其他安装信息

SNS 设备参考

创建一个可引导 USB 设备以安装思科 ISE

使用 Fedora Media Writer(以前为 Fedora LiveUSB Creator)工具从思科 ISE 安装 ISO 文件创建可引导 USB 设备。

开始之前

  • 从以下位置将 Fedora Media Writer 下载到本地系统: https://github.com/lmacken/liveusb-creator/releases/tag/3.12.0


    其他 USB 工具也可能有效,但建议您使用 Fedora Media Writer 3.12.0,因为它已通过思科 ISE 测试。

  • 将思科 ISE 安装 ISO 文件下载至本地系统。

  • 使用 8 GB(或更高)USB 设备。

过程

步骤 1

使用 FAT16 或 FAT32 重新格式化 USB 设备以释放所有空间。

步骤 2

将 USB 设备插入本地系统,并启动 Fedora Media Writer
步骤 3

使用现有 Live CD (Use existing Live CD 区域中点击浏览 (Browse),并选择思科 ISE ISO 文件。

步骤 4

目标设备 (Target Device) 下拉列表中选择 USB 设备。

如果本地系统只连接了一个 USB 设备,会自动选择该设备。
步骤 5

点击 Create Live USB

进度条会指示可引导 USB 创建的进度。完成此过程后,即可在用于运行 USB 工具的本地系统访问 USB 驱动器的内容。必须在手动更新两个文本文件后才能安装思科 ISE。
步骤 6

从 USB 驱动器中,在文本编辑器中打开以下文本文件:

  • isolinux/isolinux.cfg or syslinux/syslinux.cfg
  • EFI/BOOT/grub.cfg
步骤 7

替换两个文件中的术语“cdrom”。

  • 如果您有 SNS 3515、3595、3615、3655 或 3695 设备,请将两个文件中的术语“cdrom”替换为“hd:sdb1”。

具体而言,就是替换“cdrom”字符串的所有实例。例如,将

ks=cdrom/ks.cfg

替换为

ks=hd:sdb1:/ks.cfg

步骤 8

保存文件并退出。

步骤 9

从本地系统安全地删除 USB 设备。

步骤 10

要安装思科 ISE,请将可引导 USB 设备插入思科 ISE 设备,重启设备,从 USB 驱动器引导。

重新映像思科 SNS 3500/3600 系列设备

思科 SNS 3500/3600 系列设备没有内置 DVD 驱动器。因此,要使用思科 ISE 软件重新映像思科 ISE 硬件设备,可以执行以下操作之一:


SNS 3500 和 3600 系列设备支持统一可扩展固件接口 (UEFI) 的安全引导功能。此功能可确保只有思科签名的 ISE 映像才能安装在 SNS 3500 和 3600 系列设备上,并且可以防止安装任何未获签名的操作系统,即使拥有对设备的物理访问权限也不行。举例来说,常规操作系统(Red Hat Enterprise Linux 或 Microsoft Windows)无法在此设备上引导。

SNS 3515 和 SNS 3595 设备仅支持思科 ISE 2.0.1 或更高版本。不能在 SNS 3515 或 SNS 3595 设备上安装 2.0.1 之前的版本。

VMware 虚拟机

本文档提供的 VMware 外形规格说明也适用于安装在思科 Hyperflex 上的 ISE。

虚拟机资源和性能检查

在虚拟机上安装思科 ISE 之前,安装程序会将虚拟机上可用的硬件资源与建议的硬件规范进行比较,以执行硬件完整性检查。

执行 VM 资源检查期间,安装程序会检查硬盘空间、分配给 VM 的 CPU 核心数量、CPU 时钟速度以及分配给 VM 的 RAM。如果 VM 资源不满足基本评估规范,安装即会中止。此资源检查仅适用于基于 ISO 的安装。

当您运行设置程序时,系统会执行 VM 性能检查,安装程序会检查磁盘 I/O 的性能。如果磁盘 I/O 性能不满足建议的规范,则屏幕上会显示一条警告,不过还是会允许您继续进行安装。

系统会定期(每小时)执行 VM 性能检查,并对一天的结果进行平均。如果磁盘 I/O 性能不符合建议的规格,系统会生成警报。

此外,您也可以使用 show tech-support 命令从 Cisco ISE CLI 按需执行 VM 性能检查。

VM 资源和性能检查可以在不依赖于 Cisco ISE 安装的情况下运行 。您可以从 Cisco ISE 启动菜单执行此测试。

使用 ISO 文件在 VMware 虚拟机上安装思科 ISE

本部分介绍如何使用 ISO 文件在 VMware 虚拟机上安装思科 ISE。

配置 VMware ESXi 服务器的先决条件

尝试配置 VMWare ESXi 服务器之前,请查看本部分中列出的如下配置必备条件:

