简介
本文档介绍如何使用Azure虚拟机安装Cisco ISE IOS实例。思科ISE IOS可用于Azure云服务。
先决条件
导航到所有服务>订用。确保存在具有活动订阅且与Microsoft具有企业协议的Azure帐户。使用Microsoft PowerShell Azure模块CLI执行命令以保留空间:(请参阅<如何安装Azure PowerShell >以了解如何安装Power Shell和相关包)。
请在以下位置完成预要求:请求Azure VMware解决方案的主机配额 了解更多信息。
在正确的订阅后创建资源组,导航到所有服务>资源组。单击 Add。输入资源组名称。
需要Internet可达性的子网必须将路由表配置为使用下一跳作为Internet。参见公共和专用子网示例。具有公有IP的PAN使离线馈送和在线馈送更新均工作,具有私有IP的PAN需要依赖离线馈送更新。
a.使用Azure Web Portal主页中的搜索栏搜索SSH密钥。
b.从“下一窗口”单击创建。
c.从下一个窗口选择资源组和密钥名。然后单击Review + Create。
d.在下一个窗口中,单击Create和Download Private Key。
使用的组件
本文档的内容基于这些软件和云服务。
- 思科ISE版本3.2。
- Microsoft Azure云服务
本文档中的信息是在特定实验环境中的设备上创建的。用于本文的所有设备始于初始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
思科ISE支持的Azure VM大小
- Fsv2系列Azure VM大小经过计算优化,最适合用作计算密集型任务和应用的PSN。
- Dsv4系列是通用的Azure VM大小,最适合用作PAN或MnT节点或两者,用于数据处理任务和数据库操作。
如果将通用实例用作PSN,则性能数值比计算优化实例用作PSN的性能要低。Standard_D8s_v4 VM大小必须仅用作额外的小型PSN。
注意:不要克隆现有Azure云映像以创建思科ISE实例。这样做可能导致所创建的ISE机器出现随机和意外故障。
Microsoft Azure云服务中Cisco ISE的限制
-
如果使用Azure虚拟机创建Cisco ISE,默认情况下,Microsoft Azure通过DHCP服务器将专用IP地址分配给VM。在Microsoft Azure上创建Cisco ISE部署之前,必须使用Microsoft Azure分配的IP地址更新转发和反向DNS条目。
或者,在安装Cisco ISE后,通过更新Microsoft Azure中的网络接口对象将静态IP地址分配到VM:
-
停止虚拟机。
-
在VM的Private IP address settings(专用IP地址设置)区域的Assignment(分配)区域中,点击Static(静态)。
-
重新启动虚拟机。
-
在Cisco ISE串行控制台中,将IP地址分配为Gi0。
-
重新启动Cisco ISE应用服务器。
-
只有两个NIC支持双NIC — 千兆以太网0和千兆以太网1。要在您的思科ISE实例中配置辅助NIC,您必须首先在Azure中创建网络接口对象,关闭您的思科ISE实例,然后将此网络接口对象附加到思科ISE。在Azure上安装并启动Cisco ISE后,使用Cisco ISE CLI手动将网络接口对象的IP地址配置为辅助NIC。
- 思科ISE升级工作流程在Microsoft Azure上的思科ISE中不可用。仅支持全新安装。但是,您可以执行配置数据的备份和恢复。
- 公共云仅支持第3层功能。Microsoft Azure上的思科ISE节点不支持依赖第2层功能的思科ISE功能。例如,通过Cisco ISE CLI使用DHCP SPAN分析器探针和CDP协议功能是当前不受支持的功能。
- 当您执行配置数据的还原和备份功能时,备份操作完成后,首先通过CLI重新启动Cisco ISE。然后,从Cisco ISE GUI启动恢复操作。
- Azure中不支持使用基于密码的身份验证对思科ISE CLI进行SSH访问。您只能通过密钥对访问思科ISE CLI,并且必须安全地存储此密钥对。如果您使用私钥(或PEM)文件并且丢失了文件,则无法访问思科ISE CLI。
不支持使用基于密码的身份验证方法访问Cisco ISE CLI的任何集成,例如Cisco DNA Center Release 2.1.2及更早版本。
-
