この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
次の図に示すように、一般的な Cisco ISE 分散展開は、プライマリおよびセカンダリの管理ノードとモニタリング ノード、いくつかのポリシー サービス ノード、IPN ノードから構成されます。
上の図に示した分散展開をアップグレードするには、次の手順に従います。
Cisco ISE、リリース 1.2 へのアップグレード時には、最初にセカンダリ管理ノードをリリース 1.2 にアップグレードします。 たとえば、図 2 に示すように、1 つのプライマリ管理ノード(ノード A)、1 つのセカンダリ管理ノード(ノード B)、1 つのインライン ポスチャ ノード(IPN)(ノード C)、および 4 つのポリシー サービス ノード(PSN)(ノード D、ノード E、ノード F、およびノード G)、1 つのプライマリ モニタリング ノード(ノード H)、および 1 つのセカンダリ モニタリング ノード(ノード I)を含む展開がセットアップされている場合、次のアップグレード手順に進むことができます。
(注) |
アップグレードの前にノードを手動で登録解除する必要はありません。 application upgrade コマンドを使用してノードをリリース 1.2 にアップグレードします。 アップグレード プロセスは自動的にノードを登録解除し、新しい展開に移行します。 アップグレードの前に手動でノードの登録をキャンセルする場合は、アップグレード プロセスを開始する前に、プライマリ ノード管理用のライセンス ファイルがあることを確認します。 手元にこのファイルがない場合(たとえば、シスコ パートナー ベンダーによってライセンスはインストールされていない場合)、Cisco TAC に連絡してください。 |
アップグレード後、新規展開は次の図のようになります。
次の例は、正常なセカンダリ管理ノードのアップグレードの CLI トランスクリプトです。
ise-vm30/admin# application upgrade ise-upgradebundle-1.1.x-to-1.2.0.899.i386.tar.gz myrepository
Save the current ADE-OS running configuration? (yes/no) [yes] ? yes
Generating configuration...
Saved the ADE-OS running configuration to startup successfully
Initiating Application Upgrade...
% Warning: Do not use Ctrl-C or close this terminal window until upgrade completes.
STEP 1: Stopping ISE application...
STEP 2: De-registering node from current deployment.
STEP 3: Taking backup of the configuration data...
STEP 4: Running ISE configuration DB schema upgrade...
ISE Database schema upgrade completed.
STEP 5: Running ISE configuration data upgrade...
- Data upgrade step 1/79, ConfiguratorUpgradeService(1.2.0.155)... Done in 2 seconds.
- Data upgrade step 2/79, NSFUpgradeService(1.2.0.180)... Done in 0 seconds.
- Data upgrade step 3/79, GuestUpgradeService(1.2.0.195)... Done in 1 seconds.
- Data upgrade step 4/79, ProfilerUpgradeService(1.2.0.196)... Done in 7 seconds.
- Data upgrade step 5/79, SystemConfigUpgradeService(1.2.0.201)... Done in 0 seconds.
- Data upgrade step 6/79, NSFUpgradeService(1.2.0.217)... Done in 9 seconds.
- Data upgrade step 7/79, NSFUpgradeService(1.2.0.224)... Done in 2 seconds.
- Data upgrade step 8/79, GuestUpgradeService(1.2.0.225)... Done in 0 seconds.
- Data upgrade step 9/79, NSFUpgradeService(1.2.0.229)... Done in 0 seconds.
- Data upgrade step 10/79, ProfilerUpgradeService(1.2.0.256)... Done in 0 seconds.
- Data upgrade step 11/79, RBACUpgradeService(1.2.0.257)... Done in 14 seconds.
- Data upgrade step 12/79, ProfilerUpgradeService(1.2.0.257)... ............Done in 816 seconds.
- Data upgrade step 13/79, GuestUpgradeService(1.2.0.263)... Done in 3 seconds.
- Data upgrade step 14/79, ProfilerUpgradeService(1.2.0.265)... Done in 0 seconds.
- Data upgrade step 15/79, GuestUpgradeService(1.2.0.268)... Done in 0 seconds.
- Data upgrade step 16/79, NSFUpgradeService(1.2.0.270)... Done in 0 seconds.
- Data upgrade step 17/79, DictionaryUpgradeRegistration(1.2.0.272)... Done in 26 seconds.
- Data upgrade step 18/79, GuestUpgradeService(1.2.0.276)... Done in 0 seconds.
- Data upgrade step 19/79, NSFUpgradeService(1.2.0.281)... Done in 1 seconds.
- Data upgrade step 20/79, GuestUpgradeService(1.2.0.290)... Done in 1 seconds.
- Data upgrade step 21/79, NSFUpgradeService(1.2.0.291)... Done in 1 seconds.
