管理 ISE-PIC 节点
添加或删除辅助节点,在节点之间同步数据,将辅助节点升级为主节点等。
思科 ISE-PIC 部署设置
在所有节点上安装思科 ISE-PIC 后,如《思科身份识别服务引擎硬件安装指南》所述,节点显示为独立状态。必须定义一个节点作为主管理节点 (PAN),并将辅助节点注册到 PAN。
所有思科 ISE-PIC 系统和功能相关配置应当只在 PAN 上进行。在 PAN 上执行的配置更改将复制到部署中的辅助节点。从辅助节点可以执行的唯一操作是将辅助节点升级为 PAN。
在向 PAN 注册了辅助节点之后,在登录此辅助节点的管理员门户时,必须使用 PAN 的登录凭证。
将数据从主 ISE-PIC 节点复制到辅助节点
将思科 ISE 节点注册为辅助节点时,思科 ISE-PIC 会立即创建一个从主要节点到辅助节点的数据复制通道并开始执行复制进程。复制是从主节点向辅助节点共享思科 ISE-PIC 配置数据的过程。复制可确保作为您的部署组成部分的两个思科 ISE-PIC 节点中配置数据的一致性。
首次将 ISE-PIC 节点注册为辅助节点时通常会进行完全复制。完全复制之后进行增量复制,确保在辅助节点中反映所有新的更改,例如对 PAN 中配置数据的添加、修改或删除。复制过程可确保部署中的所有思科 ISE-PIC 节点保持同步。在思科 ISE-PIC 管理员门户的部署页面,可在“节点状态”(Node Status) 列查看复制的状态。将思科 ISE-PIC 节点注册为辅助节点或与 PAN 进行手动同步时,节点状态显示橙色图标,表示正在进行所请求的操作。操作完成后,节点状态变为绿色,表示辅助节点已与 PAN 同步。
在思科 ISE-PIC 中修改节点的影响
在思科 ISE-PIC 中对节点进行以下任一更改后,节点将重新启动,这会导致延迟:
-
注册节点(独立节点至辅助节点)
-
取消注册节点(辅助节点至独立节点)
-
将主要节点更改为独立节点(如果未向其注册任何其他节点;主要节点至独立节点)
-
升级节点(辅助节点升级为主节点)
-
恢复主要节点上的备份,然后系统会触发一项同步操作,将数据从主要节点复制到辅助节点
注 |
当您将辅助管理节点提升为主 PAN 位置时,主节点将承担辅助角色。这会导致主节点和辅助节点重新启动,从而导致延迟。 |
在部署中设置两个节点的指南
使用两个节点设置思科 ISE-PIC 之前,请仔细阅读以下声明。
-
为两个节点选择同一网络时间协议 (NTP) 服务器。要避免节点之间发生时区问题,您必须在每个节点的设置过程中提供同一 NTP 服务器名称。此设置可确保来自部署中的各种节点的报告和日志与时间戳始终同步。
-
安装思科 ISE-PIC 时配置思科 ISE-PIC 管理员密码。以前的思科 ISE-PIC 管理员默认登录凭证 (admin/cisco) 不再有效。使用初始设置过程中创建的用户名和密码或当前密码(如果后来更改了密码)。
-
配置域名系统 (DNS) 服务器。在 DNS 服务器中输入部署中包含的两个思科 ISE-PIC 节点的 IP 地址和完全限定域名 (FQDN)。否则,节点注册将失败。
- 从 DNS 服务器为高可用性部署中的两个思科 ISE-PIC 节点配置正向和反向 DNS 查找。否则,在注册并重新启动思科 ISE-PIC 节点时可能会遇到部署相关问题。如果没有为两个节点配置反向 DNS 查找,则性能可能会降低。
-
(可选)从 PAN 对辅助思科 ISE-PIC 节点取消注册以从中卸载思科 ISE-PIC。
-
确保即将注册为辅助节点的 PAN 和独立节点运行的是同一版本的思科 ISE-PIC。
查看部署中的节点
在部署节点 (Deployment Nodes) 窗口,可以查看部署中的 ISE-PIC 节点(主节点和辅助节点)。
过程
步骤 1 |
登录主思科 ISE-PIC 管理员门户。 |
步骤 2 |
选择 。列出部署中的所有思科 ISE 节点。 |
注册辅助思科 ISE-PIC 节点
注册辅助节点后,辅助节点的配置会被添加到主要节点的数据库中,而辅助节点上的应用服务器会重启。完成重新启动后,可以查看您在 PAN 的“部署”(Deployment) 页面中做出的所有配置更改。但是,您的更改会延迟 5 分钟生效并出现在部署 (Deployment) 页面中。
过程
步骤 1 |
登录到 PAN。 |
步骤 2 |
选择 。 |
步骤 3 |
在添加辅助节点 (Add Secondary Node) 部分中,输入辅助思科 ISE 节点的 DNS 可解析主机名。 如果在注册思科 ISE-PIC 节点时使用主机名,则准备注册的独立节点的完全限定域名 (FQDN) 必须从可 PAN 进行 DNS 解析,例如 abc.xyz.com。否则,节点注册将失败。您必须事先在 DNS 服务器中定义辅助节点的 IP 地址和 FQDN。 |
步骤 4 |
