在Azure云服务上安装ISE

简介

本文档介绍如何使用Azure虚拟机安装Cisco ISE IOS实例。思科ISE IOS可用于Azure云服务。

先决条件

• 订用和资源组。

导航到所有服务>订用。确保存在具有活动订阅且与Microsoft具有企业协议的Azure帐户。使用Microsoft PowerShell Azure模块CLI执行命令以保留空间：(请参阅<如何安装Azure PowerShell >以了解如何安装Power Shell和相关包)。

请在以下位置完成预要求：请求Azure VMware解决方案的主机配额 了解更多信息。

在正确的订阅后创建资源组，导航到所有服务>资源组。单击 Add。输入资源组名称。

• 虚拟网络和安全组。

需要Internet可达性的子网必须将路由表配置为使用下一跳作为Internet。参见公共和专用子网示例。具有公有IP的PAN使离线馈送和在线馈送更新均工作，具有私有IP的PAN需要依赖离线馈送更新。

• 创建SSH密钥对。

   a.使用Azure Web Portal主页中的搜索栏搜索SSH密钥。

  b.从“下一窗口”单击创建。

  c.从下一个窗口选择资源组和密钥名。然后单击Review + Create。

  d.在下一个窗口中，单击Create和Download Private Key。

使用的组件

本文档的内容基于这些软件和云服务。

• 思科ISE版本3.2。
• Microsoft Azure云服务

本文档中的信息是在特定实验环境中的设备上创建的。用于本文的所有设备始于初始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

思科ISE支持的Azure VM大小

• Fsv2系列Azure VM大小经过计算优化，最适合用作计算密集型任务和应用的PSN。
• Dsv4系列是通用的Azure VM大小，最适合用作PAN或MnT节点或两者，用于数据处理任务和数据库操作。

如果将通用实例用作PSN，则性能数值比计算优化实例用作PSN的性能要低。Standard_D8s_v4 VM大小必须仅用作额外的小型PSN。

Microsoft Azure云服务中Cisco ISE的限制

• 如果使用Azure虚拟机创建Cisco ISE，默认情况下，Microsoft Azure通过DHCP服务器将专用IP地址分配给VM。在Microsoft Azure上创建Cisco ISE部署之前，必须使用Microsoft Azure分配的IP地址更新转发和反向DNS条目。

  或者，在安装Cisco ISE后，通过更新Microsoft Azure中的网络接口对象将静态IP地址分配到VM:

  1. 停止虚拟机。

  2. 在VM的Private IP address settings（专用IP地址设置）区域的Assignment（分配）区域中，点击Static（静态）。

  3. 重新启动虚拟机。

  4. 在Cisco ISE串行控制台中，将IP地址分配为Gi0。

  5. 重新启动Cisco ISE应用服务器。

• 只有两个NIC支持双NIC — 千兆以太网0和千兆以太网1。要在您的思科ISE实例中配置辅助NIC，您必须首先在Azure中创建网络接口对象，关闭您的思科ISE实例，然后将此网络接口对象附加到思科ISE。在Azure上安装并启动Cisco ISE后，使用Cisco ISE CLI手动将网络接口对象的IP地址配置为辅助NIC。

• 思科ISE升级工作流程在Microsoft Azure上的思科ISE中不可用。仅支持全新安装。但是，您可以执行配置数据的备份和恢复。
• 公共云仅支持第3层功能。Microsoft Azure上的思科ISE节点不支持依赖第2层功能的思科ISE功能。例如，通过Cisco ISE CLI使用DHCP SPAN分析器探针和CDP协议功能是当前不受支持的功能。
• 当您执行配置数据的还原和备份功能时，备份操作完成后，首先通过CLI重新启动Cisco ISE。然后，从Cisco ISE GUI启动恢复操作。
• Azure中不支持使用基于密码的身份验证对思科ISE CLI进行SSH访问。您只能通过密钥对访问思科ISE CLI，并且必须安全地存储此密钥对。如果您使用私钥（或PEM）文件并且丢失了文件，则无法访问思科ISE CLI。

