SNS 3500/3600 系列设备和虚拟机要求

硬件和虚拟设备要求

思科身份服务引擎 (ISE) 可以安装在思科 SNS 硬件或虚拟设备上。为了实现可与思科 ISE 硬件设备相媲美的性能和可扩展性,为虚拟机分配的系统资源应与为思科 SNS 3500 或 3600 系列设备分配的系统资源相当。本节列出安装思科 ISE 所需的硬件、软件和虚拟机要求。


强化您的虚拟环境,并确保所有安全更新都是最新的。思科对于虚拟机监控程序中发现的任何安全问题概不负责。

VMware 虚拟机要求

Cisco ISE 支持以下 VMware 服务器和客户端:

  • 适于 ESXi 5.x(最低 5.1 U2)的 VMware 版本 8(默认)

  • 适用于 ESXi 6.x 的 VMware 版本 11(默认)

  • 适用于 ESXi 7.x 的 VMware 版本 13(默认)

思科 ISE 支持冷 VMware vMotion 功能,通过该功能,您可以在主机之间迁移虚拟机 (VM) 实例(运行任何角色)。要正常使用 VMware vMotion 功能,必须满足以下条件:

  • 思科 ISE 必须关闭并切断电源,思科 ISE 不允许在 vMotion 期间停止或暂停数据库操作。这可能会导致数据损坏问题。因此,请确保思科 ISE 在迁移期间未运行且未处于活动状态。


    思科 ISE VM 不支持热 vMotion。

有关 VMotion 要求的详细信息,请参阅 VMware 文档。


小心

如果在 VM 上启用了快照功能,可能会损坏 VM 配置。如果发生此问题,您需要重新映像 VM 并禁用 VM 快照。

VMware 快照用于保存 VM 在给定时间点的状态,因此思科 ISE 不支持使用 VMware 快照备份 ISE 数据。在多节点思科 ISE 部署中,所有节点中的数据都与当前数据库信息保持同步。恢复快照可能会导致数据库复制和同步问题。建议您使用思科 ISE 中包含的备份功能来存档和恢复数据。使用 VMware 快照备份 ISE 数据将导致停止思科 ISE 服务。需要重启才能激活 ISE 节点。

思科 ISE 提供以下 OVA 模板,可供您在虚拟机 (VM) 上安装和部署思科 ISE 使用:


300 GB OVA 模板足以用于作为专用策略服务的思科 ISE 节点或 pxGrid 节点。

建议用 600 GB 和 1.2 TB OVA 模板来满足运行管理或监控角色的 ISE 节点的最低要求。有关磁盘空间要求的其他信息,请参阅磁盘空间要求

如果您需要自定义磁盘大小、CPU 或内存分配,可以使用标准 .iso 映像手动部署思科 ISE。但是,务必要确保满足本文档中指定的最低要求和资源预留。OVA 模板可以通过自动应用每个平台所需的最少资源来简化 ISE 虚拟设备部署。

  • ISE-3.0.0.xxx-virtual-SNS3615-SNS3655-300.ova

  • ISE-3.0.0.xxx-virtual-SNS3615-SNS3655-600.ova

  • ISE-3.0.0.xxx-virtual-SNS3655-SNS3695-1200.ova

  • ISE-3.0.0.xxx-virtual-SNS3695-2400.ova

表 1. OVA 模板预留

OVA 模板类型

CPU 数量

CPU 预留 (MHz)

内存 (GB)

内存预留 (GB)

评估

4

无预留。

16

无预留。

小型

16

16,000

32

32

24

24,000

96

96

大型

24

24,000

256

256

下表列出了 VMware 虚拟机要求。

表 2. VMware 虚拟机要求

要求类型

规范

CPU

  • Evaluation

    • 时钟速度 - 2.0 GHz 或更快

    • 核心数量 - 2 个 CPU 核心

  • 生产

    • 时钟速度 - 2.0 GHz 或更快

    • 核心数量:

      • SNS 3600 系列设备:

        • 小型 - 16

        • 中型 - 24

        • 大型 - 24

           

          由于超线程,核心数量相当于思科安全网络服务器 3600 系列中核心数量的两倍。例如,对于小型网络部署,您必须分配 16 个 vCPU 核心才能满足 SNS 3615(包含 8 个 CPU 核心或 16 个线程)的 CPU 规格。

内存

  • 评估 - 16 GB

  • 生产

    • 小型 - 32 GB (SNS 3615)

    • 中型 - 96 GB (SNS 3655)

    • 大型 - 256 GB

硬盘

  • 评估 - 300 GB

  • 生产

    300 GB 至 2.4 TB 磁盘存储(大小取决于部署和任务)。

    请在以下链接查看 VM 的建议磁盘空间:磁盘空间要求

    建议您的虚拟机主机服务器使用最低转速为 10,000 RPM 的硬盘。

     

    为思科 ISE 创建虚拟机时,请使用单个虚拟磁盘来满足存储要求。如果使用多个虚拟磁盘来满足磁盘空间要求,安装程序可能无法识别所有磁盘空间。

存储和文件系统

思科 ISE 虚拟设备的存储系统要求的写入性能最低为每秒 50 MB,读取性能最低为每秒 300 MB。部署的存储系统应满足这些性能条件并受 VMware 服务器的支持。

思科 ISE 在安装之前、安装期间以及安装之后,会提供很多方法来验证您的存储系统是否满足以上最低要求。有关详细信息,请参阅虚拟机资源和性能检查

我们推荐使用 VMFS 文件系统,因为它经过了最广泛的测试,不过如果其他文件系统、传输和媒体满足上述要求,也是可以部署的。

磁盘控制器

半虚拟化或 LSI 逻辑并行

为了获得最佳性能和冗余,建议使用缓存 RAID 控制器。RAID 10(也称为 1+0)等控制器选项比 RAID 5 等选项提供的整体写入性能和冗余要高。此外,带后备电池的控制器缓存可以大幅提高写入操作性能。

 

将 ISE VM 的磁盘 SCSI 控制器从其他类型更新为 VMware Paravirtual 可能会导致其无法引导。

网卡

需要 1 个 NIC 接口(建议使用两个或更多 NIC;支持六个 NIC)。Cisco ISE 支持 E1000 和 VMXNET3 适配器。

 

我们建议您选择 E1000 以确保在默认情况下使用正确的适配器顺序。如果选择 VMXNET3,可能必须重新映射 ESXi 适配器,以使其与 ISE 适配器顺序同步。

VMware 虚拟硬件版本/虚拟机监控程序

ESXi 5.x(最低 5.1 U2)和 6.x 上的 VMware 虚拟机硬件版本 8 或更高版本。

Linux KVM 要求

下表列出了 Linux KVM 虚拟机要求。

要求类型

最低要求

CPU

  • Evaluation

    • 时钟速度 - 2.0 GHz 或更快

    • 核心数量 - 2 个 CPU 核心

  • 生产

    • 时钟速度 - 2.0 GHz 或更快

    • 核心数量:

      • SNS 3600 系列设备:

        • 小型 - 16

        • 中型 - 24

        • 大型 - 24

           

          由于超线程,核心数量相当于思科安全网络服务器 3600 系列中核心数量的两倍。例如,对于小型网络部署,您必须分配 16 个 vCPU 核心才能满足 SNS 3615(包含 8 个 CPU 核心或 16 个线程)的 CPU 规格。

内存

  • 评估 - 16 GB

  • 生产

    • 小型 - 32 GB (SNS 3615)

    • 中型 - 96 GB (SNS 3655)

    • 大型 - 256 GB

硬盘

  • 评估 - 300 GB

  • 生产

    300 GB 至 2.4 TB 磁盘存储(大小取决于部署和任务)。

    请在以下链接查看 VM 的建议磁盘空间:磁盘空间要求

    建议您的虚拟机主机服务器使用最低转速为 10,000 RPM 的硬盘。

     

    为思科 ISE 创建虚拟机时,请使用单个虚拟磁盘来满足存储要求。如果使用多个虚拟磁盘来满足磁盘空间要求,安装程序可能无法识别所有磁盘空间。

KVM 磁盘设备

磁盘总线 - virtio,缓存模式 - 无,I/O 模式 - 本机

使用预分配的 RAW 存储格式。

网卡

需要 1 个 NIC 接口(建议使用两个或更多 NIC;支持六个 NIC)。思科 ISE 支持 VirtIO 驱动程序。我们建议使用 VirtIO 驱动程序以提高性能。

虚拟机监控程序

QEMU 1.5.3-160 上的 KVM

Microsoft Hyper-V 要求

下表列出了 Microsoft Hyper-V 虚拟机要求。

要求类型

最低要求

CPU

  • Evaluation

    • 时钟速度 - 2.0 GHz 或更快

    • 核心数量 - 2 个 CPU 核心

  • 生产

    • 时钟速度 - 2.0 GHz 或更快

    • 核心数量:

      • SNS 3600 系列设备:

