เนื้อหา ซ่อน
1 ซอฟต์แวร์ CISCO ISE
2 เกินview ของการปรับใช้ศูนย์เร่งปฏิกิริยาหลายตัว
3 คลัสเตอร์โหนดผู้เขียน
4 การจัดการนโยบายศูนย์เร่งปฏิกิริยาหลายศูนย์
5 คำแนะนำในการอัพเกรดสำหรับศูนย์ Catalyst หลายตัว
6 การปรับใช้ Catalyst Center หลายรายการ
7 การเปิดใช้งานศูนย์ตัวเร่งปฏิกิริยาหลายตัว
8 เอกสาร / แหล่งข้อมูล
8.1 อ้างอิง

โลโก้ CISCO

ซอฟต์แวร์ CISCO ISE

ผลิตภัณฑ์ซอฟต์แวร์ CISCO-ISE

เกินview ของการปรับใช้ศูนย์เร่งปฏิกิริยาหลายตัว

เมื่อคุณรวมคลัสเตอร์ Catalyst Center มากกว่าหนึ่งคลัสเตอร์เข้ากับระบบ Cisco ISE เดียว แต่ละคลัสเตอร์ของ Catalyst Center จะเป็นอิสระต่อกัน ไม่มีการแชร์ข้อมูลจากคลัสเตอร์ใดคลัสเตอร์หนึ่งไปยังอีกคลัสเตอร์หนึ่ง ในสถานการณ์นี้ เมื่อ Cisco Software-Defined Access (SD-Access) ถูกนำไปใช้งานบน Catalyst Center ชุดของเครือข่ายเสมือน (VN) และ SD-Access อื่นๆ ทั้งหมดจะอยู่ภายในคลัสเตอร์แต่ละคลัสเตอร์
Catalyst Center มอบกลไกในการประสานองค์ประกอบ SD-Access และ Group-Based Policy (GBP) ทั่วทั้งคลัสเตอร์ Catalyst Center หลายคลัสเตอร์ที่ผสานรวมเข้ากับระบบ Cisco ISE เดียว เพื่อให้สามารถบริหารจัดการ SD-Access ทั่วโลกทั่วทั้งคลัสเตอร์ Catalyst Center หลายคลัสเตอร์ที่มีชุด VN ที่สอดคล้องกัน ฟีเจอร์ Multiple Catalyst Center จึงใช้ประโยชน์จากการเชื่อมต่อที่ปลอดภัยที่มีอยู่กับ Cisco ISE เพื่อเผยแพร่ VN กลุ่มความปลอดภัย tags (SGTs), สัญญาการเข้าถึง และนโยบายการควบคุมการเข้าถึงแบบกลุ่ม (GBAC) จากคลัสเตอร์หนึ่งไปยังอีกคลัสเตอร์หนึ่ง Cisco ISE จะนำข้อมูลที่เรียนรู้จากคลัสเตอร์หนึ่ง (เรียกว่าโหนดผู้เขียน) มาเผยแพร่ไปยังคลัสเตอร์อื่นๆ (เรียกว่าโหนดผู้อ่าน)
คุณลักษณะ Multiple Catalyst Center จะพร้อมใช้งานเมื่อบูรณาการกับ Cisco ISE เวอร์ชัน 3.2 ขึ้นไป

ซอฟต์แวร์ CISCO-ISE (2)

บันทึก

  • การใช้งาน Multiple Catalyst Center จะถูกปิดใช้งานตามค่าเริ่มต้น หากต้องการใช้ฟีเจอร์นี้ ให้เลือกการใช้งาน "เปิดใช้งาน Multiple Catalyst Center" (ในหัวข้อ "การตั้งค่าขั้นสูง") เมื่อผสานรวม Catalyst Center เข้ากับ Cisco ISE คุณสามารถเปิดใช้งานฟีเจอร์นี้ได้ในการกำหนดค่าเริ่มต้นหรือในภายหลัง (หลังจากผสานรวม Cisco ISE แล้ว) หลังจากเปิดใช้งานฟังก์ชันนี้แล้ว การลบการผสานรวม Cisco ISE เท่านั้นที่จะสามารถปิดใช้งานฟังก์ชันนี้ได้
  • หากคุณใช้ Cisco ISE รุ่นก่อนหน้า คุณต้องติดต่อทีมดูแลลูกค้าเพื่อส่งคำขอไปยัง Cisco SDA Design Council เพื่อเข้าร่วมโปรแกรมความพร้อมใช้งานแบบจำกัด (Limited Availability) จะมีแพ็คเกจ Multiple Catalyst Center Limited Availability พร้อมให้บริการเพื่อให้สามารถเข้าถึงฟังก์ชันการทำงานนี้ในเวอร์ชันความพร้อมใช้งานแบบจำกัด (LA) ได้ โปรดดูคู่มือการปรับใช้ Cisco DNA Center หลายตัวเป็น Cisco ISE เดี่ยวสำหรับข้อมูลเพิ่มเติม

