EXEC モードで開始される Cisco ISE CLI セッション
Cisco ISE CLI でセッションを開始する場合、EXEC モードから始めます。EXEC モードでは、Cisco ISE サーバーのすべてにアクセスしてシステム レベルの設定を実行し、操作ログを生成する権限があります。
この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、EXEC モードで使用される Cisco ISE コマンドライン インターフェイス(CLI)コマンドについて説明します。この章では、コマンドごとに、その使用方法の簡単な説明、コマンドの構文、使用上のガイドライン、および使用例を示します。
Cisco ISE CLI でセッションを開始する場合、EXEC モードから始めます。EXEC モードでは、Cisco ISE サーバーのすべてにアクセスしてシステム レベルの設定を実行し、操作ログを生成する権限があります。
(注) |
application install コマンドは、ホットパッチのインストールにのみ使用する必要があります。 |
Cisco ISE 以外の特定のアプリケーションをインストールするには、EXEC モードで application install コマンドを使用します。Cisco ISE 以外のアプリケーションを削除するには、application remove コマンドを使用します。
application [ install {application-bundle} {remote-repository-name}]
install |
特定のアプリケーションをインストールします。 |
application-bundle |
アプリケーション バンドルのファイル名。255 文字までの英数字で指定します。 |
remote-repository-name |
リモート リポジトリ名。255 文字までの英数字で指定します。 |
デフォルトの動作や値はありません。
EXEC
リリース |
変更内容 |
---|---|
2.0.0.306 |
このコマンドが導入されました。 |
指定したアプリケーション バンドルをアプライアンスにインストールします。アプリケーション バンドル ファイルは、指定したリポジトリから取得されます。
アプリケーションをインストールまたは削除している間に、application install コマンドや application remove コマンドを別に発行すると、次の警告メッセージが表示されます。
An existing application install, remove, or upgrade is in progress. Try again shortly.
ise/admin# application install ise-hotpatch-appbundle-x.x.tar.gz myrepository
Do you want to save the current configuration? (yes/no) [yes]? yes
Generating configuration...
Saved the running configuration to startup successfully
Initiating Application installation...
Extracting ISE database content...
Starting ISE database processes...
Restarting ISE database processes...
Creating ISE M&T session directory...
Performing ISE database priming...
Application successfully installed
ise/admin#
EXEC モード application configure でコマンドを使用して、次のことを行います。
M&T 操作の実行
プロファイラに関連する統計情報の更新と表示
Cisco ISE CA 証明書とキーをバックアップおよび復元するためのエクスポートとインポートのオプション
主要業績メトリックス(KPM)統計情報の生成
ISE カウンタ属性データの収集の有効化と無効化
application [ configure {application-name}]
configure |
特定のアプリケーションを設定します。 |
application-name |
アプリケーションの名前。255 文字までの英数字で指定します。 |
デフォルトの動作や値はありません。
EXEC
リリース |
変更内容 |
---|---|
2.0.0.306 |
このコマンドが導入されました。 |
3.0 |
ワイヤレス設定のサポートが削除されました。 |
このコマンドを使用して、M&T データベースとインデックスの更新のほか、Cisco ISE ノードでの Cisco ISE CA 証明書とキーのエクスポートおよびインポート、主要業績メトリックス(KPM)統計情報の生成、および ISE カウンタ属性データの収集の有効化と無効化を行うことができます。
ise/admin# application configure ise
Selection configuration option
[1]Reset M&T Session Database
[2]Rebuild M&T Unusable Indexes
[3]Purge M&T Operational Data
[4]Reset M&T Database
[5]Refresh Database Statistics
[6]Display Profiler Statistics
[7]Export Internal CA Store
[8]Import Internal CA Store
[9]Create Missing Config Indexes
[10]Create Missing M&T Indexes
[12]Generate Daily KPM Stats
[13]Generate KPM Stats for last 8 Weeks
[14]Enable/Disable Counter Attribute Collection
[15]View Admin Users
[16]Get all Endpoints
[19]Establish Trust with controller
[20]Reset Context Visibility
[21]Synchronize Context Visibility With Database
[22]Generate Heap Dump
[23]Generate Thread Dump
[24]Force Backup Cancellation
[25]Recreate undotablespace
[26]Configure TCP params
[27]Reset Upgrade Tables and Proceed with upgrade
[28]Recreate Temp tablespace
[29]Clear Sysaux tablespace
[30]Fetch SGA/PGA Memory usage
[31]Generate Self-Signed Admin Certificate
[32]View Certificates in NSSDB or CA_NSSDB
[33]Enable/Disable/Current_status of RSA_PSS signature for EAP-TLS, select preferred option from the following
E|e - To Enable RSA-PSS signature for EAP-TLS
D|d - To Disable RSA-PSS signature for EAP-TLS
C|c - To show current status of RSA-PSS signature for EAP-TLS
[0]Exit
(注) |
Cisco ISE 3.0 以降では、ワイヤレス設定(Wi-Fi 設定)がサポートされていません。 |
(注) |
Cisco ISE 3.1 以降では、ACS の移行がサポートされていません。 |
Cisco ISE サーバーが導入に含まれていない場合だけモニターリング データベースをリセットする必要があります。
(注) |
ログ ファイルの不一致を回避するために、プライマリおよびセカンダリのモニターリング ノード データベースを同時にリセットすることを推奨します。 |
モニターリングデータベース関連のタスクを設定するには、application configure ise コマンドで次のオプションを使用します。
モニターリング セッション データベースをリセットするには、オプション 1 を使用します。
(注) |
リセット オプションを使用すると、再起動するまで、ISE サービスが一時的に利用できなくなります。 |
モニターリング データベースの使用不可能なインデックスを再構築するには、オプション 2 を使用します。
モニターリング動作データをパージするには、オプション 3 を使用します。
パージ オプションは、データのクリーンアップに使用します。また、保持する日数を尋ねるプロンプトを表示します。
モニターリング データベースをリセットするには、オプション 4 を使用します。
リセット オプションを使用すると、データベースが工場出荷時の初期状態にリセットされるため、すべてのデータが完全に削除されます。ファイルがファイル システム領域を過度に消費している場合、データベースをリセットすることができます。
(注) |
リセット オプションを使用すると、再起動するまで、ISE サービスが一時的に利用できなくなります。 |
モニターリング データベースの統計情報を更新するには、オプション 5 を使用します。
モニターリング セッション データベースをリセットするには、オプション 1 を使用します。
ise/admin# application configure ise
Selection ISE configuration option
[1]Reset M&T Session Database
[2]Rebuild M&T Unusable Indexes
[3]Purge M&T Operational Data
[4]Reset M&T Database
[5]Refresh Database Statistics
[6]Display Profiler Statistics
[7]Export Internal CA Store
[8]Import Internal CA Store
[9]Create Missing Config Indexes
[10]Create Missing M&T Indexes
[11]Enable/Disable ACS Migration
[12]Generate Daily KPM Stats
[13]Generate KPM Stats for last 8 Weeks
[14]Enable/Disable Counter Attribute Collection
[15]View Admin Users
[16]Get all Endpoints
[17]Exit
1
You are about to reset the M&T session database. Following this operation, an application restart will be required.
