Cisco ISE ที่เรานิยมใช้กันในองค์กรเพื่อเป็น AAA Server ถือเป็นหัวใจสำคัญของระบบเครือข่ายยุคใหม่แบบ Zero-Trust เลยก็ว่าได้ เพราะเมื่อองค์กรมีมาตรฐานในการควบคุมการเข้าถึงข้อมูล—ไม่ว่าจะเป็นพนักงาน, อุปกรณ์, หรืองานบริการต่าง ๆ—ISE จะเป็นตัวคอยยืนยันตัวตน (Authentication), ตรวจสิทธิ์ (Authorization) และเก็บข้อมูลการใช้งาน (Accounting) ทั้งหมดแบบเป็นระบบเดียว
ซึ่งปัญหาคือถ้าเรามี ISE ตัวเดียวเป็น Stand Alone ถ้าระบบ Cisco ISE ของเรา Down ลงไปและใช้งานไม่ได้ก็จะส่งผลให้ทั้งองค์กรของเรา Authen ไม่ได้ไปด้วย เพราะฉะนั้นการทำ High Available (HA) ด้วยการใช้งาน Cisco ISE 2 ตัวทำเป็น Primary และ Secondary Node เพื่อให้การใช้งานมีสเถียรภาพมากขึ้น
บทความนี้จะพาเราทำ Cisco ISE HA deployment แบบ Step by Step เลยครับ
สิ่งที่ต้องเตรียมก่อนเริ่ม
- Cisco ISE ทั้งสองตัวต้อง Version และ Patch เดียวกัน
- DNS ของทั้งสองฝั่งต้องสามารถ Solve ชื่อกันได้
- NTP ควรจะใช้อันที่ตรงกันเพื่อป้งกันปัญหาการ Sync
- เตรียม Password ของ Cisco ISE ตัวที่ 2
Step 1 – เข้าไปที่ Cisco ISE ตัวที่จะเป็น Primary Node ของเรา ไปที่เมนู Administration > System > Deployment
ในหน้านี้เราจะเห็นมีแค่ Node เดียวคือ DC1-ISE01 โดยด้านบนให้เรากด Register เพื่อใช้เพิ่ม Node ที่ 2 เข้ามาครับ
Step 2 – เมือเราเข้ามา Register ISE Node ขั้นแรก เราจะต้องระบุ Host FQDN และ Credentials ของ Node 2 ที่เราจะเพิ่มเข้ามา จากนั้นกด Next
Step 3 – จากขั้นตอนที่แล้ว เราจะเห็นข้อมูลสรุปของ Node ที่เราจะเพ่มมาที่ General Settings และในช่อง Monitoring จะมี Drop Down ให้เลือก Role โดยเราจะเลือกตัวที่สองเป็น Secondary เพื่อบอกว่าเป็น Cisco ISE Node ที่ 2 ของเรา จากนั้นให้เรากด Save
Step 4 – เมือเรากด Save จากขั้นตอนที่แล้วเราถ้าตั้งค่าถูกต้องเราจะเห็น Node ที่ 2 ขึ้นมา และจะใช้เวลา Sync สักครู่
Step 5 – เมื่อ Deployment สำเร็จ Node Status จะเป็นเครื่องหมาย ถูกสีเขียว แต่ถ้าไม่สำเร็จจะเป็นเครื่องหมายกากบาทสีแดง ถึงตรงนี้เท่ากับว่าเราตั้ง HA ISE ของเรา เสร็จสมบูรณ์แล้วครับ
เมื่อทำเสร็จ ISE ทั้งสองตัวจะทำงานร่วมกันแบบมี Redundancy: Primary จะเป็นตัวกลางในการบริหารระบบ ส่วน Secondary จะ Sync ข้อมูลตามแบบเรียลไทม์และพร้อมรับหน้าที่ทันทีหากฝั่งหลักมีปัญหา ซึ่งทั้งหมดนี้ช่วยให้ระบบ AAA ขององค์กรมีความเสถียร, ปลอดภัย และพร้อมใช้งานอยู่เสมอ แม้จะต้องทำ Maintenance หรือเกิดเหตุขัดข้องใด ๆ ก็ตาม
หวังว่าบทความนี้จะเป็นประโยชน์และแนวทางสำหรับผู้ใช้งาน Cisco ISE ไม่มากก็น้อยนะครับ หากมีปัญหาหรือข้อสงสัยสามารถติดต่อสอบถามข้อมูลเพิ่มเติมได้เลยครับ
