Implemente Identity Services Engine (ISE) versión 3.4 en AWS

Opciones de descarga

  • PDF     (5.3 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (5.3 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (3.4 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:15 de agosto de 2025
ID del documento:223285

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo configurar Cisco ISE en AWS mediante la plantilla CloudFormation (CFT) y Amazon Machine Image (AMI).

    Prerequisites

    Requirements

    Cisco recomienda conocer estos temas antes de continuar con esta implementación:

    • Cisco Identity Services Engine (ISE)
    • Gestión de instancias y redes AWS EC2
    • Generación y uso de pares de claves SSH
    • Comprensión básica de VPC, grupos de seguridad y configuración DNS/NTP en AWS

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • Identity Services Engine (ISE) 
    • Consola de nube de Amazon Web Services (AWS)

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Configurar

    Parte 1: Generación de un Par de Llaves SSH

    1. Para esta implementación, puede utilizar un par de claves existente o crear uno nuevo.

    2. Para crear un nuevo par, navegue hasta EC2 > Red y seguridad > Pares de llaves y haga clic en Crear par de llaves.

    Generating an SSH Key Pair

    3. Introduzca el nombre del par de claves y haga clic en Crear par de claves.

    Enter Key Pair Name and Create Key Pair

    El archivo de par de claves (.pem) se descarga en el equipo local. Asegúrese de mantener este archivo seguro, ya que es la única manera en la que puede acceder a su instancia EC2 una vez que se ha iniciado.

    Parte 2: Configuración de ISE mediante una plantilla de formación en la nube (CFT)

    1. Inicie sesión en AWS Management Console y busque AWS Marketplace Subscriptions.

    1. En la barra de búsqueda, escriba cisco ise y haga clic en Cisco Identity Services Engine (ISE) en los resultados. Haga clic en Suscribe.

    Configure ISE Using Cloud Formation Template

    Enter Details

    3. Después de la suscripción, haga clic en Iniciar el software.

    Launch Your Software

    4. En Opción de cumplimiento, elija Plantilla de formación en la nube. Elija la versión de software (versión de ISE) y la región en la que desea implementar la instancia. Haga clic en Continuar para iniciar.

    Choose CloudFormation Template

    5. En la siguiente página, elija Iniciar CloudFormation como la acción y haga clic en Iniciar.

    Launch CloudFormation

    6. En los ajustes de pila, mantenga los ajustes predeterminados y haga clic en Next.

    Keep Default Settings

    7. Introduzca los parámetros necesarios:

    • Nombre de la pila: Proporcione un nombre único para la pila.
    • Hostname: Asigne el nombre de host para el nodo de ISE.
    • Par de claves: Seleccione el par de claves generado o preexistente para acceder a la instancia EC2 más adelante.
    • Grupo de seguridad de administración

      • Utilice el grupo de seguridad predeterminado (como se muestra) o cree uno personalizado a través del panel EC2.

      • Para crear un nuevo grupo de seguridad, navegue hasta el Panel EC2 y navegue hasta Red y seguridad > Grupos de seguridad para crear un nuevo grupo de seguridad.
      • Haga clic en Create security group e ingrese los detalles requeridos.

      • Asegúrese de que el grupo de seguridad esté configurado para permitir el tráfico entrante y saliente requerido. Por ejemplo, habilite el acceso SSH (puerto 22) desde su dirección IP para el acceso CLI.

        Enter Required Parameters


      • Si el acceso SSH no está configurado correctamente, puede encontrar un error "Operation timed out" cuando intente conectarse vía SSH.

        If SSH is not Properly Configured, You Get a Timeout


      • Si el acceso HTTP/HTTPS no está configurado, es posible que vea el error "No se puede acceder a este sitio" al intentar acceder a la GUI.

        If HTTP/HTTPS is no Configured, You Get an Error That Says, This Site Can't Be Reached


    • Management Network (Red de gestión): Se ha seleccionado una de las subredes existentes.

    One of the Pre-existing Subnets is Selected

    Si su diseño requiere una implementación distribuida con algunos nodos alojados en AWS y otros en las instalaciones, configure un VPC dedicado con una subred privada y establezca un túnel VPN al dispositivo de cabecera VPN en las instalaciones para habilitar la conectividad entre los nodos ISE alojados en AWS y en las instalaciones.

    Para obtener pasos detallados sobre la configuración del Dispositivo de Cabecera VPN, consulte esta guía.

    8. Cifrado EBS

    • Desplácese hacia abajo para localizar los parámetros de encriptación EBS.
    • Establezca Cifrado EBS en False a menos que tenga necesidades de cifrado específicas.

    Set EBS Encryption to False

    9. Configuración de red: 

    • Desplácese hacia abajo hasta las opciones de acceso para configurar los parámetros de red, como el dominio DNS, el servidor de nombres principal y el servidor NTP principal

      Asegúrese de que estos valores se introducen con precisión.

      note-icon

      Nota: Una sintaxis incorrecta puede impedir que los servicios ISE se inicien correctamente tras la implementación.