คุณลักษณะ Multiple Catalyst Center มีการกำหนดบทบาทเฉพาะสำหรับคลัสเตอร์:

  • คลัสเตอร์โหนดผู้เขียน
  • คลัสเตอร์โหนดผู้อ่าน

คลัสเตอร์โหนดผู้เขียน

  • บทบาท Author Node ถูกกำหนดให้กับคลัสเตอร์แรก (ที่เปิดใช้งานตัวเลือก Multiple Catalyst Center) ที่ผสานรวมกับการปรับใช้ Cisco ISE หรือคลัสเตอร์แรกที่เปิดใช้งานตัวเลือก Multiple Catalyst Center คลัสเตอร์ Author Node เป็นจุดดูแลระบบสำหรับ Group-Based Policy (GBP) และสำหรับ Cisco SD-Access global data คลัสเตอร์ Author Node จัดการ VN, SGT, Access Contracts และ GBAC Policy การสร้าง แก้ไข หรือลบ VN และส่วนประกอบ GBP สามารถทำได้บนคลัสเตอร์ Author Node เท่านั้น
  • คลัสเตอร์โหนดผู้เขียนจะผลักดันข้อมูล VN และ GBP ไปยัง Cisco ISE ผ่านทาง ERS (REST) ​​API สำหรับ Cisco ISE เพื่อใช้ข้อมูลนี้และเผยแพร่ไปยังคลัสเตอร์ Cisco Catalyst Center อื่นๆ ทั้งหมดในบทบาทโหนดผู้อ่านผ่าน Cisco ISE pxGrid
  • สามารถกำหนดคลัสเตอร์เป็นโหนดผู้เขียนได้เพียงคลัสเตอร์เดียวเท่านั้น ซึ่งเป็นโหนดเดียวที่สามารถจัดการ GBP และข้อมูล SDA ทั่วโลกที่ผู้ใช้กำหนด (เช่น VN หรือนโยบายเอ็กซ์ทราเน็ต) ได้
  • หาก SGT หรือ VN ทำงานอยู่บนโหนดผู้เขียน จะไม่สามารถลบ SGT หรือ VN ได้

คลัสเตอร์โหนดผู้อ่าน

  • คลัสเตอร์ Catalyst Center อื่นๆ ทั้งหมดที่เปิดใช้งานคุณสมบัติ Multiple Catalyst Center จะได้รับมอบหมายบทบาทเป็นคลัสเตอร์ Reader Node คลัสเตอร์ Reader Node มีโหมดอ่านอย่างเดียว view ของ VNs และ SGTs
  • แม้ว่าคลัสเตอร์ Reader Node จะใช้และคง VN, SGT, Access Contract และ GBAC Policies เดียวกันที่กำหนดไว้ในคลัสเตอร์ Author Node แต่คลัสเตอร์ Reader Node จะไม่แสดง Access Contract หรือ Policy
    สามารถสร้าง VN ได้เฉพาะบนคลัสเตอร์ Author Node เท่านั้น หลังจากสร้างแล้ว VN จะถูกเผยแพร่ไปยังคลัสเตอร์ Reader Node ซึ่งสามารถนำไปใช้ในการดำเนินการจัดเตรียม Fabric ได้ คลัสเตอร์ Reader Node จะกำหนดค่าแอตทริบิวต์เครือข่ายที่เกี่ยวข้อง เช่น Virtual Network Identifies (VNID), Route Targets (RT) และ Route
  • ตัวแยกแยะ (RD) ซึ่งเป็นตัวระบุเฉพาะของคลัสเตอร์นั้นๆ
    ยกเว้นคุณลักษณะ VN และ GBP คลัสเตอร์ Reader Node แต่ละคลัสเตอร์เป็นคลัสเตอร์อิสระที่จัดการโครงสร้างพื้นฐานเครือข่ายของตัวเอง
  • ฟีเจอร์ Multiple Catalyst Center ช่วยให้สามารถบริหารจัดการนโยบายทั่วโลกได้ในหลายคลัสเตอร์ Cisco Catalyst Center ที่รวมเข้ากับ Cisco ISE เดียว ความสามารถนี้ไม่ได้เปลี่ยนแปลงข้อจำกัดพื้นฐานของการจัดการเครือข่ายเสมือนและแฟบริคบนหลายคลัสเตอร์ Cisco Catalyst Center VN อาจมีชื่อเดียวกันในหลายคลัสเตอร์ Cisco Catalyst Center ซึ่งทำให้สามารถรองรับการเชื่อมโยงกลุ่มความปลอดภัย-VN ที่สอดคล้องกันในหลายคลัสเตอร์ได้ แต่ในระดับคลัสเตอร์แต่ละคลัสเตอร์ แอตทริบิวต์เครือข่ายจริงที่จะเชื่อมโยงกับ VN (VRF, เป้าหมายเส้นทาง, ตัวแยกเส้นทาง และอื่นๆ) จะไม่เหมือนกันในทุกคลัสเตอร์ ซึ่งเหมือนกับเมื่อใช้งานคลัสเตอร์ Catalyst Center ที่แยกอิสระกัน
  • สามารถเพิ่มคลัสเตอร์ Catalyst Center เป็นคลัสเตอร์ Reader Node ได้สูงสุดสี่คลัสเตอร์ ก่อนเพิ่มโหนด Catalyst Center เป็น Reader คุณต้องลบข้อมูลส่วนกลาง Cisco SD-Access ที่สร้างโดยผู้ดูแลระบบทั้งหมดบนคลัสเตอร์ Reader Node เพื่อให้ Catalyst Center สามารถผสานรวมกับ Cisco ISE ได้ ซึ่งรวมถึง VN ที่ไม่ใช่ค่าเริ่มต้น (VN อื่นๆ นอกเหนือจาก
    “DEFAULT_VN” และ “INFRA_VN”, นโยบาย Extranet และอื่นๆ) ในกรณีที่มีข้อมูล GBP ที่ไม่ใช่ค่าเริ่มต้น (SGT, สัญญาการเข้าถึง, GBP) ผู้ใช้มีตัวเลือกในการล้าง (ลบ) ข้อมูล GBP ที่ไม่ใช่ค่าเริ่มต้นทั้งหมดโดยอัตโนมัติ หรือรวมข้อมูล GBP ใดๆ ที่ยังไม่มีอยู่ใน Cisco ISE

บันทึก

  • สามารถรวมคลัสเตอร์ Catalyst Center ได้เพียงห้าคลัสเตอร์เท่านั้นในการใช้งาน Cisco ISE เพียงครั้งเดียว ซึ่งหมายความว่าสามารถรวมคลัสเตอร์ Author Node หนึ่งคลัสเตอร์ และคลัสเตอร์ Reader Node ได้สูงสุดสี่คลัสเตอร์
  • คุณสามารถลบ SGT หรือ VN บนโหนดผู้เขียนได้ แม้ว่าจะใช้งานอยู่บนโหนดผู้อ่านก็ตาม ในกรณีนี้ จะต้องลบ SGT หรือ VN ที่ล้าสมัยบนโหนดผู้อ่านด้วยตนเอง (หลังจากลบการอ้างอิงใดๆ ออกแล้ว)

การจัดการนโยบายศูนย์เร่งปฏิกิริยาหลายศูนย์

หลังจากผสานรวม Catalyst Center เข้ากับ Cisco ISE และทำการซิงโครไนซ์ GBP แล้ว ข้อมูลนโยบายจะถูกซิงโครไนซ์ระหว่าง Catalyst Center และ Cisco ISE สิทธิ์ในการกำหนดนโยบายจะอยู่ภายใน Catalyst

ศูนย์กลาง หน้าต่าง Cisco ISE สำหรับการจัดการ SGT, Security Group ACL (SGACL) และนโยบาย Egress จะกลายเป็นแบบอ่านอย่างเดียว
คุณสามารถจัดการนโยบายตามกลุ่ม (กลุ่มความปลอดภัย สัญญาการเข้าถึง และนโยบาย GBAC) ใน Cisco ISE แทนที่จะอยู่ใน Catalyst Center
ใน GUI ของ Catalyst Center ให้คลิกที่ไอคอนเมนู แล้วเลือก นโยบาย > การควบคุมการเข้าถึงตามกลุ่ม > นโยบาย > การกำหนดค่า GBAC > จัดการการควบคุมการเข้าถึงตามกลุ่มใน Cisco ISE

