ゼロタッチプロビジョニング(ZTP)を使用したISE 3.1のインストールとセットアップ

ゼロタッチプロビジョニング(ZTP)を使用した ISE 3.1のインストールとセットアップ

内容

概要 前提条件 要件

使用するコンポーネント

ISE 3.1ゼロタッチプロビジョニング 

VMユーザデータによるZTP ISEのインストール  ISE設定イメージによるZTP ISEのインストール 制限

概要

このドキュメントでは、ISE 3.1でゼロタッチプロビジョニング(ZTP)によってISEをインストール およびセットアップする方法について説明します。

著者：セキュリティコンサルティングエンジニア、Saravanan Manouran

前提条件

要件

次の項目に関する基本的な知識が推奨されます。

ISE

●

VMware仮想マシン

●

Ubuntu

●

使用するコンポーネント

このドキュメントの情報は、Cisco ISEバージョン3.1に基づくものです。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このド キュメントで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています

。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してく ださい。

ISE 3.1ゼロタッチプロビジョニング 

このドキュメントでは、ISE 3.1のZTPの2つのオプションについて説明します 

VMユーザデータによるZTP ISEのインストール  1.

ISE設定イメージによるZTP ISEのインストール 2.

VMユーザデータによるZTP ISEのインストール 

注：この方式は、仮想マシンでのISEのインストールでのみサポートされます。このドキュ メントではESXi 6.7を使用します。VMユーザデータによるZTP ISEのインストール方法は

、ESXi 6.5以降でのみサポートされています

ステップ1:ISE 3.1 OVAテンプレートを使用して新しいVMを導入します。

新しいVMを導入し、3.1 ISE OVAファイルを選択します  VMの名前を入力します

●

データストアの選択

●

[Thick Provision]を選択します

●

ステップ2:VMへの新しいシリアルポートの追加

注：ISEインストールログを表示するには、VMシリアルコンソールが必須です。

ステップ3：コンフィギュレーションファイルの作成 

ホスト名、IPアドレス、IPネットマスク、IPデフォルトゲートウェイ、DNSドメイン、プライマ リネームサーバ、NTPサーバ、システムタイムゾーン、SSH、ユーザ名、パスワードなどの必須 パラメータを入力します。IPV6、パッチ、ホットパッチ、サービス、リポジトリの詳細などのオ プションのパラメータもファイルに設定できます。

hostname=ise31ztp

ipv4_addr=10.122.112.188 ipv4_mask=255.255.255.0 ipv4_default_gw=10.122.112.1 domain=csslab.com

primary_nameserver=10.122.111.5 secondary_nameserver=10.122.111.6 primary_ntpserver=10.122.1.1 secondary_ntpserver=10.122.112.1 timezone=America/New_York

ssh=true username=admin

password=Iseisc00l

#Repository Configuration are optional repository_name=csslab_FTP

repository_protocol=FTP

repository_server_name=10.122.109.4 repository_path=cisco/saramano ers=true

openapi=true pxgrid=true pxGrid_Cloud=true

ステップ4：コンフィギュレーションファイルのエンコードされた文字列を取得する  https://www.base64encode.org/を使用して、手順3でコンテンツをエンコードします。 

ステップ5:ISE VMユーザデータにエンコードされた文字列を入力します 

ステップ4でエンコードされた文字列をコピーし、[VM Options] > [Advanced] > [Configuration Parameters] > [Edit Configuration] > [ADD Configuration params]に移動します

新しいパラメータguestinfo.ise.ztpを入力し、[Value]の下にコピーされたエンコードされたZTP設 定文字列を貼り付ける

ステップ6:VMの電源をオンにして、ISEセットアップのZTPが自動的に開始されます

ステップ7:CLIおよびGUIアクセスを確認する

セットアップが完了したら、管理者クレデンシャルを使用してCLIにログインし、show running- configurationコマンドを使用して設定を確認します

次に、Web GUIアクセスを確認します 

ISE設定イメージによるZTP ISEのインストール

注：.imgファイルによるZTPのセットアップは、VMおよび物理アプライアンスでの ISO/OVAインストールでサポートされます

ISE ZTP設定イメージの作成

ルートアクセスを持つubuntuマシンで次の手順1 ～ 4を実行します ステップ1:3.1ガイドからスクリプトをコピーする

ISE 3.1 ZTPガイドから変更を加えずにスクリプトをコピーします。  

#!/bin/bash

###########################################################

# This script is used to generate ise ztp image with ztp

# configuration file.

#

# Need to pass ztp configuration file as input.

#

# Copyright (c) 2021 by Cisco Systems, Inc.

# All rights reserved.

# Note:

# To mount the image use below command

# mount ise_ztp_config.img /ztp

# To mount the image from cdrom

# mount -o ro /dev/sr1 /ztp

#############################################################

if [ -z "$1" ];then

echo "Usage:$0 <ise-ztp.conf> [out-ztp.img]"

