Contenu cacher
1 Logiciel CISCO ISE
2 Surview d'un déploiement de plusieurs centres catalyseurs
3 Cluster de nœuds d'auteur
4 Gestion des politiques de plusieurs centres de catalyseurs
5 Recommandations de mise à niveau pour Multiple Catalyst Center
6 Déploiements multiples du Catalyst Center
7 Activation de plusieurs centres de catalyseurs
8 Documents / Ressources
8.1 Références

Logo CISCO

Logiciel CISCO ISE

CISCO-ISE-Logiciel-PRODUIT

Surview d'un déploiement de plusieurs centres catalyseurs

Lorsque vous intégrez plusieurs clusters Catalyst Center à un seul système Cisco ISE, chaque cluster est indépendant. Aucune information n'est partagée entre les clusters. Dans ce cas, lorsque Cisco SD-Access (Software-Defined Access) est déployé sur Catalyst Center, l'ensemble des réseaux virtuels (VN) et toutes les autres fonctionnalités SD-Access sont locales à chaque cluster.
Catalyst Center fournit un mécanisme permettant de coordonner les éléments SD-Access et de stratégie basée sur les groupes (GBP) sur plusieurs clusters Catalyst Center intégrés à un seul système Cisco ISE. Afin de permettre l'administration globale de SD-Access sur plusieurs clusters Catalyst Center avec un ensemble cohérent de noms virtuels (VN), la fonctionnalité Catalyst Center multiple exploite la connexion sécurisée existante avec Cisco ISE pour propager les VN et les groupes de sécurité. tags Cisco ISE transfère les SGT (Securities Data Gets), les contrats d'accès et la politique de contrôle d'accès basé sur les groupes (GBAC) d'un cluster à un autre. Cisco ISE utilise les informations recueillies auprès d'un cluster (appelé nœud auteur) et les propage aux autres clusters (appelés nœuds lecteurs).
La fonctionnalité Multiple Catalyst Center est disponible lorsqu'elle est intégrée à Cisco ISE version 3.2 ou ultérieure.

Logiciel CISCO-ISE (2)

Note

  • Le fonctionnement de plusieurs centres Catalyst est désactivé par défaut. Pour l'utiliser, sélectionnez l'option « Activer le fonctionnement de plusieurs centres Catalyst » (dans les paramètres avancés) lors de l'intégration de Catalyst Center avec Cisco ISE. Vous pouvez activer cette fonctionnalité lors de la configuration initiale ou ultérieurement (après l'intégration de Cisco ISE). Une fois activée, seule la suppression de l'intégration de Cisco ISE permet de la désactiver.
  • Si vous utilisez des versions antérieures de Cisco ISE, vous devez contacter votre équipe commerciale afin de soumettre une demande au Conseil de conception Cisco SDA pour inclusion dans le programme de disponibilité limitée. Un package de disponibilité limitée pour plusieurs centres Catalyst sera mis à votre disposition pour vous permettre d'accéder à la version à disponibilité limitée (LA) de cette fonctionnalité. Consultez le Guide de déploiement prescriptif de plusieurs centres Cisco DNA vers un seul centre Cisco ISE pour plus d'informations.

La fonctionnalité Centre de catalyseurs multiples attribue des rôles spécifiques aux clusters :

  • Cluster de nœuds d'auteur
  • Cluster de nœuds de lecture

Cluster de nœuds d'auteur

  • Le rôle de nœud auteur est attribué au premier cluster (avec l'option Multiple Catalyst Center activée) qui s'intègre au déploiement Cisco ISE, ou au premier cluster qui active l'option Multiple Catalyst Center. Le cluster de nœud auteur est le point d'administration des politiques de groupe (GBP) et des données globales Cisco SD-Access. Il gère les VN, les SGT, les contrats d'accès et la politique GBAC. La création, la modification ou la suppression de VN et de composants GBP ne peuvent être effectuées que sur le cluster de nœud auteur.
  • Le cluster de nœuds d'auteur transmet les informations VN et GBP à Cisco ISE via les API ERS (REST) pour que Cisco ISE utilise ces informations et les publie sur tous les autres clusters Cisco Catalyst Center dans le rôle de nœud de lecteur via Cisco ISE pxGrid.
  • Un seul cluster peut être désigné comme nœud auteur. C'est le seul nœud où les données GBP et SDA globales définies par l'utilisateur (telles que les VN ou les politiques extranet) peuvent être gérées.
  • Si les SGT ou les VN sont opérationnels sur le nœud auteur, les SGT ou les VN ne peuvent pas être supprimés.

Cluster de nœuds de lecture

  • Tous les autres clusters Catalyst Center dont la fonctionnalité Multiple Catalyst Center est activée se voient attribuer le rôle de cluster de nœuds de lecture. Ces clusters sont en lecture seule. view des VN et des SGT.
  • Même si les clusters de nœuds de lecture consomment et conservent les mêmes VN, SGT, contrats d'accès et politiques GBAC définis sur le cluster de nœuds d'auteur, un cluster de nœuds de lecture n'affiche pas les contrats d'accès ni les politiques.
    Les réseaux virtuels (VN) ne peuvent être créés que sur le cluster de nœuds d'auteur. Une fois créés, ils sont propagés aux clusters de nœuds de lecture, où ils peuvent être utilisés lors des opérations de provisionnement de l'infrastructure. Les clusters de nœuds de lecture configurent les attributs réseau associés, tels que les identifiants de réseau virtuel (VNID), les cibles de routage (RT) et les routes.
  • Distinguishers (RD) qui sont locaux à ce cluster.
    À l’exception des fonctionnalités VN et GBP, chaque cluster de nœuds de lecture est un cluster indépendant qui gère sa propre infrastructure réseau.
  • La fonctionnalité Multiple Catalyst Center permet l'administration globale des politiques sur plusieurs clusters Cisco Catalyst Center intégrés à un seul Cisco ISE. Cette fonctionnalité ne modifie pas les limitations sous-jacentes de la gestion des réseaux et fabrics virtuels sur plusieurs clusters Cisco Catalyst Center. Un VN peut porter le même nom sur plusieurs clusters Cisco Catalyst Center, ce qui permet de prendre en charge des associations groupe de sécurité-VN cohérentes entre eux. Cependant, au niveau de chaque cluster, les attributs réseau à associer à un VN (VRF, cible de route, différenciateur de route, etc.) ne sont pas identiques d'un cluster à l'autre. Ce phénomène est identique à celui observé lors de l'exploitation de clusters Catalyst Center indépendants.
  • Il est possible d'ajouter jusqu'à quatre clusters Catalyst Center en tant que clusters de nœuds de lecture. Avant d'ajouter un nœud Catalyst Center en tant que lecteur, vous devez supprimer toutes les données globales Cisco SD-Access créées par l'administrateur sur le cluster de nœuds de lecture pour que Catalyst Center puisse s'intégrer à Cisco ISE. Cela inclut les noms virtuels non par défaut (tous les noms virtuels autres que
    « DEFAULT_VN » et « INFRA_VN », stratégie extranet, etc.). En cas de données GBP non par défaut (SGT, contrats d'accès, GBP), l'utilisateur peut choisir de les supprimer automatiquement ou de fusionner les données GBP absentes de Cisco ISE.

Note

  • Seuls cinq clusters Catalyst Center peuvent être intégrés à un seul déploiement Cisco ISE. Cela correspond à un cluster de nœuds d'auteur et jusqu'à quatre clusters de nœuds de lecture.
  • Il est possible de supprimer des SGT ou des VN sur le nœud auteur même s'ils sont utilisés sur les nœuds lecteurs. Dans ce cas, les SGT ou VN obsolètes doivent être supprimés manuellement sur les nœuds lecteurs (après suppression de toutes les références).

Gestion des politiques de plusieurs centres de catalyseurs

Après l'intégration de Catalyst Center à Cisco ISE et la synchronisation GBP, les informations de politique sont synchronisées entre Catalyst Center et Cisco ISE. Les droits de création de politique sont gérés par Catalyst.

Centre. Les fenêtres Cisco ISE pour la gestion des SGT, des ACL des groupes de sécurité (SGACL) et de la stratégie de sortie deviennent en lecture seule.
Vous pouvez gérer les politiques basées sur les groupes (groupes de sécurité, contrats d'accès et politique GBAC) dans Cisco ISE plutôt que dans Catalyst Center.
Dans l'interface graphique de Catalyst Center, cliquez sur l'icône de menu et choisissez Politique > Contrôle d'accès basé sur le groupe > Politiques > Configuration GBAC > Gérer le contrôle d'accès basé sur le groupe dans Cisco ISE.

Recommandations de mise à niveau pour Multiple Catalyst Center

Dans un environnement Catalyst Center multiple, il est recommandé d'exécuter la même version du logiciel Catalyst Center sur tous les clusters de nœuds auteurs et lecteurs, sauf lors des mises à niveau. Vous pouvez d'abord mettre à niveau tous les clusters de nœuds lecteurs, puis le cluster de nœuds auteurs afin d'éviter toute disparité et incompatibilité de fonctionnalités entre les versions logicielles. Évitez de promouvoir un cluster de nœuds lecteurs au rôle de nœud auteurs au milieu d'un cycle de mise à niveau. Tous les clusters Catalyst Center doivent être mis à niveau et exécuter la même version du logiciel avant de promouvoir un cluster de nœuds lecteurs.
Figure 1 : Recommandations de mise à niveau pour Multiple Catalyst Center

Logiciel CISCO-ISE (3)Le fonctionnement de base de la fonctionnalité Catalyst Center multiple ne requiert pas la même version logicielle sur tous les clusters de nœuds d'auteur et de lecteur participants. Cependant, l'utilisation de versions logicielles différentes peut entraîner des différences de correctifs, de capacités et de fonctionnalités entre les clusters. Il est donc recommandé d'utiliser la même version du logiciel Catalyst Center sur tous les clusters de nœuds d'auteur et de lecteur.

Déploiements multiples du Catalyst Center

Il existe deux options de déploiement de Multiple Catalyst Center.

Un nouveau déploiement de plusieurs clusters Catalyst Center qui ne sont actuellement pas intégrés à Cisco ISE.
Un cluster Catalyst Center existant intégré à Cisco ISE et de nouveaux clusters Catalyst Center supplémentaires sans intégration à Cisco ISE.

Activation de plusieurs centres de catalyseurs

La fonctionnalité de cluster Multiple Catalyst Center est désactivée par défaut. Elle peut être activée pendant ou après l'intégration avec Cisco ISE. Une fois activée, vous pouvez la désactiver uniquement en supprimant complètement l'intégration avec Cisco ISE.
Le fonctionnement de Multiple Catalyst Center nécessite la fonctionnalité pxGrid. Vous ne pouvez pas désactiver pxGrid après avoir activé Multiple Catalyst Center.

Procédure

  1. Étape 1 Dans l'interface graphique de Catalyst Center, cliquez sur l'icône de menu et choisissez Système > Paramètres > Serveurs d'authentification et de stratégie.
  2. Étape 2 : Ajouter Cisco ISE.
  3. Étape 3 : Saisissez les informations requises pour Cisco ISE. Pour plus d’informations, consultez la section Intégration de Catalyst Center et Cisco ISE.
  4. Étape 4 : Choisissez Système > Paramètres > Serveurs d’authentification et de stratégie > Ajouter > ISE > Paramètres avancés.
    Le commutateur Paramètres avancés expose diverses options avancées, y compris le commutateur permettant d'activer le fonctionnement du centre de catalyseurs multiples.
  5. Étape 5 Activez l'option de fonctionnement du centre de catalyseur multiple.
  6. Étape 6 (Facultatif) Si vous modifiez une intégration Cisco ISE existante, saisissez à nouveau le mot de passe d'administrateur Cisco ISE.
  7. Étape 7 Cliquez sur Ajouter.

Intégration de plusieurs centres Catalyst avec un seul Cisco ISE
Des conditions préalables sont requises pour intégrer Catalyst Center et Cisco ISE pour la première fois. Pour plus d'informations, consultez la page Intégration de Catalyst Center et Cisco ISE.

Avant de commencer
Lorsque Catalyst Center est déjà intégré à Cisco ISE, suivez les étapes suivantes pour réintégrer Catalyst.
Après l'activation de l'opération Catalyst Center multiple, Catalyst Center et Cisco ISE peuvent négocier le rôle de nœud auteur ou lecteur au sein du cluster, selon qu'il s'agisse du premier nœud ou d'un nœud ultérieur rejoignant Cisco ISE avec la fonctionnalité Catalyst Center multiple activée.

Procédure

  1. Étape 1 Dans l'interface graphique de Catalyst Center, cliquez sur l'icône de menu et choisissez Système > Paramètres > Serveurs d'authentification et de stratégie.
  2. Étape 2 Dans la colonne Actions, placez votre curseur sur l'icône des points de suspension ( ) et choisissez Modifier.
  3. Étape 3 : Choisissez Système > Paramètres > Serveurs d’authentification et de stratégie > Ajouter > ISE > Paramètres avancés.
  4. Étape 4 Activez l'option de fonctionnement du centre de catalyseur multiple.
  5. Étape 5 : Saisissez à nouveau le mot de passe d’administrateur Cisco ISE.
  6. Étape 6 : Cliquez sur Ajouter. Catalyst Center négocie le rôle de nœud d'auteur avec Cisco ISE.
    • Si l'état du serveur Cisco ISE configuré affiche « ÉCHEC » en raison d'un changement de mot de passe, cliquez sur Réessayer et mettez à jour le mot de passe pour resynchroniser la connectivité Cisco ISE.
    • L'état de l'intégration est visible dans le volet latéral. Assurez-vous que l'état de l'intégration est indiqué comme « Actif » dans la fenêtre Serveur d'authentification et de stratégie.
  7. Étape 7 Pour vérifier le rôle négocié du cluster en tant que nœud d'auteur, choisissez Système > Paramètres > Configuration système > Paramètres multiples du Catalyst Center.

Intégration d'autres clusters Catalyst Center avec Cisco ISE en tant que nœuds de lecture

Pour intégrer les clusters Catalyst Center suivants avec le même Cisco ISE sur lequel plusieurs Catalyst Center sont activés, le cluster Catalyst Center ne doit contenir aucun VN non par défaut (aucun VN autre que « DEFAULT_VN » et « INFRA_VN »).

Avant de commencer
Vérifiez que le cluster que vous souhaitez intégrer ne comprend que les réseaux virtuels par défaut sous Stratégie > Réseau virtuel.

Procédure

  1. Étape 1 Dans l'interface graphique de Catalyst Center, cliquez sur l'icône de menu et choisissez Système > Paramètres > Serveurs d'authentification et de stratégie.
  2. Étape 2 Cliquez sur Ajouter et choisissez ISE.
  3. Étape 3 : Saisissez les informations Cisco ISE requises. Consultez la section Intégration de Catalyst Center et Cisco ISE.
  4. Étape 4 : Choisissez Système > Paramètres > Serveurs d’authentification et de stratégie > Ajouter > ISE > Paramètres avancés.
  5. Étape 5 Activez l'option de fonctionnement du centre de catalyseur multiple.
  6. Étape 6 Cliquez sur Ajouter.
  7. Étape 7 (Facultatif) Lors de la première intégration du cluster avec Cisco ISE, cliquez sur Accepter dans le volet coulissant pour que Catalyst Center accepte le certificat envoyé par Cisco ISE. Fermez le volet coulissant.
  8. Étape 8 Dans la fenêtre Serveur d'authentification et de stratégie, vérifiez que l'état de l'intégration s'affiche comme Actif.

