安装思科 ISE

使用 CIMC 安装思科 ISE

本部分列出简要安装步骤帮助您快速安装思科 ISE:

开始之前

过程

步骤 1

如果要在以下设备上安装思科 ISE:

  • 思科 SNS 设备 - 安装硬件设备。连接到 CIMC 进行服务器管理。

  • 虚拟机 - 确保 VM 已正确配置。
步骤 2

下载思科 ISE ISO 映像。

  1. 转至 http://www.cisco.com/go/ise。您必须已经具有有效的 Cisco.com 登录凭证才能访问此链接。

  2. 点击 Download Software for this Product

    思科 ISE 映像上已经安装 90 天的评估许可证,因此在完成安装和初始配置后,可以对所有思科 ISE 服务进行测试。
步骤 3

启动设备或虚拟机。

  • 思科 SNS 设备:

    1. 连接到 CIMC 并使用 CIMC 凭证登录。

    2. 启动 KVM 控制台。

    3. 选择 Virtual Media > Activate Virtual Devices。

    4. 选择 Virtual Media > Map CD/DVD,并选择 ISE ISO 映像,然后点击 Map Device。

    5. 选择 Macros > Static Macros > Ctrl-Alt-Del 以使用 ISE ISO 映像启动设备。

    6. 按 F6 以显示启动菜单。类似如下的屏幕随即会显示:

      图 1. Boot Device Selection
       

      如果 SNS 设备位于您没有任何物理访问权限的远程位置(如数据中心),并且您需要从远程服务器执行 CIMC 安装,则安装可能需要较长时间。建议您将 ISO 文件复制到 USB 驱动器,并在远程位置使用此文件以加快安装过程。
  • 虚拟机:

    1. 将 CD/DVD 映射到 ISO 映像。系统随即会显示类似于以下的屏幕。以下消息和安装菜单随即会显示。

      Welcome to the Cisco Identity Services Engine Installer Cisco ISE Version: 3.0.0.xxx Available boot options: Cisco ISE Installation (Serial Console) Cisco ISE Installation (Keyboard/Monitor) System Utilities (Serial Console) System Utilities (Keyboard/Monitor)
步骤 4

在启动提示符后,按 1Enter 可使用串行控制台安装思科 ISE。

如果要使用键盘和显示器,请使用箭头键选择 Cisco ISE Installation (Keyboard/Monitor) 选项。系统随即会显示以下消息: 

********************************************** Please type 'setup' to configure the appliance **********************************************
步骤 5

在提示下,键入 setup 开始启动设置程序。有关设置程序参数的详细信息,请参阅运行设置程序
步骤 6

在设置模式下输入网络配置参数后,设备会自动重新启动并返回到外壳提示符模式。

步骤 7

从外壳提示模式退出。设备即会正常运行。

步骤 8

继续执行验证安装过程

运行设置程序

本部分介绍配置 ISE 服务器的设置过程。

设置过程会启动交互式命令行界面 (CLI),提示您提供所需的参数。管理员可以使用控制台或哑终端配置初始网络设置,并使用设置程序为 ISE 服务器提供初始管理员凭证。此设置流程是一次性配置任务。


如果要与 Active Directory (AD) 集成,最好使用专门为 ISE 创建的专用站点的 IP 和子网地址。在安装和配置之前,请咨询组织中负责 AD 的人员,并检索 ISE 节点的相关 IP 和子网地址。

建议您不要尝试离线安装思科 ISE,因为这可能导致系统不稳定。当离线运行思科 ISE 安装脚本时,将显示以下错误:

Sync with NTP server failed' Incorrect time could render the system unusable until it is re-installed. Retry? Y/N [Y]:)

选择 Yes 继续安装。选择 No 重试与 NTP 服务器同步。

建议在运行安装脚本时与 NTP 服务器和 DNS 服务器建立网络连接。

要运行设置程序,请执行以下操作:

过程

步骤 1

打开指定用于安装的设备。

系统随即会显示以下设置提示: 

Please type ‘setup’ to configure the appliance localhost login:
步骤 2

在登录提示下,输入 setup 并按 Enter

控制台随即会显示一组参数。您必须按照下表中的说明输入参数。

 

如果要添加具有 IPv6 地址的域名服务器或 NTP 服务器,ISE 的 eth0 接口必须静态配置有 IPv6 地址。
表 1. 思科 ISE 设置程序参数

提示

说明

示例

Hostname

不得超过 19 个字符。有效字符包括字母数字(A–Z、a–z、0–9)和连字符 (-)。第一个字符必须是字母。

 

