在Azure雲服務上安裝ISE

簡介

本文檔介紹如何使用Azure虛擬機器安裝Cisco ISE IOS例項。Cisco ISE IOS在Azure雲服務上可用。

必要條件

需求

思科建議您瞭解訂用和資源組。

採用元件

本文檔的內容基於這些軟體和雲服務。

• Cisco ISE版本3.2。
• Microsoft Azure雲服務

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

程式

導航到所有服務>訂用。確保存在具有活動訂閱的Azure帳戶以及與Microsoft的企業協定。使用Microsoft PowerShell Azure模組CLI執行命令以保留空間：(請參閱如何安裝Azure PowerShell，以便安裝電源外殼和相關包)。

在以下位置完成必備條件請求Azure VMware解決方案的主機配額 以獲取更多詳細資訊。

在右側的訂閱後建立資源組，導航到所有服務>資源組。按一下「新增」。輸入資源組名稱。

虛擬網路和安全組

需要網際網路可達性的子網必須配置路由表，將下一跳作為internet。請參閱公用子網和專用子網示例。具有公共IP的PAN同時具有離線和聯機源更新，而具有專用IP的PAN必須依賴於離線源更新。

建立SSH金鑰對

a.使用Azure Web Portal首頁上的搜尋欄搜尋SSH金鑰。

b.在下一個窗口中，按一下Create。

c.在下一個窗口中，選擇Resource Group和Key Name。然後按一下Review + Create。

d.然後按一下Create並下載Private Key。

思科ISE支援的Azure VM大小

• Fsv2系列Azure VM大小經過計算最佳化，最適合用作計算密集型任務和應用程式的PSN。
• Dsv4系列是一般用途的Azure VM大小，最適合用作PAN或MnT節點或兩者，用於資料處理任務和資料庫操作。

如果您使用一般用途執行處理作為PSN，則效能數值會低於作為PSN之計算最佳化執行處理的效能。Standard_D8s_v4 VM大小只能用作額外的小型PSN。

Microsoft Azure雲服務中Cisco ISE的限制

• 如果您使用Azure虛擬機器建立Cisco ISE，預設情況下，Microsoft Azure透過DHCP伺服器向VM分配專用IP地址。在Microsoft Azure上建立思科ISE部署之前，您必須使用Microsoft Azure分配的IP地址更新轉發和逆向DNS條目。

  或者，在安裝思科ISE後，透過更新Microsoft Azure中的網路介面對象為虛擬機器分配靜態IP地址：

  1. 停止虛擬機器。

  2. 在VM的「專用IP地址設定」區域的「分配」區域中，按一下靜態。

  3. 重新啟動虛擬機器。

  4. 在思科ISE串列控制檯中，將IP地址分配為Gi0。

  5. 重新啟動Cisco ISE應用伺服器。

• 只有兩個NIC（千兆乙太網0和千兆乙太網1）支援雙NIC。為了在思科ISE例項中配置輔助NIC，您必須首先在Azure中建立網路介面對象，關閉思科ISE例項的電源，然後將此網路介面對象附加到思科ISE。在Azure上安裝並啟動Cisco ISE後，使用Cisco ISE CLI手動將網路介面對象的IP地址配置為輔助NIC。

• Cisco ISE升級工作流程在Microsoft Azure上的Cisco ISE中不可用。僅支援全新安裝。但是，您可以執行配置資料的備份和恢復。
• 公共雲僅支援第3層功能。Microsoft Azure上的思科ISE節點不支援依賴第2層功能的思科ISE功能。例如，透過Cisco ISE CLI使用DHCP SPAN分析器探測功能和CDP協定功能是當前不支援的功能。
• 當您執行配置資料的恢復和備份功能時，在備份操作完成後，首先透過CLI重新啟動思科ISE。然後，從Cisco ISE GUI啟動恢復操作。
• Azure不支援使用基於密碼的身份驗證對思科ISE CLI進行SSH訪問。您只能透過金鑰對訪問思科ISE CLI，並且必須安全地儲存此金鑰對。如果使用私鑰（或PEM）檔案並且丟失該檔案，則無法訪問Cisco ISE CLI。不支援任何使用基於密碼的身份驗證方法訪問Cisco ISE CLI的整合，例如，Cisco DNA Center 2.1.2版及更早版本。

• Azure上的Cisco ISE IOS部署通常利用動態多點虛擬專用網路(DMVPN)和軟體定義廣域網(SD-WAN)等VPN解決方案，其中IPSec隧道開銷可能導致MTU和分段問題。在這種情況下，思科ISE IOS不會收到完整的RADIUS資料包，並且身份驗證失敗不會觸發故障錯誤日誌。

  一種可能的解決方法是尋找Microsoft技術支援，以探索Azure中允許無序片段傳遞至目標而不被丟棄的任何解決方案。

• CLI管理員使用者必須是「iseadmin」。

設定

連線到Azure雲的ISE部署示例

組態

• 步驟 1.導航到Azure門戶並登入您的Microsoft Azure帳戶。

• 步驟 2.請使用窗口頂部的搜尋欄位搜尋Marketplace。

• 步驟 3.使用Search the Marketplace搜尋欄位搜尋思科身份服務引擎(ISE)。

• 步驟 4.按一下Virtual Machine。

• 步驟 5.在顯示的新窗口中，按一下Create。

• 步驟 6.在基礎頁籤中：

    a.在專案詳細資訊區域，從預訂和資源組下拉選單中選擇所需的值

    b.在例項詳細資訊區域，在虛擬機器名稱欄位中輸入值。

    c.從Image下拉選單中選擇Cisco ISE image。 

    d.從Size下拉選單中選擇要用來安裝Cisco ISE的例項大小。選擇思科ISE支援的例項，如標題為Azure Cloud的表中所列。

思科ISE支援的例項位於Azure雲上的思科ISE部分。

    e.在Administrator account > Authentication type區域中，按一下SSH Public Key單選按鈕。

    f.在使用者名稱欄位中，輸入iseadmin。 

    g.從SSH public key source下拉選單中選擇Use existing key stored in Azure。

    h.從儲存的金鑰下拉選單中，選擇作為此任務的先決條件而建立的金鑰對。

    j.在入站埠規則區域中，點選允許選定埠單選按鈕。 

    k.在許可區域中，從許可型別下拉選單中選擇其他。

建立虛擬機器器

• 步驟 7.按一下下一步：磁碟。

• 步驟 8.在磁碟頁籤中，保留必填欄位的預設值，然後按一下下一步：聯網。

• 步驟 9.在Network Interface區域，從Virtual network、Subnet和Configure network security group下拉選單中，選擇已建立的虛擬網路和子網。

• 步驟 10.點選下一步：管理。

• 步驟 11.在管理頁籤中，保留必填欄位的預設值，然後按一下下一步：高級。

• 步驟 12.在User data區域中，選中Enable user data覈取方塊。

在User data欄位中，填寫以下資訊：

    hostname=<Cisco ISE的主機名> 

    primarynameserver=<IPv4地址> 

    dnsdomain=<域名> 

    ntpserver=<IPv4地址或NTP伺服器的FQDN> 

    timezone=<timezone>

    password=<password> 

    ersapi=<是/否>

    openapi=<是/否>

    pxGrid=<是/否>

    pxgrid_cloud=<是/否>

有關必須透過使用者資料欄位提交的配置，請參閱準則：

a.主機名：輸入僅包含字母數字字元和連字元(-)的主機名。主機名的長度不能超過19個字元，並且不能包含下劃線(_)。

b.主名稱伺服器：輸入主名稱伺服器的IP地址。僅支援IPv4地址。

在此步驟中，您只能增加一個DNS伺服器。您可以在安裝後透過Cisco ISE CLI增加其他DNS伺服器。

c. dnsdomain：輸入DNS域的FQDN。條目可以包含ASCII字元、數字、連字元(-)和句點(.)。

d. ntpserver：輸入必須用於同步的NTP伺服器的IPv4地址或FQDN。

在此步驟中只能增加一個NTP伺服器。您可以在安裝後透過Cisco ISE CLI增加其他NTP伺服器。使用有效且可訪問的NTP伺服器，因為ISE操作需要此伺服器。

e.時區：輸入時區，例如Etc/UTC。建議您將所有思科ISE節點設定為協調世界時(UTC)時區，特別是如果您的思科ISE節點安裝在分散式部署中。此程式可確保來自部署中各個節點的報告和記錄的時間戳始終同步。

f.密碼：配置基於GUI的登入思科ISE的密碼。您輸入的密碼必須符合Cisco ISE密碼策略。密碼必須包含6到25個字元，且至少包含一個數字、一個大寫字母和一個小寫字母。密碼不能與使用者名稱相同，也不能與使用者名稱相反（iseadmin或nimdaesi）、cisco或ocsic。允許的特殊字元為@~*!，+=_-。請參閱Cisco ISE管理員指南的「基本設定」一章中的「使用者密碼策略」一節瞭解您的版本。 

g. ersapi：輸入yes以啟用ERS，或輸入no以禁止ERS。

h. openapi：輸入yes以啟用OpenAPI，或輸入no以禁止OpenAPI。 

i. pxGrid：輸入yes以啟用pxGrid，或輸入no以停用pxGrid。 

j. pxgrid_cloud：輸入yes以啟用pxGrid雲，或輸入no以停用pxGrid雲。要啟用pxGrid雲，必須啟用pxGrid。如果停用pxGrid，但啟用pxGrid雲，則在啟動時不會啟用pxGrid雲服務。

使用者資料段落

• 步驟 13.點選下一步：標籤。

• 步驟 14.要建立名稱-值對並合併多個資源和資源組，請在名稱和值欄位中輸入值。 

• 步驟 15.點選下一步：檢視+建立。

• 步驟 16.檢視您目前提供的資訊，然後按一下Create。

會顯示Deployment is in progress視窗。建立思科ISE例項並可供使用大約需要30分鐘。Cisco ISE VM例項顯示在 虛擬 Machines窗口（使用主搜尋欄位以查詢該窗口）。

下一步工作

由於Microsoft Azure預設設定，您建立的思科ISE VM僅配置為300 GB磁碟大小。Cisco ISE節點通常需要300 GB以上的磁碟大小。首次從Microsoft Azure啟動Cisco ISE時，您可以看到Insufficient Virtual Memory警報。

在思科ISE VM建立完成後，登入思科ISE管理門戶以驗證思科ISE已設定。然後，在Microsoft Azure門戶中，執行並完成虛擬機器窗口中的步驟以編輯磁碟大小：

1. 停止Cisco ISE例項。

2. 在左側窗格中按一下Disk，然後按一下要與Cisco ISE一起使用的磁碟。

3. 按一下左側窗格中的大小+效能。

4. 在自定義磁碟大小欄位中，輸入所需的磁碟大小（以GiB表示）。

安裝後任務

有關成功建立Cisco ISE例項後必須執行的安裝後任務的資訊，請參閱您的Cisco ISE版本的Cisco ISE安裝指南中的「安裝驗證和安裝後任務」一章。

在Azure Cloud上恢復並重置密碼

完成幫助您重置或恢復思科ISE虛擬機器密碼的任務。選擇您需要的任務，並執行詳細步驟。

1. 透過串列控制檯重置思科ISE GUI密碼

• 步驟 1.登入到Azure Cloud，並選擇包含您的Cisco ISE虛擬機器的資源組。
• 步驟 2.從資源清單中，點選要重置其密碼的思科ISE例項。
• 步驟 3.從左側選單中的支援+故障排除部分，按一下串列控制檯。

• 步驟 4.如果在此處檢視錯誤消息，則必須透過執行完整的步驟啟用引導診斷：

a.從左側選單中按一下Boot Diagnostics。

b.按一下Enable with a custom storage account。然後按一下Save。

• 步驟 5.從左側選單中的支援+故障排除部分，按一下串列控制檯。 Azure Cloud Shell將顯示在新窗口中。如果螢幕為黑色，請按Enter以檢視登入提示。

• 步驟 8.登入串列控制檯。若要登入序列主控台，您必須使用安裝執行處理時設定的原始密碼。
• 步驟 9.請使用application reset-passwd ise iseadmin命令為iseadmin帳戶配置新的GUI密碼。

2. 為SSH訪問建立新的公鑰對

透過此任務，您可以向儲存庫中增加其他金鑰對。在Cisco ISE例項配置時建立的現有金鑰對不會被您建立的新公鑰替換。

• 步驟 1.在Azure雲中建立新公鑰。

您將看到一個彈出窗口，您可以在其中選擇Download private key and create a resource，從而將SSH金鑰下載為.pem檔案。

• 步驟 2.要建立新的儲存庫以將公鑰儲存到，請參閱Azure Repos文檔。如果已經有一個可透過CLI訪問的儲存庫，請跳到步驟3。

• 步驟 3.要導入新的公鑰，請使用命令crypto key import <public key filename> repository <repository name>。
• 步驟 4.導入完成後，您可以使用新公鑰透過SSH登入思科ISE。