คำแนะนำในการอัพเกรดสำหรับศูนย์ Catalyst หลายตัว

ในสภาพแวดล้อมที่มีหลาย Catalyst Center ขอแนะนำให้รันซอฟต์แวร์ Catalyst Center เวอร์ชันเดียวกันในทุกคลัสเตอร์ Author และ Reader Node ยกเว้นในระหว่างกระบวนการอัปเกรดคลัสเตอร์ คุณสามารถอัปเกรดคลัสเตอร์ Reader Node ทั้งหมดก่อน จากนั้นจึงอัปเกรดคลัสเตอร์ Author Node เพื่อหลีกเลี่ยงความแตกต่างของคุณสมบัติและความเข้ากันไม่ได้ของคุณสมบัติในซอฟต์แวร์เวอร์ชันต่างๆ หลีกเลี่ยงการเลื่อนระดับคลัสเตอร์ Reader Node ไปเป็นบทบาท Author Node ในระหว่างรอบการอัปเกรด คลัสเตอร์ Catalyst Center ทั้งหมดควรได้รับการอัปเกรดและรันซอฟต์แวร์เวอร์ชันเดียวกันก่อนที่จะเลื่อนระดับคลัสเตอร์ Reader Node
รูปที่ 1: คำแนะนำในการอัพเกรดสำหรับศูนย์ตัวเร่งปฏิกิริยาหลายตัว

ซอฟต์แวร์ CISCO-ISE (3)ฟังก์ชันพื้นฐานของฟีเจอร์ Multiple Catalyst Center ไม่จำเป็นต้องใช้ซอฟต์แวร์เวอร์ชันเดียวกันในทุกคลัสเตอร์ Author และ Reader Node ที่เข้าร่วม อย่างไรก็ตาม การใช้เวอร์ชันโค้ดที่ไม่ตรงกันอาจส่งผลให้เกิดความแตกต่างในด้านการแก้ไข ความสามารถ และฟีเจอร์ต่างๆ ระหว่างคลัสเตอร์ ขอแนะนำให้ใช้ซอฟต์แวร์ Catalyst Center เวอร์ชันเดียวกันในทุกคลัสเตอร์ Author และ Reader Node

การปรับใช้ Catalyst Center หลายรายการ

มีตัวเลือกการปรับใช้ Multiple Catalyst Center สองแบบ

การปรับใช้ใหม่ของคลัสเตอร์ Catalyst Center หลายคลัสเตอร์ที่ไม่ได้บูรณาการกับ Cisco ISE ในปัจจุบัน
คลัสเตอร์ Catalyst Center ที่มีอยู่ซึ่งรวมเข้ากับ Cisco ISE และคลัสเตอร์ Catalyst Center เพิ่มเติมใหม่โดยไม่ต้องรวม Cisco ISE

การเปิดใช้งานศูนย์ตัวเร่งปฏิกิริยาหลายตัว

ฟังก์ชันคลัสเตอร์ Multiple Catalyst Center จะถูกปิดใช้งานตามค่าเริ่มต้น ฟังก์ชันนี้สามารถเปิดใช้งานได้ระหว่างหรือหลังจากการผสานรวมกับ Cisco ISE หลังจากเปิดใช้งานฟังก์ชัน Multiple Catalyst Center แล้ว คุณสามารถปิดใช้งานได้โดยการลบการผสานรวมกับ Cisco ISE ออกทั้งหมดเท่านั้น
การดำเนินการ Multiple Catalyst Center จำเป็นต้องใช้ฟังก์ชัน pxGrid คุณไม่สามารถปิดใช้งาน pxGrid ได้หลังจากเปิดใช้งาน Multiple Catalyst Center แล้ว

ขั้นตอน

  1. ขั้นตอนที่ 1 ใน GUI ของ Catalyst Center ให้คลิกไอคอนเมนู และเลือก ระบบ > การตั้งค่า > เซิร์ฟเวอร์การตรวจสอบสิทธิ์และนโยบาย
  2. ขั้นตอนที่ 2 เพิ่ม Cisco ISE
  3. ขั้นตอนที่ 3 ป้อนข้อมูล Cisco ISE ที่จำเป็น สำหรับข้อมูลเพิ่มเติม โปรดดูที่ Catalyst Center และการรวม Cisco ISE
  4. ขั้นตอนที่ 4 เลือก ระบบ > การตั้งค่า > เซิร์ฟเวอร์การตรวจสอบสิทธิ์และนโยบาย > เพิ่ม > ISE > การตั้งค่าขั้นสูง
    สวิตช์การตั้งค่าขั้นสูงจะแสดงตัวเลือกขั้นสูงต่างๆ รวมถึงสวิตช์เพื่อเปิดใช้งานการทำงานของศูนย์ตัวเร่งปฏิกิริยาหลายตัว
  5. ขั้นตอนที่ 5 เปิดใช้งานตัวเลือกการดำเนินการศูนย์ตัวเร่งปฏิกิริยาหลายตัว
  6. ขั้นตอนที่ 6 (ทางเลือก) หากคุณกำลังแก้ไขการรวม Cisco ISE ที่มีอยู่ ให้ป้อนรหัสผ่านผู้ดูแลระบบ Cisco ISE อีกครั้ง
  7. ขั้นตอนที่ 7 คลิกเพิ่ม