在“用户名”(Username) 和“密码” (Password) 字段中输入独立节点的基于 UI 的管理员凭证。 |
步骤 5 |
单击保存 (Save)。 思科 ISE-PIC 会与辅助节点通信,获取一些基本信息,例如主机名、默认网关等,并显示这些信息。 |
当辅助节点注册到部署时,节点将重新启动,这可能需要 5 分钟才能在“部署”(Deployment) 页面显示辅助节点信息。
成功注册辅助节点后,“部署”(Deployment) 页面会在辅助节点 (Secondary Node) 部分显示此节点的详细信息。
成功注册辅助节点后,您会在 PAN 上收到确认节点注册成功的警报。如果辅助节点与 PAN 注册失败,则不会生成警报。节点注册后,该节点上的应用服务器会重启。注册成功和数据库同步成功后,请输入主要管理节点的凭证登录到辅助节点的用户界面。
注 |
除了部署中现有的主要节点外,当您成功注册新的节点时,不会显示新注册节点的对应警报。配置更改警报则会反应新注册节点的对应信息。您可以使用此信息确定新节点是否注册成功。 |
同步主要和辅助思科 ISE-PIC 节点
只能通过主 PAN 对思科ISE-PIC的配置进行更改。系统会将配置更改复制到所有辅助节点。如果出于某些原因未能正常执行复制,则可以手动同步辅助 PAN 与主 PAN。
过程
步骤 1 |
登录到主 PAN。 |
步骤 2 |
选择 。 |
步骤 3 |
选中要与主 PAN 同步的节点旁边的复选框,然后单击同步 (Syncup) 强制执行数据库完全复制。 |
手动将辅助 PAN 升级为主 PAN
如果主 PAN 出现故障则必须手动将辅助 PAN 升级为新的主 PAN。
开始之前
确保已配置第二个思科ISE-PIC节点,以将其升级为主 PAN。
过程
步骤 1 |
登录辅助 PAN GUI。 |
步骤 2 |
选择 。 |
步骤 3 |
单击升级为主节点 (Promote to Primary)。 |
步骤 4 |
单击保存 (Save)。 |
下一步做什么
如果原来为主 PAN 的节点恢复运行,则会自动降级成为辅助 PAN。必须对此节点(原来为主 PAN)执行手动同步,才能将其恢复到部署中。
从部署中删除节点
要从部署中删除节点,您必须取消注册该节点。已取消注册的节点会成为独立思科 ISE-PIC 节点。
取消注册节点时,终端数据将丢失。如果您希望节点在成为独立节点后保留终端数据,可以从主 PAN 获取备份,并在节点上恢复此数据备份。
可以在主 PAN 的部署 (Deployment) 窗口中查看这些更改。但是,预计更改会延迟 5 分钟生效并显示在部署 (Deployment) 窗口上。
开始之前
要从部署中删除节点,您必须取消注册该节点。从 PAN 取消注册辅助节点时,被取消注册的节点的状态更改为独立,主节点和辅节点之间的连接将丢失。复制更新不再发送到被取消注册的独立节点。
在从部署中删除某个辅助节点之前,请对思科 ISE-PIC 配置执行备份,稍后可在需要时恢复该备份。
过程
步骤 1 |
选择 。 |
步骤 2 |
单击辅助节点详细信息旁的取消注册 (Deregister)。 |
步骤 3 |
单击确定 (OK)。 |
步骤 4 |
验证在主 PAN 上是否收到警报,以确认辅助节点成功取消注册。如果从主 PAN 取消注册辅助节点失败,则不会生成警报。 |
更改思科 ISE-PIC 节点的主机名或 IP 地址
可以更改独立思科 ISE-PIC 节点的主机名、IP 地址或域名。不能使用 localhost 作为节点的主机名。
开始之前
如果思科 ISE-PIC 节点是两节点部署的一部分,必须将其从部署中删除并确保该节点为独立节点。
过程
步骤 1 |
从思科 ISE CLI 使用 hostname 、ip address 、 或 ip domain-name 命令更改思科 ISE-PIC 节点的主机名或 IP 地址。 |
||
步骤 2 |
从思科 ISE CLI 使用 application stop ise 命令重置思科 ISE-PIC 应用配置以重新启动所有服务。 |
||
步骤 3 |
如果思科 ISE-PIC 节点为两节点部署的一部分,则将其注册到主 PAN。
将思科 ISE-PIC 注册为辅助节点后,主 PAN 会将 IP 地址、主机名或域名中的更改复制到您的分布式部署中另一个思科 ISE-PIC 节点。 |
更换思科 ISE-PIC 设备硬件
仅应在思科 ISE-PIC 设备硬件出现问题时更换硬件。对于任何软件问题,可以重新映像该设备并重新安装思科 ISE-PIC 软件。
过程
步骤 1 |
在新的节点上重新映像或重新安装思科 ISE-PIC 软件。 |
步骤 2 |
借助 UDI 获取主要和辅助 PAN 的许可证,并安装到主 PAN 上。 |
步骤 3 |
恢复所更换的主 PAN 上的备份。 |
步骤 4 |
通过主 PAN 将新节点注册为辅助服务器。 |