A versão em Inglês deste Artigo se encontra em: ISE - What we need to know about SNS / VM .

 

Para obter uma cópia off-line ou impressa deste documento, basta escolher ⋮ Opções > Página Amigável para Impressora. Você pode então Imprimir > Imprimir em PDF ou Copiar & Colar em qualquer outro formato de documento de sua preferência.

 

Introdução

Antes que o Cisco ISE possa ser configurado, ele deve primeiro ser instalado, seja num Physical Appliance ou num Virtual Appliance.

O Physical Appliance é chamado de Cisco SNS (Secure Network Server).

O Virtual Appliance é diferente de uma VM tradicional. O Virtual Appliance é uma réplica exata do Physical Appliance, isto significa que o hardware não pode ser sobrecarregado e as reservas de RAM e CPU devem ser configuradas com valores iguais aos do Physical Appliance. A VM tradicional é destinada a utilizar os recursos compartilhados de um Host Server.

 

SNS (Secure Network Server) Appliance

Hardware

O SNS Appliance passou por uma série de atualizações de hardware ao longo dos anos, desde o SNS 33xx até os atuais SNS 37xx.

O SNS Appliance é baseados no Cisco UCS (Cisco Unified Computing System) C220 Rack Server e é configurado especificamente para atender o Cisco ISE.

O SNS 37xx é baseado num Cisco UCS C220 M6, disponível nos modelos SNS 3715, SNS 3755 e SNS 3795.

O SNS 36xx é baseado num Cisco UCS C220 M5, disponível nos modelos SNS 3615, SNS 3655 e SNS 3695.

O SNS 35xx é baseado num Cisco UCS C220 M4, disponível nos modelos SNS 3515 e SNS 3595.

 

O SNS Appliance oferece suporte ao recurso de UEFI (Unified Extensible Firmware Interface) Secure Boot, que garante que apenas uma imagem assinada do Cisco ISE possa ser instalada. Não é possível adicionar recursos de hardware adicionais, como RAM, CPU ou HD, a um SNS Appliance. O SNS 3x15 foi projetado para Small Deployments, enquanto os SNS 3x55 e SNS 3x95 (que têm vários componentes redundantes, como Discos Rígidos e Fontes de Alimentação) para Medium / Large Deployments (que exigem configurações de sistema altamente confiáveis).

 

Update

O Cisco HUU (Host Upgrade Utility) auxilia na atualização simultânea do BIOS, CIMC (Cisco Integrated Management Controller) e outros firmwares do SNS Appliance.

Os softwares podem ser obtidos em:

• Release SNS 37x5
• Release SNS 36x5
• Release SNS 35x5

 

É possível atualizar o firmware do BIOS e CIMC via CIMC GUI ou CLI  Ao atualizar o firmware do BIOS, o firmware do CIMC deve ser atualizado para a versão correspondente, caso contrário, o Servidor não inicializará.

 

End of Sale & End of Support

SNS 36xx

End Of Sale: 28/Abril/2025

End of Support: 30/Abril/2030

SNS 35xx

End Of Sale: 15/Junho/2019

End of Support: 30/Junho/2024

 

Licença

O Cisco SNS Appliance não possui Licenças.

 

Características

Os SNSs 35xx / 36xx / 37xx ​​não têm unidades de DVD integradas. Para efetuar um reimage do Cisco ISE Hardware Appliance é necessário executar uma das seguintes opções:

• via a Interface CIMC para mapear o Arquivo de Instalação .ISO para o Dispositivo de DVD Virtual.
• criando um DVD com o Arquivo de Instalação .ISO, conectando uma unidade de DVD externa USB e inicializando o dispositivo a partir da unidade de DVD.
• criando um dispositivo USB inicializável usando o Arquivo de Instalação .ISO e inicializando o dispositivo a partir da unidade USB.

 

Arquivo de Instalação .ISO: ISE 3.4:  ise-3.4.0.608a.SPA.x86_64.iso de 18/Dezembro/2024. ISE 3.3: Cisco-ISE-3.3.0.430.SPA.x86_64.iso de 11/Julho/2023. ISE 3.2: ise-3.2.0.542a.SPA.x86_64.iso de 27/Outubro/2022. ISE 3.1: ise-3.1.0.518b.SPA.x86_64.iso de 22/Agosto/2022 ise-3.1.0.518c.SPA.x86_64_SNS-37x5_APPLIANCE_ONLY.iso de 20/Março/2023. (específico pra SNS 37xx) ISE 3.0: ise-3.0.0.458.SPA.x86_64.iso de 14/Setembro/2020.   Antes de qualquer atualização é altamente recomendado a verificação de Softwares mais atualizados !!!

 

Compatibilidade com Cisco ISE

O SNS 37xx suporta ISE 3.1 P6+ e ISE 3.2 P2+.

O SNS 36xx suporta ISE 2.4+.

O SNS 35xx suporta ISE 2.0.1 até ISE 3.0.

 

O SNS 3595 é suportado até o ISE 3.2.

 

Particularidades

O SNS 3795 é equipado com mais RAM e melhor desempenho de Disk Read / Write, o que o torna mais adequado para as Personas de: Dedicated PAN, Dedicated MNT ou PAN / MNT e não fornece nenhum valor agregado quando implantado como um Dedicated PSN !!!

 

As alterações no tamanho do Disk nunca serão atualizadas no ISE sem um reimage !!! Se você diminuir a alocação de RAM ou CPU para uma VM, é necessário refazer a imagem do Cisco ISE com a configuração de VM alterada. No entanto, aumentar a capacidade de RAM ou CPU não requer refazer a imagem.

