Bereitstellung der Identity Services Engine (ISE) Version 3.4 auf AWS

Download-Optionen

  • PDF     (5.3 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (5.3 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (3.4 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:15. August 2025
Dokument-ID:223285

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird die Konfiguration der Cisco ISE auf AWS mithilfe der CloudFormation-Vorlage (CFT) und des Amazon Machine Image (AMI) beschrieben.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in diesen Themen verfügen, bevor Sie mit der Bereitstellung fortfahren:

    • Cisco Identity Services Engine (ISE)
    • AWS EC2 Instanzmanagement und Netzwerk
    • Generierung und Verwendung von SSH-Schlüsselpaaren
    • Grundlegendes Verständnis von VPCs, Sicherheitsgruppen und DNS-/NTP-Konfiguration in AWS

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • Identity Services Engine (ISE) 
    • Amazon Web Services (AWS) Cloud-Konsole

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Konfigurieren

    Teil 1: Generieren eines SSH-Schlüsselpaars

    1. Für diese Bereitstellung können Sie entweder ein bereits vorhandenes Schlüsselpaar verwenden oder ein neues erstellen.

    2. Um ein neues Paar zu erstellen, navigieren Sie zu EC2 > Network and Security > Key Pairs und klicken Sie auf Create key pair.

    Generating an SSH Key Pair

    3. Geben Sie den Schlüsselpaarnamen ein, und klicken Sie auf Schlüsselpaar erstellen.

    Enter Key Pair Name and Create Key Pair

    Die Schlüsselpaardatei (.pem) wird auf Ihren lokalen Computer heruntergeladen. Stellen Sie sicher, dass Sie diese Datei sicher aufbewahren, da dies die einzige Möglichkeit ist, auf Ihre EC2-Instanz zuzugreifen, sobald diese gestartet wurde.

    Teil 2: Konfigurieren der ISE mithilfe einer Cloud-Formationsvorlage (CFT)

    1. Melden Sie sich bei der AWS Management Console an, und suchen Sie nach AWS Marketplace Subscriptions.

    1. Geben Sie in der Suchleiste cisco ise ein, und klicken Sie in den Ergebnissen auf Cisco Identity Services Engine (ISE). Klicken Sie auf Abonnieren.

    Configure ISE Using Cloud Formation Template

    Enter Details

    3. Klicken Sie nach dem Abonnement auf Launch Your Software (Software starten).

    Launch Your Software

    4. Wählen Sie unter Fulfillment Option die Option CloudFormation Template. Wählen Sie die Softwareversion (ISE-Version) und die Region aus, in der die Instanz bereitgestellt werden soll. Klicken Sie auf Weiter, um zu starten.

    Choose CloudFormation Template

    5. Wählen Sie auf der nächsten Seite CloudFormation starten als Aktion, und klicken Sie auf Starten.

    Launch CloudFormation

    6. Behalten Sie unter den Stapeleinstellungen die Standardeinstellungen bei, und klicken Sie auf Weiter.

    Keep Default Settings

    7. Geben Sie die erforderlichen Parameter ein:

    • Stapelname: Geben Sie einen eindeutigen Namen für Ihren Stack an.
    • Hostname: Weisen Sie den Hostnamen für den ISE-Knoten zu.
    • Schlüsselpaar: Wählen Sie das generierte oder bereits vorhandene Schlüsselpaar aus, um später auf die EC2-Instanz zuzugreifen.
    • Management-Sicherheitsgruppe

      • Verwenden Sie entweder die Standard-Sicherheitsgruppe (wie dargestellt), oder erstellen Sie eine benutzerdefinierte Gruppe über das EC2-Dashboard.

      • Um eine neue Sicherheitsgruppe zu erstellen, navigieren Sie zum EC2 Dashboard, und navigieren Sie zu Netzwerk und Sicherheit > Sicherheitsgruppen, um eine neue Sicherheitsgruppe zu erstellen.
      • Klicken Sie auf Sicherheitsgruppe erstellen, und geben Sie die erforderlichen Details ein.

      • Stellen Sie sicher, dass die Sicherheitsgruppe so konfiguriert ist, dass der erforderliche ein- und ausgehende Datenverkehr zugelassen wird. Aktivieren Sie beispielsweise den SSH-Zugriff (Port 22) über Ihre IP-Adresse für den CLI-Zugriff.

        Enter Required Parameters


      • Wenn der SSH-Zugriff nicht richtig konfiguriert ist, kann beim Versuch, eine Verbindung über SSH herzustellen, der Fehler "Operation Timeout" (Vorgang abgelaufen) auftreten.

        If SSH is not Properly Configured, You Get a Timeout


      • Wenn der HTTP-/HTTPS-Zugriff nicht konfiguriert ist, wird beim Zugriff auf die GUI möglicherweise der Fehler "Diese Site kann nicht erreicht werden" angezeigt.

        If HTTP/HTTPS is no Configured, You Get an Error That Says, This Site Can't Be Reached


    • Managementnetzwerk: Eines der bereits vorhandenen Subnetze wird ausgewählt.

    One of the Pre-existing Subnets is Selected

    Wenn Ihr Design eine verteilte Bereitstellung mit einigen in AWS gehosteten Knoten und anderen lokalen Knoten erfordert, konfigurieren Sie einen dedizierten VPC mit einem privaten Subnetz und richten einen VPN-Tunnel zum lokalen VPN-Headend-Gerät ein, um die Verbindung zwischen AWS-gehosteten und lokalen ISE-Knoten zu ermöglichen.

    Ausführliche Informationen zur Konfiguration des VPN-Headend-Geräts finden Sie in diesem Handbuch.

    8. EBS-Verschlüsselung

    • Blättern Sie nach unten, um die EBS-Verschlüsselungseinstellungen zu finden.
    • Legen Sie EBS Encryption (EBS-Verschlüsselung) auf False fest, es sei denn, Sie haben bestimmte Verschlüsselungsanforderungen.

    Set EBS Encryption to False

    9. Netzwerkkonfiguration: 

    • Blättern Sie nach unten, um Zugriffsoptionen für die Konfiguration von Netzwerkeinstellungen wie die DNS-Domäne, den primären Namenserver und den primären NTP-Server anzuzeigen

      Stellen Sie sicher, dass diese Werte korrekt eingegeben wurden.

      note-icon

      Anmerkung: Eine falsche Syntax hier kann verhindern, dass ISE-Services nach der Bereitstellung ordnungsgemäß gestartet werden.

    Network Configuration

    10. Service- und Benutzerdetails:

    • Blättern Sie nach unten, um die Option zum Aktivieren von ERS- und pxGrid-Services zu finden.
    • Wählen Sie aus, ob ERS- und pxGrid-Dienste aktiviert werden sollen, indem Sie ja oder nein auswählen.
    • Legen Sie unter Benutzerdetails das Kennwort für den Administrator-Standardbenutzer fest.

    Service and User Details

    • Klicken Sie auf Next (Weiter).

    11. Konfigurieren Sie die Stack-Optionen:

    • Belassen Sie alle Standardoptionen unverändert, und klicken Sie auf Weiter.

    Configure Stack Options

    12. Überprüfen Sie die Vorlage, um sicherzustellen, dass alle Konfigurationen korrekt sind, und klicken Sie dann auf Senden. Sobald die Vorlage erstellt wurde, ähnelt sie dem unten gezeigten Beispiel:

    Review the Template

    13. Zugriff auf die Stapeldetails:
    Navigieren Sie zu CloudFormation > Stacks, und suchen Sie Ihren bereitgestellten Stack.

    14. Registerkarte "Ausgabe anzeigen":

    Wählen Sie Ihren Stapel aus, und öffnen Sie die Registerkarte Ausgänge. Hier finden Sie wichtige Informationen, die während des Bereitstellungsprozesses generiert wurden, z. B.:

    ・ Verfügbarkeitszone: Die Region, in der die Ressourcen eingesetzt werden.

