其他安装信息

用于从安装 ISO 文件创建可引导 USB 设备的工具

下表显示了在不同思科 ISE 版本中从安装 ISO 文件创建可引导 USB 设备时要使用的工具。

表 1. 用于创建可引导 USB 设备的工具

思科 ISE 版本

工具

思科 ISE 3.5

Rufus、Fedora Media Writer 和 balenaEtcher

思科 ISE 3.4

  • 适用于 ise-3.4.0.608.SPA.x86_64.iso 文件的 Rufus

  • 适用于 ise-3.4.0.608a.SPA.x86_64.iso 的 Rufus、Fedora Media Writer 和 balenaEtcher

思科 ISE 3.3

Rufus

思科 ISE 3.2

Rufus

Cisco ISE 3.1

适用于 SNS 3500 和 SNS 3600 系列设备的 Fedora LiveUSB-creator。

适用于 SNS 3700 系列设备的 Rufus

思科 ISE 3.1 补丁 6 及更高版本以及思科 ISE 3.2 补丁 2 及更高版本支持思科 SNS 3700 系列设备。

您可以从以下位置下载 Rufus:

https://rufus.ie/downloads/

您可以从以下位置下载 Fedora Media Writer:

https://github.com/FedoraQt/MediaWriter/releases/tag/5.0.6

您可以从以下位置下载 balenaEtcher:

https://github.com/balena-io/etcher/releases/tag/v1.19.21

SNS 设备参考

使用 Rufus 创建可引导 USB 设备

开始之前

  • 将思科 ISE 安装 ISO 文件下载至本地系统。

  • 使用 16 GB 或 32 GB 的 USB 设备。

过程

步骤 1

使用 FAT16 或 FAT32 重新格式化 USB 设备以释放所有空间。

步骤 2

将 USB 设备插入本地系统并启动 Rufus

步骤 3

从启动选择下拉列表中,选择磁盘或 ISO 映像

步骤 4

点击选择并选择思科 ISE ISO 文件。

步骤 5

分区方案下拉列表中,选择 MBR

步骤 6

目标系统下拉列表中选择 BIOS 或 UEFI

步骤 7

点击开始 (Start)

您可以在进度条中查看可引导 USB 创建的状态。过程完成后,您可以在本地系统上访问 USB 驱动器的内容。

步骤 8

从本地系统安全移除 USB 设备。

步骤 9

将可引导 USB 设备插入思科 ISE 设备,重启设备,并通过从 USB 驱动器启动来安装思科 ISE。

使用 Fedora Media Writer 创建可引导 USB 设备

开始之前

过程

步骤 1

打开 Fedora Media Writer 应用程序。

步骤 2

选择映像源选项卡中,点击选择 .iso 文件,选择 ISO 文件并点击下一步

步骤 3

将 USB 设备插入本地系统,并启动 Fedora Media Writer

步骤 4

选择 ISO 文件,然后点击写入

等待过程完成。此过程可能需要几分钟,具体取决于您的 USB 设备速度。过程完成后,应用程序会显示通知消息。

步骤 5

从本地系统安全地删除 USB 设备。

步骤 6

将可引导 USB 设备插入思科 ISE 设备。重新启动设备。从 USB 驱动器启动以安装思科 ISE。

使用 balenaEtcher 创建可引导 USB 设备

开始之前

  • 将思科身份服务引擎 (ISE) 安装 ISO 文件下载到本地系统。

  • 从以下位置下载 balenaEtcher:

    https://github.com/balena-io/etcher/releases/tag/v1.19.21

  • 使用 16 GB 或 32 GB 的 USB 设备。

  • 使用 FAT-16 或 FAT-32 文件系统重新格式化 USB 设备,以确保所有空间可用。

过程

步骤 1

运行 balenaEtcher 应用程序。

步骤 2

点击从文件写入。从本地系统选择 ISO 文件。

如果出现“缺少分区表”消息,请点击继续继续

步骤 3

点击选择目标。选择 USB 设备。

步骤 4

点击写入开始该过程。

过程完成后,您将看到通知消息。

步骤 5

将可引导 USB 设备插入思科 ISE 设备。重新启动设备。从 USB 驱动器启动以安装思科 ISE。

重新映像思科 SNS 硬件设备

思科 SNS 硬件设备没有内置 DVD 驱动器。因此,要使用思科 ISE 软件重新映像思科 ISE 硬件设备,您可以选择以下选项之一:

思科 SNS 硬件设备支持统一可扩展固件接口 (UEFI) 安全启动功能。此功能确保只有经过思科签名的 ISE 映像才能安装在 SNS 硬件设备上,并防止即使物理访问设备也能安装任何未签名的操作系统。举例来说,常规操作系统(Red Hat Enterprise Linux 或 Microsoft Windows)无法在此设备上引导。

  • 使用思科集成管理控制器 (Cisco IMC) 界面将安装 .iso 文件映射到虚拟 DVD 设备。

  • 使用安装 .iso 文件创建安装 DVD。插入 USB 外置 DVD 驱动器,然后从 DVD 驱动器启动设备。

  • 使用安装 .iso 文件创建可引导 USB 设备。从 USB 驱动器启动设备。

VMware 虚拟机

本文档中提供的 VMware 外形规格说明也适用于安装在 Hyperflex 上的思科身份服务引擎 (ISE)。

虚拟机资源和性能检查

在虚拟机上安装思科 ISE 之前,安装程序会将虚拟机上可用的硬件资源与建议的硬件规范进行比较,以执行硬件完整性检查。

在虚拟机 (VM) 资源检查期间,安装程序会验证分配给虚拟机的硬盘空间、CPU 核心数、CPU 时钟速度和内存。如果虚拟机资源不符合基本评估规格,安装将终止。此检查仅适用于基于 ISO 的安装。

运行设置程序时,安装程序会对磁盘 I/O 执行虚拟机性能检查。如果磁盘 I/O 性能不符合建议规格,安装程序会显示警告,但您可以继续安装。

虚拟机性能检查会定期(每小时)执行,结果按一天的平均值计算。如果磁盘 I/O 性能不符合建议的规格,系统会生成警报。

VM 性能检查也可以根据需要从思科 ISE CLI 中使用 show tech-support 命令完成。

可以在思科 ISE 安装之外运行虚拟机资源和性能检查。使用思科 ISE 启动菜单执行这些测试。

使用 ISO 文件在 VMware 虚拟机上安装思科 ISE

本部分介绍如何使用 ISO 文件在 VMware 虚拟机上安装思科 ISE。

配置 VMware ESXi 服务器的必备条件

尝试配置 VMWare ESXi 服务器之前,请查看本部分中列出的如下配置必备条件:

  • 务必要以具有管理权限的用户身份(根用户)登录 ESXi 服务器。

  • 思科 ISE 是 64 位系统。安装 64 位系统之前,请确保在 ESXi 服务器上启用了虚拟化技术 (VT)。

  • 确保在 VMware 虚拟机上分配建议的磁盘空间量。

  • 如果您尚未创建 VMware 虚拟机文件系统 (VMFS),则必须创建该文件系统以支持思科 ISE 虚拟设备。系统会为 VMware 主机上配置的每个存储卷设置 VMFS。对于 VMFS5,1 MB 块大小支持最多 1.999 TB 虚拟磁盘大小。

虚拟化技术检查

如果您已安装 ESXi 服务器,可以在不重启机器的情况下检查是否启用了虚拟化技术 (VT)。使用 esxcfg-info 命令执行此检查。 


~ # esxcfg-info |grep "HV Support"
|----HV Support............................................3
|----World Command Line.................................grep HV Support

如果 HV Support 的值为 3,则 ESXi 服务器上已启用 VT。您可以继续安装。

如果 HV 支持的值为 2,则 VT 受支持,但未在 ESXi 服务器上启用。编辑 BIOS 设置并在 ESXi 服务器上启用 VT。

在 ESXi 服务器上启用虚拟化技术

您可以重用之前托管过思科 ISE 虚拟机旧版本的相同硬件。但是,在安装最新版本之前,必须在 ESXi 服务器上启用虚拟化技术 (VT)。

过程

步骤 1

重新启动 设备。

步骤 2

F2 以进入设置。

步骤 3

选择 高级(Advanced) > 处理器配置 (Processor Configuration)

步骤 4

选择 Intel(R) VT 并将其启用。

步骤 5

F10 以保存更改并退出。

为思科 ISE 分析器服务配置 VMware 服务器接口

配置 VMware 服务器接口以支持将交换端口分析器 (SPAN) 或镜像流量收集到 Cisco ISE Profiler Service 的专用探测接口。

过程

步骤 1

选择配置 (Configuration) > 网络 (Networking) > 属性 (Properties) > VMNetwork(VMware 服务器实例的名称)VMswitch0(其中一个 VMware ESXi 服务器接口) 属性 (Properties) 安全 (Security)

