Installer ISE sur Azure Cloud Services

Introduction

Ce document décrit comment installer l'instance Cisco ISE IOS à l'aide de la machine virtuelle Azure. Cisco ISE IOS est disponible sur les services cloud Azure.

Conditions préalables

• Abonnements et groupes de ressources.

Accédez à Tous les services > Abonnements. Assurez-vous que le compte Azure avec un abonnement actif qui a un contrat d'entreprise avec Microsoft est présent. À l'aide de l'interface de ligne de commande du module Microsoft PowerShell Azure, exécutez des commandes pour réserver de l'espace : (Reportez-vous à la section <Comment installer Azure PowerShell > pour installer Power Shell et les packages appropriés).

Remplissez les conditions préalables à l'adresseDemander un quota d'hôte pour la solution Azure VMware pour plus de détails.

Créez un groupe de ressources après l'abonnement approprié, en accédant à Tous les services > Groupes de ressources. Cliquez sur Add. Entrez le nom du groupe de ressources.

• Réseau virtuel et groupes de sécurité.

La table de routage du sous-réseau qui nécessite l'accessibilité à Internet doit être configurée avec le tronçon suivant comme Internet. Voir des exemples de sous-réseaux publics et privés. PAN avec IP publique Avoir les mises à jour de flux en ligne et hors ligne fonctionnant, PAN avec IP privée doit s'appuyer sur les mises à jour de flux hors ligne.

• Créez une paire de clés SSH.

   a. Utilisez la barre de recherche de la page d'accueil du portail Web Azure et recherchez des clés SSH.

  b. Dans la fenêtre suivante, cliquez sur Créer.

  c. Dans la fenêtre suivante, sélectionnez Groupe de ressources et Nom de clé. Cliquez ensuite sur Vérifier + Créer.

  d. Dans la fenêtre suivante, cliquez sur Create and Download Private Key.

Composant utilisé

Le contenu de ce document est basé sur ces logiciels et services cloud.

• Cisco ISE version 3.2.
• Services cloud Microsoft Azure

Les informations contenues dans ce document ont été créées dans le périphérique à partir d'un environnement de travaux pratiques spécifique. Tous les dispositifs utilisés dans ce document ont démarré par une configuration effacée (par défaut). Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Tailles de VM Azure prises en charge par Cisco ISE

• Les tailles de VM Azure de la gamme Fsv2 sont optimisées pour le calcul et sont les mieux adaptées pour une utilisation en tant que PSN pour des tâches et des applications gourmandes en calcul.
• Les machines virtuelles Dsv4 sont des tailles de machines virtuelles Azure à usage général, qui conviennent le mieux comme noeuds PAN ou MnT, ou les deux, et sont destinées aux tâches de traitement des données et aux opérations de base de données.

Si vous utilisez une instance à usage général en tant que PSN, les performances sont inférieures à celles d'une instance optimisée pour le traitement informatique en tant que PSN. La taille de la machine virtuelle Standard_D8s_v4 doit être utilisée en tant que petit PSN supplémentaire uniquement.

Limites de Cisco ISE dans les services cloud Microsoft Azure

• Si vous créez Cisco ISE à l'aide de la machine virtuelle Azure, Microsoft Azure attribue par défaut des adresses IP privées aux machines virtuelles via des serveurs DHCP. Avant de créer un déploiement Cisco ISE sur Microsoft Azure, vous devez mettre à jour les entrées DNS avant et arrière avec les adresses IP attribuées par Microsoft Azure.

  Après avoir installé Cisco ISE, vous pouvez également attribuer une adresse IP statique à votre machine virtuelle en mettant à jour l'objet Interface réseau dans Microsoft Azure :

  1. Arrêtez la machine virtuelle.

  2. Dans la zone Private IP address settings de la machine virtuelle, dans la zone Assignment, cliquez sur Static.

  3. Redémarrez la machine virtuelle.

  4. Dans la console série Cisco ISE, attribuez l'adresse IP Gi0.

  5. Redémarrez le serveur d'applications Cisco ISE.

• La double carte réseau est prise en charge avec seulement deux cartes réseau : Gigabit Ethernet 0 et Gigabit Ethernet 1. Pour configurer une carte réseau secondaire dans votre instance Cisco ISE, vous devez d'abord créer un objet d'interface réseau dans Azure, mettre hors tension votre instance Cisco ISE, puis attacher cet objet d'interface réseau à Cisco ISE. Après avoir installé et lancé Cisco ISE sur Azure, utilisez l'interface de ligne de commande Cisco ISE pour configurer manuellement l'adresse IP de l'objet d'interface réseau en tant que carte réseau secondaire.

