Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit comment installer l'instance Cisco ISE IOS à l'aide de la machine virtuelle Azure. Cisco ISE IOS est disponible sur les services cloud Azure.
Accédez à Tous les services > Abonnements. Assurez-vous que le compte Azure avec un abonnement actif qui a un contrat d'entreprise avec Microsoft est présent. À l'aide de l'interface de ligne de commande du module Microsoft PowerShell Azure, exécutez des commandes pour réserver de l'espace : (Reportez-vous à la section <Comment installer Azure PowerShell > pour installer Power Shell et les packages appropriés).
Remarque : remplacez l'ID de locataire par votre ID de locataire réel
Remplissez les conditions préalables à l'adresseDemander un quota d'hôte pour la solution Azure VMware pour plus de détails.
Créez un groupe de ressources après l'abonnement approprié, en accédant à Tous les services > Groupes de ressources. Cliquez sur Add. Entrez le nom du groupe de ressources.
La table de routage du sous-réseau qui nécessite l'accessibilité à Internet doit être configurée avec le tronçon suivant comme Internet. Voir des exemples de sous-réseaux publics et privés. PAN avec IP publique Avoir les mises à jour de flux en ligne et hors ligne fonctionnant, PAN avec IP privée doit s'appuyer sur les mises à jour de flux hors ligne.
a. Utilisez la barre de recherche de la page d'accueil du portail Web Azure et recherchez des clés SSH.
b. Dans la fenêtre suivante, cliquez sur Créer.
c. Dans la fenêtre suivante, sélectionnez Groupe de ressources et Nom de clé. Cliquez ensuite sur Vérifier + Créer.
d. Dans la fenêtre suivante, cliquez sur Create and Download Private Key.
Le contenu de ce document est basé sur ces logiciels et services cloud.
Les informations contenues dans ce document ont été créées dans le périphérique à partir d'un environnement de travaux pratiques spécifique. Tous les dispositifs utilisés dans ce document ont démarré par une configuration effacée (par défaut). Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Si vous utilisez une instance à usage général en tant que PSN, les performances sont inférieures à celles d'une instance optimisée pour le traitement informatique en tant que PSN. La taille de la machine virtuelle Standard_D8s_v4 doit être utilisée en tant que petit PSN supplémentaire uniquement.
Remarque : ne clonez pas une image cloud Azure existante pour créer une instance Cisco ISE. Cela peut entraîner des dysfonctionnements aléatoires et inattendus dans la machine ISE créée.
Si vous créez Cisco ISE à l'aide de la machine virtuelle Azure, Microsoft Azure attribue par défaut des adresses IP privées aux machines virtuelles via des serveurs DHCP. Avant de créer un déploiement Cisco ISE sur Microsoft Azure, vous devez mettre à jour les entrées DNS avant et arrière avec les adresses IP attribuées par Microsoft Azure.
Après avoir installé Cisco ISE, vous pouvez également attribuer une adresse IP statique à votre machine virtuelle en mettant à jour l'objet Interface réseau dans Microsoft Azure :
Arrêtez la machine virtuelle.
Dans la zone Private IP address settings de la machine virtuelle, dans la zone Assignment, cliquez sur Static.
Redémarrez la machine virtuelle.
Dans la console série Cisco ISE, attribuez l'adresse IP Gi0.
Redémarrez le serveur d'applications Cisco ISE.
La double carte réseau est prise en charge avec seulement deux cartes réseau : Gigabit Ethernet 0 et Gigabit Ethernet 1. Pour configurer une carte réseau secondaire dans votre instance Cisco ISE, vous devez d'abord créer un objet d'interface réseau dans Azure, mettre hors tension votre instance Cisco ISE, puis attacher cet objet d'interface réseau à Cisco ISE. Après avoir installé et lancé Cisco ISE sur Azure, utilisez l'interface de ligne de commande Cisco ISE pour configurer manuellement l'adresse IP de l'objet d'interface réseau en tant que carte réseau secondaire.
Toute intégration qui utilise une méthode d'authentification basée sur un mot de passe pour accéder à l'interface de ligne de commande Cisco ISE n'est pas prise en charge, par exemple, Cisco DNA Center version 2.1.2 et antérieure.
Les déploiements Cisco ISE IOS sur Azure utilisent généralement des solutions VPN telles que les réseaux privés virtuels multipoints dynamiques (DMVPN) et les réseaux étendus définis par logiciel (SD-WAN), où les surcharges du tunnel IPSec peuvent entraîner des problèmes de MTU et de fragmentation. Dans de tels scénarios, Cisco ISE IOS ne recevrait pas les paquets RADIUS complets et un échec d'authentification se produit sans déclencher un journal des erreurs d'échec.
Une solution de contournement possible consiste à demander au support technique de Microsoft d'explorer toutes les solutions dans Azure qui peuvent permettre aux fragments dans le désordre de passer à la destination au lieu d'être abandonnés.
a. Dans la zone Détails du projet, sélectionnez les valeurs requises dans les listes déroulantes Abonnement et Groupe de ressources.
b. Dans la zone Détails de l'instance, entrez une valeur dans le champ Nom de la machine virtuelle.
c. Dans la liste déroulante Image, sélectionnez l'image Cisco ISE.
d. Dans la liste déroulante Taille, sélectionnez la taille d'instance avec laquelle vous souhaitez installer Cisco ISE. Choisissez une instance prise en charge par Cisco ISE, comme indiqué dans le tableau intitulé Cloud Azure
Instances prises en charge par Cisco ISE, dans la section Cisco ISE sur le cloud Azure.
e. Dans la zone Administrator account > Authentication type, cliquez sur la case d'option SSH Public Key.
f. Dans le champ Username, saisissez iseadmin.
g. Dans la liste déroulante SSH public key source, sélectionnez Use existing key storage in Azure.
h. Dans la liste déroulante Clés stockées, sélectionnez la paire de clés que vous avez créée comme condition préalable à cette tâche.
j. Dans la zone Inbound port rules, cliquez sur la case d'option Allow selected ports.
k. Dans la zone Licence, dans la liste déroulante Type de licence, sélectionnez Autre.
Remarque : pour le type de disque, vous devez sélectionner d'autres options dans la liste déroulante. Vous pouvez sélectionner celle qui répond à vos besoins. Le disque SSD Premium est le type recommandé pour les charges de travail sensibles à la production et aux performances.
Remarque : le sous-réseau avec une adresse IP publique reçoit des mises à jour de flux de positionnement en ligne et hors connexion, tandis qu'un sous-réseau avec une adresse IP privée reçoit uniquement des mises à jour de flux de positionnement hors connexion.
Dans le champ Données utilisateur, renseignez les informations suivantes :
hostname=<nom d'hôte de Cisco ISE>
primarynameserver=<adresse IPv4>
dnsdomain=<nom de domaine>
ntpserver=<adresse IPv4 ou nom de domaine complet du serveur NTP>
timezone=<fuseau horaire>
password=<mot de passe>
ersapi=<oui/non>
openapi=<oui/non>
pxGrid=<oui/non>
pxgrid_cloud=<oui/non>
Remarque : vous devez utiliser la syntaxe correcte pour chacun des champs que vous configurez via l'entrée de données utilisateur. Les informations que vous saisissez dans le champ Données utilisateur ne sont pas validées lorsqu'elles sont saisies. Si vous utilisez la mauvaise syntaxe, les services Cisco ISE ne s'affichent pas lorsque vous lancez l'image.
Reportez-vous aux Directives pour les configurations que vous devez soumettre via le champ Données utilisateur :
a. hostname : saisissez un nom d'hôte contenant uniquement des caractères alphanumériques et des tirets (-). La longueur du nom d'hôte ne doit pas dépasser 19 caractères et ne peut pas contenir de traits de soulignement (_).
b. primary name server : saisissez l'adresse IP du serveur de noms principal. Seules les adresses IPv4 sont prises en charge.
Vous ne pouvez ajouter qu'un seul serveur DNS à cette étape. Vous pouvez ajouter des serveurs DNS supplémentaires via l'interface de ligne de commande Cisco ISE après l'installation.
c. dnsdomain : saisissez le nom de domaine complet du domaine DNS. L'entrée peut contenir des caractères ASCII, des chiffres, des tirets (-) et des points (.).
d. ntpserver : saisissez l'adresse IPv4 ou le nom de domaine complet du serveur NTP qui doit être utilisé pour la synchronisation.
Vous ne pouvez ajouter qu'un seul serveur NTP à cette étape. Vous pouvez ajouter des serveurs NTP supplémentaires via l'interface de ligne de commande Cisco ISE après l'installation. Utilisez un serveur NTP valide et accessible puisque cela est nécessaire pour les opérations ISE.
e. fuseau horaire : saisissez un fuseau horaire, par exemple, Etc/UTC. Nous vous recommandons de définir tous les noeuds Cisco ISE sur le fuseau horaire UTC (Coordinated Universal Time), en particulier si vos noeuds Cisco ISE sont installés dans un déploiement distribué. Cette procédure garantit que les horodatages des rapports et des journaux des différents noeuds de votre déploiement sont toujours synchronisés.
f. password : configurez un mot de passe pour la connexion à Cisco ISE via l'interface utilisateur graphique. Le mot de passe que vous entrez doit être conforme à la politique de mot de passe de Cisco ISE. Le mot de passe doit contenir entre 6 et 25 caractères et inclure au moins un chiffre, une lettre majuscule et une lettre minuscule. Le mot de passe ne peut pas être le même que le nom d'utilisateur ou son inverse (iseadmin ou nimdaesi), cisco ou ocsic. Les caractères spéciaux autorisés sont @~*!,+=_-. Reportez-vous à la section « Politique de mot de passe utilisateur » du chapitre « Configuration de base » du Guide de l'administrateur Cisco ISE pour connaître votre version.
g. ersapi : saisissez yes pour activer ERS ou no pour désactiver ERS.
h. openapi : saisissez yes pour activer OpenAPI ou no pour désactiver OpenAPI.
i. pxGrid : saisissez yes pour activer pxGrid ou no pour désactiver pxGrid.
j. pxgrid_cloud : saisissez yes pour activer pxGrid Cloud ou no pour désactiver pxGrid Cloud. Pour activer pxGrid Cloud, vous devez activer pxGrid. Si vous désactivez pxGrid, mais activez pxGrid Cloud, les services pxGrid Cloud ne sont pas activés au lancement.
La fenêtre Le déploiement est en cours s'affiche. Il faut environ 30 minutes pour que l'instance Cisco ISE soit créée et disponible. L'instance de machine virtuelle Cisco ISE s'affiche dans la
Virtuel Fenêtre Machines (utilisez le champ de recherche principal pour trouver la fenêtre).
En raison d'un paramètre Microsoft Azure par défaut, la machine virtuelle Cisco ISE que vous avez créée est configurée avec une taille de disque de 300 Go uniquement. Les noeuds Cisco ISE nécessitent généralement une taille de disque supérieure à 300 Go. Vous pouvez voir l'alarme Mémoire virtuelle insuffisante lorsque vous lancez Cisco ISE pour la première fois à partir de Microsoft Azure.
Une fois la création de la machine virtuelle Cisco ISE terminée, connectez-vous au portail d'administration Cisco ISE pour vérifier que Cisco ISE est configuré. Ensuite, dans le portail Microsoft Azure, effectuez les étapes suivantes dans la fenêtre Machines virtuelles pour modifier la taille du disque :
1. Arrêtez l'instance Cisco ISE.
2. Cliquez sur Disk dans le volet de gauche et cliquez sur le disque que vous utilisez avec Cisco ISE.
3. Cliquez sur Taille + performances dans le volet de gauche.
4. Dans le champ Taille de disque personnalisée, saisissez la taille de disque souhaitée, en Go.
Pour obtenir des informations sur les tâches de post-installation que vous devez effectuer après avoir créé une instance Cisco ISE, reportez-vous au chapitre « Vérification de l'installation et tâches de post-installation » du Guide d'installation Cisco ISE correspondant à votre version de Cisco ISE.
Effectuez les tâches qui vous aident à réinitialiser ou à récupérer votre mot de passe de machine virtuelle Cisco ISE. Choisissez les tâches dont vous avez besoin et suivez les étapes détaillées.
a. Dans le menu de gauche, cliquez sur Boot diagnostics.
b. Cliquez sur Activer avec un compte de stockage personnalisé. Cliquez ensuite sur Enregistrer.
Cette tâche vous permet d'ajouter des paires de clés supplémentaires à un référentiel. La paire de clés existante créée lors de la configuration de l'instance Cisco ISE n'est pas remplacée par la nouvelle clé publique que vous créez.
Vous obtenez une fenêtre contextuelle pour sélectionner Télécharger la clé privée et créer une ressource qui télécharge la clé SSH comme un fichier .pem.
Si vous disposez déjà d'un référentiel accessible via l'interface de ligne de commande, passez à l'étape 3.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
04-Oct-2023 |
Première publication |