    Network Configuration

    10. Detalles del servicio y del usuario:

    • Desplácese hacia abajo hasta encontrar la opción para habilitar los servicios ERS y pxGrid
    • Elija si desea habilitar los servicios ERS y pxGrid seleccionando yes o no.
    • En Detalles del usuario, establezca la contraseña para el usuario admin predeterminado.

    Service and User Details

    • Haga clic en Next (Siguiente).

    11. Configure las Opciones de pila:

    • Deje todas las opciones predeterminadas tal como están y haga clic en Next.

    Configure Stack Options

    12. Revise la plantilla para asegurarse de que todas las configuraciones son correctas y, a continuación, haga clic en Enviar. Una vez creada la plantilla, se asemeja al ejemplo que se muestra a continuación:

    Review the Template

    13. Acceda a los detalles de la pila:
    Vaya a CloudFormation > Stacks y localice la pila implementada.

    14. Pestaña Ver Salidas:

    Seleccione la pila y abra la pestaña Salidas. Aquí encontrará información importante generada durante el proceso de implementación, como:

    · Zona de disponibilidad: Región en la que se implementan los recursos.

    · ID de instancia: Identificador único de la instancia implementada.

    · Nombre DNS: El nombre DNS privado de la instancia, que se puede utilizar para el acceso remoto.

    •Dirección IP: La dirección IP pública o privada de la instancia, en función de la configuración.

    Esta información le ayuda a conectarse a la instancia y a verificar su disponibilidad. La ficha Salidas se parece a este ejemplo:

    View Outputs Tab

    Parte 3: Configuración de ISE mediante una imagen de máquina de Amazon (AMI)

    1. Inicie sesión en AWS Management Console y busque AWS Marketplace Subscriptions.

    2. En la barra de búsqueda, escriba cisco ise y haga clic en Cisco Identity Services Engine (ISE) en los resultados.

      Configure ISE Using an Amazon Machine ImageISE en AWS Marketplace

    3. Haga clic en Ver opciones de compra.

      Click View Purchase Options



    4. Haga clic en Iniciar el software.

    Click Launch Your Software


    5. En la Opción de Satisfacción de Pedidos, elija Amazon Machine Image. Elija la versión de software y la Región que desee. Haga clic en Continuar para iniciar.

    Choose Amazon Machine Image

    6. En Elegir acción, seleccione Iniciar a través de EC2. Haga clic en Iniciar para continuar.

    Choose Launch through EC2



    7. Se le redirige a la página EC2 Launch an Instance para configurar los parámetros de la instancia.

    Redirected to EC2 Launch Page



    8. Desplácese hasta la sección Tipo de Instancia y seleccione un tipo de instancia adecuado en función de los requisitos de despliegue.

    En Key pair (login), seleccione el key pair que se generó anteriormente o cree un nuevo one (consulte los pasos de creación de pares de claves proporcionados anteriormente).

    Establezca el Número de instancias en 1.

    Set the Number of Instances to 1

    9. En la sección Configuración de red:

    • Configure el VPC y la subred según sea necesario.
    • Para el grupo de seguridad, seleccione uno existente o cree un nuevo grupo (como se muestra en el ejemplo).

    In Network Settings, Configure Your VPC and Subnet


    10. En la sección Configure Storage, configure el tamaño deseado del volumen.

    Ejemplo: 600 GiB utilizando el tipo de volumen gp2.


    In the Configure Storage Section, Configure the Desire Volume Size


    11. En la sección Detalles Avanzados, configure cualquier configuración adicional necesaria para la implementación, como el perfil de instancia de IAM, los datos de usuario o el comportamiento de apagado.

    In Advanced Details Section, Configure any Additional Settings

    12. En la sección Versión de metadatos:

    • Para ISE versión 3.4 y posterior, elija V2 only (token required); esta es la opción recomendada.
    • Para las versiones de ISE anteriores a la 3.4, elija V1 y V2 (token opcional) para garantizar la compatibilidad.


    Complete Metadate Section


    13. En el campo Datos del usuario, proporcione los parámetros de configuración inicial para la instancia de ISE, incluidos el nombre de host, DNS, el servidor NTP, la zona horaria, ERS y las credenciales de administración.

    Ejemplo:
    hostname=varshaahise2

    primarynameserver=x.x.x.x

    dnsdomain=varsha.local

    ntpserver=x.x.x.x

    timezone=Asia/Calcuta

    username=admin

    password=Ise@123

    ersEnabled=true

    In the User Data Field, Provide the Initial Configuration Parameters

    note-icon

    Nota: Asegúrese de que la contraseña cumpla con la política de contraseñas de Cisco ISE.



    Una vez introducidos los datos de usuario y completada la configuración, haga clic en Iniciar instancia.

    Click Launch Instance


    14. Una vez iniciada la instancia, aparece un mensaje de confirmación que indica: 'Se inició correctamente el inicio de la instancia <nombre_instancia>'. Esto indica que el proceso de inicio se ha iniciado correctamente.

    Confirmation Message Appears



    Verificación

    Acceso a la instancia de ISE creada con CFT

    Navegue hasta la pestaña Resources en su pila de CloudFormation y haga clic en el Physical ID. Le redirige al panel EC2, donde podrá ver la instancia.