Are you sure you want to proceed? y/n [n]: y
TimesTen Daemon stopped.
TimesTen Daemon startup OK.
Restarting application
Stopping ISE Monitoring & Troubleshooting Log Processor...
ISE Identity Mapping Service is disabled
ISE pxGrid processes are disabled
Stopping ISE Application Server...
Stopping ISE Certificate Authority Service...
Stopping ISE Profiler Database...
Stopping ISE Monitoring & Troubleshooting Session Database...
Stopping ISE AD Connector...
Stopping ISE Database processes...
iptables: No chain/target/match by that name.
iptables: No chain/target/match by that name.
Starting ISE Monitoring & Troubleshooting Session Database...
Starting ISE Profiler Database...
Starting ISE Application Server...
Starting ISE Certificate Authority Service...
Starting ISE Monitoring & Troubleshooting Log Processor...
Starting ISE AD Connector...
Note: ISE Processes are initializing. Use 'show application status ise'
CLI to verify all processes are in running state.
2
You are about to rebuild the M&T database unusable indexes.
Are you sure you want to proceed? y/n [n]: y
Starting to rebuild indexes
Completed rebuild indexes
3
Enter number of days to be retained in purging MnT Operational data [between 1 to 90 days]
For instance, Entering 20 will purge MnT Operational data older than 20 days
Enter 'exit' to return to the main menu without purging
Enter days to be retained: 20
You are about to purge M&T data older than 20 from your database.
Are you sure you want to proceed? y/n [n]: y
M&T Operational data older than 20 is getting removed from database
4
You are about to reset the M&T database. Following this operation, application will be restarted.
Are you sure you want to proceed? y/n [n]: y
Stopping application
Stopping ISE Monitoring & Troubleshooting Log Processor...
ISE Identity Mapping Service is disabled
ISE pxGrid processes are disabled
Stopping ISE Application Server...
Stopping ISE Certificate Authority Service...
Stopping ISE Profiler Database...
Stopping ISE Monitoring & Troubleshooting Session Database...
Stopping ISE AD Connector...
Stopping ISE Database processes...
Starting Database only
Creating ISE M&T database tables...
Restarting application
ISE M&T Log Processor is not running
ISE Identity Mapping Service is disabled
ISE pxGrid processes are disabled
ISE Application Server process is not running
ISE Certificate Authority Service is not running
ISE Profiler Database is not running
ISE M&T Session Database is not running
ISE AD Connector is not running
Stopping ISE Database processes...
Starting ISE Monitoring & Troubleshooting Session Database...
Starting ISE Profiler Database...
Starting ISE Application Server...
Starting ISE Certificate Authority Service...
Starting ISE Monitoring & Troubleshooting Log Processor...
Starting ISE AD Connector...
Note: ISE Processes are initializing. Use 'show application status ise'
CLI to verify all processes are in running state.
5
You are about to Refresh Database statistics
Are you sure you want to proceed? y/n [n]: y
Starting to terminate long running DB sessions
Completed terminating long running DB sessions
Gathering Config schema(CEPM) stats ........
Gathering Operational schema(MNT) stats ....
Completed Refresh Database statistics
プロファイリングイベントからプローブとタイプによってライブ統計情報を表示するには、application configure コマンドの Display Profiler Statistics オプションを使用します。このデータは、ポリシー サービス ノードだけで収集され、モニターリング ノードではこのデータは表示されません。
このコマンドでは、以前は取得用にルート パッチを必要としていた既存の JMX カウンタまたは外部 JConsole を活用するため、このデータをキャプチャするためにルート パッチを使用する必要はありません。
ise/admin# application configure ise
Selection ISE configuration option
[1]Reset M&T Session Database
[2]Rebuild M&T Unusable Indexes
[3]Purge M&T Operational Data
[4]Reset M&T Database
[5]Refresh Database Statistics
[6]Display Profiler Statistics
[7]Export Internal CA Store
[8]Import Internal CA Store
[9]Create Missing Config Indexes
[10]Create Missing M&T Indexes
[11]Enable/Disable ACS Migration
[12]Generate Daily KPM Stats
[13]Generate KPM Stats for last 8 Weeks
[14]Enable/Disable Counter Attribute Collection
[15]View Admin Users
[16]Get all Endpoints
[17]Exit
6
Create an RMI connector client and connect it to the RMI connector server
Get an MBeanServerConnection
Retrieve MXBean
Press <Enter> to continue...
Timestamp,Elapsed,EndpointsProfiled,NetflowPacketsReceived,
EndpointsReProfiled,EndpointsDeleted...
Press Ctrl + c
プライマリ管理ノード(PAN)から Cisco ISE CA 証明書およびキーをエクスポートして、PAN に障害が発生した場合にセカンダリ管理ノードにインポートできるようにするには、EXEC モードで application configure コマンドを使用します。
セカンダリ管理ノードをプライマリ管理ノード(PAN)に昇格させる場合は、元の PAN からエクスポートした Cisco ISE CA 証明書およびキーをインポートする必要があります。
Cisco ISE CA 証明書およびキーのコピーをエクスポートするには、application configure ise コマンドでオプション 7 を使用します。
Cisco ISE CA 証明書およびキーのコピーをインポートするには、application configure ise コマンドでオプション 8 を使用します。
Cisco ISE CA 証明書およびキーのコピーをエクスポートするには、オプション 7 を使用します。
ise/admin# application configure iseSelection ISE configuration option
[1]Reset M&T Session Database
[2]Rebuild M&T Unusable Indexes
[3]Purge M&T Operational Data
[4]Reset M&T Database
[5]Refresh Database Statistics
[6]Display Profiler Statistics
[7]Export Internal CA Store
[8]Import Internal CA Store
[9]Create Missing Config Indexes
[10]Create Missing M&T Indexes
[11]Enable/Disable ACS Migration
[12]Generate Daily KPM Stats
[13]Generate KPM Stats for last 8 Weeks
[14]Enable/Disable Counter Attribute Collection
[15]View Admin Users
[16]Get all Endpoints
[17]Exit
7
Export Repository Name: sftp
Enter encryption-key for export: Test1234
Export on progress...............
The following 4 CA key pairs were exported to repository 'sftp' at 'ise_ca_key_pairs_of_ise60':
Subject:CN=Certificate Services Root CA - ise60
Issuer:CN=Certificate Services Root CA - ise60
Serial#:0x66cfded7-2f384979-9110c0e1-50dbf656
Subject:CN=Certificate Services Endpoint Subordinate CA - ise60
Issuer:CN=Certificate Services Root CA - ise60
Serial#:0x20ff700b-d5844ef8-a029bf7d-fad64289
Subject:CN=Certificate Services Endpoint RA - ise60
Issuer:CN=Certificate Services Endpoint Subordinate CA - ise60
Serial#:0x483542bd-1f1642f4-ba71b338-8f606ee4
Subject:CN=Certificate Services OCSP Responder Certificate - ise60
Issuer:CN=Certificate Services Root CA - ise60
Serial#:0x0ad3ccdf-b64842ad-93dd5826-0b27cbd2
ISE CA keys export completed successfully
Cisco ISE CA 証明書およびキーのコピーをインポートするには、オプション 8 を使用します。
ise/admin# application configure ise
Selection ISE configuration option
[1]Reset M&T Session Database
[2]Rebuild M&T Unusable Indexes
[3]Purge M&T Operational Data
[4]Reset M&T Database
[5]Refresh Database Statistics
[6]Display Profiler Statistics
[7]Export Internal CA Store
[8]Import Internal CA Store
[9]Create Missing Config Indexes
[10]Create Missing M&T Indexes
[11]Enable/Disable ACS Migration
[12]Generate Daily KPM Stats
[13]Generate KPM Stats for last 8 Weeks
[14]Enable/Disable Counter Attribute Collection
[15]View Admin Users
[16]Get all Endpoints
[17]Exit
8
Import Repository Name: sftp
Enter CA keys file name to import: ise_ca_key_pairs_of_ise60
Enter encryption-key: Test1234
Import on progress...............
The following 4 CA key pairs were imported:
Subject:CN=Certificate Services Root CA - ise60
Issuer:CN=Certificate Services Root CA - ise60
Serial#:0x66cfded7-2f384979-9110c0e1-50dbf656
Subject:CN=Certificate Services Endpoint Subordinate CA - ise60
Issuer:CN=Certificate Services Root CA - ise60
Serial#:0x20ff700b-d5844ef8-a029bf7d-fad64289
Subject:CN=Certificate Services Endpoint RA - ise60
Issuer:CN=Certificate Services Endpoint Subordinate CA - ise60
Serial#:0x483542bd-1f1642f4-ba71b338-8f606ee4
Subject:CN=Certificate Services OCSP Responder Certificate - ise60
Issuer:CN=Certificate Services Root CA - ise60
Serial#:0x0ad3ccdf-b64842ad-93dd5826-0b27cbd2
Stopping ISE Certificate Authority Service...
Starting ISE Certificate Authority Service...
ISE CA keys import completed successfully
インデックスの欠落によるアップグレードの失敗を回避するには、EXEC モードで application configure コマンドを使用します。
欠落した CEPM データベース インデックスを作成するには、オプション 9 を使用します。
欠落したモニターリング データベース インデックスを作成するには、オプション 10 を使用します。
CEPM データベース インデックスを作成するには、オプション 9 を使用します。
ise/admin# application configure ise
Selection ISE configuration option
[1]Reset M&T Session Database
[2]Rebuild M&T Unusable Indexes
[3]Purge M&T Operational Data
[4]Reset M&T Database
[5]Refresh Database Statistics
[6]Display Profiler Statistics
[7]Export Internal CA Store
[8]Import Internal CA Store
[9]Create Missing Config Indexes
[10]Create Missing M&T Indexes
[11]Enable/Disable ACS Migration
[12]Generate Daily KPM Stats
[13]Generate KPM Stats for last 8 Weeks
[14]Enable/Disable Counter Attribute Collection
[15]View Admin Users
[16]Get all Endpoints
[17]Exit
9
You are about to create missing config indexes.
Are you sure you want to proceed? y/n [n]: y
Starting to create missing config indexes
Completed creating missing config indexes
ise/admin# application configure ise
Selection ISE configuration option
[1]Reset M&T Session Database
[2]Rebuild M&T Unusable Indexes
[3]Purge M&T Operational Data
[4]Reset M&T Database
[5]Refresh Database Statistics
[6]Display Profiler Statistics
[7]Export Internal CA Store
[8]Import Internal CA Store
[9]Create Missing Config Indexes
[10]Create Missing M&T Indexes
[11]Enable/Disable ACS Migration
[12]Generate Daily KPM Stats
[13]Generate KPM Stats for last 8 Weeks
[14]Enable/Disable Counter Attribute Collection
[15]View Admin Users
[16]Get all Endpoints
[17]Exit
10
You are about to create missing MnT indexes.
Are you sure you want to proceed? y/n [n]: y
Starting to create missing MnT indexes
Completed creating missing MnT indexes
主要パフォーマンス測定指標(KPM)を取得するには、application configure コマンドの Generate Daily KPM Stats オプションまたは Generate KPM Stats for last 8 Weeks オプションを使用します。このデータはモニターリング ノードから収集されます。このコマンドでは、展開に接続しているエンドポイントの統計情報が出力されます。日単位または過去 8 週間の KPM 統計情報のレポート生成を選択できます。レポートはローカルディスクに保存されます。
KPM 統計情報を生成する前にモニターリング データベースをリセットした場合(オプション 4)、オプション 12 と 13 を使用してもデータは返されません。
ise/admin# application configure ise
Selection ISE configuration option
[1]Reset M&T Session Database
[2]Rebuild M&T Unusable Indexes
[3]Purge M&T Operational Data
[4]Reset M&T Database
[5]Refresh Database Statistics
[6]Display Profiler Statistics
[7]Export Internal CA Store
[8]Import Internal CA Store
[9]Create Missing Config Indexes
[10]Create Missing M&T Indexes
[11]Enable/Disable ACS Migration
[12]Generate Daily KPM Stats
[13]Generate KPM Stats for last 8 Weeks
[14]Enable/Disable Counter Attribute Collection
[15]View Admin Users
[16]Get all Endpoints
[17]Exit
12
You are about to generate Daily KPM (Key Performance Metrics).
% Warning Generating KPM stats may impact ISE performance during the generation of the report. It is suggested to run this report during non-peak hours and when not
conflicting with other scheduled operations of ISE.
Are you sure you want to proceed? y/n [n]: y
Starting to generate Daily KPM stats
Copying files to /localdisk
Completed generating daily KPM stats. You can find details in following files located under /localdisk
KPM_onboarding_results_27_MAR_2015.xls
KPM_trx_load_27_MAR_2015.xls
ISE カウンタは、さまざまな属性のしきい値を収集します。これらの属性の値は異なる間隔(5 分間隔と 5 分を超える間隔)で収集され、データは ISE カウンタ レポートに表示されます。
Cisco ISE はデフォルトでこれらの属性の値を収集します。application configure ise コマンドを使用して、Cisco ISE CLI からこのデータ収集を無効にすることができます。カウンタ属性の収集を有効または無効にするには、オプション 14 を選択します。
カウンタ属性の収集を無効にするには、オプション 14 を使用します。
ise/admin# application configure ise
Selection ISE configuration option
[1]Reset M&T Session Database
[2]Rebuild M&T Unusable Indexes
[3]Purge M&T Operational Data
[4]Reset M&T Database
[5]Refresh Database Statistics
[6]Display Profiler Statistics
[7]Export Internal CA Store
[8]Import Internal CA Store
[9]Create Missing Config Indexes
[10]Create Missing M&T Indexes
[11]Enable/Disable ACS Migration
[12]Generate Daily KPM Stats
[13]Generate KPM Stats for last 8 Weeks
[14]Enable/Disable Counter Attribute Collection
[15]View Admin Users
[16]Get all Endpoints
[17]Exit
14
Do you want to Enable(e) or Disable(d) counter attribute collection? [e/d]d
Completed disabling counter attributes. It will take at the most 30 minute to get effected.