我们建议您使用小写字母,以确保 Cisco ISE 中的证书身份验证不受基于证书的验证中细微差异的影响。不能使用“localhost”作为节点的主机名。

isebeta1

(eth0) Ethernet interface address

必须是千兆以太网 0 (eth0) 接口的有效 IPv4 或全局 IPv6 地址。

10.12.13.14/ 2001:420:54ff:4::458:121:119

Netmask

必须是有效的 IPv4 或 IPv6 网络掩码。

255.255.255.0/ 2001:420:54ff:4::458:121:119/122

Default gateway

必须是默认网关的有效 IPv4 或全局 IPv6 地址。

10.12.13.1/ 2001:420:54ff:4::458:1

DNS domain name

不能是 IP 地址。有效字符包括 ASCII 字符、任意数字、连字符 (-) 和句点 (.)。

example.com

Primary name server

必须是主域名服务器的有效 IPv4 或全局 IPv6 地址。

10.15.20.25 / 2001:420:54ff:4::458:118

Add/Edit another name server

必须是主域名服务器的有效 IPv4 或全局 IPv6 地址。

(可选)允许您配置多个域名服务器。要执行此操作,请输入 y 继续。

Primary NTP server

必须是网络时间协议 (NTP) 服务器的有效 IPv4 或全局 IPv6 地址或主机名。

 

确保主 NTP 服务器可访问。

clock.nist.gov / 10.15.20.25 / 2001:420:54ff:4::458:117

Add/Edit another NTP server

必须是有效的 NTP 域。

(可选)允许您配置多个 NTP 服务器。要执行此操作,请输入 y 继续。

System Time Zone

必须是有效时区。例如,对于太平洋标准时间 (PST),System Time Zone 为 PST8PDT(或协调世界时 (UTC) 减 8 小时)。

 

确保系统时间和时区与 CIMC 或虚拟机监控程序主机操作系统时间和时区匹配。如果时区之间存在任何不匹配,系统性能可能会受到影响。

您可以从 Cisco ISE CLI 运行 show timezones 命令以获取受支持时区的完整列表。

 

建议您将所有思科 ISE 节点都设置为 UTC 时区。此时区设置可确保来自部署中的各种节点的报告、日志和状态代理日志文件在时间戳方面始终同步。

UTC (默认值)

Username

识别对思科 ISE 系统进行 CLI 访问所用的管理用户名。如果选择不使用默认值 (admin),则必须创建新用户名。用户名的长度必须为三至八个字符,并且由有效的字母数字字符(A–Z、a–z 或 0–9)组成。

admin(默认值)

Password

识别对思科 ISE 系统进行 CLI 访问所用的管理密码。由于没有默认密码,您必须创建此密码才能继续。密码长度必须至少为六个字符,并且至少包含一个小写字母 (a–z)、一个大写字母 (A–Z) 和一个数字 (0–9)。

MyIseYPass2

 

在 CLI 中进行安装时或完成安装后,当为管理员创建密码时,请勿在密码中使用 $ 字符(除非是将其作为密码的最后一个字符)。如果在密码开头或中间使用此字符,系统虽然会接受此密码,但您无法使用此密码登录 CLI。

如果您无意中创建了此类密码,请登录控制台并使用 CLI 命令或使用 ISE CD 或 ISO 文件来重置密码。有关如何使用 ISO 文件重置密码的说明,可在以下文档中找到: https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/200568-ISE-Password-Recovery-Mechanisms.html

运行设置程序后,系统会自动重新引导。

现在,您可以用设置过程中配置的用户名和密码登录到思科 ISE

验证安装过程

要验证您是否已正确完成安装过程,请执行以下操作:

过程

步骤 1

系统重新引导时,在登录名提示下输入您在设置期间配置的用户名,然后按 Enter
步骤 2

输入新密码
步骤 3

输入 show application 命令验证应用是否已正确安装,然后按 Enter

控制台将显示: 
ise/admin# show application <name> <Description> ise Cisco Identity Services Engine
 

版本和日期可能会因此次发布的不同版本而不同。
步骤 4

输入 show application status ise 命令检查 ISE 进程的状态,然后按 Enter

控制台将显示: 
ise/admin# show application status ise ISE PROCESS NAME STATE PROCESS ID -------------------------------------------------------------------- Database Listener running 14890 Database Server running 70 PROCESSES Application Server running 19158 Profiler Database running 16293 ISE Indexing Engine running 20773 AD Connector running 22466 M&T Session Database running 16195 M&T Log Collector running 19294 M&T Log Processor running 19207 Certificate Authority Service running 22237 EST Service running 29847 SXP Engine Service disabled Docker Daemon running 21197 TC-NAC Service disabled Wifi Setup Helper Container not running pxGrid Infrastructure Service disabled pxGrid Publisher Subscriber Service disabled pxGrid Connection Manager disabled pxGrid Controller disabled PassiveID WMI Service disabled PassiveID Syslog Service disabled PassiveID API Service disabled PassiveID Agent Service disabled PassiveID Endpoint Service disabled PassiveID SPAN Service disabled DHCP Server (dhcpd) disabled DNS Server (named) disabled ise/admin#