在Azure云服务上安装ISE

简介

本文档介绍如何使用Azure虚拟机安装Cisco ISE IOS实例。思科ISE IOS可用于Azure云服务。

先决条件

要求

思科建议您了解订用和资源组。

使用的组件

本文档的内容基于这些软件和云服务。

• 思科ISE版本3.2。
• Microsoft Azure云服务

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

步骤

导航到所有服务>订用。确保存在具有活动订阅的Azure帐户以及与Microsoft的企业协议。请使用Microsoft PowerShell Azure模块CLI执行命令以保留空间：(请参阅如何安装Azure PowerShell，以了解如何安装Power Shell和相关包)。

请在以下网址完成必备条件：请求Azure VMware解决方案的主机配额 了解更多信息。

在正确订阅后创建资源组，导航到所有服务>资源组。单击 Add。输入资源组名称。

虚拟网络和安全组

需要Internet可达性的子网必须将路由表配置为使用下一跳作为Internet。请参阅公共子网和专用子网示例。具有公共IP的PAN同时运行离线源和在线源更新，而具有专用IP的PAN必须依赖于离线源更新。

创建SSH密钥对

a.使用Azure Web Portal主页上的搜索栏并搜索SSH密钥。

b.在下一个窗口中，单击创建。

c.从下一个窗口中选择资源组和关键字名称。然后单击Review + Create。

d.然后单击Create并下载Private Key。

思科ISE支持的Azure VM大小

• Fsv2系列Azure VM大小经过计算优化，最适合用作计算密集型任务和应用的PSN。
• Dsv4系列是通用的Azure VM大小，最适合用作PAN或MnT节点或两者，用于数据处理任务和数据库操作。

如果将通用实例用作PSN，则性能数值低于作为PSN的计算优化实例的性能。Standard_D8s_v4 VM大小只能用作额外的小型PSN。

Microsoft Azure云服务中Cisco ISE的限制

• 如果使用Azure虚拟机创建思科ISE，默认情况下，Microsoft Azure通过DHCP服务器将私有IP地址分配给VM。在Microsoft Azure上创建思科ISE部署之前，必须使用Microsoft Azure分配的IP地址更新转发和逆向DNS条目。

  或者，在安装Cisco ISE后，通过更新Microsoft Azure中的网络接口对象将静态IP地址分配到VM：

  1. 停止虚拟机。

  2. 在VM的“专用IP地址设置”区域的“分配”区域中，单击静态。

  3. 重新启动虚拟机。

  4. 在思科ISE串行控制台中，将IP地址分配为Gi0。

  5. 重新启动Cisco ISE应用服务器。

• 只有两个NIC支持双NIC -千兆以太网0和千兆以太网1。要在您的思科ISE实例中配置辅助NIC，您必须首先在Azure中创建网络接口对象，关闭您的思科ISE实例，然后将此网络接口对象附加到思科ISE。在Azure上安装并启动Cisco ISE后，请使用Cisco ISE CLI手动将网络接口对象的IP地址配置为辅助NIC。

• 思科ISE升级工作流程在Microsoft Azure上的思科ISE中不可用。仅支持全新安装。但是，您可以执行配置数据的备份和恢复。
• 公共云仅支持第3层功能。Microsoft Azure上的Cisco ISE节点不支持依赖第2层功能的Cisco ISE功能。例如，通过Cisco ISE CLI使用DHCP SPAN分析器探针和CDP协议功能是当前不支持的功能。
• 当您执行配置数据的恢复和备份功能时，备份操作完成后，首先通过CLI重新启动Cisco ISE。然后，从Cisco ISE GUI启动恢复操作。
• Azure中不支持使用基于密码的身份验证对思科ISE CLI进行SSH访问。您只能通过密钥对访问思科ISE CLI，并且必须安全地存储此密钥对。如果使用私钥（或PEM）文件并且丢失文件，则无法访问思科ISE CLI。不支持使用基于密码的身份验证方法访问Cisco ISE CLI的任何集成，例如Cisco DNA Center版本2.1.2及更早版本。

• Azure上的Cisco ISE IOS部署通常利用动态多点虚拟专用网络(DMVPN)和软件定义的广域网(SD-WAN)等VPN解决方案，其中IPSec隧道开销可能导致MTU和分段问题。在这种情况下，思科ISE IOS不会收到完整的RADIUS数据包，并且身份验证失败不会触发故障错误日志。

  一种可能的解决方法是寻求Microsoft技术支持，以便在Azure中探索任何允许无序碎片传递至目标而不是被丢弃的解决方案。

• CLI管理员用户必须是“iseadmin”。

配置

连接到Azure云的ISE部署示例

配置

• 步骤1:导航到Azure门户并登录您的Microsoft Azure帐户。

• 第二步：使用窗口顶部的搜索字段搜索Marketplace。

• 第三步：使用搜索Marketplace搜索字段搜索思科身份服务引擎(ISE)。

• 第四步：单击Virtual Machine。

• 第五步：在显示的新窗口中，单击Create。

• 第六步：在基础知识选项卡中：

    a.在项目详细信息区域，从订用和资源组下拉列表中选择所需的值

    b.在实例详细信息区域，在虚拟机名称字段中输入值。

    c.从Image下拉列表中选择Cisco ISE映像。 

    d.从Size下拉列表中，选择要用于安装思科ISE的实例大小。选择思科ISE支持的实例，如Azure云表中所列。

Cisco ISE支持的实例在Azure云上的Cisco ISE部分。

    e.在Administrator account > Authentication type区域中，单击SSH Public Key单选按钮。

    f.在用户名字段中输入iseadmin。 

    g.从SSH public key source下拉列表中选择Use existing key stored in Azure。

    h.从存储的密钥下拉列表中，选择作为此任务的先决条件创建的密钥对。

    j.在Inbound port rules区域中，点击Allow selected ports单选按钮。 

    k.在许可区域，从许可类型下拉列表中选择其他。

创建虚拟机

• 步骤 7.单击Next： Disks。

• 步骤 8在磁盘选项卡中，保留必需字段的默认值，然后单击下一步：网络。

• 步骤 9在Network Interface区域中，从Virtual network、Subnet和Configure network security group下拉列表选择已创建的虚拟网络和子网。

• 步骤 10单击Next： Management。

• 步骤 11在管理选项卡中，保留必需字段的默认值，然后单击下一步：高级。

• 步骤 12在用户数据区域中，选中启用用户数据复选框。

在User data字段中，填写以下信息：

    hostname=<Cisco ISE的主机名> 

    primarynameserver=<IPv4地址> 

    dnsdomain=<域名> 

    ntpserver=<IPv4地址或NTP服务器的FQDN> 

    timezone=<timezone>

    password=<password> 

    ersapi=<yes/no>

    openapi=<yes/no>

    pxGrid=<是/否>

    pxgrid_cloud=<yes/no>

有关必须通过用户数据字段提交的配置，请参阅准则：

a.主机名：输入仅包含字母数字字符和连字符(-)的主机名。主机名的长度不能超过19个字符，并且不能包含下划线(_)。

b.主名称服务器：输入主名称服务器的IP地址。仅支持IPv4地址。

在此步骤中只能添加一个DNS服务器。您可以在安装后通过Cisco ISE CLI添加其他DNS服务器。

c. dnsdomain：输入DNS域的FQDN。条目可以包含ASCII字符、数字、连字符(-)和句点(.)。

d. ntpserver：输入必须用于同步的NTP服务器的IPv4地址或FQDN。

在此步骤中只能添加一个NTP服务器。您可以在安装后通过Cisco ISE CLI添加其他NTP服务器。使用有效且可访问的NTP服务器，因为ISE操作需要此服务器。

e.时区：输入时区，例如Etc/UTC。建议您将所有思科ISE节点设置为协调世界时(UTC)时区，特别是如果您的思科ISE节点安装在分布式部署中。此过程可确保来自部署中各个节点的报告和日志的时间戳始终同步。

f.密码：为基于GUI的登录思科ISE配置密码。您输入的密码必须符合Cisco ISE密码策略。密码必须包含6到25个字符，并至少包含一个数字、一个大写字母和一个小写字母。密码不能与用户名相同，或其反向（iseadmin或nimdaesi）、cisco或ocsic。允许的特殊字符为@~*!，+=_-。请参阅Cisco ISE管理员指南的“基本设置”一章中的“用户密码策略”一节了解您的版本。 

g. ersapi：输入yes以启用ERS，或输入no以禁止ERS。

h. openapi：输入yes以启用OpenAPI，或输入no以禁止OpenAPI。 

i. pxGrid：输入yes以启用pxGrid，或输入no以禁用pxGrid。 

j. pxgrid_cloud：输入yes启用pxGrid云，或输入no禁用pxGrid云。要启用pxGrid云，必须启用pxGrid。如果禁用pxGrid，但启用pxGrid云，则在启动时不启用pxGrid云服务。

用户数据部分

• 步骤 13单击Next： Tags。

• 步骤 14要创建允许您对资源进行分类以及合并多个资源和资源组的名称-值对，请在名称和值字段中输入值。 

• 步骤 15单击Next： Review + Create。

• 步骤 16审查您目前提供的信息，然后单击Create。

显示Deployment is in progress窗口。创建并可以使用思科ISE实例大约需要30分钟。Cisco ISE VM实例显示在 虚拟 Machines（使用主搜索字段查找窗口）。

下一步操作

由于Microsoft Azure默认设置，您创建的思科ISE VM仅配置为300 GB磁盘大小。Cisco ISE节点通常需要超过300 GB的磁盘大小。当您首次从Microsoft Azure启动Cisco ISE时，您可以看到Insufficient Virtual Memory警报。

在思科ISE VM创建完成后，请登录思科ISE管理门户以验证思科ISE是否已设置。然后，在Microsoft Azure门户中，在虚拟机窗口中执行并完成以下步骤以编辑磁盘大小：

1. 停止Cisco ISE实例。

2. 在左侧窗格中单击Disk，然后单击您用于思科ISE的磁盘。

3. 单击左侧窗格中的Size + performance。

4. 在自定义磁盘大小字段中，以GiB格式输入所需的磁盘大小。

安装后任务

有关成功创建Cisco ISE实例后必须执行的安装后任务的信息，请参阅您的Cisco ISE版本的Cisco ISE安装指南中的“安装验证和安装后任务”一章。

在Azure云上恢复和重置密码

完成有助于重置或恢复您的Cisco ISE虚拟机密码的任务。选择您需要的任务，并执行详细步骤。

1. 通过串行控制台重置Cisco ISE GUI密码

• 步骤1:登录到Azure云并选择包含您的Cisco ISE虚拟机的资源组。
• 第二步：从资源列表中，点击要重置密码的思科ISE实例。
• 第三步：从左侧菜单的支持+故障排除部分中，单击串行控制台。

• 第四步：如果在此处查看错误消息，则必须通过完成以下步骤启用引导诊断：

a.从左侧菜单中单击Boot Diagnostics。

b.单击Enable with a custom storage account。然后单击保存。

• 第五步：从左侧菜单的支持+故障排除部分中，单击串行控制台。 Azure Cloud Shell将显示在新窗口中。如果屏幕是黑色的，请按Enter以查看登录提示。

• 步骤 8登录到串行控制台。要登录串行控制台，必须使用安装实例时配置的原始密码。
• 步骤 9请使用application reset-passwd ise iseadmin命令为iseadmin帐户配置新的GUI密码。

2. 为SSH访问创建新的公钥对

通过此任务，可以向存储库中添加其他密钥对。在Cisco ISE实例配置时创建的现有密钥对不会替换为您创建的新公钥。

• 步骤1:在Azure云中创建新公钥。

系统将显示一个弹出窗口，供您选择Download private key and create a resource，通过此窗口下载SSH密钥作为.pem文件。

• 第二步：若要新建要将公钥保存到的存储库，请参阅Azure Repos文档。如果您已经拥有可通过CLI访问的存储库，请跳到步骤3。

• 第三步：要导入新的公钥，请使用命令crypto key import <public key filename> repository <repository name>。
• 第四步：导入完成后，您可以使用新的公钥通过SSH登录思科ISE。