Azure上的Cisco ISE IOS部署通常利用VPN解决方案,如动态多点虚拟专用网络(DMVPN)和软件定义的广域网(SD-WAN),其中IPSec隧道开销可能导致MTU和分段问题。在这种情况下,思科ISE IOS不会收到完整的RADIUS数据包,并且身份验证失败不会触发故障错误日志。
可能的解决方法是寻求Microsoft技术支持,以探索Azure中允许无序碎片传递到目标而不是被丢弃的任何解决方案。
- CLI管理员用户必须是“iseadmin”。
配置
连接到Azure云的ISE部署示例
配置
- 第(1)步:转到Azure门户并登录到您的Microsoft Azure帐户。
- 第(2)步:使用窗口顶部的搜索字段搜索Marketplace。
- 第(3)步:使用搜索Marketplace搜索字段搜索思科身份服务引擎(ISE)。
a.在Project details区域中,从Subscription和Resource组下拉列表中选择所需的值。
b.在实例详细信息区域中,在虚拟机名称字段中输入值。
c.从Image下拉列表中,选择Cisco ISE映像。
d.从Size下拉列表中,选择要安装思科ISE的实例大小。选择思科ISE支持的实例,如标题为Azure Cloud的表格中所列
在Azure Cloud上的Cisco ISE部分中,思科ISE支持的实例。
e.在Administrator account > Authentication type区域中,单击SSH Public Key单选按钮。
f.在Username字段中,输入iseadmin。
g.从SSH公钥源下拉列表中,选择使用存储在Azure中的现有密钥。
h.从存储的密钥下拉列表中,选择您创建的作为此任务前提条件的密钥对。
j.在Inbound port rules区域中,点击Allow selected ports单选按钮。
k.在许可区域中,从许可类型下拉列表中,选择其他。
创建虚拟机
- 第(8)步:在磁盘选项卡中,保留必填字段的默认值,然后点击下一步:网络。
注意:对于磁盘类型,可以从下拉列表中选择更多选项。您可以选择符合您需求的产品。对于生产和性能敏感型工作负载,推荐使用高级SSD类型。
- 第(9)步:在Network Interface区域中,从Virtual network、Subnet和Configure network security group下拉列表中,选择已创建的虚拟网络和子网。
注意:具有公有IP地址的子网接收在线和离线状态馈送更新,而具有私有IP地址的子网仅接收离线状态馈送更新。
- 第(11)步:在Management选项卡中,保留必填字段的默认值,然后点击Next: Advanced。
- 第(12)步:在User data区域中,选中Enable user data复选框。
在User data字段中,填写以下信息:
hostname=<Cisco ISE的主机名>
primarynameserver=<IPv4地址>
dnsdomain=<域名>
ntpserver=<IPv4地址或NTP服务器的FQDN>
timezone=<timezone>
password=<password>
ersapi=<是/否>
openapi=<yes/no>
pxGrid=<yes/no>
pxgrid_cloud=<yes/no>
注:对于通过用户数据条目配置的每个字段,必须使用正确的语法。您在“用户数据”字段中输入的信息在输入时不经过验证。如果您使用错误的语法,当您启动映像时,思科ISE服务不会出现。
请参阅必须通过User Data字段提交的配置指南:
a.主机名:输入仅包含字母数字字符和连字符(-)的主机名。主机名的长度不能超过19个字符,且不能包含下划线(_)。
b.主名称服务器:输入主名称服务器的IP地址。仅支持IPv4地址。
在此步骤中只能添加一个DNS服务器。您可以在安装后通过Cisco ISE CLI添加其他DNS服务器。
c. dnsdomain:输入DNS域的FQDN。条目可以包含ASCII字符、数字、连字符(-)和句点(.)。
d. ntpserver:输入必须用于同步的NTP服务器的IPv4地址或FQDN。
在此步骤中只能添加一个NTP服务器。您可以在安装后通过Cisco ISE CLI添加其他NTP服务器。使用有效且可访问的NTP服务器,因为ISE操作需要此服务器。
e.时区:输入时区,例如Etc/UTC。我们建议您将所有思科ISE节点设置为协调世界时(UTC)时区,特别是如果您的思科ISE节点安装在分布式部署中。此过程可确保来自部署中各个节点的报告和日志的时间戳始终同步。