    ・ Instanz-ID: Der eindeutige Bezeichner der bereitgestellten Instanz

    ・ DNS-Name: Der private DNS-Name der Instanz, der für den Remotezugriff verwendet werden kann.

    •IP-Adresse: Die öffentliche oder private IP-Adresse der Instanz, je nach Konfiguration.

    Diese Informationen helfen Ihnen, eine Verbindung mit der Instanz herzustellen und deren Verfügbarkeit zu überprüfen. Die Registerkarte Ausgaben ähnelt diesem Beispiel:

    View Outputs Tab

    Teil 3: Konfigurieren der ISE mithilfe eines Amazon Machine Image (AMI)

    1. Melden Sie sich bei der AWS Management Console an, und suchen Sie nach AWS Marketplace Subscriptions.

    2. Geben Sie in der Suchleiste cisco ise ein, und klicken Sie in den Ergebnissen auf Cisco Identity Services Engine (ISE).

      Configure ISE Using an Amazon Machine ImageISE auf dem AWS-Marktplatz

    3. Klicken Sie auf Kaufoptionen anzeigen.

      Click View Purchase Options



    4. Klicken Sie auf Software starten.

    Click Launch Your Software


    5. Wählen Sie unter Fulfillment Option die Option Amazon Machine Image. Wählen Sie die gewünschte Softwareversion und die gewünschte Region aus. Klicken Sie auf Weiter, um zu starten.

    Choose Amazon Machine Image

    6. Wählen Sie unter Aktion auswählen die Option Starten über EC2. Klicken Sie auf Starten, um fortzufahren.

    Choose Launch through EC2



    7. Sie werden auf die Seite EC2 Launch an Instance umgeleitet, um Ihre Instanzeinstellungen zu konfigurieren.

    Redirected to EC2 Launch Page



    8. Blättern Sie nach unten zum Abschnitt Instanztyp, und wählen Sie je nach Bereitstellungsanforderungen einen geeigneten Instanztyp aus.

    Wählen Sie unter Schlüsselpaar (Anmeldung) das Schlüsselpaar aus, das zuvor generiert wurde, oder erstellen Sie ein neues Schlüsselpaar (siehe die zuvor bereitgestellten Schritte zum Erstellen von Schlüsselpaaren).

    Legen Sie die Anzahl der Instanzen auf 1 fest.

    Set the Number of Instances to 1

    9. Im Abschnitt Netzwerkeinstellungen:

    • Konfigurieren Sie VPC und Subnetz nach Bedarf.
    • Wählen Sie für die Sicherheitsgruppe entweder eine vorhandene aus, oder erstellen Sie eine neue Gruppe (wie im Beispiel gezeigt).

    In Network Settings, Configure Your VPC and Subnet


    10. Konfigurieren Sie im Abschnitt Storage konfigurieren die gewünschte Volume-Größe.

    Beispiel: 600 GiB mit gp2-Volume-Typ.


    In the Configure Storage Section, Configure the Desire Volume Size


    11. Konfigurieren Sie im Abschnitt Erweiterte Details alle zusätzlichen Einstellungen, die für Ihre Bereitstellung erforderlich sind, wie IAM-Instanzprofil, Benutzerdaten oder Abschaltverhalten.

    In Advanced Details Section, Configure any Additional Settings

    12. Im Abschnitt Metadatenversion:

    • Wählen Sie für ISE Version 3.4 und höher die Option "Nur V2" (Token erforderlich). Dies ist die empfohlene Option.
    • Für ISE-Versionen vor 3.4 wählen Sie V1 und V2 (Token optional), um die Kompatibilität sicherzustellen.


    Complete Metadate Section


    13. Geben Sie im Feld Benutzerdaten die Parameter für die Erstkonfiguration der ISE-Instanz an, darunter Hostname, DNS, NTP-Server, Zeitzone, ERS und Admin-Anmeldedaten.

