محتويات يخفي
1 برنامج CISCO ISE
2 زيادةview نشر مركز المحفز المتعدد
3 مجموعة عقد المؤلف
4 إدارة سياسة مركز المحفز المتعدد
5 توصيات الترقية لمركز المحفز المتعدد
6 نشر مراكز Catalyst المتعددة
7 تمكين مركز المحفزات المتعددة
8 المستندات / الموارد
8.1 مراجع

شعار CISCO

برنامج CISCO ISE

منتج برنامج CISCO-ISE

زيادةview نشر مركز المحفز المتعدد

عند دمج أكثر من مجموعة Catalyst Center مع نظام Cisco ISE واحد، تكون كل مجموعة مستقلة. لا تتم مشاركة أي معلومات من أي مجموعة إلى أخرى. في هذه الحالة، عند نشر Cisco Software-Defined Access (SD-Access) على Catalyst Center، تكون مجموعة الشبكات الافتراضية (VNs) وجميع خدمات SD-Access الأخرى محلية لكل مجموعة.
يوفر مركز Catalyst آلية لتنسيق عناصر SD-Access وGroup-Based Policy (GBP) عبر مجموعات Catalyst Center متعددة مدمجة مع نظام Cisco ISE واحد. ولإتاحة الإدارة الشاملة لـ SD-Access عبر مجموعات Catalyst Center متعددة مع مجموعة متسقة من شبكات VN، تستفيد ميزة Multiple Catalyst Center من الاتصال الآمن الحالي مع Cisco ISE لنشر شبكات VN ومجموعات الأمان. tags (SGTs)، وعقود الوصول، وسياسة التحكم في الوصول القائم على المجموعة (GBAC) من مجموعة إلى أخرى. يأخذ Cisco ISE المعلومات المُستقاة من مجموعة (تُعرف باسم عقدة المؤلف) وينشرها إلى المجموعات الأخرى (تُعرف باسم عقدة القارئ).
تتوفر ميزة Multiple Catalyst Center عند دمجها مع Cisco ISE Release 3.2 أو الإصدار الأحدث.

برمجيات CISCO-ISE (2)

ملحوظة

  • يتم تعطيل ميزة "مراكز المحفزات المتعددة" افتراضيًا. لاستخدام هذه الميزة، حدد "تفعيل مراكز المحفزات المتعددة" (ضمن الإعدادات المتقدمة) عند دمج "مركز المحفزات المتعددة" مع Cisco ISE. يمكنك تفعيل هذه الميزة عند التهيئة الأولية أو لاحقًا (بعد دمج Cisco ISE). بعد تفعيل هذه الميزة، لا يمكن تعطيلها إلا بحذف تكامل Cisco ISE.
  • إذا كنت تستخدم إصدارات سابقة من Cisco ISE، فيجب عليك التواصل مع فريق حسابك لتقديم طلب إلى مجلس تصميم Cisco SDA لإدراجها في برنامج التوفر المحدود. ستتوفر حزمة التوفر المحدود لمركز محفز متعدد لتمكين الوصول إلى إصدار التوفر المحدود (LA) لهذه الوظيفة. لمزيد من المعلومات، يُرجى الاطلاع على دليل النشر التوجيهي لمركز Cisco DNA متعدد إلى مركز Cisco ISE واحد.

تحتوي ميزة مركز المحفز المتعدد على تعيينات أدوار محددة للمجموعات:

  • مجموعة عقد المؤلف
  • مجموعة عقدة القارئ

مجموعة عقد المؤلف

  • يُعيَّن دور عقدة المؤلف لأول مجموعة (مع تفعيل خيار مركز المحفز المتعدد) تتكامل مع نشر Cisco ISE، أو أول مجموعة تُفعِّل خيار مركز المحفز المتعدد. تُمثِّل مجموعة عقدة المؤلف نقطة إدارة سياسة المجموعة (GBP) وبيانات Cisco SD-Access العالمية. تُدير مجموعة عقدة المؤلف شبكات VN، وSGTs، وعقود الوصول، وسياسة GBAC. لا يُمكن إنشاء أو تعديل أو حذف مكونات شبكات VN وGBP إلا من خلال مجموعة عقدة المؤلف.
  • يقوم مجموعة عقدة المؤلف بدفع معلومات VN وGBP إلى Cisco ISE عبر واجهات برمجة تطبيقات ERS (REST) ​​حتى يتمكن Cisco ISE من استخدام هذه المعلومات ونشرها على جميع مجموعات Cisco Catalyst Center الأخرى في دور عقدة القارئ من خلال Cisco ISE pxGrid.
  • يمكن تعيين مجموعة واحدة فقط كعقدة مؤلفة. وهي العقدة الوحيدة التي يُمكن فيها إدارة بيانات GBP وبيانات SDA العالمية المُحددة من قِبل المستخدم (مثل شبكات VN أو سياسة الشبكة الخارجية).
  • إذا كانت SGTs أو VNs تعمل على عقدة المؤلف، فلا يمكن حذف SGTs أو VNs.

مجموعة عقدة القارئ

  • جميع مجموعات Catalyst Center الأخرى المُفعّلة بها ميزة Multi Catalyst Center مُخصصة لدور مجموعة عقدة القارئ. مجموعات عقدة القارئ لها وضع قراءة فقط. view من VNs و SGTs.
  • على الرغم من أن مجموعات عقد القارئ تستهلك وتحافظ على نفس VNs وSGTs وعقود الوصول وسياسات GBAC المحددة في مجموعة عقد المؤلف، فإن مجموعة عقد القارئ لا تعرض عقود الوصول أو السياسات.
    لا يمكن إنشاء الشبكات الافتراضية إلا على مجموعة عقد المؤلف. بعد إنشائها، تُنشر إلى مجموعات عقد القارئ، حيث يمكن استخدامها في عمليات تجهيز البنية التحتية. تُهيئ مجموعات عقد القارئ سمات الشبكة المرتبطة، مثل مُعرّفات الشبكة الافتراضية (VNID) وأهداف المسار (RT) ومسارات الشبكة.
  • المميزات (RD) المحلية لتلك المجموعة.
    باستثناء ميزات VN وGBP، فإن كل مجموعة من عقد القارئ هي مجموعة مستقلة تدير البنية الأساسية للشبكة الخاصة بها.
  • تتيح ميزة Multiple Catalyst Center إدارة السياسات العالمية عبر مجموعات Cisco Catalyst Center متعددة مدمجة في وحدة Cisco ISE واحدة. لا تُغيّر هذه الإمكانية القيود الأساسية لإدارة الشبكات الافتراضية والنسيج على مجموعات Cisco Catalyst Center متعددة. قد تحمل الشبكة الافتراضية الاسم نفسه عبر مجموعات Cisco Catalyst Center متعددة، مما يسمح لها بدعم ارتباطات متسقة بين مجموعات الأمان والشبكة الافتراضية عبر مجموعات متعددة. ولكن على مستوى المجموعة الفردية، لا تتطابق سمات الشبكة الفعلية المرتبطة بالشبكة الافتراضية (VRF، هدف المسار، مُميِّز المسار، وما إلى ذلك) عبر المجموعات. وينطبق هذا أيضًا على تشغيل مجموعات Catalyst Center مستقلة.
  • يمكن إضافة ما يصل إلى أربع مجموعات من Catalyst Center كمجموعات لعقد القارئ. قبل إضافة عقدة Catalyst Center كقارئ، يجب عليك إزالة جميع البيانات العالمية التي أنشأها المسؤول في Cisco SD-Access على مجموعة عقد القارئ ليتكامل Catalyst Center مع Cisco ISE. يشمل ذلك الشبكات الافتراضية (VNs) غير الافتراضية (أي شبكات افتراضية أخرى غير
    في حال وجود أي بيانات GBP غير افتراضية (SGTs، عقود الوصول، GBP)، يُمكن للمستخدم حذف جميع بيانات GBP غير الافتراضية تلقائيًا، أو دمج أي بيانات GBP غير موجودة مسبقًا في Cisco ISE.

ملحوظة

  • يمكن دمج خمس مجموعات Catalyst Center فقط مع نشر Cisco ISE واحد. هذا يعني مجموعة عقدة مؤلفة واحدة وما يصل إلى أربع مجموعات عقدة قارئة.
  • من الممكن حذف ملفات SGT أو VNs من عقدة المؤلف حتى عند استخدامها في عقدة القارئ. في هذه الحالة، يجب حذف ملفات SGT أو VNs القديمة يدويًا من عقدة القارئ (بعد إزالة أي مراجع).