    Assess the ISE Instance Built Using CFT

    Instance ID

    Acceso a la instancia de ISE creada con AMI


    Haga clic en Ver todas las Instancias para navegar a la página Instancias EC2. En esta página, compruebe que la Comprobación de Estado aparece cuando se superan las comprobaciones 3/3, indicando que la instancia está activa y en buen estado.

    Confirmation Message Appears

    Running Instance


    Acceder a la GUI de ISE

    El servidor ISE se ha implementado correctamente.

    Para acceder a la GUI de ISE, debe utilizar la dirección IP de la instancia en el navegador. Dado que la IP predeterminada es privada, no se puede acceder a ella directamente desde Internet.

    Verifique si una IP pública está asociada con la instancia:

    • Navegue hasta EC2 > Instancias y seleccione su instancia.
    • Busque el campo Public IPv4 address.

    Aquí puede ver una dirección IP pública que puede utilizar para acceder a la GUI de ISE.

    Network Interfaces

    Abra un navegador compatible (por ejemplo, Chrome o Firefox) e introduzca la dirección IP pública.

    Aparecerá la página de inicio de sesión GUI de ISE.

    ISE GUI Log In Page Appears

    note-icon

    Nota: Una vez que el acceso SSH pasa a estar disponible, los servicios ISE tardan normalmente entre 10 y 15 minutos más en realizar la transición completa a un estado en ejecución.

    Acceso a CLI a través de SSH desde Terminal

    En la consola EC2, seleccione su instancia y haga clic en Connect.

    En la pestaña SSH client, siga estos pasos:

    • Vaya a la carpeta que contiene el archivo de clave .pem descargado.
    • Ejecute estos comandos:
    • cd <path-to-key-file>
    • chmod 400 <your-key-pair-name>.pem
    • ssh -i "<your-key-pair-name>.pem" admin@<public-ip-address>
    note-icon

    Nota: Utilice admin como usuario de SSH, ya que Cisco ISE desactiva el inicio de sesión raíz mediante SSH.

    Acceso a CLI mediante SSH mediante PuTTy

    • Abra PuTTY.

    • En el campo Host Name, introduzca: admin@<public-ip-address>

      Access CLI via SSH Using PuTTy


    • En el panel izquierdo, navegue hasta Connection > SSH > Auth > Credentials.

    • Haga clic en Browse junto a Private key file for authentication, y seleccione su archivo de clave privada SSH.

    • Haga clic en Abrir para iniciar la sesión.

      Open Credentials

    • Cuando se le solicite, haga clic en Accept para confirmar la clave SSH.

      Click Accept to Confirm the SSH Key


    • La sesión de PuTTY se conecta ahora a la CLI de ISE.

    note-icon

    Nota: Puede tardar hasta 20 minutos en que ISE sea accesible a través de SSH. Durante este tiempo, los intentos de conexión pueden fallar con el error: "Permiso denegado (clave pública)."

    Troubleshoot

    Nombre de usuario o contraseña no válidos

    Los problemas de autenticación son causados a menudo por la entrada incorrecta del usuario durante la creación de la instancia. Esto produce un mensaje de error como "Nombre de usuario o contraseña no válidos. Inténtelo de nuevo." error al intentar iniciar sesión en la GUI.

    Invalid Name or Password

    Solución

    • En la Consola AWS EC2, navegue hasta EC2 > Instancias > your_instance_id.

    • Haga clic en Acciones y elija Configuración de instancia > Editar datos de usuario.

      Edit User Data

    • Aquí puede encontrar el nombre de usuario y la contraseña específicos que se establecieron durante el inicio de la instancia. Estas credenciales se pueden utilizar para iniciar sesión en la GUI de ISE.

      Locate Username and Password


    • Verifique el nombre de host y la contraseña al configurar el nombre de host y la contraseña:

    • Si la contraseña configurada no cumple la política de contraseñas de ISE, los intentos de inicio de sesión fallarán; incluso con las credenciales correctas.

    • Si sospecha que la contraseña está mal configurada, siga estos pasos para actualizarla:

      1. En la Consola EC2, navegue hasta EC2 > Instancias > your_instance_id

      2. Haga clic en Estado de instancia > Detener instancia.

        If Password was Misconfigured, Follow These Steps


      3. Una vez detenida la instancia, haga clic en Acciones > Configuración de la instancia > Editar datos de usuario.

        Instance Stopped


      4. Modifique el script de datos de usuario para actualizar la contraseña en consecuencia.

      5. Haga clic en Guardar para guardar los cambios. Haga clic en Instance state > Start instance para reiniciar la instancia.

    Defectos conocidos

    ID de la falla Descripción
    ID de bug de Cisco 41693 ISE en AWS no puede recuperar los datos del usuario si la versión de metadatos está establecida en V2 solamente. Solo se admite IMDSv1 en las versiones anteriores a ISE 3.4.

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    2.0
    15-Aug-2025
    Actualización de Introducción, Texto alternativo, Traducción automática y Formato para cumplir con las pautas de Cisco para la externalización.
    1.0
    24-Jul-2025
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Varshaah Karkala
      Technical Consulting Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos