思科 ISE 的部署

思科 ISE 部署术语

讨论思科 ISE 部署场景时,通常会使用以下术语:

  • 服务:服务是角色提供的特定功能,例如网络访问、分析器、终端安全评估、安全组访问、监控和故障排除等。

  • 节点:节点是运行思科 ISE 软件的单个实例。思科 ISE 可用作设备以及用作能够在 VMware 上运行的软件。运行思科 ISE 软件的每个实例(设备或 VMware)叫节点。

  • 角色:节点的角色决定节点提供的服务。思科 ISE 节点可以承担以下任意角色:管理、策略服务、监控和 pxGrid。通过管理员门户可用的菜单选项取决于思科 ISE 节点承担的职责和角色。

  • 部署模式:决定您的部署是分布式、独立式还是作为基本双节点部署的独立式高可用性部署。

分布式思科 ISE 部署中的角色

思科 ISE 节点可以承担管理、策略服务或监控角色。

思科 ISE 节点可以根据它承担的角色提供各种服务。部署中的每个节点均可承担管理、策略服务和监控角色。在分布式部署中,您可以在网络中使用以下节点组合:

  • 支持高可用性的主策略管理节点(主 PAN)和辅助策略管理节点(辅助 PAN)

  • 支持高可用性的主监控节点(主 MnT 节点)和辅助监控节点(辅助 MnT 节点)

  • 用于主 PAN 自动故障转移的一对运行状况检查节点或单个运行状况检查节点

  • 用于会话故障转移的一个或多个策略服务节点 (PSN)

配置思科 ISE 节点

在安装思科 ISE 节点后,系统会在其上运行管理、策略服务和监控角色提供的默认服务。此节点将处于独立状态。您必须登录思科 ISE 节点的 Admin 门户进行配置。您无法编辑独立思科 ISE 节点的角色或服务。但是,您可以编辑主要和辅助思科 ISE 节点的角色和服务。您必须先配置主要 ISE 节点,然后向主要 ISE 节点注册辅助 ISE 节点。

如果首次登录节点,您必须更改默认管理员密码并安装有效许可证。

我们建议不要更改生产中在思科 ISE 上配置的主机名和域名。如有必要,则在初始部署期间为设备重置映像,执行更改,并配置详细信息。

开始之前

您应该对如何在思科 ISE 中设置分布式部署有基本了解。有关详细信息,请参阅分布式部署设置指南

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 部署 (Deployment)

步骤 2

选中您要配置的思科 ISE 节点旁边的复选框,然后点击编辑

步骤 3

按照需要输入相应值,然后点击保存

配置主策略管理节点

要设置分布式部署,必须首先将思科 ISE 节点配置为主 PAN。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 部署 (Deployment)

注册按钮默认禁用。要启用此按钮,请配置主 PAN。

步骤 2

选中当前节点旁的复选框,然后点击编辑

步骤 3

点击设为主 (Make Primary) 以配置主 PAN。

步骤 4

点击保存,保存节点配置。

下一步做什么

  1. 向您的部署添加辅助节点。

  2. 如有必要,请启用分析器服务并配置探测功能。

注册思科 ISE 辅助节点

您可以将思科 ISE 节点注册到主 PAN 以形成多节点部署。部署中除主 PAN 以外的节点称为辅助节点。在注册节点时,可以选择必须在节点上启用的角色和服务。已注册的节点可通过主 PAN 进行管理。例如,您可以管理节点角色、服务、证书、许可证、应用软件补丁等。

注册辅助节点后,主 PAN 会将配置数据推送到辅助节点,而辅助节点上的应用服务器会重启。数据复制完成后,在主 PAN 上进行的任何后续配置更改也会复制到辅助节点。这些更改在辅助节点上完成复制所需的时间取决于多种因素,如网络延迟、系统负载等。

开始之前

确保主 PAN 和待注册节点能够解析彼此的 DNS 名称。如果待注册节点使用不受信任的自签证书,会弹出证书警告和证书详情提示。如果接受该证书,则会将其添加到主 PAN 的受信任证书存储区,以启用与节点的 TLS 通信。

如果节点使用非自签证书(例如,由外部 CA 签名),则必须将该节点的相关证书链手动导入到主 PAN 的受信任证书库。当将辅助节点的证书导入受信任证书库时,请选中受信任证书 (Trusted Certificates) 窗口中的信任 ISE 中的身份验证 (Trust for Authentication within ISE) 复选框,以便主 PAN 验证辅助节点的证书。

在注册启用了会话服务(如网络访问、访客、终端安全评估等)的节点时,可以将其添加到节点组。有关更多详细信息,请参阅创建策略服务节点组

过程

步骤 1

登录到主 PAN。

步骤 2

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 部署 (Deployment)

步骤 3

点击注册 (Register) 以开始注册辅助节点。

步骤 4

输入要注册的独立节点的可 DNS 解析的完全限定域名 (FQDN)(格式为“主机名.域名”,例如 abc.xyz.com)。主 PAN 和待注册节点的 FQDN 必须能够相互解析。

步骤 5

用户名 (Username)密码 (Password) 字段中,输入辅助节点的基于 GUI 的管理员凭证。

步骤 6

点击下一步

主 PAN 会在节点注册后尝试建立 TLS 通信(首次)。

  • 如果该节点使用受信任证书,可直接进入步骤 7。

  • 如果节点使用了不受信任的自签证书,则证书警告消息显示有关证书的详细信息(如颁发给、颁发者、序列号等),可对照节点上的实际证书进行验证。点击导入证书并继续 (Import Certificate and Proceed) 选项以信任此证书并继续注册。思科 ISE 会将该节点的默认自签证书导入到主 PAN 的受信任证书库。如果不想使用默认的自签证书,请点击取消注册 (Cancel Registration) 并将该节点的相关证书链手动导入到主 PAN 的受信任证书库。当将辅助节点的证书导入到受信任证书库时,请选中相应 PAN 旁边的信任 ISE 内部的身份验证 (Trust for Authentication within ISE) 复选框,以验证辅助节点的证书。

  • 如果该节点使用 CA 签名证书,会显示错误消息,指出必须先建立证书信任才能继续注册。

步骤 7

选中复选框,以便选择要在节点上启用的角色和服务,然后点击保存

节点注册后,主 PAN 会生成一条确认节点已添加到部署的告警。您可以在思科 ISE GUI 控制面板告警 Dashlet 中查看此告警。已注册节点完成同步并重启后,您可以使用登录主 PAN 的相同凭证登录辅助节点的 GUI。

下一步做什么

  • 对于访客用户访问、授权和日志记录等对时间敏感的任务,请确保节点上的系统时间已同步。

  • 如果您注册了辅助 PAN,并计划使用内部思科 ISE CA 服务,则必须备份主 PAN 的思科 ISE CA 证书和密钥,并在辅助 PAN 恢复这些证书和密钥。

支持多种部署方案

思科 ISE 可部署在企业基础设施中,支持为有线、无线和虚拟专用网络 (VPN) 提供 802.1X 功能。

思科 ISE 架构同时支持独立和分布式(也称为高可用性冗余)部署,其中一台计算机承担主要角色,另一台 备份计算机承担辅助角色。思科 ISE 具有不同的可配置角色、服务和职责,允许创建和应用网络中所需的思科 ISE 服务。这样得到的是一个用作功能齐全的集成式系统的全面思科 ISE 部署。

思科 ISE 节点可部署以下一种或多种角色:管理 、监控和策略服务。每个角色在整体网络策略管理拓扑中发挥不同但很重要的作用。使用管理角色安装思科 ISE,可以从集中式门户配置和管理网络以提高效率和易用性。

思科 ISE 分布式部署

具有不止一个思科 ISE 节点的部署称作分布式部署。要支持故障切换和提高性能,您可以以分布式方式为您的部署设置多个思科 ISE 节点。在思科 ISE 分布式部署中,管理和监控活动会进行集中,而处理则分布在多个 PSN 上。根据您对性能的要求,您可以扩展您的部署。部署中的每个思科 ISE 节点都可以担任其中任何一个角色 - 管理、策略服务和监控。

思科 ISE 部署设置

在所有节点上安装思科 ISE 后,如《思科身份服务引擎硬件安装指南》所述,节点显示为独立状态。然后必须定义一个节点作为主 PAN。定义主 PAN 时,必须在该节点上启用管理和监控角色。您可以在主 PAN 上选择启用策略服务角色。在主 PAN 上完成定义角色的任务后,可以向主 PAN 注册其他辅助节点,为辅助节点定义角色。

所有与思科 ISE 系统和功能相关的配置都只能在 PAN 上执行。您在 PAN 上进行的配置更改会复制到部署中的所有辅助节点。

分布式部署中必须至少有一个 MnT。配置主 PAN 时,必须启用监控角色。在部署中注册 MnT 节点后,如果需要,可以编辑主 PAN 并禁用监控角色。

从思科 ISE 主节点到辅助节点的数据复制

当您将思科 ISE 节点注册为辅助节点时,思科 ISE 会立即创建一个从主节点到辅助节点的数据复制通道并开始执行复制进程。复制是指将思科 ISE 配置数据从主节点共享到辅助节点的过程。复制可确保部署中的所有思科 ISE 节点的配置数据一致。从思科 ISE 版本 3.3 开始,动态发现的终端不再自动复制到思科 ISE 部署中的所有节点。在终端复制 (Endpoint Replication) 窗口(管理 (Administration) > 系统 (System) > 设置 (Settings) > 终端复制 (Endpoint Replication)中点击相应的单选按钮,以便启用或禁用在思科 ISE 部署中的所有节点之间复制动态发现的终端:

  • 点击将终端复制到所有节点 (Replicate endpoints to all nodes),以启用将终端信息复制到思科 ISE 部署中的所有节点。

  • 点击禁用终端复制到所有节点 (Disable endpoint replication to all nodes),以禁用将终端信息复制到思科 ISE 部署中的所有节点。默认情况下,此选项已选中。

静态配置的终端、从 CSV 文件导入的终端、使用 OpenAPI 创建的终端以及启用访客和安全评估的终端将在所有思科 ISE 节点之间自动复制。

要使用 OpenAPI 启用或禁用终端复制,请参阅《思科 ISE API 参考指南》。

首次将思科 ISE 节点注册为辅助节点时,通常会进行完全复制。完全复制后会进行增量复制。它可确保 PAN 中配置数据的任何新更改(如添加、修改或删除)都能在辅助节点中体现。复制过程可确保部署中的所有思科 ISE 节点保持同步。在思科 ISE 管理员门户的部署窗口中,可从节点状态列查看复制状态。当您将思科 ISE 节点注册为辅助节点或执行与 PAN 的手动同步时,节点状态显示橙色图标,表示正在进行所请求的操作。同步完成后,节点状态将变为绿色。这表明辅助节点已与 PAN 同步。


  • “禁用终端向所有节点的复制”不会导致数据丢失,因为它仅停止动态终端的复制。

  • 如果思科 ISE 复制中的主节点无法向辅助节点发布事件,且未发布的事件数量超过 150 万,系统会将所有辅助节点标记为“不同步”。

    如果已发布序列与辅助节点消耗复制事件的序列之间的差值超过 200 万,系统会将这些特定的 PSN 标记为“不同步”。

思科 ISE 节点注销

要从部署中删除节点,您必须对该节点取消注册。从主 PAN 取消注册辅助节点时,被取消注册的节点的状态更改为独立,主节点和辅助节点之间的连接将丢失。复制更新不再发送到被取消注册的独立节点。

取消注册 PSN 时,终端数据将丢失。如果您希望 PSN 在成为独立节点后保留终端数据,可以执行以下任一操作:

  • 从主 PAN 获取备份,并在 PSN 成为独立节点时在其上恢复此数据备份。

  • 将 PSN 的角色更改为“管理”(Administration)(辅助 PAN),从管理员门户的部署 (Deployment) 窗口同步数据,然后取消注册节点。此节点现在拥有所有数据。然后可以将辅助 PAN 添加至现有部署。


无法取消注册主 PAN。

思科 ISE 部署中的节点状态

表 1. 思科 ISE 节点状态

节点状态

说明

准则

互联

节点已连接,复制工作正常。

-

复制已停止

节点已连接,但复制已停止。可在端口 443 和 12001 上访问该节点。

这是一种临时状态,在解决基本复制问题后会发生变化。

潜在问题可能会自行解决。否则,请登录到思科 ISE GUI 并从部署 (Deployment) 窗口执行手动同步。

节点不可达

节点在 443 端口上无法访问,但复制功能正常。

当根本问题解决后,节点可能会自行恢复。否则,请登录到思科 ISE GUI 并从部署 (Deployment) 窗口执行手动同步。

已断开

节点无法访问且复制已停止。

如果节点关闭超过五分钟,则会设置此状态。

当根本问题解决后,节点可能会自行恢复。否则,请登录到思科 ISE GUI 并从部署 (Deployment) 窗口执行手动同步。

注册失败

节点注册失败。

执行手动同步。取消注册并重新注册受影响的思科 ISE 节点。

进行中

正在进行节点注册或手动同步。

目前,正在进行状态的超时值为 300 分钟,在此之后状态将更改为:

  • 如果注册或手动同步成功,则连接成功。

  • 如果节点注册失败,则注册失败。

  • 如果手动同步失败,则不同步。

如果状态更改为“已连接”(Connected),则无需执行任何操作。如果它变成“注册失败”或“不同步”,请检查相应的行并执行必要的操作。

不同步。

节点不同步。

执行手动同步。取消注册并重新注册受影响的思科 ISE 节点。

正在升级

节点正在升级。

-

分布式部署设置指南

在分布式环境中设置思科 ISE 前,请仔细阅读以下说明:

  • 选择思科 ISE 服务器节点类型。对于管理、策略服务和监控功能,必须选择思科 ISE 节点。

  • 为所有节点选择同一网络时间协议 (NTP) 服务器。为避免节点间的时区问题,确保每个节点设置时配置相同的 NTP 服务器。此设置可确保来自部署中的各种节点的报告和日志与时间戳始终同步。

  • 安装思科 ISE 时配置思科 ISE 管理员密码。以前的思科 ISE 管理员默认登录凭证 (admin/cisco) 不再有效。使用初始设置过程中创建的用户名和密码或当前密码(如果后来更改了密码)。

  • 配置 DNS 服务器。在 DNS 服务器中输入分布式部署中包含的所有思科 ISE 节点的 IP 地址和完全限定域名 (FQDN)。否则,节点注册将失败。

  • 在 DNS 服务器中为分布式部署中的所有思科 ISE 节点配置正向和反向 DNS 查找。否则,在注册并重新启动思科 ISE 节点时可能会遇到部署相关问题。如果未为所有节点配置反向 DNS 查找,则性能可能会降低。

  • (可选)从主 PAN 注销辅助思科 ISE 节点以从中卸载思科 ISE。

  • 备份主 MnT 并将数据还原到新的辅助 MnT,以确保其历史数据同步,因为新的更改会被复制。

  • 确保即将注册为辅助节点的主 PAN 和独立节点运行的是同一版本的思科 ISE。

  • 在将其他节点添加到部署之前,在思科 ISE 主 PAN 上启用内部 CA 设置 (Internal CA Settings),以确保思科 ISE 证书服务按预期运行。要启用内部 CA 设置,点击菜单图标 () 并选择管理 > 系统 > 证书 > 证书颁发机构 > 内部 CA 设置

  • 在向部署中添加新节点时,请确保通配符证书的颁发者证书链是新节点的受信任证书的一部分。将新节点添加到部署中时,通配符证书会被复制到新节点。

  • 在将思科 ISE 部署配置为支持思科 TrustSec 时,或者在思科 ISE 与 Cisco Catalyst Center 集成时,请勿将 PSN 配置为仅 SXP。SXP 是思科 TrustSec 和非思科 TrustSec 设备之间的接口。SXP 不与支持思科 TrustSec 的网络设备通信。

主节点和辅助节点上可用的菜单选项

作为分布式部署组成部分的思科 ISE 节点中可用的菜单选项取决于在节点上启用的角色。您必须通过主 PAN 执行所有管理和监控活动。对于其他任务,您必须使用辅助节点。因此,根据辅助节点上启用的角色,辅助节点的用户界面提供有限的菜单选项。

如果节点担任不止一个角色,例如某个主职责同时具备策略服务角色和监控角色,则针对 PSN 和主 MnT 列出的菜单选项在该节点上可用。

下表列出在担任不同角色的思科 ISE 节点上可用的菜单选项。

表 2. 思科 ISE 节点和可用的菜单选项

思科 ISE 节点

可用的菜单选项

所有节点

  • 查看和配置系统时间以及 NTP 服务器设置。

  • 安装服务器证书并管理证书签名请求。您可以通过集中管理所有服务器证书的主 PAN 为该部署中的所有节点执行服务器证书操作。

     

    私钥不存储于本地数据库中,也不从相关节点复制。私钥存储于本地文件系统中。

主策略管理节点(主 PAN)

所有菜单和子菜单。

主监控节点(主 MnT 节点)

  • 提供对监控数据的访问。

     

    只能从主 PAN 查看操作 (Operations) 菜单。操作 (Operations) 菜单不会在监控节点中显示。

PSN(策略服务节点)

加入、离开和测试 Active Directory 连接的选项可用。必须单独将每个 PSN 加入到 Active Directory 域中。必须先定义域信息并且将 PAN 联接到 Active Directory 域中。然后,逐一将其他 PSN 加入到 Active Directory 域中。

辅助策略管理节点(辅助 PAN)

将辅助 PAN 升级为主 PAN 的选项。

 

在向主 PAN 注册了辅助节点之后,在登录任意辅助节点的管理员门户时,您必须使用主 PAN 的登录凭证。

部署和节点设置

您可以通过部署节点 (Deployment Nodes) 窗口配置思科 ISE(PAN、PSN 和 MnT)节点并设置部署。

部署节点列表窗口

下表介绍了部署节点列表 (Deployment Nodes List) 窗口上的字段,您可以使用此窗口在部署中配置思科 ISE 节点。要查看此处窗口,请点击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 部署 (Deployment)

表 3. 部署节点列表

字段名称

使用指南

主机名

显示节点的主机名。

相关角色

(只有在节点类型为思科 ISE 时才显示)列出思科 ISE 节点承担的角色,例如管理、策略服务、监控或 pxGrid。

例如,管理 (Administration)策略服务 (Policy Service)监控 (Monitoring)pxGrid

角色

如果在此节点上启用了管理和监控角色,则指示管理和监控角色承担的职责(主要、辅助或独立职责)。职责可以是以下一项或多项:

  • PRI(A):指主 PAN。

  • SEC(A):指辅助 PAN。

  • PRI(M):指主 MnT。

  • SEC(M):指辅助 MnT。

服务

(只有在启用策略服务角色时才显示)列出此思科 ISE 节点上运行的服务。服务可包括以下任意一项:

  • 身份映射

  • 会话

  • 剖析

  • 全部

节点状态

指示部署中每个思科 ISE 节点的数据复制状态:

  • 绿色(已连接):表示部署中已注册的思科 ISE 节点与主 PAN 处于同步状态。

  • 红色(断开):表示思科 ISE 节点无法到达、已断开或未进行数据复制。

  • 橙色(处理中):表示向主 PAN 新注册了新思科 ISE 节点、您已执行手动同步操作或思科 ISE 节点与主 PAN 不同步。

有关详细信息,请点击节点状态列中每个思科 ISE 节点的快速查看图标。

常规节点设置

下表介绍思科 ISE 节点常规设置页面中的字段。在此窗口中,可以将角色分配给节点并配置要在其上运行的服务。要查看此页面,请导航至管理 > 系统 > 部署 > 部署节点 > 编辑 > 常规设置
表 4. 常规节点设置
字段名称 使用指南
主机名 显示思科 ISE 节点的主机名。
FQDN 显示思科 ISE 节点的完全限定域名,例如 ise1.cisco.com。
IP 地址 显示思科 ISE 节点的 IP 地址。
节点类型 显示节点类型。
相关角色
管理

如果思科 ISE 节点承担管理角色,请启用此切换按钮。只有在受许可提供管理服务的节点上才可以启用 Administration 角色。

角色 (Role) - 显示管理角色在部署中承担的职责。个人可以选择其中一种值 - 独立 (Standalone)主要 (Primary)辅助 (Secondary)

设为主要 (Make Primary) - 选择它可使该节点成为主思科 ISE 节点。每个部署最多只能有一个思科 ISE 主节点。当您将此节点设置为主要节点之后,此窗口中的其他选项将进入活动状态。在部署中您只能有两个 Administration 节点。如果节点具有独立 (Standalone) 角色,则旁边会显示设为主要 (Make Primary) 按钮。如果节点具有辅助 (Secondary) 角色,则旁边会显示升级为主要 (Promote to Primary) 按钮。如果节点具有主要 (Primary) 角色,并且没有其他节点注册到该节点,则旁边会显示设为独立 (Make Standalone) 按钮。点击设为独立 (Make Standalone) 按钮以使您的主要节点成为独立节点。

监控

如果要思科 ISE 节点承担监控角色并充当日志收集器,请点击此切换按钮。分布式部署中必须至少有一个监控节点。配置主 PAN 时,必须启用监控角色。在部署中注册辅助监控节点之后,如有必要,可以编辑主 PAN 和禁用监控角色。

要在 VMware 平台上将思科 ISE 节点配置为您的日志收集器,请使用这些规定确定您所需要的最低磁盘空间:您的网络中每天每个终端 180 KB,您的网络中每天每个思科 ISE 节点 2.5 MB。

您可以根据您想要将多少个月的数据至于监控模式下,计算您所需的最大磁盘空间。如果您的部署中只有一个监控节点,则该节点会承担独立职责。如果在部署中有两个监控节点,思科 ISE 还会显示另一个监控节点的名称以供您配置主要/辅助角色。要配置这些角色,请选择以下选项之一:

  • 主 (Primary):使当前节点成为主监控节点。

  • 辅助 (Secondary):使当前节点成为辅助监控节点。

  • 无 (None) - 如果要使监控节点不承担主要-辅助角色。

如果您将您的一个监控节点配置为主要或辅助节点,另一个监控节点相应地自动成为辅助或主要节点。主要监控节点和辅助监控节点都接收管理和策略服务日志。如果将一个监控节点的角色改为无 (None),则另一个监控节点的角色也会成为无 (None),从而会在您将某个节点指定为监控节点之后取消高可用性对。您会在远程日志记录目标页面中发现此节点被列为系统日志目标管理 > 系统 > 日志记录 > 远程日志记录目标
策略服务 点击此切换按钮可启用以下任一或所有服务:

  • 启用会话服务 (Enable Session Services):选中此复选框可启用网络访问、终端安全评估、访客和客户端调配服务。从在节点组中包含节点 (Include Node in Node Group) 下拉列表中选择此策略服务节点所属的组。请注意,证书颁发机构 (CA) 和安全传输注册 (EST) 服务只能在已启用会话服务的策略服务节点上运行。

    对于在节点组中包含节点 (Include Node in Node Group),如果不希望此策略服务节点加入某个组,请选择无 (None)

    同一个节点组中的所有节点都应在网络接入设备上配置为 RADIUS 客户端,并获 CoA 授权,因为这些节点中的任何一个节点均可为通过节点组中的任何节点建立的会话发出 CoA 请求。如果您未使用负载均衡器,则节点组中的节点应与在 NAD 上配置的 RADIUS 服务器和客户端相同,或作为 RADIUS 服务器和客户端的子集。这些节点还将配置为 RADIUS 服务器。

    虽然单个 NAD 可以配置多个思科 ISE 节点以作为 RADIUS 服务器和动态授权客户端,但节点不必全部位于同一个节点组。

    节点组成员应通过高速 LAN 连接(如千兆以太网)连接。虽然节点组成员不需要在第二层相邻,但是我们依然建议节点组成员在第 2 层相邻,以确保足够的宽带和可达性。有关详细信息,请参阅创建策略服务节点组

  • 启用分析服务 (Enable Profiling Service):选中此复选框可启用分析服务。如果启用分析服务,必须点击分析配置 (Profiling Configuration) 选项卡并根据要求输入详细信息。当您启用或禁用策略服务节点上运行的任意服务或对此节点做任何更改时,您将重新启动运行这些服务的应用服务器进程。这些服务重新启动时,预计会有延迟。您可以从 CLI 使用 show application status ise 命令,确定何时在节点上重新启动了应用服务器。

  • 启用威胁中心 NAC 服务 (Enable Threat Centric NAC Service):选中此复选框可启用威胁中心网络访问控制 (TC-NAC) 功能。通过此功能,您可依据威胁和漏洞适配器发送的威胁和漏洞属性创建授权策略。威胁严重级别和漏洞评估结果可用于动态控制终端或用户的访问级别。

    从思科 ISE 版本 3.5 补丁 2 开始,针对主 TC-NAC 节点故障提供高可用性和故障切换支持。

    现在,您可以定义两个 TC-NAC 节点:一个主节点和一个辅助节点,其中主节点承担活动 TC-NAC 角色,辅助节点承担辅助 TC-NAC 角色。

    要将独立节点设为活动主 TC-NAC 节点,请将其角色从“独立”更改为“主”。如果您的部署中只有一个 TC-NAC 节点,它会自动承担主 TC-NAC 角色。如果您的部署中有两个 TC-NAC 节点,可以配置主-辅助角色。要配置这些角色,请从下拉列表中选择一个选项。

    • :当前节点作为主 TC-NAC 节点。

    • 辅助:当前节点作为辅助 TC-NAC 节点。

     

    一个部署中最多只能有两个 TC-NAC 节点。

    任何时候,只能有一个 TC-NAC 节点充当主节点。要将辅助 TC-NAC 节点升级为主节点,必须先将当前主 TC-NAC 节点切换为辅助节点。然后,您可以将辅助 TC-NAC 节点的角色更改为主角色。TC-NAC 节点状态的所有更改都会记录在更改配置审核中。

    在 PSN 上进行身份验证时,您的身份验证请求会发送到 MnT 节点。然后 MnT 节点会将此会话信息(包括 IP 地址)同步到部署中的主 TC-NAC 节点和辅助 TC-NAC 节点。因此,MnT 节点会随着每个已认证会话更新并同步两个 TC-NAC 节点。

    TC-NAC 的高可用性依赖 MnT 节点提供更新的同步信息。如果 MnT 节点无法访问,TC-NAC 节点将无法接收当前会话数据。这可能会中断 TC-NAC 的高可用性和故障切换流程。

  • 启用 SXP 服务:要在节点上启用 SXP 服务,请选中此复选框并指定要使用的接口。如果已配置 NIC 绑定或组合,则还会在使用接口下拉列表中列出绑定接口以及网络接口。

    IPv4 地址IPv6 地址字段用作 SXP 连接的源地址。选择接口后,这些字段会自动填充。

    • 如果未为所选接口配置任何 IPv4 或 IPv6 地址,两个字段均保持空白,表示该接口无法用于 SXP。

    • 如果配置了多个 IPv6 地址,请从下拉列表中选择一个。

    • 如果仅存在 IPv6 地址,IPv4 地址字段会灰显。如果仅存在 IPv4 地址,IPv6 地址字段为空。

    • 如果两者都存在,两个字段均为只读。

    与 SXP 对等体建立连接时,所选地址用作源 IP。

    • 如果向 PSN 添加 IPv6 SXP 对等体,系统会使用该 PSN 的 IPv6 地址(如部署页面上所选)作为源 IP。

    • 如果配置 IPv4 SXP 对等体,会使用 IPv4 地址作为源 IP。

    • 如果所选 SXP 接口仅具有 IPv4 地址,而您尝试配置 IPv6 SXP 对等体,连接创建会被拒绝,因为此时 PSN 仅支持 IPv4。

    节点 ID 是一个 IPv4 地址,用于在网络中唯一标识此 SXP 节点。如果接口仅具有 IPv4 地址或双栈地址,该地址会自动填充到节点 ID 字段中。但是,如果接口仅使用 IPv6 地址,您必须输入一个 IPv4 地址。

     

    如果在仅支持 IPv6 的思科 ISE 版本 3.5 环境中启用 SXP,升级后且添加任何 SXP 连接之前,必须在部署页面更新节点 ID。但是,如果是从 IPv4 环境或双栈环境升级,则无需执行类似操作。

  • 启用设备管理员服务 (Enable Device Admin Service):选中此复选框可创建 TACACS 策略集和策略结果等,以便控制和审计网络设备的配置。

  • 启用被动身份服务 (Enable Passive Identity Service):选中此复选框可启用身份映射功能。通过此功能,您可以监控已通过域控制器身份验证,但未通过思科 ISE 身份验证的用户。在思科 ISE 不主动对用户进行网络访问身份验证的网络中,您可以使用身份映射功能从 Active Directory 域控制器收集用户身份验证信息。

pxGrid 选中此复选框可启用 pxGrid 角色。这允许 Cisco pxGrid 从思科 ISE 会话目录向其他策略网络系统(如思科自适应安全设备 (ASA))共享情景相关信息。此 pxGrid 框架还可用于在节点之间交换策略和配置数据,例如在思科 ISE 和第三方供应商之间共享标签和策略对象,以及交换威胁信息等非思科 ISE 相关信息。

分析节点设置

下表介绍分析配置窗口中的字段,您可使用这些字段为分析器服务配置探测功能。要访问此窗口,点击 管理 > 系统 > 部署 > ISE 节点 > 编辑 > 分析配置
表 5. 分析节点设置
字段名称 使用指南

NetFlow

点击此切换按钮可针对承担策略服务角色的每个思科 ISE 节点启用 NetFlow,以便接收从路由器发送的 NetFlow 数据包。为以下选项输入所需的值:

  • 接口 (Interface):选择思科 ISE 节点上的接口。

  • 端口 (Port):输入从路由器接收 NetFlow 导出数据的 NetFlow 侦听器端口号。默认端口为 9996。

DHCP

点击此切换按钮可针对承担策略服务角色的每个思科 ISE 节点启用 DHCP,以便侦听来自 IP 帮助程序的 DHCP 数据包。为以下选项输入值:

  • 接口 (Interface):选择思科 ISE 节点上的接口。

  • 端口 (Port):输入 DHCP 服务器 UDP 端口号。默认端口为 67。

DHCP SPAN

点击此切换按钮可针对承担策略服务角色的每个思科 ISE 节点启用 DHCP,以便收集 DHCP 数据包。

  • 接口 (Interface):选择思科 ISE 节点上的接口。

HTTP

点击此切换按钮可针对承担策略服务角色的每个思科 ISE 节点启用 HTTP,以便接收并解析 HTTP 数据包。

  • 接口 (Interface):选择思科 ISE 节点上的接口。

RADIUS

点击此切换按钮可针对承担策略服务角色的每个思科 ISE 节点启用 RADIUS 服务器,以便收集 RADIUS 会话属性,以及来自已启用思科 IOS 传感器的设备的思科设备协议 (CDP) 和链路层发现协议 (LLDP) 属性。

Network Scan (NMAP)

点击此切换按钮可启用 NMAP 探测。

DNS

点击此切换按钮可针对承担策略服务角色的每个思科 ISE 节点启用 DNS,以便对 FQDN 执行 DNS 查找。以秒为单位输入超时 (Timeout) 期间。

 
要使 DNS 探测功能在分布式部署中特定思科 ISE 节点上运行,您必须启用这些探测功能 - DHCP、DHCP SPAN、HTTP、RADIUS 或 SNMP。对于 DNS 查找,必须连同 DNS 探测功能一起启用这些探测功能之一。

SNMP Query

点击此切换按钮可针对承担策略服务角色的每个思科 ISE 节点启用 SNMP 查询,以便按照指定的间隔轮询网络设备。在重试 (Retries)超时 (Timeout)事件超时 (Event Timeout)(必填)和说明 (Description)(可选)字段中输入值。

 
除配置 SNMP 查询探测功能之外,还必须在管理 (Administration) > 网络资源 (Network Resources) > 网络设备 (Network Devices) 中配置其他 SNMP 设置。当在网络设备上配置 SNMP 设置时,请确保在网络设备上全局启用 CDP 和 LLDP。

SNMP 陷阱

点击此切换按钮可针对承担策略服务角色的每个思科 ISE 节点启用 SNMP 陷阱探测,以便从网络设备接收链路接通、链路断开和 MAC 通知陷阱。提供或启用以下信息:

  • 链接陷阱查询 (Link Trap Query)启用此切换按钮可接收和解释通过 SNMP 陷阱接收的通知。

  • MAC 陷阱查询 (MAC Trap Query)启用此切换按钮可接收和解释通过 SNMP 陷阱接收的 MAC 通知。

  • 接口 (Interface):选择思科 ISE 节点上的接口。

  • 端口 (Port):输入要使用的主机 UDP 端口。默认端口为 162。

Active Directory

点击此切换按钮可扫描所定义的 Active Directory 服务器,以获取有关 Windows 用户的信息。

  • 重新扫描前的天数 (Days before rescan):选择您希望经过多少天后再次运行扫描。

pxGrid

点击此切换按钮可允许思科 ISE 通过 pxGrid 收集(配置文件)终端属性。

日志记录设置

下面的小节解释了如何配置调试日志的严重性、创建外部日志目标,并使思科 ISE 能够将日志消息发送到这些外部日志目标。

远程日志目标设置

下表介绍远程日志目标窗口中的字段,您可使用这些字段创建外部位置(系统日志服务器)来存储日志消息。要访问此窗口,管理 > 系统 > 日志记录 > 远程日志记录目标,然后点击添加

表 6. 远程日志目标设置

字段名称

使用指南

名称

为新的系统日志目标输入名称。

目标类型

从下拉列表中选择目标类型。默认值为 UDP 系统日志 (UDP Syslog)

说明

输入新目标的简短说明。

IP 地址

输入将存储日志的目标计算机的 IP 地址或主机名。 思科 ISE 支持 IPv4 和 IPv6 格式的日志记录。

端口

输入目标计算机的端口号。

设施代码

从下拉列表中选择必须用于记录的系统日志设备代码。有效选项为 Local0 至 Local7。

最大长度

输入远程日志目标消息的最大长度。有效值为 200 至 1024 字节。

包括此目标的警报 (Include Alarms For This Target)

选中此复选框时,警报消息也会发送到远程服务器。

符合 RFC 3164 (Comply to RFC 3164)

如果选中此复选框,发送到远程服务器的系统日志消息中的分隔符(如 , ; { } \)即使前面带有反斜杠,也不会被转义。

服务器关闭时缓冲消息

当您从目标类型 (Target Type) 下拉列表中选择 TCP 系统日志 (TCP Syslog)安全系统日志 (Secure Syslog) 时,系统会显示此复选框。如果希望思科 ISE 在 TCP 系统日志目标或安全系统日志目标不可用时缓冲系统日志消息,请选中此复选框。思科 ISE 会在与目标的连接恢复时重新尝试将消息发送到目标。连接恢复后,将按从最旧到最新的顺序发送消息。缓冲消息会始终在新消息之前发送。如果缓冲区已满,则会丢弃旧消息。

缓冲区大小 (MB)

为每个目标设置缓冲区大小;默认值为 100 MB。

 

更改此大小会清除缓冲区,并导致该目标的所有现有缓冲消息丢失。

重新连接超时(秒)

输入时间(以秒为单位),以便配置在服务器关闭的情况下,TCP 和安全系统日志在被丢弃之前将会保留多长时间。

选择 CA 证书

当您从目标类型 (Target Type) 下拉列表中选择 安全系统日志 (Secure Syslog) 时,系统会显示此下拉列表。从下拉列表中选择一个客户端证书。

忽略服务器证书验证

当您从目标类型 (Target Type) 下拉列表中选择 安全系统日志 (Secure Syslog) 时,系统会显示此复选框。选中此复选框,以便让思科 ISE 忽略服务器证书身份验证并接受任何系统日志服务器。 默认情况下,除非在禁用此复选框时系统处于 FIPS 模式,否则此选项设置为关闭。

为安全系统日志目标连接配置客户端身份验证

从思科 ISE 版本 3.3 开始,当客户端尝试连接到安全系统日志目标时,客户端身份验证为必填项。要进行客户端身份验证,必须将要与思科 ISE 服务器共享的证书导入思科 ISE 受信任证书存储区。此受信任证书必须在公用名 (CN) 或使用者备用名称 (SAN) 字段中包含客户端主机名。

如果有两个独立的思科 ISE 节点,其中一个是客户端,另一个是远程系统日志目标,请执行以下步骤。在本示例中,10.0.0.1 是客户端,10.0.0.2 是远程系统日志目标:

  1. 在 10.0.0.1 的远程日志记录目标 (Remote Logging Targets) 窗口中,配置新的远程系统日志目标,并在主机/IP 地址 (Host/IP Address) 字段中填入 10.0.0.2

  2. 在 10.0.0.2 的远程日志记录目标 (Remote Logging Targets) 窗口中,启用默认的 SecureSyslogCollector

  3. 将 10.0.0.1 的受信任证书上传到 10.0.0.2 的受信任证书存储区。

    • 在 10.0.0.1 的远程系统日志目标配置中,如果您在选择 CA 证书 (Select CA Certificate) 字段中选择自签名证书,则将此自签名证书上传为 10.0.0.2 中的受信任证书。

    • 在 10.0.0.1 上的选择 CA 证书字段中选择第三方 CA 证书时,请在 10.0.0.2 上上传根 CA 证书和 CA 签名证书链作为受信任证书。

  4. 将 10.0.0.2 的受信任证书上传到 10.0.0.1 的受信任证书存储区。

    • 在 10.0.0.2 的远程系统日志目标配置中,如果您在“选择 CA 证书”(Select CA Certificate) 字段中选择自签名证书,请将此自签名证书上传为 10.0.0.1 中的受信任证书。

    • 在 10.0.0.2 系统上,如果在“选择 CA 证书”字段中选择了第三方 CA 证书,则应在 10.0.0.1 上上传根 CA 证书和 CA 签名证书链作为受信任证书。

  5. 10.0.0.2 将配置的证书(在 CA 上签名)发送到 10.0.0.1 进行身份验证。

  6. 10.0.0.1 接收来自 10.0.0.2 的证书,并使用已配置的受信任证书进行响应,以完成身份验证工作流程。

配置日志记录类别

下表介绍可用于配置日志类别的字段。设置日志严重性级别,然后为日志记录类别的日志选择日志记录目标。要访问此窗口,选择管理 (Administration) > 系统 (System) > 日志记录 (Logging) > 日志记录类别 (Logging Categories)

点击要查看的日志类别旁边的单选按钮,然后点击编辑。下表对日志记录类别的编辑窗口中显示的字段进行了说明。

表 7. 日志类别设置

字段名称

使用指南

名称

显示日志记录类别的名称。

日志严重性级别

对于某些日志记录类别,默认情况下会设置此值,并且您无法对其进行编辑。对于某些日志记录类别,您可以从下拉列表中选择以下严重性级别之一:

  • 严重 (FATAL):紧急级别。此级别意味着您无法使用思科 ISE,并且必须立即采取必要的操作。

  • 错误 (ERROR):此级别表示严重错误情况。

  • 警告 (WARN):此级别表示正常但值得注意的情况。这是会为很多日志记录类别设置的默认级别。

  • 信息 (Info):此级别表示供参考的消息。

  • 调试 (DEBUG):此级别表示诊断错误消息。

本地日志记录

选中此复选框可为本地节点上的类别启用日志记录事件。

目标

该区域允许您使用左侧和右侧图标在可用 (Available)所选 (Selected) 区域之间转移目标,从而更改类别的目标。

可用 (Available) 区域包含本地(预定义)和外部(用户定义)的现有日志记录目标。

选定 (Selected) 区域最初为空,然后会显示为该类别选择的目标。

管理员访问设置

您可以通过这些部分来为管理员配置访问设置。

管理员密码策略设置

下表介绍了密码策略 (Password Policy) 选项卡中的字段,可以使用此选项卡来定义管理员密码应满足的条件。要查看此处窗口,请点击菜单 图标 (),然后选择管理 (Administration) > 系统 (System) > 管理员访问权限 (Admin Access) > 身份验证 (Authentication) > 密码策略 (Password Policy)

表 8. 管理员密码策略设置

字段名称

使用指南

最小长度 (Minimum Length)

指定密码的最小长度(以字符数为单位)。默认值为 6 个字符。

密码不得包含 (Password must not contain)

管理员名称或其反向顺序的字符 (Admin name or its characters in reverse order):选中此复选框可限制使用管理员用户名或其反向顺序的字符作为密码。

Cisco 或其反向顺序的字符 (Cisco or its characters in reverse order):选中此复选框可限制使用单词“Cisco”或其反向顺序的字符作为密码。

此单词或其反向顺序的字符 (This word or its characters in reverse order):选中此复选框可限制使用您定义的任何单词或其反向顺序的字符作为密码。

连续重复四次或以上的字符 (Repeated characters four or moretimes consecutively):选中此复选框可限制使用连续重复四次或以上的字符作为密码。

字典单词、其反向顺序的字符或其替换为其他字符的字母 (Dictionary words, their characters in reverse order or their letters replaced with other characters):选中此复选框可限制使用字典单词、其反向顺序的字符或其替换为其他字符的字母作为密码。

不允许用“$”替换“s”、“@”替换“a”、“0”替换“o”、“1”替换“l”、“!”替换“i”、“3”替换“e”等。例如,不允许使用 Pa$$w0rd。

  • 默认字典 (Default Dictionary):选择此选项可在思科 ISE 中使用默认 Linux 字典。此默认字典包含约 480,000 个英文单词。

    默认情况下,此选项已选中。

  • 自定义字典 (Custom Dictionary):选择此选项可使用您自定义的字典。点击选择文件 (Choose File) 以选择自定义字典文件。该文本文件必须每行包含一个 JSON 格式的字词(按换行符分隔的 JSON),扩展名为 .dic,且大小小于 20 MB。

密码必须包含每个所选类型的至少一个字符 (Password must contain at least one character of each of the selected types)

选中管理员密码必须包含的字符类型的复选框。选择以下一个或多个选项:

  • 小写字母字符

  • 大写字母字符

  • 数字字符

  • 非字母数字字符: 支持的特殊字符包括 ! " $ % & ' ( ) * + , - . / : ; ? [ \ ] ^ _ ` { | } ~

密码历史记录 (Password History)

指定必须与新密码不同的先前密码的数量,以防止重复使用同一密码。选中密码必须不同于前 n 个版本 (Password must be different from the previous nversions) 复选框,并在相应字段中输入数字。

输入在其之前不能重复使用密码的天数。选中无法在 n 天内重复使用密码 (Cannot reuse password within n days) 复选框,并在相应字段中输入数字。

密码有效期 (Password Lifetime)

选中以下选项的复选框,以便强制用户在经过指定时间后更改密码:

  • 管理员密码在创建或最后一次更改后的 n 天内失效 (Administrator passwords expire n days after creation or last change):如果此时间(按天计)过后未更改密码,则禁用管理员帐户。有效范围为 1 至 3650 天。

  • 在密码到期前 n 天向管理员发送邮件提醒 (Send an email reminder to administrators n days prior to password expiration):提醒管理员密码到期的时间(以天为单位)。有效范围为 1 至 3650 天。

显示网络设备敏感数据 (Display Network Device-Sensitive Data)

要求管理员密码 (Require Admin Password)

如果您希望管理员用户输入登录密码来查看网络设备敏感数据,例如共享密钥和密码,请选中此复选框。

密码缓存 n 分钟 (Password cached for n Minutes)

管理员用户输入的密码会在此时间段内缓存。在此期间,如果管理员用户要查看网络设备敏感数据,系统不会再次提示输入密码。有效范围为 1 至 60 分钟。

会话超时和会话信息设置

下表介绍会话窗口中的字段,您可使用这些字段定义会话超时并终止活动的管理会话。要访问此窗口,点击菜单图标 () 并选择管理 > 系统 > 管理员访问 > 设置 > 会话

表 9. 会话超时和会话信息设置

字段名称

使用指南

会话超时

会话空闲超时 (Session Idle Timeout)

输入思科 ISE 在管理员因闲置而注销前应等待的分钟数。默认值为 60 分钟。有效范围为 6 至 100 分钟。

会话信息

失效 (Invalidate)

选中要终止的会话 ID 旁边的复选框,然后点击失效

管理节点

通过具有管理角色的思科 ISE 节点,您可以在思科 ISE 上进行所有管理操作。此节点处理与诸如身份验证、授权和审核等功能有关的所有系统相关配置。在分布式环境中,最多可以具有两个运行管理角色的节点。管理角色可以承担以下角色 - 独立角色、主角色或辅助角色。

管理节点的高可用性

在高可用性配置中,主策略管理节点 (PAN) 处于活动状态。辅助 PAN 处于备用状态,这意味着它会从主 PAN 接收所有配置更新,但在思科 ISE 网络中不处于活动状态。

思科 ISE 提供手动和自动故障转移机制。若主策略管理节点 (PAN) 发生故障,辅助 PAN 会自动升级为主节点。自动故障转移需要非管理辅助节点(称为运行状况检查节点)。运行状况检查节点检查主 PAN 的运行状况。如果运行状况检查节点检测到主 PAN 已关闭或无法访问,则它会让辅助 PAN 升级以接管主节点角色。

要部署自动故障切换功能,您必须至少有三个节点,其中两个节点承担管理角色,一个节点充当运行状况检查节点。运行状况检查节点是非管理节点,可以是 PSN 、监控与故障排除 (MnT) 节点、pxGrid 节点,或这些角色的任意组合。如果主 PAN 和辅助 PAN 位于不同的数据中心,则每个 PAN 都必须有运行状况检查节点。

下表列出主 PAN 关闭且辅助 PAN 尚未接管时受影响的功能。

表 10. 功能可用性

功能名称

主 PAN 关闭时是否可用?(是/否)

现有的内部用户 RADIUS 身份验证

现有或新的 AD 用户 RADIUS 身份验证

无配置文件更改的现有终端

有配置文件更改的现有终端

通过分析了解的新终端。

现有访客:本地 Web 身份验证 (LWA)

现有访客:集中式 Web 身份验证 (CWA)

是(除了为设备注册启用的流程之外,例如热点、自带设备和带自动设备注册功能的 CWA)

访客更改密码

访客:AUP

访客:最大登录失败次数实施

新访客(发起或自注册)

安全评估

具有内部 CA 的 BYOD

现有的注册设备

MDM 自行激活服务

pxGrid 服务

系统 360 - 监控

系统 360 – 日志分析

否(当主 PAN 还具有辅助 MNT 角色时)

登录辅助节点的 GUI

是(登录过程延迟,因为对 PAN 发起了阻塞调用以更新上次登录详细信息。在该调用超时后继续登录。)


当主 PAN 宕机且 PSN 的入站身份验证速率超过每秒 100 次时,身份验证响应时间会增加。

要支持使用内部 CA 进行证书调配,在升级后,必须将原始主 PAN 的根证书及其密钥导入新主节点。自动故障切换之后,对于在辅助节点升级为主 PAN 后添加的 PSN 节点,证书调配不起作用。

高可用性运行状况检查节点

主 PAN 的运行状况检查节点称为主动运行状况检查节点。辅助 PAN 的运行状况检查节点称为被动运行状况检查节点。主动运行状况检查节点负责检查主 PAN 的状态,并管理管理节点的自动故障转移。我们建议您使用两个非管理 ISE 节点作为运行状况检查节点,一个用于主 PAN,一个用于辅助 PAN。如果仅使用一个运行状况检查节点,并且该节点发生故障,则不会发生自动故障转移。

当两个 PAN 都位于同一数据中心时,可以使用单个非管理 ISE 节点作为主 PAN 和辅助 PAN 的运行状况检查节点。当一个运行状况检查节点同时检查主 PAN 和辅助 PAN 的运行状况时,它将承担主动和被动两种角色。

运行状况检查节点为非管理节点,意味着它可以是策略服务、监控或 pxGrid 节点,或它们的组合。我们建议将与管理节点处于同一数据中心的 PSN 节点指定为运行状况检查节点。但是,在两个管理节点不在相同位置(局域网或数据中心)的小型部署或集中部署中,没有管理角色的任意节点 (PSN、pxGrid 或 MnT) 都可用作运行状况检查节点。


如果选择不启用自动故障转移,并且在主 PAN 发生故障时依赖手动升级辅助节点,则无需任何检查节点。

辅助 PAN 的运行状况检查节点

辅助 PAN 的运行状况检查节点是一个被动监控器。在辅助 PAN 升级为主 PAN 之前,它不执行任何操作。当辅助 PAN 接管主要节点职责时,其关联的运行状况检查节点会承担主动职责,为管理节点管理自动故障切换。之前主 PAN 的运行状况检查节点现在成为辅助 PAN 的运行状况检查节点,并对其执行被动监控。

禁用和重新启动运行状况检查

当从运行状况检查角色删除某个节点或禁用自动故障转移配置时,系统会在该节点上停止运行状况检查服务。在指定的高可用性运行状况检查节点上启用自动故障转移配置时,节点又开始检查管理节点的运行状况。在节点上指定或删除高可用性运行状况检查角色不涉及在该节点上重新启用应用;系统只会启动或停止运行状况检查活动。

如果高可用性运行状况检查节点重新启动,该节点会忽略主 PAN 的之前停机并重新开始检查运行状态。

运行状况检查节点

活动的运行状况检查节点按照已配置的轮询间隔检查主 PAN 的运行状况。它会向主 PAN 发送请求,如果接收到的响应符合配置,则运行状况检查节点认为主 PAN 的运行状况良好。如果主 PAN 的运行状况持续不佳,超过了所配置的故障转移期,则运行状况检查节点会开始故障转移至辅助 PAN 。

在运行状况检查期间,如果发现之前报告为不佳的运行状况在故障转移期内转为良好,则运行状况检查节点会将主 PAN 的状态标记为良好,并重置运行状况检查周期。

主 PAN 运行状况检查的响应会对照其运行状况检查节点上的配置值进行验证。如果响应不匹配则会发出警报。但是,会向辅助 PAN 发送升级请求。

更改运行状况节点

您可以更改用于运行状况检查的思科 ISE 节点,但需要考虑一些事项。

例如,假定运行状况节点 (H1) 无法同步而另一个节点 (H2) 被指定为主 PAN 的运行状况检查节点。在这种情况下,一旦主 PAN 关闭,H1 就无法获知还存在另一个节点 (H2) 在检查相同的主 PAN。稍后,如果 H2 也关闭或断开网络连接,则需要真正的故障转移。但是,辅助 PAN 会保留拒绝升级请求的权利。因此,一旦辅助 PAN 升级为主要角色,则来自 H2 的升级请求就会被拒绝,并出现错误。即使主 PAN 的运行状况检查节点无法同步,它仍会继续检查主 PAN 的运行状况。

自动故障切换至辅助 PAN

您可以将思科 ISE 配置为在主 PAN 不可用时自动升级辅助 PAN。此配置是在部署 (Deployment) 窗口中的主 PAN 上完成的。要查看此处窗口,请点击菜单 图标 (),然后选择管理 (Administration) > 系统 (System) > 部署 (Deployment)故障转移时间段定义为故障转移前轮询失败次数 (Number of Failure Polls Before Failover) 中配置的次数乘以轮询间隔 (Polling Interval) 中配置的秒数。在默认配置中,该时间为 10 分钟。将辅助 PAN 升级为主 PAN 需要额外 10 分钟。因此,默认情况下,从主 PAN 故障到辅助 PAN 工作的总时间为 20 分钟。

当辅助 PAN 收到故障转移调用时,会在真正执行故障转移前进行以下验证:

  • 主 PAN 在网络中不可用。

  • 故障转移请求来自有效的运行状况检查节点。

  • 故障转移请求面向此辅助 PAN。

如果这些验证全部通过,则辅助 PAN 会自行升级为主角色。

以下是(但不限于)可以尝试辅助 PAN 自动故障转移的部分场景示例:

  • 在轮询期间,就故障转移前轮询失败次数 (Number of failure polls before failover) 值而言,主 PAN 的运行状况持续不佳。

  • 主 PAN 上的思科 ISE 服务被手动停止,并在故障转移期间保持停止状态。

  • 主 PAN 通过软停止或重新启动选项关闭,并在配置的故障转移期间保持关闭状态。

  • 主 PAN 突然关闭(断电),并在故障转移期间保持关闭状态。

  • 主 PAN 的网络接口关闭(网络端口关闭或网络服务停止),或由于任何其他原因导致运行状况检查节点无法与之接通,并在配置的故障转移期间保持关闭状态。

运行状况检查节点重新启动

重新启动后,高可用性运行状况检查节点会忽略主 PAN 之前的停机并重新检查运行状况。

在自动故障转移到辅助 PAN 情况下自带设备

当主 PAN 故障时,对于已具有由主 PAN 根 CA 链颁发的证书的终端,身份验证不会中断。这是因为部署中的所有节点都具有用于信任和验证目的的整个证书链。

但是,在辅助 PAN 升级为主 PAN 之前,不会激活新的自带设备。自带设备激活需要处于活动状态的主 PAN。

当原主 PAN 恢复或升级辅助 PAN 后,新的自带设备终端将激活,不会出现任何问题。

如果发生故障的主 PAN 无法重新作为主 PAN 加入,请在新升级的主 PAN(原辅助 PAN)上重新生成根 CA 证书。

对于现有证书链,触发新的根 CA 证书会自动生成从属 CA 证书。即使生成新的从属证书,由上一个链生成的终端证书也继续有效。

避免自动故障切换时的示例场景

以下是描绘将会避免运行状况检查节点进行自动故障转移或拒绝向辅助节点提出的升级请求的情况的一些示例场景。

  • 收到升级请求的节点不是辅助节点。

  • 辅助 PAN 收到的升级请求没有正确的主 PAN 信息。

  • 从错误的运行状况检查节点收到升级请求。

  • 收到升级请求,但是主 PAN 已启动并处于良好运行状况。

  • 收到升级请求的节点不同步。

受 PAN 自动故障切换功能影响的功能

下表列出如果部署中启用 PAN 自动故障转移配置而被阻止或需要其他配置更改的功能。

功能

受影响的详细信息

被阻止的操作

升级

通过 CLI 的升级被阻止。

默认情况下,此功能处于禁用状态。

要部署自动故障转移功能,您必须至少有三个节点,其中两个节点承担管理角色,一个节点充当运行状况检查节点。(运行状况检查节点为非管理节点,可以是 PSN、MnT 或 pxGrid 节点或其组合)。如果 PAN 位于不同的数据中心,则每个 PAN 都必须有运行状况检查节点。

备份恢复

通过 CLI 和用户界面的恢复操作会被阻止。

如果 PAN 自动故障转移配置已在恢复之前启用,则必须在成功恢复后重新配置。

更改节点角色

通过 GUI 的以下节点角色变更被阻止:

  • 主 PAN 和辅助 PAN 中的管理角色

  • PAN 的角色

  • 在启用 PAN 自动故障转移功能后注销运行状况检查节点

其他 CLI 操作

以下通过 CLI 的管理员操作被阻止:

  • 补丁安装和回滚

  • DNS 服务器更改

  • eth1、eth2 和 eth3 接口的 IP 地址更改

  • eth1、eth2 和 eth3 接口的主机别名更改

  • 时区更改

其他管理门户操作

以下通过 GUI 的管理员操作被阻止:

  • 补丁安装和回滚

  • 更改 HTTPS 证书

  • 将管理员身份验证类型从基于密码的身份验证更改为基于证书的身份验证,或者相反

连接设备最多的用户无法连接。

某些会话数据存储在故障 PAN 上,无法由 PSN 更新。

需要禁用 PAN 自动故障转移的操作

CLI 操作

如果 PAN 自动故障转移配置已启用,则通过 CLI 执行的以下管理操作将显示警告消息。如果服务或系统未在故障转移窗口期内重新启动,则这些操作可能会触发自动故障转移。因此,在执行以下操作时,我们建议禁用 PAN 自动故障转移配置:

  • 手动停止思科 ISE 服务

  • 使用管理员 CLI 对思科 ISE 进行软重新加载(重新引导)

配置自动故障切换的主 PAN

开始之前

要部署自动故障转移功能,您必须至少有三个节点,其中两个节点承担管理角色,一个节点充当运行状况检查节点。运行状况检查节点为非管理节点,可以是 PSN、MnT 或 pxGrid 节点或其组合。如果 PAN 位于不同的数据中心,则每个 PAN 都必须有运行状况检查节点。

过程

步骤 1

登录到主 PAN GUI。

步骤 2

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 部署 (Deployment) > PAN 故障转移 (PAN Failover)

步骤 3

选中启用 PAN 自动故障转移 (Enable PAN Auto Failover) 复选框以启用主 PAN 的自动故障转移。

 

只能将辅助 PAN 升级为主 PAN。仅作为 PSN、MnT 或 pxGrid 节点或其组合的思科 ISE 节点不能升级成为主 PAN。

步骤 4

从包含所有可用辅助节点的主运行状况检查节点 (Primary Health Check Node) 下拉列表中选择主 PAN 的运行状况检查节点。

我们建议将此节点保存在与主 PAN 相同的位置或数据中心。

步骤 5

从包含所有可用辅助节点的辅助运行状况检查节点 (Secondary Health Check Node) 下拉列表中选择辅助 PAN 的运行状况检查节点。

我们建议将此节点保存在与辅助 PAN 相同的位置或数据中心。

步骤 6

轮询间隔 (Polling Interval) 中提供轮询间隔时间,在此时间之后,系统将检查 PAN 状态。有效范围为 30 至 300 秒。

步骤 7

Number of Failure Polls before Failover 提供计数。

如果 PAN 的状态不适用于指定故障轮询次数,将发生故障转移。有效范围为 2 至 60 计数。

步骤 8

点击保存

下一步做什么

将辅助 PAN 升级到主 PAN 之后,请执行以下操作:

  • 手动同步旧的主 PAN 以将其带回至部署中。

  • 手动同步任何其他不同步的辅助节点,以将其带回至部署中。

手动将辅助 PAN 升级为主 PAN

如果主 PAN 出现故障而且您没有配置 PAN 自动故障切换,则必须手动将辅助 PAN 升级为新的主 PAN。

开始之前

确保已配置具有管理角色的第二个思科 ISE 节点,以将其升级为主 PAN。

过程

步骤 1

登录辅助 PAN GUI。

步骤 2

在思科 ISE GUI 中,点击菜单 图标 (),然后选择管理 (Administration) > 系统 (System) > 部署 (Deployment)

步骤 3

编辑节点 (Edit Node) 窗口中,点击升级为主节点 (Promote to Primary)

 

只能将辅助 PAN 升级为主 PAN。仅承担策略服务角色和/或监控角色的思科 ISE 节点无法升级为主 PAN。

如果原来为主 PAN 的节点恢复运行,则会自动降级成为辅助 PAN。必须对此节点(原来为主 PAN)执行手动同步,才能将其恢复到部署中。

在辅助节点的编辑节点 (Edit Node) 页面,无法修改角色或服务,因为这些选项已禁用。您必须登录 Admin 门户才能进行更改。

步骤 4

点击保存

将现有思科 ISE 部署的节点重新用作新思科 ISE 部署的主 PAN

如果要将现有思科 ISE 部署的节点重新用作新思科 ISE 部署的主 PAN,必须执行以下步骤:

过程

步骤 1

按照适用于您的思科 ISE 版本的《思科 ISE 安装指南》所述,运行“思科 ISE 执行系统擦除” 实用程序此文档可从以下网址获取:https://www.cisco.com/c/en/us/support/security/identity-services-engine/products-installation-guides-list.html

步骤 2

按照《思科 ISE 安装指南》所述,执行思科 ISE 的全新安装。

步骤 3

将独立节点配置为主策略管理节点,如配置主策略管理节点中所述。

将服务恢复到主 PAN

思科 ISE 不支持自动回退至原主 PAN。在启动到辅助 PAN 的自动故障切换后,如果将原主 PAN 重新接入网络,则应将其配置为辅助 PAN。

支持管理节点的自动故障切换

思科 ISE 支持管理角色的自动故障转移。要启用自动故障切换功能,分布式设置中至少有两个节点应承担管理角色,一个节点应承担非管理角色。当主 PAN 关闭时,辅助 PAN 会自动升级。为此,系统将非管理辅助节点指定为每个 PAN 的运行状况检查节点。运行状况检查节点按配置的间隔检查主 PAN 的运行状况。如果收到的主 PAN 运行状况检查响应由于设备关闭或无法访问而不理想,运行状况检查节点会启动辅助 PAN 的升级,从而在等待已配置的阈值对应的时间后接管主角色。有些功能在辅助 PAN 自动故障切换后将无法使用。思科 ISE 不支持回退到原始主 PAN。请参阅管理节点的高可用性

策略服务节点

策略服务节点 (PSN) 是承担策略服务角色的思科 ISE 节点,提供网络访问、终端安全评估、访客访问、客户端调配和分析服务。

分布式设置中至少有一个节点应当承担策略服务角色。此角色评估策略并制定所有决策。通常,分布式部署中有多个 PSN。

驻留在同一高速局域网 (LAN) 中或负载均衡器后面的所有 PSN 可以组合在一起,形成一个节点组。如果节点组中的一个节点发生故障,其他节点会检测到故障,并重置 URL 重定向会话(如有)。

策略服务节点的高可用性

要检测节点故障并在故障节点上重置所有 URL 重定向的会话,可将两个或多个 PSN 放置在同一节点组中。当属于节点组的节点出现故障时,同一个节点组中的另一个节点会为故障节点上的所有 URL 重定向会话发出授权更改 (CoA) 请求。

同一个节点组中的所有节点都应在网络接入设备 (NAD) 上配置为 RADIUS 客户端并拥有 CoA 授权,因为这些节点中的任何一个节点均可为通过该节点组中的任一节点建立的会话发出 CoA 请求。如果您未使用负载均衡器,节点组中的节点应与在 NAD 上配置的 RADIUS 服务器和客户端相同,或是 RADIUS 服务器和客户端的子集。这些节点还应配置为 RADIUS 服务器。


虽然单个 NAD 可以配置多个思科 ISE 节点以作为 RADIUS 服务器和动态授权客户端,但节点不必全部位于同一个节点组。

一个节点组中的所有成员应通过高速 LAN 连接(例如,千兆以太网)互相建立连接。虽然节点组成员不需要在第二层相邻,但是我们依然建议节点组成员在第 2 层相邻,以确保足够的宽带和可达性。有关更多详细信息,请参阅创建策略服务节点组

用于在 PSN 之间均匀分配请求的负载均衡器

如果您在部署中具有多个 PSN,则可以使用负载均衡器均匀分配请求。负载均衡器会将请求分配给其后面的功能节点。有关详细信息,请参阅《思科和 F5 部署指南:使用 BIG-IP 的 ISE 负载均衡》,并了解有关在负载均衡器后面部署 PSN 的最佳实践。

策略服务节点中的会话故障切换

节点组中的 PSN 共享会话信息。节点交换心跳消息以检测节点故障。如果某个节点出现故障,其节点组中的一个对等体会了解故障 PSN 上的会话并发出 CoA 以断开这些会话。大多数客户端会自动重新连接并建立新会话。

某些客户端不会自动重新连接。例如,如果客户端通过 VPN 连接,则此客户端可能看不到 CoA。作为 IP 电话、多主机 802.1X 端口或虚拟机的客户端也可能看不到或无法响应 CoA。URL 重定向客户端 (webauth) 也无法自动连接。这些客户端必须手动重新连接。

时间问题也会阻止重新连接,例如,如果发生 PSN 故障转移,终端安全评估处于待处理状态。

有关 PSN 会话共享的详细信息,请参阅轻量数据分配

策略服务节点组中的节点数量

节点组中可以具有的节点数量取决于部署要求。节点组确保检测到节点故障,并且对等节点针对已获授权但尚未进行安全评估的会话发出 CoA。节点组的规模不必非常大。

如果节点组的规模增大,那么节点之间交换的消息和心跳数量也会显著增加。因此,流量也会随之增加。节点组中的节点较少时,有助于减少流量,同时提供足够的冗余来检测 PSN 故障。

节点组集群可以包含的 PSN 数量没有硬性限制。

轻量数据分配

轻量数据分布用于存储用户会话信息并在部署中的 PSN 之间复制这些信息,从而无需依赖 PAN 或 MnT 节点来获取用户会话详细信息。

轻量数据分布包括以下目录:

此外,还可以在高级设置 (Advanced Settings)下配置以下选项:

  • 批量大小 (Batch Size):可以批量发送会话更新。此值可指定从一个轻量数据分布实例发送到部署中其他 PSN 的每一批记录的数量。如果此字段设置为 1,则不会分批发送会话更新。默认值为 10 个记录。

  • TTL:此值指定在更新轻量数据分布之前,会话等待批处理完成的最长时间。默认值为 1000 毫秒。

如果 PSN 之间存在连接问题(例如,当 PSN 关闭时),系统会从 MnT 会话目录检索会话详细信息并存储以供将来使用。

大型部署最多可以保留 2,000,000 个会话记录。小型部署可以存储 1,000,000 个会话记录。当收到会话的记账停止请求时,系统会从所有轻量数据分布实例中删除对应的会话数据。当存储的记录数量超过最大限制时,系统会根据时间戳删除最早的会话。


  • 如果会话的 IPv6 前缀长度小于 128 位并且未指定接口 ID,则 IPv6 前缀会被拒绝,从而防止多个会话具有相同的密钥。

  • 轻量数据分布使用思科 ISE 消息服务进行节点间通信。思科 ISE 支持为思科 ISE 消息服务生成证书签名请求。因此,思科 ISE 消息服务同时支持内部 CA 和外部 CA。当遇到思科 ISE 消息服务问题时,需要重新生成思科 ISE 消息服务证书。

    1. 在思科 ISE GUI 中,点击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 证书 (Certificates) > 证书管理 (Certificate Management) > 证书签名请求 (Certificate Signing Request)

    2. 证书将用于 (Certificate(s) will be used for) 部分中选择 ISE 消息服务 (ISE Messaging service)

    3. 点击生成 ISE 消息服务证书 (Generate ISE messaging service certificate)

RADIUS 会话目录

RADIUS 会话目录用于存储用户会话信息,并在部署中的 PSN 之间复制信息。该目录仅存储 CoA 所需的会话属性。

此功能在思科 ISE 中默认启用。您可以通过选中或取消选中轻量数据分配 (Light Data Distribution) 窗口中的 RADIUS 会话目录 (RADIUS Session Directory) 复选框启用或禁用此功能。 要查看此处窗口,请点击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 设置 (Settings) > 轻量数据分配 (Light Data Distribution)

终端所有者目录

此前,当终端探测在与最初处理该终端请求的 PSN 不同的 PSN 上接收时,该终端的所属权会变更为新 PSN,从而导致所属权波动。随着终端所有者目录的增强,现在会存储每个 MAC 地址对应的 PSN FQDN,并在部署中的所有 PSN 之间复制。这确保所有 PSN 都了解终端所属权,且仅当该终端在另一个 PSN 上成功完成 RADIUS 身份验证时,所属权才会变更。

此外,静态终端分配优先于同一终端的传入探测器接收的属性,从而避免属性覆盖问题。

默认情况下启用此功能。如果需要,您可以将其禁用以回退到不使用终端所有者目录的旧机制。终端所有者目录还用于分析,禁用此选项将使用传统分析器所有者的目录。您可以通过选中或取消选中轻量数据分配 (Light Data Distribution) 窗口中的启用终端所有者目录 (Enable Endpoint Owner Directory) 复选框来启用或禁用此功能。要查看此处窗口,请点击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 设置 (Settings) > 轻量数据分配 (Light Data Distribution))。

监控节点

承担监控角色的思科 ISE 节点用作日志收集器,并将来自 PAN 和 PSN 的日志消息存储在网络中。此角色提供高级监控和故障排除工具,可用于有效地管理网络和资源。承担此角色的节点会整合并关联收集到的数据,以报告形式向您提供有意义的信息。

思科 ISE 最多允许有两个节点承担此角色(由主或辅助节点承担此角色),以实现高可用性。主要和辅助 MnT 节点均收集日志消息。如果主 MnT 断开,则主 PAN 将指向辅助节点以收集监控数据。但辅助节点不会自动升级为主节点。这可以按照手动修改监控和故障排除 (MnT) 角色中所述的程序来完成。

分布式设置中至少有一个节点应承担监控角色。我们建议您不要对同一个思科 ISE 节点启用监控和策略服务角色,而应只将该节点用于监控以实现最佳性能。

您可以从部署中的 PAN 访问“监控”菜单。


如果已启用 pxGrid,必须为 pxGrid 节点创建新证书。创建使用数字签名用法的证书模板,并生成新的 pxGrid 证书。

手动修改 MnT 角色

您可以从主要 PAN 手动修改 MnT 角色(从主要改为辅助,从辅助改为主要)。

过程

步骤 1

登录到主 PAN GUI。

步骤 2

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 部署 (Deployment)

步骤 3

从节点列表中,选中要更改角色的 MnT 节点旁边的复选框。

步骤 4

点击编辑

步骤 5

监控部分中,将角色更改为主要辅助

如果要禁用该节点上启用的所有其他角色和服务,可以启用专用 MnT (Dedicated MnT) 选项。启用此选项后,系统将停止该节点上的配置数据复制过程。这有助于提高 MnT 节点的性能。当禁用此选项时,将触发手动同步。

步骤 6

点击保存

经思科 ISE 消息服务传递的系统日志

思科 ISE 为默认内置的 UDP 系统日志收集目标(LogCollector 和 LogCollector2)提供 MnT WAN 存活能力。从思科 ISE 版本 3.5 开始,此存活能力默认启用。

使用思科 ISE 消息服务传输 UDP 系统日志,可通过 TLS 保护 UDP 系统日志,并且即使 MnT 节点不可达,也会在有限时间内保留运行数据。MnT WAN 生存期约为 2 小时 30 分钟。

此服务使用 TCP 端口 8671。相应地配置网络,并允许从部署中的所有其他思科 ISE 节点连接到每个思科 ISE 节点上的 TCP 端口 8671。

如果您的部署将 TCP 或安全系统日志用于思科 ISE 部署,则此功能与早期版本相同。

建议使用 IP 地址定义 UDP 系统日志目标。这样可以避免使用 DNS 名称或 DNS 服务器定义 UDP 系统日志目标时遇到的延迟问题。

建议在生产环境中保持思科 ISE 消息服务启用状态。

队列链路警报

思科 ISE 消息服务使用不同的证书(由内部 CA 链签名)。您将在思科 ISE GUI 仪表板的警报 (Alarms) 小仪表板中看到队列链接警报。确保采取以下措施来解决警报问题:

  • 连接并同步所有的节点。

  • 所有节点和思科 ISE 消息服务均正常运行。

  • 防火墙等外部实体不会阻止思科 ISE 消息服务端口。

  • 每个节点上的思科 ISE 消息证书链未中断且证书状态良好。

要解决队列链接警报,请重新生成思科 ISE 根 CA 链。

  1. 在思科 ISE GUI 中,点击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 证书 (Certificates) > 证书管理 (Certificate Management) > 证书签名请求 (Certificate Signing Request)

  2. 点击生成证书签名请求 (CSR),然后从证书将于用于下拉列表中选择 ISE 根 CA

  3. 点击替换 ISE 根 CA 证书链

在以下情况时会生成队列链接错误警报:

  • 超时:当思科 ISE 部署中的两个节点之间存在网络问题时,出现超时队列链接错误警报。检查端口 8671 的连接以排除此错误。

  • 未知 CA:当系统证书窗口中存在已损坏的思科 ISE 消息证书(要查看此处窗口,请点击菜单 图标 (),然后选择 管理 > 系统 > 证书 > ,系统证书),则会出现队列链接错误警报且原因为位置未知 CA。在思科 ISE GUI 上选择管理 (Administration) > 系统 (System) > 证书 (Certificates) > 证书管理 (Certificate Management) > 证书签名请求 (Certificate Signing Requests),然后点击生成证书签名请求 (CSR) (Generate Certificate Signing Request [CSR]),重新生成思科 ISE 消息证书即可解决此问题。


    如果您已替换思科 ISE 根 CA 证书链,则不需要重新生成。

思科 ISE 社区资源

有关队列链路警报的详细信息,请参阅队列链接错误

MnT 节点中的自动故障切换

MnT 节点不提供高可用性,但支持主用备用。PSN 会将操作审核数据同时复制到主 MnT 节点和辅助 MnT 节点。

自动故障切换过程

当主 MnT 节点断开时,辅助 MnT 节点会接管所有监控和故障排除信息。

要将辅助节点转换为主节点,请参阅将辅助节点升级为主要角色。如果主节点在辅助节点升级后恢复运行,则主节点将承担辅助节点的角色。如果未升级辅助节点,则主 MnT 节点将在恢复运行后继续承担主要角色。


小心

当主节点在故障转移后恢复正常时,请备份辅助节点并恢复数据以更新主节点。

MnT 节点主用备用对设置指南

您可以在思科 ISE 网络上指定两个 MnT 节点,然后将它们配置为主用备用对。我们建议备份主 MnT 节点,然后将数据恢复到新的辅助 MnT 节点。由于会复制新数据,因此这可确保主 MnT 节点的历史记录与新的辅助节点同步。以下规则适用于主用备用对:

  • 所有更改都会记录到主 MnT 节点。辅节点为只读。

  • 对主节点所做的更改会在辅助节点上自动复制。

  • 主节点和辅助节点列为日志收集器,其他所有节点会向其发送日志。

  • 思科 ISE 控制面板是监控和故障排除的主要入口点。控制面板上显示来自 PAN的监控信息。如果主节点关闭,可以从辅助节点获得信息。

  • 备份和清除 MnT 数据不在标准思科 ISE 节点备份过程中。必须同时在主辅 MnT 节点上为备份和数据清除配置存储库,并且在每个节点上使用相同的存储库。

MnT 节点故障转移方案

以下方案适用于 MnT 节点对应的主用备用或单节点配置:

  • 在 MnT 节点的主用备用配置中,主 PAN 始终指向主 MnT 节点以收集监控数据。在主 MnT 节点故障后,PAN 会指向备用 MnT 节点。从主节点到辅助节点的故障转移发生在其关闭超过五分钟后。

    但是,在主节点发生故障后,辅助节点不会成为主节点。如果主节点启动,PAN 会再次开始从恢复的主节点收集监控数据。

  • 如果主 MnT 节点关闭,并且您希望将备用 MnT 节点升级为活动状态,则可以按照手动修改 MnT 角色中提供的程序或通过注销现有主 MnT 节点来实现。注销现有 MnT 节点时,备用节点成为主 MnT 节点,并且 PAN 自动指向新升级的主节点。

  • 在主用-备用对中,如果注销辅助 MnT 节点或辅助 MnT 节点关闭,则现有主 MnT 节点仍然为当前主节点。

  • 如果思科 ISE 部署中只有一个 MnT 节点,则该节点用作主 MnT 节点,并向 PAN 提供监控节点。但是,当注册新 MnT 节点并使其成为部署中的主节点时,现有主 MnT 节点会自动成为备用节点。PAN 会指向新注册的主 MnT 节点以收集监控数据。

监控数据库

鉴于监控功能使用的数据的比例和数量,需要在专用节点上将一个单独的数据库用于这些用途。

像 PSN 一样,MnT 节点有一个专用数据库,要求您执行维护任务,如本节所涵盖的主题所述:

备份和恢复监控数据库

监控数据库处理大量数据。随着时间推移,MnT 节点的性能和效率取决于您对这些数据的管理水平。要提高效率,我们建议您定期备份数据并将其传输到远程存储库。通过计划自动备份,您可以将此任务自动化。


如果正在进行清除操作,则不应执行备份。如果在清除操作过程中启动备份,则清除操作会停止或失败。

如果注册辅助 MnT 节点,我们建议先备份主 MnT 节点,然后将数据恢复到新的辅助 MnT 节点。在复制新的更改时,这可确保主 MnT 节点的历史记录与新的辅助节点同步。

监控数据库清除

清除过程允许您通过以月为单位指定在清除期间保留数据的时间,管理监控数据库的大小。默认值为三个月。当达到清除流程的磁盘空间使用率阈值(占磁盘空间 80%)时,会用到此值。对于该选项,每月包括 30 天。三个月的默认值等于 90 天。

清除监控数据库指南

请遵循这些准则以优化 监控数据库磁盘的使用:

  • 如果监控数据库磁盘使用率大于阈值设置的 80%,即总磁盘空间的 60%,则会生成严重警报,表示数据库大小即将超过分配的最大磁盘大小。如果磁盘使用率大于阈值设置的 90%,即总磁盘空间的 70%,则会生成另一个警报,表示数据库大小已超过分配的最大磁盘大小。

    系统将运行清除过程,并创建状态历史报告,可以在数据清除审核 (Data Purging Audit) 窗口中查看该报告。 要查看此处窗口,请点击菜单 图标 (),然后选择 操作 (Operations) > 报告 (Reports) > 报告 (Reports) > 审核 (Audit) > 数据清除审核 (Data Purging Audit)。清除完成后会生成信息 (INFO) 警报。

  • 清除同样依据数据库已使用的磁盘空间。当监控数据库已使用的磁盘空间达到或超过阈值时(默认为总磁盘空间的 80%),则会启动清除过程。此过程仅删除最近七天的监控数据,不论在管理员门户中进行了怎样的配置。系统将循环继续此过程直至磁盘空间使用量低于 80%。系统总会在检查监控数据库磁盘空间限制之后,才继续执行清除。

运营数据清除

思科 ISE 监控操作数据库包含作为思科 ISE 报告生成的信息。最近发布的思科 ISE 具有一些选项,可在运行 application configure ise 命令时清除监控运行数据并重置监控数据库。

清除选项用于清除数据,并会提示输入数据的保留天数。重置选项用于将数据库重置为出厂默认设置,这样将永久删除所有备份的数据。如果文件占用了文件系统的过多空间,可指定数据库。


重置选项会导致思科 ISE 服务暂时不可用。

操作数据清除 (Operational Data Purging) 窗口包含数据库利用率 (Database Utilization)立即清除数据 (Purge Data Now) 区域。 要查看此处窗口,请点击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 维护 (Maintenance) > 操作数据清除 (Operational Data Purging)。可以查看总可用数据库空间,以及存储在数据库利用率 (Database Utilization) 区域中的 RADIUS 和 TACACS 数据。将鼠标悬停在状态栏上以显示可用磁盘空间,以及现有数据存储在数据库中的天数。指定在数据保留期 (Data Retention Period) 区域保留 RADIUS 和 TACACS 数据的时间段。系统在每天凌晨 4 点清除数据,此外,您还可以进行配置,以在清除数据前通过指定保留天数将其导出到存储库。选中启用导出存储库 (Enable Export Repository) 复选框以选择和创建存储库,并指定加密密钥

立即清除数据 (Purge Data Now) 区域中,可以清除所有 RADIUS 和 TACACS 数据,或指定天数以在超过该天数时将数据清除。

您必须在清除前将 RADIUS 身份验证和记账、TACACS 授权和记账、RADIUS 错误和错误配置的请求者表导出到存储库。

清除较旧的运营数据

运营数据在一段时间内收集到服务器上。可以立即或定期清除它。可以通过查看数据清除审核 (Data Purging Audit) 报告,验证数据清除是否成功。

开始之前

要执行以下任务,您必须是超级管理员或系统管理员。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择管理 (Administration) > 系统 (System) > 维护 (Maintenance) > 操作数据清除 (Operational Data Purging)

步骤 2

执行以下操作之一:

  • 数据保留期 (Data Retention Period) 区域:

    1. 以日为单位指定 RADIUS 和 TACACS 数据的应保留期限。指定期限之前的所有数据都会导出到存储库。

    2. 存储库 (Repository) 区域中,选中启用导出存储库 (Enable Export Repository) 复选框以选择保存数据的存储库。

    3. 加密密钥 (Encryption Key) 字段中,输入所需的密码。

    4. 点击保存

       

      如果配置的保留期限短于与诊断数据对应的现有保留阈值,则配置值将覆盖现有阈值。例如,如果将保留期配置为三天,而且该值小于诊断表中的现有阈值(例如,默认值为五天),则将根据在此窗口中配置的值(三天)清除数据。

  • 立即清除数据 (Purge Data Now) 区域:

    1. 选择清除所有数据或清除超过指定天数的数据。数据不会保存在任何存储库中。

    2. 点击清除 (Purge)

配置用于自动故障切换的监控节点

如果部署中有两个 MnT 节点,则可以配置用于自动故障切换的主节点-辅助节点对,以避免思科 ISE 监控服务出现停机。主节点-辅助节点对可确保辅助 MnT 节点在主节点出现故障时自动提供监控。

开始之前

  • 在配置用于自动故障转移的 MnT 节点之前,必须将这些节点注册为思科 ISE 节点。

  • 您必须在两个节点上配置监控角色和服务,适当地根据其主要和辅助角色进行命名。

  • 在主要和辅助 MnT 节点上同时配置用于备份和数据清除的存储库。要让备份和清除功能正常运行,请对这两个节点使用相同的存储库。清除同时在冗余对的主要和辅助节点中发生。例如,如果主要 MnT 节点将两个存储库用于备份和清除,则必须为辅助节点指定相同的存储库。

    使用系统 CLI 中的 repository 命令为 MnT 节点配置数据存储库。


要让计划的备份和清除在监控冗余对的节点上正常工作,请使用 CLI 在主节点和辅助节点上同时配置相同的存储库。存储库不会自动在两个节点之间同步。

在思科 ISE 控制面板中,验证 MnT 节点是否准备就绪。系统摘要 (System Summary) Dashlet 会在 MnT 节点服务准备就绪时显示左侧带绿色复选标记的 MnT 节点。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 部署 (Deployment)

步骤 2

部署节点窗口中,选中要指定主节点的 MnT 节点旁边的复选框,然后点击 Edit

步骤 3

点击 General Settings 选项卡,然后从 Role 下拉列表中选择 Primary

选择 MnT 节点作为主节点时,另一个 MnT 节点将自动成为辅助节点。如果是独立部署,主要和辅助角色配置会处于禁用状态。

步骤 4

点击 Save 。主节点和辅助节点都会重新启动。

Cisco pxGrid 节点

可以使用思科 pxGrid 与其他网络系统(例如思科 ISE 生态系统合作伙伴系统)和其他思科平台共享思科 ISE 会话目录中的情景相关信息。pxGrid 框架也可用来在思科 ISE 与第三方供应商之间、在节点(例如共享标记)与策略对象之间交换策略和配置数据,还能进行其他信息的交换。思科 pxGrid 还允许第三方系统调通过自适应网络控制操作 (ANC) 来隔离用户和/或设备以应对网络或安全事件。可通过思科 TrustSec 主题将标签定义、值和说明等思科 TrustSec 信息从思科 ISE 传输到其他网络。可通过终端配置文件元主题,将具有完全限定名称 (FQN) 的终端配置文件从思科 ISE 传输到其他网络。思科 pxGrid 还支持标签和终端配置文件的批量下载。

可通过思科 pxGrid 发布和订用 SXP 绑定(IP-SGT 映射)。有关 SXP 绑定的详细信息,请参阅安全组标记交换协议

以下日志可用于思科 pxGrid 节点:

  • pxgrid.log:通过状态变更通知。

  • pxgrid-cm.log:显示有关客户端与服务器之间的发布者和/或用户以及数据交换活动的更新。

  • pxgrid-controller.log:显示客户端功能、组和客户端授权的详细信息。

  • pxgrid-jabberd.log:显示与系统状态和身份验证相关的所有日志。

  • pxgrid-pubsub.log:显示与发布者和用户事件相关的所有信息。


  • 可以使用思科 ISE Advantage 许可证启用思科 pxGrid 和思科 pxGrid 角色。

  • 应定义思科 pxGrid,以便使用被动 ID 工作中心。有关详细信息,请参阅被动 ID 工作中心

pxGrid 2.0 的高可用性

pxGrid 2.0 节点在主动/主动配置下运行。为实现高可用性,部署中应至少有两个 pxGrid 节点。大型部署最多可以有四个节点,以增加规模和冗余。我们建议您为所有节点配置 IP 地址,以便在一个节点关闭时,该节点的客户端连接到工作节点。当 PAN 关闭时,pxGrid 服务器会停止处理激活。手动升级 PAN 才能激活 pxGrid 服务器。有关 pxGrid 部署的更多信息,请参阅《Cisco Identity Services Engine 性能和可扩展性指南》。

所有 pxGrid 服务提供商客户端会在 7.5 分钟内定期向 pxGrid 控制器重新注册。如果客客户端没有重新注册,PAN 节点会认为客户端处于非活动状态并删除客户端。如果 PAN 节点关闭超过 7.5 分钟,当它恢复正常运行时,它将删除时间戳值早于 7.5 分钟的所有客户端。所有这些客户端都必须再次向 pxGrid 控制器注册。

pxGrid 2.0 客户端使用 WebSocket 和基于 REST 的 API 进行发布/订阅和查询。这些 API 由端口 8910 上的 ISE 应用服务器提供。通过 show logging application pxgrid 显示的 pxGrid 进程不适用于 pxGrid 2.0。


GUI 和 CLI 中对 pxGrid 1.0 进程的所有引用均已删除。

部署思科 pxGrid 节点

在独立节点和分布式部署节点上都可以启用思科 pxGrid 角色。

开始之前

  • 您必须具有思科 ISE Advantage 许可证才能启用思科 pxGrid 角色。有关许可要求,请参阅 ISE 许可/订购

  • 所有节点都将 CA 证书用于思科 pxGrid 服务用途。如果在升级之前对思科 pxGrid 服务使用默认证书,则升级时会将该证书替换为内部 CA 证书。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 选择管理 (Administration) > 系统 (System) > 部署 (Deployment)

步骤 2

部署节点 (Deployment Nodes) 窗口中,选中要为其启用思科 pxGrid 服务的节点旁的复选框,然后点击编辑 (Edit)

步骤 3

点击常规设置 (General Settings) 选项卡, 启用 pxGrid 切换按钮

步骤 4

点击保存

 

当从以前的版本升级时,系统可能会禁用保存选项。当浏览器缓存引用以前版本的思科 ISE 中的旧文件时,就会发生这种情况。清除浏览器缓存以启用保存选项。

配置思科 pxGrid 设置

开始之前

要执行以下任务,您必须是超级管理员或系统管理员。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 管理 (Administration) > pxGrid服务 (pxGrid Services) > 设置 (Settings)

步骤 2

根据您的要求选中以下复选框之一:

  • 自动审批新的基于证书的帐户 (Automatically approve new certificate-based accounts):选中此复选框可自动批准来自新思科 pxGrid 客户端的连接请求。

  • 允许创建基于密码的帐户 (Allow password-based account creation):选中此复选框可为思科 pxGrid 客户端启用基于用户名或密码的身份验证。如果启用了此选项,则无法自动批准思科 pxGrid 客户端。

步骤 3

点击保存

使用思科 pxGrid 的设置 (Settings) 窗口中的测试 (Test) 选项来对思科 pxGrid 节点执行运行状况检查。在 pxgrid 或 pxgrid-test.log 文件中查看详细信息。

使用 PxGrid 客户端自动批准 (PxGrid Client Auto Approval) API,以便:

  • 启用自动批准来自新 pxGrid 客户端的基于证书的连接请求。仅当您信任环境中的所有客户端时,才选中此选项。

  • 对 pxGrid 客户端启用基于用户名或密码的身份验证。如果启用了此选项,则无法自动批准 pxGrid 客户端。pxGrid 客户端可以通过使用 REST API 发送用户名向 pxGrid 控制器注册。在客户端注册时,pxGrid 控制器为 pxGrid 客户端生成密码。管理员可以批准或拒绝连接请求。

有关 PxGrid 客户端自动审批 API 的详细信息,请参阅 ERS SDK 中的“pxGrid 设置”部分。您可以通过以下 URL 访问 ERS SDK:

https://<ISE-Admin-Node>:9060/ers/sdk

只有具有 ERS 管理员角色的用户才能访问 ERS SDK。

生成思科 pxGrid 证书

开始之前

  • 思科 ISE pxGrid 服务器和 pxGrid 客户端不得使用相同的证书。您必须为 pxGrid 客户端使用客户端证书。要生成客户端证书,选择管理 > 系统 > 证书

  • 某些版本的思科 ISE 具有使用 NetscapeCertType 的思科 pxGrid 证书。建议您生成新证书。

  • 要执行以下任务,您必须是超级管理员或系统管理员。

  • 必须从主 PAN 生成思科 pxGrid 证书。

  • 如果思科 pxGrid 证书使用了使用者替代名称 (SAN) 扩展名,请确保将使用者身份的 FQDN 包含为 DNS 名称条目。

  • 创建使用数字签名用法的证书模板,并使用该模板生成新的思科 pxGrid 证书。

    如果启用了 FIPS 模式,则 pxGrid 证书模板的 RSA 私钥大小必须为 2048 位或更大。否则,当您尝试生成 pxGrid 证书时,系统会显示错误。要更改证书模板的私钥大小,请参阅 更改 pxGrid 证书模板密钥大小

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 管理 (Administration) > pxGrid 服务 (pxGrid Services) > 客户端管理 (Client Management) > 证书 (Certificates)

步骤 2

我想要 下拉列表中,选择以下选项之一:

  • 生成无证书签名请求的单个证书 (Generate a single certificate without a certificate signing request):如果选择此选项,则必须输入通用名称 (CN)。

  • 生成单个证书(带证书签名请求)Generate a single certificate (with a certificate signing request):如果选择此选项,则必须输入证书签名请求详细信息。

步骤 3

(可选)输入此证书的说明。

步骤 4

点击 pxGrid_Certificate_Template 链接,根据您的要求下载和编辑证书模板。

步骤 5

输入 使用者备选名称 (SAN)。可以添加多个 SAN。可提供以下选项:

  • IP 地址 (IP address):输入要与证书关联的思科 pxGrid 客户端的 IP 地址。

  • FQDN:输入 pxGrid 客户端的 FQDN。

步骤 6

证书下载格式 (Certificate Download Format) 下拉列表中选择以下选项之一:

  • 加强隐私电子邮件 (PEM) 格式的证书和 PKCS8 PEM 格式的密钥(包括证书链)(Certificate in Private Enhanced Electronic Mail (PEM) format, key in PKCS8 PEM format (including certificate chain)):根证书、CA 中间证书和终端实体证书均采用 PEM 格式。PEM 格式的证书是采用 BASE64 编码的 ASCII 文件。每个证书的开头采用 "--------BEGIN CERTIFICATE-----" 标签,结尾采用 "-------END CERTIFICATE----" 标签。终端实体的专用密钥使用 PKCS* PEM 存储。其开头采用 "-----BEGIN ENCRYPTED PRIVATE KEY----" 标签,结尾采用 "-----END ENCRYPTED PRIVATE KEY----" 标签。

  • PKCS12 格式(包括证书链;证书链和密钥的文件)(PKCS12 format [including certificate chain; one file for both the certificate chain and key]):CA 根证书、CA 中间证书以及终端实体的证书和私钥存储在一个加密文件时,所采用的二进制格式。

步骤 7

输入证书的密码。

步骤 8

点击创建

您创建的证书可以在已颁发证书 (Issued Certificates) 窗口中查看。要查看此处窗口,请点击菜单 图标 (),然后选择 管理 > 系统 > 证书 > 证书颁发机构 > 已颁发的证书

 

pxGrid 服务的证书要求变得更加严格。如果您使用思科 ISE 默认自签证书作为 pxGrid 证书,思科 ISE 可能会拒绝该证书。这是因为此证书的旧版本具有指定为 SSL 服务器 (SSL Server)Netscape 证书类型 (Netscape Cert Type) 扩展,此扩展现在会失败(现在还需要客户端证书)。

任何具有不合规证书的客户端都无法与思科 ISE 集成。使用内部 CA 颁发的证书或生成具有正确使用扩展名的新证书:

  • 证书中的密钥用法 (Key Usage) 扩展名必须包含数字签名 (Digital Signature)密钥加密 (Key Encipherment) 字段。

  • 证书中的扩展密钥用法 (Extended Key Usage) 扩展必须包含客户端身份验证 (Client Authentication)服务器身份验证 (Server Authentication) 字段。

  • 不需要 Netscape 证书类型 (Netscape Certificate Type) 扩展。如果要包含此扩展,请在扩展中同时添加 SSL 客户端 (SSL Client)SSL 服务器 (SSL Server)

  • 如果使用的是自签名证书,则基本约束 CA (Basic Constraints CA) 字段必须设置为 True,并且密钥用法 (Key Usage) 扩展必须包含密钥证书签名 (Key Cert Sign) 字段。

控制思科 pxGrid 客户端的权限

您可以创建 Cisco pxGrid 授权规则来控制 Cisco pxGrid 客户端的权限。使用这些规则可控制提供给 Cisco pxGrid 客户端的服务。

您可以创建不同类型的组,并将提供给 Cisco pxGrid 客户端的服务映射到这些组。使用客户端管理 (Client Management) 窗口中的组 (Groups) 选项可添加新组。您可以在客户端管理 (Client Management ) 策略 (Policies) 窗口中查看的示例授权规则。请注意,只能更新预定义规则的自定义操作 (Custom Operations) 字段。

要为 pxGrid 客户端创建授权规则,请执行以下操作:

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 管理 (Administration) > pxGrid 服务 (pxGrid Services) > 客户端管理 (Client Management) > 策略 (Policy)

步骤 2

服务 (Service) 下拉列表中,选择以下选项之一:

  • com.cisco.ise.pubsub

  • com.cisco.ise.config.anc

  • com.cisco.ise.config.profiler

  • com.cisco.ise.config.trustsec

  • com.cisco.ise.service

  • com.cisco.ise.system

  • com.cisco.ise.radius

  • com.cisco.ise.sxp

  • com.cisco.ise.trustsec

  • com.cisco.ise.mdm

步骤 3

操作 (Operation) 下拉列表中,选择以下选项之一:

  • <ANY>

  • 发布

  • publish /topic/com.cisco.ise.session

  • publish /topic/com.cisco.ise.session.group

  • publish /topic/com.cisco.ise.anc

  • <CUSTOM>:如果选择此选项,可以指定自定义操作。

有关详细信息,请参阅 pxGrid 操作和服务使用案例

这些额外属性会发布到思科 ISE 的 REST 身份库对应的 /topic/com.cisco.ise.session 主题:

  • identityProvider:Azure

  • oid

  • tenantID

  • preferredUsername

步骤 4

组 (Groups) 下拉列表中,选择要映射到此服务的组。

ANC)和手动添加的组列在此下拉列表中。

 

