この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
Cisco Identity Services Engine(ISE)は、CLI からのみ(CLI)アプリケーションのアップグレードをサポートしています。 Cisco ISE の古いリリースはすべて、新しいリリースにアップグレードできます。 以前のリリースは、パッチがインストールされているか、メンテナンス リリースである場合があります。
(注) |
|
レプリケーション ポートは、Cisco ISE、リリース 1.2 で変更されました。プライマリ管理ノードと他のノード間でファイアウォールを導入した場合は、リリース 1.2 にアップグレードする前に次のポートを開く必要があります。
Cisco ISE、リリース 1.2 の全リストについては、『Cisco Identity Services Engine Hardware Installation』を参照してください。
アップグレードを開始する前に、次の情報を注意深く読み、そのコンフィギュレーション(バックアップ、エクスポート、スクリーン ショットの取得)を可能な限り記録してください。
仮想マシンでノードをアップグレードしたら、次のステートメントを慎重に確認してください。 リリース 1.2 にアップグレードする前に、次の変更を行う必要があります。
(注) |
次の変更を行う前に仮想マシンの電源をオフにし、変更後に電源を再投入する必要があります。 |
次の表に、リリース 1.2 にアップグレードするためにかかる推定時間を示します。 アップグレードにかかる実際の時間は、いくつかの要因によって異なります。 実稼働ネットワークは、アップグレード プロセス中にダウンタイムなしで動作し続けます。 ここに示すデータは、44 個の Cisco ISE ノード(2 個の管理ノード、2 個の監視ノード、および 40 個ポリシー サービス ノード)を含む展開からのものです。 この展開は、100,000 のエンドポイント、12,500 のユーザ。25,000 のゲスト ユーザ。100 のユーザ グループ(ユーザごとに 5 つの属性)から構成されます。 プロファイリング サービスがイネーブルになり、DHCP、HTTP、RADIUS、ネットワーク スキャン(NMAP)、DNS、SNMPQUERY のプローブが有効になりました。
展開のタイプ |
ノードのペルソナ |
アップグレードにかかる時間 |
スタンドアロン(2000 エンドポイント) | 管理、ポリシー サービス、監視 | 1 時間 20 分 |
分散(12,500 のユーザと 25,000 のエンドポイント) | セカンダリ管理 | 7 時間 |
モニタリング(Monitoring) | 4 hours(4 時間) | |
ポリシー サービス(Policy Service) | 1.5 時間 | |
管理、モニタリング | 2 時間 |
アップグレードにかかる時間に影響する要因
(注) |
仮想マシンの Cisco ISE ノードでは、リリース 1.2 にアップグレードするためにさらに時間がかかることがあります。 |
データ損失を防ぐために、アップグレード前に Cisco ISE の設定データおよびモニタリング(運用)データを手動でバックアップする必要があります。
Cisco ISE ユーザ インターフェイスでは、プライマリ管理ノードのオンデマンド バックアップを実行できます。 Cisco ISE アプリケーション、ADE-OS 設定データ、モニタリング(運用)データのバックアップを実行します。 バックアップ/復元操作では、次のリポジトリ タイプはサポートされていません。CD-ROM、HTTP、HTTPS、または TFTP。 これは、これらのリポジトリ タイプが読み取り専用であるか、またはプロトコルでファイルのリストがサポートされないためです。 分散展開では、プライマリ管理およびプライマリ モニタリング ペルソナが同じノード(アプライアンスまたは仮想マシン)で実行する場合、バックアップ用のローカル リポジトリを使用できます。 別のノード(アプライアンスまたは仮想マシン)で実行している場合、ローカル リポジトリをバックアップに使用できません。 リポジトリを作成するために CLI および GUI を使用できますが、Cisco ISE リリース 1.2 の場合、次の理由により GUI を使用することを推奨します。
(注) |
運用(モニタリング データ)のバックアップは、プライマリおよびセカンダリのモニタリング ノードからのみ取得できます。 |
Cisco ISE CLI から Cisco ISE の設定または運用データのバックアップを実行し、そのバックアップをリポジトリに保存するには、EXEC モードで backup コマンドを入力します。
(注) |
運用のバックアップは、プライマリおよびセカンダリのモニタリング ノードからのみ取得できます。 バックアップ/復元操作では、次のリポジトリ タイプはサポートされていません。CD-ROM、HTTP、HTTPS、または TFTP。 これは、これらのリポジトリ タイプが読み取り専用であるか、またはプロトコルでファイルのリストがサポートされないためです。 分散展開では、プライマリ管理およびプライマリ モニタリング ペルソナが同じノード(アプライアンスまたは仮想マシン)で実行する場合、バックアップ用のローカル リポジトリを使用できます。 別のノード(アプライアンスまたは仮想マシン)で実行している場合、ローカル リポジトリをバックアップに使用できません。 |
backup コマンドは Cisco ISE と ADE-OS コンフィギュレーション データとモニタリング データのバックアップを実行し、暗号化(ハッシュ)または暗号化プレーン テキストのパスワードのバックアップをリポジトリに保存します。
ユーザ定義の暗号キーを使用してバックアップを暗号化および復号化できます。
ise/admin# backup mybackup repository myrepository ise-config encryption-key plain Lab12345 % Creating backup with timestamped filename: backup-111125-1252.tar.gpg ise/admin#
ise/admin# backup mybackup repository myrepository ise-operational encryption-key plain Lab12345 % Creating backup with timestamped filename: backup-111125-1235.tar.gpg ise/admin#
