思科安全网络服务器 3500/3600 系列设备和虚拟机要求

思科 ISE 的硬件和虚拟设备要求

思科身份服务引擎 (ISE) 可以安装在思科 SNS 硬件或虚拟设备上。为了实现可与思科 ISE 硬件设备相媲美的性能和可扩展性,为虚拟机分配的系统资源应与为思科 SNS 3500 或 3600 系列设备分配的系统资源相当。本节列出安装思科 ISE 所需的硬件、软件和虚拟机要求。


强化您的虚拟环境,并确保所有安全更新都是最新的。思科对于虚拟机监控程序中发现的任何安全问题概不负责。

思科安全网络服务器 3500 和 3600 系列设备

有关思科安全网络服务器 (SNS) 硬件设备规范,请参阅思科安全网络服务器产品手册中的“表 1:产品规范”。

有关思科 SNS 3500 系列设备,请参阅 Cisco SNS-3500 系列设备硬件安装指南

有关思科 SNS 3600 系列设备,请参阅 Cisco SNS-3600 系列设备硬件安装指南

思科 ISE 3.1 不支持思科 SNS 3515 设备。有关思科 ISE 3.1 支持的硬件平台的信息,请参阅支持的硬件

思科 ISE 的 VMware 虚拟机要求

您可以使用 VMware 迁移功能在主机之间迁移虚拟机 (VM) 实例(运行任何角色)。思科 ISE 支持热迁移和冷迁移。

  • 热迁移也称为实时迁移或 vMotion。热迁移期间无需关闭或关闭思科 ISE。您可以在不中断其可用性的情况下迁移思科 ISE VM。

  • 思科 ISE 必须关闭并关闭电源才能进行冷迁移。思科 ISE 不允许在迁移期间停止或暂停数据库操作。因此,请确保思科 ISE 在冷迁移期间未运行且未处于活动状态。


    您必须先使用 application stop 命令,然后再使用 halt 命令或关闭虚拟机,以便防止出现数据库损坏问题。

小心

如果在 VM 上启用了快照功能,可能会损坏 VM 配置。如果发生此问题,您需要重新映像 VM 并禁用 VM 快照。

VMware 快照用于保存 VM 在给定时间点的状态,因此思科 ISE 不支持使用 VMware 快照备份 ISE 数据。在多节点思科 ISE 部署中,所有节点中的数据都与当前数据库信息保持同步。恢复快照可能会导致数据库复制和同步问题。建议您使用思科 ISE 中包含的备份功能来存档和恢复数据。使用 VMware 快照备份 ISE 数据将导致停止思科 ISE 服务。需要重启才能激活 ISE 节点。

思科 ISE 提供以下 OVA 模板,可供您在虚拟机 (VM) 上安装和部署思科 ISE 使用:

  • ISE-3.2.0.542-virtual-SNS3615-SNS3655-300.ova

  • ISE-3.2.0.542-virtual-SNS3615-SNS3655-600.ova

  • ISE-3.2.0.542-virtual-SNS3655-SNS3695-1200.ova

  • ISE-3.2.0.542-virtual-SNS3695-1800.ova

    如果要将 SNS 3695 OVA 模板导入 VMware vCenter 内容库,可以使用 ISE-3.2.0.542-virtual-SNS3695-1800.ova 模板。此 OVA 模板类似于 ISE-3.2.0.542-virtual-SNS3695-2400.ova 模板,但保留的磁盘大小已从 2400 GB 减少到 1800 GB,以解决 Vmware vCenter 内容库中的限制阻止导入磁盘大小超过 2 TB 的 OVA。

  • ISE-3.2.0.542-virtual-SNS3695-2400.ova

300 GB OVA 模板足以用于作为专用策略服务的思科 ISE 节点或 pxGrid 节点。

建议用 600 GB 和 1.2 TB OVA 模板来满足运行管理或监控角色的 ISE 节点的最低要求。

如果您需要自定义磁盘大小、CPU 或内存分配,可以使用标准 .iso 映像手动部署思科 ISE。但是,务必要确保满足本文档中指定的最低要求和资源预留。OVA 模板可以通过自动应用每个平台所需的最少资源来简化 ISE 虚拟设备部署。

表 1. OVA 模板预留

OVA 模板类型

CPU 数量

CPU 预留 (MHz)

内存 (GB)

内存预留 (GB)

评估

4

无预留。

16

无预留。

超小型

8

8000

32

32

小型

16

16,000

32

32

24

24,000

96

96

大型

24

24,000

256

256

  • 您只能在超小型虚拟机上启用 PSN 角色。此节点不支持 PAN 和 MnT 角色。

  • 只有会话数少于或多于 500,000 的部署才支持超小型 VM。

强烈建议您保留 CPU 和内存资源以匹配资源配置。否则可能会严重影响 ISE 的性能和稳定性。

有关支持的操作系统的信息,请参阅虚拟机支持的操作系统

有关思科 SNS 设备的产品规格的信息,请参阅思科安全网络服务器产品手册

下表列出了 VMware 虚拟机要求。

表 2. VMware 虚拟机要求

要求类型

规范

CPU

  • 评估

    • 时钟速度:2.0 GHz 或更快

    • 核心数量:4 个 CPU 核心

  • 生产

    • 时钟速度:2.0 GHz 或更快

    • 核心数量:

      • SNS 3500 系列设备:

        • 中型:16

        • 大型:16

           

          由于超线程,核心数量相当于思科安全网络服务器 3500 系列中核心数量的两倍。

      • SNS 3600 系列设备:

        • 超小型:8

        • 小型:16

        • 中型:24

        • 大型:24

           

          由于超线程,核心数量相当于思科安全网络服务器 3600 系列中核心数量的两倍。例如,对于小型网络部署,您必须分配 16 个 vCPU 核心才能满足 SNS 3615(包含 8 个 CPU 核心或 16 个线程)的 CPU 规格。

内存

  • 评估:16 GB

  • 生产

    • 超小型:32 GB

    • 小型:32 GB (SNS 3615)

    • 中型:64 GB (SNS 3595) 和 96 GB (SNS 3655)

    • 大型:256 GB,用于 SNS 3695

硬盘

  • 评估300 GB

  • 生产

    300 GB 至 2.4 TB 磁盘存储(大小取决于部署和任务)。

    请在以下链接查看 VM 的建议磁盘空间:磁盘空间要求

    建议您的虚拟机主机服务器使用最低转速为 10,000 RPM 的硬盘。

     

    为思科 ISE 创建虚拟机时,请使用单个虚拟磁盘来满足存储要求。如果使用多个虚拟磁盘来满足磁盘空间要求,安装程序可能无法识别所有磁盘空间。

存储和文件系统

思科 ISE 虚拟设备的存储系统要求的写入性能最低为每秒 50 MB,读取性能最低为每秒 300 MB。部署的存储系统应满足这些性能条件并受 VMware 服务器的支持。

您可以使用 show tech-support 命令查看读取和写入性能指标。

我们推荐使用 VMFS 文件系统,因为它经过了最广泛的测试,不过如果其他文件系统、传输和媒体满足上述要求,也是可以部署的。

磁盘控制器

半虚拟化或 LSI 逻辑并行

为了获得最佳性能和冗余,建议使用缓存 RAID 控制器。RAID 10(也称为 1+0)等控制器选项比 RAID 5 等选项提供的整体写入性能和冗余要高。此外,带后备电池的控制器缓存可以大幅提高写入操作性能。

 

将 ISE VM 的磁盘 SCSI 控制器从其他类型更新为 VMware Paravirtual 可能会导致其无法引导。

网卡

需要 1 个 NIC 接口(建议使用两个或更多 NIC;支持六个 NIC)。思科 ISE 支持 E1000 和 VMXNET3 适配器。

 

我们建议您选择 E1000 以确保在默认情况下使用正确的适配器顺序。如果选择 VMXNET3,可能必须重新映射 ESXi 适配器,以使其与 ISE 适配器顺序同步。

