<![CDATA[консолидация Cisco ISE 3.3 patch-7 с пяти до двух узлов]]>Вот моя текущая среда: кластер из 5 узлов с: - node1: основной администратор и вторичный MnT,

  • node2: вторичный администратор и основной MnT,
  • node3, node4, node5: PSN Все эти узлы работают в VMWare ESXi. Каждый узел имеет 24 виртуальных процессора и 128 ГБ оперативной памяти. В настоящее время
    все сетевые устройства направлены на node3, node4 и node5 в этом порядке, и все, похоже,
    работает нормально, без каких-либо проблем с нагрузкой. В среде насчитывается около 2500 пользователей Microsoft и Apple MAC 802.1x с проводным и беспроводным доступом, а также около 5000 устройств
    (камеры, телефоны, ИБП), которые также используют аутентификацию MAB. Мы думаем о консолидации с пяти узлов до двух; однако эти два узла будут работать
    на физических устройствах SNS-3815-K9. Это будет выглядеть следующим образом: узел 1: основной администратор, вторичный MnT, PSN
    узел 2: вторичный администратор, основной MnT, PSN Вопросы: #1- Будет ли это работать? Есть ли какие-либо недостатки?
    #2- Будет ли этого достаточно? TIA
]]>https://sla247.ru/forum/topic/2331/консолидация-cisco-ise-33-patch-7-с-пяти-до-двух-узловRSS for NodeFri, 15 May 2026 02:12:24 GMTMon, 02 Mar 2026 12:23:36 GMT60<![CDATA[Reply to консолидация Cisco ISE 3.3 patch-7 с пяти до двух узлов on Mon, 02 Mar 2026 12:23:43 GMT]]>@Marcelo Morais
написал:
Пожалуйста, в
разделе «Операции» > «Система 360» > «Аналитика журналов» > «Сводка аутентификации RADIUS
» измените
дату
(чтобы отображалась
неделя
) и отфильтруйте по
каждому
узлу
(чтобы убедиться, что вы не получаете
запросы RADIUS
на
вторичном
и
третичном
узлах
![:disappointed_face:]
и посмотрите график
RADIUS Authentication Timelion
. Привет,
@Marcelo Morais
— большое спасибо. Я подтвердил, что на
вторичном
и
третичном ISE
нет никакой активности
.

]]>https://sla247.ru/forum/post/16400https://sla247.ru/forum/post/16400Mon, 02 Mar 2026 12:23:43 GMT<![CDATA[Reply to консолидация Cisco ISE 3.3 patch-7 с пяти до двух узлов on Mon, 02 Mar 2026 12:23:42 GMT]]>@adamscottmaster2013
, указание
Node3
,
Node4
и
Node5
в качестве
первичного
,
вторичного
и
третичного
соответственно является отличным тестом. Пожалуйста, в
разделе «Операции» > «Система 360» > «Аналитика журналов» > «Сводка аутентификации RADIUS
» измените
дату
(чтобы отобразить
неделю
) и отфильтруйте по
каждому
узлу
(чтобы убедиться, что вы не получаете
запросы RADIUS
на
вторичном
и
третичном
узлах
![:disappointed_face:] ![Log Analytics - ISE Nodes.png] и посмотрите график
RADIUS Authentication Timelion
. Надеюсь, это поможет!

]]>https://sla247.ru/forum/post/16399https://sla247.ru/forum/post/16399Mon, 02 Mar 2026 12:23:42 GMT<![CDATA[Reply to консолидация Cisco ISE 3.3 patch-7 с пяти до двух узлов on Mon, 02 Mar 2026 12:23:41 GMT]]>@Marcelo Morais
написал:
@adamscottmaster2013
,
По моему мнению,
260 тыс.
(8 тыс. прошли + 252 тыс. не прошли) — это проблема!
Я знаю, что в реальных условиях исправление «непрошедших» не всегда возможно, пожалуйста, посмотрите:
[Навигация по безопасности в хаотичной среде — Часть II]
, найдите
«Периодически переоценивайте свое развертывание!!!
», обратите особое внимание на:
«
... События аутентификации и учета DOT1X, генерируемые конечными точками, повторяются
от
2 до 4 раз в день
...
»
Вы собираетесь
3x выделенных PSN
, совместимых с
SNS 3655
, способных обрабатывать до
50K одновременных сеансов
каждый
к
2x Shared PSN
, совместимым с
SNS 3815
, способным обрабатывать до
25 000 одновременных сеансов
каждый
Моя рекомендация:
Сначала проверьте, может ли
только одна
из ваших
выделенных PSN
обработать ваш сценарий!
Надеюсь, это поможет! Привет,
@Marcelo Morais
. Все сетевые устройства (т. е. коммутаторы [проводные] и беспроводные контроллеры) в настоящее время направлены на node3, node4 и node5 как первичные, вторичные и третичные соответственно. Поэтому node3 принимает на себя всю нагрузку, и пока я не вижу никаких проблем. Поэтому я предполагаю, что в новой конфигурации должно быть все в порядке, если использовать только 2 узла, верно? C9410R#show aaa servers | i Authen:
Authen: запрос 977560, таймауты 66, отказ 0, повторная передача 55 --> node3
Authen: запрос 202, таймауты 0, отказ 11, повторная передача 0 --> node4
Authen: запрос 0, таймауты 0, отказ 0, повторная передача 0 --> node5
C9410R# TIA