exit 1

elif [ ! -f $1 ];then echo "file $1 not exist"

exit 1 else

conf_file=$1 fi

if [ -z "$2" ] ;then image=ise_config.img else

image=$2 fi

mountpath=/tmp/ise_ztp ztplabel=ISE-ZTP rm -fr $mountpath mkdir -p $mountpath

dd if=/dev/zero of=$image bs=1k count=1440 > /dev/null 2>&1 if [ `echo $?` -ne 0 ];then

echo "Image creation failed\n"

exit 1 fi

mkfs.ext4 $image -L $ztplabel -F > /dev/null 2>&1 mount -o rw,loop $image $mountpath

cp $conf_file $mountpath/ise-ztp.conf sync

umount $mountpath sleep 1

# Check for automount and unmount

automountpath=$(mount | grep $ztplabel | awk '{print $3}') if [ -n "$automountpath" ];then

umount $automountpath fi

echo "Image created $image"

ステップ2：スクリプトを実行可能にする

この例では、Nanoを使用してシェルスクリプト(create_ztp_image.sh)を作成します。

ステップ1のスクリプトをターミナルに貼り付けます 

Ctrl+Xキーを押してファイルを保存します 

ファイルにcreate_ztp_image.shという名前を付けます。

上記のスクリプトを実行可能にします。このスクリプトは、RHEL、CentOS、またはUbuntuで実 行できます

ステップ3:ISE ZTP設定ファイルの作成

ホスト名、IPアドレス、IPネットマスク、IPデフォルトゲートウェイ、DNSドメイン、プライマ リネームサーバ、NTPサーバ、システムタイムゾーン、SSH、ユーザ名、パスワードなどの必須 パラメータを入力します。IPV6、パッチ、ホットパッチ、サービス、リポジトリの詳細などのオ プションのパラメータもファイルに設定できます。

hostname=ise31ztp_B ipv4_addr=10.122.111.54 ipv4_mask=255.255.255.0 ipv4_default_gw=10.122.111.1 domain=csslab.com

primary_nameserver=10.122.111.5 secondary_nameserver=10.122.111.6 primary_ntpserver=10.122.1.1 secondary_ntpserver=10.122.111.1 timezone=America/New_York

ssh=true username=admin password=Iseisc00l

#Repository Configuration are optional repository_name=csslab_FTP

repository_protocol=FTP

repository_server_name=10.122.109.4 repository_path=cisco/saramano ers=true

openapi=true pxgrid=true pxGrid_Cloud=true

注：実行可能ファイルと上記のZTP設定ファイルは、同じディレクトリに配置する必要があ ります。

ステップ4:ZTP設定イメージファイルを作成する 

./create_ztp_image.sh ise-ztp.conf ise31ztp.imgコマンドを使用して、ZTP設定イメージファイル を作成します

ステップ5：新しいISE VMの作成と設定

VM名を入力し、ストレージを選択します

ゲストOSの選択 

CPU、メモリ、ハードディスクなどのVMリソースの設定

VMに2つのCD/Driveデバイスを追加します。1つ目はISE ISOファイル用で、2つ目のCD/DVDド ライブはISE ZTPイメージファイルのマウント用です

新しいシリアルポートを追加します。ISEインストールログを表示するには、VMシリアルコンソ ールが必須です。 

必要な設定が完了したら、VMの電源をオンにします。

ステップ6:ISOおよびZTPイメージのマウント 

VMコンソールで、[Removable devices]を選択し、プライマリCD/DVDドライブにISE 3.1 ISOを マウントします 

ise31ztpイメージファイルを2台目のCD/DVDドライブにマウントします。

ここで、VMの電源をオフにし、再び電源をオンにします。ISEソフトウェアのインストールが開 始されます。以降のすべての手順は自動的に実行され、任意の時点で手動による介入は必要あり ません。

VMシリアルコンソールにアクセスして、ISEインストールログを表示します。ISEソフトウェア のインストール後に、セットアップが自動的にトリガーされます

上記の設定が完了すると、ISEアプリケーションが起動します。CLIにログインしてshow running- configを確認し、Web GUIアクセスを確認します

制限

ゲートウェイ、DNS、またはNTPへのpingが失敗すると、ZTPプロセスがハングします。

1.

ファイアウォールがICMPをブロックしている場合、ZTPではISEをインストールできません

。 2.

手動の方法では、ゲートウェイ、DNS、NTPなどに対してpingが失敗した場合に「No」と発音で きるため、セットアッププロセスが続行されます。ZTPでは、これは制限です。

ISE設定イメージを作成するには、Linuxサーバでルートアクセスが必要です  3.

'admin'アカウントのキーと値のペアファイルの暗号化/ハッシュされたパスワードはサポー トされていません。Plain passwordのみがサポートされます

4.