  • 务必要以具有管理权限的用户身份(根用户)登录 ESXi 服务器。

  • 思科 ISE 是 64 位系统。安装 64 位系统之前,请确保在 ESXi 服务器上启用了虚拟化技术 (VT)。

  • 确保在 VMware 虚拟机上分配建议的磁盘空间量。请参阅 磁盘空间要求 部分以获取更多信息。

  • 如果您尚未创建 VMware 虚拟机文件系统 (VMFS),则必须创建该文件系统以支持 Cisco ISE 虚拟设备。系统会为 VMware 主机上配置的每个存储卷设置 VMFS。对于 VMFS5,1 MB 块大小支持最多 1.999 TB 虚拟磁盘大小。

虚拟化技术检查

如果已经安装了 ESXi 服务器,可以检查该服务器上是否已启用 VT,无需重新引导设备。为此,请使用 esxcfg-info 命令。以下为输出示例: 

 ~ # esxcfg-info |grep "HV Support" |----HV Support............................................3 |----World Command Line.................................grep HV Support

如果 HV 支持的值为 3,则在 ESXi 服务器上启用了 VT,您可以继续安装。

如果 HV 支持的值为 2,则 VT 受支持,但未在 ESXi 服务器上启用。您必须编辑 BIOS 设置并在 ESXi 服务器上启用 VT。

在 ESXi 服务器上启用虚拟化技术

您可以重复使用用于托管以前版本的 Cisco ISE 虚拟机的相同硬件。但在安装最新版本之前,您必须在 ESXi 服务器上启用虚拟化技术 (VT)。

过程
步骤 1

重新启动 设备。

步骤 2

F2 以进入设置。

步骤 3

从 VMware vSphere 客户端选择 高级 (Advanced) > 处理器配置 (Processor Configuration)
步骤 4

选择 Intel(R) VT 并将其启用。

步骤 5

F10 以保存更改并退出。

为思科 ISE 分析器服务配置 VMware 服务器接口

配置 VMware 服务器接口以支持将交换端口分析器 (SPAN) 或镜像流量收集到 Cisco ISE Profiler Service 的专用探测接口。

过程
步骤 1

从 VMware vSphere 客户端选择 配置 (Configuration) > 网络 (Networking) > 属性 (Properties) > VMNetwork(VMware 服务器实例的名称)VMswitch0(其中一个 VMware ESXi 服务器接口)属性安全 (VMNetwork VMswitch0 Properties Security)
步骤 2

Security 选项卡上的 Policy Exceptions 窗格中,选中 Promiscuous Mode 复选框。

步骤 3

在 Promiscuous Mode 下拉列表中,选择 Accept,然后点击 OK

对用来进行 SPAN 或镜像流量的分析器数据收集的另一个 VMware ESXi 服务器接口重复相同的步骤。

使用串行控制台连接至 VMware 服务器

过程
步骤 1

关闭特定 VMware 服务器(例如 ISE-120)的电源。

步骤 2

右键点击 VMware 服务器,然后选择 Edit
步骤 3

点击“硬件”(Hardware) 选项卡上的添加 (Add)
步骤 4

选择串行端口 (Serial Port),然后点击下一步 (Next)
步骤 5

在“串行端口输出”(Serial Port Output) 区域中,点击 在主机上使用物理串行端口 (Use physical serial port on the host)通过网络连接 (Connect via Network) 单选按钮,然后点击下一步 (Next)

  • 如果选择“通过网络连接”(Connect via Network) 选项,则必须通过 ESXi 服务器打开防火墙端口。

  • 如果您在主机上选择 Use physical serial port,请选择端口。您可以选择以下两个选项之一:

    • /dev/ttyS0 (在 DOS 或 Windows 操作系统中,这将显示为 COM1)。

    • /dev/ttyS1 (在 DOS 或 Windows 操作系统中,这将显示为 COM2)。

步骤 6

点击 Next
步骤 7

在 Device Status 区域中,选中相应的复选框。默认值为 Connected。

步骤 8

点击 OK 以连接到 VMware 服务器。

配置 VMware 服务器

开始之前

确保您已阅读配置 VMware ESXi 服务器的先决条件部分的详细信息。

过程
步骤 1

登录 ESXi 服务器。

步骤 2

在 VMware vSphere 客户端的左窗格中,右键点击主机容器,然后选择 New Virtual Machine
步骤 3

在 Configuration 对话框中,针对 VMware 配置选择 Custom,然后点击 Next
步骤 4

输入 VMware 系统的名称,然后点击 Next

提示 

提示:请使用要用于 VMware 主机的主机名。
步骤 5

选择具有建议的可用空间量的 datastore,然后点击 Next
步骤 6

(可选)如果 VM 主机或集群支持多个 VMware 虚拟机版本,请选择一个虚拟机版本(例如虚拟机版本 7),然后点击 Next
步骤 7

版本 (Version) 下拉列表中选择 Linux,然后选择支持的 Red Hat Enterprise Linux 版本。

步骤 8

从 Number of virtual sockets 和 Number of cores per virtual socket 下拉列表中选择一个值。核心总数应为:

SNS 3600 系列设备:

  • 小型 - 16

  • 中型 - 24

  • 大型 - 24

    由于超线程,核心数量相当于思科安全网络服务器 3600 系列中核心数量的两倍。例如,对于小型网络部署,您必须分配 16 个 vCPU 核心才能满足 SNS 3615(包含 8 个 CPU 核心或 16 个线程)的 CPU 规格。

 

强烈建议您保留 CPU 和内存资源以匹配资源分配。否则可能会严重影响 ISE 的性能和稳定性。
步骤 9

选择内存量,然后点击 Next
步骤 10

从 Adapter 下拉列表中选择 E1000 NIC 驱动程序,然后点击 Next

 

我们建议您选择 E1000 以确保在默认情况下使用正确的适配器顺序。如果选择 VMXNET3,可能必须重新映射 ESXi 适配器,以使其与 ISE 适配器顺序同步。
步骤 11

选择 Paravirtual 作为 SCSI 控制器,然后点击 Next
步骤 12

选择 Create a new virtual disk,然后点击 Next
步骤 13

在 Disk Provisioning 对话框中,点击 Thick Provision 单选按钮,然后点击 Next 以继续。

Cisco ISE 同时支持详细和精简调配。但是,我们建议您选择详细调配以获取更好的性能,尤其对于监控节点更加如此。如果您选择精简调配,则诸如升级、备份和恢复,以及调试日志记录等需要更多磁盘空间的操作在初始磁盘扩展期间可能会受影响。

步骤 14

取消选中 Support clustering features such as Fault Tolerance 复选框。

步骤 15

选择高级选项,然后点击 Next
步骤 16

验证配置详细信息,例如新创建的 VMware 系统的 Name、Guest OS、CPUs、Memory 和 Disk Size。
步骤 17

点击 Finish

系统现已安装 VMware 系统。

下一步做什么

要激活新创建的 VMware 系统,请右键点击 VMware 客户端用户界面的左窗格中的 VM,然后选择 Power > Power On

增加虚拟机启动引导延迟配置

在 VMware 虚拟机上,引导延迟默认设置为 0。您可以通过更改此引导延迟来帮助您选择引导选项(例如,当重置管理员密码时)。

过程
步骤 1

从 VSphere 客户端,右键点击 VM 并选择 Edit Settings
步骤 2

点击 Options 选项卡。

步骤 3

选择 Advanced > Boot Options
步骤 4

Power on Boot Delay 区域中,选择延迟引导操作的时间(以毫秒为单位)。

步骤 5

选中 Force BIOS Setup 区域的复选框,以在 VM 下次引导时进入 BIOS 设置屏幕。

步骤 6

单击确定,保存更改。

在 VMware 系统上安装思科 ISE 软件

开始之前

  • 安装后,如果您不安装永久许可证,则思科 ISE 会自动安装最多支持 100 个终端的 90 天评估许可证。

  • 请从思科软件下载站点 (http://www.cisco.com/en/US/products/ps11640/index.html) 下载思科 ISE 软件并将其刻录在 DVD 上。您将需要提供 Cisco.com 凭证。

  • (可选;仅当您在 VMware 云上安装思科 ISE 时适用)在 VMware 云上安装思科 ISE 的过程与在 VMware 虚拟机上安装思科 ISE 的过程完全相同。

    • 部署在 Amazon Web 服务 (AWS) 上 VMware 云中的思科 ISE 虚拟机:思科 ISE 可以托管在 AWS 上 VMware 云提供的软件定义的数据中心 (SDDC) 上。确保在 VMware 云上配置适当的安全组策略(在网络和安全 (Networking & Security) > 安全 (Security) > 网关防火墙设置 (Gateway Firewall Settings) 下)以支持访问本地部署、必需设备和服务。

    • 部署在 Azure VMware 解决方案 (AVS) 上的思科 ISE 虚拟机:AVS 在 Microsoft Azure 上本地运行 VMware 工作负载,思科 ISE 可从中托管为 VMware 虚拟机。

过程
步骤 1

登录到 VMware 客户端。

步骤 2

要使虚拟机进入 BIOS 设置模式,请右键点击 VM,然后点击 Edit Settings
步骤 3

点击 Options 选项卡。

步骤 4

选择 Boot Options 并配置以下选项:

  1. 强制 BIOS 设置 (Force BIOS Setup) 区域,选中此复选框以在虚拟机引导时进入 BIOS 设置屏幕。

 