• Le workflow de mise à niveau Cisco ISE n'est pas disponible dans Cisco ISE sur Microsoft Azure. Seules les nouvelles installations sont prises en charge. Cependant, vous pouvez effectuer une sauvegarde et une restauration des données de configuration.
• Le cloud public prend uniquement en charge les fonctionnalités de couche 3. Les noeuds Cisco ISE sur Microsoft Azure ne prennent pas en charge les fonctions Cisco ISE qui dépendent des fonctionnalités de couche 2. Par exemple, l'utilisation de sondes de profileur SPAN DHCP et les fonctions de protocole CDP via l'interface de ligne de commande Cisco ISE sont des fonctions qui ne sont pas actuellement prises en charge.
• Lorsque vous exécutez la fonction de restauration et de sauvegarde des données de configuration, une fois l'opération de sauvegarde terminée, redémarrez d'abord Cisco ISE via l'interface de ligne de commande. Lancez ensuite l'opération de restauration à partir de l'interface utilisateur graphique Cisco ISE.
• L'accès SSH à l'interface de ligne de commande Cisco ISE avec authentification par mot de passe n'est pas pris en charge dans Azure. Vous ne pouvez accéder à l'interface de ligne de commande Cisco ISE que par l'intermédiaire d'une paire de clés, qui doit être stockée en toute sécurité. Si vous utilisez un fichier de clé privée (ou PEM) et que vous le perdez, vous ne pourrez pas accéder à l'interface de ligne de commande Cisco ISE.

   Toute intégration qui utilise une méthode d'authentification basée sur un mot de passe pour accéder à l'interface de ligne de commande Cisco ISE n'est pas prise en charge, par exemple, Cisco DNA Center version 2.1.2 et antérieure.

• Les déploiements Cisco ISE IOS sur Azure utilisent généralement des solutions VPN telles que les réseaux privés virtuels multipoints dynamiques (DMVPN) et les réseaux étendus définis par logiciel (SD-WAN), où les surcharges du tunnel IPSec peuvent entraîner des problèmes de MTU et de fragmentation. Dans de tels scénarios, Cisco ISE IOS ne recevrait pas les paquets RADIUS complets et un échec d'authentification se produit sans déclencher un journal des erreurs d'échec.

  Une solution de contournement possible consiste à demander au support technique de Microsoft d'explorer toutes les solutions dans Azure qui peuvent permettre aux fragments dans le désordre de passer à la destination au lieu d'être abandonnés.

• L'utilisateur Admin ILC doit être « iseadmin ».

Configurer

Exemple de déploiement ISE connecté au cloud Azure

Configurations

• Étape (1) : Accédez au portail Azure et connectez-vous à votre compte Microsoft Azure.

• Étape (2) : Utilisez le champ de recherche en haut de la fenêtre pour rechercher Marketplace.

• Étape (3) : utilisez le champ de recherche Rechercher sur le marché pour rechercher Cisco Identity Services Engine (ISE).

• Étape (4) : Cliquez sur Virtual Machine.

• Étape (5) : Dans la nouvelle fenêtre qui s'affiche, cliquez sur Créer. 

• Étape (6) : Dans l'onglet Basics (Notions de base) : 

    a. Dans la zone Détails du projet, sélectionnez les valeurs requises dans les listes déroulantes Abonnement et Groupe de ressources. 

    b. Dans la zone Détails de l'instance, entrez une valeur dans le champ Nom de la machine virtuelle. 

    c. Dans la liste déroulante Image, sélectionnez l'image Cisco ISE. 

    d. Dans la liste déroulante Taille, sélectionnez la taille d'instance avec laquelle vous souhaitez installer Cisco ISE. Choisissez une instance prise en charge par Cisco ISE, comme indiqué dans le tableau intitulé Cloud Azure

        Instances prises en charge par Cisco ISE, dans la section Cisco ISE sur le cloud Azure. 

    e. Dans la zone Administrator account > Authentication type, cliquez sur la case d'option SSH Public Key.

    f. Dans le champ Username, saisissez iseadmin. 

    g. Dans la liste déroulante SSH public key source, sélectionnez Use existing key storage in Azure.

    h. Dans la liste déroulante Clés stockées, sélectionnez la paire de clés que vous avez créée comme condition préalable à cette tâche.

    j. Dans la zone Inbound port rules, cliquez sur la case d'option Allow selected ports. 

    k. Dans la zone Licence, dans la liste déroulante Type de licence, sélectionnez Autre. 

Créer une machine virtuelle

• Étape (7) : Cliquez sur Next : Disks.