Suppression d'un réseau virtuel

Le cluster de nœuds auteurs ignore l'utilisation du réseau virtuel (VN) sur le cluster de nœuds lecteurs. Vous devez supprimer toutes les références à un VN sur tous les clusters de nœuds lecteurs avant de tenter de supprimer ce VN sur le cluster de nœuds auteurs. Si vous supprimez un VN sur le cluster de nœuds auteurs, il est également supprimé sur le nœud auteurs et sur les clusters de nœuds lecteurs qui n'y sont pas référencés. Cependant, si l'un des nœuds lecteurs utilise ce VN, son état s'affiche comme « Désynchronisé avec l'auteur ». Vous devez supprimer toutes les références (par exemple).ample, ajout de VN dans la section d'intégration de l'hôte ou attribution de port statique) du VN sur le cluster de nœuds de lecture, puis procédez à la suppression de ce VN sur le cluster de nœuds de lecture.

Suppression d'un groupe de sécurité

Le cluster de nœuds auteurs ignore l'utilisation du groupe de sécurité sur un cluster de nœuds lecteurs. Vous devez supprimer toutes les références à ce groupe de sécurité sur tous les clusters de nœuds lecteurs avant de tenter de supprimer ce groupe de sécurité sur le cluster de nœuds auteurs. Si vous supprimez un groupe de sécurité sur le cluster de nœuds auteurs, ce groupe de sécurité est également supprimé sur le cluster de nœuds auteurs, Cisco ISE et sur le cluster de nœuds lecteurs s'il n'y a aucune référence. Si l'un des clusters de nœuds lecteurs utilise ce groupe de sécurité, son état s'affiche comme « Désynchronisé avec l'auteur ». Vous devez supprimer toutes les références du groupe de sécurité sur le cluster de nœuds lecteurs, puis supprimer ce groupe de sécurité sur le cluster de nœuds lecteurs.

Promotion des nœuds de lecture au rôle d'auteur
L'architecture de la solution Multiple Catalyst Center comporte plusieurs clusters Catalyst Center, et un seul cluster peut être l'auteur de la politique. Il peut arriver que l'administrateur doive promouvoir un cluster de nœuds lecteurs pour qu'il prenne le rôle de cluster de nœuds auteurs. Cette promotion ne doit être effectuée que dans les cas suivants :

Vous mettez le cluster de nœuds d'auteur hors service ou le rendez indisponible pour une période prolongée.
Le cluster de nœuds d'auteur est indisponible ou ne répond pas de manière permanente pendant une période prolongée, et des modifications de politique sont nécessaires pendant cette période.

Cette promotion d'un nœud lecteur en nœud auteur peut se faire de deux manières :

  1. Promotion élégante d'un lecteur au rôle d'auteur.
  2. Forcer la promotion d'un nœud lecteur au rôle d'auteur.

Promotion gracieuse d'un nœud lecteur au rôle d'auteur
Vous pouvez promouvoir manuellement un cluster Lecteur Catalyst Center au rôle Auteur si nécessaire dans le cadre d'un déploiement multiple Catalyst Center. Tous les clusters de nœuds Lecteurs disposent d'un bouton « Promouvoir au rôle Auteur ». Vous pouvez promouvoir

Vous pouvez également transférer un cluster de nœuds lecteurs vers un cluster d'auteurs tant que votre cluster d'auteurs actuel est encore opérationnel. Cependant, ne lancez pas l'opération de promotion tant que le cluster d'auteurs existant est en cours de création de politiques de groupe (par exemple).amp(lors de la synchronisation des politiques avec Cisco ISE). Si le cluster de nœuds auteurs est occupé, l'opération de promotion est interrompue.taggéré jusqu'à ce que le nœud auteur termine son traitement en cours.

