консолидация Cisco ISE 3.3 patch-7 с пяти до двух узлов
-
Вот моя текущая среда: кластер из 5 узлов с: - node1: основной администратор и вторичный MnT,
- node2: вторичный администратор и основной MnT,
- node3, node4, node5: PSN Все эти узлы работают в VMWare ESXi. Каждый узел имеет 24 виртуальных процессора и 128 ГБ оперативной памяти. В настоящее время
все сетевые устройства направлены на node3, node4 и node5 в этом порядке, и все, похоже,
работает нормально, без каких-либо проблем с нагрузкой. В среде насчитывается около 2500 пользователей Microsoft и Apple MAC 802.1x с проводным и беспроводным доступом, а также около 5000 устройств
(камеры, телефоны, ИБП), которые также используют аутентификацию MAB. Мы думаем о консолидации с пяти узлов до двух; однако эти два узла будут работать
на физических устройствах SNS-3815-K9. Это будет выглядеть следующим образом: узел 1: основной администратор, вторичный MnT, PSN
узел 2: вторичный администратор, основной MnT, PSN Вопросы: #1- Будет ли это работать? Есть ли какие-либо недостатки?
#2- Будет ли этого достаточно? TIA
-
@adamscottmaster2013
, поскольку на
вторичном
и
третичном PSN
нет
никакой активности
, IMHO, вы готовы к работе! Примечание: чтобы снизить риски и быть предельно осторожным,
перед переходом
на новую
версию
я рекомендую: Отключите
мониторинг и анализ журналов
(в разделе
«Операции» > «Система 360» > «Настройки»
).
Отключите
профилирование
MFC и правила AI
(в разделе
«Администрирование» > «Система» > «Настройки» > «Профилирование»
) а затем (
после перехода
на новую
версию
) включить их по одному. Надеюсь, это поможет! -
@adamscottmaster2013
, это будет
небольшое развертывание
с использованием
SNS-3815-K9
, версия
3.3 P7+
(также
3.4 P4+
или
3.5+
), с
общими PSN
(до
25 тыс. одновременных активных сеансов
каждый), только для
RADIUS
. В вашей среде примерно
2500 проводных/беспроводных + 5000 аутентификаций MAB
. Пока все хорошо... Кроме того, важно понять ваш
конкретный сценарий
... Другими словами: Какова ваша
общая аутентификация (успешная + неуспешная) в день
(в
разделе «Операции» > «Отчеты» > «Отчеты» > «Конечные точки и пользователи» > «Сводка аутентификации»
)? -
@Marcelo Morais
написал:
@adamscottmaster2013
,
это будет
небольшое развертывание
с использованием
SNS-3815-K9
, версия
3.3 P7+
(также
3.4 P4+
или
3.5+
), с
общими PSN
(до
25 тыс. одновременных активных сеансов
каждый), только для
RADIUS
.
Ваша среда имеет примерно
2500 проводных/беспроводных + 5000 аутентификаций MAB
.
Пока все хорошо...
Кроме того, важно понять ваш
конкретный сценарий
... Другими словами:
Какова ваша
общая аутентификация (успешная + неуспешная) в день
(в
разделе «Операции» > «Отчеты» > «Отчеты» > «Конечные точки и пользователи» > «Сводка аутентификации»
)? Привет
[, @Marcelo Morais] Общее количество аутентификаций (успешных + неуспешных) в день
составляет около 260 тысяч, из них 8 тысяч успешных и 252 тысячи неуспешных. -
@adamscottmaster2013
, По моему мнению,
260 тыс.
(8 тыс. прошли + 252 тыс. не прошли) — это проблема! Я знаю, что в реальных условиях исправление «неудачных» не всегда возможно, пожалуйста, ознакомьтесь со статьей: [Навигация по безопасности в хаотичной среде — Часть II]
, поищите
«Периодически переоценивайте свое развертывание!!!
», обратите особое внимание на: «
... События аутентификации и учета DOT1X, генерируемые конечными точками, повторяются
от
2 до 4 раз в день
...
» Вы собираетесь 3x выделенных PSN
, совместимых с
SNS 3655
, способных обрабатывать до
50K одновременных сеансов
каждый к
2x Shared PSN
, совместимым с
SNS 3815
, способным обрабатывать до
25 000 одновременных сеансов
каждый Моя рекомендация: Сначала проверьте, может ли
только одна
из ваших
выделенных PSN
обработать ваш сценарий! Надеюсь, это поможет! -
@Marcelo Morais
написал:
@adamscottmaster2013
,
По моему мнению,
260 тыс.
(8 тыс. прошли + 252 тыс. не прошли) — это проблема!
Я знаю, что в реальных условиях исправление «непрошедших» не всегда возможно, пожалуйста, посмотрите:
[Навигация по безопасности в хаотичной среде — Часть II]
, найдите
«Периодически переоценивайте свое развертывание!!!
», обратите особое внимание на:
«
... События аутентификации и учета DOT1X, генерируемые конечными точками, повторяются
от
2 до 4 раз в день
...
»
Вы собираетесь
3x выделенных PSN
, совместимых с
SNS 3655
, способных обрабатывать до
50K одновременных сеансов
каждый
к
2x Shared PSN
, совместимым с
SNS 3815
, способным обрабатывать до
25 000 одновременных сеансов
каждый
Моя рекомендация:
Сначала проверьте, может ли
только одна
из ваших
выделенных PSN
обработать ваш сценарий!
Надеюсь, это поможет! Привет,
@Marcelo Morais
. Все сетевые устройства (т. е. коммутаторы [проводные] и беспроводные контроллеры) в настоящее время направлены на node3, node4 и node5 как первичные, вторичные и третичные соответственно. Поэтому node3 принимает на себя всю нагрузку, и пока я не вижу никаких проблем. Поэтому я предполагаю, что в новой конфигурации должно быть все в порядке, если использовать только 2 узла, верно? C9410R#show aaa servers | i Authen:
Authen: запрос 977560, таймауты 66, отказ 0, повторная передача 55 --> node3
Authen: запрос 202, таймауты 0, отказ 11, повторная передача 0 --> node4
Authen: запрос 0, таймауты 0, отказ 0, повторная передача 0 --> node5
C9410R# TIA -
@adamscottmaster2013
, указание
Node3
,
Node4
и
Node5
в качестве
первичного
,
вторичного
и
третичного
соответственно является отличным тестом. Пожалуйста, в
разделе «Операции» > «Система 360» > «Аналитика журналов» > «Сводка аутентификации RADIUS
» измените
дату
(чтобы отобразить
неделю
) и отфильтруйте по
каждому
узлу
(чтобы убедиться, что вы не получаете
запросы RADIUS
на
вторичном
и
третичном
узлах
![:disappointed_face:] ![Log Analytics - ISE Nodes.png] и посмотрите график
RADIUS Authentication Timelion
. Надеюсь, это поможет!
-
@Marcelo Morais
написал:
Пожалуйста, в
разделе «Операции» > «Система 360» > «Аналитика журналов» > «Сводка аутентификации RADIUS
» измените
дату
(чтобы отображалась
неделя
) и отфильтруйте по
каждому
узлу
(чтобы убедиться, что вы не получаете
запросы RADIUS
на
вторичном
и
третичном
узлах
![:disappointed_face:]
и посмотрите график
RADIUS Authentication Timelion
. Привет,
@Marcelo Morais
— большое спасибо. Я подтвердил, что на
вторичном
и
третичном ISE
нет никакой активности
.
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти