Isi bersembunyi
1 Perangkat Lunak CISCO ISE
2 Lebihview dari penerapan Multiple Catalyst Center
3 Cluster Node Penulis
4 Manajemen kebijakan Beberapa Pusat Katalis
5 Rekomendasi peningkatan untuk Multiple Catalyst Center
6 Beberapa penerapan Pusat Katalis
7 Mengaktifkan Beberapa Pusat Katalis
8 Dokumen / Sumber Daya
8.1 Referensi

Logo CISCO

Perangkat Lunak CISCO ISE

Produk Perangkat Lunak CISCO-ISE

Lebihview dari penerapan Multiple Catalyst Center

Ketika Anda mengintegrasikan lebih dari satu klaster Catalyst Center dengan satu sistem Cisco ISE, setiap klaster Catalyst Center bersifat independen. Tidak ada informasi yang dibagikan dari satu klaster ke klaster lainnya. Dalam skenario ini, ketika Cisco Software-Defined Access (SD-Access) diterapkan di Catalyst Center, rangkaian jaringan virtual (VN) dan semua SD-Access lainnya bersifat lokal untuk setiap klaster.
Catalyst Center menyediakan mekanisme untuk mengoordinasikan elemen SD-Access dan Group-Based Policy (GBP) di beberapa klaster Catalyst Center yang terintegrasi dengan satu sistem Cisco ISE. Untuk memungkinkan administrasi global SD-Access di beberapa klaster Catalyst Center dengan serangkaian VN yang konsisten, fitur Multiple Catalyst Center memanfaatkan koneksi aman yang ada dengan Cisco ISE untuk menyebarkan VN, grup keamanan, dan sebagainya. tags (SGT), Kontrak Akses, dan Kebijakan Kontrol Akses Berbasis Grup (GBAC) dari satu klaster ke klaster lainnya. Cisco ISE mengambil informasi yang dipelajari dari satu klaster (dikenal sebagai Node Penulis) dan menyebarkannya ke klaster lainnya (dikenal sebagai Node Pembaca).
Fitur Multiple Catalyst Center tersedia saat terintegrasi dengan Cisco ISE Rilis 3.2 atau yang lebih baru.

Perangkat Lunak CISCO-ISE (2)

Catatan

  • Operasi Multiple Catalyst Center dinonaktifkan secara default. Untuk menggunakan fitur ini, pilih operasi Aktifkan Multiple Catalyst Center (di Pengaturan Lanjutan) saat mengintegrasikan Catalyst Center dengan Cisco ISE. Anda dapat mengaktifkan fitur ini pada konfigurasi awal atau nanti (setelah Cisco ISE terintegrasi). Setelah fungsi ini diaktifkan, hanya penghapusan integrasi Cisco ISE yang dapat menonaktifkan fungsi tersebut.
  • Jika Anda menggunakan rilis Cisco ISE sebelumnya, Anda harus menghubungi tim akun Anda untuk mengajukan permintaan ke Cisco SDA Design Council agar dapat diikutsertakan dalam program Ketersediaan Terbatas. Paket Ketersediaan Terbatas Multiple Catalyst Center akan disediakan untuk memungkinkan akses ke versi ketersediaan terbatas (LA) dari fungsionalitas ini. Lihat Panduan Penerapan Preskriptif Multiple Cisco DNA Center ke Single Cisco ISE untuk informasi selengkapnya.

Fitur Multiple Catalyst Center memiliki penunjukan peran khusus untuk kluster:

