First Published: February 21, 2023

Cisco ISE アップグレードの概要

このマニュアルでは、Cisco ISE アプライアンスおよび仮想マシンで Cisco Identity Services Engine(Cisco ISE)ソフトウェアをリリース 2.7 にアップグレードする方法について説明します。(『 Cisco Identity Services Engine リリース 2.7 リリースノート』の「Cisco ISE リリース 2.7 の新機能」のセクションを参照してください。)


(注)  

Cisco ISE リリース 2.3 以降では、すべての既存のネットワーク アクセス ポリシーとポリシーセットを置き換える、新しい拡張された [ポリシーセット(Policy Sets)] ページが用意されています。以前のリリースからリリース 2.3 以降にアップグレードすると、すべてのネットワーク アクセス ポリシーの設定(認証および認可の条件、ルール、ポリシー、プロファイル、および例外を含む)が Cisco ISE GUI の新しい [ポリシーセット(Policy Sets)] ウィンドウに移行されます。ポリシーモデルの詳細については、『Cisco Identity Services Engine リリース 2.6 管理者ガイド』の「新規ポリシー モデル」のセクションを参照してください。

Cisco ISE 展開環境のアップグレードは複数段階のプロセスであり、このマニュアルで指定されている順序で実行する必要があります。このマニュアルで示されている推定所要時間を使用して、最小限のダウンタイムでのアップグレードを計画してください。展開環境に含まれる複数のポリシーサービスノード(PSN)が 1 つの PSN グループに属している場合、ダウンタイムは発生しません。アップグレード対象の PSN で認証されるエンドポイントがない場合、要求はノードグループ内の別の PSN で処理されます。エンドポイントは、認証の成功後に再認証されて、ネットワークアクセス権が付与されます。


注意    

スタンドアロン展開環境または単一の PSN のみの展開環境の場合は、その PSN がアップグレードされている間、すべての認証にダウンタイムが発生する可能性があります。


(注)  

Cisco ISE リリース 3.2 以降にアップグレードすると、ルート CA の再生成がアップグレードフローで自動的に行われます。したがって、アップグレード後のルート CA の再生成は必要ありません。

さまざまなタイプの展開

  • スタンドアロンノード:管理、ポリシーサービスおよびモニターリングのペルソナを担当する単一の Cisco ISE ノード

  • マルチノード展開:複数の ISE ノードによる分散展開。

アップグレードパス

シングルステップ アップグレード

次のリリースはすべて、Cisco ISE リリース 2.7 に直接アップグレードできます。

  • Cisco ISE、リリース 2.2

  • Cisco ISE、リリース 2.3

  • Cisco ISE、リリース 2.4

  • Cisco ISE リリース 2.6

アップグレードバンドルは Cisco.com からダウンロードすることができます。リリース 2.7 では、次のアップグレードバンドルを使用できます。

ise-upgradebundle-2.x-to-2.7.0.xxx.SPA.x86_64.tar.gz:リリース 2.2、2.3、2.4 または 2.6 から 2.7 にアップグレードするには、このバンドルを使用します

2 段階のアップグレード

Cisco ISE リリース 2.2 より前のバージョンを現在使用している場合は、はじめに上記のリリースのいずれかにアップグレードしてから、リリース 2.7 にアップグレードする必要があります。

仮想マシンでサポートされるオペレーティングシステム

Cisco ISE は、Red Hat Enterprise Linux(RHEL)に基づく Cisco Application Deployment Engine オペレーティングシステム(ADE-OS)で動作します。Cisco ISE 2.7 では、ADE-OS は RHEL 7.6 に基づいています。

次の表に、Cisco ISE のさまざまなバージョンで使用される RHEL バージョンを示します。

表 1. RHEL リリース

Cisco ISE リリース

RHEL リリース

Cisco ISE 1.3

RHEL 6.4

Cisco ISE 1.4

RHEL 6.4

Cisco ISE 2.0

RHEL 7.0

Cisco ISE 2.1

RHEL 7.0

Cisco ISE 2.2

RHEL 7.0

Cisco ISE 2.3

RHEL 7.0

Cisco ISE 2.4

RHEL 7.3

Cisco ISE 2.6

RHEL 7.5

Cisco ISE 2.7

RHEL 7.6

Cisco ISE 3.2

RHEL 8.4

VMware 仮想マシン(VM)の Cisco ISE ノードをアップグレードする場合は、アップグレード後に、RHEL のサポートされるバージョンにゲスト オペレーティング システムを変更する必要があります。これを行うには、VM の電源をオフにし、サポートされる RHEL バージョンにゲスト オペレーティング システムを変更してから VM の電源をオンにする必要があります。


(注)  

[ゲスト OS RHEL 8(Guest OS RHEL 8)] および [ファームウェア EFI(Firmware EFI)] を選択した場合は、[VM オプション(VM Options)] タブで [UEFI セキュアブートの有効化(Enable UEFI Secure Boot)] オプションが無効になっていることを確認する必要があります。このオプションは、ゲスト オペレーティング システム RHEL 8 VM ではデフォルトで有効になっています。Cisco ISE VM の [UEFI セキュアブートの有効化(Enable UEFI Secure Boot)] オプションが無効であることを確認してください。

RHEL オペレーティング システム アップグレードを使用した Cisco ISE アップグレードは、通常のアップグレードプロセスよりも時間がかかる場合があります。また、Oracle データベースバージョンに変更がある場合は、オペレーティングシステム のアップグレード時に新しい Oracle パッケージがインストールされるため、アップグレードにさらに時間がかかる場合があります。