TCP パラメータを設定するには、 application configure コマンドで [TCP パラメータの設定(Configure TCP params)] オプション(オプション 25)を使用します。管理 CLI を使用していることを確認します。
変更を有効にするには、管理 CLI の reload を使用してパラメータの変更時に Cisco ISE サーバーをリロードします。
TCP パラメータを設定するには、オプション 25 を使用します。
ise/admin#application configure ise
Selection configuration option
[1]Reset M&T Session Database
[2]Rebuild M&T Unusable Indexes
[3]Purge M&T Operational Data
[4]Reset M&T Database
[5]Refresh Database Statistics
[6]Display Profiler Statistics
[7]Export Internal CA Store
[8]Import Internal CA Store
[9]Create Missing Config Indexes
[10]Create Missing M&T Indexes
[11]Enable/Disable ACS Migration
[12]Generate Daily KPM Stats
[13]Generate KPM Stats for last 8 Weeks
[14]Enable/Disable Counter Attribute Collection
[15]View Admin Users
[16]Get all Endpoints
[17]Enable/Disable Wifi Setup
[18]Reset Config Wifi Setup
[19]Establish Trust with controller
[20]Reset Context Visibility
[21]Synchronize Context Visibility With Database
[22]Generate Heap Dump
[23]Generate Thread Dump
[24]Force Backup Cancellation
[25]Configure TCP params
[0]Exit
25
This CLI allows admins to modify the TCP parameters recycle/reuse/fin_timeout
For the changes to take effect, RELOAD ISE server on modifying any of the parameter using the admin cli 'reload'. Until reload is done, the changes will not be persisted.
Select the option to configure/display tcp params.
1. tcp recycle
2. tcp reuse
3. tcp fin_timeout
4. display tcp param values
0. Exit
[1/2/3/4/0]: 1
Enable/Disable tcp recycle parameter? [e/d]: e
param recycle is already enabled..
Select the option to configure/display tcp params.
1. tcp recycle
2. tcp reuse
3. tcp fin_timeout
4. display tcp param values
0. Exit
[1/2/3/4/0]: 2
Enable/Disable tcp reuse parameter? [e/d]: e
param reuse is already enabled..
Select the option to configure/display tcp params.
1. tcp recycle
2. tcp reuse
3. tcp fin_timeout
4. display tcp param values
0. Exit
[1/2/3/4/0]: 3
Set tcp fin_timeout (60 default) <0-180> : 60
updated timeout param..
Select the option to configure/display tcp params.
1. tcp recycle
2. tcp reuse
3. tcp fin_timeout
4. display tcp param values
0. Exit
[1/2/3/4/0]: 4
Current values of the tcp parameters:
Recycle = ENABLED
Reuse = ENABLED
Fin_timeout = 60
Select the option to configure/display tcp params.
1. tcp recycle
2. tcp reuse
3. tcp fin_timeout
4. display tcp param values
0. Exit
[1/2/3/4/0]:
(注) |
|
(注) |
アップグレードに関する明示的な指示がない限り、Cisco ISE を削除するために、コマンドライン インターフェイス(CLI)から application remove コマンドを実行することはできません。 |
Cisco ISE 以外の特定のアプリケーションを削除するには、EXEC モードで application remove コマンドを使用します。
application [ remove {application-name}]
Cisco ISE 以外の他のアプリケーションを削除したくない場合は、このコマンドの no 形式を使用します。
no application [ remove {application-name}]
remove |
アプリケーションを削除またはアンインストールします。 |
application-name |
アプリケーションの名前。最大 255 文字の英数字をサポートします。 アプリケーションを削除またはアンインストールします。 |
デフォルトの動作や値はありません。
EXEC
リリース |
変更内容 |
---|---|
2.0.0.306 |
このコマンドが導入されました。 |
アプリケーションを削除またはアンインストールします。
ise/admin# application remove ise
Continue with application removal? [y/n] y
Application successfully uninstalled
ise/admin#
Cisco ISE アプリケーション コンフィギュレーションを工場出荷時の初期状態にリセットするか、または既存の工場出荷時の設定を保持するには、EXEC モードで application reset-config コマンドを使用します。自己署名証明書に加えて、サーバー証明書をリセットしたり、既存のサーバー証明書を保持したりすることもできます。
application [ reset-config {application-name}]
reset-config |
Cisco ISE アプリケーション コンフィギュレーションをリセットし、Cisco ISE データベースをクリアします。 |
application-name |
リセットするアプリケーション設定の名前。255 文字までの英数字で指定します。 |
デフォルトの動作や値はありません。
EXEC
リリース |
変更内容 |
---|---|
2.0.0.306 |
このコマンドが導入されました。 |
application reset-config コマンドを使用すると、Cisco ISE アプライアンスと VMware を再イメージ化せずに、Cisco ISE コンフィギュレーションのリセットと、Cisco ISE データベースのクリアが可能です。リセットでは、新しい Cisco ISE データベース管理者およびユーザー パスワードを入力する必要があります。
(注) |
application reset-config コマンドにより、Cisco ISE コンフィギュレーションは工場出荷時の初期状態にリセットされますが、オペレーティングシステム(Cisco ADE-OS)コンフィギュレーションはそのままになります。Cisco ADE-OS コンフィギュレーションには、ネットワーク設定、CLI パスワード ポリシー、およびバックアップ履歴などの項目が含まれています。 |
CLI から Cisco ISE アプリケーション設定をリセットすると、すでに結合している場合に Active Directory ドメインから ISE ノードを切断する脱退処理が実行されます。ただし、Cisco ISE ノードのアカウントは、Active Directory ドメインから削除されません。Active Directory のクレデンシャルで Cisco ISE 管理者ポータルからの脱退処理を実行することを推奨します。脱退処理は、Active Directory ドメインからノードのアカウントを削除します。
ユーザーが No オプションを選択した場合、コマンドはサーバー証明書を削除し、自己署名証明書のみを再生成します。ユーザーが Yes オプションを選択した場合、コマンドは所定の場所にエクスポートすることによって既存のサーバー証明書を保持します。サーバー証明書は、この場所からインポートされます。
iseadmin#application reset-config ise
Initialize your Application configuration to factory defaults? (y/n): y
Leaving currently connected AD domains if any...
Please rejoin to AD domains from the administrative GUI
Retain existing Application server certificates? (y/n): n
Reinitializing local configuration to factory defaults...
Stopping ISE Monitoring & Troubleshooting Log Processor...
PassiveID WMI Service is disabled
PassiveID Syslog Service is disabled
PassiveID API Service is disabled
PassiveID Agent Service is disabled
PassiveID Endpoint Service is disabled
PassiveID SPAN Service is disabled
Stopping ISE Application Server...
Stopping ISE Process Monitoring Service...
Stopping ISE Certificate Authority Service...
