简介
本文档介绍如何使用Azure虚拟机安装Cisco ISE IOS实例。思科ISE IOS可用于Azure云服务。
先决条件
导航到所有服务>订用。确保存在具有与Microsoft达成企业协议的活动订阅的Azure帐户。使用Microsoft PowerShell Azure模块CLI执行命令以保留空间:(请参阅<如何安装Azure PowerShell >以了解如何安装Power Shell和相关包)。
![Powershall2](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-00.png)
有关更多详细信息,请完成为Azure VMware解决方案预申请的atRequest host quota。
在正确订阅后创建资源组,导航到所有服务>资源组。单击 Add。输入资源组名称。
![资源组名称](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-01.png)
需要Internet可达性的子网必须将路由表配置为使用下一跳作为Internet。请参阅公共子网和专用子网示例。具有公共IP的PAN让离线源和在线源更新都工作,具有私有IP的PAN需要依赖离线源更新。
![要求](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-02.png)
a.使用Azure Web Portal主页上的搜索栏并搜索SSH密钥。
![搜索SSH密钥](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-03.png)
b.在下一个窗口中,单击创建。
![创建密钥](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-04.png)
c.从下一个窗口中选择资源组和密钥名称。然后单击Review + Create。
![创建SSH密钥](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-05.png)
d.在下一个窗口中,单击Create和Download Private Key。
![下载私钥](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-06.png)
使用的组件
本文档的内容基于这些软件和云服务。
- 思科ISE版本3.2。
- Microsoft Azure云服务
本文档中的信息是在特定实验环境中的设备上创建的。用于本文的所有设备始于初始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
思科ISE支持的Azure VM大小
![ISE VM调整](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-07.png)
- Fsv2系列Azure VM大小经过计算优化,最适合用作计算密集型任务和应用的PSN。
- Dsv4系列是通用的Azure VM大小,最适合用作PAN或MnT节点或两者,用于数据处理任务和数据库操作。
如果将通用实例用作PSN,则性能数值低于作为PSN的计算优化实例的性能。Standard_D8s_v4 VM大小只能用作额外的小型PSN。
注意:请勿克隆现有Azure云映像以创建思科ISE实例。这样做会在创建的ISE机器中导致随机和意外故障。
Microsoft Azure云服务中Cisco ISE的限制
-
如果使用Azure虚拟机创建思科ISE,默认情况下,Microsoft Azure通过DHCP服务器将私有IP地址分配给VM。在Microsoft Azure上创建思科ISE部署之前,必须使用Microsoft Azure分配的IP地址更新转发和逆向DNS条目。
或者,在安装Cisco ISE后,通过更新Microsoft Azure中的网络接口对象将静态IP地址分配到VM:
-
停止虚拟机。
-
在VM的“专用IP地址设置”区域的“分配”区域中,点击静态。
-
重新启动虚拟机。
-
在思科ISE串行控制台中,将IP地址分配为Gi0。
-
重新启动Cisco ISE应用服务器。
-
只有两个NIC支持双NIC -千兆以太网0和千兆以太网1。要在您的思科ISE实例中配置辅助NIC,您必须首先在Azure中创建网络接口对象,关闭您的思科ISE实例,然后将此网络接口对象附加到思科ISE。在Azure上安装并启动Cisco ISE后,使用Cisco ISE CLI手动将网络接口对象的IP地址配置为辅助NIC。
- 思科ISE升级工作流程在Microsoft Azure上的思科ISE中不可用。仅支持全新安装。但是,您可以执行配置数据的备份和恢复。
- 公共云仅支持第3层功能。Microsoft Azure上的Cisco ISE节点不支持依赖第2层功能的Cisco ISE功能。例如,通过Cisco ISE CLI使用DHCP SPAN分析器探针和CDP协议功能是当前不支持的功能。
- 当您执行配置数据的恢复和备份功能时,备份操作完成后,首先通过CLI重新启动Cisco ISE。然后,从Cisco ISE GUI启动恢复操作。
- Azure中不支持使用基于密码的身份验证对思科ISE CLI进行SSH访问。您只能通过密钥对访问思科ISE CLI,并且必须安全地存储此密钥对。如果使用私钥(或PEM)文件并且丢失文件,您将无法访问Cisco ISE CLI。
不支持使用基于密码的身份验证方法访问Cisco ISE CLI的任何集成,例如Cisco DNA Center 2.1.2版及更早版本。
-
Azure上的Cisco ISE IOS部署通常利用动态多点虚拟专用网络(DMVPN)和软件定义的广域网(SD-WAN)等VPN解决方案,其中IPSec隧道开销可能导致MTU和分段问题。在这种情况下,思科ISE IOS不会收到完整的RADIUS数据包,并且身份验证失败不会触发故障错误日志。
一种可能的解决方法是寻求Microsoft技术支持以探索Azure中允许无序碎片传递到目标而不是被丢弃的任何解决方案。
- CLI管理员用户必须是“iseadmin”。
配置
连接到Azure云的ISE部署示例
