ISE HA ver. 2.1

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
kojot
member
member
Posty: 19
Rejestracja: 29 cze 2016, 12:43

ISE HA ver. 2.1

#1

#1 Post autor: kojot »

Czesc.
Probuje uruchomic ISE z HA, na razie jedynie dla TACACSA w pierwszym etapie. Mam obecnie dwie VMki i odpalone na nich ISE. Na obu uruchomione moduly PAN, PSN i Monitor. Jedna jako primary druga secondary.
Srodowisko uznaje jako Small wg tego co podaje cisco w dokumentacji.

Co chce osiagnac:
Nie mam w planach rozbicia modulow na oddzielne nody.
W przypadku gdy niedostepne bedzie primary, wszystko ma sie przelaczyc na secondary ISE.
Primary i secondary w jednym segmencie sieci l2 rozciagniete pomiedzy dc i drc.

Co do tej pory przeczytalem i nie jest dla mnie jasne:

Czy w przypadku gdy wszystkie moduly sa na jednej vm, i tak skonfigurowane mam primary i secondary to HA domyslnie jest uruchomione i w ogole zadziala bo takiej wersji nie udalo mi sie znalezc w guide 2.1?
W guide'ach HA zawsze pojawia sie przy architekturze distributed gdzie moduly sa rozdzielone i np failover dla modulu Administration wykrywany jest poprzez sprawdzanie dostepnosci modulu administracyjnego z poziomu PSN. W moim labie gdy mam skonfigurowane to tak jak podalem na wstepie, nie moge zaznaczyc w Deployment opcji failover - pole jest wyszarzone.
Czego brakuje, kolejnego node bez modulu administracyjnego ?
jakie sa minusy gdy nie polacze modulow PSN w jedna NodeGroupe przy takich zalozeniach ?
Jak i czy w ogole zadziala HA, czy mozna to tak skonfigurowac ?
Poradzcie na co zwrocic uwage, bo konfiguruje to pierwszy raz a musi to dzialac dla dosc krytycznego srodowiska. Wiec blad na poczatku moze potem sporo kosztowac nerwow.

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: ISE HA ver. 2.1

#2

#2 Post autor: mihu »

technicznie masz 3 rozne serwisy:

primary i secondary PAN - reczny failover

pri i sec MnT - automatyczny failover

PSN - tu nie ma idei HA , wszystkie nody sa aktywne , która akurat bedzie obsługiwała ruch zależy jak ustawisz kolejność na NADach (switch,router,wlc)
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

kojot
member
member
Posty: 19
Rejestracja: 29 cze 2016, 12:43

Re: ISE HA ver. 2.1

#3

#3 Post autor: kojot »

dzięki za odpowiedź :)

Czy w przypadku wykorzystywanej jedynie opcji TACACS dashboardy nie będą zbyt pomocne ?
użytkownicy uwierzytelniają się poprawnie, policy działają itd.
Dashboardy wyglądają tak:
http://i.imgur.com/r2cz9NL.gif

I nie wiem czemu w przypadku tych dashboardów jest info o no data available.

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: ISE HA ver. 2.1

#4

#4 Post autor: mihu »

kojot pisze:dzięki za odpowiedź :)

Czy w przypadku wykorzystywanej jedynie opcji TACACS dashboardy nie będą zbyt pomocne ?
użytkownicy uwierzytelniają się poprawnie, policy działają itd.
Dashboardy wyglądają tak:
http://i.imgur.com/r2cz9NL.gif

I nie wiem czemu w przypadku tych dashboardów jest info o no data available.

dashboardy są głównie dla Radiusa, profiling, posturing i server info (obciążenie, etc) . Dla TACACS+ masz głównie Live logs i wszystko co jest w Work Centers > Device Admin.

GUI się trochę zmienił między 2.1 i 2.2 i więcej rzeczy jest przeniesionych do Work Centre
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

kojot
member
member
Posty: 19
Rejestracja: 29 cze 2016, 12:43

Re: ISE HA ver. 2.1

#5

#5 Post autor: kojot »

Ok, myślałem że na dashboard'ach network devices, authentications, device type będzie cokolwiek widoczne w przypadku TACACSa :]
niespecjalnie potrzebne na ten moment ale jak jest to czemu by nie skorzystać i myślałem, że mi jakiś service nie działa, lub coś źle skonfigurowałem w związku z "no data available"
dzięki ;]

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: ISE HA ver. 2.1

#6

#6 Post autor: mihu »

kojot pisze:Ok, myślałem że na dashboard'ach network devices, authentications, device type będzie cokolwiek widoczne w przypadku TACACSa :]
niespecjalnie potrzebne na ten moment ale jak jest to czemu by nie skorzystać i myślałem, że mi jakiś service nie działa, lub coś źle skonfigurowałem w związku z "no data available"
dzięki ;]
serwisy/demony widzisz w CLI: "show application status ise", w GUI to możesz zobaczyć tak jak pisałem czy serwery są up i latency (dashboard, deployment tab) i czy się nie wypięły z domeny (External Identity Sources).
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

ODPOWIEDZ