f.密码:配置基于GUI登录思科ISE的密码。您输入的密码必须符合思科ISE密码策略。密码必须包含6到25个字符,且至少包含一个数字、一个大写字母和一个小写字母。密码不能与用户名相同,也不能与用户名相反(iseadmin或nimdaesi)、cisco或ocsic。允许的特殊字符为@~*!,+=_-。请参阅Cisco ISE管理员指南的“基本设置”一章中的“用户密码策略”一节。
g. ersapi:输入yes以启用ERS,或输入no以禁用ERS。
h. openapi:输入yes以启用OpenAPI,或输入no以禁止OpenAPI。
i. pxGrid:输入yes以启用pxGrid,或输入no以禁用pxGrid。
j. pxgrid_cloud:输入yes以启用pxGrid云,或输入no以禁用pxGrid云。要启用pxGrid云,必须启用pxGrid。如果禁用pxGrid,但启用pxGrid云,则在启动时不会启用pxGrid云服务。
用户数据部分
- 第(14)步:要创建允许您对资源进行分类以及合并多个资源和资源组的名称 — 值对,请在名称和值字段中输入值。
- 第(16)步:查看您目前提供的信息,然后点击创建。
显示Deployment is in progress窗口。思科ISE实例大约需要30分钟才能创建和使用。Cisco ISE VM实例显示在
虚拟 Machines窗口(使用主搜索字段查找窗口)。
下一步工作
由于Microsoft Azure默认设置,您创建的思科ISE VM仅配置了300 GB磁盘大小。Cisco ISE节点通常需要超过300 GB的磁盘大小。首次从Microsoft Azure启动Cisco ISE时,您可以看到Insufficient Virtual Memory警报。
完成思科ISE VM创建后,登录思科ISE管理门户验证思科ISE已设置。然后,在Microsoft Azure门户中,在虚拟机窗口中执行并完成以下步骤以编辑磁盘大小:
1.停止Cisco ISE实例。
2.点击左侧窗格中的Disk,然后点击您正用于思科ISE的磁盘。
3.单击左侧窗格中的大小+性能。
4.在自定义磁盘大小字段中,以GiB格式输入所需的磁盘大小。
安装后任务
有关成功创建思科ISE实例后必须执行的安装后任务的信息,请参阅适用于您的思科ISE版本的《思科ISE安装指南》中的“安装验证和安装后任务”一章。
Azure云上的密码恢复和重置
完成有助于重置或恢复您的思科ISE虚拟机密码的任务。选择您需要的任务,并执行详细步骤。
1.通过串行控制台重置思科ISE GUI密码
- 第(1)步:登录到Azure云并选择包含您的思科ISE虚拟机的资源组。
- 第(2)步:从资源列表中,点击要重置密码的思科ISE实例。
- 第(3)步:在左侧菜单中,从Support + Troubleshooting部分单击Serial console。
- 步骤(4):如果在此处查看错误消息,则必须通过执行并完成以下步骤来启用引导诊断:
a.在左侧菜单中,单击Boot diagnostics。
b.单击Enable with custom storage account。然后单击保存。
- 第(5)步:在左侧菜单中,从Support + Troubleshooting部分单击Serial console。 Azure Cloud Shell将显示在新窗口中。如果屏幕为黑色,请按Enter查看登录提示。
- 步骤(8):登录串行控制台。要登录到串行控制台,必须使用安装实例时配置的原始密码。
- 第(9)步:使用application reset-passwd ise iseadmin命令为iseadmin帐户配置新的GUI密码。
2.为SSH访问创建新的公钥对
通过此任务,可以向存储库添加其他密钥对。在Cisco ISE实例配置时创建的现有密钥对不会替换为您创建的新公钥。
您将看到一个弹出窗口,用于选择Download private key and create resource,以将SSH密钥下载为.pem文件。
如果已经有一个可通过CLI访问的存储库,请跳到步骤3。
- 第(3)步:要导入新的公钥,请使用命令crypto key import <public key filename> repository <repository name>。
- 第(4)步:导入完成后,您可以使用新的公钥通过SSH登录思科ISE。