        • 小型 - 16

        • 中型 - 24

        • 大型 - 24

           

          由于超线程,核心数量相当于思科安全网络服务器 3600 系列中核心数量的两倍。例如,对于小型网络部署,您必须分配 16 个 vCPU 核心才能满足 SNS 3615(包含 8 个 CPU 核心或 16 个线程)的 CPU 规格。

内存

  • 评估 - 16 GB

  • 生产

    • 小型 - 32 GB (SNS 3615)

    • 中型 - 96 GB (SNS 3655)

    • 大型 - 256 GB

硬盘

  • 评估 - 300 GB

  • 生产

    300 GB 至 2.4 TB 磁盘存储(大小取决于部署和任务)。

    请在以下链接查看 VM 的建议磁盘空间:磁盘空间要求

    建议您的虚拟机主机服务器使用最低转速为 10,000 RPM 的硬盘。

 

为思科 ISE 创建虚拟机时,请使用单个虚拟磁盘来满足存储要求。如果使用多个虚拟磁盘来满足磁盘空间要求,安装程序可能无法识别所有磁盘空间。

网卡

需要 1 个 NIC 接口(建议使用两个或更多 NIC;支持六个 NIC)。

虚拟机监控程序

Hyper-V (Microsoft)

虚拟机设备大小建议

用于监控节点的大型 VM 在思科 ISE 2.4 中引入。 在大型 VM 上部署监控角色可提高对实时日志查询和报告完成的响应速度,从而改进性能。


此外形规格仅可在版本 2.4 及更高版本中用作 VM,并需要大型 VM 许可证。

虚拟机 (VM) 设备规格应可与生产环境中运行的物理设备相当。对于与 SNS 3500 或 SNS 3600 系列物理设备相当的虚拟设备,下表提供了调整其大小时所需的最低资源。

为设备分配资源时,请记住以下准则:

  • 未能分配指定的资源可能会导致性能降级或服务故障。强烈建议您部署专用 VM 资源,不要在多个访客 VM 之间共享或超订用资源。使用 OVF 模板部署思科 ISE 虚拟设备可确保为每个 VM 分配足够的资源。如果不使用 OVF 模板,请确保在使用 ISO 映像手动安装思科 ISE 时分配同等的资源预留。


    如果您选择手动部署思科 ISE 而没有分配建议的预留,则必须负责密切监控设备的资源利用率,并根据需要增加资源,以确保思科 ISE 部署正常运行。


    OVF 模板不适用于 Linux KVM。OVF 模板仅适用于 VMware 虚拟机。

  • 如果使用 OVA 模板进行安装,请在安装完成后检查以下设置:

    • 确保分配资源预留,此预留在VMware 虚拟机要求部分的 CPU/内存预留 (Reservation) 字段(编辑设置 (Edit Settings) 窗口的虚拟硬件 (Virtual Hardware) 选项卡下)指定,以确保思科 ISE 部署正常运行。

    • 确保 CPU 限制 (CPU Limit) 字段(编辑设置 (Edit Settings) 窗口的虚拟硬件 (Virtual Hardware) 选项卡下)中的“CPU 使用”(CPU usage) 设置为无限制 (Unlimited)。设置 CPU 使用限制(例如将 CPU 使用限制设置为12000 MHz)会影响系统性能。如果已设置限制,则必须关闭 VM 客户端,删除限制,然后重新启动 VM 客户端。

    • 确保内存限制 (Memory Limit) 字段(编辑设置 (Edit Settings) 窗口的虚拟硬件 (Virtual Hardware) 选项卡下)中的“内存使用”(memory usage) 设置为无限制 (Unlimited)。设置内存使用限制(例如将限制设置为 12000 MB)会影响系统性能。

    • 确保在硬盘 (Hard Disk) 区域中将共享 (Shares) 选项设置为高 (High)编辑设置 (Edit Settings) 窗口的虚拟硬件 (Virtual Hardware) 选项卡下)。

      管理和 MnT 节点很大程度上依赖磁盘使用率。使用共享磁盘存储 VMware 环境可能会影响磁盘性能。必须增加分配给节点的磁盘共享数,才能提高节点的性能。

  • 在 VM 上部署策略服务节点时,其磁盘空间可以少于管理或监控节点。任一生产思科 ISE 节点的最小磁盘空间为 300 GB。有关各种思科 ISE 节点和角色所需的磁盘空间的详细信息,请参阅磁盘空间要求