Cisco ISE Command-Line Interface (CLI) からのみ Cisco ISE、リリース 1.2 にアップグレードできます。 スタンドアロンのアップグレードまたは 2 ノードの導入の手順については、「第 2 章、スタンドアロンおよび 2 ノード展開のリリース 1.2 へのアップグレード」を参照してください。 分散展開のアップグレード手順については、「第 3 章、分散展開を Cisco ISE、リリース 1.2 にアップグレードする」を参照してください。
スタンドアロン ノードのアップグレード プロセスは、展開のノードをアップグレードするための設定とは異なります。 Cisco ISE CLI から application upgrade コマンドを実行すると、各ノードでバックグラウンドにより次の処理が行われます。
分散展開では、アップグレード プロセスは分散展開モデルに従います。 新しいリリースにセカンダリ管理ノードをアップグレードした後、Cisco ISE は新規展開を作成します。 古い展開からのセカンダリ管理ノードが新規展開のプライマリ管理ノードになります。 古い展開の他のノードをアップグレードすると、新しい展開に結合されます。
古い展開からセカンダリ管理ノードをアップグレードすると、古い展開設定が保存され、アップグレードのプライマリ管理ノードに通知されます。 古い展開のプライマリ管理ノードがアップグレードについて他のノードに通知します。 アップグレード後に、古い展開からのノードは、新規配置のプライマリ管理ノードに参加します。 アップグレード プロセスでは、ライセンスと証明書が維持されます。 ファイルを再インストールまたは再インポートする必要はありません。 Cisco ISE、リリース 1.2 は、2 ノードの Unique Device Identifier (UDI) が含まれるライセンス ファイルをサポートします。 プライマリおよびセカンダリ管理ノードの UDI を含む新しいライセンスを要求できます。 詳細については、『Cisco Identity Services Engine Hardware Installation Guide』を参照してください。
(注) |
以前のリリースの場合とは異なり、Cisco ISE、リリース 1.2 にアップグレードするときに、展開からノードを登録解除して、新しい展開に登録する必要はありません。 CLI から application upgrade コマンドを実行すると、アップグレード ソフトウェアがノードを登録解除し、新しい展開に自動的に登録されます。 |
アップグレードは、セカンダリ管理ノードのアップグレードを開始した後で古い展開のノードのペルソナの設定を変更すると失敗します。
最初にセカンダリ管理ノードをアップグレードします。 次に、プライマ監視ノードをアップグレードし、続いてポリシー サービス ノードとインライン ポスチャ ノードをそれぞれ個別にアップグレードします。 次に、セカンダリ監視ノードをアップグレードします(古い展開に存在する場合)。 最後に、古い展開からプライマリ管理ノードをアップグレードします。 ポリシー サービス ノードでは、データベース スキーマはアップグレードされません。 その代わりに、ポリシー サービス ノードは、新規の展開のプライマリ管理ノードから新しいデータベースのコピーを取得します。
次のリリースはすべて、Cisco ISE、リリース 1.2 にアップグレードできます。
次の表に、Cisco ISE バージョンと、そのバージョンから Cisco ISE、リリース 1.2 にアップグレードするために必要な作業を示します。
Cisco.com からアップグレード バンドル( ise-upgradebundle- x.x.x.x .i386.tar.gz)をダウンロードするには、次のことを行います。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | http://www.cisco.com/go/swonly にアクセスします。 このリンクにアクセスするには、有効な Cisco.com ログイン クレデンシャルが事前に必要です。 | |
ステップ 2 | [ソフトウェア ダウンロード(Download Software for this Product)] をクリックします。 | |
ステップ 3 | アップグレード バンドルをダウンロードします。 | リリース 1.1.x からリリース 1.2 にアップグレードするには、ise-upgradebundle-1.1.x-to-1.2.0.899.i386.tar.gz をダウンロードします。 可用性の制限されたリリースからリリース 1.2 にアップグレードするには、ise-upgradebundle-1.2.0.899.x86_64.tar.gz をダウンロードします |
Cisco ISE CLI から直接アップグレードできます。 このオプションによりアプライアンスの新しい Cisco ISE ソフトウェアをインストールし、同時に情報データベースの設定とモニタリングをアップグレードできます。
application upgrade コマンドを使用するには、Cisco ISE CLI から次を入力します。
application upgrade application-bundle repository-name
以前のバージョンの Cisco ISE からリリース 1.2 に Cisco ISE モニタリング ノードがアップグレードまたは復元されると、アクティブ セッションは保持されず、0 にリセットされます。
アップグレードを続ける前に、次の展開のタイプに応じて、アップグレードの実行方法の詳細を確認するために、このマニュアルの以降の章をお読みになることをお勧めします。
アップグレードが正常に行われたかどうかを確認するには、次のいずれかを実行します。
コンフィギュレーション データベースの問題でアップグレードが失敗すると、変更は自動的にロールバックされます。 詳細については、第 4 章「Cisco ISE アップグレードの障害からの復旧」の章を参照してください。
次のタスクの詳細については、『Cisco Identity Services Engine User Guide, Release 1.2』を参照してください。
ここでは、既知のアップグレードの問題とその回避策をいくつか示します。 詳細については、『Release Notes for Cisco Identity Services Engine, Release 1.2』の「Open Caveats」セクションを参照してください。