必须在 VM 设置的引导模式下将固件从 BIOS 更改为 EFI,才能引导 2 TB 或更大容量的 GPT 分区。

步骤 5

点击 OK
步骤 6

确保在 BIOS 中设置协调世界时间 (UTC) 和正确的引导顺序:

  1. 如果打开了虚拟机,则关闭系统。

  2. 打开虚拟机。

    系统进入 BIOS 设置模式。

  3. 在 Main BIOS 菜单中,使用箭头键导航到 Date and Time 字段,并按 Enter

  4. 输入 UTC/格林威治标准时间 (GMT) 时区。

    此时区设置可确保来自部署中的各种节点的报告、日志和状态代理日志文件在时间戳方面始终同步。

  5. 使用箭头键导航到 Boot 菜单,并按 Enter

  6. 使用箭头键选择 CD-ROM,并按 + 将 CD-ROM 驱动器的启动顺序向上移动。

  7. 使用箭头键导航到 Exit 菜单,并选择 Exit Saving Changes

  8. 选择 Yes 保存更改并退出。

步骤 7

将思科 ISE 软件 DVD 插入 VMware ESXi 主机 CD/DVD 驱动器,并打开虚拟机。

当 DVD 启动时,控制台会显示以下内容: 

 Cisco ISE Installation (Serial Console) Cisco ISE Installation (Keyboard/Monitor) System Utilities (Serial Console) System Utilities (Keyboard/Monitor)
步骤 8

使用箭头键选择 Cisco ISE Installation (Serial Console)Cisco ISE Installation (Keyboard/Monitor),并按 Enter。如果选择串行控制台选项,则应在您的虚拟机上设置串行控制台。有关如何创建控制台的信息,请参阅 VMware vSphere 文档

安装程序在 VMware 系统上启动 Cisco ISE 软件安装。请预留 20 分钟时间来完成安装过程。当安装过程完成时,虚拟机会自动重新启动。当 VM 重新引导时,控制台将显示:
Type 'setup' to configure your appliance localhost:
步骤 9

在系统提示下,键入 setup 并按 Enter 键。

安装向导显示并引导您完成初始配置。

VMware 工具安装验证

使用 vSphere 客户端中的 Summary 选项卡验证 VMWare 工具安装

转至 vShpere 客户端中指定的 VMware 主机的 Summary 选项卡。VMware Tools 字段中的值应该适用。

图 1. 在 vSphere 客户端中验证 VMware 工具
使用 CLI 验证 VMWare 工具安装
您还可以验证 VMware 工具是否是使用 show inventory 命令安装。此命令列出 NIC 驱动程序信息。在安装了 VMware 工具的虚拟机上,VMware 虚拟以太网驱动程序将列于 Driver Descr 字段中。 
NAME: "ISE-VM-K9 chassis", DESCR: "ISE-VM-K9 chassis" PID: ISE-VM-K9 , VID: A0 , SN: FCH184X9XXX Total RAM Memory: 65700380 kB CPU Core Count: 16 CPU 0: Model Info: Intel(R) Xeon(R) CPU E5-2640 v3 @ 2.60GHz CPU 1: Model Info: Intel(R) Xeon(R) CPU E5-2640 v3 @ 2.60GHz CPU 2: Model Info: Intel(R) Xeon(R) CPU E5-2640 v3 @ 2.60GHz CPU 3: Model Info: Intel(R) Xeon(R) CPU E5-2640 v3 @ 2.60GHz CPU 4: Model Info: Intel(R) Xeon(R) CPU E5-2640 v3 @ 2.60GHz CPU 5: Model Info: Intel(R) Xeon(R) CPU E5-2640 v3 @ 2.60GHz CPU 6: Model Info: Intel(R) Xeon(R) CPU E5-2640 v3 @ 2.60GHz CPU 7: Model Info: Intel(R) Xeon(R) CPU E5-2640 v3 @ 2.60GHz CPU 8: Model Info: Intel(R) Xeon(R) CPU E5-2640 v3 @ 2.60GHz CPU 9: Model Info: Intel(R) Xeon(R) CPU E5-2640 v3 @ 2.60GHz CPU 10: Model Info: Intel(R) Xeon(R) CPU E5-2640 v3 @ 2.60GHz CPU 11: Model Info: Intel(R) Xeon(R) CPU E5-2640 v3 @ 2.60GHz CPU 12: Model Info: Intel(R) Xeon(R) CPU E5-2640 v3 @ 2.60GHz CPU 13: Model Info: Intel(R) Xeon(R) CPU E5-2640 v3 @ 2.60GHz CPU 14: Model Info: Intel(R) Xeon(R) CPU E5-2640 v3 @ 2.60GHz CPU 15: Model Info: Intel(R) Xeon(R) CPU E5-2640 v3 @ 2.60GHz Hard Disk Count(*): 1 Disk 0: Device Name: /xxx/abc Disk 0: Capacity: 1198.00 GB NIC Count: 6 NIC 0: Device Name: eth0: NIC 0: HW Address: xx:xx:xx:xx:xx:xx NIC 0: Driver Descr: Intel(R) Gigabit Ethernet Network Driver NIC 1: Device Name: eth1: NIC 1: HW Address: xx:xx:xx:xx:xx:xx NIC 1: Driver Descr: Intel(R) Gigabit Ethernet Network Driver NIC 2: Device Name: eth2: NIC 2: HW Address: xx:xx:xx:xx:xx:xx NIC 2: Driver Descr: Intel(R) Gigabit Ethernet Network Driver NIC 3: Device Name: eth3: NIC 3: HW Address: xx:xx:xx:xx:xx:xx NIC 3: Driver Descr: Intel(R) Gigabit Ethernet Network Driver NIC 4: Device Name: eth4: NIC 4: HW Address: xx:xx:xx:xx:xx:xx NIC 4: Driver Descr: Intel(R) Gigabit Ethernet Network Driver NIC 5: Device Name: eth5: NIC 5: HW Address: xx:xx:xx:xx:xx:xx NIC 5: Driver Descr: Intel(R) Gigabit Ethernet Network Driver (*) Hard Disk Count may be Logical.
对升级 VMware 工具的支持