Stopping ISE EST Service...
ISE Sxp Engine Service is disabled
Stopping TC-NAC Service ...
VA Service is not running
ISE VA Database is not running
Segmentation Policy Service is disabled
REST Auth Service is disabled
Stopping ISE Messaging Service...
Stopping ISE API Gateway Service...
Stopping edda-url-fetcher-service Service...
Stopping ISE API Gateway Database Service...
Stopping ISE Profiler Database...
Stopping ISE Indexing Engine...
Stopping ISE Monitoring & Troubleshooting Session Database...
Stopping ISE AD Connector...
Stopping ISE Database processes...
Stopping ISE Node Exporter...
Stopping ISE Prometheus Service...
Stopping ISE Grafana Service...
ISE MNT LogAnalytics Elasticsearch Service is not running.
ISE Logstash Service is not running.
ISE Kibana service is not running.
Enter the administrator username to create[admin]: iseadmin
Enter the password for 'iseadmin':
Re-enter the password for 'iseadmin':
Extracting ISE database content...
Starting ISE database processes...
Creating ISE M&T session directory...
Creating ISE VA timesten database...
Performing ISE database priming...
Starting ISE Indexing Engine...
TimeoutStartUSec=20min
TimeoutStopUSec=20min
You (oracle) are not allowed to use this program (crontab)
See crontab(1) for more information
mkdir: cannot create directory ‘/opt/podman’: File exists
Cleaning up TC-NAC docker configuration...
Starting ISE Messaging Service...
Stopping ISE Messaging Service...
Starting ISE API Gateway Database Service...
Stopping ISE API Gateway Database Service...
Smart Licensing is Enabled. Removing the configuration during reset-config
Smart Licensing configuration files are deleted.
application reset-config is success
間違ったパスワードが入力されたために管理者アカウントが無効になった後、Cisco ISE で指定されたユーザーアカウント(通常は既存の管理者アカウント)の管理者ポータルログイン パスワードをリセットするには、EXEC モードで application reset-passwd コマンドを使用します。
application [ reset-passwd {application-name} {administrator-ID} ]
reset-passwd |
管理者アカウント パスワードをリセットします。 |
application-name |
アプリケーションの名前。最大 255 文字の英数字をサポートします。 |
administrator-ID |
パスワードをリセットするディセーブルになった管理者アカウントの名前。 |
デフォルトの動作または値はありません。Cisco ISE で管理者アカウントをディセーブルにする必要があります。
EXEC
リリース |
変更内容 |
---|---|
2.0.0.306 |
このコマンドが導入されました。 |
Cisco ISE 管理者ポータルのパスワードをリセットするときは次の特殊文字を使用できます。
~ |
! |
@ |
$ |
& |
* |
- |
_ |
---|---|---|---|---|---|---|---|
+ |
= |
\ |
" |
, |
; |
< |
> |
管理者のユーザー ID に対して、指定された回数を超えて間違ったパスワードを入力すると、管理者ポータルによってシステムから「ロックアウト」されます。Cisco ISE は、その管理者ユーザー ID に関連付けられたパスワードがリセットされるまでその資格情報を一時停止します。管理 ISE ノードの CLI でのみ管理者パスワードをリセットできます。
UTF-8 管理者ユーザーは、Cisco ISE 管理者ポータルからのみパスワードを変更できます。
ise/admin# application reset-passwd ise admin
Enter new password: ******
Confirm new password: ******
Password reset successfully.
ise/admin#
特定のアプリケーションを有効にするには、EXEC モードで application start コマンドを使用します。アプリケーションの起動を無効にするには、このコマンドの no 形式を使用します。
application [ start {application-name [safe]}]
no application [ start {application-name [safe]}]
start |
アプリケーション バンドルをイネーブルにします。 |
application-name |
イネーブルにする、事前に定義されたアプリケーションの名前。最大 255 文字の英数字をサポートします。 |
safe |
セーフ モードでアプリケーションを起動します。 |
デフォルトの動作や値はありません。
EXEC
リリース |
変更内容 |
---|---|
2.0.0.306 |
このコマンドが導入されました。 |
アプリケーションをイネーブルにします。
このコマンドを使用して、Cisco ISE を開始することはできません。開始しようとすると、Cisco ISE がすでに実行されていると表示されます。
application startise safe コマンドを使用して、Cisco ISE をセーフモードで起動できます。このモードでは、管理者ポータルに対するアクセス制御を一時的に無効にして、必要な変更を行った後に、アプリケーションを再起動できます。
この安全オプションは、管理者として誤って Cisco ISE 管理者ポータルのアクセスからすべてのユーザーをロックアウトしたときのリカバリ方法になります。この状況は [管理 (Administration)] > [管理者アクセス (Admin Access)] > [設定 (Settings)] > [アクセス (Access)] ページで間違った「IP アクセス」リストを設定した場合に発生します。また、「安全」オプションにより、証明書ベースの認証がバイパスされ、Cisco ISE 管理者ポータルにログインするためにデフォルトのユーザー名およびパスワード認証に戻ります。
ise/iseadmin#application start ise
ISE Database processes already running, PID: xxxxxxx
Starting ISE Messaging Service...
Starting ISE API Gateway Database Service...
Starting ISE Profiler Database...
Starting ISE API Gateway Service...
Starting ISE Monitoring & Troubleshooting Session Database...
Starting edda-url-fetcher-service Service...
Starting ISE Process Monitoring Service...
Starting ISE Application Server...
Starting ISE Monitoring & Troubleshooting Log Processor...
Starting ISE Indexing Engine...
Starting ISE Certificate Authority Service...
NSS database for CA Service is ready
ISE EST service is already running, PID: xxxxxxx
Starting ISE AD Connector...
Starting ISE Node Exporter...
Starting ISE Prometheus Service...
Starting ISE Grafana Service...
ISE MNT LogAnalytics Elasticsearch Service is disabled
ISE Logstash Service is disabled
ISE Kibana Service is disabled
Note: ISE Processes are initializing. Use 'show application status ise'
CLI to verify all processes are in running state.
「安全」オプションの目的は、誤って発動された可能性があるアクセス制限をバイパスすることです。Cisco ISE サービスを開始するためにセーフ モードを使用した場合、次の動作が見られます。
管理者が誤って自身をロックした場合は、正しい IP アクセス制限にログインできるように IP アクセス制限が一時的にディセーブルになります。
FIPS がイネーブルのホストで、「安全」オプションがアプリケーションの起動時に渡された場合、FIPS 整合性チェックが一時的にディセーブルになります。通常、FIPS 整合性チェックが失敗した場合は、Cisco ISE サービスは開始されません。ユーザーはアプリケーションの起動時に「安全」オプションを使用して FIPS 整合性チェックをバイパスできます。
FIPS がイネーブルのホストで、「安全」オプションがアプリケーションの起動時に渡された場合、ハードウェア乱数ジェネレータ整合性チェックがディセーブルになります。
Cisco ISE は、FIPS モードが ISE で有効になっていない場合でも、FIPS モードで発信 SSH または SFTP 接続を開始します。ISE と通信するリモート SSH または SFTP サーバーが FIPS 140-2 承認暗号化アルゴリズムを許可していることを確認します。
Cisco ISE では、組み込みの FIPS 140-2 の検証済み暗号化モジュールが使用されています。FIPS コンプライアンスの要求の詳細については、『FIPS Compliance Letter』を参照してください。
証明書ベースの認証を使用する場合、アプリケーション起動時の「安全」オプションで一時的にユーザー名とパスワード ベースの認証が使用されます。
(注) |
これらの変更は一時的なものであり、Cisco ISE アプリケーションのインスタンスだけに関連します。Cisco ISE サービスを「安全」オプションなしで再起動すると、デフォルトの機能がすべて復元されます。 |
ise/iseadmin#application stop ise
Stopping ISE Monitoring & Troubleshooting Log Processor...