Note

  • Lors de la promotion réussie d'un cluster de nœuds de lecture au rôle d'auteur, le cluster de nœuds de lecture initie une requête à Cisco ISE pour un changement de rôle (de lecteur à auteur).
  • Lorsque Cisco ISE reçoit une demande de changement de rôle, il demande au nœud d'auteur actuel de libérer le rôle d'auteur de stratégie. Le nœud d'auteur actuel libère alors ce rôle (si aucune synchronisation n'est en cours) et prend en charge le rôle du cluster de nœuds de lecture.
  • Le nœud lecteur actuellement sélectionné pour la promotion devient le nœud auteur. Suite à ce changement de rôle, Cisco ISE met à jour la configuration des autres clusters de nœuds lecteurs en informant ces derniers du nouveau nœud auteur.

Logiciel CISCO-ISE (4)Procédure

  1. Étape 1 Sur le cluster de nœuds de lecture, choisissez Système > Paramètres > > Configuration système > Paramètres multiples Cisco Catalyst Center et vérifiez les nœuds d'auteur et de lecture.
  2. Étape 2 Cliquez sur le bouton « Devenir auteur ».
  3. Étape 3 Cliquez sur Continuer pour promouvoir le nœud au rôle d'auteur.

Le processus de transition peut prendre quelques minutes.

Forcer la promotion d'un nœud lecteur au rôle d'auteur
La promotion forcée est une forme de promotion manuelle, qui vise strictement à promouvoir le cluster de nœuds de lecture actuel au rôle de nœud d'auteur dans ces situations :

  • Le cluster actuel de nœuds d'auteur est hors service.
  • Le cluster de nœuds d'auteur actuel ne répond pas.
  • La promotion en douceur d'un nœud lecteur au rôle d'auteur prend plus de 5 minutes.

Figure 3 : Promotion forcée d'un nœud lecteur au rôle d'auteur

Logiciel CISCO-ISE (1)

N'utilisez pas l'option de promotion forcée tant que le cluster de nœuds d'auteur existant est en service avec une activité de création GBP, car cela pourrait entraîner une perte de données et une désynchronisation du cluster de nœuds d'auteur avec Cisco ISE. Par conséquent, la promotion forcée est recommandée uniquement si vous devez rétablir le service immédiatement et que vous êtes prêt à prendre le risque d'une perte de données. Après la promotion forcée, le cluster de nœuds de lecture promu deviendra le nouveau cluster de nœuds d'auteur pour le déploiement. Lorsque l'ancien cluster de nœuds d'auteur sera de nouveau disponible, il passera au rôle de lecteur et téléchargera les dernières données de configuration depuis Cisco ISE.
Lors de la promotion d'un cluster de nœuds de lecture, ce dernier envoie une requête à Cisco ISE pour un changement de rôle (de lecteur à auteur). À réception de cette requête, Cisco ISE demande au nœud d'auteur actuel de libérer le rôle d'auteur de stratégie.

Si le nœud d'auteur actuel ne répond pas et que l'administrateur sélectionne « Forcer la promotion », le cluster de nœuds de lecture ACA lance immédiatement une requête dans Cisco ISE afin de forcer la conversion du cluster de nœuds de lecture en nœud d'auteur et inversement. Ce message de mise à jour de configuration est envoyé à tous les nœuds.
La procédure de promotion forcée d'un cluster de nœuds de lecture en cluster de nœuds d'auteur est identique à celle décrite dans la section relative à la promotion progressive d'un nœud de lecture vers le rôle d'auteur. Une étape supplémentaire est nécessaire à la fin pour lancer la promotion forcée.

Documents / Ressources

Logiciel CISCO ISE [pdf] Guide de l'utilisateur
Logiciel ISE, Logiciel

Références

Laisser un commentaire

Votre adresse email ne sera pas publiée. Les champs obligatoires sont marqués *