透過Catalyst Center在ISE中增加/修改網路訪問裝置條目

簡介

本文檔介紹在ISE中重新配置網路訪問裝置(NAD)條目的過程，該條目被修改或從ISE中刪除。

背景資訊

網路裝置（由Catalyst Center管理）的NAD專案可能會在多個情況下需要修改。舉例來說：
裝置返回，序列號已更改，並且必須在該網路裝置的NAD條目中更新新的序列號（高級TrustSec設定）。

否則，將不會進行Device TrustSec身份驗證，從而導致無法下載PAC/env.資料。 

可能有另一種情況是NAD條目從身份服務引擎(ISE)中刪除（由於手動錯誤或其他原因）。現在，由於ISE中沒有NAD條目，所有裝置身份驗證都將失敗。 

問題

上述場景中的問題是，在為Catalyst Center分配站點和NAD條目後，沒有預定義的選項可以直接建立NAD條目，因此使用者必須手動配置/修改ISE中的NAD條目，這非常耗時且容易出錯。 

本文檔介紹重新配置ISE中任何網路裝置的NAD（網路訪問裝置）條目的過程/步驟，該裝置已修改或從ISE NAD中刪除。此程式適用於由Catalyst Center管理的所有網路裝置。

解決方案

要讓Catalyst Center在ISE中配置NAD條目，我們基本上需要更改裝置的管理IP地址（更改為任何虛擬IP），因為後端會觸發NAD條目建立工作流。
此程式適用於由Catalyst Center管理的所有網路裝置。將使用原始IP建立NAD條目（在更改管理IP地址之前觸發工作流程）。在本示例中，在ISE中停用了NAD條目的高級TrustSec設定： 

網路裝置的NAD條目ISE

此NAD專案的高級TrustSec設定已停用

如本圖所示，裝置的NAD條目已停用高級TrustSec設定（通常在Catalyst Center建立NAD條目時，此部分處於啟用狀態）。將Catalyst Center中的管理IP地址更改為dummy IP，這將觸發工作流在ISE中重新配置NAD條目。當您更改管理IP地址時，它會將裝置可管理性移到同步狀態，並且必須修改ISE NAD條目。 

將Catalyst中心中網路裝置的管理IP地址更改為虛擬IP

網路裝置進入同步狀態

由於管理IP地址是虛擬IP且無法從Catalyst Center訪問，因此網路裝置變為不可訪問和不可管理

更新的ISE NAD條目和「高級TrustSec設定」現已啟用： 

從Catalyst Center更新管理IP地址後，已啟用高級TrustSec設定

建立後，我們可以將管理IP地址更改回其原始IP。 

將管理IP地址更改回其原始IP

將管理IP地址更新為其原始IP地址後，裝置進入「同步」狀態並變為「託管」。 

以下是刪除NAD條目的另一種情況： 

網路裝置的ISE中不存在NAD條目

如您所見，相同的裝置NAD條目不存在。我們使用相同的步驟，即將Catalyst Center中的管理IP地址修改為虛擬IP)。使用此過程後，將建立網路裝置及其原始IP地址的NAD條目。