PassiveID WMI Service is disabled
PassiveID Syslog Service is disabled
PassiveID API Service is disabled
PassiveID Agent Service is disabled
PassiveID Endpoint Service is disabled
PassiveID SPAN Service is disabled
Stopping ISE Application Server...
Stopping ISE Process Monitoring Service...
Stopping ISE Certificate Authority Service...
Stopping ISE EST Service...
ISE Sxp Engine Service is disabled
Stopping TC-NAC Service ...
VA Service is not running
ISE VA Database is not running
Segmentation Policy Service is disabled
REST Auth Service is disabled
Stopping ISE Messaging Service...
Stopping ISE API Gateway Service...
Stopping edda-url-fetcher-service Service...
Stopping ISE API Gateway Database Service...
Stopping ISE Profiler Database...
Stopping ISE Indexing Engine...
Stopping ISE Monitoring & Troubleshooting Session Database...
Stopping ISE AD Connector...
Stopping ISE Database processes...
Stopping ISE Node Exporter...
Stopping ISE Prometheus Service...
Stopping ISE Grafana Service...
ISE MNT LogAnalytics Elasticsearch Service is not running.
ISE Logstash Service is not running.
ISE Kibana service is not running.
ise/iseadmin#application start ise safe
ISE Database processes already running, PID: xxxxxx
Starting ISE Messaging Service...
Starting ISE API Gateway Database Service...
Starting ISE Profiler Database...
Starting ISE API Gateway Service...
Starting ISE Monitoring & Troubleshooting Session Database...
Starting edda-url-fetcher-service Service...
Starting ISE Process Monitoring Service...
Starting ISE Application Server...
Starting ISE Monitoring & Troubleshooting Log Processor...
Starting ISE Indexing Engine...
Starting ISE Certificate Authority Service...
NSS database for CA Service is ready
ISE EST service is already running, PID: xxxxxx
Starting ISE AD Connector...
Starting ISE Node Exporter...
Starting ISE Prometheus Service...
Starting ISE Grafana Service...
ISE MNT LogAnalytics Elasticsearch Service is disabled
ISE Logstash Service is disabled
ISE Kibana Service is disabled
Note: ISE Processes are initializing. Use 'show application status ise'
CLI to verify all processes are in running state.
特定のアプリケーションを無効にするには、EXEC モードで application stop コマンドを使用します。アプリケーションの停止を無効にするには、このコマンドの no 形式を使用します。
application [ stop {application-name}]
no application [ stop {application-name}]
stop |
アプリケーションをディセーブルにします。 |
application-name |
ディセーブルにする、事前に定義されたアプリケーションの名前。255 文字までの英数字で指定します。 |
デフォルトの動作や値はありません。
EXEC
リリース |
変更内容 |
---|---|
2.0.0.306 |
このコマンドが導入されました。 |
アプリケーションをディセーブルにします。
展開内で自動フェールオーバー設定がイネーブルになっていると、次の警告メッセージが表示されます。
PAN Auto Failover feature is enabled, therefore
this operation will trigger a failover if ISE services are not
restarted within the fail-over window. Do you want to continue (y/n)?
続行する場合は「y」、キャンセルする場合は「n」と入力します。
iseadmin#application stop ise
Stopping ISE Monitoring & Troubleshooting Log Processor...
PassiveID WMI Service is disabled
PassiveID Syslog Service is disabled
PassiveID API Service is disabled
PassiveID Agent Service is disabled
PassiveID Endpoint Service is disabled
PassiveID SPAN Service is disabled
Stopping ISE Application Server...
Stopping ISE Process Monitoring Service...
Stopping ISE Certificate Authority Service...
Stopping ISE EST Service...
ISE Sxp Engine Service is disabled
Stopping TC-NAC Service ...
VA Service is not running
ISE VA Database is not running
Segmentation Policy Service is disabled
REST Auth Service is disabled
Stopping ISE Messaging Service...
Stopping ISE API Gateway Service...
Stopping edda-url-fetcher-service Service...
Stopping ISE API Gateway Database Service...
Stopping ISE Profiler Database...
Stopping ISE Indexing Engine...
Stopping ISE Monitoring & Troubleshooting Session Database...
Stopping ISE AD Connector...
Stopping ISE Database processes...
Stopping ISE Node Exporter...
Stopping ISE Prometheus Service...
Stopping ISE Grafana Service...
ISE MNT LogAnalytics Elasticsearch Service is not running.
ISE Logstash Service is not running.
ISE Kibana service is not running.
特定のアプリケーションバンドルをアップグレードするには、EXEC モードで application upgrade コマンドを使用します。
application [upgrade {application-bundle remote-repository-name|cleanup|prepare|proceed|start}]
upgrade |
リモート リポジトリ内の特定のアプリケーション バンドルをアップグレードします。 |
application-bundle |
アプリケーションの名前。255 文字までの英数字で指定します。 |
remote-repository-name |
リモート リポジトリ名。最大 255 文字の英数字をサポートします。 |
cleanup |
以前に準備されたアップグレード バンドルを削除し、新しいアップグレード バンドルを準備します。 |
prepare |
アップグレード バンドルをダウンロードし、内容をローカル ディスクに解凍して、アップグレードするアプリケーションを準備します。 |
application-bundle |
アプリケーションの名前。255 文字までの英数字で指定します。 |
remote-repository-name |
リモート リポジトリ名。最大 255 文字の英数字をサポートします。 |
proceed |
ローカル ファイルを使用してアップグレードを続行します。 |
Start |
ローカルで作成したバンドルを使用してアップグレードを開始します。 |
デフォルトの動作や値はありません。
EXEC
リリース |
変更内容 |
---|---|
2.0.0.306 |
このコマンドが導入されました。 |
アプリケーションをアップグレードし、アプリケーション コンフィギュレーション データを保存します。詳細については、『Cisco Identity Services Engine Upgrade Guide』を参照してください。
失敗した場合や別のバージョンを使用する場合に他のアップグレード バンドルを試すには、cleanup オプションを使用します。
ローカルでアップグレードバンドルをダウンロードして抽出するには、prepare オプションを使用します。
prepare オプションで抽出したアップグレードバンドルを使用して Cisco ISE をアップグレードするには、proceed オプションを使用します。直接 application upgrade コマンドを使用する代わりに、アップグレードバンドルを用意してからこのオプションを使用できます。
アップグレードが成功した場合、このオプションはアップグレード バンドルを削除します。
アップグレードが何らかの理由で失敗した場合、このオプションはアップグレード バンドルを保持します。
アプリケーションをアップグレードしている間に、application upgrade コマンドを別に発行すると、次の警告メッセージが表示されます。
An existing application install, remove, or upgrade is in progress. Try again shortly.