    Beispiel:
    hostname=varshaahise2

    primarynameserver=x.x.x.x

    dnsdomain=varshaah.local

    ntpserver=x.x.x.x

    timezone=Asien/Kolkata

    username=admin

    password=Ise@123

    ersEnabled=true

    In the User Data Field, Provide the Initial Configuration Parameters

    note-icon

    Anmerkung: Stellen Sie sicher, dass das Kennwort mit der Cisco ISE-Kennwortrichtlinie übereinstimmt.



    Nachdem Sie die Benutzerdaten eingegeben und die Konfiguration abgeschlossen haben, klicken Sie auf Instanz starten.

    Click Launch Instance


    14. Nachdem die Instanz gestartet wurde, erscheint eine Bestätigungsmeldung mit folgendem Hinweis: 'Der Start der Instanz <Instanzname> wurde erfolgreich initiiert.' Dies zeigt an, dass der Startvorgang erfolgreich gestartet wurde.

    Confirmation Message Appears



    Überprüfung

    Zugriff auf die mit CFT erstellte ISE-Instanz

    Navigieren Sie zur Registerkarte Resources (Ressourcen) im CloudFormation-Stack, und klicken Sie auf die Physische ID. Sie werden zum EC2-Dashboard weitergeleitet, wo Sie die Instanz sehen können.

    Assess the ISE Instance Built Using CFT

    Instance ID

    Zugriff auf die mit AMI erstellte ISE-Instanz


    Klicken Sie auf Alle Instanzen anzeigen, um zur Seite mit den EC2-Instanzen zu navigieren. Überprüfen Sie auf dieser Seite, ob die Statusüberprüfung als 3/3-Prüfung angezeigt wird, die anzeigt, dass die Instanz aktiv und fehlerfrei ist.

    Confirmation Message Appears

    Running Instance


    Zugriff auf die ISE-GUI

    Der ISE-Server wurde erfolgreich bereitgestellt.

    Um auf die ISE-GUI zuzugreifen, müssen Sie die IP-Adresse der Instanz in Ihrem Browser verwenden. Da die Standard-IP-Adresse privat ist, kann nicht direkt über das Internet auf sie zugegriffen werden.

    Überprüfen Sie, ob eine öffentliche IP mit der Instanz verknüpft ist:

    • Navigieren Sie zu EC2 > Instances und wählen Sie Ihre Instanz aus.
    • Suchen Sie nach dem Feld für die öffentliche IPv4-Adresse.

    Hier sehen Sie eine öffentliche IP-Adresse, über die Sie auf die ISE-GUI zugreifen können.

    Network Interfaces

    Öffnen Sie einen unterstützten Browser (z. B. Chrome oder Firefox), und geben Sie die öffentliche IP-Adresse ein.

    Die Anmeldeseite der ISE-GUI wird angezeigt.

    ISE GUI Log In Page Appears

    note-icon

    Anmerkung: Sobald der SSH-Zugriff verfügbar ist, dauert es in der Regel weitere 10 bis 15 Minuten, bis die ISE-Services vollständig in den Betriebszustand übergehen.

    Zugriff auf CLI über SSH vom Terminal

    Wählen Sie in der EC2-Konsole Ihre Instanz aus, und klicken Sie auf Verbinden.

    Führen Sie auf der Registerkarte SSH-Client die folgenden Schritte aus:

    • Navigieren Sie zu dem Ordner, der Ihre heruntergeladene .pem-Schlüsseldatei enthält.
    • Führen Sie folgende Befehle aus:
    • cd <Pfad zur Schlüsseldatei>
    • chmod 400 <Ihr-Schlüsselpaar-Name>.pem
    • ssh -i "<Name des Schlüsselpaars>.pem" admin@<öffentliche-IP-Adresse>
    note-icon

    Anmerkung: Verwenden Sie admin als SSH-Benutzer, da die Cisco ISE die Root-Anmeldung über SSH deaktiviert.

    Zugriff auf CLI über SSH mit PuTy

    • Öffnen Sie PuTTY.

