设备的NAD条目ISE

已为此需要项禁用高级TrustSec设置

如本图所示，设备的NAD条目禁用了高级TrustSec设置（通常在Catalyst Center创建NAD条目时，启用此部分）。将Catalyst Center中的管理IP地址更改为dummy IP，这将触发工作流程在ISE中重新配置NAD条目。当您更改管理IP地址时，它会将设备的可管理性移到Syncing状态，并且必须修改ISE NAD条目。 

将Catalyst Center中网络设备的管理IP地址更改为虚拟IP

网络设备进入同步状态

由于管理IP地址是虚拟IP且无法从Catalyst Center访问，网络设备变为不可达和不受管理

已更新和“高级TrustSec设置”的ISE NAD条目现已启用（请参阅）： 

从Catalyst Center更新管理IP地址后，高级TrustSec设置已启用

创建此地址后，我们可以将管理IP地址改回其原始IP。 

将管理IP地址改回原始IP

在将管理IP地址更新为其原始IP地址后，设备进入“同步”状态并变为“托管”。 

下面是删除NAD条目的另一个场景： 

网络设备的ISE中不存在NAD条目

如您所见，相同的设备NAD条目不存在。我们使用相同的步骤，即将Catalyst Center中的管理IP地址修改为虚拟IP)。使用此程序后，创建网络设备及其原始IP地址的NAD条目。