การรวม Catalyst Center หลายตัวเข้ากับ Cisco ISE ตัวเดียว
มีข้อกำหนดเบื้องต้นสำหรับการผสานรวม Catalyst Center และ Cisco ISE เป็นครั้งแรก สำหรับข้อมูลเพิ่มเติม โปรดดูที่ การผสานรวม Catalyst Center และ Cisco ISE

ก่อนที่คุณจะเริ่มต้น
เมื่อ Catalyst Center ได้รับการรวมเข้ากับ Cisco ISE แล้ว ให้ทำตามขั้นตอนต่อไปนี้เพื่อรวม Catalyst อีกครั้ง
Center และ Cisco ISE หลังจากเปิดใช้งานการทำงาน Multiple Catalyst Center การดำเนินการนี้ช่วยให้ Catalyst Center สามารถเจรจาบทบาทคลัสเตอร์ Author หรือ Reader Node โดยพิจารณาว่าเป็นโหนดแรกหรือโหนดถัดไปที่เข้าร่วม Cisco ISE โดยเปิดใช้งานฟีเจอร์ Multiple Catalyst Center

ขั้นตอน

  1. ขั้นตอนที่ 1 ใน GUI ของ Catalyst Center ให้คลิกไอคอนเมนู และเลือก ระบบ > การตั้งค่า > เซิร์ฟเวอร์การตรวจสอบสิทธิ์และนโยบาย
  2. ขั้นตอนที่ 2 ในคอลัมน์การดำเนินการ ให้เลื่อนเคอร์เซอร์ไปเหนือไอคอนจุดไข่ปลา ( ) แล้วเลือกแก้ไข
  3. ขั้นตอนที่ 3 เลือก ระบบ > การตั้งค่า > เซิร์ฟเวอร์การตรวจสอบสิทธิ์และนโยบาย > เพิ่ม > ISE > การตั้งค่าขั้นสูง
  4. ขั้นตอนที่ 4 เปิดใช้งานตัวเลือกการดำเนินการศูนย์ตัวเร่งปฏิกิริยาหลายตัว
  5. ขั้นตอนที่ 5 ป้อนรหัสผ่านผู้ดูแลระบบ Cisco ISE อีกครั้ง
  6. ขั้นตอนที่ 6 คลิกเพิ่ม Catalyst Center จะเจรจาบทบาทโหนดผู้เขียนกับ Cisco ISE
    • หากสถานะของเซิร์ฟเวอร์ Cisco ISE ที่กำหนดค่าไว้แสดง "ล้มเหลว" เนื่องจากเปลี่ยนรหัสผ่าน ให้คลิก ลองอีกครั้ง และอัพเดตรหัสผ่านเพื่อซิงโครไนซ์การเชื่อมต่อ Cisco ISE อีกครั้ง
    • คุณสามารถดูสถานะการรวมระบบได้ในบานหน้าต่างแบบเลื่อนเข้า ตรวจสอบให้แน่ใจว่าสถานะการรวมระบบแสดงเป็น "ใช้งานอยู่" ในหน้าต่าง "เซิร์ฟเวอร์การตรวจสอบสิทธิ์และนโยบาย"
  7. ขั้นตอนที่ 7 เพื่อตรวจสอบบทบาทที่ตกลงกันของคลัสเตอร์ในฐานะโหนดผู้เขียน ให้เลือก ระบบ > การตั้งค่า > การกำหนดค่าระบบ > การตั้งค่าศูนย์ตัวเร่งปฏิกิริยาหลายตัว

การรวมคลัสเตอร์ Catalyst Center อื่น ๆ เข้ากับ Cisco ISE เป็นโหนดผู้อ่าน

หากต้องการรวมคลัสเตอร์ Catalyst Center ที่ตามมากับ Cisco ISE ตัวเดียวกันที่มีการเปิดใช้งาน Multiple Catalyst Center คลัสเตอร์ Catalyst Center จะต้องไม่ประกอบด้วย VN ที่ไม่ใช่ค่าเริ่มต้น (VN อื่นใดนอกเหนือจาก "DEFAULT_VN" และ "INFRA_VN")