   不支持使用基于密码的身份验证方法访问Cisco ISE CLI的任何集成，例如Cisco DNA Center Release 2.1.2及更早版本。

• Azure上的Cisco ISE IOS部署通常利用VPN解决方案，如动态多点虚拟专用网络(DMVPN)和软件定义的广域网(SD-WAN)，其中IPSec隧道开销可能导致MTU和分段问题。在这种情况下，思科ISE IOS不会收到完整的RADIUS数据包，并且身份验证失败不会触发故障错误日志。

  可能的解决方法是寻求Microsoft技术支持，以探索Azure中允许无序碎片传递到目标而不是被丢弃的任何解决方案。

• CLI管理员用户必须是“iseadmin”。

配置

连接到Azure云的ISE部署示例

配置

• 第(1)步：转到Azure门户并登录到您的Microsoft Azure帐户。

• 第(2)步：使用窗口顶部的搜索字段搜索Marketplace。

• 第(3)步：使用搜索Marketplace搜索字段搜索思科身份服务引擎(ISE)。

• 第(4)步：点击虚拟机。

• 第(5)步：在显示的新窗口中，单击创建。 

• 第(6)步：在基础选项卡中： 

    a.在Project details区域中，从Subscription和Resource组下拉列表中选择所需的值。 

    b.在实例详细信息区域中，在虚拟机名称字段中输入值。 

    c.从Image下拉列表中，选择Cisco ISE映像。 

    d.从Size下拉列表中，选择要安装思科ISE的实例大小。选择思科ISE支持的实例，如标题为Azure Cloud的表格中所列

        在Azure Cloud上的Cisco ISE部分中，思科ISE支持的实例。 

    e.在Administrator account > Authentication type区域中，单击SSH Public Key单选按钮。

    f.在Username字段中，输入iseadmin。 

    g.从SSH公钥源下拉列表中，选择使用存储在Azure中的现有密钥。

    h.从存储的密钥下拉列表中，选择您创建的作为此任务前提条件的密钥对。

    j.在Inbound port rules区域中，点击Allow selected ports单选按钮。 

    k.在许可区域中，从许可类型下拉列表中，选择其他。 

创建虚拟机

• 第(7)步：点击下一步：磁盘。

• 第(8)步：在磁盘选项卡中，保留必填字段的默认值，然后点击下一步：网络。

• 第(9)步：在Network Interface区域中，从Virtual network、Subnet和Configure network security group下拉列表中，选择已创建的虚拟网络和子网。

• 第(10)步：点击下一步：管理。 

• 第(11)步：在Management选项卡中，保留必填字段的默认值，然后点击Next: Advanced。

• 第(12)步：在User data区域中，选中Enable user data复选框。 

    在User data字段中，填写以下信息：

    hostname=<Cisco ISE的主机名> 

    primarynameserver=<IPv4地址> 

    dnsdomain=<域名> 

    ntpserver=<IPv4地址或NTP服务器的FQDN> 

    timezone=<timezone>

    password=<password> 

    ersapi=<是/否>

    openapi=<yes/no>

    pxGrid=<yes/no>

    pxgrid_cloud=<yes/no>

请参阅必须通过User Data字段提交的配置指南:

a.主机名：输入仅包含字母数字字符和连字符(-)的主机名。主机名的长度不能超过19个字符，且不能包含下划线(_)。 

b.主名称服务器：输入主名称服务器的IP地址。仅支持IPv4地址。

在此步骤中只能添加一个DNS服务器。您可以在安装后通过Cisco ISE CLI添加其他DNS服务器。

c. dnsdomain：输入DNS域的FQDN。条目可以包含ASCII字符、数字、连字符(-)和句点(.)。

d. ntpserver：输入必须用于同步的NTP服务器的IPv4地址或FQDN。

在此步骤中只能添加一个NTP服务器。您可以在安装后通过Cisco ISE CLI添加其他NTP服务器。使用有效且可访问的NTP服务器，因为ISE操作需要此服务器。

e.时区：输入时区，例如Etc/UTC。我们建议您将所有思科ISE节点设置为协调世界时(UTC)时区，特别是如果您的思科ISE节点安装在分布式部署中。此过程可确保来自部署中各个节点的报告和日志的时间戳始终同步。 