ライセンスの変更

デバイス管理ライセンス

Cisco ISE リリース 3.0 でライセンスの消費を有効にするには、Cisco Smart Software Manager(CSSM)を使用して既存のスマートライセンスか従来のライセンスを新しいライセンスタイプに変換する必要があります。

Cisco ISE 2.4 以降、デバイス管理ライセンスの数は、展開環境のデバイス管理ノード(デバイス管理サービス用に設定された PSN)の数と同じである必要があります。

現在、デバイス管理ライセンスを使用していてリリース 2.4 以降へのアップグレードを計画している場合、TACACS+ 機能はリリース 2.4 以降で 50 デバイス管理ノードに対しサポートされます。

新しい PID から生成された PAK をインストールすると、PAK ファイルで利用可能な数量に応じてデバイス管理ライセンス数が表示されます。必要なデバイス管理ノード数に基づいて、展開に複数のデバイス管理ライセンスを追加できます。Evaluation ライセンスでは、1 つのデバイス管理ノードをサポートします。

VM ノードのライセンス

Cisco ISE は、仮想アプライアンスとしても提供されています。リリース 2.4 以降では、展開に VM ノードの適切な VM ライセンスをインストールすることをお勧めします。VM ノードの数と CPU やメモリなどの各 VM ノードのリソースに基づいて、VM ライセンスをインストールする必要があります。そうでない場合、リリース 2.4 以降で VM ライセンスキーを調達してインストールする警告と通知が表示されますが、サービスは中断されません。

VM ライセンスは、インフラストラクチャ ライセンスなので、展開で使用可能なエンドポイント ライセンスに関係なく VM ライセンスをインストールできます。展開に Evaluation、Base、Plus、Apex ライセンスのどれもインストールされていない場合でも、VM ライセンスをインストールできます。ただし、Base、Plus、または Apex ライセンスによって有効になる機能を使用するには、適切なライセンスをインストールする必要があります。

リリース 2.4 以降のインストールまたはアップグレードの後、展開済みの VM ノードの数とインストール済みの VM ライセンスの数の間に不一致がある場合、アラームが 14 日ごとに [アラーム(Alarms)] ダッシュレットに表示されます。アラームは、VM ノードのリソースに変化がある場合や、VM ノードが登録または登録解除されるたびにも表示されます。

VM ライセンスは永続ライセンスです。VM ライセンスの変更は、Cisco ISE GUI にログインするたびに表示され、通知ダイアログボックスで [このメッセージを再度表示しない(Do not show this message again)] チェックボックスをオンにすると表示されなくなります。

以前に ISE VM ライセンスのいずれも購入していない場合は、『Cisco Identity Services Engine 発注ガイド』を参照して購入する適切な VM ライセンスを選択します。製品認証キー(PAK)が関連付けられていない ISE VM ライセンスを購入済みの場合、licensing@cisco.com で ISE VM 購入を反映する販売注文番号を使用して VM PAK を要求することができます。この要求は、過去に購入した ISE VM ごとに 1 つの中規模 VM ライセンスキーを提供するように処理されます。

VM ライセンスのカテゴリ

VM ライセンスは、小、中、大の 3 つのカテゴリで提供されます。これらのカテゴリは、ハードウェアアプライアンス、RAM 容量、CPU 数などのリソースによって異なります。たとえば、8 コアと 64 GB RAM を搭載した 3595 相当の VM ノードを使用している場合に、その VM で同じ機能をレプリケートするには、中カテゴリの VM ライセンスが必要になります。展開の要件に応じて、VM とそのリソースの数に基づいて、複数の VM ライセンスをインストールする必要があります。

次の表は、VM カテゴリに必要な VM 最小リソースを示しています。

VM カテゴリ

VM ライセンス仕様

  • 最小 16GB RAM および CPU 12 コア(SNS-3515 相当)。

  • 最小 32GB RAM および CPU 16 コア(SNS-3615 相当)。

  • 最小 64GB RAM および CPU 16 コア(SNS-3595 相当)。

  • 最小 96GB RAM および CPU 24 コア(SNS-3655 相当)。

  • 最小 256GB RAM および CPU 16 コア(500,000 を超える同時セッションをサポートするクラスタの MnT)。

  • 最小 256GB RAM および CPU 24 コア(SNS-3695 相当)。

ライセンスの詳細については、『Cisco Identity Services Engine 管理者ガイド』の「Cisco ISE ライセンス」の章を参照してください。

通信、サービス、およびその他の情報

  • シスコからタイムリーな関連情報を受け取るには、Cisco Profile Manager でサインアップしてください。

  • 重要な技術によりビジネスに必要な影響を与えるには、シスコサービスにアクセスしてください。

  • サービス リクエストを送信するには、シスコサポートにアクセスしてください。

  • 安全で検証済みのエンタープライズクラスのアプリケーション、製品、ソリューション、およびサービスを探して参照するには、Cisco DevNet にアクセスしてください。

  • 一般的なネットワーク、トレーニング、認定関連の出版物を入手するには、Cisco Press にアクセスしてください。

  • 特定の製品または製品ファミリの保証情報を探すには、Cisco Warranty Finder にアクセスしてください。

Cisco バグ検索ツール

Cisco バグ検索ツール(BST)は、シスコ製品とソフトウェアの障害と脆弱性の包括的なリストを管理するシスコバグ追跡システムへのゲートウェイです。BST は、製品とソフトウェアに関する詳細な障害情報を提供します。

マニュアルに関するフィードバック

シスコのテクニカルドキュメントに関するフィードバックを提供するには、それぞれのオンラインドキュメントの右側のペインにあるフィードバックフォームを使用してください。