观点

如何在思科的身份服务引擎中正确使用负载均衡器

以下是运行思科的身份服务引擎的最常见问题之一的一些指导方针。

所以,这是我这里的第一个博客帖子。希望它进展顺利。

最近最常被问到的问题之一是如何在思科的身份服务引擎中正确地使用负载均衡器。以下是在为ISE策略服务节点(psn)配置负载均衡器时使用的一些基本准则。

理解术语:

  • PSN:政策服务节点。PSN是ISE角色,它处理所有的radius请求并做出政策决策。如果你正在使用分析,PSN也会为你处理分析。
  • 平底锅:政策管理节点。PAN是ISE角色,负责处理所有数据库同步/复制,并提供管理GUI。这个节点必须直接与PSN通信,而不需要经过NAT。
  • 贵宾:虚拟IP地址。这是负载均衡器侦听的IP地址,并将运入vip的流量重定向到服务器场中服务器的实际IP地址。
  • 服务器农场:分组服务器,当流量被分配到VIP时,这些服务器将被负载均衡。
  • 端点:访问网络的实际设备。
  • nad:网络接入设备。提供并强制对端点的网络访问的访问层设备(开关/无线控制器)。
  • SNAT:源网络地址转换。负载均衡器隐藏NAD的源IP地址的功能,这允许负载均衡器在“带外”运行。
  • 服务器NAT:源NAT的反面。这是在为NAD的通信启动与授权(COA)的更改时,并更换使用VIP的内容时隐藏实际ISE PSN的IP地址。

一般的指导方针

在使用负载平衡器(任何人的)时,您必须确保以下几点。

  • 每个PSN必须是PAN / MNT直接可达的,不需要经过NAT(路由模式LB,而不是NAT)。没有Source-NAT。这包括记帐消息,而不仅仅是身份验证消息。
    • 这意味着负载平衡器必须位于客户端和ISE PSN之间的直接路径中。
    • 一些组织使用基于策略路由(Policy Based Routing, PBR)来完成路径,而没有在客户端和psn之间物理地定位负载均衡器。
  • 端点(客户端)必须能够直接到达每个策略服务节点(未通过VIP)进行重定向/集中式Web身份验证/邮件/邮件/本地请求者配置等。
  • 您可能想要“破解”这些证书以在SAN域中包含VIP FQDN(我的下一篇博文将介绍这个技巧)。
  • 基于调用站ID和FRAMED-IP地址执行粘性(AKA:持久性)。
  • VIP将列为所有802.1x相关AAA的每个NAD的RADIUS服务器。
  • 动态授权(COA):
    • 如果使用服务器NAT将PSN IP地址替换为VIP地址进行授权的VIP地址,则将使用VIP地址作为动态授权(COA)客户端。
    • 否则,使用PSN的真实IP地址,而不是VIP。
  • loadbalancer在ISE中被列为nad,这样它们的测试验证可能会被回答,以保持探针活动。
  • ISE使用第3层地址来识别NAD,而不是RADIUS数据包中的NAS-IP地址。这是避免鼻涕的一个重要原因。

失败情景:

  • VIP是RADIUS服务器,因此如果整个VIP已关闭,则NAD应失败到辅助数据中心VIP(列为NAD上的辅助RADIUS服务器)。
  • 在负载平衡器上使用探针以确保半径正在响应,以及HTTPS(至少)。
    • LB探针应定期向每个PSE发送测试半径消息,以确保RADIUS正在响应,而不仅仅查找打开的UDP端口。
    • LB探针还应该检查HTTPS的响应,而不仅仅是寻找开放的端口。
  • 在VIP后面使用与l2相邻的PSN的节点组。
    • 如果会话正在进程中,并且一个节点组中的一个PSN失败了,那么该节点组的另一个成员将发出CoA-reauth;强迫会话重新开始。
    • 在这一点上,LB应该已经失败的死亡PSN由于探针配置在LB;所以这个新的认证请求将到达LB并被定向到一个不同的PSN…

为什么我们不能使用源NAT(SNAT)?

负载平衡时最常见的问题之一是:“我们为什么不能使用snat?”源NAT是一般负载平衡的梦幻般的事情,但不是ise。下面列出的原因与ISE版本1.1.x有关,可能会与ISE 1.2+更改。网络访问设备(NAD)将是错误的:

原因一:

使用SNAT,源网络访问设备将显示为ISE,作为负载平衡器,而不是网络访问设备。

没有SNAT Aaron Woland.

图1 -没有SNAT

ISE使用会话化网络身份验证。这意味着ISE将与NAD一起跟踪会话,因此NAD和ISE将在端点的状态和位置上保持同步。这个环节也给了ISE NAD地址,以发送授权变更,以及端点的位置。

  • 源NAD用于许多不同的ISE策略,尤其是位置数据。
  • 如果所有节点始终似乎来自负载平衡器,而不是NAD - 我们如何知道端点的位置?

位置不像授权变更那样是个大问题,而授权变更对于成功部署至关重要。

  • ISE从第3层报头记录NAD的第3层地址。
  • 有一个RADIUS字段称为NAS-IP-Address,它将网络设备的IP地址嵌入到RADIUS报文中。
  • 然而,ISE目前没有使用该领域;因此,NAD的L3 IP地址必须是正确的,才能将“更改授权”发送到正确的设备上。
  • 如果NAD显示为负载-均衡器的IP地址,那么ISE将把授权变更发送给负载-均衡器-而不是交换机。

原因2:URL重定向和Web门户网站:

接下来,ISE 1.1.x只有一个可用于所有功能的接口。是的,ISE可以在任何ISE的四个接口上运行RADIUS,但千兆0/0接口是管理流量的唯一接口。此外,策略服务节点的FQDN嵌入到ISE 1.1.x的证书中;这就是用于WebAuth和设备注册和请求者提供的URL重定向的内容......

重定向 Aaron Woland.

图2 - 重定向

因此,当URL重定向发生,端点将需要与ISE直接交谈(不是VIP) -并到达web门户网站。portal只能存在于1.x版本的gigabitethernet 0/0接口上。(这可能会在未来的ISE版本中改变)。路由表:

原因3:

除非你为每个NAD子网添加一个静态路由到ISE,否则ISE在1.1中没有这个功能。x以通过不同的网关在不同的子网上返回流量,只有它的默认网关。因此,负载均衡器必须是ISE PSN的默认网关(或至少在路径上)。

由于负载均衡器必须是默认网关,因此所有管理流量也都流过负载均衡器,除非您在负载 - 平衡器后面的策略管理节点(PAN)和监视和故障排除节点(MNT)以及监视和故障排除节点(MNT)中也流过负载均衡器(只是不包括ServerFarm的那些)。

我希望有所帮助。

加入网络世界社区有个足球雷竞技app脸谱网linkedin对自己最关心的话题发表评论。
有关的:

Aaron Woland, CCIE No. 20113,思科系统首席工程师。他的主要工作职责包括ISE的安全访问和身份部署、解决方案增强、标准开发和未来发展。

本博客中表达的意见是亚伦Woland的意见,不一定代表思科系统。

版权所有©2012.Raybet2

了解IT领导者是如何建造网络统一的。参加CSO的网络安全和信托峰会 - 7 / 20-7 / 22