VMware 虚拟硬件版本/虚拟机监控程序

  • OVA 模板:ESXi 6.7 及更高版本以及 ESXi 7. x 上的 VMware 版本 14 或更高版本。

  • ISO 文件支持 ESXi 6.5 或更高版本。

思科 ISE 的 Linux KVM 要求

表 3. Linux KVM 虚拟机要求

要求类型

最低要求

CPU

  • 评估

    • 时钟速度:2.0 GHz 或更快

    • 核心数量:4 个 CPU 核心

  • 生产

    • 时钟速度:2.0 GHz 或更快

    • 核心数量:

      • SNS 3500 系列设备:

        • 中型:16

        • 大型:16

           

          由于超线程,核心数量相当于思科安全网络服务器 3500 系列中核心数量的两倍。

      • SNS 3600 系列设备:

        • 超小型:8

        • 小型:16

        • 中型:24

        • 大型:24

           

          由于超线程,核心数量相当于思科安全网络服务器 3600 系列中核心数量的两倍。例如,对于小型网络部署,您必须分配 16 个 vCPU 核心才能满足 SNS 3615(包含 8 个 CPU 核心或 16 个线程)的 CPU 规格。

内存

  • 评估:16 GB

  • 生产

    • 超小型:32 GB

    • 小型:32 GB (SNS 3615)

    • 中型:64 GB (SNS 3595) 和 96 GB (SNS 3655)

    • 大型:256 GB

硬盘

  • 评估300 GB

  • 生产

    300 GB 至 2.4 TB 磁盘存储(大小取决于部署和任务)。

    请在以下链接查看 VM 的建议磁盘空间:磁盘空间要求

    建议您的虚拟机主机服务器使用最低转速为 10,000 RPM 的硬盘。

     

    为思科 ISE 创建虚拟机时,请使用单个虚拟磁盘来满足存储要求。如果使用多个虚拟磁盘来满足磁盘空间要求,安装程序可能无法识别所有磁盘空间。

KVM 磁盘设备

磁盘总线 - virtio,缓存模式 - 无,I/O 模式 - 本机

使用预分配的 RAW 存储格式。

网卡

需要 1 个 NIC 接口(建议使用两个或更多 NIC;支持六个 NIC)。思科 ISE 支持 VirtIO 驱动程序。我们建议使用 VirtIO 驱动程序以提高性能。

虚拟机监控程序

QEMU 2.12.0-99 上的 KVM

思科 ISE 的 Microsoft Hyper-V 要求

表 4. Microsoft Hyper-V 虚拟机要求

要求类型

最低要求

CPU

  • 评估

    • 时钟速度:2.0 GHz 或更快

    • 核心数量:4 个 CPU 核心

  • 生产

    • 时钟速度:2.0 GHz 或更快

    • 核心数量:

      • SNS 3500 系列设备:

        • 中型:16

        • 大型:16

          由于超线程,核心数量相当于思科安全网络服务器 3500 系列中核心数量的两倍。

      • SNS 3600 系列设备:

        • 超小型:8

        • 小型:16

        • 中型:24

        • 大型:24

           

          由于超线程,核心数量相当于思科安全网络服务器 3600 系列中核心数量的两倍。例如,对于小型网络部署,您必须分配 16 个 vCPU 核心才能满足 SNS 3615(包含 8 个 CPU 核心或 16 个线程)的 CPU 规格。

内存

  • 评估:16 GB

  • 生产

    • 超小型:32 GB

    • 小型:32 GB (SNS 3615)

    • 中型:64 GB (SNS 3595) 和 96 GB (SNS 3655)

    • 大型:256 GB

硬盘

  • 评估300 GB

  • 生产

    300 GB 至 2.4 TB 磁盘存储(大小取决于部署和任务)。

    请在以下链接查看 VM 的建议磁盘空间:磁盘空间要求

    建议您的虚拟机主机服务器使用最低转速为 10,000 RPM 的硬盘。

 

为思科 ISE 创建虚拟机时,请使用单个虚拟磁盘来满足存储要求。如果使用多个虚拟磁盘来满足磁盘空间要求,安装程序可能无法识别所有磁盘空间。

网卡

需要 1 个 NIC 接口(建议使用两个或更多 NIC;支持六个 NIC)。

虚拟机监控程序

Hyper-V (Microsoft)

思科 ISE 的 Nutanix AHV 要求

思科 ISE 必须使用标准思科 ISE.iso 映像在 Nutanix AHV 上部署。Nutanix AHV 不支持使用 OVA 模板部署思科 ISE。

下表指定在 Nutanix AHV 上为不同类型的部署建议的资源预留:

类型 CPU 数量 CPU 预留 (MHz) 内存 (GB) 内存预留 (GB) 硬盘

评估

4

无预留

16

无预留

200 GB

超小型

8

8,000

32

32

300 GB
小型 16 16,000 32 32 600 GB
24 24,000 96 96 1.2 TB
大型 24 24,000 256 256 2.4 TB(拆分为 4*600 GB)

在继续安装思科 ISE 之前,您必须在 Nutanix AHV 上执行以下配置:

  • 在 Nutanix AHV 上创建虚拟机 (VM) 并关闭 VM 电源。

  • 使用 ssh login 访问 Nutanix CVM 并运行以下命令:

    • $acli

    • <acropolis> vm.serial_port_create <Cisco ISE VM Name> type=kServer index=0

    • <acropolis> vm.update <Cisco ISE VM Name> disable_branding=true

    • <acropolis> vm.update <Cisco ISE VM Name> extra_flags=”enable_hyperv_clock=False”

  • 退出 Acropolis CLI 并打开 VM 电源,以便使用 standard.iso 映像继续安装思科 ISE。

表 5. Nutanix AHV 要求

要求类型

最低要求

CPU

  • 评估:

    • 时钟速度:2.0 GHz 或更快

    • 核心数量:2 个 CPU 核心

  • 生产:

    • 时钟速度:2.0 GHz 或更快

    • 核心数量

      • 超小型 - 8 个处理器(4 个启用了超线程的核心)

      • 小型 - 12 个处理器(6 个启用了超线程的核心)

      • 大型 - 16 个处理器(8 个启用了超线程的核心)

思科 ISE 支持超线程。我们建议您启用超线程(如果可用)。

 

尽管超线程可能会提高整体性能,但它不会改变每个虚拟机设备所支持的扩展限制。此外,您仍必须根据所需的物理核心数量而不是逻辑处理器的数量来分配 CPU 资源。

内存

  • 评估:

    • 基本 - 4 GB(用于评估访客访问和基本访问策略流)

    • 高级 - 16 GB(用于评估高级功能,例如 pxGrid、内部 CA、SXP、设备管理和被动身份服务)

  • 生产:

    • 小型 - 16 GB

    • 大型 - 64 GB

硬盘

  • 评估:200 GB

  • 生产:

    200 GB 至 2 TB 的磁盘存储(大小取决于部署和任务)。

    我们建议您的 VM 主机服务器使用最低转速为 10,000 RPM 的硬盘。

     

    对于 2.4 TB 硬盘支持,必须使用 4*600 GB。

KVM 磁盘设备

磁盘总线 - SCSI

网卡

需要 1 GB NIC 接口(建议使用两个或多个 NIC;支持六个 NIC)。思科 ISE 支持 VirtIO 驱动程序。我们建议使用 VirtIO 驱动程序以提高性能。

虚拟机监控程序

AOS - 5.20.1.1 LTS, Nutanix AHV - 20201105.2096

思科 ISE on VMware 云解决方案

在任何公共云平台上,您必须配置 VPN 以实现从 VMware 引擎到本地部署以及其他所需设备和服务的可访问性。您可以在以下公共云平台上部署思科 ISE on VMware 云解决方案:

  • 在 Amazon Web 服务 (AWS) 上的 VMware 云: 在 AWS 上 VMware 云提供的软件定义的数据中心 (SDDC) 上托管思科 ISE 。在 VMware 云上(在 网络和安全 > 安全 > 网关防火墙设置 窗口中)配置适当的安全组策略,使本地部署以及其他所需的设备和服务可达。

  • Azure VMware 解决方案:Azure VMware 解决方案在 Microsoft Azure 上本地运行 VMware 工作负载。您可以将思科 ISE 托管为 VMware 虚拟机。

  • Google 云 VMware 引擎:Google 云 VMware 引擎运行 VMware 的软件定义的数据中心。您可以使用 VMware 引擎将思科 ISE 作为 VMware 虚拟机托管。

思科 ISE 的虚拟机设备大小建议

用于监控节点的大型 VM 在思科 ISE 2.4 中引入。 在大型 VM 上部署监控角色可提高对实时日志查询和报告完成的响应速度,从而改进性能。


此外形规格仅可在版本 2.4 及更高版本中用作 VM,并需要大型 VM 许可证。

虚拟机 (VM) 设备规格应可与生产环境中运行的物理设备相当。

为设备分配资源时,请记住以下准则:

  • 未能分配指定的资源可能会导致性能降级或服务故障。强烈建议您部署专用 VM 资源,不要在多个访客 VM 之间共享或超订用资源。使用 OVF 模板部署思科 ISE 虚拟设备可确保为每个 VM 分配足够的资源。如果不使用 OVF 模板,请确保在使用 ISO 映像手动安装思科 ISE 时分配同等的资源预留。


    如果您选择手动部署思科 ISE 而没有分配建议的预留,则必须负责密切监控设备的资源利用率,并根据需要增加资源,以确保思科 ISE 部署正常运行。


    OVF 模板不适用于 Linux KVM。OVF 模板仅适用于 VMware 虚拟机。

  • 如果使用 OVA 模板进行安装,请在安装完成后检查以下设置:

    • 确保分配资源预留,此预留在思科 ISE 的 VMware 虚拟机要求部分的 CPU/内存预留 (Reservation) 字段(编辑设置 (Edit Settings) 窗口的虚拟硬件 (Virtual Hardware) 选项卡下)指定,以确保思科 ISE 部署正常运行。

    • 确保 CPU 限制 (CPU Limit) 字段(编辑设置 (Edit Settings) 窗口的虚拟硬件 (Virtual Hardware) 选项卡下)中的“CPU 使用”(CPU usage) 设置为无限制 (Unlimited)。设置 CPU 使用限制(例如将 CPU 使用限制设置为12000 MHz)会影响系统性能。如果已设置限制,则必须关闭 VM 客户端,删除限制,然后重新启动 VM 客户端。

    • 确保内存限制 (Memory Limit) 字段(编辑设置 (Edit Settings) 窗口的虚拟硬件 (Virtual Hardware) 选项卡下)中的“内存使用”(memory usage) 设置为无限制 (Unlimited)。设置内存使用限制(例如将限制设置为 12000 MB)会影响系统性能。

    • 确保在硬盘 (Hard Disk) 区域中将共享 (Shares) 选项设置为高 (High)编辑设置 (Edit Settings) 窗口的虚拟硬件 (Virtual Hardware) 选项卡下)。

      管理和 MnT 节点很大程度上依赖磁盘使用率。使用共享磁盘存储 VMware 环境可能会影响磁盘性能。必须增加分配给节点的磁盘共享数,才能提高节点的性能。

  • 在 VM 上部署策略服务节点时,其磁盘空间可以少于管理或监控节点。任一生产思科 ISE 节点的最小磁盘空间为 300 GB。有关各种思科 ISE 节点和角色所需的磁盘空间的详细信息,请参阅

  • VM 可配置有 1 至 6 个 NIC。建议预留 2 个或更多 NIC。其他接口可用于支持各种服务,例如分析、访客服务或 RADIUS。


VM 上的 RAM 和 CPU 调整不需要重新映像。

思科 ISE 部署中的虚拟机磁盘空间要求

下表列出针对在生产部署中运行虚拟机建议的思科 ISE 磁盘空间分配。

必须在 VM 设置的引导模式下将固件从 BIOS 更改为 EFI,才能引导 2 TB 或更大容量的 GPT 分区。

表 6. 建议的虚拟机磁盘空间

思科 ISE 角色

用于评估的最小磁盘空间

用于生产的最小磁盘空间

用于生产的建议磁盘空间

最大磁盘空间

独立 ISE

300 GB

600 GB

600 GB 至 2.4 TB

2.4 TB

分布式思科 ISE,仅管理

300 GB

600 GB

600 GB

2.4 TB

分布式思科 ISE,仅监控

300 GB

600 GB

600 GB 至 2.4 TB

2.4 TB

分布式思科 ISE,仅策略服务

300 GB

300 GB

300 GB

2.4 TB

分布式思科 ISE,仅 pxGrid

300 GB

300 GB

300 GB

2.4 TB

分布式思科 ISE,管理和监控(以及可选的 pxGrid)

300 GB

600 GB

600 GB 至 2.4 TB

2.4 TB

分布式思科 ISE,管理、监控和策略服务(以及可选的 pxGrid)

300 GB

600 GB

600 GB 至 2.4 TB

2.4 TB


当主管理节点临时成为监控节点时,需要额外的磁盘空间来存储本地调试日志、暂存文件以及在升级期间处理日志数据。

思科 ISE 的磁盘空间准则

在决定思科 ISE 的磁盘空间时,请记住以下准则:

  • 思科 ISE 必须安装在虚拟机中的单个磁盘上。

  • 磁盘分配根据日志记录保留要求而异。在已启用监控角色的任何节点上,30% 的虚拟机磁盘空间分配用于日志存储。具有 25,000 个终端的部署每天会生成大约 1 GB 的日志。

    例如,如果您具有包含 600 GB VM 磁盘空间的监控节点,则 360 GB 将分配用于日志存储。如果每天 100,000 个终端连接到此网络,则每天会生成大约 4 GB 的日志。在此情况下,您可以在监控节点中存储 76 天的日志,此后必须将旧数据转移到存储库并从监控数据库中将其清除。

为进行额外的日志存储,您可以增大 VM 磁盘空间。每增加 100 GB 磁盘空间,即可额外获得 60 GB 用于日志存储。

如果在初始安装后增加虚拟机磁盘大小,请执行思科 ISE 全新安装。全新安装有助于正确检测和利用完整的磁盘分配。

下表根据分配的磁盘空间以及连接至网络的终端数,列出了 RADIUS 日志可以在监控节点上保留的天数。天数基于以下假设:启用日志记录抑制后,每个终端每天进行十次或更多身份验证。

表 7. 监控节点日志存储 - RADIUS 的保留期(天)

终端数

300 GB

600 GB

1024 GB

2048 GB

5,000

504

1510

2577

5154

10,000

252

755

1289

2577

25,000

101

302

516

1031

50,000

51

151

258

516

100,000

26

76

129

258

150,000

17

51

86

172

200000

13

38

65

129

250,000

11

31

52

104

500,000

6

16

26

52

下表根据分配的磁盘空间以及连接至网络的终端数,列出了 TACACS+ 日志可以在监控节点上保留的天数。天数基于以下假设:脚本针对所有 NAD 运行,每天运行 4 个会话,每个会话运行 5 个命令。

表 8. 监控节点日志存储 - TACACS+ 保留期(天)

终端数

300 GB

600 GB

1024 GB

2048 GB

100

12,583

37,749

64,425

128,850

500

2,517

7,550

12,885

25,770

1,000

1,259

3,775

6,443

12,885

5,000

252

755

1,289

2,577

10,000

126

378

645

1,289

25,000

51

151

258

516

50,000

26

76

129

258

75,000

17

51

86

172

100,000

13

38

65

129

增加磁盘大小

如果发现情景与可视性功能较慢,或者日志空间不足,则必须分配更多磁盘空间。

要计划更多的日志存储,每增加 100 GB 磁盘空间,就有 60 GB 可用于日志存储。

要让 ISE 检测和利用新磁盘分配,您必须取消注册节点,更新 VM 设置,然后重新安装 ISE。一种方法是在更大的新节点上安装 ISE,并将此节点作为高可用性添加到部署中。节点同步后,将新 VM 设置为主 VM,并取消注册原有 VM。

减小磁盘大小

在 VM 上安装思科 ISE 后,您不得减少 VM 预留。如果将 VM 内存减少到低于思科 ISE 服务的要求,则思科 ISE 服务会因为资源不足而无法启动。

在安装思科 ISE 后,如果必须重新配置 VM,请执行以下步骤:

  1. 执行思科 ISE 备份。

  2. 根据需要使用更改后的 VM 配置来重新映像思科 ISE。

  3. 恢复思科 ISE。