- Data upgrade step 22/79, NSFUpgradeService(1.2.0.298)... Done in 0 seconds.
- Data upgrade step 23/79, PolicySetUpgradeService(1.2.0.310)... Done in 3 seconds.
- Data upgrade step 24/79, GuestUpgradeService(1.2.0.311)... Done in 0 seconds.
- Data upgrade step 25/79, GlobalExceptionUpgradeRegistration(1.2.0.311)... Done in 4 seconds.
- Data upgrade step 26/79, GuestUpgradeService(1.2.0.319)... Done in 0 seconds.
- Data upgrade step 27/79, ProfilerUpgradeService(1.2.0.319)... Done in 2 seconds.
- Data upgrade step 28/79, NetworkAccessUpgrade(1.2.0.326)... Done in 0 seconds.
- Data upgrade step 29/79, GuestUpgradeService(1.2.0.341)... Done in 2 seconds.
- Data upgrade step 30/79, NSFUpgradeService(1.2.0.344)... Done in 0 seconds.
- Data upgrade step 31/79, RBACUpgradeService(1.2.0.344)... Done in 38 seconds.
- Data upgrade step 32/79, NSFUpgradeService(1.2.0.349)... Done in 0 seconds.
- Data upgrade step 33/79, AuthzUpgradeService(1.2.0.351)... Done in 0 seconds.
- Data upgrade step 34/79, RegisterPostureTypes(1.2.0.363)... ..Done in 121 seconds.
- Data upgrade step 35/79, NSFUpgradeService(1.2.0.366)... Done in 0 seconds.
- Data upgrade step 36/79, NetworkAccessUpgrade(1.2.0.366)... Done in 2 seconds.
- Data upgrade step 37/79, GuestUpgradeService(1.2.0.370)... Done in 1 seconds.
- Data upgrade step 38/79, NSFUpgradeService(1.2.0.379)... Done in 0 seconds.
- Data upgrade step 39/79, AuthzUpgradeService(1.2.0.391)... Done in 0 seconds.
- Data upgrade step 40/79, GuestUpgradeService(1.2.0.400)... Done in 0 seconds.
- Data upgrade step 41/79, NSFUpgradeService(1.2.0.420)... Done in 0 seconds.
- Data upgrade step 42/79, NSFUpgradeService(1.2.0.430)... Done in 0 seconds.
- Data upgrade step 43/79, RBACUpgradeService(1.2.0.445)... Done in 26 seconds.
- Data upgrade step 44/79, GuestUpgradeService(1.2.0.478)... Done in 0 seconds.
- Data upgrade step 45/79, RBACUpgradeService(1.2.0.481)... Done in 1 seconds.
- Data upgrade step 46/79, CertMgmtUpgradeService(1.2.0.485)... Done in 1 seconds.
- Data upgrade step 47/79, ProfilerUpgradeService(1.2.0.495)... Done in 0 seconds.
- Data upgrade step 48/79, RBACUpgradeService(1.2.0.496)... Done in 9 seconds.
- Data upgrade step 49/79, NSFUpgradeService(1.2.0.500)... Done in 0 seconds.
- Data upgrade step 50/79, NetworkAccessUpgrade(1.2.0.585)... Done in 4 seconds.
- Data upgrade step 51/79, GuestUpgradeService(1.2.0.618)... Done in 1 seconds.
- Data upgrade step 52/79, NetworkAccessUpgrade(1.2.0.621)... Done in 2 seconds.
- Data upgrade step 53/79, NSFUpgradeService(1.2.0.624)... Done in 0 seconds.
- Data upgrade step 54/79, NetworkAccessUpgrade(1.2.0.625)... Done in 0 seconds.
- Data upgrade step 55/79, VendorUpgradeRegistration(1.2.0.638)... Done in 0 seconds.
- Data upgrade step 56/79, CertMgmtUpgradeService(1.2.0.665)... Done in 1 seconds.
- Data upgrade step 57/79, ProfilerUpgradeService(1.2.0.700)... Done in 0 seconds.
- Data upgrade step 58/79, RegisterPostureTypes(1.2.0.706)... Done in 1 seconds.
- Data upgrade step 59/79, NetworkAccessUpgrade(1.2.0.708)... Done in 0 seconds.
- Data upgrade step 60/79, GuestUpgradeService(1.2.0.716)... Done in 1 seconds.
- Data upgrade step 61/79, NetworkAccessUpgrade(1.2.0.716)... Done in 1 seconds.
- Data upgrade step 62/79, RegisterPostureTypes(1.2.0.728)... Done in 1 seconds.
- Data upgrade step 63/79, NSFUpgradeService(1.2.0.729)... Done in 0 seconds.