إدارة سياسة مركز المحفز المتعدد

بعد دمج Catalyst Center مع Cisco ISE وإجراء مزامنة GBP، تتم مزامنة معلومات السياسة بين Catalyst Center وCisco ISE. صلاحيات تأليف السياسة متاحة ضمن Catalyst.

المركز. تصبح نوافذ Cisco ISE لإدارة SGTs وقوائم التحكم في الوصول للمجموعة الأمنية (SGACLs) وسياسة الخروج للقراءة فقط.
بإمكانك إدارة السياسة المعتمدة على المجموعة (مجموعات الأمان، وعقود الوصول، وسياسة GBAC) في Cisco ISE بدلاً من Catalyst Center.
في واجهة المستخدم الرسومية لـ Catalyst Center، انقر فوق رمز القائمة واختر السياسة > التحكم في الوصول المستند إلى المجموعة > السياسات > تكوين GBAC > إدارة التحكم في الوصول المستند إلى المجموعة في Cisco ISE.

توصيات الترقية لمركز المحفز المتعدد

في بيئة مراكز Catalyst متعددة، يُنصح بتشغيل إصدار برنامج Catalyst Center نفسه في جميع مجموعات عقد المؤلف والقارئ، باستثناء أثناء عملية ترقية المجموعة. يمكنك ترقية جميع مجموعات عقد المؤلف أولاً، ثم ترقية مجموعة عقد المؤلف لتجنب اختلاف الميزات وعدم توافقها بين إصدارات البرنامج. تجنب ترقية مجموعة عقد المؤلف إلى دور عقدة المؤلف في منتصف دورة الترقية. يجب ترقية جميع مجموعات Catalyst Center وتشغيل إصدار البرنامج نفسه قبل ترقية مجموعة عقدة القارئ.
الشكل 1: توصيات الترقية لمركز المحفزات المتعددة

برمجيات CISCO-ISE (3)لا تتطلب الوظيفة الأساسية لميزة "مركز المحفزات المتعددة" استخدام إصدار البرنامج نفسه في جميع مجموعات "المؤلف" و"القارئ" المشاركة. ومع ذلك، قد يؤدي استخدام إصدارات برمجية غير متطابقة إلى اختلاف في الإصلاحات والإمكانيات والميزات بين المجموعات. يُنصح باستخدام إصدار برنامج "مركز المحفزات" نفسه في جميع مجموعات "المؤلف" و"القارئ".

نشر مراكز Catalyst المتعددة

هناك خياران لنشر مركز Catalyst المتعدد.

نشر جديد لمجموعات Catalyst Center المتعددة التي لا يتم دمجها حاليًا مع Cisco ISE.
مجموعة Catalyst Center موجودة ومتكاملة مع Cisco ISE ومجموعة Catalyst Center إضافية جديدة بدون تكامل Cisco ISE.

تمكين مركز المحفزات المتعددة

وظيفة مجموعة مراكز المحفزات المتعددة مُعطَّلة افتراضيًا. يُمكن تفعيلها أثناء التكامل مع Cisco ISE أو بعده. بعد تفعيلها، يُمكن تعطيلها فقط بإزالة تكامل Cisco ISE تمامًا.
يتطلب تشغيل مركز المحفزات المتعدد وظيفة pxGrid. لا يمكنك تعطيل pxGrid بعد تفعيل مركز المحفزات المتعدد.

إجراء

  1. الخطوة 1 في واجهة المستخدم الرسومية لـ Catalyst Center، انقر فوق أيقونة القائمة واختر النظام > الإعدادات > خوادم المصادقة والسياسة.
  2. الخطوة 2: إضافة Cisco ISE.
  3. الخطوة 3: أدخل معلومات Cisco ISE المطلوبة. للمزيد من المعلومات، راجع تكامل Catalyst Center وCisco ISE.
  4. الخطوة 4 اختر النظام > الإعدادات > خوادم المصادقة والسياسة > إضافة > ISE > الإعدادات المتقدمة.
    يعرض مفتاح الإعدادات المتقدمة العديد من الخيارات المتقدمة، بما في ذلك المفتاح لتمكين تشغيل مركز المحفز المتعدد.
  5. الخطوة 5: قم بتمكين خيار تشغيل مركز المحفز المتعدد.
  6. الخطوة 6 (اختياري) إذا كنت تقوم بتحرير تكامل Cisco ISE الحالي، فأعد إدخال كلمة مرور مسؤول Cisco ISE.
  7. الخطوة 7 انقر فوق إضافة.