  • VM 可配置有 1 至 6 个 NIC。建议预留 2 个或更多 NIC。其他接口可用于支持各种服务,例如分析、访客服务或 RADIUS。


VM 上的 RAM 和 CPU 调整不需要重新映像。

磁盘空间要求

下表列出针对在生产部署中运行虚拟机建议的思科 ISE 磁盘空间分配。

必须在 VM 设置的引导模式下将固件从 BIOS 更改为 EFI,才能引导 2 TB 或更大容量的 GPT 分区。

表 3. 建议的虚拟机磁盘空间

思科 ISE 角色

用于评估的最小磁盘空间

用于生产的最小磁盘空间

用于生产的建议磁盘空间

最大磁盘空间

独立 ISE

300 GB

600 GB

600 GB 至 2.4 TB

2.4 TB

分布式思科 ISE,仅管理

300 GB

600 GB

600 GB

2.4 TB

分布式思科 ISE,仅监控

300 GB

600 GB

600 GB 至 2.4 TB

2.4 TB

分布式思科 ISE,仅策略服务

300 GB

300 GB

300 GB

2.4 TB

分布式思科 ISE,仅 pxGrid

300 GB

300 GB

300 GB

2.4 TB

分布式思科 ISE,管理和监控(以及可选的 pxGrid)

300 GB

600 GB

600 GB 至 2.4 TB

2.4 TB

分布式思科 ISE,管理、监控和策略服务(以及可选的 pxGrid)

300 GB

600 GB

600 GB 至 2.4 TB

2.4 TB


当主管理节点临时成为监控节点时,需要额外的磁盘空间来存储本地调试日志、暂存文件以及在升级期间处理日志数据。

磁盘空间准则

在决定 Cisco ISE 的磁盘空间时,请记住以下准则:

  • 思科 ISE 必须安装在虚拟机中的单个磁盘上。

  • 磁盘分配根据日志记录保留要求而异。在已启用监控角色的任何节点上,30% 的虚拟机磁盘空间分配用于日志存储。具有 25,000 个终端的部署每天会生成大约 1 GB 的日志。

    例如,如果您具有包含 600 GB VM 磁盘空间的监控节点,则 360 GB 将分配用于日志存储。如果每天 100,000 个终端连接到此网络,则每天会生成大约 4 GB 的日志。在此情况下,您可以在监控节点中存储 76 天的日志,此后必须将旧数据转移到存储库并从监控数据库中将其清除。

为进行额外的日志存储,您可以增大 VM 磁盘空间。每增加 100 GB 磁盘空间,即可额外获得 60 GB 用于日志存储。

如果在初始安装后增加虚拟机磁盘大小,则必须在虚拟机上执行思科 ISE 全新安装,以正确检测和利用完整磁盘分配。

下表根据分配的磁盘空间以及连接至网络的终端数,列出了 RADIUS 日志可以在监控节点上保留的天数。天数基于以下假设:启用日志记录抑制后,每个终端每天进行十次或更多身份验证。

表 4. 监控节点日志存储 - RADIUS 的保留期(天)

终端数

300 GB

600 GB

1024 GB

2048 GB

5,000

504

1510

2577

5154

10,000

252

755

1289

2577

25,000

101

302

516

1031

50,000

51

151

258

516

100,000

26

76

129

258

150,000

17

51

86

172

200000

13

38

65

129

250,000

11

31

52

104

500,000

6

16

26

52

下表根据分配的磁盘空间以及连接至网络的终端数,列出了 TACACS+ 日志可以在监控节点上保留的天数。天数基于以下假设:脚本针对所有 NAD 运行,每天运行 4 个会话,每个会话运行 5 个命令。

表 5. 监控节点日志存储 - TACACS+ 保留期(天)

终端数

300 GB

600 GB

1024 GB

2048 GB

100

12,583

37,749

64,425

128,850

500

2,517

7,550

12,885

25,770

1,000

1,259

3,775

6,443

12,885

5,000

252

755

1,289

2,577

10,000

126

378

645

1,289

25,000

51

151

258

516

50,000

26

76

129

258

75,000

17

51

86

172

100,000

13

38

65

129

增加磁盘大小

如果发现情景与可视性较慢,或者日志空间不足,则需要分配更多磁盘空间。

要计划额外的日志存储,每增加 100 GB 磁盘空间,就有 60 GB 可用于日志存储。

要让 ISE 检测和利用新磁盘分配,您必须取消注册节点,更新 VM 设置,然后重新安装 ISE。一种方法是在更大的新节点上安装 ISE,并将此节点作为高可用性添加到部署中。节点同步后,将新 VM 设置为主 VM,并取消注册原有 VM。