]]>https://sla247.ru/forum/post/16398https://sla247.ru/forum/post/16398Mon, 02 Mar 2026 12:23:41 GMT<![CDATA[Reply to консолидация Cisco ISE 3.3 patch-7 с пяти до двух узлов on Mon, 02 Mar 2026 12:23:40 GMT]]>@adamscottmaster2013
, По моему мнению,
260 тыс.
(8 тыс. прошли + 252 тыс. не прошли) — это проблема! Я знаю, что в реальных условиях исправление «неудачных» не всегда возможно, пожалуйста, ознакомьтесь со статьей: [Навигация по безопасности в хаотичной среде — Часть II]
, поищите
«Периодически переоценивайте свое развертывание!!!
», обратите особое внимание на: «
... События аутентификации и учета DOT1X, генерируемые конечными точками, повторяются
от
2 до 4 раз в день
...
» Вы собираетесь 3x выделенных PSN
, совместимых с
SNS 3655
, способных обрабатывать до
50K одновременных сеансов
каждый к
2x Shared PSN
, совместимым с
SNS 3815
, способным обрабатывать до
25 000 одновременных сеансов
каждый Моя рекомендация: Сначала проверьте, может ли
только одна
из ваших
выделенных PSN
обработать ваш сценарий! Надеюсь, это поможет!

]]>https://sla247.ru/forum/post/16397https://sla247.ru/forum/post/16397Mon, 02 Mar 2026 12:23:40 GMT<![CDATA[Reply to консолидация Cisco ISE 3.3 patch-7 с пяти до двух узлов on Mon, 02 Mar 2026 12:23:39 GMT]]>@Marcelo Morais
написал:
@adamscottmaster2013
,
это будет
небольшое развертывание
с использованием
SNS-3815-K9
, версия
3.3 P7+
(также
3.4 P4+
или
3.5+
), с
общими PSN
(до
25 тыс. одновременных активных сеансов
каждый), только для
RADIUS
.
Ваша среда имеет примерно
2500 проводных/беспроводных + 5000 аутентификаций MAB
.
Пока все хорошо...
Кроме того, важно понять ваш
конкретный сценарий
... Другими словами:
Какова ваша
общая аутентификация (успешная + неуспешная) в день

разделе «Операции» > «Отчеты» > «Отчеты» > «Конечные точки и пользователи» > «Сводка аутентификации»
)? Привет
[, @Marcelo Morais] Общее количество аутентификаций (успешных + неуспешных) в день
составляет около 260 тысяч, из них 8 тысяч успешных и 252 тысячи неуспешных.

]]>https://sla247.ru/forum/post/16396https://sla247.ru/forum/post/16396Mon, 02 Mar 2026 12:23:39 GMT<![CDATA[Reply to консолидация Cisco ISE 3.3 patch-7 с пяти до двух узлов on Mon, 02 Mar 2026 12:23:38 GMT]]>@adamscottmaster2013
, это будет
небольшое развертывание
с использованием
SNS-3815-K9
, версия
3.3 P7+
(также
3.4 P4+
или
3.5+
), с
общими PSN
(до
25 тыс. одновременных активных сеансов
каждый), только для
RADIUS
. В вашей среде примерно
2500 проводных/беспроводных + 5000 аутентификаций MAB
. Пока все хорошо... Кроме того, важно понять ваш
конкретный сценарий
... Другими словами: Какова ваша
общая аутентификация (успешная + неуспешная) в день

разделе «Операции» > «Отчеты» > «Отчеты» > «Конечные точки и пользователи» > «Сводка аутентификации»
)?

]]>https://sla247.ru/forum/post/16395https://sla247.ru/forum/post/16395Mon, 02 Mar 2026 12:23:38 GMT<![CDATA[Reply to консолидация Cisco ISE 3.3 patch-7 с пяти до двух узлов on Mon, 02 Mar 2026 12:23:37 GMT]]>@adamscottmaster2013
, поскольку на
вторичном
и
третичном PSN
нет
никакой активности
, IMHO, вы готовы к работе! Примечание: чтобы снизить риски и быть предельно осторожным,
перед переходом
на новую
версию
я рекомендую: Отключите
мониторинг и анализ журналов
(в разделе
«Операции» > «Система 360» > «Настройки»
).
Отключите
профилирование
MFC и правила AI
(в разделе
«Администрирование» > «Система» > «Настройки» > «Профилирование»
) а затем (
после перехода
на новую
версию
) включить их по одному. Надеюсь, это поможет!

]]>https://sla247.ru/forum/post/16394https://sla247.ru/forum/post/16394Mon, 02 Mar 2026 12:23:37 GMT