注意 |
アップグレードの進行中は、backup または restore コマンドを発行しないでください。このアクションを実行すると、データベースが破損する可能性があります。 |
(注) |
この application upgrade コマンドを使用する前に、その新しいリリースで提供されているリリース ノートのアップグレード手順を確認する必要があります。リリース ノートには更新された重要な手順が含まれており、それに従う必要があります。 |
ise/admin# application upgrade prepare ise-upgradebundle-3.x.0.x.x86_64.tar.gz local
Getting bundle to local machine...
Unbundling Application Package...
Verifying Application Signature...
Application upgrade preparation successful
ise/admin# application upgrade proceed
Initiating Application Upgrade...
% Warning: Do not use Ctrl-C or close this terminal window until upgrade completes.
-Checking VM for minimum hardware requirements
STEP 1: Stopping ISE application...
STEP 2: Verifying files in bundle...
-Internal hash verification passed for bundle
STEP 3: Validating data before upgrade...
STEP 4: Taking backup of the configuration data...
STEP 5: Running ISE configuration database schema upgrade...
- Running db sanity to check and fix if any index corruption
- Auto Upgrading Schema for UPS Model
- Upgrading Schema completed for UPS Model
ISE database schema upgrade completed.
% Warning: Sanity test found some indexes missing in CEPM schema. Please recreate missing indexes after upgrade using app configure ise cli
STEP 6: Running ISE configuration data upgrade...
- Data upgrade step 1/14, UPSUpgradeHandler(2.3.0.100)... Done in 53 seconds.
- Data upgrade step 2/14, UPSUpgradeHandler(2.3.0.110)... Done in 1 seconds.
- Data upgrade step 3/14, NetworkAccessUpgrade(2.3.0.145)... Done in 0 seconds.
- Data upgrade step 4/14, NodeGroupUpgradeService(2.3.0.155)... Done in 0 seconds.
- Data upgrade step 5/14, IRFUpgradeService(2.3.0.155)... Done in 0 seconds.
- Data upgrade step 6/14, UPSUpgradeHandler(2.3.0.158)... Done in 0 seconds.
- Data upgrade step 7/14, NetworkAccessUpgrade(2.3.0.178)... Done in 0 seconds.
- Data upgrade step 8/14, NetworkAccessUpgrade(2.3.0.182)... Done in 0 seconds.
- Data upgrade step 9/14, CertMgmtUpgradeService(2.3.0.194)... Done in 3 seconds.
- Data upgrade step 10/14, UPSUpgradeHandler(2.3.0.201)... Done in 0 seconds.
- Data upgrade step 11/14, NSFUpgradeService(2.3.0.233)... Done in 0 seconds.
- Data upgrade step 12/14, ProfilerUpgradeService(2.3.0.233)... Done in 0 seconds.
- Data upgrade step 13/14, GuestAccessUpgradeService(2.3.0.233)... Done in 7 seconds.
STEP 7: Running ISE configuration data upgrade for node specific data...
STEP 8: Running ISE M&T database upgrade...
ISE M&T Log Processor is not running
ISE database M&T schema upgrade completed.
Gathering Config schema(CEPM) stats ....
Gathering Operational schema(MNT) stats .....
% NOTICE: Upgrading ADEOS. Appliance will be rebooted after upgrade completes successfully.
warning: file /opt/xgrid/gc/pxgrid-controller-1.0.4.18-dist.tar.gz: remove failed: No such file or directory
% This application Install or Upgrade requires reboot, rebooting now...
Broadcast message from root@IS137 (pts/3) (Fri Jun 2 12:22:49 2017):
Trying to stop processes gracefully. Reload might take approximately 3 mins
Broadcast message from root@IS137 (pts/3) (Fri Jun 2 12:22:49 2017):
Trying to stop processes gracefully. Reload might take approximately 3 mins
Broadcast message from root@IS137 (pts/3) (Fri Jun 2 12:23:10 2017):
The system is going down for reboot NOW
Broadcast message from root@IS137 (pts/3) (Fri Jun 2 12:23:10 2017):
The system is going down for reboot NOW
The upgrade is now complete.
Cisco ISE と Cisco ADE OS データを含むバックアップを実行して、そのバックアップをリポジトリに保存するには、EXEC モードで backup コマンドを使用します。
(注) |
EXEC モードで backup コマンドを使用する前に、実行コンフィギュレーションをネットワークサーバーなどの安全な場所にコピーするか、Cisco ISE サーバー スタートアップ コンフィギュレーションとして保存する必要があります。このスタートアップ コンフィギュレーションは、バックアップおよびシステム ログから Cisco ISE を復元またはトラブルシューティングする際に使用できます。 backup [{backup-name} repository {repository-name} ise-config encryption-key hash| plain {encryption-key name}] backup [{backup-name} repository {repository-name} ise-operational encryption-key hash| plain {encryption-key name}] |
backup-name |
バックアップ ファイルの名前。最大 100 文字の英数字をサポートします。 |
repository |
バックアップ ファイルを保存するリポジトリを指定します。 |
repository-name |
ファイルをバックアップする場所。最大 80 文字の英数字をサポートします。 |
ise-config |
Cisco ISE 設定データ(Cisco ISE ADE-OS を含む)をバックアップします。 |
ise-operational |
Cisco ISE 動作データをバックアップします。 |
encryption-key |
バックアップを保護するユーザー定義の暗号化キーを指定します。 |
hash |
使用する暗号化された(ハッシュされた)暗号キーを指定(バックアップ保護のためのハッシュ暗号キー)します。40 文字までで指定します。 |
plain |
使用する暗号化されていないプレーン テキスト暗号キーを指定(バックアップ保護のためのプレーン テキスト暗号キー)します。15 文字までで指定します。 |
encryption-key name |
バックアップ用のハッシュ/プレーン フォーマットの暗号キー。 |
デフォルトの動作や値はありません。
EXEC
リリース |
変更内容 |
---|---|
2.0.0.306 |
このコマンドが導入されました。 |
暗号化された(ハッシュされた)パスワードまたは暗号化されていないプレーンテキストのパスワードと ise-config によって、リポジトリへの Cisco ISE と Cisco ADE OS データのバックアップを実行する際に、ユーザー定義の暗号キーを使用してバックアップを暗号化および復号できるようになりました。Cisco ADE OS データのない Cisco ISE アプリケーションのみのバックアップを実行するには、ise-operational コマンドを使用します。
プライマリまたはセカンダリ モニターリング ノードからのみ Cisco ISE 動作データをバックアップできます。
重要 |
バックアップと復元を行う場合、復元によって、ターゲット システムの信頼できる証明書のリストがソース システムの証明書のリストによって上書きされます。バックアップおよび復元機能に内部認証局(CA)の証明書に関連付けられた秘密キーが含まれないことに注意することが非常に重要です。 1 つのシステムから別のシステムにバックアップと復元を行う場合は、エラーを回避するために、次のオプションのいずれかを選択する必要があります。
|