ก่อนที่คุณจะเริ่มต้น
ตรวจสอบว่าคลัสเตอร์ที่คุณต้องการรวมมีเฉพาะ VN เริ่มต้นภายใต้ นโยบาย > เครือข่ายเสมือน เท่านั้น

ขั้นตอน

  1. ขั้นตอนที่ 1 ใน GUI ของ Catalyst Center ให้คลิกไอคอนเมนู และเลือก ระบบ > การตั้งค่า > เซิร์ฟเวอร์การตรวจสอบสิทธิ์และนโยบาย
  2. ขั้นตอนที่ 2 คลิกเพิ่มและเลือก ISE
  3. ขั้นตอนที่ 3 ป้อนข้อมูล Cisco ISE ที่จำเป็น ดู Catalyst Center และการรวม Cisco ISE
  4. ขั้นตอนที่ 4 เลือก ระบบ > การตั้งค่า > เซิร์ฟเวอร์การตรวจสอบสิทธิ์และนโยบาย > เพิ่ม > ISE > การตั้งค่าขั้นสูง
  5. ขั้นตอนที่ 5 เปิดใช้งานตัวเลือกการดำเนินการศูนย์ตัวเร่งปฏิกิริยาหลายตัว
  6. ขั้นตอนที่ 6 คลิกเพิ่ม
  7. ขั้นตอนที่ 7 (ทางเลือก) เมื่อผสานรวมคลัสเตอร์กับ Cisco ISE เป็นครั้งแรก ให้คลิก "ยอมรับ" ในบานหน้าต่างแบบเลื่อนเข้าสำหรับ Catalyst Center เพื่อยอมรับใบรับรองที่ Cisco ISE ส่งเข้ามา ปิดบานหน้าต่างแบบเลื่อนเข้า
  8. ขั้นตอนที่ 8 ในหน้าต่างเซิร์ฟเวอร์การตรวจสอบสิทธิ์และนโยบาย ตรวจสอบว่าสถานะการรวมแสดงเป็นใช้งานอยู่

การลบเครือข่ายเสมือน

คลัสเตอร์ Author Node ไม่ทราบการใช้งาน Virtual Network (VN) บนคลัสเตอร์ Reader Node คุณต้องลบการอ้างอิงทั้งหมดไปยัง VN บนคลัสเตอร์ Reader Node ทั้งหมดก่อนที่จะพยายามลบ VN นั้นบนคลัสเตอร์ Author Node หากคุณลบ VN บนคลัสเตอร์ Author Node VN จะถูกลบบนโหนด Author และบนคลัสเตอร์ Reader Node ที่ไม่มีการอ้างอิงถึงโหนดนั้น แต่หากโหนด Reader ใดโหนดหนึ่งกำลังใช้ VN นั้น สถานะของ VN ดังกล่าวจะแสดงเป็นไม่ซิงค์กับ Author คุณต้องลบการอ้างอิงทั้งหมด (เช่นamp(เช่น การเพิ่ม VN ในส่วนการใช้งานโฮสต์ หรือการกำหนดพอร์ตคงที่) ของ VN บนคลัสเตอร์โหนดผู้อ่าน จากนั้นดำเนินการลบ VN นั้นบนคลัสเตอร์โหนดผู้อ่าน

การลบกลุ่มความปลอดภัย

คลัสเตอร์ Author Node ไม่ทราบการใช้งานกลุ่มความปลอดภัยบนคลัสเตอร์ Reader Node คุณต้องลบการอ้างอิงทั้งหมดไปยังกลุ่มความปลอดภัยบนคลัสเตอร์ Reader Node ทั้งหมดก่อนที่จะพยายามลบกลุ่มความปลอดภัยนั้นบนคลัสเตอร์ Author Node หากคุณลบกลุ่มความปลอดภัยบนคลัสเตอร์ Author Node กลุ่มความปลอดภัยนั้นจะถูกลบบนคลัสเตอร์ Author Node, Cisco ISE และบนคลัสเตอร์ Reader Node หากไม่มีการอ้างอิงถึงกลุ่มความปลอดภัยนั้น หากคลัสเตอร์ Reader Node ใดกำลังใช้กลุ่มความปลอดภัยนั้น สถานะของกลุ่มความปลอดภัยดังกล่าวจะแสดงเป็นไม่ซิงค์กับ Author คุณต้องลบการอ้างอิงทั้งหมดของกลุ่มความปลอดภัยบนคลัสเตอร์ Reader Node แล้วจึงดำเนินการลบกลุ่มความปลอดภัยนั้นบนคลัสเตอร์ Reader Node

