思科 ISE 的硬件和虚拟设备要求
思科身份服务引擎 (ISE) 可以安装在思科 SNS 硬件或虚拟设备上。为了实现可与思科 ISE 硬件设备相媲美的性能和可扩展性,为虚拟机分配的系统资源应与为思科 SNS 3500 或 3600 系列设备分配的系统资源相当。本节列出安装思科 ISE 所需的硬件、软件和虚拟机要求。
注 |
强化您的虚拟环境,并确保所有安全更新都是最新的。思科对于虚拟机监控程序中发现的任何安全问题概不负责。 |
思科安全网络服务器 3500 和 3600 系列设备
有关思科安全网络服务器 (SNS) 硬件设备规范,请参阅思科安全网络服务器产品手册中的“表 1:产品规范”。
有关思科 SNS 3500 系列设备,请参阅 Cisco SNS-3500 系列设备硬件安装指南。
有关思科 SNS 3600 系列设备,请参阅 Cisco SNS-3600 系列设备硬件安装指南。
注 |
思科 ISE 3.1 不支持思科 SNS 3515 设备。有关思科 ISE 3.1 支持的硬件平台的信息,请参阅支持的硬件。 |
思科 ISE 的 VMware 虚拟机要求
您可以使用 VMware 迁移功能在主机之间迁移虚拟机 (VM) 实例(运行任何角色)。思科 ISE 支持热迁移和冷迁移。
-
热迁移也称为实时迁移或 vMotion。热迁移期间无需关闭或关闭思科 ISE。您可以在不中断其可用性的情况下迁移思科 ISE VM。
-
思科 ISE 必须关闭并关闭电源才能进行冷迁移。思科 ISE 不允许在迁移期间停止或暂停数据库操作。因此,请确保思科 ISE 在冷迁移期间未运行且未处于活动状态。
注
您必须先使用 application stop 命令,然后再使用 halt 命令或关闭虚拟机,以便防止出现数据库损坏问题。
小心 |
如果在 VM 上启用了快照功能,可能会损坏 VM 配置。如果发生此问题,您需要重新映像 VM 并禁用 VM 快照。 |
注 |
VMware 快照用于保存 VM 在给定时间点的状态,因此思科 ISE 不支持使用 VMware 快照备份 ISE 数据。在多节点思科 ISE 部署中,所有节点中的数据都与当前数据库信息保持同步。恢复快照可能会导致数据库复制和同步问题。建议您使用思科 ISE 中包含的备份功能来存档和恢复数据。使用 VMware 快照备份 ISE 数据将导致停止思科 ISE 服务。需要重启才能激活 ISE 节点。 |
思科 ISE 提供以下 OVA 模板,可供您在虚拟机 (VM) 上安装和部署思科 ISE 使用:
-
ISE-3.2.0.542-virtual-SNS3615-SNS3655-300.ova
-
ISE-3.2.0.542-virtual-SNS3615-SNS3655-600.ova
-
ISE-3.2.0.542-virtual-SNS3655-SNS3695-1200.ova
-
ISE-3.2.0.542-virtual-SNS3695-1800.ova
注
如果要将 SNS 3695 OVA 模板导入 VMware vCenter 内容库,可以使用 ISE-3.2.0.542-virtual-SNS3695-1800.ova 模板。此 OVA 模板类似于 ISE-3.2.0.542-virtual-SNS3695-2400.ova 模板,但保留的磁盘大小已从 2400 GB 减少到 1800 GB,以解决 Vmware vCenter 内容库中的限制阻止导入磁盘大小超过 2 TB 的 OVA。
-
ISE-3.2.0.542-virtual-SNS3695-2400.ova
300 GB OVA 模板足以用于作为专用策略服务的思科 ISE 节点或 pxGrid 节点。
建议用 600 GB 和 1.2 TB OVA 模板来满足运行管理或监控角色的 ISE 节点的最低要求。
如果您需要自定义磁盘大小、CPU 或内存分配,可以使用标准 .iso 映像手动部署思科 ISE。但是,务必要确保满足本文档中指定的最低要求和资源预留。OVA 模板可以通过自动应用每个平台所需的最少资源来简化 ISE 虚拟设备部署。
OVA 模板类型 |
CPU 数量 |
CPU 预留 (MHz) |
内存 (GB) |
内存预留 (GB) |
---|---|---|---|---|
评估 |
4 |
无预留。 |
16 |
无预留。 |
超小型 |
8 |
8000 |
32 |
32 |
小型 |
16 |
16,000 |
32 |
32 |
中 |
24 |
24,000 |
96 |
96 |
大型 |
24 |
24,000 |
256 |
256 |
注 |
|
强烈建议您保留 CPU 和内存资源以匹配资源配置。否则可能会严重影响 ISE 的性能和稳定性。
有关支持的操作系统的信息,请参阅虚拟机支持的操作系统。
有关思科 SNS 设备的产品规格的信息,请参阅思科安全网络服务器产品手册。
