Eintrag für Netzwerkzugriffsgerät in der ISE nach Catalyst Center hinzufügen/ändern

Einleitung

In diesem Dokument wird das Verfahren zur Neukonfiguration des Network Access Device (NAD)-Eintrags in der ISE beschrieben, der entweder geändert oder aus der ISE entfernt wird.

Hintergrundinformationen

Es kann mehrere Szenarien geben, in denen der NAD-Eintrag für ein Netzwerkgerät (das vom Catalyst Center verwaltet wird) geändert werden muss. Beispiele:
Wenn ein Gerät zurückgegeben wird, die Seriennummer geändert wird und eine neue Seriennummer im NAD-Eintrag des Netzwerkgeräts aktualisiert werden muss (erweiterte TrustSec-Einstellungen).

Andernfalls findet keine Geräte-TrustSec-Authentifizierung statt, was dazu führt, dass PAC-/Umschlagdaten nicht heruntergeladen werden. 

In einem anderen Szenario wird der NAD-Eintrag möglicherweise aus der Identity Services Engine (ISE) gelöscht (aufgrund eines manuellen Fehlers oder aus anderen Gründen). Nun schlägt die Geräteauthentifizierung fehl, da es in der ISE keinen NAD-Eintrag gibt. 

Problem

Das Problem bei den oben genannten Szenarien besteht darin, dass es in Catalyst Center keine vordefinierte Option gibt, den NAD-Eintrag direkt zu erstellen, nachdem dem Netzwerkgerät der Standort zugewiesen wurde und der NAD-Eintrag zum ersten Mal erstellt wurde. Dies führt dazu, dass Benutzer den NAD-Eintrag in der ISE manuell konfigurieren/ändern müssen, was zeitaufwendig und fehleranfällig sein kann. 

In diesem Dokument werden das Verfahren bzw. die Schritte zur Neukonfiguration des NAD-Eintrags (Network Access Device) für ein beliebiges Netzwerkgerät in der ISE beschrieben, das entweder geändert oder aus der ISE NAD entfernt wird. Dieses Verfahren gilt für alle Netzwerkgeräte, die von Catalyst Center verwaltet werden.

Lösung

Damit Catalyst Center den NAD-Eintrag in der ISE konfigurieren kann, müssen wir im Grunde die Management-IP-Adresse des Geräts (in eine beliebige Dummy-IP) ändern, da das Backend den Workflow zum Erstellen von NAD-Einträgen auslöst.
Dieses Verfahren gilt für alle Netzwerkgeräte, die von Catalyst Center verwaltet werden. Der NAD-Eintrag wird mit der ursprünglichen IP erstellt (da der Workflow vor der Änderung der Management-IP-Adresse ausgelöst wird). In diesem Beispiel sind die erweiterten TrustSec-Einstellungen für einen NAD-Eintrag in der ISE deaktiviert: 

NAD-Eintrag ISE für ein Netzwerkgerät

Erweiterte TrustSec-Einstellungen sind für diesen NAD-Eintrag deaktiviert.

Wie in diesem Bild zu sehen ist, sind die erweiterten TrustSec-Einstellungen für den NAD-Eintrag des Geräts deaktiviert (in der Regel ist dieser Abschnitt aktiviert, wenn Catalyst Center den NAD-Eintrag erstellt). Ändern Sie die Management-IP-Adresse in Catalyst Center in Dummy-IP, wodurch der Workflow zur Neukonfiguration des NAD-Eintrags in der ISE ausgelöst wird. Wenn Sie die Management-IP-Adresse ändern, wird die Gerätemanagement-Funktion in den Synchronisierungsstatus verschoben, und der ISE NAD-Eintrag muss geändert werden. 

Ändern der Management-IP-Adresse für das Netzwerkgerät in Catalyst Center in Dummy IP

Netzwerkgerät wechselt in Synchronisierungsstatus

Netzwerkgerät wird nicht erreichbar und nicht verwaltet, da die Management-IP-Adresse eine Dummy-IP-Adresse ist und nicht vom Catalyst Center aus erreichbar ist

ISE NAD-Eintrag für aktualisierte und "Advanced TrustSec Settings" ist jetzt aktiviert : 

Erweiterte TrustSec-Einstellungen wurden nach der Aktualisierung der Management-IP-Adresse von Catalyst Center aktiviert.

Nachdem dies erstellt wurde, können wir die Management-IP-Adresse wieder in ihre ursprüngliche IP-Adresse ändern. 

Zurücksetzen der Management-IP-Adresse auf die ursprüngliche IP

Nach der Aktualisierung der Management-IP-Adresse auf die ursprüngliche IP-Adresse wechselt das Gerät in den Synchronisierungsstatus und wechselt in den Status "Managed". 

In einem anderen Szenario wurde der NAD-Eintrag gelöscht: 

NAD-Eintrag in der ISE für das Netzwerkgerät nicht vorhanden

Wie Sie sehen, ist der gleiche Eintrag für das Gerät NAD nicht vorhanden. Wir gehen genauso vor, d. h. ändern Sie die Management-IP-Adresse in Catalyst Center in Dummy (IP). Nach diesem Verfahren wird ein NAD-Eintrag für das Netzwerkgerät mit seiner ursprünglichen IP-Adresse erstellt.