只有属于策略中包含的组的客户端才能订用该策略中指定的服务。例如,如果为 com.cisco.ise.pubsub 服务定义 pxGrid 策略并将 ANC 组分配给此策略,则只有属于该 ANC 组的客户端才能订用 com.cisco.ise.pubsub 服务。

pxGrid 操作和服务使用案例

请注意,创建新的 pxGrid 策略时,某些 pxGrid 操作仅适用于特定服务。

您可以在思科 ISE GUI 中找到以下 pxGrid 操作。

操作 <ANY>

当您使用 <ANY> 与服务和特定用户组进行操作时,与该服务相关的任何操作都只能由所选用户组中的用户访问。

请考虑以下示例。

服务:com.cisco.ise.session;操作:<ANY>;组:SessionUsers。

在本示例中,只有属于“SessionUsers”组的 pxGrid 客户端才能执行与会话主题相关的任何操作(例如订阅/获取操作)。

操作发布

仅当选择 com.cisco.ise.pubsub 作为服务时,所有与发布相关的操作才适用。您可以使用发布操作创建 pxGrid 策略,指定只有特定用户组的 pxGrid 客户端可以发布所选主题或可以发布所有主题。

操作 <Custom>

您可以使用 <Custom> 操作:指定操作下拉列表中未提供的操作。目前,pxGrid 支持以下操作,但并非所有操作都列在“操作”(Operation) 下拉列表中:

  1. “sets”(适用于除 pubsub 之外的所有服务和主题)- 您可以使用此选项限制对执行 set 操作的 REST API 调用的访问。

  2. “gets”(适用于除 pubsub 之外的所有服务和主题)- 您可以使用它来限制对执行 get 操作的 REST API 调用的访问。

  3. “publish”后跟特定主题名称(仅适用于发布订阅服务)- 您可以使用此选项将访问权限限制为可以发布特定主题的用户。

    例如,服务:com.cisco.ise.pubsub,操作:publish/topic/com.cisco.ise.session。

    但是,某些具有相同操作、服务和主题的规则难以理解,因此必须加以避免。例如,服务:com.cisco.ise.session、操作:publish /topic/com.cisco.ise.session。

  4. “subscribe”后跟主题名称(仅适用于发布订阅服务)- 您可以使用此选项将访问权限限制为可以订用特定主题的用户。

    例如,服务:com.cisco.ise.pubsub,操作:publish /topic/com.cisco.ise.session

查看部署中的节点

部署节点 (Deployment Nodes) 窗口,可以查看部署中的所有思科 ISE 节点(主节点和辅助节点)。

过程

步骤 1

登录主思科 ISE 管理员门户。

步骤 2

在思科 ISE GUI 中,点击菜单 图标 (),然后选择管理 (Administration) > 系统 (System) > 部署 (Deployment)

步骤 3

点击左侧导航窗格中的部署 (Deployment)

列出部署中的所有思科 ISE 节点。

从 MnT 节点下载终端统计数据

您可以从 MnT 节点下载联网终端的统计数据。关键性能指标 (KPM),其中包括负载、CPU 使用率和身份验证流量数据。您可以将这些数据用来监控网络中的问题并进行故障排除。在思科 ISE CLI 中运行 application configure ise 命令并选择选项 12 或选项 13 来下载每日 KPM 统计信息或过去八周的 KPM 统计信息。

此命令的输出提供以下终端数据:

  • 网络中的终端总数

  • 成功建立连接的终端数量

  • 身份验证失败的终端数量

  • 每日连接的新终端总数

  • 每日连接的终端总数

输出还包括时间戳详情、通过部署中各策略服务节点 (PSN) 连接的终端总数、终端总数、活动的终端、负载以及身份验证流量详情。

请参阅《思科身份服务引擎 CLI 参考指南》查看有关此命令的更多信息。

数据库崩溃或文件损坏问题

如果 Oracle 数据库文件因断电或其他原因导致数据丢失而损坏,则思科 ISE 可能会崩溃。根据具体的事件,按照这些说明恢复丢失的数据:

设备的监控配置

MnT 节点会接收网络中设备的数据,并用于填充控制面板显示内容。要启用 MnT 节点与网络设备之间的通信,必须正确配置交换机和 NAD。

同步主要和辅助思科 ISE 节点

只能通过主 PAN 对思科 ISE 的配置进行更改。系统会将配置更改复制到所有辅助节点。如果出于某些原因未能正常执行复制,则可以手动同步辅助 PAN 与主 PAN。

过程

步骤 1

登录到主 PAN。

步骤 2

在思科 ISE GUI 中,点击菜单 图标 (),然后选择管理 (Administration) > 系统 (System) > 部署 (Deployment)

步骤 3

选中要与主 PAN 同步的节点旁边的复选框,然后点击同步强制执行数据库完全复制。

更改节点角色和服务

当启用或禁用在 PSN 上运行的任何服务或对 PSN 进行任何更改时,将会重新启动运行这些服务的应用服务器进程。这些服务重新启动时,预计会有延迟。由于服务重新启动时的这一延迟,可能会启动自动故障转移(如果在部署中已启用)。要避免此问题,请确保关闭自动故障转移配置。

您可以编辑思科 ISE 节点配置来更改在节点上运行的角色和服务。

过程

步骤 1

登录到主 PAN。

步骤 2

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 部署 (Deployment)

步骤 3

选中要更改其角色或服务的节点旁边的复选框,然后点击 Edit

步骤 4

选择您要修改的角色和服务。

步骤 5

点击保存

步骤 6

验证在主 PAN 上是否收到警报,以确认角色或服务更改。如果未成功保存角色或服务更改,则不会生成警报。

在思科 ISE 中修改节点的影响

在思科 ISE 中对节点进行以下任一更改后,节点将重新启动,这会导致延迟:

  • 注册节点(独立节点至辅助节点)

  • 取消注册节点(辅助节点至独立节点)

  • 将主要节点更改为独立节点(如果未向其注册任何其他节点;主要节点至独立节点)

  • 升级管理节点(辅助节点升级为主节点)

  • 更改角色(当向某个节点分配策略服务或监控角色或从该节点删除角色时)

  • 修改策略服务节点中的服务(启用或禁用会话和分析器服务)

  • 恢复主要节点上的备份,然后系统会触发一项同步操作,将数据从主要节点复制到辅助节点

当您将辅助管理节点提升为主 PAN 位置时,主节点将承担辅助角色。这会导致主节点和辅助节点重新启动,从而导致延迟。

创建策略服务节点组

当两个或多个策略服务节点 (PSNs) 连接到同一高速局域网 (LAN) 时,建议您将他们放入同一个节点组中。通过保留较少的本地组重要属性以及减少复制到网络中远程节点的信息,此设计对终端分析数据复制进行了优化。节点组成员还检查对等组成员的可用性。如果该组检测到某成员发生故障,则尝试重置和恢复失败节点上所有 URL 重定向的会话。

节点组用于对实施 URL 重定向(终端安全评估服务、访客服务和 MDM)的会话执行 PSN 故障转移。

建议将所有 PSN 放在同一个本地网络中,并作为同一个节点组的一部分。要加入同一个节点组,PSN 不需要成为负载均衡集群的一部分。但是,负载均衡集群中的每个本地 PSN 通常应该属于同一个节点组。

节点组成员可以通过 TCP/7800 通信。

在将 PSN 作为成员添加进某个节点组之前,您必须创建该节点组。您可以从管理员门户的部署 (Deployment) 窗口创建、编辑和删除 PSN 组。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择管理 (Administration) > 系统 (System) > 部署 (Deployment)

步骤 2

点击左侧导航窗格顶部的设置图标。

步骤 3

点击创建组 (Create Group)

步骤 4

输入节点组的唯一名称。

 

建议不要配置名称为无 (None) 的节点组,否则可能会在节点注册时引起问题。

步骤 5

(可选)输入节点组的说明。

步骤 6

(可选)选中启用 MAR 缓存分布 (Enable MAR Cache Distribution) 复选框并填写其他选项。在选中此复选框之前,请确保在 Active Directory 窗口中启用 MAR。

步骤 7

点击 提交 保存节点组。

保存节点组之后,节点组应显示在左侧的导航窗格中。如果节点组未显示在左侧窗格中,则可能已隐藏。点击导航窗格中的展开 (Expand) 按钮可查看隐藏的对象。

策略服务 (Policy Service) 区域的在节点组中包含节点 (Include node in node group) 下拉列表中选择对应的节点组,以便将节点添加到节点组或者对节点进行编辑。

从部署中删除节点

要从部署中删除节点,您必须取消注册该节点。已取消注册的节点会成为独立思科 ISE 节点。

它保留其从主 PAN 接收的最新配置,并且承担独立节点的默认角色,包括“管理”、“策略服务”或“监控”。如果取消注册 MnT 节点,则此节点将不再是系统日志目标。

取消注册主 PSN 时,终端数据将丢失。如果您希望 PSN 在成为独立节点后保留终端数据,请执行以下任一操作:

  • 从主 PAN 获取备份,并在 PSN 成为独立节点时在其上恢复此数据备份。

  • 将 PSN 的角色更改为“管理”(Administration)(辅助 PAN),在管理员门户的部署 (Deployment) 窗口中同步数据,然后取消注册节点。此节点现在拥有所有数据。然后可以将辅助 PAN 添加至现有部署。

可以在主 PAN 的部署 (Deployment) 窗口中查看这些更改。但是,预计更改会延迟 5 分钟生效并显示在部署 (Deployment) 窗口上。

开始之前

在从部署中删除某个辅助节点之前,请对思科 ISE 配置执行备份,稍后可在需要时恢复该备份。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择管理 (Administration) > 系统 (System) > 部署 (Deployment)

步骤 2

选择要删除的辅助节点旁边的复选框,然后点击取消注册 (Deregister)

步骤 3

点击确定

步骤 4

验证在主 PAN 上是否收到警报,以确认辅助节点成功取消注册。如果从主 PAN 取消注册辅助节点失败,则意味着不会生成警报。

关闭思科 ISE 节点

从思科 ISE CLI 运行 halt 命令之前,我们建议您停止思科 ISE 应用服务,并确保它不执行备份、恢复、安装、升级或删除操作。如果在思科 ISE 执行上述任一操作时运行 halt 命令,您将会收到以下其中一条警告消息︰

WARNING: A backup or restore is currently in progress! Continue with halt?

WARNING: An install/upgrade/remove is currently in progress! Continue with halt?

在使用 halt 命令时,如果系统没有运行任何进程,或如果您输入是 (Yes) 来回应显示的警告消息,则必须回答以下问题:

Do you want to save the current configuration?

如果输入 Yes 保存现有思科 ISE 配置,系统将显示以下消息:

Saved the running configuration to startup successfully.


我们建议您在重新引导设备之前停止应用进程。

还建议您在重新引导思科 ISE 之前停止应用进程。有关详细信息,请参阅思科身份服务引擎 CLI 参考指南

需要重新注册节点的场景

下表汇总了在节点损坏时需要重新注册的一些场景:

情景

需要做什么

如果除主 PAN 以外的任何节点损坏

  1. 从部署中取消注册发生故障的节点。

  2. 在故障节点上重新安装思科 ISE。

  3. 在现有部署中重新注册节点。

 

您必须在注册之前或之后将旧证书导入到节点。

如果主 PAN 损坏

例如,如果有两个节点:N1(主 PAN)和 N2(辅助 PAN):

  1. 将辅助 PAN (N2) 升级为主 PAN。

  2. 从部署中删除发生故障的节点 (N1)。

  3. 在故障节点 (N1) 上重新安装思科 ISE。

  4. 将节点 (N1) 注册为要部署的辅助 PAN。

  5. 注册完成后,将旧证书导入节点 (N1)。

  6. 将节点 (N1) 升级回主 PAN 以便进行与之前类似的部署。

如果主 PAN 和辅助 PAN 均已损坏

例如,如果有两个节点:N1(主 PAN)和 N2(辅助 PAN):

  1. 在主 PAN 节点 (N1) 和辅助 PAN 节点 (N2) 上重新安装思科ISE。

  2. 恢复主 PAN 节点 (N1) 中的配置备份。

  3. 导入主 PAN 节点 (N1) 中的旧证书。

  4. 在部署中将另一个节点 (N1) 注册为辅助 PAN。

  5. 在其他节点上执行 reset-config 并在部署中注册节点。

  6. 将证书导入所有节点。

 

如果主 PAN 和辅助 PAN 是 VM,则重新安装思科 ISE 可能会更改 UDI。因此,您必须使用新的 UDI 重新安装许可证。

更改独立思科 ISE 节点的主机名或 IP 地址

可以更改独立思科 ISE 节点的主机名、IP 地址或域名。不能使用 localhost 作为节点的主机名。

开始之前

如果思科 ISE 节点是分布式部署的一部分,必须将其从部署中删除并确保该节点为独立节点。

过程

步骤 1

从思科 ISE CLI 使用 hostname ip address ip domain-name 命令更改思科 ISE 节点的主机名或 IP 地址。

步骤 2

从思科 ISE CLI 使用 application stop ise 命令重置思科 ISE 应用配置以重新启动所有服务。

步骤 3

如果思科 ISE 节点为分布式部署的一部分,则将其注册到主 PAN。

 

如果您在注册思科 ISE 节点时使用主机名,则将要注册的独立节点的完全限定域名 (FQDN) 必须可以从主 PAN 进行 DNS 解析,例如 FQDN 可以为 abc.xyz.com。否则,节点注册将失败。必须输入作为 DNS 服务器上分布式部署一部分的思科 ISE 节点的 IP 地址和 FQDN。

将思科 ISE 注册为辅助节点后,主 PAN 会将 IP 地址、主机名或域名中的更改复制到您的分布式部署中另一个思科 ISE 节点。