Detalles de Despliegue ISE v2.1
Como leer e interpretar las líneas
de comando
En el presente manual se usan las
siguientes convenciones para comandos a ingresar en la interfaz de lineas de
configuracion (CLI).
Comando para ingresar al modo de configuracion global:
configure terminal
Comando para especificar el valor de una varible:
ntp server 172.18.58.200
Comando cuya variable usted debe definir:
Class-map [highest class
name]
Comando para ingresar al modo de configuracion
privilegiado y campos universales imperativos :
Router>enable
Las comandos de configuracion muy largos y que ocupan
varias lineas se subrayan
police
rate 10000 pps burst 10000 packets conform-action
Las variables que se muestran como salida de respuesta
a peticiones en CLI son sombreadas
interface Van64
ip address 10.5.204.5 255.255.255.0
Introducción
Ya se había comentado en alguna
ocasión que Cisco ISE ha sido diseñado para soportar hasta doscientos cincuenta
mil dispositivos finales (250K). Ahora bien, es acertado intuir que para
soportar esta cantidad de dispositivos finales exista la necesidad de
distribuir en espacios geográficos diferentes a éstos usuarios y además
desplegar diferentes nodos o personas ISE.
La
documentación oficial de Cisco nos recomienda que exista un nodo ISE desplegado
con el rol de personas “Policy” y nos hace la salvedad que solo dos (2) de
todos los nodos solo pueden correr los rolos de administración y monitoreo.
En
lo adelante, se documenta el paso a paso a fin de generar un segundo Nodo Cisco
ISE con los roles de administración, monitoreo y politícas. Efectivamente, éste
caso tiene aplicación en un escenario real y es una solución que está en
producción plena y es ciento por ciento efectiva.
Antes
de comenzar, se asume que ya existe un nodo ciento por ciento operativo y en
producción, en nuestro escenario dicho nodo se ha desplegado con los tres (3)
roles disponibles y se encuentra en el modo “Standalone”, además de un segundo
nodo, apenas con la configuración básica, es decir, después del primer arranque
del sistema.
Proceso
1: Convirtiendo un Nodo Standalone a uno Primario
Paso 1: A
través de un Navegador Web conectarse e introducir credenciales a la instancia.
Por ejemplo: https://BECISEPRO01.beconsult.com
Paso 2: Navegar a
través de la ruta Administration >
System > Deployment. Hacer click en la sección izquierda sobre
Deployment y luego sobre el nodo, ejemplo BECISEPRO01. Validar Figura1.
Paso 3: Hacer click
sobre el botón Make Primary, en la
sección derecha de la pantalla.
Paso 4: Hacer click
en Save para finalizar.
Figura1.:
Convirtiendo un Nodo Standalone a uno Primario.
Proceso
2: Exportando Certificado de Confianza desde el Nodo destinado a ser secundario
Paso 1: A
través de un Navegador Web conectarse e introducir credenciales a la instancia
destinada a ser secundaria. Por ejemplo: https://BECISEPRO02.beconsult.com
Paso 2: Navegar a
través de la ruta Administration >
System > Certificates. Hacer click en la sección izquierda sobre Certificates Management, y en el
despliegue sobre System Certificates. Luego
sobre la sección derecha, click sobre la casilla Default self-signed server certificate. Validar Figura2.
Paso 3: Ahora click
sobre en la sección derecha superior sobre el botón Export.
Paso 4: Sobre la
ventana emergente, optar por la opción Export
Certificate Only y para finalizar click sobre el botón Export. Validar Figura2.
Importante, prestar atención sobre la ruta local de destino para el
certificado.
Figura2.:
Exportando Certificado de Confianza desde el Nodo destinado a ser secundario
Proceso
3: Importando Certificado de Confianza desde el Nodo destinado a ser secundario
Paso 1: En nodo
primario Navegar a través de la ruta Administration >
System > Certificates. Hacer click en la sección izquierda sobre Certificates Management, y en el
despliegue sobre Trusted Certificates. Luego
sobre la sección derecha, click sobre el botón Import. Validar Figura3.
Figura3.:
Sección Certificado de Confianza sobre nodo primario
Paso 2: Sobre la
nueva sección desplegada, hacer click sobre el botón Seleccionar Archivo, y navegar en la ruta local hasta encontrar el
certificado importado en el Paso 4 del Proceso 2 descrito anteriormente. Validar Figura4.