دمج مراكز Catalyst المتعددة مع Cisco ISE واحد
هناك متطلبات أساسية لدمج Catalyst Center وCisco ISE لأول مرة. لمزيد من المعلومات، راجع تكامل Catalyst Center وCisco ISE.

قبل أن تبدأ
عندما يتم دمج Catalyst Center بالفعل مع Cisco ISE، أكمل الخطوات التالية لإعادة دمج Catalyst
مركز Cisco ISE بعد تفعيل ميزة مركز Catalyst المتعدد. يسمح هذا لمركز Catalyst بالتفاوض على دور مجموعة عقدة المؤلف أو القارئ بناءً على ما إذا كانت العقدة الأولى أو اللاحقة التي تنضم إلى Cisco ISE مع تفعيل ميزة مركز Catalyst المتعدد.

إجراء

  1. الخطوة 1 في واجهة المستخدم الرسومية لـ Catalyst Center، انقر فوق أيقونة القائمة واختر النظام > الإعدادات > خوادم المصادقة والسياسة.
  2. الخطوة 2 في عمود الإجراءات، مرر مؤشر الماوس فوق رمز النقاط الثلاث ( ) واختر تحرير.
  3. الخطوة 3 اختر النظام > الإعدادات > خوادم المصادقة والسياسة > إضافة > ISE > الإعدادات المتقدمة.
  4. الخطوة 4: قم بتمكين خيار تشغيل مركز المحفز المتعدد.
  5. الخطوة 5 أدخل كلمة مرور مسؤول Cisco ISE مرة أخرى.
  6. الخطوة 6: انقر فوق "إضافة". يتفاوض مركز Catalyst على دور عقدة المؤلف مع Cisco ISE.
    • إذا كانت حالة خادم Cisco ISE الذي تم تكوينه تعرض "فشل" بسبب تغيير كلمة المرور، فانقر فوق إعادة المحاولة، وقم بتحديث كلمة المرور لإعادة مزامنة اتصال Cisco ISE.
    • يمكن الاطلاع على حالة التكامل في لوحة الشرائح. تأكد من عرض حالة التكامل على أنها نشطة في نافذة خادم المصادقة والسياسات.
  7. الخطوة 7 للتحقق من الدور المتفاوض عليه للمجموعة باعتبارها عقدة المؤلف، اختر النظام > الإعدادات > تكوين النظام > إعدادات مركز Catalyst المتعددة.

دمج مجموعات Catalyst Center الأخرى مع Cisco ISE كعقد للقراءة

لدمج مجموعات Catalyst Center اللاحقة مع نفس Cisco ISE الذي تم تمكين Multiple Catalyst Center فيه، يجب ألا تحتوي مجموعة Catalyst Center على أي VNs غير افتراضية (أي VNs بخلاف "DEFAULT_VN" و"INFRA_VN").

قبل أن تبدأ
تأكد من أن المجموعة التي تريد دمجها تتضمن فقط شبكات VN الافتراضية ضمن السياسة > الشبكة الافتراضية.

إجراء

  1. الخطوة 1 في واجهة المستخدم الرسومية لـ Catalyst Center، انقر فوق أيقونة القائمة واختر النظام > الإعدادات > خوادم المصادقة والسياسة.
  2. الخطوة 2 انقر فوق إضافة واختر ISE.
  3. الخطوة 3: أدخل معلومات Cisco ISE المطلوبة. راجع تكامل Catalyst Center وCisco ISE.
  4. الخطوة 4 اختر النظام > الإعدادات > خوادم المصادقة والسياسة > إضافة > ISE > الإعدادات المتقدمة.
  5. الخطوة 5: قم بتمكين خيار تشغيل مركز المحفز المتعدد.
  6. الخطوة 6 انقر فوق إضافة.
  7. الخطوة 7 (اختياري): عند دمج المجموعة مع Cisco ISE لأول مرة، انقر على "قبول" في لوحة التمرير ليقبل Catalyst Center الشهادة التي أرسلها Cisco ISE. أغلق لوحة التمرير.
  8. الخطوة 8 في نافذة خادم المصادقة والسياسة، تأكد من عرض حالة التكامل على أنها نشطة.