  • Cluster Node Penulis
  • Cluster Node Pembaca

Cluster Node Penulis

  • Peran Author Node ditetapkan ke klaster pertama (dengan opsi Multiple Catalyst Center diaktifkan) yang terintegrasi dengan penerapan Cisco ISE, atau klaster pertama yang mengaktifkan opsi Multiple Catalyst Center. Klaster Author Node merupakan titik administrasi untuk Kebijakan Berbasis Grup (GBP) dan data global Cisco SD-Access. Klaster Author Node mengelola VN, SGT, Kontrak Akses, dan Kebijakan GBAC. Pembuatan, modifikasi, atau penghapusan VN dan komponen GBP hanya dapat dilakukan di klaster Author Node.
  • Klaster Author Node mendorong informasi VN dan GBP ke Cisco ISE melalui API ERS (REST) ​​agar Cisco ISE dapat menggunakan informasi ini dan menerbitkannya ke semua Klaster Cisco Catalyst Center lainnya dalam peran Reader Node melalui Cisco ISE pxGrid.
  • Hanya satu klaster yang dapat ditetapkan sebagai Node Penulis. Node ini merupakan satu-satunya tempat GBP dan data SDA global yang ditentukan pengguna (seperti VN atau kebijakan ekstranet) dapat dikelola.
  • Jika SGT atau VN beroperasi pada Author Node, SGT atau VN tidak dapat dihapus.

Cluster Node Pembaca

  • Semua kluster Catalyst Center lain yang mengaktifkan fitur Multiple Catalyst Center akan diberi peran sebagai kluster Reader Node. Kluster Reader Node memiliki akses baca-saja. view dari VN dan SGT.
  • Meskipun kluster Node Pembaca memakai dan mempertahankan VN, SGT, Kontrak Akses, dan Kebijakan GBAC yang sama yang ditetapkan pada kluster Node Penulis, kluster Node Pembaca tidak menampilkan Kontrak Akses atau kebijakan.
    VN hanya dapat dibuat di klaster Author Node. Setelah dibuat, VN akan disebarkan ke klaster Reader Node, tempat VN tersebut dapat digunakan dalam operasi penyediaan fabric. Klaster Reader Node mengonfigurasi atribut jaringan terkait seperti Virtual Network Identifies (VNID), Route Targets (RT), dan Route
  • Pembeda (RD) yang bersifat lokal pada klaster tersebut.
    Kecuali fitur VN dan GBP, setiap klaster Reader Node merupakan klaster independen yang mengelola infrastruktur jaringannya sendiri.
  • Fitur Multiple Catalyst Center memungkinkan administrasi kebijakan global di beberapa kluster Cisco Catalyst Center yang terintegrasi ke dalam satu Cisco ISE. Kemampuan ini tidak mengubah batasan mendasar dalam mengelola jaringan dan fabric virtual di beberapa kluster Cisco Catalyst Center. Sebuah VN mungkin memiliki nama yang sama di beberapa kluster Cisco Catalyst Center, yang memungkinkannya mendukung asosiasi grup keamanan-VN yang konsisten di beberapa kluster. Namun, pada tingkat kluster individual, atribut jaringan aktual yang terkait dengan sebuah VN (VRF, target rute, pembeda rute, dan sebagainya) tidak identik di seluruh kluster. Hal ini sama seperti ketika mengoperasikan kluster Catalyst Center yang independen.
  • Hingga empat kluster Catalyst Center dapat ditambahkan sebagai kluster Reader Node. Sebelum menambahkan node Catalyst Center sebagai Reader, Anda harus menghapus semua data global Cisco SD-Access yang dibuat admin pada kluster Reader Node agar Catalyst Center dapat terintegrasi dengan Cisco ISE. Ini termasuk VN non-default (VN apa pun selain
    "DEFAULT_VN" dan "INFRA_VN", Kebijakan Ekstranet, dan sebagainya). Jika terdapat data GBP non-default (SGT, Kontrak Akses, GBP), pengguna memiliki opsi untuk membersihkan (menghapus) semua data GBP non-default secara otomatis, atau menggabungkan data GBP yang belum ada di Cisco ISE.

Catatan

  • Hanya lima klaster Catalyst Center yang dapat diintegrasikan dengan satu penerapan Cisco ISE. Ini berarti satu klaster Author Node dan hingga empat klaster Reader Node.
  • SGT atau VN pada Node Penulis dapat dihapus meskipun sedang digunakan pada Node Pembaca. Jika demikian, SGT atau VN yang usang harus dihapus secara manual pada Node Pembaca (setelah menghapus referensi apa pun).

Manajemen kebijakan Beberapa Pusat Katalis

Setelah mengintegrasikan Catalyst Center dengan Cisco ISE dan melakukan sinkronisasi GBP, informasi kebijakan disinkronkan antara Catalyst Center dan Cisco ISE. Hak istimewa pembuatan kebijakan berada di dalam Catalyst.

Tengah. Jendela Cisco ISE untuk pengelolaan SGT, ACL Grup Keamanan (SGACL), dan Kebijakan Egress menjadi hanya baca.
Anda dapat mengelola kebijakan berbasis grup (Grup Keamanan, Kontrak Akses, dan Kebijakan GBAC) di Cisco ISE, bukan di Catalyst Center.
Di GUI Catalyst Center, klik ikon menu dan pilih Kebijakan > Kontrol Akses Berbasis Grup > Kebijakan > Konfigurasi GBAC > Kelola Kontrol Akses Berbasis Grup di Cisco ISE.

Rekomendasi peningkatan untuk Multiple Catalyst Center

Dalam lingkungan Multiple Catalyst Center, disarankan untuk menjalankan versi perangkat lunak Catalyst Center yang sama di semua klaster Author Node dan Reader Node, kecuali selama proses peningkatan klaster. Anda dapat meningkatkan semua klaster Reader Node terlebih dahulu, lalu meningkatkan klaster Author Node untuk menghindari perbedaan fitur dan ketidakcocokan fitur di berbagai versi perangkat lunak. Hindari promosi klaster Reader Node ke peran Author Node di tengah siklus peningkatan. Semua klaster Catalyst Center harus ditingkatkan dan menjalankan versi perangkat lunak yang sama sebelum mempromosikan klaster Reader Node.
Gambar 1: Rekomendasi peningkatan untuk Multiple Catalyst Center

Perangkat Lunak CISCO-ISE (3)Fungsionalitas dasar fitur Multiple Catalyst Center tidak memerlukan versi perangkat lunak yang sama di semua klaster Author dan Reader Node yang berpartisipasi. Namun, penggunaan versi kode yang tidak sesuai dapat mengakibatkan perbedaan perbaikan, kemampuan, dan fitur antar klaster. Versi perangkat lunak Catalyst Center yang sama direkomendasikan di semua klaster Author dan Reader Node.

Beberapa penerapan Pusat Katalis

Ada dua opsi penerapan Multiple Catalyst Center.

Penerapan baru beberapa kluster Catalyst Center yang saat ini tidak terintegrasi dengan Cisco ISE.
Klaster Catalyst Center yang ada yang terintegrasi dengan Cisco ISE dan klaster Catalyst Center tambahan baru tanpa Integrasi Cisco ISE.

Mengaktifkan Beberapa Pusat Katalis

Fungsionalitas klaster Multiple Catalyst Center dinonaktifkan secara default. Fungsionalitas ini dapat diaktifkan selama atau setelah integrasi dengan Cisco ISE. Setelah fungsi Multiple Catalyst Center diaktifkan, Anda hanya dapat menonaktifkannya dengan menghapus integrasi Cisco ISE sepenuhnya.
Operasi Multiple Catalyst Center memerlukan fungsionalitas pxGrid. Anda tidak dapat menonaktifkan pxGrid setelah mengaktifkan Multiple Catalyst Center.

Prosedur

  1. Langkah 1 Di GUI Catalyst Center, klik ikon menu dan pilih Sistem > Pengaturan > Server Autentikasi dan Kebijakan.
  2. Langkah 2 Tambahkan Cisco ISE.
  3. Langkah 3 Masukkan informasi Cisco ISE yang diperlukan. Untuk informasi lebih lanjut, lihat integrasi Catalyst Center dan Cisco ISE.
  4. Langkah 4 Pilih Sistem > Pengaturan > Server Autentikasi dan Kebijakan > Tambah > ISE > Pengaturan Lanjutan.
    Sakelar Pengaturan Lanjutan memaparkan berbagai opsi lanjutan, termasuk sakelar untuk mengaktifkan operasi Multiple Catalyst Center.
  5. Langkah 5 Aktifkan opsi Operasi Beberapa Pusat Katalis.
  6. Langkah 6 (Opsional) Jika Anda mengedit integrasi Cisco ISE yang ada, masukkan kembali kata sandi admin Cisco ISE.
  7. Langkah 7 Klik Tambah.

Mengintegrasikan Beberapa Catalyst Center dengan satu Cisco ISE
Terdapat prasyarat untuk mengintegrasikan Catalyst Center dan Cisco ISE untuk pertama kalinya. Untuk informasi lebih lanjut, lihat integrasi Catalyst Center dan Cisco ISE.

Sebelum Anda memulai
Ketika Catalyst Center sudah terintegrasi dengan Cisco ISE, selesaikan langkah-langkah berikut untuk mengintegrasikan kembali Catalyst
Pusat dan Cisco ISE setelah mengaktifkan operasi Multiple Catalyst Center. Hal ini memungkinkan Catalyst Center untuk menegosiasikan peran klaster Node Penulis atau Pembaca berdasarkan apakah node tersebut merupakan node pertama atau node berikutnya yang bergabung dengan Cisco ISE dengan fitur Multiple Catalyst Center diaktifkan.

Prosedur

  1. Langkah 1 Di GUI Catalyst Center, klik ikon menu dan pilih Sistem > Pengaturan > Server Autentikasi dan Kebijakan.
  2. Langkah 2 Di kolom Tindakan, arahkan kursor Anda ke ikon elipsis ( ) dan pilih Edit.
  3. Langkah 3 Pilih Sistem > Pengaturan > Server Autentikasi dan Kebijakan > Tambah > ISE > Pengaturan Lanjutan.
  4. Langkah 4 Aktifkan opsi Operasi Beberapa Pusat Katalis.
  5. Langkah 5 Masukkan kembali kata sandi Admin Cisco ISE.
  6. Langkah 6 Klik Tambah. Catalyst Center menegosiasikan peran Node Penulis dengan Cisco ISE.
    • Jika status server Cisco ISE yang dikonfigurasi menampilkan “GAGAL” karena perubahan kata sandi, klik Coba Lagi, lalu perbarui kata sandi untuk menyinkronkan ulang konektivitas Cisco ISE.
    • Status integrasi dapat dilihat di panel geser. Pastikan Status integrasi ditampilkan sebagai Aktif di jendela Server Autentikasi dan Kebijakan.
  7. Langkah 7 Untuk memverifikasi peran klaster yang dinegosiasikan sebagai Node Penulis, pilih Sistem > Pengaturan > Konfigurasi Sistem > Beberapa Pengaturan Pusat Catalyst.

Mengintegrasikan kluster Catalyst Center lainnya dengan Cisco ISE sebagai Node Pembaca

Untuk mengintegrasikan kluster Catalyst Center berikutnya dengan Cisco ISE yang sama yang mengaktifkan Multiple Catalyst Center, kluster Catalyst Center tidak boleh berisi VN nondefault (VN apa pun selain “DEFAULT_VN” dan “INFRA_VN”).

Sebelum Anda memulai
Verifikasi bahwa kluster yang ingin Anda integrasikan hanya menyertakan VN default di bawah Kebijakan > Jaringan Virtual.

Prosedur

  1. Langkah 1 Di GUI Catalyst Center, klik ikon menu dan pilih Sistem > Pengaturan > Server Autentikasi dan Kebijakan.
  2. Langkah 2 Klik Tambah dan pilih ISE.
  3. Langkah 3 Masukkan informasi Cisco ISE yang diperlukan. Lihat integrasi Catalyst Center dan Cisco ISE.
  4. Langkah 4 Pilih Sistem > Pengaturan > Server Autentikasi dan Kebijakan > Tambah > ISE > Pengaturan Lanjutan.
  5. Langkah 5 Aktifkan opsi Operasi Beberapa Pusat Katalis.
  6. Langkah 6 Klik Tambah.
  7. Langkah 7 (Opsional) Saat mengintegrasikan klaster dengan Cisco ISE untuk pertama kalinya, klik Terima di panel geser agar Catalyst Center dapat menerima sertifikat yang dikirimkan oleh Cisco ISE. Tutup panel geser.
  8. Langkah 8 Di jendela Server Autentikasi dan Kebijakan, verifikasi bahwa status integrasi ditampilkan sebagai Aktif.