- Data upgrade step 64/79, AuthzUpgradeService(1.2.0.729)... Done in 1 seconds.
- Data upgrade step 65/79, GuestUpgradeService(1.2.0.737)... Done in 0 seconds.
- Data upgrade step 66/79, NetworkAccessUpgrade(1.2.0.738)... Done in 0 seconds.
- Data upgrade step 67/79, GuestUpgradeService(1.2.0.747)... Done in 10 seconds.
- Data upgrade step 68/79, NSFUpgradeService(1.2.0.754)... Done in 0 seconds.
- Data upgrade step 69/79, RBACUpgradeService(1.2.0.757)... Done in 34 seconds.
- Data upgrade step 70/79, NetworkAccessUpgrade(1.2.0.762)... Done in 0 seconds.
- Data upgrade step 71/79, NetworkAccessUpgrade(1.2.0.764)... Done in 0 seconds.
- Data upgrade step 72/79, NetworkAccessUpgrade(1.2.0.774)... Done in 0 seconds.
- Data upgrade step 73/79, NSFUpgradeService(1.2.0.775)... Done in 0 seconds.
- Data upgrade step 74/79, NSFUpgradeService(1.2.0.826)... Done in 0 seconds.
- Data upgrade step 75/79, GuestUpgradeService(1.2.0.852)... .......Done in 445 seconds.
- Data upgrade step 76/79, ProfilerUpgradeService(1.2.0.866)... Done in 0 seconds.
- Data upgrade step 77/79, CertMgmtUpgradeService(1.2.0.873)... Done in 0 seconds.
- Data upgrade step 78/79, NSFUpgradeService(1.2.0.881)... Done in 0 seconds.
- Data upgrade step 79/79, GuestUpgradeService(1.2.0.882)... Done in 2 seconds.
STEP 6: Running ISE configuration data upgrade for node specific data...
STEP 7: Making this node PRIMARY of the new deployment. When other nodes are upgraded it will be added to this deployment.
STEP 8: Running ISE MnT DB upgrade...
Upgrading Session Directory...
Completed.
- Mnt Schema Upgrade completed, executing sanity check...
% Mnt Db Schema Sanity success
Generating Database statistics for optimization ....
- Preparing database for 64 bit migration...
% NOTICE: The appliance will reboot twice to upgrade software and ADE-OS to 64 bit. During this time progress of the upgrade is visible on console. It could take up to 30 minutes for this to complete.
Rebooting to do Identity Service Engine upgrade...
次の例は、正常な PSN(モニタリング)ノードのアップグレードの CLI トランスクリプトです。
ise-vm31/admin# application upgrade ise-upgradebundle-1.1.x-to-1.2.0.899.i386.tar.gz myrepository
Save the current ADE-OS running configuration? (yes/no) [yes] ? yes
Generating configuration...
Saved the ADE-OS running configuration to startup successfully
Initiating Application Upgrade...
% Warning: Do not use Ctrl-C or close this terminal window until upgrade completes.
STEP 1: Stopping ISE application...
STEP 2: De-registering node from current deployment.
STEP 3: Taking backup of the configuration data...
STEP 4: Registering this node to primary of new deployment...
STEP 5: Downloading configuration data from primary of new deployment...
STEP 6: Importing configuration data...
STEP 7: Running ISE configuration data upgrade for node specific data...
STEP 8: Running ISE MnT DB upgrade...
Upgrading Session Directory...
Completed.
- Mnt Schema Upgrade completed, executing sanity check...
% Mnt Db Schema Sanity success
Generating Database statistics for optimization ....
- Preparing database for 64 bit migration...
% NOTICE: The appliance will reboot twice to upgrade software and ADE-OS to 64 bit. During this time progress of the upgrade is visible on console. It could take up to 30 minutes for this to complete.
Rebooting to do Identity Service Engine upgrade...
