Monday, July 28, 2014

Cisco ISE - Registrando Nodes


 Uma das coisas que eu valorizo em materiais na internet é quando eles ajudam em pontos específicos de algum problema.
 Eu pressuponho que um técnico deve esgotar todas as possibilidades através dos materiais técnicos fornecidos pelos fabricantes antes de sair perguntando em Blogs. Quando se trata de Cisco, ninguém pode reclamar de material. Se alguem o faz, recomento tentar aprender algo sobre Centrais Telefonicas Philips, Ericsson,etc. Estes fabricantes sim escondem seus materiais em algum cofre dentro da empresa.
 Estou trabalhando em um projeto onde teremos um Cluster de ISEs, primario e secundário. Em uma implantação clássica, estou deixando o primário com Adminstration e Logging e o secundário com Policing. Todo o processo de configuração de um ISE é bem interessante mas não vale a pena escrever um Post sobre isso. Existem muitos materiais disponíveis na internet e eu recomendo os Videos do Lab Minutes. São definitivamente bons.
 Porém, nem sempre você conseguirá tudo o que precisa. Nuancias em seu implantação ou mesmo a forma de fazer, pode lhe trazer surpresas. E aqui entram os Post úteis, como acredito que será este.
 Existem alguns pré requisitos para registrar um novo node. O link abaixo explica ítem a ítem:

http://www.cisco.com/en/US/docs/security/ise/1.0/user_guide/ise10_dis_deploy.html#wp1145033

Ao realizar suas configurações, confira ítem a ítem e tenha certeza que você atende todos os pré requisitos. Se não entender algum deles, entenda isso como um ponto a ser melhorado e estude sobre o assunto. Mais importante que conseguir fazer é entender o que você está fazendo. Isso é fundamental para adminstrar depois de pronto.
Uma vez tendo os requitos atendidos, vamos fazer as configuraçoes.
Duas etapas importantes são:
Criar um usuário admin e colocar nos grupos super admin, rbac admin e system admin
Criar um certificado novo no ISE primário.
Eu briguei com a integração quase um dia todo sem sucesso porque não fiz isso. Usei o usuário de adminstração que eu havia criado na instalação do ISE, esse usuário está apenas no grupo system admin e também usei o certificado default do ISE.
 Esse "pulo do gato" e  os passos que colocarei abaixo, muito provavelmente lhe ajudará a ter os ISEs integrados sem maiores problemas.

 Usuários administradores podem ser criados em :

Administration > Admin Acess >Administrator.

Nesta página são listados os Administradores configurados e a possibilidade de adicionar um novo:


Na imagem acima, vemos o dashboard de criação de Administradores. O único usuário administrador que vemos, foi criado durante o setup inicial. Durante minha tentativa de registrar o segundo node, eu cheguei a usar esse usuário, porem, existe um problema com o mesmo. Como podemos ver em Admin Groups ele pertence apenas ao grupo Super Admin. De acordo com o link indicado acima, os requisitos para o usuário em questão são:
 - Super Admin, System Admin, or RBAC Admin

Desta forma, eu preferi adicionar um novo usuário e usá-lo. Lembrando que isso é necessário apenas no node secundário.




Apos preencher algumas informações básicas, temos que selecionar os grupos.

Criado  o usuário, vamos para a segunda etapa que é criar e trocar os certificados entre os nodes.
 Eu tive um outro problema aqui porque o domínio que configurei durante o setup inicial está incorreto. Ao final do processo, um certificado foi gerado e eu tentei usá-lo, porém, não aceitava por ter havido uma mudança no FQDN.
 Para resolver, criei um novo certificado em ambos os ISEs e importei.

Em Administration > Certificate vamos ter a seguinte tela:


 Para adicionar um novo Certificado, clicar em Add:





  Temos alguns parâmetros interessantes, como o TTL. Quando o certificado é criado no setup inicial, o TTL é 365. Obviamente isso não é desejável. O ideal é um tempo maior.

 A troca dos certificados criados é extremamente simples.



 Na janela onde é criado o certificado é possível ver, além do botão Add, o botão exporte. Desta forma, uma vez criado o certificado, basta fazer o Exporte do mesmo para a máquina local.
 Na janela mostrada acima, podemos ver o botão importe. Ao clicar em importe, podemos mapear o arquivo em nossa máquina e carregar.

 Concluído essas etapas, nos resta apenas sincronizar os ISEs. Para isso, vamos em:

System > Deployment


Entre com o hostname seguido do domínio. O usuário e senha é o user criado como informado acima. Pertencente aos três grupos informados.






Se tudo correr bem, a tela acima será a tela final. Temos dois ISEs integrados.

Como disse, o objetivo deste Artigo é ajudar em uma dificuldade específica. Um tutorial sobre "como subir um ISE do zero" não é produtivo. Existem muitos vídeos ótimos na Internet.
 Eu tive problemas e consegui resolver. Caso alguém tenha alguma outra dificuldade, basta informa ,podemos encontrar uma solução e adicionar ao artigo posteriormente.










