意见

如何正确使用思科身份服务引擎负载平衡器

下面是那些运行思科身份服务引擎中最常见的问题之一,一些指引。

所以,这是我的第一个博客张贴在这里。希望一切顺利。

一个后期的最常见的问题是如何正确地使用负载平衡器与思科身份服务引擎。对于ISE策略服务节点(PSN网络)配置负载均衡时,下面是使用一些基本准则。

了解术语:

  • PSN:策略服务节点。该PSN是ISE角色处理所有半径请求,并作出决策。如果您使用的分析后,PSN也为你办理剖析。
  • 泛:策略管理节点。潘是ISE角色处理所有的数据库同步/复制,并提供管理GUI。此节点必须跟直接的PSN,而无需通过NAT去。
  • VIP:虚拟IP地址。这是IP地址负载均衡器监听,并且将重定向发往VIP在服务器场的服务器的真实IP地址的流量。
  • 服务器群:服务器将成为负载时的流量都发往VIP平衡的分组。
  • 终点:实际的设备访问网络。
  • NAD:网络访问设备。接入层设备(交换机/无线控制器),其提供和执行到端点的网络访问。
  • SNAT:源网络地址转换。负载平衡器的功能来隐藏NAD,这允许负载均衡器,以运行的源IP地址“带外“。
  • 服务器NAT:源NAT的反向。这是隐藏实际ISE PSN的IP地址,当它启动通信的NAD的东西像授权的变更(COA),并与VIP替换该IP地址来代替。

一般准则

当使用负载均衡(人的),你必须确保几件事。

  • 每个PSN必须是由PAN / MNT直接到达,而不必经过NAT(路由模式LB,不NAT)。无源的NAT。这包括会计信息,而不仅仅是那些认证。
    • 这意味着负载平衡器必须在客户端和ISE的PSN之间的直接路径。
    • 有些组织已经使用基于策略的路由(PBR)来实现的路径,而无需物理定位客户和PSN网络之间的负载均衡。
  • 端点(客户端)必须能够直接到达每个策略服务节点(通过VIP不会)对重定向/集中式Web认证/姿势评估/本地请求者供应,等等。
  • 您可能要“破解”的证书,包括贵宾FQDN在SAN领域(我的下一篇博客应该包括这一招)。
  • 基于呼叫站ID和帧IP地址:(持久性AKA)执行粘。
  • VIP被列为各NAD的所有802.1X相关AAA RADIUS服务器。
  • 动态授权(COA):
    • 如果您使用NAT服务器与授权的更改VIP地址替换PSN IP地址,那么你可以使用VIP地址为动态授权(COA)客户端。
    • 否则,使用PSN,不是VIP的真实IP地址。
  • 在负载均衡器可以上市作为ISE NADS所以他们的测试认证可以这样回答,以保持探头活着。
  • ISE采用了3层地址来识别NAD,而不是在RADIUS包NAS-IP地址。这是一个很大的原因,以避免SNAT。

故障方案:

  • 贵宾是RADIUS服务器,因此如果整个VIP下跌,那么应该NAD故障切换到辅助数据中心VIP(列为对NAD从RADIUS服务器)。
  • 在负载平衡器使用探针以确保RADIUS正在响应,以及HTTPS(至少)。
    • LB探头应该发送测试RADIUS消息给每个PSE定期,以确保RADIUS的响应,而不仅仅是查找开放的UDP端口。
    • LB探头还应该检查HTTPS响应,不只是看的开放端口。
  • 使用节点组与L2相邻的PSN的贵宾后面。
    • 如果会议是在过程和PSN的一个是在一个节点组出现故障,那么节点组会发出辅酶A重新验证的另一名成员;迫使会议重新开始。
    • 在这一点上,LB竟没死PSN由于LB配置的探头;所以这个新的认证请求将达到LB与被引导到一个不同的PSN ...

为什么我们不能用源NAT(SNAT)?

其中最常见的问题时,负载均衡是:“为什么我们不能用SNAT?”源NAT是一般负载平衡一个奇妙的东西,但不能与ISE。原因下面列出属于ISE版本1.1.x版本,并可以与ISE 1.2+改变。网络访问设备(NAD)将是错误的:

原因1:

随着SNAT,源网络访问设备将在ISE显示为负载平衡器,而不是网络接入设备。

没有SNAT 亚伦Woland

如图一 - 无SNAT

ISE采用sessionized网络身份验证。这意味着ISE是跟踪与NAD沿会议 - 所以NAD和ISE留在同步关于端点的状态和位置。本次会议也给ISE的NAD地址发送授权的更改为,以及终点的位置。

  • 源NAD被以许多不同的策略ISE使用的,特别是对位置数据。
  • 如果所有节点总是出现从负载平衡器来代替NAD, - 我们怎么能知道终点的位置?

位置是不是几乎一样大的一个问题,因为授权的改变,这是一个成功的部署所必需的。

  • ISE记录从第3层报头中的NAD的第3层地址。
  • 有被称为NAS-IP地址,它嵌入在RADIUS数据包的网络设备的IP地址,一个RADIUS领域。
  • 然而,ISE当前不使用该字段;因此,NAD的L3 IP地址必须是正确的用于授权的改变被发送到正确的设备。
  • 如果NAD出现负载平衡器的IP地址,然后ISE将发送授权的更改到负载平衡器 - 而不是开关。

原因2:URL重定向和Web门户:

接下来,ISE 1.1.x版本只有一个接口,可用于所有的功能。是的,ISE可以在任何的ISE的四个接口运行RADIUS,但千兆0/0接口是管理交通的唯一接口。此外,政策服务节点的FQDN被嵌入到证书ISE 1.1.x版本;而这正是被用于URL重定向的Web认证和设备注册和请求者供应,等等。

重定向 亚伦Woland

Figure2 - 重定向

所以,当URL重定向发生时,终端将需要跟ISE直接(非VIP) - 并达到门户网站。门户可以在千兆0/0接口在1.1.x中只存在(这可能在ISE的未来版本中改变)。路由表:

原因三:

除非你添加静态路由,以ISE为每一个子网NAD,ISE没有在1.1.x版本通过不同的网关不同的子网返回交通,只有它的默认网关的能力。因此,负载平衡器必须是默认网关的ISE PSN的(或至少在路径)。

由于负载平衡器必须是默认网关,那么所有的管理流也流过负载均衡的,除非你物理定位的策略管理节点(PAN)和负载平衡器后面的监控和故障排除节点(MNT)以及(只是不包括那些在服务器农场)。

我希望帮助。

加入对网络世界的社足球竞猜app软件区Facebook的LinkedIn对那些顶级心态的话题发表评论。
有关:

亚伦Woland,CCIE号20113,是思科系统公司的首席工程师。他的主要工作职责包括:安全访问,并与ISE身份部署,解决方案的增强功能,标准的制定,和期货。

在这个博客所表达的意见是那些亚伦Woland,并不一定代表思科系统。

版权所有©2012足球竞彩网下载

IT薪资调查:结果是