Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit comment utiliser la sauvegarde des données de configuration à la demande et des données d'opération de Identity Service Engine (ISE).
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Une autre stratégie clé pour garantir la disponibilité d'ISE dans l'environnement consiste à avoir une stratégie de sauvegarde solide. Il existe deux types de sauvegardes ISE : sauvegarde de configuration et sauvegarde opérationnelle.
Cisco ISE vous permet de sauvegarder des données à partir du PAN principal et du noeud Surveillance. La sauvegarde peut être effectuée à partir de l'interface de ligne de commande ou de l'interface utilisateur.
Données de configuration : contient des données de configuration du système d'exploitation ADE Cisco et propres à l'application. La sauvegarde peut être effectuée via le PAN principal à l'aide de l'interface utilisateur graphique ou de l'interface de ligne de commande.
Données opérationnelles : contient des données de surveillance et de dépannage. La sauvegarde peut être effectuée via l'interface utilisateur graphique PAN principale ou à l'aide de l'interface de ligne de commande du noeud Surveillance.
Les sauvegardes sont stockées dans un référentiel et peuvent être restaurées à partir du même référentiel. Vous pouvez planifier l'exécution automatique des sauvegardes ou les exécuter manuellement à la demande. Vous pouvez afficher l'état d'une sauvegarde à partir de l'interface utilisateur graphique ou de l'interface de ligne de commande, mais vous ne pouvez afficher l'état d'une restauration qu'à partir de l'interface de ligne de commande.
Attention : Cisco ISE ne prend pas en charge les snapshots VMware pour la sauvegarde des données ISE. L'utilisation d'instantanés VMware ou d'une sauvegarde tierce pour sauvegarder les données ISE entraîne l'arrêt des services Cisco ISE.
Étape 1. Configurer un référentiel référez-vous Comment configurer le référentiel sur ISE
Étape 2. Connectez-vous à ISE, accédez à Administration > System > Backup & Restore, sélectionnez Configuration Data Backup, cliquez sur Backup Now, comme indiqué dans l'image :
Étape 3. Fournissez Nom de sauvegarde, Nom de référentiel et Clé de chiffrement, puis cliquez sur Sauvegarde.
Conseil: vérifiez que vous vous souvenez de la clé de chiffrement.
Note: La sauvegarde de configuration ISE contient des certificats système et approuvés et ne contient pas de certificats d'autorité de certification interne.
Afin de sauvegarder le magasin interne de l'autorité de certification (AC) manuellement à partir de l'interface de ligne de commande ISE. Connectez-vous au noeud d'administration principal ISE (PAN) via SSH et exécutez l'application de commande configure ise > sélectionnez l'option 7 pour exporter le magasin CA interne.
ise/admin# application configure ise Selection configuration option [1]Reset M&T Session Database [2]Rebuild M&T Unusable Indexes [3]Purge M&T Operational Data [4]Reset M&T Database [5]Refresh Database Statistics [6]Display Profiler Statistics [7]Export Internal CA Store [8]Import Internal CA Store [9]Create Missing Config Indexes [10]Create Missing M&T Indexes [11]Enable/Disable ACS Migration [12]Generate Daily KPM Stats [13]Generate KPM Stats for last 8 Weeks [14]Enable/Disable Counter Attribute Collection [15]View Admin Users [16]Get all Endpoints [17]Enable/Disable Wifi Setup [18]Reset Config Wifi Setup [19]Establish Trust with controller [20]Reset Context Visibility [21]Synchronize Context Visibility With Database [22]Generate Heap Dump [23]Generate Thread Dump [24]Force Backup Cancellation [25]CleanUp ESR 5921 IOS Crash Info Files [0]Exit 7 Export Repository Name: FTP-Repo Enter encryption-key for export: Security Protocol list Start Inside Session facade init Old Memory Size : 7906192 Old Memory Size : 7906192 Export in progress... Old Memory Size : 7906192 The following 5 CA key pairs were exported to repository 'FTP-Repo' at 'ise_ca_key_pairs_of_ise': Subject:CN=Certificate Services Root CA - ise Issuer:CN=Certificate Services Root CA - ise Serial#:0x08f06033-2a4c4fcc-b297e75a-04f11bf9 Subject:CN=Certificate Services Node CA - ise Issuer:CN=Certificate Services Root CA - ise Serial#:0x3a0e8d8a-5a2846be-a902c280-b5d678aa Subject:CN=Certificate Services Endpoint Sub CA - ise Issuer:CN=Certificate Services Node CA - ise Serial#:0x33b14150-596c4552-ad0a9ab1-9541f0bb Subject:CN=Certificate Services Endpoint RA - ise Issuer:CN=Certificate Services Endpoint Sub CA - ise Serial#:0x37e17494-cf1d4372-bf0ba1e6-83653826 Subject:CN=Certificate Services OCSP Responder - ise Issuer:CN=Certificate Services Node CA - ise Serial#:0x68a694ed-bc48481d-bc6cc58e-60a44a61 ise CA keys export completed successfully
Étape 1. Configurer un référentiel référez-vous Comment configurer le référentiel sur ISE
Étape 2. Connectez-vous à l'interface de ligne de commande du noeud PAN et exécutez la commande suivante :
backup <nom du fichier de sauvegarde> référentiel <nom du référentiel> ise-config encryption-key plain <clé de chiffrement>
ise/admin# backup ConfigBackup-CLI repository FTP-Repo ise-config encryption-key plain% Internal CA Store is not included in this backup. It is recommended to export it using "application configure ise" CLI command % Creating backup with timestamped filename: ConfigBackup-CLI-CFG10-200326-0705.tar.gpg % backup in progress: Starting Backup...10% completed % backup in progress: Validating ISE Node Role...15% completed % backup in progress: Backing up ISE Configuration Data...20% completed % backup in progress: Backing up ISE Indexing Engine Data...45% completed % backup in progress: Backing up ISE Logs...50% completed % backup in progress: Completing ISE Backup Staging...55% completed % backup in progress: Backing up ADEOS configuration...55% completed % backup in progress: Moving Backup file to the repository...75% completed % backup in progress: Completing Backup...100% completed ise/admin#
Étape 1. Configurer un référentiel référez-vous Comment configurer le référentiel sur ISE
Étape 2. Lancer une sauvegarde opérationnelle ISE.