f.密码：配置基于GUI登录思科ISE的密码。您输入的密码必须符合思科ISE密码策略。密码必须包含6到25个字符，且至少包含一个数字、一个大写字母和一个小写字母。密码不能与用户名相同，也不能与用户名相反（iseadmin或nimdaesi）、cisco或ocsic。允许的特殊字符为@~*!,+=_-。请参阅Cisco ISE管理员指南的“基本设置”一章中的“用户密码策略”一节。 

g. ersapi：输入yes以启用ERS，或输入no以禁用ERS。

h. openapi：输入yes以启用OpenAPI，或输入no以禁止OpenAPI。 

i. pxGrid：输入yes以启用pxGrid，或输入no以禁用pxGrid。 

j. pxgrid_cloud：输入yes以启用pxGrid云，或输入no以禁用pxGrid云。要启用pxGrid云，必须启用pxGrid。如果禁用pxGrid，但启用pxGrid云，则在启动时不会启用pxGrid云服务。 

用户数据部分

• 第(13)步：点击下一步：标签。 

• 第(14)步：要创建允许您对资源进行分类以及合并多个资源和资源组的名称 — 值对，请在名称和值字段中输入值。 

• 第(15)步：点击下一步：审阅+创建。

• 第(16)步：查看您目前提供的信息，然后点击创建。

  显示Deployment is in progress窗口。思科ISE实例大约需要30分钟才能创建和使用。Cisco ISE VM实例显示在

   虚拟 Machines窗口（使用主搜索字段查找窗口）。 

下一步工作

由于Microsoft Azure默认设置，您创建的思科ISE VM仅配置了300 GB磁盘大小。Cisco ISE节点通常需要超过300 GB的磁盘大小。首次从Microsoft Azure启动Cisco ISE时，您可以看到Insufficient Virtual Memory警报。

完成思科ISE VM创建后，登录思科ISE管理门户验证思科ISE已设置。然后，在Microsoft Azure门户中，在虚拟机窗口中执行并完成以下步骤以编辑磁盘大小：

1.停止Cisco ISE实例。

2.点击左侧窗格中的Disk，然后点击您正用于思科ISE的磁盘。 

3.单击左侧窗格中的大小+性能。 

4.在自定义磁盘大小字段中，以GiB格式输入所需的磁盘大小。 

安装后任务

有关成功创建思科ISE实例后必须执行的安装后任务的信息，请参阅适用于您的思科ISE版本的《思科ISE安装指南》中的“安装验证和安装后任务”一章。

Azure云上的密码恢复和重置

完成有助于重置或恢复您的思科ISE虚拟机密码的任务。选择您需要的任务，并执行详细步骤。

1.通过串行控制台重置思科ISE GUI密码

• 第(1)步：登录到Azure云并选择包含您的思科ISE虚拟机的资源组。
• 第(2)步：从资源列表中，点击要重置密码的思科ISE实例。
• 第(3)步：在左侧菜单中，从Support + Troubleshooting部分单击Serial console。 

• 步骤(4)：如果在此处查看错误消息，则必须通过执行并完成以下步骤来启用引导诊断：

    a.在左侧菜单中，单击Boot diagnostics。

  b.单击Enable with custom storage account。然后单击保存。

• 第(5)步：在左侧菜单中，从Support + Troubleshooting部分单击Serial console。 Azure Cloud Shell将显示在新窗口中。如果屏幕为黑色，请按Enter查看登录提示。

• 步骤(8)：登录串行控制台。要登录到串行控制台，必须使用安装实例时配置的原始密码。
• 第(9)步：使用application reset-passwd ise iseadmin命令为iseadmin帐户配置新的GUI密码。 

2.为SSH访问创建新的公钥对

通过此任务，可以向存储库添加其他密钥对。在Cisco ISE实例配置时创建的现有密钥对不会替换为您创建的新公钥。

• 第(1)步：在Azure云中创建新的公钥。

您将看到一个弹出窗口，用于选择Download private key and create resource，以将SSH密钥下载为.pem文件。

• 第(2)步：要创建新的存储库以将公钥保存到，请参阅Azure Repos文档。 

    如果已经有一个可通过CLI访问的存储库，请跳到步骤3。

• 第(3)步：要导入新的公钥，请使用命令crypto key import <public key filename> repository <repository name>。
• 第(4)步：导入完成后，您可以使用新的公钥通过SSH登录思科ISE。