Menghapus jaringan virtual

Klaster Node Penulis tidak mengetahui penggunaan Jaringan Virtual (VN) pada klaster Node Pembaca. Anda harus menghapus semua referensi ke VN pada semua klaster Node Pembaca sebelum mencoba menghapus VN tersebut pada klaster Node Penulis. Jika Anda menghapus VN pada klaster Node Penulis, VN tersebut akan dihapus pada node Penulis dan pada klaster Node Pembaca yang tidak memiliki referensi ke VN tersebut. Namun, jika salah satu Node Pembaca menggunakan VN tersebut, status VN tersebut akan ditampilkan sebagai Tidak sinkron dengan Penulis. Anda harus menghapus semua referensi (misalnyaample, Penambahan VN di Bagian Host Onboarding atau penugasan port statis) dari VN di kluster Reader Node, lalu lanjutkan dengan menghapus VN tersebut di kluster Reader Node.

Menghapus grup keamanan

Klaster Node Penulis tidak mengetahui penggunaan grup keamanan pada klaster Node Pembaca. Anda harus menghapus semua referensi ke grup keamanan tersebut pada semua klaster Node Pembaca sebelum mencoba menghapus grup keamanan tersebut pada klaster Node Penulis. Jika Anda menghapus grup keamanan pada klaster Node Penulis, grup keamanan tersebut juga akan dihapus pada klaster Node Penulis, Cisco ISE, dan pada klaster Node Pembaca jika tidak ada referensi ke grup tersebut. Jika salah satu klaster Node Pembaca menggunakan grup keamanan tersebut, status grup keamanan tersebut akan ditampilkan sebagai Tidak sinkron dengan Penulis. Anda harus menghapus semua referensi grup keamanan pada klaster Node Pembaca, lalu melanjutkan untuk menghapus grup keamanan tersebut pada klaster Node Pembaca.

Promosi Node Pembaca ke Peran Penulis
Arsitektur solusi Multiple Catalyst Center memiliki beberapa klaster Catalyst Center dan hanya satu klaster yang dapat menjadi Pembuat kebijakan. Terkadang, Administrator perlu mempromosikan klaster Reader Node untuk mengambil alih peran klaster Author Node. Promosi ini hanya boleh dilakukan jika:

Anda menonaktifkan kluster Node Penulis atau membuatnya tidak tersedia untuk jangka waktu tertentu.
Cluster Node Penulis tidak tersedia secara permanen atau tidak responsif selama jangka waktu tertentu dan perubahan kebijakan diperlukan selama waktu tersebut.

Promosi dari Node Pembaca menjadi Node Penulis dapat dilakukan dengan dua cara:

  1. Promosi yang Anggun dari Node Pembaca ke peran Penulis.
  2. Paksa Promosi Node Pembaca ke peran Penulis.

Promosi yang anggun dari Node Pembaca ke Peran Penulis
Anda dapat mempromosikan klaster Reader Catalyst Center secara manual ke Peran Penulis jika diperlukan dalam penerapan Multiple Catalyst Center. Semua klaster Reader Node memiliki tombol Promosikan ke Penulis. Anda dapat mempromosikan

klaster Node Pembaca ke Node Penulis saat klaster Node Penulis Anda saat ini masih beroperasi. Namun, jangan memulai operasi promosi saat klaster Node Penulis yang ada sedang berada di tengah aktivitas pembuatan kebijakan berbasis grup (misalnyaample, saat menyinkronkan kebijakan dengan Cisco ISE). Jika klaster Node Penulis sibuk, operasi promosi dihentikantagdiproses hingga Node Penulis menyelesaikan pemrosesannya saat ini.