Cisco ISE ISO 映像(常规、升级或补丁)包含受支持的 VMware 工具。Cisco ISE 不支持通过 VMware 客户端用户界面升级 VMware 工具 。如果要将任何 VMware 工具升级到更高版本,则需要通过更新版本的 Cisco ISE(常规、升级或补丁版本)提供支持。

克隆思科 ISE 虚拟机

您可以克隆 Cisco ISE VMware 虚拟机 (VM) 来创建与 Cisco ISE 节点完全相同的副本。例如,在具有多个策略服务节点 (PSN) 的分布式部署中,VM 克隆有助于您快速有效地部署 PSN。您不必单独安装和配置 PSN。

您也可以使用模板克隆 Cisco ISE VM。


要进行克隆,需要使用 VMware vCenter。克隆必须在运行安装程序之前完成。

开始之前

  • 确保关闭您要克隆的思科 ISE 虚拟机。在 vSphere 客户端中,右键点击要克隆的思科 ISE VM,然后选择 电源 (Power) > 关闭访客 (Shut Down Guest)

  • 确保在开启克隆计算机并将其连接到网络之前更改其 IP 地址和主机名。

过程

步骤 1

以具有管理权限的用户身份(根用户)登录 ESXi 服务器。

执行此步骤需要 VMware vCenter。

步骤 2

右键点击要克隆的 Cisco ISE,然后点击 Clone
步骤 3

在 Name and Location 对话框中输入正在创建的新计算机的名称,然后点击 Next

这不是正在创建的新 Cisco ISE VM 的主机名,而是供参考的描述性名称。

步骤 4

选择要运行新 Cisco ISE VM 的主机或集群,然后点击 Next
步骤 5

为正在创建的新 Cisco ISE VM 选择 datastore,然后点击 Next

此 datastore 可以是 ESXi 服务器上的本地 datastore,也可以是远程存储。确保 datastore 具有足够的磁盘空间。

步骤 6

点击 Disk Format 对话框中的 Same format as source 单选按钮,然后点击 Next

此选项会复制正在从其克隆新计算机的 Cisco ISE VM 中使用的同一格式。

步骤 7

点击 Guest Customization 对话框中的 Do not customize 单选按钮,然后点击 Next
步骤 8

点击 Finish

下一步做什么

使用模板克隆思科 ISE 虚拟机

如果您使用的是 vCenter,则可以使用 VMware 模板克隆 Cisco ISE 虚拟机 (VM)。您可以将 Cisco ISE 节点克隆到模板并使用该模板创建多个新的 Cisco ISE 节点。使用模板克隆虚拟机是一个两个步骤的过程:

开始之前

要进行克隆,需要使用 VMware vCenter。克隆必须在运行安装程序之前完成。
过程
步骤 1

创建虚拟机模板

步骤 2

部署虚拟机模板

创建虚拟机模板
开始之前

  • 确保关闭您要克隆的思科 ISE 虚拟机。在 vSphere 客户端中,右键点击即将克隆的思科 ISE 虚拟机,然后选择 Power > Shut Down Guest

  • 我们建议您从刚安装且未运行设置程序的思科 ISE 虚拟机创建模板。然后,您可以在已创建的每个单独的思科 ISE 节点上运行设置程序,并且单独配置 IP 地址和主机名。