步骤 2

安全 (Security) 选项卡上的“策略例外”(Policy Exceptions) 窗格中,选中混合模式 (Promiscuous Mode) 复选框。

步骤 3

在“混合模式”下拉列表中,选择接受 (Accept),然后点击 确定

在收集 SPAN 或镜像分析器流量的其他任何 ESXi 服务器接口上执行这些步骤。

使用串行控制台连接至 VMware 服务器

过程

步骤 1

关闭特定的 VMware 服务器(例如 ISE-120)。

步骤 2

右键点击 VMware 服务器,然后选择编辑

步骤 3

点击“硬件” 选项卡上的添加

步骤 4

选择串行端口,然后点击下一步

步骤 5

在串行端口输出 (Serial Port Output) 区域中,选中主机上使用物理串行端口单选按钮或通过网络连接单选按钮,然后点击下一步

  • 如果选择“通过网络连接”(Connect via Network) 选项,则必须通过 ESXi 服务器打开防火墙端口。

  • 如果您在主机上选择 Use physical serial port,请选择端口。您必须选择端口。有两个选项可用:

    • /dev/ttyS0(在 DOS 或 Windows 操作系统中显示为 COM1)。

    • /dev/ttyS1(在 DOS 或 Windows 操作系统中显示为 COM2)。

步骤 6

点击下一步 (Next)

步骤 7

选中“设备状态”区域中的相应复选框。默认情况下,“已连接”处于选中状态。

步骤 8

点击确定以连接到 VMware 服务器。

配置 VMware 服务器

开始之前

确保您已阅读配置 VMware 服务器的必备条件

过程

步骤 1

登录 ESXi 服务器。

步骤 2

在 VMware vSphere 客户端的左窗格中,右键点击主机容器,然后选择新虚拟机

步骤 3

在选择创建类型区域中,点击创建新虚拟机并点击下一步

步骤 4

选择名称和文件夹区域中,输入 VMware 系统的名称,从显示的列表中选择一个位置,然后点击下一步

提示

 

使用您要用于 VMware 主机的主机名。

步骤 5

选择计算资源区域中,选择目标计算资源,然后点击下一步

步骤 6

选择存储区域中,选择具有建议可用空间量的数据存储区并点击下一步

步骤 7

选择兼容性区域中,从兼容于拉列表中,选择与您的思科 ISE 版本兼容的 ESXi 版本,然后点击下一步

有关与您的思科 ISE 版本兼容的 ESXi 版本信息,请参阅适用于您版本的《思科身份服务引擎发行说明》中的“支持的虚拟环境”。

步骤 8

选择访客操作系统区域中,完成以下步骤,然后点击下一步

  1. 访客操作系统系列下拉列表中选择 Linux

  2. 访客操作系统版本下拉列表中选择受支持的 Red Hat Enterprise Linux (RHEL) 版本。思科 ISE 3.1 及更高版本使用 RHEL 8。

步骤 9

自定义硬件区域的虚拟硬件选项卡中,执行以下配置,然后点击下一步

  1. 根据您使用的 SNS 系列设备,从 CPU内存下拉列表中选择所需的值:

    SNS 3600 系列设备:

    • 小型:16 个 vCPU 核心,32 GB

    • 中型:24 个 vCPU 核心,96 GB

    • 大型:24 个 vCPU 核心,256 GB

      由于超线程,核心数量相当于思科安全网络服务器 3600 系列中核心数量的两倍。例如,对于小型网络部署,您必须分配 16 个 vCPU 核心才能满足 SNS 3615(包含 8 个 CPU 核心或 16 个线程)的 CPU 规格。

    SNS 3700 系列设备:

    • 小型:24 个 vCPU 核心,32 GB

    • 中型:40 个 vCPU 核心,96 GB

    • 大型:40 个 vCPU 核心,256 GB

      由于超线程,核心数量相当于思科安全网络服务器 3700 系列中核心数量的两倍。例如,对于小型网络部署,您必须分配 24 个 vCPU 核心,以满足 SNS 3715 的 CPU 规格(该设备具有 12 个 CPU 核心或 24 个线程)。

    SNS 3800 系列设备:

    • 小型:32 个 vCPU 核心,64 GB

    • 中型:48 个 vCPU 核心,128 GB

    • 大型:48 个 vCPU 核心,256 GB

      由于超线程,核心数量相当于思科安全网络服务器 3800 系列中核心数量的两倍。例如,对于小型网络部署,您必须分配 32 个 vCPU 核心,以满足 SNS 3815 的 CPU 规格(该设备具有 16 个 CPU 核心或 48 个线程)。

     

    预留与配置的 vCPU 核心和内存分配相等的 vCPU 和内存资源。如果不这样做,思科 ISE 的性能和稳定性可能会受到显著影响。点击 CPU内存折叠区域,并更新每项设置的预留字段。

  2. 新建 SCSI 控制器下拉列表中,选择半虚拟化

  3. 新网络新 CD/DVD 驱动器下拉列表中,选择所需的网络和 ISO 文件。

步骤 10

适配器下拉列表中选择 NIC 驱动程序并点击下一步

步骤 11

选择创建新虚拟磁盘,然后点击下一步

步骤 12

在“磁盘调配”对话框中,点击密集调配单选按钮,然后点击下一步继续。

思科 ISE 同时支持详细和精简调配。但是,我们建议您选择密集调配快速归零以获取更好的性能,尤其对于监控节点更加如此。如果您选择精简调配,则诸如升级、备份和恢复,以及调试日志记录等需要更多磁盘空间的操作在初始磁盘扩展期间可能会受影响。

步骤 13

取消选中支持群集功能,例如容错能力复选框。

步骤 14

准备完成 区域中,验证新创建的 VMware 系统的配置详情,如名称、访客操作系统、CPU、内存和磁盘大小。

步骤 15

点击完成

系统现已安装 VMware 系统。
下一步做什么

要激活新创建的 VMware 系统,请右键点击 VMware 客户端用户界面的左窗格中的 VM,然后选择 电源 > 开启电源

增加虚拟机启动引导延迟配置

在 VMware 虚拟机上,默认启动延迟设置为 0。您可以更改启动延迟,以便更轻松地选择启动选项(例如重置管理员密码时)。

过程

步骤 1

在 vSphere 客户端中,右键点击虚拟机并选择编辑设置

步骤 2

点击选项选项卡。

步骤 3

选择 高级(Advanced) > 引导选项 (Boot Options)

步骤 4

开机引导延迟 (Power on Boot Delay) 区域中,选择延迟引导操作的时间(以毫秒为单位)。

步骤 5

选中强制 BIOS 设置区域中的复选框,以便虚拟机下次启动时进入 BIOS 设置屏幕。

步骤 6

点击确定,保存更改。

在 VMware 系统上安装思科 ISE 软件

开始之前

  • 安装后,如果您不安装永久许可证,则思科 ISE 会自动安装最多支持 100 个终端的 90 天评估许可证。

  • 请从思科软件下载站点 (http://www.cisco.com/en/US/products/ps11640/index.html) 下载思科 ISE 软件。然后,将该软件刻录到 DVD 上。您必须提供您的 Cisco.com 网站凭证。

  • (可选;仅适用于在 VMware 云上安装思科 ISE 时)在 VMware 云上安装思科 ISE 的过程与在 VMware 虚拟机上安装思科 ISE 的过程完全相同。

    • 部署在 Amazon Web 服务 (AWS) 上 VMware 云中的思科 ISE 虚拟机:思科 ISE 可以托管在 AWS 上 VMware 云提供的软件定义的数据中心 (SDDC) 上。确保在 VMware 云上配置适当的安全组策略(在网络和安全 (Networking & Security) > 安全 (Security) > 网关防火墙设置 (Gateway Firewall Settings) 下)以支持访问现场部署、必需设备和服务。

    • 部署在 Azure VMware 解决方案 (AVS) 上的思科 ISE 虚拟机:AVS 在 Microsoft Azure 上本地运行 VMware 工作负载,思科 ISE 可从中托管为 VMware 虚拟机。

过程

步骤 1

登录到 VMware 客户端。

步骤 2

要使 VM 进入 BIOS 设置模式,请右键点击 VM,然后选择编辑设置

步骤 3

点击选项选项卡。

步骤 4

点击引导选项,然后在强制 BIOS 设置区域中选中 BIOS 复选框,以便在 VM 引导时进入 BIOS 设置屏幕。

 

您必须在 VM 设置的引导模式下将固件从 BIOS 更改为 EFI,才能引导 2 TB 或更大容量的 GPT 分区。

如果您选择了访客操作系统 RHEL 8EFI 启动模式,请禁用启用 UEFI 安全引导选项。默认情况下,为访客操作系统 RHEL 8 VM 启用此选项。

步骤 5

点击确定

步骤 6

在 BIOS 中设置协调世界时 (UTC) 和正确的启动顺序。

  1. 如果 VM 已开启,请关闭系统。

  2. 打开 VM。

    系统进入 BIOS 设置模式。

  3. 在主 BIOS 菜单中,使用箭头键导航到日期和时间 (Date and Time) 字段,然后按 Enter

  4. 输入 UTC/格林威治标准时间 (GMT) 时区。

    此时区设置可确保来自部署中的各种节点的报告、日志和状态代理日志文件在时间戳方面始终同步。

  5. 使用箭头键导航到 Boot 菜单,并按 Enter

  6. 使用箭头键选择 CD-ROM,并按 + 将 CD-ROM 驱动器的启动顺序向上移动。

  7. 使用箭头键导航到“退出”(Exit) 菜单,并选择退出并保存更改 (Exit Saving Changes)

  8. 选择是 (Yes) 保存更改并退出。

步骤 7

将思科 ISE 软件 DVD 插入 VMware ESXi 主机 CD/DVD 驱动器,并打开虚拟机。

当 DVD 启动时,控制台会显示: 


Automatic installation starts in 150 seconds.
Available boot options:
[1] Cisco ISE Installation (Keyboard/Monitor)
[2] Cisco ISE Installation (Serial Console)
[3] System Utilities (Keyboard/Monitor)
[4] System Utilities (Serial Console)
[5] Hard Disk
Enter boot option and press <Enter>.
boot:

步骤 8

使用箭头键选择 Cisco ISE Installation (Serial Console)Cisco ISE Installation (Keyboard/Monitor),并按 Enter。如果选择串行控制台选项,则应在您的虚拟机上设置串行控制台。有关如何创建控制台的信息,请参阅 VMware vSphere 文档

安装程序在 VMware 系统上启动思科 ISE 软件安装。请预留 20 分钟时间来完成安装过程。当安装过程完成时,虚拟机会自动重新启动。当 VM 重新启动时,控制台会显示以下内容: 
Type 'setup' to configure your appliance
localhost:

步骤 9

在系统提示符后,输入 setup 并按 Enter

系统随即会显示安装向导并引导您完成初始配置。

VMware 工具安装验证

使用 vSphere 客户端中的 Summary 选项卡验证 VMWare 工具安装

在 vSphere 客户端中,转到指定 VMware 主机的“摘要”选项卡。验证 VMware Tools 字段中的值是否显示“正常”。

图 1. 在 vSphere 客户端中验证 VMware 工具
此图显示如何使用 vSphere 验证是否已安装 VMware 工具
使用 CLI 验证 VMware Tools 安装
要检查是否已安装 VMware Tools,请运行 show inventory 命令。输出将显示 NIC 驱动程序信息。如果已安装 VMware Tools,您将在驱动程序描述字段中看到“VMware 虚拟以太网驱动程序”。 
NAME: "ISE-VM-K9 chassis", DESCR: "ISE-VM-K9 chassis"
PID: ISE-VM-K9       , VID: A0  , SN: FCH184X9XXX
Total RAM Memory: 65700380 kB
CPU Core Count: 16
CPU 0: Model Info: Intel(R) Xeon(R) CPU E5-2640 v3 @ 2.60GHz
CPU 1: Model Info: Intel(R) Xeon(R) CPU E5-2640 v3 @ 2.60GHz
CPU 2: Model Info: Intel(R) Xeon(R) CPU E5-2640 v3 @ 2.60GHz
CPU 3: Model Info: Intel(R) Xeon(R) CPU E5-2640 v3 @ 2.60GHz
CPU 4: Model Info: Intel(R) Xeon(R) CPU E5-2640 v3 @ 2.60GHz
CPU 5: Model Info: Intel(R) Xeon(R) CPU E5-2640 v3 @ 2.60GHz
CPU 6: Model Info: Intel(R) Xeon(R) CPU E5-2640 v3 @ 2.60GHz
CPU 7: Model Info: Intel(R) Xeon(R) CPU E5-2640 v3 @ 2.60GHz
CPU 8: Model Info: Intel(R) Xeon(R) CPU E5-2640 v3 @ 2.60GHz
CPU 9: Model Info: Intel(R) Xeon(R) CPU E5-2640 v3 @ 2.60GHz
CPU 10: Model Info: Intel(R) Xeon(R) CPU E5-2640 v3 @ 2.60GHz
CPU 11: Model Info: Intel(R) Xeon(R) CPU E5-2640 v3 @ 2.60GHz
CPU 12: Model Info: Intel(R) Xeon(R) CPU E5-2640 v3 @ 2.60GHz
CPU 13: Model Info: Intel(R) Xeon(R) CPU E5-2640 v3 @ 2.60GHz
CPU 14: Model Info: Intel(R) Xeon(R) CPU E5-2640 v3 @ 2.60GHz
CPU 15: Model Info: Intel(R) Xeon(R) CPU E5-2640 v3 @ 2.60GHz
Hard Disk Count(*): 1
Disk 0: Device Name: /xxx/abc
Disk 0: Capacity: 1198.00 GB
NIC Count: 6
NIC 0: Device Name: eth0:
NIC 0: HW Address: xx:xx:xx:xx:xx:xx
NIC 0: Driver Descr: Intel(R) Gigabit Ethernet Network Driver
NIC 1: Device Name: eth1:
NIC 1: HW Address: xx:xx:xx:xx:xx:xx
NIC 1: Driver Descr: Intel(R) Gigabit Ethernet Network Driver
NIC 2: Device Name: eth2:
NIC 2: HW Address: xx:xx:xx:xx:xx:xx
NIC 2: Driver Descr: Intel(R) Gigabit Ethernet Network Driver
NIC 3: Device Name: eth3:
NIC 3: HW Address: xx:xx:xx:xx:xx:xx
NIC 3: Driver Descr: Intel(R) Gigabit Ethernet Network Driver
NIC 4: Device Name: eth4:
NIC 4: HW Address: xx:xx:xx:xx:xx:xx
NIC 4: Driver Descr: Intel(R) Gigabit Ethernet Network Driver
NIC 5: Device Name: eth5:
NIC 5: HW Address: xx:xx:xx:xx:xx:xx
NIC 5: Driver Descr: Intel(R) Gigabit Ethernet Network Driver

(*) Hard Disk Count may be Logical.
对升级 VMware 工具的支持

ISE ISO 映像包含受支持的 VMware 工具。无法通过 VMware 客户端用户界面升级 VMware 工具。要使用更新版本的 VMware 工具,请将 ISE 升级到更新版本。

克隆思科 ISE 虚拟机

您可以克隆思科 ISE VMware 虚拟机 (VM) 来创建与思科 ISE 节点完全相同的副本。例如,在具有多个策略服务节点 (PSN) 的分布式部署中,VM 克隆有助于您快速有效地部署 PSN。您不必单独安装和配置 PSN。

您也可以使用模板克隆思科 ISE VM。


要进行克隆,需要使用 VMware vCenter。克隆必须在运行安装程序之前完成。

开始之前

  • 关闭您计划克隆的思科 ISE 虚拟机。在 vSphere 客户端中,右键点击思科 ISE 虚拟机并选择电源 > 关闭访客

  • 在启动克隆机并将其连接到网络之前,更改克隆机的 IP 地址和主机名。

过程

步骤 1

以具有管理权限的用户身份(根用户)登录 ESXi 服务器。

执行此步骤需要 VMware vCenter。

步骤 2

右键点击要克隆的思科 ISE,然后点击克隆

步骤 3

在“名称和位置”对话框中,输入新机器的名称并点击下一步

这不是正在创建的新思科 ISE VM 的主机名,而是供参考的描述性名称。

步骤 4

选择要运行新思科 ISE 虚拟机的主机或集群,然后点击下一步

步骤 5

为新思科 ISE 虚拟机选择数据存储区并点击下一步

该数据存储区可以是 ESXi 服务器上的本地选项,也可以是远程存储。确保数据存储区有足够的磁盘空间。

步骤 6

在磁盘格式 对话框中,选中与源格式相同单选按钮,然后点击下一步

此选项会复制您正在克隆的思科 ISE 虚拟机中使用的格式。

步骤 7

在“访客自定义”对话框中,选中不自定义单选按钮,然后点击下一步

步骤 8

点击完成

下一步做什么

  • 更改克隆虚拟机的 IP 地址和主机名

  • 将克隆的思科虚拟机连接到网络

使用模板克隆思科 ISE 虚拟机

如果使用 vCenter,可以使用 VMware 模板克隆思科 ISE 虚拟机 (VM)。您可以通过克隆思科 ISE 节点创建模板,然后使用该模板创建多个思科 ISE 节点。使用模板克隆虚拟机涉及两个步骤。

开始之前

要进行克隆,需要使用 VMware vCenter。克隆必须在运行安装程序之前完成。
过程

步骤 1

创建虚拟机模板

步骤 2

部署虚拟机模板

创建虚拟机模板
开始之前

  • 确保关闭您要克隆的思科 ISE 虚拟机。在 vSphere 客户端中,右键点击即将克隆的思科 ISE 虚拟机,然后选择电源 > 关闭访客

  • 我们建议您从刚安装且未运行设置程序的思科 ISE 虚拟机创建模板。然后,您可以在已创建的每个单独的思科 ISE 节点上运行设置程序,并且单独配置 IP 地址和主机名。

过程

步骤 1

以具有管理权限的用户身份(根用户)登录 ESXi 服务器。

执行此步骤需要 VMware vCenter。

步骤 2

右键点击要克隆的思科 ISE VM,然后选择克隆 > 要克隆的模板

步骤 3

输入模板的名称,在“名称和位置”对话框中选择用于保存模板的位置,然后点击下一步

步骤 4

选择您要在其上存储模板的 ESXi 主机,然后点击下一步

步骤 5

选择要用于存储模板的数据存储区,然后点击下一步

确保此 datastore 具有所需的磁盘空间量。

步骤 6

点击“磁盘格式”对话框中的 与源格式相同单选按钮,然后点击下一步

系统将显示“准备完成”(Ready to Complete) 对话框。

步骤 7

点击完成
部署虚拟机模板

创建虚拟机模板后,可以将其部署在其他虚拟机 (VM) 上

过程

步骤 1

右键点击已创建的 ISE VM 模板,然后选择从此模板部署虚拟机

步骤 2

输入新思科 ISE 节点的名称。在名称和位置对话框中为节点选择位置,然后点击下一步

步骤 3

选择要存储新思科 ISE 节点的 ESXi 主机,然后点击下一步

步骤 4

选择要用于新思科 ISE 节点的数据存储区,然后点击下一步

验证数据存储区是否有足够的磁盘空间。

步骤 5

点击“磁盘格式”对话框中的 与源格式相同单选按钮,然后点击下一步

步骤 6

点击 Guest Customization 对话框中的不自定义单选按钮。

系统将显示“准备完成”对话框。

步骤 7

选中编辑虚拟硬件复选框,然后点击继续

系统将显示“虚拟机属性”页面。

步骤 8

选择网络适配器,取消选中已连接启动时连接复选框,然后点击确定

步骤 9

点击完成

启动思科 ISE 节点,配置其 IP 地址和主机名,并将其连接到网络。
下一步做什么

更改克隆虚拟机的 IP 地址和主机名

克隆思科 ISE 虚拟机 (VM) 后,启动它并更改其 IP 地址和主机名。

开始之前

  • 确保您的思科 ISE 节点处于独立状态。

  • 启动新克隆的思科 ISE 虚拟机之前,确保其网络适配器未连接。取消选中 已连接 (Connected)启动时连接 (Connect at power on) 复选框。这可防止该节点使用与原始源机器相同的 IP 地址。

    图 2. 断开网络适配器连接
    本图显示如何断开网络适配器。

  • 启动新克隆的虚拟机之前,准备好要分配的 IP 地址和主机名。在 DNS 服务器中添加此 IP 地址和主机名。不要使用“localhost”作为主机名。

  • 使用新的 IP 地址或主机名获取思科 ISE 节点的证书。

过程

步骤 1

右键点击最近克隆的思科 ISE VM,然后选择电源 > 开启电源

步骤 2

选择最近克隆的思科 ISE VM,然后点击控制台选项卡。

步骤 3

在思科 ISE CLI 上输入以下命令: 

configure terminal
hostname hostname

输入您要配置的新主机名。此步骤后,思科 ISE 服务将重启。

步骤 4

输入以下命令:

interface gigabit 0
ip address ip_address netmask

分配一个与您输入的主机名匹配的 IP 地址。为此 IP 地址输入相应的子网掩码。完成后,思科 ISE 会提示您重启服务。有关 ip address 和 hostname 命令的详细信息,请参阅《思科身份服务引擎 CLI 参考指南》。

步骤 5

输入 Y 重新启动思科 ISE 服务。

将克隆的思科 VM 连接到网络

启动系统并更改 IP 地址和主机名后,将思科 ISE 节点连接到网络。

过程

步骤 1

右键点击最近克隆的思科 ISE 虚拟机 (VM),然后点击编辑设置

步骤 2

点击“虚拟机属性”对话框中的网络适配器

步骤 3

在“设备状态”(Device Status) 区域中,选中已连接 (Connected)启动时连接 (Connect at power on) 复选框。

步骤 4

点击确定

将思科 ISE VM 从评估环境迁移至生产环境

评估完思科 ISE 版本后,您可以将系统从评估环境迁移到完全授权的生产环境。

开始之前

  • 将 VMware 服务器移至支持更多用户数的生产环境时,请务必将思科 ISE 安装重新配置为建议的最小磁盘大小或更高容量(最多达到允许的最大值 2.4 TB)。

  • 请注意,无法将数据从所创建的磁盘空间小于 300 GB 的 VM 迁移至生产 VM。只能从磁盘空间为 300 GB 或更大的虚拟机迁移数据到生产环境。

过程

步骤 1

备份评估版本的配置。

步骤 2

确保您的生产 VM 具有所需的磁盘空间量。

步骤 3

安装生产部署许可证。

步骤 4

将配置恢复到生产系统。

按需检查虚拟机性能

您随时可以从 CLI 运行 show tech-support 命令以检查虚拟机性能。该命令的输出类似于以下示例: 

ise-vm123/admin# show tech | begin "disk IO perf"
Measuring disk IO performance
*****************************************
Average I/O bandwidth writing to disk device: 48 MB/second 
Average I/O bandwidth reading from disk device: 193 MB/second 
WARNING: VM I/O PERFORMANCE TESTS FAILED!
WARNING: The bandwidth writing to disk must be at least 50 MB/second,
WARNING: and bandwidth reading from disk must be at least 300 MB/second.
WARNING: This VM should not be used for production use until disk 
WARNING: performance issue is addressed. 
Disk I/O bandwidth filesystem test, writing 300 MB to /opt: 
314572800 bytes (315 MB) copied, 7.81502 s, 40.3 MB/s
Disk I/O bandwidth filesystem read test, reading 300 MB from /opt: 
314572800 bytes (315 MB) copied, 0.416897 s, 755 MB/s

从思科 ISE 启动菜单检查虚拟机资源

您可以在不安装思科 ISE 的情况下从启动菜单检查虚拟机资源。

以下是 CLI 记录示例: 


  Cisco ISE Installation (Serial Console)
  Cisco ISE Installation (Keyboard/Monitor)
  System Utilities (Serial Console)
  System Utilities (Keyboard/Monitor)

使用箭头键选择 System Utilities (Serial Console)System Utilities (Keyboard/Monitor),然后按 Enter。屏幕显示如下: 



Available System Utilities:

  [1] Recover administrator password
  [2] Virtual Machine Resource Check
  [3] Perform System Erase
  [q] Quit and reload

Enter option [1 - 3] q to Quit

输入 2 以检查 VM 资源。输出将类似于以下示例: 

*****
***** Virtual Machine host detected…
***** Hard disk(s) total size detected: 600 Gigabyte
***** Physical RAM size detected: 16267516 Kbytes
***** Number of network interfaces detected: 6
***** Number of CPU cores: 12
***** CPU Mhz: 2300.00
***** Verifying CPU requirement…
***** Verifying RAM requirement…
***** Writing disk partition table…

Linux KVM

KVM 虚拟化检查

您的主机处理器必须支持 KVM 虚拟化。对于英特尔 (Intel) 处理器,检查是否支持 VT-x。对于超微半导体 (AMD) 处理器,检查是否支持 AMD-V。在主机上打开终端窗口并运行 cat /proc/cpuinfo 命令。您应在命令输出中看到“vmx”标志或“svm”标志。

  • 对于 Intel VT-x: 
    # cat /proc/cpuinfo
flags: fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx
pdpe1gb rdtscp lm constant_tsc arch_perfmon pebs bts rep_good nopl xtopology nonstop_tsc aperfmperf eagerfpu pni pclmulqdq dtes64 monitor
ds_cpl vmx smx est tm2 ssse3 cx16 xtpr pdcm pcid dca sse4_1 sse4_2 x2apic popcnt tsc_deadline_timer aes xsave avx lahf_lm arat epb xsaveopt
pln pts dtherm tpr_shadow vnmi flexpriority ept vpid
  • 对于 AMD-V: 
    # cat /proc/cpuinfo
flags: fpu tsc msr pae mce cx8 apic mtrr mca cmov pat pse36 clflush mmx fxsr sse sse2 ht syscall nx mmxext fxsr_opt rdtscp lm 3dnowext 3dnow
 pni cx16 lahf_lm cmp_legacy svm cr8_legacy

在 KVM 上安装思科 ISE

此过程介绍如何在 RHEL 上创建 KVM,并使用虚拟机管理器 (virt-manager) 在 KVM 上安装思科 ISE。

如果选择通过 CLI 安装思科 ISE,请输入类似以下的命令: 

#virt-install --name= kvm-ise1  --arch=x86_64 --cpu=host --vcpus=2 --ram=4096 
--os-type=linux --os-variant=rhel6 --hvm --virt-type=kvm --cdrom= /home/admin/Desktop/ise-3.x.0.x.SPA.x86_64.iso  
--disk= /home/libvirt-images/kvm-ise1.img,size=300  
--network type=direct,model=virtio,source= eth2 ,source_mode=bridge

其中 ise-3.5.0.x.SPA.x86_64.iso 是思科 ISE ISO 映像的名称。

开始之前

将思科 ISE ISO 映像文件下载至本地系统。

过程

步骤 1

在 虚拟机管理器窗口中,点击文件并导航至新建虚拟机。在创建新虚拟机 对话框中,完成以下操作:

  1. 点击本地安装介质(ISO 介质或 CDROM),然后点击继续

  2. 取消选中根据安装介质/源自动检测操作系统复选框。

  3. 从 OS 下拉列表中选择 Red Hat Enterprise Linux 8.2

  4. 点击浏览并从存储池导航窗格中选择磁盘文件系统目录。

  5. 点击浏览本地并从本地系统选择 ISO 映像,然后点击打开

  6. 点击继续

  7. 选择内存和 CPU 设置并点击继续

  8. 选中为虚拟机启用存储复选框。

  9. 点击选择或创建自定义存储

  10. 点击管理。在选择存储卷对话框中,完成以下操作:

    1. 点击旁边的 + 图标。

    2. 从下拉列表中选择原始 qcow2

    3. 最大容量中输入 200 GB。

    4. 点击完成

  11. 选择您创建的卷,然后点击选择卷

  12. 点击继续

  13. 选中在安装前自定义配置,然后点击完成

随即将显示安装屏幕。

步骤 2

从左侧导航菜单中点击 NIC:61:25:78。在详细信息选项卡下,执行以下操作:

  1. 选择主机设备 eno1:macvtap 作为网络源。

  2. 选择桥接作为源模式。

  3. 选择 virtio 作为设备型号。

  4. 点击 Apply

步骤 3

从左侧导航菜单中点击概述。在详细信息选项卡下,执行以下操作:

  1. 固件下拉列表中选择所需的固件。

  2. 点击 Apply

步骤 4

点击开始安装在 KVM 上安装思科 ISE。

思科 ISE 安装启动菜单随即会显示。

步骤 5

在系统提示下,输入 1 继续安装。

步骤 6

在系统提示符后,输入 setup 并按 Enter

系统随即会显示安装向导并引导您完成初始配置。

在 Ubuntu Linux KVM 上安装思科 ISE 时,必须将以下文本添加到虚拟机设置 XML 文件(在 vcpu 信息下)。否则,序列号将无法在关于 ISE 和服务器窗口中正确显示: 

<sysinfo type="smbios">
  <system>
    <entry name="product">KVM</entry>
  </system>
  <baseBoard>
    <entry name="product">KVM</entry>
  </baseBoard>
</sysinfo>
<OS>
  <type arch="x86_64" machine="pc-q35-6.2">hvm</type>
  <boot dev="hd"/>
  <smbios mode="sysinfo"/>
</os>

Microsoft Hyper-V

在 Hyper-V 上创建思科 ISE 虚拟机

本部分介绍如何创建新虚拟机、映射 ISO 映像、编辑 CPU 设置以及在 Hyper-V 上安装思科 ISE。

思科 ISE 不支持多路径 I/O (MPIO)。如果为虚拟机使用 MPIO,安装将失败。

开始之前

从 cisco.com 将思科 ISE ISO 映像下载到您的计算机。

过程

步骤 1

在受支持的 Windows 服务器上启动 Hyper-V Manager。

图 3. Hyper-V 管理器控制台
本图显示了 Hyper-V 管理器控制台。

步骤 2

右键点击 VM 主机,然后点击新建 > 虚拟机

图 4. 创建新的虚拟机
本图显示了如何创建 VM。

步骤 3

点击下一步以自定义 VM 配置。

图 5. New Virtual Machine Wizard
本图显示了新建虚拟机向导

步骤 4

为虚拟机输入名称。选择其他路径存储虚拟机。点击下一步 (Next)

图 6. 指定名称和位置
指定虚拟机的名称和位置。

步骤 5

点击第一代单选按钮,然后点击下一步

如果创建第 2 代思科 ISE 虚拟机,请在虚拟机设置中禁用安全引导选项。

图 7. 指定代数
选择虚拟机的代。

步骤 6

为虚拟机分配内存(例如,16,000 MB)。点击下一步 (Next)

图 8. 分配内存
为虚拟机分配内存。

步骤 7

选择您的网络适配器并点击下一步

图 9. 配置网络
为虚拟机配置网络。

步骤 8

点击创建虚拟硬盘单选按钮,然后点击下一步

图 10. 连接虚拟硬盘

步骤 9

点击从可启动的 CD/DVD-ROM 安装操作系统单选按钮。

  1. 在“介质”区域中,点击映像文件 (.iso) 单选按钮。

  2. 点击浏览以从本地系统选择 ISE ISO 映像,然后点击下一步

图 11. 安装选项

步骤 10

点击完成

图 12. 完成新虚拟机向导

您已在 Hyper-V 上创建了思科 ISE 虚拟机。

图 13. 创建的新虚拟机
创建的新虚拟机。

步骤 11

选择虚拟机并编辑虚拟机设置。

  1. 选择处理器 (Processor)。输入虚拟处理器的数量(例如 6)。点击确定

    图 14. 编辑 VM 设置
    编辑虚拟机设置。

步骤 12

选择 VM,然后点击连接启动 VM 控制台。点击“启动”启动思科 ISE 虚拟机电源。

图 15. 启动思科 ISE VM
启动虚拟机。

思科 ISE 安装菜单随即会显示。

图 16. 思科 ISE 安装菜单
虚拟机安装菜单。

步骤 13

输入 1 使用键盘和显示器安装思科 ISE。

非接触调配

使用零接触调配 (ZTP) 自动执行思科 ISE 安装、补丁、热补丁和基础架构服务启用,无需手动步骤。

ZTP 从思科 ISE 3.1 版本开始提供。ZTP 中有两个可用选项:

  • 映射 .img 文件:此方法适用于虚拟机 (VM) 自动安装、设备和 OVA 安装。配置所需的参数:主机名、IP 地址、子网掩码、默认网关、DNS 域、主名称服务器、NTP 服务器、系统时区、SSH、用户名和密码。(可选)配置 IPv6、补丁、热补丁、服务和存储库详细信息。有关更多信息,请参阅 ZTP 配置映像文件

    对于 Microsoft Hyper-V 上的 ZTP,请使用 .iso 文件并创建第 2 代虚拟机。不要使用 .img 文件。

  • VM 用户数据:使用此方法时,设置必填参数:主机名、IP 地址、IP 子网掩码、IP 默认网关、DNS 域、主名称服务器、NTP 服务器、系统时区、SSH、用户名和密码。有关详细信息,请参阅 VM 用户数据

  • 为 VM 和设备启用串行控制台,以在 ZTP 期间跟踪安装进度。

  • 确保您拥有 ZTP 配置映像文件

  • 从思科 ISE 3.5 版本开始,ZTP 配置文件中添加了一个新属性 management_interface。使用此属性配置管理接口。

通过 ZTP 调配思科 ISE 后,以下安全功能将可用:

使用 TFTP、HTTP、HTTPS 或 NFS 存储库通过 ZTP 在思科 ISE 上安装热补丁和补丁。ZTP 期间创建的存储库无法从思科 ISE GUI 中查看或访问。ZTP 期间只能使用具有匿名访问权限(无用户名或密码)的存储库。

配置公共密钥身份验证

当您将公钥添加到 ZTP 配置文件时,用户可以使用公钥身份验证进行身份验证。启用公钥身份验证会禁用基于密码的用户身份验证。您可以随时禁用公钥身份验证。

要切换回基于密码的身份验证,请在思科 ISE CLI 中使用以下命令: 
conf t
no service sshd PubkeyAuthentication
有关此命令的更多详细信息,请参阅适用于您的思科 ISE 版本的《思科身份服务引擎 CLI 参考指南》中“配置模式下的思科 ISE CLI 命令”章节的“服务”部分。

除非您在安装前已将公钥包含在 ZTP 配置映像文件中,否则不要执行 service sshd PubkeyAuthentication 命令。这会禁用基于密码的身份验证,要求您使用私钥登录。如果遇到此问题,请使用控制台端口登录思科 ISE 并恢复配置。

过程

步骤 1

使用第三方应用来生成公共密钥和私钥对。

步骤 2

包括在 ZTP 配置映像文件中生成的公共密钥。

步骤 3

使用 ZTP 安装思科 ISE。

步骤 4

使用生成的私钥以及以下命令登录到思科 ISE 的 CLI:

ssh -i <path to private key> <username>@<ise-ip>
您现在可以使用自己的私钥成功登录到思科 ISE 的 CLI。

首次登录密码更改

使用 ZTP 成功安装思科 ISE 后,首次登录思科 ISE GUI 时会提示您重置密码。必须更改密码,因为该密码在 ZTP 配置映像文件中以纯文本形式指定。默认情况下,使用 ZTP 安装思科 ISE 时会启用此功能。

在虚拟机中自动安装

以下小节提供有关在虚拟机中自动安装的信息。

这些设置适用于所有本地虚拟机监控程序:

  • VMware

  • Linux KVM

  • Microsoft Hyper-V

  • Nutanix AHV

使用 ZTP 配置映像文件在虚拟机中自动安装

过程

步骤 1

登录到 VMware 客户端。

 

如果您已有现有的虚拟机设置,请继续执行第 2 步并继续至第 6 步。对于新的虚拟机设置,请直接转到第 8 步。

步骤 2

要进入 BIOS 设置模式,请右键点击虚拟机并选择编辑设置

步骤 3

点击选项选项卡。

步骤 4

点击引导选项

步骤 5

强制 BIOS 设置 (Force BIOS Setup) 区域中选中 BIOS 复选框,以便在 VM 引导时进入 BIOS 设置屏幕。

 

必须在虚拟机启动模式设置中将固件从 BIOS 更改为 EFI。这允许您引导容量为 2 TB 或更大的 GPT 分区。

步骤 6

点击确定

步骤 7

确保在 BIOS 或 EFI 中设置了时区和正确的启动顺序:

  1. 如果 VM 已开启,请关闭系统。

  2. 打开 VM。

    系统进入 BIOS 设置模式。

  3. 在主 BIOS 菜单中,使用箭头键导航到日期和时间字段,然后按 Enter 键。

  4. 输入时区。

    此一时区设置可确保所有节点的报告、日志和状态代理日志文件的时间戳保持同步。

  5. 使用箭头键导航到引导菜单,然后按 Enter

  6. 使用箭头键选择 CD-ROM 驱动器,然后按 + 将 CD-ROM 驱动器的启动顺序向上移动。

  7. 使用箭头键导航到退出 (Exit) 菜单,并选择退出并保存更改 (Exit Saving Changes)。(按 Enter 或 Return 键进行选择)。

  8. 选择是 (Yes) 保存更改并退出。

步骤 8

将思科 ISE 软件 DVD 插入 VMware ESXi 主机的主 CD 或 DVD 驱动器。

步骤 9

将 ZTP 配置映像文件插入辅助 CD 或 DVD 驱动器。

步骤 10

启动 VM。

当 DVD 启动时,控制台会显示以下消息: 


Automatic installation starts in 150 seconds.
Available boot options:
[1] Cisco ISE Installation (Keyboard/Monitor)
[2] Cisco ISE Installation (Serial Console)
[3] System Utilities (Keyboard/Monitor)
[4] System Utilities (Serial Console)
[5] Hard Disk
Enter boot option and press <Enter>.
boot:

 

从思科 ISE 3.1 版本开始,按 Enter 键而不选择启动选项将触发 ZTP,而非通过硬盘启动安装。

步骤 11

150 秒后,如果您的系统满足前提条件,启动过程将自动开始。

 

  • ZTP 运行期间,通过串行控制台监控安装日志。显示设置提示后,您可以从虚拟机控制台监控日志。

  • 思科 ISE 服务启动后,必须手动从 CD 或 DVD 卸载 ZTP 配置映像文件。

在显示设置提示之前,使用键盘通过设置提示中的 ZTP 执行以下步骤。

1. 手动安装思科 ISE 直至进入设置界面(使用启动选项 1 或 2),并按照步骤创建 ZTP 配置映像文件。

2. 关闭虚拟机电源,并将 ZTP 配置映像文件映射到 CD 或 DVD 驱动器。

3. 启动 VM。

安装过程将使用您映射到 CD 或 DVD 驱动器的 ZTP 配置文件中的设置详细信息。

故障排除

问题:如果未映射 .img 文件就触发了虚拟机中的自动安装,150 秒后安装将失败并显示以下消息。 


***** The ZTP configuration image is missing or improper. Automatic installation flow
 exited.
***** Power off and attach the proper ZTP configuration image or choose manual boot to
 proceed.

解决方案:此错误消息仅在串行控制台上显示,不会在虚拟机控制台上显示。如果这种情况发生在已安装思科 ISE 的现有虚拟机中,此时硬盘不会被格式化。可通过执行以下步骤恢复现有虚拟机:

1. 关闭 VM。

2. 启动虚拟机。

3. 在 150 秒内按下选项 5 从硬盘启动,以加载现有虚拟机。

问题:如果设置详细信息在配置文件中无效,则 ZTP 安装将停止,并且 VM 控制台上会显示以下消息:
==============================================================================

Cisco ISE Installation Failed

==============================================================================

Error: Sync with NTP server failed.

Check the setup details in your configuration image and reboot Cisco ISE

with proper ZTP configuration.

==============================================================================

解决方案:

1. 使用有效的详细信息来创建新的 configuration.img 文件。

2. 关闭 VM 电源。

3. 将新的有效映像映射到 CD 或 DVD 驱动器。

4. 启动 VM。

安装会从设置开始。

使用 VM 用户数据在虚拟机中自动安装

过程

步骤 1

登录到 VMware 客户端。

 

如果您已有现有的 VM设置,请继续执行第2步并继续执行第6步。对于新的虚拟机设置,请直接转到第 8 步。

步骤 2

要使 VM 进入 BIOS 设置模式,请右键点击 VM,然后选择编辑设置

步骤 3

点击选项选项卡。

步骤 4

点击引导选项

步骤 5

强制 BIOS 设置 (Force BIOS Setup) 区域中选中 BIOS 复选框,以便在 VM 引导时进入 BIOS 设置屏幕。

 

您必须在 VM 设置的引导模式下将固件从 BIOS 更改为 EFI,才能引导 2 TB 或更大容量的 GPT 分区。

步骤 6

点击确定

步骤 7

确保在 BIOS/EFI 中设置了时区和正确的启动顺序:

  1. 如果 VM 已开启,请关闭系统。

  2. 打开 VM。

    系统进入 BIOS 设置模式。

  3. 在主 BIOS 菜单中,使用箭头键导航到日期和时间 (Date and Time) 字段,然后按 Enter

  4. 输入时区。

    此时区设置可确保来自部署中的各种节点的报告、日志和状态代理日志文件在时间戳方面始终同步。

  5. 使用箭头键导航到引导菜单,然后按 Enter

  6. 使用箭头键选择 CD-ROM 驱动器,然后按 + 将 CD-ROM 驱动器的启动顺序向上移动。

  7. 使用箭头键导航到退出 (Exit) 菜单,然后选择退出并保存更改 (Exit Saving Changes)(按 Enter 或 Return 键以选择对应的选项)。

  8. 选择是 (Yes) 保存更改并退出。

步骤 8

将思科 ISE 软件 DVD 插入 VMware ESX 主机的 CD/DVD 驱动器。

步骤 9

配置 VM 用户数据 (VM user data) 选项。

 

如果在 VM 中同时配置了 .img 文件和 VM 用户数据选项,则会考虑用户数据选项。

步骤 10

打开 VM。

当 DVD 启动时,控制台会显示以下信息: 


Automatic installation starts in 150 seconds.
Available boot options:
[1] Cisco ISE Installation (Keyboard/Monitor)
[2] Cisco ISE Installation (Serial Console)
[3] System Utilities (Keyboard/Monitor)
[4] System Utilities (Serial Console)
[5] Hard Disk
Enter boot option and press <Enter>.
boot:

 

从思科 ISE 3.1 开始,按 Enter 键而不输入引导选项将不会使用硬盘选项来触发安装。相反,它会触发 ZTP。

步骤 11

150 秒后,如果满足前提条件,启动过程会自动开始。

 

  • 由于 ZTP 只能通过串行控制台工作,因此安装日志只能通过串行控制台进行监控。在显示设置提示后,可以从 VM 控制台对其进行监控。

  • 思科 ISE 服务启动后,您必须从 CD/DVD 手动卸载 ZTP 配置映像文件。

要在设置提示中使用 ZTP(使用键盘执行 ZTP,直到设置提示正确),请执行此程序:

1. 关闭 VM 电源。

2. 配置上述用户数据选项。

3. 打开 VM 电源。

设置详细信息将从 VM 选项中选取。

故障排除

问题:如果在用户数据选项中输入了无效的设置详细信息,则 ZTP 安装将停止,并且 VM 控制台上会显示以下消息:
==============================================================================

Cisco ISE Installation Failed

==============================================================================

Error: Sync with NTP server failed.

Check the setup details in your configuration image and reboot Cisco ISE

with proper ZTP configuration.

==============================================================================

解决方案:

1. 关闭 VM 电源。

2. 使用有效的数据来更新用户数据详细信息。

3. 启动 VM。

安装会从设置开始。

在设备中自动安装

以下小节提供有关在设备中自动安装的信息。

使用 ZTP 配置映像文件在设备中自动安装

过程

步骤 1

登录 SNS 设备。

步骤 2

关闭主机系统。

步骤 3

选择计算 (Compute) > 远程管理 (Remote Management) > 虚拟介质 (Virtual media)

步骤 4

将思科 ISE 软件 ISO 和 ZTP 配置映像文件分别映射到主 CD 或 DVD 驱动器和辅助 CD 或 DVD 驱动器。

步骤 5

启动主机系统。

设备启动时,控制台会显示以下消息:


Please select boot device:
[1] Cisco ISE Installation (Keyboard/Monitor)
[2] Cisco ISE Installation (Serial Console)
[3] System Utilities (Keyboard/Monitor)
[4] System Utilities (Serial Console)
[5] Cisco ISE Installation Through ZTP Configuration (Serial Console)

步骤 6

如果满足前提条件,2 分 30 秒后进程将自动开始。

 

  • ZTP 只有通过虚拟介质在 SNS 设备上运行。

  • 映射 ISO 文件之前,确保 .img 文件已在虚拟介质中映射。

    安装日志只能通过串行控制台进行监控,因为 ZTP 通过串行控制台工作。显示设置提示后,可以通过 KVM 控制台监控日志

  • 仅 .img 文件支持在设备中自动安装。

要从设置提示中使用 ZTP(在显示设置提示之前,ZTP 使用键盘操作),请完成以下步骤:

1. 手动安装思科 ISE 直至进入设置界面(使用启动选项 1 或 2),并按照前面描述的步骤创建 ZTP 配置映像文件。

2. 关闭主机系统,并将创建的 ZTP 配置映像文件映射到 CD 或 DVD 驱动器。

3. 启动主机系统。

设置详细信息将从映射到 CD 或 DVD 驱动器的 ZTP 配置文件中获取。

故障排除

问题:如果未映射映像文件就触发了设备中的自动安装,150 秒后安装将失败并显示以下消息: 


***** The ZTP configuration image is missing or improper. Automatic installation flow
 exited.
***** Power off and attach the proper ZTP configuration image or choose manual boot to
 proceed.

解决方案:

1. 关闭 VM。

2. 打开 VM。

3. 要加载现有虚拟机,请在 150 秒内按下选项 5 从硬盘启动。

问题:如果配置文件中的设置详细信息无效,ZTP 安装将停止,并且键盘、视频和鼠标 (KVM) 控制台上会显示以下消息: 
==============================================================================

Cisco ISE Installation Failed

==============================================================================

Error: Sync with NTP server failed.

Check the setup details in your configuration image and reboot Cisco ISE

with proper ZTP configuration.

==============================================================================

解决方案:

1. 使用有效的详细信息来创建新的 configuration.img 文件。

2. 关闭 VM 电源。

3. 将新的有效映像映射到 CD 或 DVD 驱动器。

4. 启动 VM。

安装从设置提示开始。

使用 UCS XML API 触发自动安装

要触发自动安装,请执行以下操作:

所有方法的 API URL 和请求标头均相同:
API URL 
https://<ucs_server_ip>/nuova

标题 

 headers["Accept"] = "application/xml" 
headers["Content-Type"] = "application/xml"
过程

步骤 1

获取登录会话 cookie 以验证会话。

aaaLogin 方法启动登录过程,是开始会话的必需步骤。此方法在客户端和 Cisco IMC 之间建立 HTTP 或 HTTPS 会话。会话 cookie 随后用于后续请求以维持身份验证。

请求 

<aaaLogin inName='admin' inPassword='password'/>

回答 

<aaaLogin cookie="" response="yes" outCookie="<real_cookie>" outRefreshPeriod="600" outPriv="admin" outSessionId="17" outVersion="3.0(0.149)"> </aaaLogin>

步骤 2

将思科 ISE ISO 文件配置为虚拟介质。

这样会将思科 ISE ISO 文件配置为虚拟介质卷。

请求 

<configConfMo cookie='<real_cookie>' dn='sys/svc-ext/vmedia-svc/vmmap-ISE_ISO' inHierarchical='false'>
<inConfig>
<commVMediaMap dn='sys/svc-ext/vmedia-svc/vmmap-ISE_ISO' 
 map=’nfs’ 
 remoteFile=‘<ise_iso_file>’ 
 remoteShare=‘<nfs_server_path>' 
 status='created' volumeName='ISE_ISO' />
</inConfig>
</configConfMo>

回答 

<configConfMo dn="sys/svc-ext/vmedia-svc/vmmap-ISE_ISO" 
 cookie="<real_cookie>" response="yes">
<outConfig>
 <commVMediaMap volumeName="ISE_ISO" map=“nfs” 
  remoteShare=‘<nfs_server_path>' 
  remoteFile="<ise_iso_file>" 
  mappingStatus="In Progress"
  dn="sys/svc-ext/vmedia-svc/vmmap-ISE_ISO" status="created"/>
  </outConfig>
</configConfMo>

步骤 3

将配置映像文件配置为虚拟介质卷。

这会将配置映像配置为 vMedia 卷。

请求 

<configConfMo cookie='<real_cookie>' 
dn='sys/svc-ext/vmedia-svc/vmmap-CONFIG-IMG’ inHierarchical='false'>
<inConfig>
<commVMediaMap dn='sys/svc-ext/vmedia-svc/vmmap-CONFIG-IMG' 
  map=’nfs’ 
  remoteFile=‘<config_img_file>’ 
  remoteShare=‘<nfs_server_path>' 
  status='created' volumeName='CONFIG-IMG' />
</inConfig>
</configConfMo>

回答 

<configConfMo dn="sys/svc-ext/vmedia-svc/vmmap-CONFIG-IMG" 
 cookie="<real_cookie>" response="yes">
<outConfig>
 <commVMediaMap volumeName="CONFIG-IMG" map=“nfs” 
  remoteShare=‘<nfs_server_path>' 
  remoteFile="<config_img_file>" 
  mappingStatus="In Progress"
  dn="sys/svc-ext/vmedia-svc/vmmap-CONFIG-IMG" status="created"/>
  </outConfig>
</configConfMo>

步骤 4

将 CD-ROM 设置为启动顺序中的第一个设备。

这样将映射在电源重启期间为安装选择的思科 ISE ISO 文件。

请求 

<configConfMo cookie="<real_cookie>" 
inHierarchical="true" dn="sys/rack-unit-1/boot-policy">
  <inConfig>
    <lsbootDef dn="sys/rack-unit-1/boot-policy"  rebootOnUpdate=“yes”>
      <lsbootVirtualMedia access="read-only" order=“1” dn="sys/rack-unit-1/boot-policy/vm-read-only"/>
     </lsbootDef>
  </inConfig>
</configConfMo>

回答 

<configConfMo dn="sys/rack-unit-1/boot-policy" cookie="<real_cookie>" response="yes">
<outConfig>
  <lsbootDef dn="sys/rack-unit-1/boot-policy" name="boot-policy" purpose="operational" rebootOnUpdate="no" status="modified" >
  </lsbootDef>
</outConfig>
</configConfMo>

步骤 5

启用 SoL(LAN 上串行)。

这使得 SoL 能够通过 Telnet 来查看安装日志。

请求 

<configConfMo cookie='<real_cookie>' 
dn='sys/rack-unit-1/sol-if'>
<inConfig>
  <solIf dn='sys/rack-unit-1/sol-if' adminState=‘enable'/>
 </inConfig>
</configConfMo>

回答 

<configConfMo dn="sys/rack-unit-1/sol-if" cookie="<real_cookie>" response="yes">
<outConfig>
<solIf dn="sys/rack-unit-1/sol-if" adminState="enable" name="SoLInterface" speed="115200" comport="com0" sshPort="2400" status="modified" ></solIf></outConfig>
</configConfMo>

步骤 6

电源重启。

这样会在自动模式下触发思科 ISE 安装。

请求 

<configConfMo cookie='<real_cookie>' dn='sys/rack-unit-1'>
<inConfig><computeRackUnit
dn='sys/rack-unit-1' 
adminPower='cycle-immediate'/>
</inConfig>
</configConfMo>

回答 

<configConfMo dn="sys/rack-unit-1" cookie="<real_cookie>" response="yes">
<outConfig>
   <computeRackUnit dn="sys/rack-unit-1" adminPower="policy" availableMemory="262144" model="SNS-3695-K9" memorySpeed="2400" name="SNS-3695-K9" numOfAdaptors="0" numOfCores="12" numOfCoresEnabled="12" numOfCpus="1" numOfEthHostIfs="0" numOfFcHostIfs="0" numOfThreads="24" operPower="on" originalUuid="1935836B-B968-4031-8A98-7984F1D35449" presence="equipped" serverId="1" serial="WZP2228085W" totalMemory="262144" usrLbl="" uuid="1935836B-B968-4031-8A98-7984F1D35449" vendor="Cisco Systems Inc" cimcResetReason="graceful-reboot
" assetTag="Unknown" adaptorSecureUpdate="Enabled" resetComponents="components" storageResetStatus="NA" vicResetStatus="NA" bmcResetStatus="NA" smartUsbAccess="disabled" smartUsbStatus="Disabled" biosPostState="completed" status="modified" >
  </computeRackUnit>
</outConfig>
</configConfMo>

步骤 7

注销以结束会话。

请求 

<aaaLogout
    cookie="<real_cookie>"
    inCookie="<real_cookie>"
</aaaLogout>

回答: 

<aaaLogout cookie="" response="yes" outStatus="success"> </aaaLogout>

有关详细信息,请参阅 UCS API 方法

OVA 自动安装

使用这些部分自动安装 OVA。

使用 ZTP 配置映像文件自动安装 OVA

过程

步骤 1

登录到 VMware 客户端。

 

如果您已有现有的虚拟机设置,请完成步骤 2 至 6。对于新的虚拟机设置,请从步骤 8 开始。

步骤 2

要进入 BIOS 设置模式,右键点击虚拟机并选择编辑设置

步骤 3

点击选项选项卡。

步骤 4

点击引导选项

步骤 5

强制 BIOS 设置 (Force BIOS Setup) 区域中选中 BIOS 复选框,以便在 VM 引导时进入 BIOS 设置屏幕。

 

在虚拟机的启动模式中将固件从 BIOS 更改为 EFI,以启用 2 TB 或更大的 GPT 分区。

步骤 6

点击确定

步骤 7

确保在 BIOS 中设置了协调世界时 (UTC) 且启动顺序正确。

  1. 如果打开了虚拟机,则关闭系统。

  2. 打开 VM。

    系统进入 BIOS 设置模式。

  3. 在主 BIOS 菜单中,使用箭头键导航到日期和时间 (Date and Time) 字段,然后按 Enter

  4. 输入协调世界时 (UTC) 或格林威治标准时间 (GMT) 时区。

    此时区设置可使部署中所有节点的报告、日志和安全评估代理日志文件的时间戳保持同步。

  5. 使用箭头键打开启动菜单并按 Enter 键。

  6. 使用箭头键选择 CD-ROM 驱动器,然后按 + 将 CD-ROM 驱动器的启动顺序向上移动。

  7. 使用箭头键导航到退出 (Exit) 菜单,然后选择退出并保存更改 (Exit Saving Changes)(按 Enter 或 Return 键以选择对应的选项)。

