Cisco Cisco Identity Services Engine 1.3 설치 가이드
主要节点提供此网络模型所需的所有配置、身份验证和策略功能,并在备份角色中提供辅助 Cisco
ISE 节点功能。 辅助节点支持主要节点,并会在主要节点与网络设备、网络资源或 RADIUS 之间的
连接断开时维持网络正常工作。
ISE 节点功能。 辅助节点支持主要节点,并会在主要节点与网络设备、网络资源或 RADIUS 之间的
连接断开时维持网络正常工作。
客户端与主要 Cisco ISE 节点之间的集中身份验证、授权和记帐 (AAA) 操作使用 RADIUS 协议来执
行。 Cisco ISE 会将驻留在主要 Cisco ISE 节点上的所有内容与辅助 Cisco ISE 节点同步或复制这些内
容。因此,辅助节点与主要节点的状态保持一致。 在小型网络部署中,通过此类型的配置模式,您
可以使用此类型的部署或类似方法在所有 RADIUS 客户端上同时配置主要节点和辅助节点。
行。 Cisco ISE 会将驻留在主要 Cisco ISE 节点上的所有内容与辅助 Cisco ISE 节点同步或复制这些内
容。因此,辅助节点与主要节点的状态保持一致。 在小型网络部署中,通过此类型的配置模式,您
可以使用此类型的部署或类似方法在所有 RADIUS 客户端上同时配置主要节点和辅助节点。
图 2:小型网络配置
随着网络环境中设备、网络资源、用户和 AAA 客户端数量的增加,您应从基本的小模式更改部署配
置并更多地使用分离式或分布式部署模式。
置并更多地使用分离式或分布式部署模式。
分离式部署
在分离式 Cisco ISE 部署中,您将按照小型 Cisco ISE 部署中所述继续维护主要节点和辅助节点。 但
是, AAA 负载会在两个 Cisco ISE 节点之间进行拆分,以优化 AAA 工作流程。 如果 AAA 连接有
任何问题,则每个 Cisco ISE 设备(主要或辅助)需要能够处理全部工作负载。 主要节点和辅助节
点在正常网络操作过程中均不处理任何 AAA 请求,因为此工作负载分布在两个节点之间。
是, AAA 负载会在两个 Cisco ISE 节点之间进行拆分,以优化 AAA 工作流程。 如果 AAA 连接有
任何问题,则每个 Cisco ISE 设备(主要或辅助)需要能够处理全部工作负载。 主要节点和辅助节
点在正常网络操作过程中均不处理任何 AAA 请求,因为此工作负载分布在两个节点之间。
以此方式拆分负载的功能会直接减少系统中每个 Cisco ISE 节点上的压力。 此外,拆分负载可提供
更好的加载,同时辅助节点的功能状态会在正常网络操作过程中得以维护。
更好的加载,同时辅助节点的功能状态会在正常网络操作过程中得以维护。
在分离式 Cisco ISE 部署中,每个节点可以执行各自的特定操作(例如网络准入或设备管理),并且
在发生故障的情况下仍然执行所有 AAA 功能。 如果您有两个 Cisco ISE 节点,分别用于处理身份验
证请求和从 AAA 客户端收集记帐数据,则建议您将其中一个 Cisco ISE 节点设置为用作日志收集器。
在发生故障的情况下仍然执行所有 AAA 功能。 如果您有两个 Cisco ISE 节点,分别用于处理身份验
证请求和从 AAA 客户端收集记帐数据,则建议您将其中一个 Cisco ISE 节点设置为用作日志收集器。
思科身份服务引擎硬件安装指南,版本 1.4
6
Cisco ISE 中的网络部署
分离式部署