Se você tiver apenas dois nós Cisco ISE na sua rede, não terá failover automático.

Antes de começar a gritar: “Tenho dois nós ISE e eles são redundantes…”

Sim, você tem dois nós, mas um não fará failover para o outro, deixe-me explicar.

Até recentemente, eu tinha a mesma suposição de que, tendo dois nós ISE, eu teria alta disponibilidade com failover automático. Tecnicamente, quando você implanta um único nó Cisco ISE, ele funciona no modo standalone, e se você sabe alguma coisa sobre Cisco ISE, sabe que ele tem três serviços/personas principais em execução: PAN (administração), MNT (monitoramento) e PSN (políticas). Se você instalar um segundo nó porque deseja redundância, terá uma instalação distribuída.

Em caso de falha no primeiro nó, o segundo nó não seria promovido/ativado como primário. O administrador da rede teria que promover manualmente o segundo nó como primário. Quando o problema fosse resolvido no primeiro nó, o administrador da rede teria que promover manualmente o primeiro nó novamente como primário. Muitos passos!

Na verdade, o ISE suporta failover automático para promover o PAN secundário quando o PAN primário fica indisponível. Você precisaria de pelo menos três nós ISE, onde dois nós estariam rodando como PAN (um primário e outro como secundário) e o terceiro nó estaria rodando apenas como PSN. O terceiro nó seria usado para monitorar a integridade de ambos os nós PAN. Por padrão, o failover de um nó para outro pode levar 20 minutos, mas isso pode ser ajustado.

Portanto, para ter alta disponibilidade usando o Cisco ISE com failover automático, instale pelo menos três nós.