การส่งเสริมโหนดผู้อ่านให้เป็นบทบาทผู้เขียน
สถาปัตยกรรมโซลูชัน Multiple Catalyst Center มีคลัสเตอร์ Catalyst Center หลายคลัสเตอร์ และมีเพียงคลัสเตอร์เดียวเท่านั้นที่สามารถเป็นผู้เขียนนโยบายได้ อาจมีบางกรณีที่ผู้ดูแลระบบจำเป็นต้องเลื่อนระดับคลัสเตอร์ Reader Node ให้รับบทบาทเป็นคลัสเตอร์ Author Node การเลื่อนระดับนี้ควรทำเฉพาะเมื่อ:

คุณกำลังนำคลัสเตอร์ Author Node ออกจากการให้บริการหรือไม่สามารถใช้งานได้เป็นระยะเวลานาน
คลัสเตอร์โหนดผู้เขียนจะไม่สามารถใช้งานได้ถาวรหรือไม่ตอบสนองเป็นระยะเวลานาน และจำเป็นต้องมีการเปลี่ยนแปลงนโยบายในช่วงเวลาดังกล่าว

การเลื่อนระดับโหนดผู้อ่านไปเป็นโหนดผู้เขียนสามารถทำได้สองวิธี:

  1. การส่งเสริมโหนดผู้อ่านอย่างสง่างามไปสู่บทบาทผู้เขียน
  2. บังคับการเลื่อนระดับโหนดผู้อ่านให้เป็นบทบาทผู้เขียน

การส่งเสริมโหนดผู้อ่านอย่างสง่างามไปยังบทบาทผู้เขียน
คุณสามารถเลื่อนระดับคลัสเตอร์ Reader Catalyst Center ไปยังบทบาทผู้เขียนได้ด้วยตนเอง หากจำเป็นในการใช้งาน Multiple Catalyst Center คลัสเตอร์ Reader Node ทั้งหมดมีปุ่ม "เลื่อนระดับเป็นผู้เขียน" คุณสามารถเลื่อนระดับได้

คลัสเตอร์โหนดผู้อ่านไปยังโหนดผู้เขียนในขณะที่คลัสเตอร์โหนดผู้เขียนปัจจุบันของคุณยังคงทำงานอยู่ อย่างไรก็ตาม อย่าเริ่มการดำเนินการโปรโมตในขณะที่คลัสเตอร์โหนดผู้เขียนปัจจุบันกำลังดำเนินการสร้างนโยบายตามกลุ่ม (เช่นample ขณะซิงโครไนซ์นโยบายกับ Cisco ISE) หากคลัสเตอร์ Author Node ไม่ว่าง การดำเนินการโปรโมตจะ stagดำเนินการจนกว่าโหนดผู้เขียนจะเสร็จสิ้นการประมวลผลปัจจุบัน

บันทึก

  • เมื่อมีการเลื่อนระดับคลัสเตอร์โหนดผู้อ่านไปเป็นบทบาทผู้เขียนอย่างเหมาะสม คลัสเตอร์โหนดผู้อ่านจะเริ่มต้นการร้องขอไปยัง Cisco ISE เพื่อเปลี่ยนบทบาท (ผู้อ่านเป็นผู้เขียน)
  • เมื่อ Cisco ISE ได้รับคำขอเปลี่ยนบทบาท ระบบจะร้องขอให้โหนดผู้เขียนปัจจุบันปลดบทบาทของผู้เขียนนโยบาย โหนดผู้เขียนปัจจุบันจะปลดบทบาทของผู้เขียนนโยบาย (หากไม่มีการซิงค์) และเข้ารับบทบาทของคลัสเตอร์โหนดผู้อ่าน
  • โหนดผู้อ่านปัจจุบันที่เลือกไว้สำหรับการเลื่อนตำแหน่งจะรับบทบาทเป็นโหนดผู้เขียน เมื่อบทบาทผู้เขียนและบทบาทผู้อ่านเปลี่ยนแปลง Cisco ISE จะอัปเดตคลัสเตอร์โหนดผู้อ่านอื่นๆ เกี่ยวกับโหนดผู้เขียนใหม่ผ่านการอัปเดตการกำหนดค่า

ซอฟต์แวร์ CISCO-ISE (4)ขั้นตอน

  1. ขั้นตอนที่ 1 บนคลัสเตอร์โหนดผู้อ่าน เลือก ระบบ > การตั้งค่า > > การกำหนดค่าระบบ > การตั้งค่า Cisco Catalyst Center หลายรายการ และตรวจสอบโหนดผู้เขียนและโหนดผู้อ่าน
  2. ขั้นตอนที่ 2 คลิกปุ่มส่งเสริมให้เป็นผู้เขียน
  3. ขั้นตอนที่ 3 คลิกดำเนินการต่อเพื่อเลื่อนระดับโหนดไปยังบทบาทผู้เขียน