Catatan

  • Setelah klaster Node Pembaca dipromosikan dengan baik ke Peran Penulis, klaster Node Pembaca memulai permintaan ke Cisco ISE untuk perubahan peran (Pembaca menjadi Penulis).
  • Ketika Cisco ISE menerima permintaan perubahan peran, ia meminta Node Penulis saat ini untuk melepaskan peran Penulis kebijakan. Node Penulis saat ini kemudian melepaskan peran Penulis kebijakan (jika tidak ada sinkronisasi yang sedang berlangsung) dan mengambil alih peran klaster Node Pembaca.
  • Node Pembaca saat ini yang dipilih untuk promosi akan mengambil peran Node Penulis. Setelah Peran Penulis dan Pembaca berubah, Cisco ISE akan memberi tahu klaster Node Pembaca lainnya tentang Node Penulis yang baru melalui pembaruan konfigurasi.

Perangkat Lunak CISCO-ISE (4)Prosedur

  1. Langkah 1 Pada klaster Node Pembaca, pilih Sistem > Pengaturan > > Konfigurasi Sistem > Beberapa Pengaturan Cisco Catalyst Center, lalu verifikasi Node Penulis dan Pembaca.
  2. Langkah 2 Klik tombol Promosikan menjadi Penulis.
  3. Langkah 3 Klik Lanjutkan untuk mempromosikan node ke Peran Penulis.

Proses transisi mungkin memakan waktu beberapa menit.

Paksa promosi Node Pembaca ke Peran Penulis
Promosi paksa adalah bentuk promosi manual yang ditujukan secara ketat untuk mempromosikan klaster Node Pembaca saat ini ke peran Node Penulis dalam situasi berikut:

  • Klaster Node Penulis saat ini tidak berfungsi.
  • Cluster Node Penulis saat ini tidak responsif.
  • Promosi yang lancar dari Node Pembaca ke Peran Penulis memakan waktu lebih dari 5 menit.

Gambar 3: Memaksa promosi Node Pembaca ke Peran Penulis

Perangkat Lunak CISCO-ISE (1)

Jangan gunakan opsi promosi paksa saat klaster Author Node yang ada sedang beroperasi dengan aktivitas penulisan GBP, karena hal ini dapat mengakibatkan hilangnya data dan klaster Author Node tidak sinkron dengan Cisco ISE. Oleh karena itu, promosi paksa hanya disarankan jika Anda harus segera memulihkan layanan dan bersedia menanggung risiko kehilangan data. Setelah promosi paksa, klaster Reader Node yang dipromosikan akan menjadi klaster Author Node baru untuk penerapan ini. Ketika klaster Author Node sebelumnya tersedia, klaster tersebut akan beralih ke peran reader dan mengunduh data konfigurasi terbaru dari Cisco ISE.
Setelah memulai promosi klaster Reader Node, klaster Reader Node akan mengajukan permintaan ke Cisco ISE untuk perubahan Peran (dengan kata lain, Reader menjadi Author). Ketika Cisco ISE menerima permintaan perubahan peran, Cisco ISE meminta Author Node saat ini untuk melepaskan peran Author kebijakan.

Jika Node Penulis saat ini tidak responsif dan administrator memilih Paksa Promosi, ACA klaster Node Pembaca akan segera memulai permintaan untuk memaksa perubahan klaster Node Pembaca ke Peran Penulis dan sebaliknya di Cisco ISE. Pesan pembaruan konfigurasi ini akan dikirimkan ke semua node.
Langkah-langkah untuk memaksa promosi klaster Node Pembaca ke klaster Node Penulis sama persis dengan yang dijelaskan di bagian promosi Node Pembaca ke Peran Penulis. Ada langkah tambahan di akhir untuk memulai fungsi Paksa Promosi.

Dokumen / Sumber Daya

Perangkat Lunak CISCO ISE [Bahasa Indonesia:] Panduan Pengguna
Perangkat Lunak ISE, Perangkat Lunak

Referensi

Tinggalkan komentar

Alamat email Anda tidak akan dipublikasikan. Bidang yang wajib diisi ditandai *