• Étape (8) : Dans l'onglet Disks, conservez les valeurs par défaut pour les champs obligatoires et cliquez sur Next : Networking.

• Étape (9) : Dans la zone Network Interface, dans les listes déroulantes Virtual network, Subnet et Configure network security group, sélectionnez le réseau virtuel et le sous-réseau que vous avez créés.

• Étape (10) : Cliquez sur Next : Management. 

• Étape (11) : Dans le Management onglet, conservez les valeurs par défaut pour les champs obligatoires et cliquez sur Next : Advanced.

• Étape (12) : Dans la zone Données utilisateur, cochez la case Activer les données utilisateur. 

    Dans le champ Données utilisateur, renseignez les informations suivantes :

    hostname=<nom d'hôte de Cisco ISE> 

    primarynameserver=<adresse IPv4> 

    dnsdomain=<nom de domaine> 

    ntpserver=<adresse IPv4 ou nom de domaine complet du serveur NTP> 

    timezone=<fuseau horaire>

    password=<mot de passe> 

    ersapi=<oui/non>

    openapi=<oui/non>

    pxGrid=<oui/non>

    pxgrid_cloud=<oui/non>

Reportez-vous aux Directives pour les configurations que vous devez soumettre via le champ Données utilisateur :

a. hostname : saisissez un nom d'hôte contenant uniquement des caractères alphanumériques et des tirets (-). La longueur du nom d'hôte ne doit pas dépasser 19 caractères et ne peut pas contenir de traits de soulignement (_). 

b. primary name server : saisissez l'adresse IP du serveur de noms principal. Seules les adresses IPv4 sont prises en charge.

Vous ne pouvez ajouter qu'un seul serveur DNS à cette étape. Vous pouvez ajouter des serveurs DNS supplémentaires via l'interface de ligne de commande Cisco ISE après l'installation.

c. dnsdomain : saisissez le nom de domaine complet du domaine DNS. L'entrée peut contenir des caractères ASCII, des chiffres, des tirets (-) et des points (.).

d. ntpserver : saisissez l'adresse IPv4 ou le nom de domaine complet du serveur NTP qui doit être utilisé pour la synchronisation.

Vous ne pouvez ajouter qu'un seul serveur NTP à cette étape. Vous pouvez ajouter des serveurs NTP supplémentaires via l'interface de ligne de commande Cisco ISE après l'installation. Utilisez un serveur NTP valide et accessible puisque cela est nécessaire pour les opérations ISE.

e. fuseau horaire : saisissez un fuseau horaire, par exemple, Etc/UTC. Nous vous recommandons de définir tous les noeuds Cisco ISE sur le fuseau horaire UTC (Coordinated Universal Time), en particulier si vos noeuds Cisco ISE sont installés dans un déploiement distribué. Cette procédure garantit que les horodatages des rapports et des journaux des différents noeuds de votre déploiement sont toujours synchronisés. 

f. password : configurez un mot de passe pour la connexion à Cisco ISE via l'interface utilisateur graphique. Le mot de passe que vous entrez doit être conforme à la politique de mot de passe de Cisco ISE. Le mot de passe doit contenir entre 6 et 25 caractères et inclure au moins un chiffre, une lettre majuscule et une lettre minuscule. Le mot de passe ne peut pas être le même que le nom d'utilisateur ou son inverse (iseadmin ou nimdaesi), cisco ou ocsic. Les caractères spéciaux autorisés sont @~*!,+=_-. Reportez-vous à la section « Politique de mot de passe utilisateur » du chapitre « Configuration de base » du Guide de l'administrateur Cisco ISE pour connaître votre version. 

g. ersapi : saisissez yes pour activer ERS ou no pour désactiver ERS.

h. openapi : saisissez yes pour activer OpenAPI ou no pour désactiver OpenAPI. 

i. pxGrid : saisissez yes pour activer pxGrid ou no pour désactiver pxGrid. 

j. pxgrid_cloud : saisissez yes pour activer pxGrid Cloud ou no pour désactiver pxGrid Cloud. Pour activer pxGrid Cloud, vous devez activer pxGrid. Si vous désactivez pxGrid, mais activez pxGrid Cloud, les services pxGrid Cloud ne sont pas activés au lancement. 

Section Données utilisateur

• Étape (13) : Cliquez sur Next : Tags. 

• Étape (14) : Pour créer des paires nom-valeur qui vous permettent de classer les ressources et de consolider plusieurs ressources et groupes de ressources, entrez des valeurs dans les champs Nom et Valeur. 

• Étape (15) : Cliquez sur Next : Review + Create.

• Étape (16) : Vérifiez les informations que vous avez fournies jusqu'à présent et cliquez sur Créer.

  La fenêtre Le déploiement est en cours s'affiche. Il faut environ 30 minutes pour que l'instance Cisco ISE soit créée et disponible. L'instance de machine virtuelle Cisco ISE s'affiche dans la

   Virtuel Fenêtre Machines (utilisez le champ de recherche principal pour trouver la fenêtre). 

Que faire ensuite ?

En raison d'un paramètre Microsoft Azure par défaut, la machine virtuelle Cisco ISE que vous avez créée est configurée avec une taille de disque de 300 Go uniquement. Les noeuds Cisco ISE nécessitent généralement une taille de disque supérieure à 300 Go. Vous pouvez voir l'alarme Mémoire virtuelle insuffisante lorsque vous lancez Cisco ISE pour la première fois à partir de Microsoft Azure.

Une fois la création de la machine virtuelle Cisco ISE terminée, connectez-vous au portail d'administration Cisco ISE pour vérifier que Cisco ISE est configuré. Ensuite, dans le portail Microsoft Azure, effectuez les étapes suivantes dans la fenêtre Machines virtuelles pour modifier la taille du disque :

1. Arrêtez l'instance Cisco ISE.

2. Cliquez sur Disk dans le volet de gauche et cliquez sur le disque que vous utilisez avec Cisco ISE. 

3. Cliquez sur Taille + performances dans le volet de gauche. 

4. Dans le champ Taille de disque personnalisée, saisissez la taille de disque souhaitée, en Go. 

Tâches post-installation

Pour obtenir des informations sur les tâches de post-installation que vous devez effectuer après avoir créé une instance Cisco ISE, reportez-vous au chapitre « Vérification de l'installation et tâches de post-installation » du Guide d'installation Cisco ISE correspondant à votre version de Cisco ISE.

Récupération et réinitialisation de mot de passe sur le cloud Azure

Effectuez les tâches qui vous aident à réinitialiser ou à récupérer votre mot de passe de machine virtuelle Cisco ISE. Choisissez les tâches dont vous avez besoin et suivez les étapes détaillées.

1. Réinitialisez le mot de passe de l'interface utilisateur graphique Cisco ISE via la console série

• Étape (1) : Connectez-vous au cloud Azure et choisissez le groupe de ressources qui contient votre machine virtuelle Cisco ISE.
• Étape (2) : Dans la liste des ressources, cliquez sur l'instance Cisco ISE pour laquelle vous souhaitez réinitialiser le mot de passe.
• Étape (3) : Dans le menu de gauche, dans la section Support + Troubleshooting, cliquez sur Serial console. 

• Étape (4) : Si vous voyez un message d'erreur ici, vous devez activer les diagnostics de démarrage en effectuant les étapes suivantes :

    a. Dans le menu de gauche, cliquez sur Boot diagnostics.

  b. Cliquez sur Activer avec un compte de stockage personnalisé. Cliquez ensuite sur Enregistrer.

• Étape (5) : Dans le menu de gauche, dans la section Support + Troubleshooting, cliquez sur Serial console. Azure Cloud Shell s'affiche dans une nouvelle fenêtre. Si l'écran est noir, appuyez sur Entrée pour afficher l'invite de connexion.

• Étape 8 - Connectez-vous à la console série. Pour vous connecter à la console série, vous devez utiliser le mot de passe d'origine configuré lors de l'installation de l'instance.
• Étape (9) : Utilisez la commande application reset-passwd ise iseadmin pour configurer un nouveau mot de passe GUI pour le compte iseadmin. 

2. Créer une nouvelle paire de clés publiques pour l'accès SSH

Cette tâche vous permet d'ajouter des paires de clés supplémentaires à un référentiel. La paire de clés existante créée lors de la configuration de l'instance Cisco ISE n'est pas remplacée par la nouvelle clé publique que vous créez.

• Étape (1) : Créez une nouvelle clé publique dans le cloud Azure.

Vous obtenez une fenêtre contextuelle pour sélectionner Télécharger la clé privée et créer une ressource qui télécharge la clé SSH comme un fichier .pem.

• Étape (2) : Pour créer un nouveau référentiel dans lequel enregistrer la clé publique, consultez la documentation Azure Repos. 

    Si vous disposez déjà d'un référentiel accessible via l'interface de ligne de commande, passez à l'étape 3.

• Étape (3) : Pour importer la nouvelle clé publique, utilisez la commande crypto key import <public key filename> repository <nom du référentiel>.
• Étape (4) : Une fois l'importation terminée, vous pouvez vous connecter à Cisco ISE via SSH à l'aide de la nouvelle clé publique.