Содержание скрывать
1 Программное обеспечение CISCO ISE
2 Надview развертывания центра множественных катализаторов
3 Кластер узлов автора
4 Управление политиками Multiple Catalyst Center
5 Рекомендации по обновлению Multiple Catalyst Center
6 Несколько развертываний Catalyst Center
7 Включение Multiple Catalyst Center
8 Документы/Ресурсы
8.1 Ссылки

CISCO-логотип

Программное обеспечение CISCO ISE

CISCO-ISE-Software-PRODUCT

Надview развертывания центра множественных катализаторов

При интеграции нескольких кластеров Catalyst Center с одной системой Cisco ISE каждый кластер Catalyst Center становится независимым. Информация между кластерами не передается. В этом сценарии, когда на Catalyst Center развернут программно-определяемый доступ Cisco (SD-Access), набор виртуальных сетей (VN) и все остальные компоненты SD-Access являются локальными для каждого кластера.
Catalyst Center предоставляет механизм координации элементов SD-Access и групповой политики (GBP) в нескольких кластерах Catalyst Center, интегрированных с единой системой Cisco ISE. Для обеспечения глобального администрирования SD-Access в нескольких кластерах Catalyst Center с согласованным набором виртуальных сетей (VN) функция Multiple Catalyst Center использует существующее защищенное соединение с Cisco ISE для распространения виртуальных сетей, групп безопасности и т.д. tags (SGT), контракты доступа и политики группового управления доступом (GBAC) из одного кластера в другой. Cisco ISE принимает информацию, полученную из одного кластера (известного как узел-автор), и распространяет её на другие кластеры (известные как узлы-читатели).
Функция Multiple Catalyst Center доступна при интеграции с Cisco ISE версии 3.2 или более поздней.

CISCO-ISE-Software (2)

Примечание

  • Функция Multiple Catalyst Center отключена по умолчанию. Чтобы использовать эту функцию, выберите «Включить функцию Multiple Catalyst Center» (в разделе «Дополнительные настройки») при интеграции Catalyst Center с Cisco ISE. Эту функцию можно включить при первоначальной настройке или позднее (после интеграции Cisco ISE). После включения этой функции отключить её можно только удалением интеграции с Cisco ISE.
  • Если вы используете более ранние версии Cisco ISE, вам необходимо обратиться в свою команду по работе с клиентами и подать запрос в Совет по дизайну Cisco SDA на включение в программу ограниченной доступности. Для доступа к версии этой функции с ограниченной доступностью (LA) будет предоставлен пакет ограниченной доступности для нескольких серверов Catalyst Center. Подробнее см. в руководстве по развертыванию с нескольких серверов Cisco DNA Center на один сервер Cisco ISE.

Функция Multiple Catalyst Center имеет специальные обозначения ролей для кластеров:

  • Кластер узлов автора
  • Кластер узлов чтения

Кластер узлов автора

  • Роль узла-автора назначается первому кластеру (с включённой опцией Multiple Catalyst Center), который интегрируется с развёртыванием Cisco ISE, или первому кластеру, в котором включена опция Multiple Catalyst Center. Кластер узлов-автор является точкой администрирования групповой политики (GBP) и глобальных данных Cisco SD-Access. Кластер узлов-автор управляет виртуальными сетями (VN), групповыми тегами (SGT), контрактами доступа (Access Contracts) и политикой GBAC. Создание, изменение и удаление виртуальных сетей (VN) и компонентов GBP возможно только в кластере узлов-автор.
  • Кластер узлов-авторов отправляет информацию VN и GBP в Cisco ISE через API ERS (REST), чтобы Cisco ISE могла использовать эту информацию и публиковать ее во всех других кластерах Cisco Catalyst Center в роли узлов-читателей через Cisco ISE pxGrid.
  • Только один кластер может быть назначен узлом-автором. Это единственный узел, где можно управлять данными GBP и определяемыми пользователем глобальными данными SDA (такими как виртуальные сети или политика экстрасети).
  • Если SGT или VN функционируют на узле автора, то SGT или VN не могут быть удалены.

Кластер узлов чтения

  • Всем остальным кластерам Catalyst Center, в которых включена функция Multiple Catalyst Center, назначается роль кластера Reader Node. Кластеры Reader Node имеют доступ только для чтения. view ВН и СГТ.
  • Несмотря на то, что кластеры узлов чтения используют и сохраняют те же VN, SGT, контракты доступа и политики GBAC, которые определены в кластере узлов автора, кластер узлов чтения не отображает контракты доступа или политики.
    Виртуальные сети (VN) можно создавать только в кластере узлов-авторов. После создания они распространяются в кластеры узлов-читателей, где могут использоваться в операциях подготовки фабрики. Кластеры узлов-читателей настраивают связанные сетевые атрибуты, такие как идентификаторы виртуальной сети (VNID), целевые объекты маршрутизации (RT) и маршрут.
  • Различители (RD), которые являются локальными для данного кластера.
    За исключением функций VN и GBP, каждый кластер Reader Node представляет собой независимый кластер, который управляет собственной сетевой инфраструктурой.
  • Функция Multiple Catalyst Center обеспечивает глобальное администрирование политик в нескольких кластерах Cisco Catalyst Center, интегрированных в единый Cisco ISE. Эта возможность не влияет на базовые ограничения управления виртуальными сетями и фабриками в нескольких кластерах Cisco Catalyst Center. Виртуальная сеть может иметь одинаковое имя в нескольких кластерах Cisco Catalyst Center, что позволяет поддерживать согласованные связи между группами безопасности и виртуальными сетями в нескольких кластерах. Однако на уровне отдельных кластеров фактические сетевые атрибуты, связываемые с виртуальной сетью (VRF, целевой маршрут, отличительный признак маршрута и т. д.), различаются в разных кластерах. Это аналогично работе независимых кластеров Catalyst Center.
  • Можно добавить до четырёх кластеров Catalyst Center в качестве кластеров узлов чтения. Перед добавлением узла Catalyst Center в качестве узла чтения необходимо удалить все глобальные данные Cisco SD-Access, созданные администратором, в кластере узлов чтения для интеграции Catalyst Center с Cisco ISE. Это включает в себя нестандартные виртуальные сети (любые виртуальные сети, отличные от
    «DEFAULT_VN» и «INFRA_VN», политика внешней сети и т. д.). При наличии каких-либо нестандартных данных GBP (SGT, контракты доступа, GBP) пользователь может автоматически очистить (удалить) все нестандартные данные GBP или объединить любые данные GBP, которых еще нет в Cisco ISE.

Примечание

  • С одним развертыванием Cisco ISE можно интегрировать только пять кластеров Catalyst Center. Это означает один кластер узлов-авторов и до четырёх кластеров узлов-читателей.
  • Можно удалить SGT или VN на узле автора, даже если они используются на узлах читателей. В этом случае устаревшие SGT или VN необходимо удалить вручную на узлах читателей (предварительно удалив все ссылки).

Управление политиками Multiple Catalyst Center

После интеграции Catalyst Center с Cisco ISE и синхронизации GBP информация о политиках синхронизируется между Catalyst Center и Cisco ISE. Права на создание политик находятся в Catalyst.

Центр. Окна Cisco ISE для управления SGT, списками контроля доступа групп безопасности (SGACL) и политикой исходящего трафика становятся доступными только для чтения.
Управлять групповой политикой (группы безопасности, контракты доступа и политика GBAC) можно в Cisco ISE, а не в Catalyst Center.
В графическом интерфейсе Catalyst Center щелкните значок меню и выберите Политика > Управление доступом на основе групп > Политики > Конфигурация GBAC > Управление управлением доступом на основе групп в Cisco ISE.

Рекомендации по обновлению Multiple Catalyst Center

В среде с несколькими узлами Catalyst Center рекомендуется использовать одну и ту же версию программного обеспечения Catalyst Center во всех кластерах узлов-авторов и узлов-читателей, за исключением периода обновления кластера. Можно сначала обновить все кластеры узлов-читателей, а затем кластер узлов-авторов, чтобы избежать несоответствия функций и несовместимости функций между версиями программного обеспечения. Избегайте повышения роли узла-читателя до роли узла-автора в середине цикла обновления. Перед повышением роли узла-читателя все кластеры Catalyst Center должны быть обновлены и использовать одну и ту же версию программного обеспечения.
Рисунок 1: Рекомендации по обновлению Multiple Catalyst Center

CISCO-ISE-Software (3)Базовая функциональность функции Multiple Catalyst Center не требует одинаковой версии программного обеспечения во всех участвующих кластерах узлов-авторов и узлов-читателей. Однако использование несовпадающих версий кода может привести к различиям в исправлениях, возможностях и функциях между кластерами. Рекомендуется использовать одну и ту же версию программного обеспечения Catalyst Center во всех кластерах узлов-авторов и узлов-читателей.

Несколько развертываний Catalyst Center

Существует два варианта развертывания Multiple Catalyst Center.

Новое развертывание нескольких кластеров Catalyst Center, которые в настоящее время не интегрированы с Cisco ISE.
Существующий кластер Catalyst Center, интегрированный с Cisco ISE, и новые дополнительные кластеры Catalyst Center без интеграции Cisco ISE.

Включение Multiple Catalyst Center

Функциональность кластера Multiple Catalyst Center по умолчанию отключена. Её можно включить во время или после интеграции с Cisco ISE. После включения функциональности Multiple Catalyst Center её можно отключить, только полностью удалив интеграцию с Cisco ISE.
Для работы Multiple Catalyst Center требуется функциональность pxGrid. Отключить pxGrid после включения Multiple Catalyst Center невозможно.

Процедура

  1. Шаг 1 В графическом интерфейсе Catalyst Center щелкните значок меню и выберите Система > Настройки > Серверы аутентификации и политик.
  2. Шаг 2. Добавьте Cisco ISE.
  3. Шаг 3. Введите необходимую информацию о Cisco ISE. Подробнее см. в разделе Интеграция Catalyst Center и Cisco ISE.
  4. Шаг 4 Выберите Система > Настройки > Серверы аутентификации и политик > Добавить > ISE > Дополнительные параметры.
    Переключатель дополнительных настроек открывает доступ к различным расширенным параметрам, включая переключатель, позволяющий включить работу Multiple Catalyst Center.
  5. Шаг 5. Включите опцию работы Multiple Catalyst Center.
  6. Шаг 6 (необязательно) Если вы редактируете существующую интеграцию Cisco ISE, повторно введите пароль администратора Cisco ISE.
  7. Шаг 7 Нажмите «Добавить».

Интеграция нескольких Catalyst Center с одним Cisco ISE
Для первой интеграции Catalyst Center и Cisco ISE необходимы предварительные условия. Подробнее см. в разделе «Интеграция Catalyst Center и Cisco ISE».

Прежде чем начать
Если Catalyst Center уже интегрирован с Cisco ISE, выполните следующие шаги для повторной интеграции Catalyst.
Center и Cisco ISE после включения режима Multiple Catalyst Center. Это позволяет Catalyst Center согласовывать кластерную роль узла-автора или узла-читателя в зависимости от того, является ли этот узел первым или последующим, присоединяющимся к Cisco ISE с включенной функцией Multiple Catalyst Center.

Процедура

  1. Шаг 1 В графическом интерфейсе Catalyst Center щелкните значок меню и выберите Система > Настройки > Серверы аутентификации и политик.
  2. Шаг 2. В столбце «Действия» наведите курсор на значок многоточия ( ) и выберите «Изменить».
  3. Шаг 3 Выберите Система > Настройки > Серверы аутентификации и политик > Добавить > ISE > Дополнительные параметры.
  4. Шаг 4. Включите опцию работы Multiple Catalyst Center.
  5. Шаг 5 Введите пароль администратора Cisco ISE еще раз.
  6. Шаг 6. Нажмите «Добавить». Catalyst Center согласует роль узла-автора с Cisco ISE.
    • Если статус настроенного сервера Cisco ISE отображается как «СБОЙ» из-за смены пароля, нажмите «Повторить» и обновите пароль, чтобы повторно синхронизировать подключение Cisco ISE.
    • Статус интеграции можно увидеть на выдвижной панели. Убедитесь, что статус интеграции отображается как «Активно» в окне «Сервер аутентификации и политик».
  7. Шаг 7 Чтобы проверить согласованную роль кластера как узла-автора, выберите Система > Настройки > Конфигурация системы > Настройки нескольких Catalyst Center.

Интеграция других кластеров Catalyst Center с Cisco ISE в качестве узлов чтения

Чтобы интегрировать последующие кластеры Catalyst Center с тем же Cisco ISE, в котором включен Multiple Catalyst Center, кластер Catalyst Center не должен содержать никаких нестандартных VN (любых VN, кроме «DEFAULT_VN» и «INFRA_VN»).

Прежде чем начать
Убедитесь, что кластер, который вы хотите интегрировать, включает только виртуальные сети по умолчанию в разделе Политика > Виртуальная сеть.

Процедура

  1. Шаг 1 В графическом интерфейсе Catalyst Center щелкните значок меню и выберите Система > Настройки > Серверы аутентификации и политик.
  2. Шаг 2 Нажмите «Добавить» и выберите ISE.
  3. Шаг 3. Введите необходимую информацию о Cisco ISE. См. раздел Интеграция Catalyst Center и Cisco ISE.
  4. Шаг 4 Выберите Система > Настройки > Серверы аутентификации и политик > Добавить > ISE > Дополнительные параметры.
  5. Шаг 5. Включите опцию работы Multiple Catalyst Center.
  6. Шаг 6 Нажмите «Добавить».
  7. Шаг 7 (необязательно) При первой интеграции кластера с Cisco ISE нажмите кнопку «Принять» на выдвижной панели Catalyst Center, чтобы принять сертификат, отправленный Cisco ISE. Закройте выдвижную панель.
  8. Шаг 8. В окне «Сервер аутентификации и политик» убедитесь, что статус интеграции отображается как «Активно».

Удаление виртуальной сети

Кластер узлов автора не знает об использовании виртуальной сети (VN) в кластере узлов читателя. Необходимо удалить все ссылки на VN во всех кластерах узлов читателя, прежде чем пытаться удалить эту VN в кластере узлов автора. При удалении VN в кластере узлов автора эта VN удаляется и в узле автора, и в кластерах узлов читателя, где на неё нет ссылок. Но если один из узлов читателя использует эту VN, статус такой VN отображается как «Не синхронизировано с автором». Необходимо удалить все ссылки (например,ample, добавление VN в разделе подключения хоста или статическое назначение порта) VN в кластере узлов чтения, а затем приступайте к удалению этого VN в кластере узлов чтения.

Удаление группы безопасности

Кластер узлов авторов не знает об использовании группы безопасности в кластере узлов считывателей. Необходимо удалить все ссылки на группу безопасности во всех кластерах узлов считывателей, прежде чем пытаться удалить эту группу безопасности в кластере узлов авторов. При удалении группы безопасности в кластере узлов авторов эта группа безопасности удаляется в кластере узлов авторов, Cisco ISE и в кластере узлов считывателей, если на неё нет ссылок. Если один из кластеров узлов считывателей использует эту группу безопасности, статус такой группы безопасности отображается как «Не синхронизировано с автором». Необходимо удалить все ссылки на группу безопасности в кластере узлов считывателей, а затем приступить к удалению этой группы безопасности в кластере узлов считывателей.

Повышение роли читательских узлов до роли автора
Архитектура решения с несколькими узлами Catalyst Center включает несколько кластеров Catalyst Center, и только один из них может быть автором политики. В некоторых случаях администратору может потребоваться повысить уровень кластера узлов чтения, чтобы взять на себя роль кластера узлов автора. Это повышение уровня следует выполнять только в следующих случаях:

Вы выводите кластер Author Node из эксплуатации или делаете его недоступным на длительный период времени.
Кластер узлов автора постоянно недоступен или не отвечает в течение длительного периода времени, и в течение этого времени требуются изменения политики.

Такое повышение статуса узла-читателя до статуса узла-автора может быть выполнено двумя способами:

  1. Плавное повышение роли узла-читателя до роли автора.
  2. Принудительное повышение роли узла-читателя до роли автора.

Изящное повышение роли узла-читателя до роли автора
При необходимости вы можете вручную повысить кластер Reader Catalyst Center до роли автора в развёртывании Multiple Catalyst Center. На всех кластерах Reader Node есть кнопка «Повысить до автора». Вы можете повысить

кластера узлов-читателей к узлу-автору, пока ваш текущий кластер узлов-авторов всё ещё работает. Однако не начинайте операцию повышения, пока существующий кластер узлов-авторов находится в процессе разработки групповой политики (например,ample, при синхронизации политик с Cisco ISE). Если кластер узла автора занят, операция продвижения выполняетсяtagсохраняется до тех пор, пока узел-автор не завершит текущую обработку.

Примечание

  • После корректного повышения кластера узлов чтения до роли автора кластер узлов чтения инициирует запрос к Cisco ISE на изменение роли (с читателя на автора).
  • Когда Cisco ISE получает запрос на смену роли, он запрашивает у текущего узла-автора освобождение роли автора политики. Затем текущий узел-автор освобождает роль автора политики (если синхронизация не выполняется) и принимает на себя роль кластера узлов-читателей.
  • Текущий узел чтения, выбранный для повышения, принимает на себя роль узла автора. После изменения ролей автора и читателя Cisco ISE обновляет конфигурацию других кластеров узлов чтения, обновляя информацию о новом узле автора.

CISCO-ISE-Software (4)Процедура

  1. Шаг 1. В кластере узлов чтения выберите Система > Настройки > > Конфигурация системы > Настройки нескольких Cisco Catalyst Center и проверьте узлы автора и чтения.
  2. Шаг 2 Нажмите кнопку «Сделать автором».
  3. Шаг 3 Нажмите «Продолжить», чтобы повысить узел до роли автора.

Процесс перехода может занять несколько минут.

Принудительное повышение роли узла-читателя до роли автора
Принудительное повышение — это форма ручного повышения, которая предназначена исключительно для повышения текущего кластера узлов-читателей до роли узла-автора в следующих ситуациях:

  • Текущий кластер узлов автора не работает.
  • Текущий кластер узлов автора не отвечает.
  • Плавное повышение роли узла-читателя до роли автора занимает более 5 минут.

Рисунок 3: Принудительное повышение роли узла-читателя до роли автора

CISCO-ISE-Software (1)

Не используйте функцию принудительного повышения статуса, пока существующий кластер узлов-авторов находится в режиме разработки GBP, так как это может привести к потере данных и рассинхронизации кластера узлов-авторов с Cisco ISE. Поэтому принудительное повышение статуса рекомендуется только в том случае, если необходимо немедленно восстановить работу и вы готовы рисковать потерей данных. После принудительного повышения статуса кластер узлов-читателей, получивший повышение статуса, станет новым кластером узлов-авторов для развертывания. Когда предыдущий кластер узлов-авторов станет доступен, он перейдет в роль читателя и загрузит последние данные конфигурации из Cisco ISE.
При инициировании повышения статуса кластера узлов чтения кластер узлов чтения отправляет запрос в Cisco ISE на смену роли (то есть, с Читателя на Автора). Получив запрос на смену роли, Cisco ISE запрашивает у текущего узла автора освобождение роли Автора политики.

Если текущий узел-автор не отвечает и администратор выбирает функцию «Принудительное повышение», ACA кластера узлов-читателей немедленно инициирует запрос на принудительное изменение роли кластера узлов-читателей на роль автора и наоборот в Cisco ISE. Это сообщение об обновлении конфигурации отправляется всем узлам.
Действия для принудительного повышения роли кластера узлов-читателей до кластера узлов-авторов полностью аналогичны тем, что описаны в разделе «Постепенное повышение роли узла-читателя до роли автора». В конце есть дополнительный шаг для инициализации функции принудительного повышения роли.

Документы/Ресурсы

Программное обеспечение CISCO ISE [pdf] Руководство пользователя
Программное обеспечение ISE, Программное обеспечение

Ссылки

Оставьте комментарий

Ваш адрес электронной почты не будет опубликован. Обязательные поля отмечены *