Tuesday, July 8, 2014

High Availability - Com cisco WLC 5508


 Após um longo período sem escrever nada no meu blog, estou de volta e trago um assunto bem interessante para quem gosta de Wi-fi.
 Apenas um breve comentário,  Fiz algumas mudanças na minha vida profissional recentemente mas foi no intuito de adequar ao meu objetivo de focar mais e mais em Wi-fi.
 Recentemente deixei uma posição de Analista de Suporte na empresa AT&T e assumi uma posição de Consultor na empresa Promonlogicalis. Posição voltada para projetos de redes Wireless, mas estou lá para o que der e vier. Quando o assunto é tecnologia de redes, qualquer coisa me interessa.
 Em um dos meus projetos tive a necessidade de implantar um Cluster de Controllers usando HA. A partir das versões 7.3 a Cisco implantou a feature nas Wireless Lan Controllers. Até então, Controllers eram implantadas de forma independentes e na configuracao do AP, em High Availability, era feito os apontamentos para Controllers diferentes afim de conseguir a redundância.



 Obviamente, a possibilidade de Configurar o AP com até três Controllers continua nas Controllers em HA, não houve qualquer diferença nesse aspecto. Essa imagem foi retirada de uma Controller que possui suporte para HA.
  A tela acima nos dá a possibilidade de apontar os APs para até três Cluster de Controller em HA ou para um Cluster e para Controllers em Standalone e assim por diante. Depende da arquitetura que se tenha. O que estou explicando aqui é que a mudança não alterou outros aspectos já existentes.
 A função dessa feature é óbiva. Possibilitar que Controllers trabalhem no esquema Active/Standby, assim como os Firewalls ASA já fazem.
 A versão que utilizei em meu projeto é a 7.4. Nessa versão ainda não é possível fazer Client SSO, apenas AP SSO. Isso significa que a tabela de APs é totalmente replicada entre as  Controllers mas a de Client não.  Ou seja, nas versões anteriores a 7.5, se houver falha em uma Controller, os usuários conectados terão que se reconectar. O ponto positivo é que  não há um downtime dos APs. Como a reconexão de Clients é muito rápido, o ambiente se recupera com muita facilidade e rapidez.

 A configuração de High Availability é simples. Na verdade, se for comprado uma das Controllers como HA SKU, ela já será a standby por default. Caso compre duas controllers normais, veremos a frente que é preciso definir a relação Primary/Secondary.
 Antes das configurações é preciso solicitar ao time de Cabling que passe um cabo adicional interligando as duas Controllers. Esse cabo é um cado direto normal mas é exigido em ambiente com HA. As portas a serem conectadas é identificada com as letras RD de Redundanty Port, com pode ser visto abaixo:

Podemos então observar que as duas portas situadas a esquerda da Controler, possuem funções distintas sendo:
Porta superior esquerda: Service Port
Porta inferior esquerda: Redundanty Port. (Seta em Azul )

 Service Port é usado para gerenciamento da Controller. Seria como uma porta console porem com conexão IP. A Redundancy Port tem a função de "Linkar" as duas Controller que farão parte do cluster.
 A Cisco recomenda que a comunicação entre as duas Controllers para redundancia seja feita em camada dois, não é recomendado roteamento nessa comunicação. Se o projeto prever Controller em datacenters diferentes, é preciso ter um link Lan-to-Lan entre ambos possibilitando uma interligação em camada dois.
Uma vez realizado a conexão física, o próximo passo é configurar.
As Controller com suporte a HA, possui um tipo especial de Interface chamada de Redundancy Management Interface :


 Essa interface precisa ser configurada com um endereço IP. É preciso que esse IP esteja na mesma subnet da Management Interface. Em termos de endereçamento é apenas isso. Agora vamos a configuração do Cluster em si:


Na tela acima temos os parâmetros mostrados. O primeiro deles, Redundancy Management IP é o que informei na figura anterior. Quando o passo anterior for executado, nesse campo que agora aparece com um valor default de 0.0.0.0 irá aparecer com o IP previamente configurado.
 O campo Peer Redundancy Mgmt IP é o IP da outra Controller. Ou seja, é o Redundancy IP da outra Controller que fará parte do cluster. Esse apontamento precisa ser feito em ambas.
 O IP 169.x.x.x não precisa e não tem com ser alterado. A própria Controller irá preenche-lo usando os octetos do endereço adicionado em Redundancy Mgmt IP.
  Após esses passos, é preciso definir a Controller como Primary ou Secondary, caso ela não seja por default através da lincença HA-SKU.
  Apenas esclarecendo que mesmo com HA SKU, a opção de definir como primary e secondary permanece, porem, não é necessário se preocupar. No momento da sincronização, elas saberão se entender sozinhas.
  Por último temos o campo AP SSO. Apenas altere esse campo após todas as configuração prévias estiverem ok. Também é importante validar se as Controllers estejam com conectividade entre si, com o Gateway, ou seja, com a rede em geral.
 Após a alteração do AP SSO de disabled para enabled, em ambas as Controllers, elas irão rebootar e o processo de formação do Cluster terá início. Caso alguma coisa não esteja correta e impeça a sincronização, o acesso às Controller pela interface Web  irá ficar prejudicado. Eu tive esse problema e a solução foi acessar por Console e desativar o AP SSO na mão usando o comando :

config redundancy mode SSO disable

E com isso concluímos esse Post. Como pode ser visto, o processo é simples de compreender e configurar, porém, o resultado é muito vantajoso.
 Como já disse muitas e muitas vezes, rede Wireless há muito deixou de ser uma rede secundária. Impactos na rede Wireless resultam em muitos tickes abertos e muita reclamação porque afeta e muito o cotidiano das pessoas hoje em dia. Em qualquer ambiente corporativo e mesmo fora dele, as pessoas querem mais e mais estarem conectadas a rede.