![Azure2上的ISE部署示例](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-08.png)
配置
- 第(1)步:转到Azure门户并登录你的Microsoft Azure帐户。
![登录Azure](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-09.png)
![搜索市场](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-10.png)
- 第(3)步:使用搜索Marketplace搜索字段搜索思科身份服务引擎(ISE)。
![在Market Place中搜索ISE](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-11.png)
![创建虚拟机](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-12.png)
![点击Create](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-13.png)
a.在项目详细信息区域,从订用和资源组下拉列表中选择所需的值。
b.在实例详细信息区域,在虚拟机名称字段中输入值。
c.从Image下拉列表中选择Cisco ISE映像。
d.从Size下拉列表中,选择要用于安装思科ISE的实例大小。选择思科ISE支持的实例,如Azure云表中所列
Cisco ISE支持的实例,在Azure云上的Cisco ISE部分。
e.在Administrator account > Authentication type区域中,单击SSH Public Key单选按钮。
f. 在用户名字段中输入iseadmin。
g.从SSH Public Key Source下拉列表中,选择Use existing key stored in Azure。
h.从Stored keys下拉列表中,选择作为此任务前提条件而创建的密钥对。
j. 在Inbound port rules区域中,点击Allow selected ports单选按钮。
k.在Licensing区域中,从Licensing type下拉列表中选择Other。
创建虚拟机
![创建虚拟机](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-15.png)
- 第(8)步:在磁盘选项卡中,保留必填字段的默认值并单击下一步:网络。
![创建虚拟机](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-16.png)
注意:对于磁盘类型,可从下拉列表中选择更多选项。您可以选择符合您需求的解决方案。对于生产和性能敏感型工作负载,推荐使用高级SSD。
- 第(9)步:在Network Interface区域中,从Virtual network、Subnet和Configure network security group下拉列表中,选择您创建的虚拟网络和子网。
注意:具有公共IP地址的子网接收在线和离线状态源更新,而具有专用IP地址的子网仅接收离线状态源更新。
![创建虚拟机](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-17.png)
![创建虚拟机](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-18.png)
- 第(11)步:在管理选项卡中,保留必填字段的默认值并点击下一步:高级。
![创建虚拟机](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-19.png)
![创建虚拟机](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-20.png)
- 第(12)步:在用户数据区域中,选中启用用户数据复选框。
在用户数据字段中,填写以下信息:
hostname=<Cisco ISE的主机名>
primarynameserver=<IPv4地址>
dnsdomain=<域名>
ntpserver=<IPv4地址或NTP服务器的FQDN>
timezone=<timezone>
password=<password>
ersapi=<yes/no>
openapi=<yes/no>
pxGrid=<是/否>
pxgrid_cloud=<yes/no>
注意:对于通过用户数据条目配置的每个字段,必须使用正确的语法。输入时,您在“用户数据”字段中输入的信息不会经过验证。如果使用错误的语法,当您启动映像时,思科ISE服务不会出现。
有关必须通过User Data字段提交的配置,请参阅准则:
a.主机名:输入仅包含字母数字字符和连字符(-)的主机名。主机名的长度不能超过19个字符,并且不能包含下划线(_)。
b.主名称服务器:输入主名称服务器的IP地址。仅支持IPv4地址。
在此步骤中只能添加一个DNS服务器。您可以在安装后通过Cisco ISE CLI添加其他DNS服务器。
c. dnsdomain:输入DNS域的FQDN。条目可以包含ASCII字符、数字、连字符(-)和句点(.)。
d. ntpserver:输入必须用于同步的NTP服务器的IPv4地址或FQDN。
在此步骤中只能添加一个NTP服务器。您可以在安装后通过Cisco ISE CLI添加其他NTP服务器。使用有效且可访问的NTP服务器,因为ISE操作需要此服务器。
e.时区:输入时区,例如Etc/UTC。我们建议您将所有思科ISE节点设置为协调世界时(UTC)时区,特别是如果您的思科ISE节点安装在分布式部署中。此过程可确保来自部署中各个节点的报告和日志的时间戳始终同步。
f.密码:为基于GUI的登录思科ISE配置密码。您输入的密码必须符合Cisco ISE密码策略。密码必须包含6到25个字符,并至少包含一个数字、一个大写字母和一个小写字母。密码不能与用户名相同,或其反向(iseadmin或nimdaesi)、cisco或ocsic。允许的特殊字符为@~*!,+=_-。请参阅Cisco ISE管理员指南的“基本设置”一章中的“用户密码策略”一节了解您的版本。