حذف شبكة افتراضية

لا تعرف مجموعة عقد المؤلف استخدام الشبكة الافتراضية (VN) على مجموعة عقد القارئ. يجب عليك إزالة جميع الإشارات إلى الشبكة الافتراضية من جميع مجموعات عقد القارئ قبل محاولة حذفها. إذا حذفت شبكة افتراضية من مجموعة عقد المؤلف، فسيتم حذفها من عقدة المؤلف ومن مجموعات عقد القارئ التي لا تحتوي على إشارات إليها. ولكن إذا كانت إحدى عقد القارئ تستخدم الشبكة الافتراضية، فسيتم عرض حالة هذه الشبكة الافتراضية على أنها "خارج المزامنة مع المؤلف". يجب عليك إزالة جميع الإشارات (على سبيل المثالampقم بإلغاء تحديد (إضافة VN في قسم إعداد المضيف أو تعيين منفذ ثابت) للـ VN على مجموعة عقدة القارئ ثم انتقل إلى حذف ذلك VN على مجموعة عقدة القارئ.

حذف مجموعة أمان

لا تتعرف مجموعة عقد المؤلف على استخدام مجموعة الأمان في مجموعة عقد القارئ. يجب إزالة جميع الإشارات إلى مجموعة الأمان في جميع مجموعات عقد القارئ قبل محاولة حذفها. إذا حذفت مجموعة أمان في مجموعة عقد المؤلف، فسيتم حذفها في كلٍّ من مجموعة عقد المؤلف، وCisco ISE، وفي مجموعة عقد القارئ إذا لم تكن هناك إشارات إليها. إذا كانت إحدى مجموعات عقد القارئ تستخدم مجموعة الأمان هذه، فستظهر حالة هذه المجموعة على أنها "غير متزامنة مع المؤلف". يجب إزالة جميع الإشارات إلى مجموعة الأمان في مجموعة عقد القارئ، ثم حذفها.

ترقية عقد القارئ إلى دور المؤلف
تتضمن بنية حلول مراكز المحفزات المتعددة مجموعات متعددة من مراكز المحفزات، ويمكن لمجموعة واحدة فقط أن تكون مؤلفة للسياسة. قد يحتاج المسؤول في بعض الحالات إلى ترقية مجموعة عقدة القارئ لتتولى دور مجموعة عقدة المؤلف. يجب إجراء هذه الترقية فقط في الحالات التالية:

أنت تقوم بإخراج مجموعة عقدة المؤلف من الخدمة أو جعلها غير متاحة لفترة زمنية ممتدة.
تظل مجموعة عقدة المؤلف غير متوفرة بشكل دائم أو غير مستجيبة لفترة زمنية طويلة وتكون تغييرات السياسة مطلوبة خلال ذلك الوقت.

يمكن إجراء ترقية عقدة القارئ إلى عقدة المؤلف بطريقتين:

  1. ترقية أنيقة لعقدة القارئ إلى دور المؤلف.
  2. فرض ترقية عقدة القارئ إلى دور المؤلف.

ترقية أنيقة لعقدة القارئ إلى دور المؤلف
يمكنك ترقية مجموعة مراكز محفزات القراء يدويًا إلى دور المؤلف عند الحاجة في نشر مراكز محفزات متعددة. جميع مجموعات عقد القراء مزودة بزر "ترقية إلى دور المؤلف". يمكنك ترقية

من مجموعة عقدة قارئ إلى عقدة مؤلف بينما لا تزال مجموعة عقدة المؤلف الحالية قيد التشغيل. مع ذلك، لا تبدأ عملية الترقية بينما تكون مجموعة عقدة المؤلف الحالية في منتصف نشاط تأليف سياسة قائم على المجموعة (على سبيل المثالample، أثناء مزامنة السياسات مع Cisco ISE). إذا كانت مجموعة عقدة المؤلف مشغولة، فسيتم تنفيذ عملية الترقيةtagيتم تشغيلها حتى تكمل عقدة المؤلف معالجتها الحالية.

ملحوظة

  • عند الترقية اللطيفة لمجموعة عقدة القارئ إلى دور المؤلف، تبدأ مجموعة عقدة القارئ طلبًا إلى Cisco ISE لتغيير الدور (من القارئ إلى المؤلف).
  • عندما يستلم نظام Cisco ISE طلب تغيير الدور، يطلب من عقدة المؤلف الحالية إلغاء دور مؤلف السياسة. ثم تُلغي عقدة المؤلف الحالية دور مؤلف السياسة (في حال عدم وجود مزامنة جارية) وتتولى دور مجموعة عقد القارئ.
  • تتولى عقدة القارئ الحالية، المُختارة للترقية، دور عقدة المؤلف. عند تغيير دورَي المؤلف والقارئ، يُحدِّث Cisco ISE مجموعات عقد القارئ الأخرى حول عقدة المؤلف الجديدة من خلال تحديث التكوين.

برمجيات CISCO-ISE (4)إجراء

  1. الخطوة 1 في مجموعة عقدة القارئ، اختر النظام > الإعدادات > > تكوين النظام > إعدادات مركز Cisco Catalyst المتعددة وتحقق من عقد المؤلف والقارئ.
  2. الخطوة 2 انقر فوق الزر "ترقية إلى المؤلف".
  3. الخطوة 3 انقر فوق "متابعة" لترقية العقدة إلى دور المؤلف.

قد تستغرق عملية الانتقال بضع دقائق.

فرض ترقية عقدة القارئ إلى دور المؤلف
الترويج القسري هو شكل من أشكال الترويج اليدوي، وهو مخصص بشكل صارم لترقية مجموعة عقدة القارئ الحالية إلى دور عقدة المؤلف في هذه المواقف:

  • مجموعة عقدة المؤلف الحالية خارج الخدمة.
  • مجموعة عقدة المؤلف الحالية غير مستجيبة.
  • إن الترقية اللطيفة لعقدة القارئ إلى دور المؤلف تستغرق أكثر من 5 دقائق.

الشكل 3: فرض ترقية عقدة القارئ إلى دور المؤلف

برمجيات CISCO-ISE (1)

لا تستخدم خيار الترقية القسرية أثناء عمل مجموعة عقد المؤلف الحالية بنشاط تأليف GBP، فقد يؤدي ذلك إلى فقدان البيانات وعدم تزامن مجموعة عقد المؤلف مع Cisco ISE. لذلك، يُنصح بالترقية القسرية فقط إذا كان عليك استعادة الخدمة فورًا وكنت مستعدًا للمخاطرة بفقدان البيانات. بعد الترقية القسرية، ستصبح مجموعة عقد القارئ التي تمت ترقيتها هي مجموعة عقد المؤلف الجديدة للنشر. عند توفر مجموعة عقد المؤلف السابقة، ستنتقل إلى دور القارئ وتُنزّل أحدث بيانات التكوين من Cisco ISE.
عند بدء ترقية مجموعة عقد القارئ، تُرسل هذه المجموعة طلبًا إلى Cisco ISE لتغيير الدور (أي من القارئ إلى المؤلف). عندما تتلقى Cisco ISE طلب تغيير الدور، تطلب من عقدة المؤلف الحالية إلغاء دور مؤلف السياسة.

إذا لم تستجب عقدة المؤلف الحالية، واختار المسؤول "فرض الترقية"، يُجري نظام ACA لمجموعة عقد القارئ طلبًا لفرض تغيير مجموعة عقد القارئ إلى دور المؤلف والعكس فورًا في Cisco ISE. تُرسل رسالة تحديث التكوين هذه إلى جميع العقد.
خطوات ترقية مجموعة عقد القارئ إلى مجموعة عقد المؤلف هي نفسها الموضحة في قسم الترقية السلسة لعقدة القارئ إلى دور المؤلف. توجد خطوة إضافية في النهاية لبدء وظيفة الترقية القسرية.

المستندات / الموارد

برنامج CISCO ISE [بي دي اف] دليل المستخدم
برمجيات ISE، برمجيات

مراجع

اترك تعليقا

لن يتم نشر عنوان بريدك الإلكتروني. تم وضع علامة على الحقول المطلوبة *