过程
步骤 1

以具有管理权限的用户身份(根用户)登录 ESXi 服务器。

执行此步骤需要 VMware vCenter。

步骤 2

右键点击要克隆的思科 ISE VM,然后选择 克隆 (Clone) > 要克隆的模板 (Clone to Template)
步骤 3

输入模板的名称,在 Name and Location 对话框中选择用于保存模板的位置,然后点击 Next
步骤 4

选择您要在其上存储模板的 ESXi 主机,然后点击下一步 (Next)
步骤 5

选择要用于存储模板的 datastore,然后点击 Next

确保此 datastore 具有所需的磁盘空间量。

步骤 6

点击 Disk Format 对话框中的 Same format as source 单选按钮,然后点击 Next

系统将显示 Ready to Complete 对话框。

步骤 7

点击完成
部署虚拟机模板

创建虚拟机模板后,您可以将其部署在其他虚拟机 (VM) 上。

过程
步骤 1

右键点击已创建的 Cisco ISE VM 模板,然后选择 Deploy Virtual Machine from this template
步骤 2

输入新 Cisco ISE 节点的名称,在 Name and Location 对话框中选择该节点的位置,然后点击 Next
步骤 3

选择您要在其上存储新思科 ISE 节点的 ESXi 主机,然后点击下一步 (Next)
步骤 4

选择要用于新 Cisco ISE 节点的 datastore,然后点击 Next

确保此 datastore 具有所需的磁盘空间量。

步骤 5

点击 Disk Format 对话框中的 Same format as source 单选按钮,然后点击 Next
步骤 6

点击 Guest Customization 对话框中的 Do not customize 单选按钮。

系统将显示 Ready to Complete 对话框。

步骤 7

选中 Edit Virtual Hardware 复选框,然后点击 Continue

系统将显示 Virtual Machine Properties 页面。

步骤 8

选择 Network adapter,取消选中 ConnectedConnect at power on 复选框,然后点击 OK
步骤 9

点击 Finish

您现在可以打开此 Cisco ISE 节点的电源,配置 IP 地址和主机名,然后将其连接到网络。

下一步做什么

更改克隆虚拟机的 IP 地址和主机名

在您克隆 Cisco ISE 虚拟机 (VM) 后,必须打开其电源并更改 IP 地址和主机名。

开始之前

  • 确保 Cisco ISE 节点处于独立状态。

  • 确保在打开计算机电源时,最近克隆的 Cisco ISE VM 上的网络适配器未连接。取消选中 ConnectedConnect at power on 复选框。否则,如果此节点启动,它将与对其进行克隆的源计算机具有相同的 IP 地址。

    图 2. 断开网络适配器连接

  • 确保您具有打开计算机电源时就将为最近克隆的 VM 配置的 IP 地址和主机名。此 IP 地址和主机名条目应包含在 DNS 服务器中。不能使用“localhost”作为节点的主机名。

  • 确保您具有基于新 IP 地址或主机名的 Cisco ISE 节点的证书。

    操作步骤
过程
步骤 1

右键点击最近克隆的思科 ISE VM,然后选择电源 (Power) > 打开电源 (Power On)
步骤 2

选择最近克隆的 Cisco ISE VM,然后点击 Console 选项卡。

步骤 3

在 Cisco ISE CLI 上输入以下命令: 

configure terminal hostname hostname

主机名是您将要配置的新主机名。系统会重新启动 Cisco ISE 服务。

步骤 4

输入以下命令: 

interface gigabit 0 ip address ip_address netmask

ip_address 是对应于您在步骤 3 中输入的主机名的地址,netmask 是 ip_address 的子网掩码。系统将提示您重新启动 Cisco ISE 服务。有关 ip address 和 hostname 命令,请参阅《思科身份服务引擎 CLI 参考指南》
步骤 5

输入 Y 重新启动 Cisco ISE 服务。

将克隆的思科虚拟机连接到网络

在您打开电源并更改 IP 地址和主机名后,必须将 Cisco ISE 节点连接到网络。

过程
步骤 1

右键点击最近克隆的 Cisco ISE 虚拟机 (VM),然后点击 Edit Settings
步骤 2

点击 Virtual Machine Properties 对话框中的 Network adapter
步骤 3

在 Device Status 区域中,选中 ConnectedConnect at power on 复选框。

步骤 4

单击确定

将思科 ISE VM 从评估环境迁移至生产环境

评估 Cisco ISE 版本后,您可以从评估系统迁移至完全许可的生产系统。

开始之前

  • 将 VMware 服务器移至支持更多用户数的生产环境时,请务必将思科 ISE 安装重新配置为建议的最小磁盘大小或更高容量(最多达到允许的最大值 2.4 TB)。

  • 请注意,无法将数据从所创建的磁盘空间小于 300 GB 的 VM 迁移至生产 VM。只能将数据从所创建的具有 300 GB 或更多磁盘空间的 VM 迁移至生产环境。