 

VM (Virtual Machine)

As especificações da VM devem ser comparáveis ​​às dos SNS Appliance de um Ambiente de Produção.

O Cisco ISE pode ser instalado nos seguintes hypervisors:

• VMware Servers
• KVM Hypervisors
• Hyper-V (Windows Server e Azure Stack HCI)
• Nutanix AHV

 

Licença

Plataformas de VM e Cloud necessitam da licença VM Common (R-ISE-VMC-K9=). Licença única e pérpetua necessária para cada ISE Node do seu Deployment.

 

As Classic VM Licenses (VM Small, VM Medium ou VM Large) atingem EOL em Set/21 e foram substituídas pela VM Common License. Você DEVE migrar as Classic VM Licenses para VM Common License antes de atualizar para o ISE 3.1+.

 

Particularidades

Hot Migration (vMotion) suportado no ISE 3.1+.

Cisco ISE não suporta VM Snapshots.

Extra Small VM são suportadas apenas para PSNs.

 

Clone

Você pode clonar um Cisco ISE VMware VM (via VMware vCenter) para criar uma réplica exata de um Cisco ISE Node.

A clonagem deve ser feita antes de executar o Setup e depois de desligar a Cisco ISE VM que você vai clonar.

É recomendável clonar o Cisco ISE Node via Template (um processo de duas etapas) para criar vários novos Cisco ISE Nodes. Você pode então executar o Setup em cada Cisco ISE Nodes que você criou e configurar o IP Address e os Hostnames individualmente.

 

ZTP (Zero Touch Provisioning)

ZTP refere-se ao mecanismo de provisionamento ininterrupto que ajuda a automatizar a instalação do Cisco ISE, habilitação de Serviços de Infraestrutura, Patching e Hot Patching sem intervenção manual.

Há duas opções disponíveis:

• Mapping .IMG File

Suportado em instalações automáticas de VM, Appliances e instalações OVA.

Você não pode usar um .IMG File para ZTP no Microsoft Hyper-V, neste caso é necessário usar um .ISO File para criar uma Generation 2 VM.

 

• VM User Data

Suportado em instalações automáticas de OVA e VM, quando o User Data é cofigurado.

 

Se você provisionar o Cisco ISE por meio do ZTP, os dois recursos de segurança a seguir estarão disponíveis:

• Public Key Authentication

Os Usuários podem ser Autenticados usando Public Key Authentication, em vez de Password-based Authentication.

 

• First Login Password Change

Ao efetuar login na GUI do Cisco ISE pela primeira vez após a instalação bem-sucedida do Cisco ISE usando ZTP, você será solicitado a realizar um Password reset.

 

 

Parâmetros Obrigatórios: Hostname, IP Address, Mask, Default Gateway, DNS Domain, Primary Name Server, NTP Server, System Timezone, SSH Username & Password a serem configurados. Parâmetros Opcionais: IPV6, Patch, Hot Patch, Services e detalhes do Repositório também podem ser configurados. TFTP, HTTP, HTTPS e NFS são Repositórios suportados para instalação de Patches e Hot Patches no Cisco ISE como parte do processo do ZTP. Estes Repositórios não serão visíveis ou utilizáveis ​​na GUI do Cisco ISE e devem ser utilizados via Anonymous Access. O ZTP é suportado no ISE 3.1+.

 

Cloud

O Cisco ISE está disponível na Cloud,

• nativamente nas seguintes Cloud Platforms:
  • ISE 3.1+:

AWS (Amazon Web Services)

• • ISE 3.2+:

Azure Cloud Services

OCI (Oracle Cloud Infrastructure)

 

• não nativamente: 
  • O processo de instalação do ISE no VMware Cloud é exatamente o mesmo que o da instalação do ISE no VMware VM. O Google Cloud VMware Engine executa Software-Defined Data Centers da VMware.

 

O processo de atualização do Cisco ISE não está disponível completamente no Cisco ISE na AWS, Azure ou OCI. Apenas instalações novas são suportadas. No entanto, você pode executar um Backup & Restore dos Dados de Configuração. Não há um perfil de Cloud equivalente para o SNS 3755, para esses casos, é recomendável usar uma instância de Cloud especificada para o SNS 3795. O Username padrão para instâncias do Cisco ISE que são iniciadas por meio de Cloud Platforms é iseadmin. Para instâncias do ISE 3.1 que são iniciadas por meio da AWS, o Username padrão é admin.

 

 

Cloud - Load Balancer

 

 

A Session Persistence do Load Balancer, também conhecida como Session Affinity ou Session Stickiness, garante que as solicitações subsequentes de um Cliente sejam roteadas para o mesmo Servidor de Backend que inicialmente manipulou sua Sessão (criando uma afinidade entre um Cliente e um Servidor de Rede específico durante a Sessão).

 

Referências

End of Life & End of Sales - Cisco Secure Network Server

Cisco SNS Data Sheet

Cisco ISE Licensing Guide - Cisco ISE Virtual Machine Licenses

Cisco ISE - Install and Upgrade Guides - Cisco Secure Network Server

Performance and Scalability Guide for Cisco Identity Services Engine

Deploy Cisco Identity Services Engine Natively on Cloud Platforms

Cisco ISE on Public Cloud Platforms

Charlie Moreton - ISE in a Hybrid Cloud Environment - YouTube

Charlie Moreton - Cloud Load Balancers with ISE - YouTube

What is a Virtual Machine ?

Installing the Cisco ISE System Software on a VMware Virtual Machine

ISE Zero Touch Provisioning (ZTP)

Cisco ISE Installation Guide, Release 3.4 - Zero Touch Provisioning