Connectez-vous à l'interface utilisateur graphique ISE, accédez à Administration > System > Backup & Restore, sélectionnez Operational Data Backup, cliquez sur Backup Now, comme illustré dans l'image :
Étape 3. Fournissez Nom de sauvegarde, Nom de référentiel et Clé de chiffrement, puis cliquez sur Sauvegarde.
Conseil: vérifiez que vous vous souvenez de la clé de chiffrement.
Étape 1.Configurez un référentiel référez-vous à Configuration du référentiel sur ISE
Étape 2. Connectez-vous à l'interface de ligne de commande du noeud MNT principal et exécutez la commande suivante :
backup <nom du fichier de sauvegarde> référentiel <nom du référentiel> ise-opérationnel encryption-key plain <clé de chiffrement>
ise/admin# backup Ops-Backup-CLI repository FTP-Repo ise-operational encryption-key plain <backup password> % Creating backup with timestamped filename: Ops-Backup-CLI-OPS10-200326-0719.tar.gpg % backup in progress: Starting Backup...10% completed % backup in progress: starting dbbackup using expdp.......20% completed % backup in progress: starting cars logic.......50% completed % backup in progress: Moving Backup file to the repository...75% completed % backup in progress: Completing Backup...100% completed ise/admin#
Accédez à Administration > System > Backup & Restore pour afficher la progression de la sauvegarde des données de configuration, comme illustré dans l'image :
Naviguez jusqu’à Administration > System > Backup & Restore Afin d’examiner la progression de la sauvegarde des données opérationnelles , comme illustré dans l’image :
Vous pouvez également vérifier la progression de la sauvegarde de configuration à partir de l'interface de ligne de commande du noeud PAN.
ise/admin# show backup status %% Configuration backup status %% ---------------------------- % backup name: ConfigBackup-CLI % repository: FTP-Repo % start date: Thu Mar 26 07:05:11 IST 2020 % scheduled: no % triggered from: CLI % host: % status: Backup is in progress % progress %: 50 % progress message: Backing up ISE Logs %% Operation backup status %% ------------------------ % No data found. Try 'show backup history' or ISE operation audit report ise/admin#
Une fois la sauvegarde terminée, vous pouvez voir l'état de la sauvegarde comme réussite.
Assurez-vous que le service ISE Indexing Engine est exécuté sur les noeuds d'administration ISE.
ise-1/admin# show application status ise ISE PROCESS NAME STATE PROCESS ID -------------------------------------------------------------------- Database Listener running 15706 Database Server running 89 PROCESSES Application Server running 25683 Profiler Database running 23511 ISE Indexing Engine running 28268 AD Connector running 32319 M&T Session Database running 23320 M&T Log Processor running 16272
Pour déboguer la restauration de sauvegarde sur ISE, utilisez les débogages suivants :
ise-1/admin# debug backup-restore backup ? <0-7> Set level, from 0 (severe only) to 7 (all) <cr> Carriage return. ise-1/pan# debug backup-restore backup 7 ise-1/pan#
ise-1/pan# 6 [25683]:[info] backup-restore:backup: br_history.c[549] [system]: ISE backup/restore initiated by web UI as ise.br.status is 'in-progress' in /tmp/ise-cfg-br-flags
7 [25683]:[debug] backup-restore:backup: br_backup.c[600] [system]: initiating backup Config-Backup to repos FTP-Repo
7 [25683]:[debug] backup-restore:backup: br_backup.c[644] [system]: no staging url defined, using local space
7 [25683]:[debug] backup-restore:backup: br_backup.c[60] [system]: flushing the staging area
7 [25683]:[debug] backup-restore:backup: br_backup.c[673] [system]: creating /opt/backup/backup-Config-Backup-1587431770
7 [25683]:[debug] backup-restore:backup: br_backup.c[677] [system]: creating /opt/backup/backup-Config-Backup-1587431770/backup/cars
7 [25683]:[debug] backup-restore:backup: br_backup.c[740] [system]: creating /opt/backup/backup-Config-Backup-1587431770/backup/ise
7 [25683]:[debug] backup-restore:backup: br_backup.c[781] [system]: calling script /opt/CSCOcpm/bin/isecfgbackup.sh
6 [25683]:[info] backup-restore:backup: br_backup.c[818] [system]: adding ADEOS files to backup
6 [25683]:[info] backup-restore:backup: br_backup.c[831] [system]: Backup password provided by user
6 [25683]:[info] backup-restore:backup: br_backup.c[190] [system]: No post-backup entry in the manifest file for ise
7 [25683]:[debug] backup-restore:backup: br_backup.c[60] [system]: flushing the staging area
6 [25683]:[info] backup-restore:backup: br_backup.c[912] [system]: backup Config-Backup-CFG10-200421-0646.tar.gpg to repository FTP-Repo: success
6 [25683]:[info] backup-restore:backup: br_history.c[487] [system]: updating /tmp/ise-cfg-br-flags with status: complete and message: backup Config-Backup-CFG10-200421-0646.tar.gpg to repository FTP-Repo: success
Utilisez no debug backup-restore backup 7 pour désactiver les débogages sur le noeud.
ise-1/admin# no debug backup-restore backup 7