过程

步骤 1

备份评估版本的配置。

步骤 2

确保您的生产 VM 具有所需的磁盘空间量。

步骤 3

安装生产部署许可证。

步骤 4

将配置恢复到生产系统。

使用 show tech-support 命令按需检查虚拟机性能

您可以从 CLI 运行 show tech-support 命令以随时检查 VM 性能。此命令的输出类似如下: 

ise-vm123/admin# show tech | begin "disk IO perf" Measuring disk IO performance ***************************************** Average I/O bandwidth writing to disk device: 48 MB/second Average I/O bandwidth reading from disk device: 193 MB/second WARNING: VM I/O PERFORMANCE TESTS FAILED! WARNING: The bandwidth writing to disk must be at least 50 MB/second, WARNING: and bandwidth reading from disk must be at least 300 MB/second. WARNING: This VM should not be used for production use until disk WARNING: performance issue is addressed. Disk I/O bandwidth filesystem test, writing 300 MB to /opt: 314572800 bytes (315 MB) copied, 7.81502 s, 40.3 MB/s Disk I/O bandwidth filesystem read test, reading 300 MB from /opt: 314572800 bytes (315 MB) copied, 0.416897 s, 755 MB/s

从思科 ISE 启动菜单检查虚拟机资源

您可以在不依赖于思科 ISE 安装的情况下从启动菜单检查虚拟机资源。

CLI 记录显示如下: 

 Cisco ISE Installation (Serial Console) Cisco ISE Installation (Keyboard/Monitor) System Utilities (Serial Console) System Utilities (Keyboard/Monitor)

使用箭头键选择 System Utilities (Serial Console)System Utilities (Keyboard/Monitor),然后按 Enter。以下屏幕随即显示: 

 Available System Utilities: [1] Recover administrator password [2] Virtual Machine Resource Check [3] Perform System Erase [q] Quit and reload Enter option [1 - 3] q to Quit

输入 2 以检查 VM 资源。输出将类似于如下: 

***** ***** Virtual Machine host detected… ***** Hard disk(s) total size detected: 600 Gigabyte ***** Physical RAM size detected: 16267516 Kbytes ***** Number of network interfaces detected: 6 ***** Number of CPU cores: 12 ***** CPU Mhz: 2300.00 ***** Verifying CPU requirement… ***** Verifying RAM requirement… ***** Writing disk partition table…

Linux KVM

KVM 虚拟化检查

KVM 虚拟化需要主机处理器提供的虚拟化支持;包括 Intel 处理器的 Intel VT-x 和 AMD 处理器的 AMD-V。在主机上打开一个终端窗口,然后输入 cat /proc/cpuinfo 命令。您会看到 vmx 或 svm 标志。

  • 对于 Intel VT-x:
    # cat /proc/cpuinfo flags: fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx pdpe1gb rdtscp lm constant_tsc arch_perfmon pebs bts rep_good nopl xtopology nonstop_tsc aperfmperf eagerfpu pni pclmulqdq dtes64 monitor ds_cpl vmx smx est tm2 ssse3 cx16 xtpr pdcm pcid dca sse4_1 sse4_2 x2apic popcnt tsc_deadline_timer aes xsave avx lahf_lm arat epb xsaveopt pln pts dtherm tpr_shadow vnmi flexpriority ept vpid
  • 对于 AMD-V:#cat / proc / cpuinfo flags:fpu tsc msr pae mce cx8 apic mtrr mca cmov pat pse36 clflush mmx fxsr sse sse2 ht syscall nx mmxext fxsr_opt rdtscp lm 3dnowext 3dnow pni cx16 lahflm_acy

在 KVM 上安装思科 ISE

此过程介绍如何在 RHEL 上创建 KVM,并使用虚拟机管理器 (virt-manager) 在 KVM 上安装思科 ISE。

如果您选择通过 CLI 安装思科 ISE,请输入类似下面的命令: 

#virt-install --name= kvm-ise1  --arch=x86_64 --cpu=host --vcpus=2 --ram=4096 --os-type=linux --os-variant=rhel6 --hvm --virt-type=kvm --cdrom= /home/admin/Desktop/ise-3.0.0.x.SPA.x86_64.iso  --disk= /home/libvirt-images/kvm-ise1.img,size=100  --network type=direct,model=virtio,source= eth2 ,source_mode=bridge

where ise-3.0.0.x.SPA.x86_64.iso 是思科 ISE ISO 映像的名称。

开始之前

将思科 ISE ISO 映像文件下载至本地系统。

过程

步骤 1

从 virt-manager 中点击 New

Create a new virtual machine 窗口随即会显示。

步骤 2

点击 Local install media (ISO media or CDROM),然后点击 Forward
步骤 3

点击 Use ISO image 单选按钮,点击 Browse,然后从本地系统中选择 ISO 映像。

  1. 取消选中基于安装介质自动检测操作系统 (Automatically detect operating system based on install media) 复选框,选择“Linux”作为“操作系统类型”(OS type),选择支持的 Red Hat Enterprise Linux 版本,然后点击继续 (Forward)

    QEMU 1.5.3-160 上支持的 KVM
步骤 4

选择 RAM 和 CPU 设置,然后点击 Forward
步骤 5

选中 Enable storage for this virtual machine 复选框,并选择存储设置。

  1. 点击 Select managed or other existing storage 单选按钮。

  2. 点击 Browse

  3. 从左侧的 Storage Pools 导航窗格中,点击 disk FileSystem Directory

  4. 点击 New Volume

    Create storage volume 窗口随即显示。

  5. 为存储卷输入名称。

  6. Format 下拉列表中选择 raw

  7. 输入 Maximum Capacity。

  8. 点击 Finish

  9. 选择您创建的卷,然后点击 Choose Volume

  10. 点击 Forward

    Ready to begin the installation 屏幕随即会显示。

步骤 6

选中 Customize configuration before install 复选框。

步骤 7

在 Advanced 选项下,选择 macvtap 作为接口源,在 Source mode 下拉列表中选择 Bridge,然后点击 Finish

  1. (可选)点击 Add Hardware 可添加其他 NIC。

    选择 macvtap 作为 Network source,选择 virtio 作为 Device model。

  2. 点击 Finish
步骤 8

在 Virtual Machine 屏幕中,选择磁盘设备,并在 Advanced 和 Performance 选项下,选择以下选项,然后点击 Apply

字段
Disk bus

VirtIO

Cache mode

none

IO mode

native

步骤 9

点击 Begin Installation 在 KVM 上安装思科 ISE。

思科 ISE 安装启动菜单随即会显示。
步骤 10

在系统提示符后,输入 1 选择显示器和键盘端口,或输入 2 选择控制器端口,并按 Enter

安装程序将在 VM 上开始安装思科 ISE 软件。安装过程完成后,控制台将显示:
Type 'setup' to configure your appliance localhost:
步骤 11

在系统提示符后,输入 setup 并按 Enter

系统随即会显示安装向导并引导您完成初始配置。

Microsoft Hyper-V

在 Hyper-V 上创建思科 ISE 虚拟机

本部分介绍如何创建新虚拟机、将 ISO 映像从本地磁盘映射至虚拟 CD/DVD 驱动器、编辑 CPU 设置以及在 Hyper-V 上安装思科 ISE。

开始之前

将思科 ISE ISO 映像文件从 Cisco.com 下载至本地系统。

过程

步骤 1

在受支持的 Windows 服务器上启动 Hyper-V Manager。

图 3. Hyper-V 管理器控制台
步骤 2

右键点击 VM 主机,然后点击 New > Virtual Machine

图 4. 创建新的虚拟机
步骤 3

点击 Next 以自定义 VM 配置。

图 5. New Virtual Machine Wizard
步骤 4

为虚拟机输入名称(可选),并选择一条其他路径来存储 VM,然后点击 Next

图 6. 指定名称和位置
步骤 5

点击 Generation 1 单选按钮,然后点击 Next

如果选择创建第 2 代 ISE VM,请确保在 VM 设置中禁用安全引导 (Secure Boot)

图 7. 指定代数
步骤 6

指定分配给此 VM 的内存量(例如 16000 MB),然后点击 Next

图 8. 分配内存
步骤 7

选择网络适配器,然后点击 Next

图 9. 配置网络
步骤 8

点击 Create a virtual hard disk 单选按钮,然后点击 Next

图 10. 连接虚拟硬盘
步骤 9

点击 Install an operating system from a bootable CD/DVD-ROM 单选按钮。

  1. 从 Media 区域中,点击 Image file (.iso) 单选按钮。

  2. 点击 Browse 以从本地系统选择 ISE ISO 映像,然后点击 Next

图 11. 安装选项
步骤 10

单击完成

图 12. 完成新虚拟机向导

思科 ISE VM 已在 Hyper-V 上创建完成。

图 13. 创建的新虚拟机
步骤 11

选择虚拟机并编辑虚拟机设置。

  1. 选择 Processor。输入虚拟处理器的数量(例如 6),然后点击 OK

    图 14. 编辑 VM 设置
步骤 12

选择 VM,然后点击 Connect 启动 VM 控制台。点击启动按钮以打开思科 ISE VM。

图 15. 启动思科 ISE VM

思科 ISE 安装菜单随即会显示。

图 16. 思科 ISE 安装菜单
步骤 13

输入 1 使用键盘和显示器安装思科 ISE。