思科安全网络服务器 系列设备和虚拟机要求

思科 ISE 硬件和虚拟设备要求

思科 ISE 可安装在思科安全网络服务器 (SNS) 硬件或虚拟设备上。虚拟机应具备与思科 SNS 硬件设备相同的系统资源,以实现与思科 ISE 硬件设备类似的性能和可扩展性。本部分列出了安装思科 ISE 的硬件、软件和虚拟机要求。

加强您的虚拟环境安全,并确保所有安全更新都是最新的。思科对于虚拟机监控程序中发现的任何安全问题概不负责。

小心

思科 ISE 不支持在任何虚拟环境上使用虚拟机快照来备份数据。在虚拟机上启用快照功能可能会损坏配置。如果发生这种情况,您可能需要重新映像虚拟机。

思科 SNS 硬件设备

有关思科 SNS 3600 系列设备,请参阅《思科 SNS-3600 系列设备硬件安装指南》。

有关思科 SNS 3700 系列设备,请参阅《思科 SNS-3700 系列设备硬件安装指南》。

有关思科 SNS 3800 系列设备,请参阅《思科 SNS-3800 系列设备硬件安装指南》。

有关您的思科 ISE 版本支持的硬件平台信息,请参阅《思科身份服务引擎发行说明》。

对思科 SNS 3800 系列设备的支持

思科 SNS 3800 系列设备基于思科统一计算系统 (Cisco UCS) C225 M8 机架式服务器,专门配置用于支持思科 ISE。思科 SNS 3800 系列设备设计用于为各种工作负载提供高性能和高效率。

思科 SNS 3800 系列设备提供以下型号:

  • 思科 SNS 3815 (SNS-3815-K9)

  • 思科 SNS 3855 (SNS-3855-K9)

  • 思科 SNS 3895 (SNS-3895-K9)

思科 SNS 3815 设备非常适合小型部署。思科 SNS 3855 和思科 SNS 3895 设备具有多个冗余组件(如硬盘驱动器和电源),适用于需要高度可靠系统配置的大型部署。建议将思科 SNS 3895 用于 PAN 和 MnT Persona。

  • 思科 SNS 3800 设备必须仅使用以下 OVA、ISO 和升级捆绑包文件:

    • Cisco-vISE-300-3.4.0.608b.ova

    • Cisco-vISE-600-3.4.0.608b.ova

    • Cisco-vISE-1200-3.4.0.608b.ova

    • Cisco-vISE-2400-3.4.0.608b.ova

    • ise-3.4.0.608b.SPA.x86_64.iso

    • ise-upgradebundle-3.1.x-3.3.x-to-3.4.0.608b.SPA.x86_64.tar.gz

    • ise-urtbundle-3.4.0.608b-1.0.0.SPA.x86_64.tar.gz

  • 思科 ISE 3.4 补丁 4 及更高版本支持思科 SNS 3800 设备。

  • 思科 SNS 3855 设备可以配置一个硬盘或四个硬盘。如果您的思科 SNS 3855 设备仅配置一个硬盘,建议仅启用 PSN 或 pxGrid Persona。

下表描述思科 SNS 3800 系列设备的硬件规格。

表 1. 思科 SNS 3800 系列设备硬件规格

思科 SNS 3800 系列设备

RAM

CPU 核心

硬盘数量

硬盘总容量

RAID

思科 SNS-3815-K9

64 GB

16 核,32 线程

NVME-1

960 GB

不适用

64 GB

16 核,32 线程

SED-1

960 GB

RAID-0

64 GB

16 核,32 线程

SED-FIPS-1

1.6 TB

RAID-0

思科 SNS-3855-K9

128 GB

24 核,48 线程

NVME-1

960 GB

不适用

128 GB

24 核,48 线程

NVME-4

1.9 TB

RAID-10

128 GB

24 核,48 线程

SED-1

960 GB

RAID-0

128 GB

24 核,48 线程

SED-4

1.9 TB

 RAID-10

128 GB

24 核,48 线程

SED-FIPS-1

1.6 TB

RAID-0

128 GB

24 核,48 线程

SED-FIPS-4

3.2 TB

RAID-10

思科 SNS-3895-K9

256 GB

24 核,48 线程

NVME-8

3.8 TB

RAID-10

256 GB

24 核,48 线程

SED-8

3.8 TB

RAID-10

256 GB

24 核,48 线程

SED-FIPS-8

6.4 TB

RAID-10

有关更多信息,请参阅《思科 SNS 3800 系列设备硬件安装指南》。

VMware 虚拟机要求

您可以使用 VMware 迁移功能在主机之间迁移虚拟机实例(运行任何 Persona)。思科 ISE 支持热迁移和冷迁移。

  • 热迁移也称为实时迁移或 vMotion。迁移期间无需关闭或断开思科 ISE 电源。您可以在不中断其可用性的情况下迁移思科 ISE VM。

  • 思科 ISE 必须关闭并关闭电源才能进行冷迁移。思科 ISE 不允许在迁移期间停止或暂停数据库操作。因此,请确保思科 ISE 在冷迁移期间未运行且未处于活动状态。


    您必须先使用 application stop 命令,然后再使用 halt 命令或关闭虚拟机,以便防止出现数据库损坏问题。

300 GB OVA 模板足以用于作为专用策略服务的思科 ISE 节点或 pxGrid 节点。

建议用 600 GB 和 1.2 TB OVA 模板来满足运行管理或监控 Persona 的节点的最低要求。

如果您需要自定义磁盘大小、CPU 或内存分配,可以使用标准 .iso 映像手动部署思科 ISE。但是,务必要确保满足本文档中指定的最低要求和资源预留。OVA 模板可以通过自动应用每个平台所需的最少资源来简化 ISE 虚拟设备部署。

表 2. OVA 模板预留

OVA 模板类型

CPU 数量

CPU 预留 (GHz)

内存 (GB)

内存预留 (GB)

超小型

8

8

32

32

小型 (SNS 3615)

16

16

32

32

中型 (SNS 3655)

24

24

96

96

大型 (SNS 3695)

24

24

256

256

小型 (SNS 3715)

24

24

32

32

中型 (SNS 3755)

40

40

96

96

大型 (SNS 3795)

40

40

256

256

小型 (SNS 3815)

32

32

64

64

中型 (SNS 3855)

48

48

128

128

大型 (SNS 3895)

48

48

256

256

您只能在超小型虚拟机上启用 PSN Persona。此节点不支持 PAN 和 MnT Persona。

预留足够的 CPU 和内存资源以匹配所需的分配量。资源预留不足会严重影响 ISE 的性能和稳定性。

下表列出了 VMware 虚拟机要求。

表 3. VMware 虚拟机要求

要求类型

规范

CPU

  • 生产

    • 时钟速度:2.0 GHz 或更快

    • 核心数量:

      • SNS 3600 系列设备:

        • 超小型:8

        • 小型:16

        • 中型:24

        • 大型:24

           

          由于超线程技术,核心数量是相应思科 SNS 3600 系列的两倍。例如,在小型网络部署中,必须分配 16 个 vCPU 核心才能满足 SNS 3615 的 CPU 规格,该设备具有 8 个 CPU 核心或 16 个线程。

      • SNS 3700 系列设备:

        • 小型:24

        • 中型:40

        • 大型:40

           

          由于超线程技术,核心数量是相应思科 SNS 3700 系列的两倍。例如,在小型网络部署中,必须分配 24 个 vCPU 核心才能满足 SNS 3715 的 CPU 规格,该设备具有 12 个 CPU 核心或 24 个线程。

      • SNS 3800 系列设备:

        • 小型:32

        • 中型:48

        • 大型:48

           

          由于超线程技术,核心数量是相应思科 SNS 3800 系列的两倍。例如,在小型网络部署中,必须分配 32 个 vCPU 核心才能满足 SNS 3815 的 CPU 规格,该设备具有 16 个 CPU 核心或 32 个线程。

内存

  • 生产

    • 超小型:32 GB

    • 小型:

      • SNS 3615 和 SNS 3715 为 32 GB

      • SNS 3815 为 64 GB

    • 中长:

      • SNS 3655 和 SNS 3755 为 96 GB

      • SNS 3855 为 128 GB

    • 大型:SNS 3695、SNS 3795 和 SNS 3895 为 256 GB

硬盘

  • 生产

    300 GB 至 2.4 TB 磁盘存储(大小取决于部署和任务)。

    建议您的虚拟机主机服务器使用最低转速为 10,000 RPM 的硬盘。

 

创建思科 ISE 虚拟机时,使用单个满足存储要求的虚拟磁盘。如果使用多个虚拟磁盘来满足磁盘空间要求,安装程序可能无法识别所有磁盘空间。

存储和文件系统

思科 ISE 虚拟设备的存储系统要求的写入性能最低为每秒 50 MB,读取性能最低为每秒 300 MB。部署的存储系统应满足这些性能条件并受 VMware 服务器的支持。

您可以使用 show tech-support 命令查看读取和写入性能指标。

我们推荐使用 VMFS 文件系统,因为它经过了最广泛的测试,不过如果其他文件系统、传输和媒体满足上述要求,也是可以部署的。

磁盘控制器

半虚拟化或 LSI 逻辑并行

为了获得最佳性能和冗余,建议使用缓存 RAID 控制器。此外,带后备电池的控制器缓存可以大幅提高写入操作性能。

 

将思科 ISE 虚拟机的磁盘 SCSI 控制器从其他类型更新为 VMware 半虚拟化控制器可能导致其无法启动。

网卡

需要 1 个 NIC 接口(建议使用两个或更多 NIC;支持六个 NIC)。

思科 ISE 支持 E1000E 和 VMXNET3 适配器。

 

必须重新映射 ESXi 适配器以使其与思科 ISE 适配器顺序同步。

VMware 虚拟硬件版本/虚拟机监控程序

  • OVA 模板:ESXi 6.7、ESXi 7.0 和 ESXi 8.0 上的 VMware 版本 14 或更高版本。

  • ISO 文件支持 ESXi 6.7、ESXi 7.0 和 ESXi 8.0

思科 ISE 的 VMware HA 和 DRS 配置建议

VMware 高可用性 (HA) 或分布式资源调度器 (DRS) 策略配置不正确可能会触发虚假的主机故障事件,导致 ESXi 意外重启您的思科 ISE 虚拟机。为保持部署稳定性并防止思科 ISE 服务中断,请确保按照 VMware 建议配置您的 VMware 虚拟机。

Linux KVM 要求

表 4. Linux KVM 要求

要求类型

最低要求

CPU

  • 生产

    • 时钟速度:2.0 GHz 或更快

    • 核心数量:

      • SNS 3600 系列设备:

        • 超小型:8

        • 小型:16

        • 中型:24

        • 大型:24

           

          由于超线程技术,核心数量是同等思科 SNS 3600 系列设备的两倍。例如,对于小型网络部署,必须分配 16 个 vCPU 核心才能满足 SNS 3615 的 CPU 规格,该设备具有 8 个 CPU 核心或 16 个线程。

      • SNS 3700 系列设备:

        • 小型:24

        • 中型:40

        • 大型:40

           

          由于超线程技术,核心数量是同等思科 SNS 3700 系列设备的两倍。例如,对于小型网络部署,必须分配 24 个 vCPU 核心才能满足 SNS 3715 的 CPU 规格,该设备具有 12 个 CPU 核心或 24 个线程。

      • SNS 3800 系列设备:

        • 小型:32

        • 中型:48

        • 大型:48

           

          由于超线程技术,核心数量是同等思科 SNS 3800 系列设备的两倍。例如,对于小型网络部署,必须分配 32 个 vCPU 核心才能满足 SNS 3815 的 CPU 规格,该设备具有 16 个 CPU 核心或 32 个线程。

内存

  • 生产

    • 超小型:32 GB

    • 小型:

      • SNS 3615 和 SNS 3715 为 32 GB

      • SNS 3815 为 64 GB

    • 中长:

      • SNS 3655 和 SNS 3755 为 96 GB

      • SNS 3855 为 128 GB

    • 大型:SNS 3695、SNS 3795 和 SNS 3895 为 256 GB

硬盘

  • 生产

    300 GB 至 2.4 TB 磁盘存储(大小取决于部署和任务)。

    建议您的虚拟机主机服务器使用最低转速为 10,000 RPM 的硬盘。

     

    创建思科 ISE 虚拟机时,使用单个满足存储要求的虚拟磁盘。如果使用多个虚拟磁盘来满足磁盘空间要求,安装程序可能无法检测到总磁盘空间。

KVM 磁盘设备

磁盘总线 - virtio,缓存模式 - 无,I/O 模式 - 本机

使用预分配的 RAW 存储格式。

网卡

需要 1 个 NIC 接口(建议使用两个或更多 NIC 接口;支持六个 NIC 接口)。

思科 ISE 支持 VirtIO 驱动程序。我们建议使用 VirtIO 驱动程序以提高性能。

虚拟机监控程序

QEMU 2.12.0-99 及以上版本上的 KVM

Microsoft Hyper-V 要求

表 5. Microsoft Hyper-V 要求

要求类型

最低要求

CPU

  • 生产

    • 时钟速度:2.0 GHz 或更快

    • 核心数量:

      • SNS 3600 系列设备:

        • 超小型:8

        • 小型:16

        • 中型:24

        • 大型:24

           

          由于超线程技术,核心数量是同等思科 SNS 3600 系列设备的两倍。例如,对于小型网络部署,必须分配 16 个 vCPU 核心才能满足 SNS 3615 的 CPU 规格,该设备具有 8 个 CPU 核心或 16 个线程。

      • SNS 3700 系列设备:

        • 小型:24

        • 中型:40

        • 大型:40

           

          由于超线程技术,核心数量是同等思科 SNS 3700 系列设备的两倍。例如,对于小型网络部署,必须分配 24 个 vCPU 核心才能满足 SNS 3715 的 CPU 规格,该设备具有 12 个 CPU 核心或 24 个线程。

      • SNS 3800 系列设备:

        • 小型:32

        • 中型:48

        • 大型:48

           

          由于超线程技术,核心数量是同等思科 SNS 3800 系列设备的两倍。例如,对于小型网络部署,必须分配 32 个 vCPU 核心才能满足 SNS 3815 的 CPU 规格,该设备具有 16 个 CPU 核心或 32 个线程。

内存

  • 生产

    • 超小型:32 GB

    • 小型:

      • SNS 3615 和 SNS 3715 为 32 GB

      • SNS 3815 为 64 GB

    • 中长:

      • SNS 3655 和 SNS 3755 为 96 GB

      • SNS 3855 为 128 GB

    • 大型:SNS 3695、SNS 3795 和 SNS 3895 为 256 GB

硬盘

  • 生产

    300 GB 至 2.4 TB 磁盘存储(大小取决于部署和任务)。

    建议您的虚拟机主机服务器使用最低转速为 10,000 RPM 的硬盘。

 

创建思科 ISE 虚拟机时,使用单个满足存储要求的虚拟磁盘。如果使用多个虚拟磁盘,安装程序可能无法检测到总磁盘空间。

网卡

需要 1 个 NIC 接口(建议使用两个或更多 NIC;支持六个 NIC)。

虚拟机监控程序

Hyper-V (Microsoft)


思科 ISE 支持 Azure Stack HCI 23H2 及更高版本。Azure Stack HCI 中思科 ISE 虚拟机的要求和安装步骤与 Microsoft Hyper-V 相同。

Nutanix AHV 要求

思科 ISE 必须使用标准思科 ISE.iso 映像在 Nutanix AHV 上部署。不能在 Nutanix AHV 上使用 OVA 模板部署思科 ISE。

下表指定了 Nutanix AHV 上不同部署类型的建议资源预留:

类型 CPU 数量 CPU 预留 (GHz) 内存 (GB) 内存预留 (GB) 硬盘

超小型

8

8

32

32

300 GB
小型 16 16 32 32 600 GB
24 24 96 96 1.2 TB
大型 24 24 256 256 2.4 TB (4*600 GB)

在 Nutanix AHV 上安装思科 ISE 之前,必须进行以下配置:

  • 在 Nutanix AHV 上创建虚拟机并保持虚拟机电源关闭。

  • 如果使用 AOS 6.8 或更早版本,通过 SSH 登录访问 Nutanix CVM 并运行以下命令:

    • <acropolis> vm.serial_port_create <Cisco ISE VM Name> type=kServer index=0

    • <acropolis> vm.update <Cisco ISE VM Name> disable_branding=true

    • <acropolis> vm.update <思科 ISE 虚拟机名称> disable_hyperv=true

    如果使用 AOS 7.0,通过 SSH 登录访问 Nutanix CVM 并运行以下命令:

    • <acropolis> vm.serial_port_create <Cisco ISE VM Name> type=kServer index=0

    • <acropolis> vm.update <Cisco ISE VM Name> disable_branding=true

  • 退出 Acropolis CLI,启动虚拟机电源,并使用标准 .iso 映像安装思科 ISE。

表 6. Nutanix AHV 要求

要求类型

最低要求

CPU

  • 生产:

    • 时钟速度:2.0 GHz 或更快

    • 核心数量

      • 超小型:8 个处理器(4 个启用了超线程的核心)

      • 小型:12 个处理器(6 个启用了超线程的核心)

      • 大型:16 个处理器(8 个启用了超线程的核心)

思科 ISE 支持超线程。如果可用,建议启用超线程。

 

超线程可以提高整体性能,但每个虚拟设备的支持扩展限制保持不变。根据所需的物理核心数而非逻辑处理器数分配 CPU 资源。

内存

  • 生产:

    • 小型:16 GB

    • 大型:64 GB

硬盘

  • 生产:

    300 GB 至 2 TB 磁盘存储(大小取决于部署和任务)。

    建议您的虚拟机主机服务器使用最低转速为 10,000 RPM 的硬盘。

     

    要支持 2.4 TB 硬盘,必须使用四个 600 GB 硬盘。

KVM 磁盘设备

磁盘总线 - SCSI

网卡

需要 1 GB NIC 接口(建议使用两个或多个 NIC;支持六个 NIC)。

思科 ISE 支持 VirtIO 驱动程序。我们建议使用 VirtIO 驱动程序以提高性能。

虚拟机监控程序

AOS - 6.8 和 7.0,Nutanix AHV - 10.0

Red Hat OpenShift 要求

您可以在 Red Hat OpenShift 虚拟化平台上部署思科 ISE 3.4 补丁 4 及更高版本的虚拟机。这使您能够在单个平台上管理虚拟机和容器工作负载。

在 Red Hat OpenShift 平台上部署思科 ISE 虚拟机之前,请查看这些要求。

  • 必须使用标准思科 ISE ISO 映像在 OpenShift 平台上部署思科 ISE。不支持使用 OVA 模板部署思科 ISE。

  • 思科 ISE 支持Red Hat OpenShift 容器平台 4.19 及更高版本。

  • 必须安装 OpenShift 虚拟化插件才能部署思科 ISE。

  • 必须安装 OpenShift 容器网络接口 (CNI) 以进行网络配置。

在 OpenShift 平台上安装思科 ISE 之前,请确保满足以下前提条件:

  • 在 OpenShift 平台上为思科 ISE 创建存储基础设施。配置持久卷、存储类和持久卷声明,以满足思科 ISE 虚拟机的 CPU、内存和其他资源要求。

  • 为思科 ISE ISO 文件创建可引导卷。依次选择启动卷 > 添加卷 > ISO 映像,然后上传思科 ISE ISO 文件。在批量模式访问模式批量名称首选项字段中输入所需的详细信息,然后点击保存

  • 配置次要 VLAN 接口。依次选择网络 > 网络附加定义并创建次要网络。

    不要将 pod 网络用于思科 ISE 配置。

  • 创建 YAML 文件以配置虚拟机。在 YAML 文件中,指定虚拟机设置(如 CPU 核心、磁盘和启动顺序)。

  • 选择虚拟化 > 概述 > 创建虚拟命令行工具,并使用 ocvirtctrl OpenShift 命令行接口实用程序根据思科 ISE VM 资源要求创建分区。

    您也可以创建 pod 来上传 ISO 文件。

  • 确保持久卷声明和虚拟机在同一个节点上。

选择虚拟机 > 创建 > YAML 文件以创建虚拟机。您可以从控制台 > VNC 页面监控安装进度。

OpenShift 平台上的思科 ISE 安装过程与其他虚拟机平台相同。有关如何使用 ISO 映像安装思科 ISE 的信息,请参阅使用 CIMC 安装思科 ISE

要支持Red Hat OpenShift 平台,思科 ISE 3.4 版本必须仅使用以下 ISO 文件:

ise-3.4.0.608b.SPA.x86_64.iso

适用于思科 ISE 的 VMware 云解决方案

在任何公有云平台上,配置您的 VPN,以允许 VMware 引擎连接到本地部署以及其他所需的设备和服务。您可以通过以下公有云平台在 VMware 云解决方案上部署思科 ISE:

  • Amazon Web Services (AWS) 上的 VMware 云:在 AWS 上的 VMware 云提供的软件定义数据中心上托管思科 ISE。在 VMware 云上(在网络和安全 > 安全 > 网关防火墙设置页面)配置适当的安全组策略,以允许访问本地部署以及其他所需的设备和服务。

  • Azure VMware 解决方案:Azure VMware 解决方案在 Microsoft Azure 上本地运行 VMware 工作负载。您可以将思科 ISE 托管为 VMware 虚拟机。

  • Google 云 VMware 引擎:Google 云 VMware 引擎运行 VMware 的软件定义的数据中心。您可以使用 VMware 引擎将思科 ISE 作为 VMware 虚拟机托管。

有关在云平台上部署思科 ISE 的更多信息,请参阅在云平台上本地部署思科身份服务引擎

虚拟机大小建议

虚拟机设备规格应与生产环境中使用的物理设备规格一致。

为设备分配资源时,请遵循以下指南:

  • 不要在多个访客虚拟机之间共享或超额分配资源。使用 OVF 模板分配足够的资源。如果使用 ISO 映像手动安装思科 ISE,请确保分配同等的预留。

    如果未分配指定的资源,可能会导致性能下降或服务故障。为避免这些问题,请部署专用的虚拟机资源。

    如果在未配置建议预留的情况下手动部署思科 ISE,必须密切监控设备的资源利用率。根据需要增加资源,以确保思科 ISE 部署的正常运行和健康状态。

  • 如果使用 OVA 模板进行安装,安装完成后,请在编辑设置页面(虚拟硬件选项卡下)检查以下设置:

    • 确保在 CPU/内存预留段中分配VMware 虚拟机要求部分中指定的资源预留,以确保思科 ISE 部署的正常运行和健康状态。

    • 确保将 CPU 限制字段中的 CPU 使用率设置为无限制。设置 CPU 使用率限制会影响系统性能。如果已设置限制,请关闭虚拟机客户端,移除限制,然后重启客户端。

    • 确保内存限制字段中的内存使用率设置为无限制。设置内存使用率限制会影响系统性能。

    • 确保硬盘区域中的共享选项已设置为

      管理和 MnT 节点很大程度上依赖磁盘使用率。在 VMware 环境中使用共享磁盘存储可能会降低磁盘性能。必须增加分配给节点的磁盘共享数量以提高性能。

  • 可以在磁盘空间小于管理节点或监控节点的虚拟机上部署策略服务节点。任一生产思科 ISE 节点的最小磁盘空间为 300 GB。

  • 虚拟机可以配置 1 到 6 个 NIC。尽可能为虚拟机配置至少两个 NIC。额外的接口支持分析、访客服务或 RADIUS 等服务。

如果减少虚拟机的内存或 CPU 分配,必须使用新的虚拟机配置重新映像思科 ISE。但是,增加内存或 CPU 容量不需要重新映像。

思科 ISE 部署中虚拟机的磁盘空间要求

下表列出了针对在生产部署中运行虚拟机建议的思科 ISE 磁盘空间分配。

要引导 2 TB 或更大的 GPT 分区,请在虚拟机设置启动模式中将固件从 BIOS 更改为 EFI
表 7. 虚拟机推荐磁盘空间

思科 ISE Persona

用于生产的最小磁盘空间

用于生产的建议磁盘空间

最大磁盘空间

独立 ISE

600 GB

600 GB 至 2.4 TB

2.4 TB

分布式思科 ISE,仅管理

600 GB

600 GB

2.4 TB

分布式思科 ISE,仅监控

600 GB

600 GB 至 2.4 TB

2.4 TB

分布式思科 ISE,仅策略服务

300 GB

300 GB

2.4 TB

分布式思科 ISE,仅 pxGrid

300 GB

300 GB

2.4 TB

分布式思科 ISE,管理和监控(以及可选的 pxGrid)

600 GB

600 GB 至 2.4 TB

2.4 TB

分布式思科 ISE,管理、监控和策略服务(以及可选的 pxGrid)

600 GB

600 GB 至 2.4 TB

2.4 TB


需要额外磁盘空间来存储本地调试日志和暂存文件。升级期间也需要额外空间来处理日志数据,此时主管理节点会暂时成为监控节点。

思科 ISE 的磁盘空间指南

确定思科 ISE 的磁盘空间时,请考虑以下指南:

  • 思科 ISE 必须安装在虚拟机的单个磁盘上。

  • 磁盘分配根据日志记录保留要求而异。在已启用监控 Persona 的任何节点上,30% 的虚拟机磁盘空间分配用于日志存储。具有 25,000 个终端的部署每天会生成大约 1 GB 的日志。

    例如,如果您有一个磁盘空间为 600 GB 的监控节点,则 360 GB 分配用于日志存储。如果每天 100,000 个终端连接到此网络,则每天会生成大约 4 GB 的日志。在此情况下,您可以在监控节点中存储 76 天的日志,此后必须将旧数据转移到存储库并从监控数据库中将其清除。

为进行额外的日志存储,您可以增大 VM 磁盘空间。每增加 100 GB 磁盘空间,即可额外获得 60 GB 用于日志存储。

如果在初始安装后增加虚拟机磁盘大小,请执行思科 ISE 全新安装。这确保思科 ISE 能够正确检测并使用全部磁盘分配。

下表显示了根据磁盘空间和终端数量,监控节点上 RADIUS 日志的保留期。这些值基于以下假设:每个终端每天进行 10 次或更多次身份验证,且启用了日志抑制。

表 8. 监控节点日志存储(RADIUS 的保留期,以天为单位)

终端数量

300 GB

600 GB

1024 GB

2048 GB

5,000

504

1510

2577

5154

10,000

252

755

1289

2577

25,000

101

302

516

1031

50,000

51

151

258

516

100,000

26

76

129

258

150,000

17

51

86

172

200000

13

38

65

129

250,000

11

31

52

104

500,000

6

16

26

52

下表显示了根据磁盘空间和终端数量,监控节点上 TACACS+ 日志的保留期。这些值基于以下假设:脚本针对所有 NAD 运行,每天 4 个会话,每个会话 5 个命令。

表 9. 监控节点日志存储(TACACS+ 的保留期,以天为单位)

终端数量

300 GB

600 GB

1024 GB

2048 GB

100

12,583

37,749

64,425

128,850

500

2,517

7,550

12,885

25,770

1,000

1,259

3,775

6,443

12,885

5,000

252

755

1,289

2,577

10,000

126

378

645

1,289

25,000

51

151

258

516

50,000

26

76

129

258

75,000

17

51

86

172

100,000

13

38

65

129

增加磁盘大小

如果上下文和可视性功能运行缓慢或日志存储空间不足,必须分配更多磁盘空间。

每增加 100 GB 磁盘空间,就有 60 GB 可用于日志存储。

要使思科 ISE 能够检测并使用新的磁盘分配,必须取消注册该节点,更新虚拟机设置,然后重新安装思科 ISE。您可以在新的更大节点上安装思科 ISE,并将该节点添加到部署中以实现高可用性。节点同步后,将新虚拟机配置为主节点并取消注册原始虚拟机。

减少磁盘大小

如果在安装思科 ISE 后减少虚拟机预留,必须执行以下步骤:

  1. 备份思科 ISE。

  2. 使用更新后的虚拟机配置重新映像思科 ISE。

  3. 恢复思科 ISE。