Cisco ISE、リリース 1.2 に直接インライン ポスチャ ノードをアップグレードできません。 Cisco ISE 3300 シリーズ アプライアンスのイメージを再作成して、そこに ISE-IPN 1.2 ISO をインストールする必要があります。 このセクションでは、リリース 1.2 に IPN ノードをアップグレードする手順について説明します。
インライン ポスチャ ノードのアクティブ/スタンバイ ペアをリリース 1.2 にアップグレードするには、まず高可用性ペアをキャンセルし、ISE-IPN 1.2 ISO イメージを再作成してノードにインストールします。
サポートされるいずれかのアプライアンス プラットフォームで ISE-IPN 1.2 ISO イメージをインストールし、セットアップ プログラムを実行した後、展開に追加する前に、インライン ポスチャ ノードの証明書を設定する必要があります。
Cisco ISE の展開に IPN を追加する前に、IPN はプライマリ管理ノードを認定した同じ CA から認定されることが必要です。
IPN の CLI にログインする必要があります。
DER または Base-64 形式の署名付き証明書をダウンロードし、FTP サーバにコピーします。
インライン ポスチャ ノードで証明書署名要求(CSR)を生成し、CA に送る必要があります。
ステップ 1 |
インライン ポスチャ ノードの CLI から次のコマンドを入力します。 copy ftp:// a.b.c.d/ipep1.cer disk: a.b.c.d は FTP サーバの IP アドレス、 ipep1.cer は IPN ノードに追加する CA 署名付き証明書です。 |
ステップ 2 | FTP サーバのユーザ名とパスワードを入力します。 |
インライン ポスチャ ノードに署名付き証明書を追加します。
ここでは、古いアプライアンスを Cisco ISE 3400 シリーズ アプライアンスと交換する方法について説明します。
ここでは、Cisco ISE 1.1. x ノードを新しい Cisco ISE、リリース 1.2 アプライアンスと交換する場合に、リリース 1.2 にアップグレードするときに、必要な手順を説明します。 管理ノードおよびモニタリング ノードのみをプライマリ ロールおよびセカンダリ ロールでハイ アベイラビリティ用に設定できます。 ロード バランシングとフェールオーバーの目的で、ポリシー サービス ノードをグループ化できます。
アプライアンスを新しい SNS-3400 シリーズ アプライアンスと交換する場合は、プライマリとセカンダリの管理ノードとして設定する新しい SNS-3400 シリーズのアプライアンスの UDI を使用してライセンスを取得します。
ステップ 1 |
既存のセカンダリ管理ノードをリリース 1.2 にアップグレードします。 このノードは自動的に、古い展開から自身の登録を解除し、新しいプライマリ管理ノードになります。 |
ステップ 2 | 「分散展開」セクションの「ノードのアップグレード」の説明に従って、新規導入の監視、ポリシー、インライン ポスチャ、プライマリ管理のノードをアップグレードします。 |
ステップ 3 | 交換する古いアプライアンスのノードを登録解除します。 |
ステップ 4 | 新規インストールを実行し、新しい Cisco ISE、リリース 1.2 アプライアンスを、新規のプライマリ管理ノードでを登録します。 詳細については、『Cisco Identity Services Engine Hardware Installation Guide, Release 1.2』および『Cisco Identity Services Engine User Guide, Release 1.2』を参照してください。 |
ステップ 5 | 新しい SNS-3400 シリーズ アプライアンスの 1 つを新しいプライマリ管理 ISE ノードに昇格させます。 新しいアプライアンスの UDI で取得したライセンスをインストールします。 |
ここでは、リリース 1.2 にアップグレードする場合に、すべての Cisco ISE、リリース 1.1. x ノードを新しい SNS-3400 シリーズ アプライアンスに交換するために必要な手順について説明しています。 管理ノードおよびモニタリング ノードのみをプライマリ ロールおよびセカンダリ ロールでハイ アベイラビリティ用に設定できます。 ロード バランシングとフェールオーバーの目的で、ポリシー サービス ノードをグループ化できます。
プライマリおよびセカンダリの管理ノードとして設定する新しい SNS-3400 シリーズ アプライアンスの UDI を使用してライセンスを取得します。
ステップ 1 | Cisco ISE の設定データおよびモニタリング データのバックアップを実行します。 |
ステップ 2 | 新規インストールを実行し、新規展開でプライマリ管理ノードにする新しい SNS-3400 シリーズのアプライアンスの 1 つを設定します。 詳細については、『Cisco Identity Services Engine Hardware Installation Guide, Release 1.2』を参照してください。 |
ステップ 3 | 新しいプライマリおよびセカンダリ管理ノード(SNS-3400 シリーズ アプライアンス)の UDI に基づいて、新規展開のプライマリ管理ノードにライセンスをインストールします。 |
ステップ 4 | 新規展開のプライマリ ノードで Cisco ISE 設定を復元します。 |
ステップ 5 | モニタリング ノードとして指定するアプライアンスで、新規インストールを実行し、モニタリングのバックアップを復元して、新規展開のプライマリ管理ノードに登録します。 |
ステップ 6 | 新規インストールを実行し、新規展開のプライマリ管理ノードに他の SNS-3400 シリーズ アプライアンスを登録して、プライマリ管理ノードのユーザ インターフェイスから設定を行います。 詳細については、『Cisco Identity Services Engine Hardware Installation Guide, Release 1.2』および『Cisco Identity Services Engine User Guide, Release 1.2』を参照してください。 |