下表列出了 VMware 虚拟机要求。
要求类型 |
规范 |
||||
---|---|---|---|---|---|
CPU |
|
||||
内存 |
|
||||
硬盘 |
|
||||
存储和文件系统 |
思科 ISE 虚拟设备的存储系统要求的写入性能最低为每秒 50 MB,读取性能最低为每秒 300 MB。部署的存储系统应满足这些性能条件并受 VMware 服务器的支持。 您可以使用 show tech-support 命令查看读取和写入性能指标。 我们推荐使用 VMFS 文件系统,因为它经过了最广泛的测试,不过如果其他文件系统、传输和媒体满足上述要求,也是可以部署的。 |
||||
磁盘控制器 |
半虚拟化或 LSI 逻辑并行 为了获得最佳性能和冗余,建议使用缓存 RAID 控制器。RAID 10(也称为 1+0)等控制器选项比 RAID 5 等选项提供的整体写入性能和冗余要高。此外,带后备电池的控制器缓存可以大幅提高写入操作性能。
|
||||
网卡 |
需要 1 个 NIC 接口(建议使用两个或更多 NIC;支持六个 NIC)。思科 ISE 支持 E1000 和 VMXNET3 适配器。
|
||||
VMware 虚拟硬件版本/虚拟机监控程序 |
|
思科 ISE 的 Linux KVM 要求
要求类型 |
最低要求 |
||||
---|---|---|---|---|---|
CPU |
|
||||
内存 |
|
||||
硬盘 |
|
||||
KVM 磁盘设备 |
磁盘总线 - virtio,缓存模式 - 无,I/O 模式 - 本机 使用预分配的 RAW 存储格式。 |
||||
网卡 |
需要 1 个 NIC 接口(建议使用两个或更多 NIC;支持六个 NIC)。思科 ISE 支持 VirtIO 驱动程序。我们建议使用 VirtIO 驱动程序以提高性能。 |
||||
虚拟机监控程序 |
QEMU 2.12.0-99 上的 KVM |
思科 ISE 的 Microsoft Hyper-V 要求
要求类型 |
最低要求 |
||
---|---|---|---|
CPU |
|
||
内存 |
|
||
硬盘 |
|
||
网卡 |
需要 1 个 NIC 接口(建议使用两个或更多 NIC;支持六个 NIC)。 |
||
虚拟机监控程序 |
Hyper-V (Microsoft) |
思科 ISE 的 Nutanix AHV 要求
思科 ISE 必须使用标准思科 ISE.iso 映像在 Nutanix AHV 上部署。Nutanix AHV 不支持使用 OVA 模板部署思科 ISE。
下表指定在 Nutanix AHV 上为不同类型的部署建议的资源预留:
类型 | CPU 数量 | CPU 预留 (MHz) | 内存 (GB) | 内存预留 (GB) | 硬盘 |
评估 |
4 |
无预留 |
16 |
无预留 |
200 GB |
超小型 |
8 |
8,000 |
32 |
32 |
300 GB |
小型 | 16 | 16,000 | 32 | 32 | 600 GB |
中 | 24 | 24,000 | 96 | 96 | 1.2 TB |
大型 | 24 | 24,000 | 256 | 256 | 2.4 TB(拆分为 4*600 GB) |
在继续安装思科 ISE 之前,您必须在 Nutanix AHV 上执行以下配置:
-
在 Nutanix AHV 上创建虚拟机 (VM) 并关闭 VM 电源。
-
使用 ssh login 访问 Nutanix CVM 并运行以下命令:
-
$acli
-
<acropolis> vm.serial_port_create <Cisco ISE VM Name> type=kServer index=0
-
<acropolis> vm.update <Cisco ISE VM Name> disable_branding=true
-
<acropolis> vm.update <Cisco ISE VM Name> extra_flags=”enable_hyperv_clock=False”
-
-
退出 Acropolis CLI 并打开 VM 电源,以便使用 standard.iso 映像继续安装思科 ISE。
要求类型 |
最低要求 |
||
---|---|---|---|
CPU |
思科 ISE 支持超线程。我们建议您启用超线程(如果可用)。
|
||
内存 |
|
||
硬盘 |
|
||
KVM 磁盘设备 |
磁盘总线 - SCSI |
||
网卡 |
需要 1 GB NIC 接口(建议使用两个或多个 NIC;支持六个 NIC)。思科 ISE 支持 VirtIO 驱动程序。我们建议使用 VirtIO 驱动程序以提高性能。 |
||
虚拟机监控程序 |
AOS - 5.20.1.1 LTS, Nutanix AHV - 20201105.2096 |