g. ersapi:输入yes启用ERS,或输入no禁止ERS。
h. openapi:输入yes启用OpenAPI,或输入no禁止OpenAPI。
i. pxGrid:输入yes启用pxGrid,或输入no禁用pxGrid。
j. pxgrid_cloud:输入yes启用pxGrid云,或输入no禁用pxGrid云。要启用pxGrid云,必须启用pxGrid。如果禁用pxGrid,但启用pxGrid云,则在启动时不启用pxGrid云服务。
用户数据部分
![创建虚拟机](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-22.png)
- 第(14)步:要创建允许您对资源进行分类的名称-值对,以及合并多个资源和资源组,请在名称和值字段中输入值。
![创建虚拟机](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-23.png)
![审阅并创建](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-24.png)
- 第(16)步:查看您目前提供的信息,然后点击创建。
显示Deployment is in progress窗口。创建并可以使用思科ISE实例大约需要30分钟。Cisco ISE VM实例显示在
“虚拟机”窗口(使用主搜索字段查找窗口)。
![创建虚拟机](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-25.png)
![正在部署](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-26.png)
下一步操作
由于Microsoft Azure默认设置,您创建的思科ISE VM仅配置为300 GB磁盘大小。Cisco ISE节点通常需要超过300 GB的磁盘大小。当您首次从Microsoft Azure启动Cisco ISE时,您可以看到Insufficient Virtual Memory警报。
在Cisco ISE VM创建完成后,请登录Cisco ISE管理门户验证Cisco ISE已设置。然后,在Microsoft Azure门户中,在虚拟机窗口中执行并完成以下步骤以编辑磁盘大小:
1. 停止Cisco ISE实例。
![停止ISE VM](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-27.png)
2. 在左侧窗格中单击Disk,然后单击您用于思科ISE的磁盘。
![单击磁盘](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-28.png)
3. 单击左侧窗格中的Size + performance。
![“选择大小-性能”页](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-29.png)
4. 在自定义磁盘大小字段中,以GiB格式输入所需的磁盘大小。
![更改磁盘大小](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-30.png)
安装后任务
有关成功创建Cisco ISE实例后必须执行的安装后任务的信息,请参阅您的Cisco ISE版本的Cisco ISE安装指南中的“安装验证和安装后任务”一章。
在Azure云上恢复和重置密码
完成有助于重置或恢复您的Cisco ISE虚拟机密码的任务。选择您需要的任务,并执行详细步骤。
1. 通过串行控制台重置Cisco ISE GUI密码
- 第(1)步:登录到Azure云并选择包含思科ISE虚拟机的资源组。
- 第(2)步:从资源列表中,点击要重置密码的思科ISE实例。
- 第(3)步:在左侧菜单中,从支持+故障排除部分,单击串行控制台。
![单击串行控制台](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-31.png)
- 第(4)步:如果在此处查看错误消息,则必须通过执行并完成以下步骤来启用引导诊断:
a.从左侧菜单中单击Boot diagnostics。
![诊断](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-32.png)
b.单击Enable with custom storage account。然后单击保存。
![点击保存](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-33.png)
- 第(5)步:在左侧菜单中,从支持+故障排除部分,单击串行控制台。 Azure Cloud Shell将显示在新窗口中。如果屏幕是黑色的,请按Enter查看登录提示。
![日志记录提示](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-34.png)
- 第(8)步:登录到串行控制台。要登录到串行控制台,您必须使用安装实例时配置的原始密码。
- 第(9)步:使用application reset-passwd ise iseadmin命令为iseadmin帐户配置新的GUI密码。
2. 为SSH访问创建新的公钥对
通过此任务,可以向存储库中添加其他密钥对。在Cisco ISE实例配置时创建的现有密钥对不会替换为您创建的新公钥。
![创建SSH密钥](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-35.png)
您将看到一个弹出窗口,用于选择Download private key和create resource,通过此窗口可下载SSH密钥作为.pem文件。
![下载密钥](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-36.png)
如果已经拥有可通过CLI访问的存储库,请跳到步骤3。
- 第(3)步:要导入新的公钥,请使用命令crypto key import <public key filename> repository <repository name>。
- 第(4)步:导入完成后,您可以使用新的公钥通过SSH登录思科ISE。