    • Geben Sie im Feld Hostname Folgendes ein: admin@<öffentliche-IP-Adresse>

      Access CLI via SSH Using PuTTy


    • Navigieren Sie im linken Bereich zu Connection > SSH > Auth > Credentials (Verbindung > SSH > Authentifizierung > Anmeldedaten).

    • Klicken Sie neben Private Key File (Datei mit privatem Schlüssel) auf Browse (Durchsuchen), und wählen Sie Ihre private SSH-Schlüsseldatei aus.

    • Klicken Sie auf Öffnen, um die Sitzung zu starten.

      Open Credentials

    • Wenn Sie dazu aufgefordert werden, klicken Sie auf Akzeptieren, um den SSH-Schlüssel zu bestätigen.

      Click Accept to Confirm the SSH Key


    • Ihre PuTTY-Sitzung wird nun mit der ISE-CLI verbunden.

    note-icon

    Anmerkung: Es kann bis zu 20 Minuten dauern, bis ISE über SSH erreichbar ist. Während dieser Zeit können Verbindungsversuche fehlschlagen, und zwar mit folgendem Fehler: "Berechtigung verweigert (publickey)."

    Fehlerbehebung

    Ungültiger Benutzername oder ungültiges Kennwort

    Authentifizierungsprobleme werden häufig durch falsche Benutzereingaben während der Instanzerstellung verursacht. Dies erzeugt eine Fehlermeldung wie "Ungültiger Benutzername oder Kennwort. Bitte versuchen Sie es erneut." Fehler, wenn versucht wird, sich an der GUI anzumelden.

    Invalid Name or Password

    Lösung

    • Navigieren Sie in der AWS EC2-Konsole zu EC2 > Instances > your_instance_id.

    • Klicken Sie auf Aktionen, und wählen Sie Instanzeinstellungen > Benutzerdaten bearbeiten aus.

      Edit User Data

    • Hier finden Sie den spezifischen Benutzernamen und das Passwort, die während des Instanzstarts festgelegt wurden. Mit diesen Anmeldeinformationen können Sie sich bei der ISE-GUI anmelden.

      Locate Username and Password


    • Überprüfen Sie den Hostnamen und das Kennwort, wenn Sie den Hostnamen und das Kennwort einrichten:

      • Hostname

        • Nur alphanumerische Zeichen und Bindestriche (-) sind zulässig.

        • Darf 19 Zeichen nicht überschreiten.

      • Kennwort

    • Wenn das konfigurierte Kennwort nicht der ISE-Kennwortrichtlinie entspricht, schlagen die Anmeldeversuche fehl. auch mit den richtigen Anmeldeinformationen.

    • Wenn Sie vermuten, dass das Kennwort falsch konfiguriert wurde, führen Sie die folgenden Schritte aus, um es zu aktualisieren:

      1. Navigieren Sie in der EC2-Konsole zu EC2 > Instances > your_instance_id

      2. Klicken Sie auf Instanzstatus > Instanz beenden.

        If Password was Misconfigured, Follow These Steps


      3. Nachdem die Instanz beendet wurde, klicken Sie auf Aktionen > Instanzeinstellungen > Benutzerdaten bearbeiten.

        Instance Stopped


      4. Ändern Sie das Benutzerdatenskript, um das Kennwort entsprechend zu aktualisieren.

      5. Klicken Sie auf Speichern, um die Änderungen zu speichern. Klicken Sie auf Instanzstatus > Instanz starten, um die Instanz neu zu starten.

    Bekannte Fehler

    Bug-ID Beschreibung
    Cisco Bug-ID: 41693 ISE auf AWS kann keine Benutzerdaten abrufen, wenn die Metadatenversion auf "Nur V2" festgelegt ist. Nur IMDSv1 wird in Versionen vor ISE 3.4 unterstützt.

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    2.0
    15-Aug-2025
    Aktualisierte Einführung, Alternativer Text, maschinelle Übersetzung und Formatierung im Einklang mit den Richtlinien von Cisco für die Externalisierung.
    1.0
    24-Jul-2025
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Varshaah Karkala
      Technical Consulting Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.