Paso 3: Sobre el
campo Friendly Name, colocar el
nombre otorgado al nodo secundario.
Paso 4: Para
finalizar click sobre el botón Submit.
Figura4.:
Importando Certificado de Confianza desde el Nodo destinado a ser secundario
Paso 5: Confirmar el proceso ante la solicitud que realiza Cisco
Ise, nodo primario. Click en Yes. Validar Figura5.
Figura5.:
Importando Certificado de Confianza, confirmar el proceso Import
En Figura 6 se observará la vista de
la ruta Administration >
System > Certificates > Certificates Management > Trusted Certificates el estado final del
proceso Import sobre el nodo primario.
Figura6.:
Certificado de Confianza, confirmado en nodo primario
Proceso
4: Registrando nodo secundario sobre primario
Paso 1: En nodo
primario navegar a través de la ruta Administration >
System > Deployment. Hacer click en la sección izquierda sobre
Deployment y en la sobre la derecha click sobre el botón desplegable Register y optar por Register an ISE Node. Validar Figura7.
Figura7.:
Registrando nodo secundario sobre nodo primario
Paso 2: Sobre la
nueva sección colocar el nombre del host nodo secundario en el campo Host FQDN, el usuario administrador del
ISE secundario en el campo User Name
y su contraseña en Password. Validar Figura8. Click en Next.
Figura8.:
Registrando nodo secundario sobre nodo primario, especificando datos
Paso 3: Luego,
optar por las funciones o Personas a
configurar para éste nodo secundario y la manifestación explicita de convertir
éste nodo en secundario, Secundary
sobre el campo Role.
Paso 4: Click
sobre Submit. Validar Figura9.
Figura9.:
Registrando nodo secundario sobre nodo primario, especificando Personas.
Paso 5: Click
en OK al mensaje que indica que el
nodo ha sido registrado exitosamente. Validar
Figura10.
Figura9.:
Registro exitoso del nodo secundario en el primario.
Una vez registrado exitosamente el o
los nodos estimados, se observará en la ruta Administration > System > Deployment > Deployment,
la sincronización del nuevo nodo, manifestado por un icono color amarillo sobre el
campo Nodo Status, Validar Figura11. Durante algunos minutos, entre 10 y 20, la sincronización se
lleva a cabo e incluye un reinicio del nuevo nodo. Una vez concluido el
proceso, el icono amarillo cambia a otro de color verde, Validar Figura12.
Figura10.:
Sincronización en proceso entre el nodo secundario y primario.
Figura11.:
Sincronización Completa entre el nodo secundario y primario.
Proceso
5: Creando un Grupo de Nodos ISE (ISE Node Group)
A fines de mejorar la sincronización
entre los Nodos ISE, Cisco recomienda la creación de Node Group.
Paso
1: En
nodo primario, navegar a través de la ruta Administration >
System > Deployment > Deployment, y hacer click sobre el
icono de engranaje en la sección derecha y optar por la opción Create Node Group. Validar Fig12.
Figura12.: Creando un Grupo de Nodos ISE (ISE Node Group)
Paso
2: En
la sección emergente, llenar los campos Node
Group Name y Description. Click
sobre Submit. Validar Figura13.
Figura13.: Creando un Grupo de Nodos ISE (ISE Node Group), nombre y descripción
Paso3: Confirmar
la creación del Grupo de Nodos haciendo click sobre OK en el mensaje emergente. Validar
Figura14.
Figura14.:
Creando un Grupo de Nodos ISE, mensaje de confirmación
Proceso
6: Asociando Nodos Ise al Grupo de Nodos
Paso 1: En
nodo primario navegar a través de la ruta Administration >
System > Deployment > Deployment. Hacer click sobre uno de
los nodos, y en la sección que emerge a la derecha y en el campo Include Node in Node Group optar por el
nodo creado. Click en submit. Validar Figura15.
Paso 2:
Repetir sobre los nodos restantes.
Figura15.:
Asociando nodos a Grupo de Nodos ISE
Referencias:
Cisco Identity Services Engine Administrator Guide, Release 2.1. Marzo 2015.
Cisco Identity Service Engine Ordering Guide. Junio 2016.
No hay comentarios:
Publicar un comentario