  8. 选择是 (Yes) 保存更改并退出。

步骤 8

将思科 ISE OVA 文件导入您的 VMware ESXi 主机。

步骤 9

将 ZTP 配置映像文件插入您的 VMware ESXi 主机的主 CD 驱动器或 DVD 驱动器。

步骤 10

启动您的虚拟机。

当 DVD 启动时,控制台会显示一条消息:


Automatic installation starts in 150 seconds.
Available boot options:
[1] Cisco ISE Installation (Keyboard/Monitor)
[2] Cisco ISE Installation (Serial Console)
[3] System Utilities (Keyboard/Monitor)
[4] System Utilities (Serial Console)
[5] Hard Disk
Enter boot option and press <Enter>.
boot:

 

在思科 ISE 3.1 或更高版本中,如果未选择启动选项而直接按 Enter 键,系统将启动 ZTP,而非使用硬盘选项进行安装。

步骤 11

150 秒后,如果满足前提条件,启动过程会自动开始。

 

  • ZTP 运行时,通过串行控制台监控安装日志。显示设置提示后,在虚拟机控制台中查看日志。

  • 思科 ISE 服务启动后,必须手动从 CD 或 DVD 卸载 ZTP 配置映像文件。

使用键盘执行 ZTP,直到显示设置提示。然后,按照以下步骤操作:

  1. 使用启动选项 1 或 2 手动安装思科 ISE,并通过此步骤中的步骤创建 ZTP 配置映像文件。

  2. 断开虚拟机电源。

  3. 将 ZTP 配置映像文件映射到 CD 或 DVD 驱动器。

  4. 接通虚拟机电源。

    系统使用映射到 CD 或 DVD 驱动器的 ZTP 配置文件中的设置详情。

故障排除

问题:如果设置详细信息在配置文件中无效,则 ZTP 安装将停止,并且 VM 控制台上会显示以下消息: 

==============================================================================

Cisco ISE Installation Failed

==============================================================================

Error: Sync with NTP server failed.

Check the setup details in your configuration image and reboot Cisco ISE

with proper ZTP configuration.

==============================================================================

解决方案:这可以通过执行以下步骤来加以解决:

  1. 使用有效的详细信息来创建新的 configuration.img 文件。

  2. 关闭 VM 电源。

  3. 将新的有效映像映射到 CD 或 DVD 驱动器。

  4. 启动 VM。

使用 VM 用户数据进行 OVA 自动安装

过程

步骤 1

登录到 VMware 客户端。

 

如果您已设置好虚拟机,请从第 2 步开始,继续执行至第 6 步。如果您正在设置新的虚拟机,请从第 8 步开始。

步骤 2

右键点击虚拟机并选择编辑设置以进入 BIOS 设置模式。

步骤 3

点击选项选项卡。

步骤 4

点击引导选项

步骤 5

强制 BIOS 设置 (Force BIOS Setup) 区域中选中 BIOS 复选框,以便在 VM 引导时进入 BIOS 设置屏幕。

 

在虚拟机的启动模式设置中将固件从 BIOS 更改为 EFI,以便能够引导大于 2 TB 的 GPT 分区。

步骤 6

点击确定

步骤 7

确保在 BIOS 中设置协调世界时间 (UTC) 和正确的引导顺序:

  1. 如果 VM 已开启,请关闭系统。

  2. 关闭 VM 电源。

    您将看到 BIOS 设置模式。

  3. 在主 BIOS 菜单中,使用箭头键导航到日期和时间 (Date and Time) 字段,然后按 Enter

  4. 输入协调世界时 (UTC) 或格林威治标准时间 (GMT) 时区。

    通过此一时区设置,部署中各节点的报告、日志和状态代理日志文件的时间戳将始终保持同步。

  5. 使用箭头键导航到引导菜单,然后按 Enter

  6. 使用箭头键选择光盘只读存储器 (CD-ROM) 驱动器,然后按 + 键将 CD-ROM 驱动器的启动顺序上移。

  7. 使用箭头键导航到退出 (Exit) 菜单,然后选择退出并保存更改 (Exit Saving Changes)(按 Enter 或 Return 键以选择对应的选项)。

  8. 选择是 (Yes) 保存更改并退出。

步骤 8

将思科 ISE OVA 文件导入 VMware ESXi。

步骤 9

配置 VM 用户数据 (VM user data) 选项。

 

如果同时配置了映像文件和虚拟机用户数据选项,虚拟机将使用用户数据选项。

步骤 10

打开 VM。

当 DVD 启动时,控制台会显示以下信息: 


Automatic installation starts in 150 seconds.
Available boot options:
[1] Cisco ISE Installation (Keyboard/Monitor)
[2] Cisco ISE Installation (Serial Console)
[3] System Utilities (Keyboard/Monitor)
[4] System Utilities (Serial Console)
[5] Hard Disk
Enter boot option and press <Enter>.
boot:

 

从思科 ISE 3.1 开始,按 Enter 键而不输入引导选项将不会使用硬盘选项来触发安装。相反,它会触发 ZTP。

步骤 11

如果满足前提条件,150 秒后将自动启动启动过程。

 

  • 要监控安装日志,请使用串行控制台。ZTP 仅通过串行控制台进行交互。显示设置提示后,可以从虚拟机控制台进行监控。

  • 思科 ISE 服务启动后,请手动从 CD 或 DVD 卸载 ZTP 配置映像文件。

要从设置提示中使用 ZTP,请执行以下步骤。在显示设置提示之前,将使用键盘执行 ZTP。

  1. 关闭 VM 电源。

  2. 配置上述用户数据选项。

  3. 打开 VM 电源。

    设置详细信息将从虚拟机选项中获取。

故障排除信息

问题:如果在用户数据选项中输入了无效的设置详细信息,ZTP 安装将停止,并且虚拟机控制台上会显示以下消息:
==============================================================================

Cisco ISE Installation Failed

==============================================================================

Error: Sync with NTP server failed.

Check the setup details in your configuration image and reboot Cisco ISE

with proper ZTP configuration.

==============================================================================

解决方案:要解决此问题,请完成以下步骤。

  1. 关闭 VM 电源。

  2. 使用有效的数据来更新用户数据详细信息。

  3. 启动 VM。

    安装会从设置开始。

创建 ZTP 配置映像文件

使用 ./create_ztp_image.sh ise-ztp.conf ise-ztp.img 命令来创建 ZTP 配置映像文件。该脚本可在Red Hat企业 Linux (RHEL)、CentOS 或 Ubuntu 上执行。

要跳过 ICMP、DNS 和 NTP 检查,请在配置映像文件中将标志设置为 True:

  • ICMP:SkipIcmpChecks=true

  • DNS:SkipDnsChecks=true

  • NTP:SkipNtpChecks=true


每个标志的默认值为 false。默认情况下,如果配置文件中未明确提及这些标志,ZTP 安装过程中会执行这些检查。

create_ztp_image.sh 脚本创建 

#!/bin/bash
###########################################################
# This script is used to generate ise ztp image with ztp
# configuration file.
#
# Need to pass ztp configuration file as input.
#
# Copyright (c) 2021 by Cisco Systems, Inc.
# All rights reserved.
# Note:
# To mount the image use below command
# mount ise_ztp_config.img /ztp
# To mount the image from cdrom
# mount -o ro /dev/sr1 /ztp
#############################################################
if [ -z "$1" ];then
echo "Usage:$0 <ise-ztp.conf> [out-ztp.img]"
exit 1
elif [ ! -f $1 ];then
echo "file $1 not exist"
exit 1
else
conf_file=$1
fi
if [ -z "$2" ] ;then
image=ise_config.img
else
image=$2
fi
mountpath=/tmp/ise_ztp
ztplabel=ISE-ZTP
rm -fr $mountpath
mkdir -p $mountpath
dd if=/dev/zero of=$image bs=1k count=1440 > /dev/null 2>&1
if [ `echo $?` -ne 0 ];then
echo "Image creation failed\n"
exit 1
fi
mkfs.ext4 $image -L $ztplabel -F > /dev/null 2>&1
mount -o rw,loop $image $mountpath
cp $conf_file $mountpath/ise-ztp.conf
sync
umount $mountpath
sleep 1
# Check for automount and unmount
automountpath=$(mount | grep $ztplabel | awk '{print $3}')
if [ -n "$automountpath" ];then
umount $automountpath
fi
echo "Image created $image"

VM 用户数据

您可以在 ESXi 6.5 及更高版本上的思科 ISE 安装中使用虚拟机用户数据。

ise-ztp.conf 文件中的内容粘贴到 Base64 编码工具中。使用 base64encode 工具获取编码字符串。

在虚拟机的用户数据中输入编码后的 Base64 字符串。在 VMware ESXi 中,前往虚拟机选项 > 高级 > 配置参数 > 编辑配置 > guestinfo.ise.ztp = [值],并输入 Base 编码的 ZTP 配置字符串。


配置 ZTP 以部署补丁或热补丁时,必须使用 http(小写)而非 HTTP。否则,无法从存储库下载补丁文件。