ขั้นตอนการเปลี่ยนแปลงอาจใช้เวลาไม่กี่นาที

บังคับการเลื่อนระดับโหนดผู้อ่านไปยังบทบาทผู้เขียน
การบังคับเลื่อนตำแหน่งเป็นรูปแบบหนึ่งของการเลื่อนตำแหน่งด้วยตนเอง ซึ่งมีจุดประสงค์อย่างเคร่งครัดเพื่อเลื่อนตำแหน่งคลัสเตอร์โหนดผู้อ่านปัจจุบันให้เป็นบทบาทโหนดผู้เขียนในสถานการณ์เหล่านี้:

  • คลัสเตอร์โหนดผู้เขียนปัจจุบันไม่ได้ให้บริการ
  • คลัสเตอร์โหนดผู้เขียนปัจจุบันไม่มีการตอบสนอง
  • การเลื่อนระดับโหนดผู้อ่านไปเป็นบทบาทผู้เขียนอย่างมีระดับใช้เวลานานกว่า 5 นาที

รูปที่ 3: บังคับการเลื่อนระดับของโหนดผู้อ่านไปยังบทบาทผู้เขียน

ซอฟต์แวร์ CISCO-ISE (1)

อย่าใช้ตัวเลือก Force Promotion ขณะที่คลัสเตอร์ Author Node ที่มีอยู่กำลังใช้งานอยู่โดยมีกิจกรรมการสร้าง GBP เนื่องจากอาจทำให้ข้อมูลสูญหายและคลัสเตอร์ Author Node จะไม่ซิงค์กับ Cisco ISE ดังนั้น แนะนำให้ใช้ Force Promotion เฉพาะเมื่อคุณต้องกู้คืนบริการทันทีและยินดีที่จะเสี่ยงต่อการสูญเสียข้อมูล หลังจากการบังคับ Promotion แล้ว คลัสเตอร์ Reader Node ที่ได้รับการส่งเสริมจะกลายเป็นคลัสเตอร์ Author Node ใหม่สำหรับการปรับใช้ เมื่อคลัสเตอร์ Author Node เดิมพร้อมใช้งาน คลัสเตอร์จะเปลี่ยนไปเป็นบทบาทของผู้อ่านและดาวน์โหลดข้อมูลการกำหนดค่าล่าสุดจาก Cisco ISE
เมื่อเริ่มการเลื่อนระดับคลัสเตอร์โหนดผู้อ่าน คลัสเตอร์โหนดผู้อ่านจะเริ่มส่งคำขอไปยัง Cisco ISE เพื่อขอเปลี่ยนบทบาท (หรืออีกนัยหนึ่งคือ เปลี่ยนจากผู้อ่านเป็นผู้เขียน) เมื่อ Cisco ISE ได้รับคำขอเปลี่ยนบทบาท ก็จะร้องขอให้โหนดผู้เขียนปัจจุบันปลดบทบาทของผู้เขียนตามนโยบาย

หากโหนดผู้เขียนปัจจุบันไม่ตอบสนอง และหากผู้ดูแลระบบเลือก Force Promotion คลัสเตอร์โหนดผู้อ่าน ACA จะเริ่มคำขอเพื่อบังคับให้เปลี่ยนคลัสเตอร์โหนดผู้อ่านเป็นบทบาทผู้เขียน และในทางกลับกันทันทีใน Cisco ISE ข้อความอัปเดตการกำหนดค่านี้จะถูกส่งไปยังโหนดทั้งหมด
ขั้นตอนในการบังคับเลื่อนระดับคลัสเตอร์โหนดผู้อ่านไปยังคลัสเตอร์โหนดผู้เขียนนั้นเหมือนกับที่อธิบายไว้ในส่วนการเลื่อนระดับโหนดผู้อ่านไปยังบทบาทผู้เขียนอย่างราบรื่น มีขั้นตอนเพิ่มเติมในตอนท้ายเพื่อเริ่มต้นฟังก์ชันบังคับเลื่อนระดับ

เอกสาร / แหล่งข้อมูล

ซอฟต์แวร์ CISCO ISE [พีดีเอฟ] คู่มือการใช้งาน
ซอฟต์แวร์ ISE, ซอฟต์แวร์

อ้างอิง

ฝากความคิดเห็น

ที่อยู่อีเมลของคุณจะไม่ถูกเผยแพร่ ช่องที่ต้องกรอกข้อมูลมีเครื่องหมาย *