Cisco ISE 設定データをバックアップするには、次のコマンドを使用します。
backup mybackup repository myrepository ise-config encryption-key plain lablab12
ise/admin# backup test repository disk ise-config encryption-key plain Test_1234
Internal CA Store is not included in this backup. It is recommended to export it using "application configure ise" CLI command
Creating backup with timestamped filename: test-CFG-141006-1350.tar.gpg
backup in progress: Starting Backup...10% completed
backup in progress: Validating ISE Node Role...15% completed
backup in progress: Backing up ISE Configuration Data...20% completed
backup in progress: Backing up ISE Logs...45% completed
backup in progress: Completing ISE Backup Staging...50% completed
backup in progress: Backing up ADEOS configuration...55% completed
backup in progress: Moving Backup file to the repository...75% completed
backup in progress: Completing Backup...100% completed
ise/admin#
Cisco ISE 動作データをバックアップするには、次のコマンドを使用します。
backup mybackup repository myrepository ise-operational encryption-key plain lablab12
ise/admin# backup mybackup repository myrepository ise-operational encryption-key plain lablab12
backup in progress: Starting Backup...10% completed
Creating backup with timestamped filename: mybackup-OPS-130103-0019.tar.gpg
backup in progress: starting dbbackup using expdp.......20% completed
backup in progress: starting cars logic.......50% completed
backup in progress: Moving Backup file to the repository...75% completed
backup in progress: Completing Backup...100% completed
ise/admin#
システムログをバックアップするには、EXEC モードで backup-logs コマンドを使用します。この機能を削除するには、このコマンドの no 形式を使用します。
(注) |
EXEC モードで backup-logs コマンドを使用する前に、実行コンフィギュレーションをネットワークサーバーなどの安全な場所にコピーするか、Cisco ISE サーバー スタートアップ コンフィギュレーションとして保存する必要があります。このスタートアップ コンフィギュレーションは、バックアップおよびシステム ログから Cisco ISE を復元またはトラブルシューティングする際に使用できます。 |
backup-logs backup-name repository repository-name {public-key | {encryption-key { hash | plain } encryption-key name}}
backup-name |
バックアップする 1 つまたは複数のファイルの名前。最大 100 文字の英数字をサポートします。 |
repository |
リポジトリ コマンド。 |
repository-name |
ファイルをバックアップする場所。最大 80 文字の英数字をサポートします。 |
public-key |
暗号化のために Cisco ISE が Cisco PKI 公開キーを使用することを指定します。このオプションは、トラブルシューティング用に Cisco TAC にサポート バンドルを提供する場合に選択します。秘密キーを使用してサポート バンドルを復号化できるのは Cisco TAC だけです。オンプレミスで問題をローカルにトラブルシューティングする場合は、encryption-key オプションを選択します。 |
encryption-key |
暗号キーを指定して、バックアップ ログを保護します。 |
hash |
バックアップ ログを保護するためのハッシュされた暗号キー。使用する暗号化された(ハッシュ化された)暗号化キーを指定します。40 文字までで指定します。 |
plain |
バックアップ ログを保護するためのプレーン テキスト暗号キー。使用する暗号化されたプレーンテキストの暗号化キーを指定します。15 文字までで指定します。 |
encryption-key name |
ハッシュまたはプレーン形式の暗号キー。 |
デフォルトの動作や値はありません。
EXEC
リリース |
変更内容 |
---|---|
2.0.0.306 |
このコマンドが導入されました。 |
暗号化された(ハッシュされた)、または暗号化されていないプレーン テキストのパスワード使用して、システム ログをバックアップします。
ise/admin# backup-logs Test repository disk encryption-key plain Test_1234
% Creating log backup with timestamped filename: Test-141006-1351.tar.gpg
% supportbundle in progress: Copying database config files...10% completed
% supportbundle in progress: Copying debug logs...20% completed
% supportbundle in progress: Copying local logs...30% completed
% supportbundle in progress: Copying monitor logs...40% completed
% supportbundle in progress: Copying policy xml...50% completed
% supportbundle in progress: Copying system logs...60% completed
% supportbundle in progress: Moving support bundle to the repository...75% completed
% supportbundle in progress: Completing support bundle generation......100% completed
ise/admin#
ise/admin# backup-logs test repository disk public-key
% Creating log backup with timestamped filename: new-pk-160520-0259.tar.gpg
% supportbundle in progress: Copying database config files...10% completed
% supportbundle in progress: Copying debug logs...20% completed
% supportbundle in progress: Copying local logs...30% completed
% supportbundle in progress: Copying monitor logs...40% completed
% supportbundle in progress: Copying policy xml...50% completed
% supportbundle in progress: Copying system logs...60% completed
% supportbundle in progress: Moving support bundle to the repository...75% completed
% supportbundle in progress: Completing support bundle generation......100% completed
システムクロックを設定するには、EXEC モードで clock コマンドを使用します。システムクロックの設定を無効化するには、このコマンドの no 形式を使用します。
clock [ set {month day hh:min:ss yyyy}]
set |
システム クロックを設定します。 |
month |
現在の月の名前。3 文字までの英字で指定します。たとえば、January は Jan と指定します。 |
day |
現在の日(日付)。有効な値は 0 ~ 31 の範囲です。2 桁までの数値で指定します。 |
hh:mm:ss |
現在の時間(24 時間形式)、分、および秒。 |
yyyy |
現在の年(短縮表記しない) |
デフォルトの動作や値はありません。
EXEC
リリース |
変更内容 |
---|---|
2.0.0.306 |
このコマンドが導入されました。 |
注意 |
Cisco ISE アプライアンスのシステム時刻を変更すると、Cisco ISE アプリケーションを使用できなくなります。 |
システム クロックを設定します。変更を有効にするには、クロックをリセット後に Cisco ISE サーバーを再起動する必要があります。システム時間を変更した場合、導入の異なる Cisco ISE ノード タイプに影響を与えます。
影響から回復するには、次の手順を使用します。
(注) |
インストール後のシステム時刻の変更は、スタンドアロンまたはプライマリ ISE ノードでサポートされていません。 |
誤ってシステム時刻を変更した場合は、次の手順を実行します。
元のシステム時刻(変更される前の時刻)に戻します。
そのノードの CLI から application reset-config ise コマンドを実行します。
そのノードで時刻が変更される前の、正常な既知の最終バックアップから復元します。
(注) |
セカンダリ ノードでシステム時刻を変更すると、導入に使用できなくなります。 |
プライマリ ノードとセカンダリ ノードのシステム時刻を同期するには、次の手順を実行します。
セカンダリ ISE ノードを登録解除します。
プライマリ ISE ノードと同期するようにシステム時刻を修正します。
プライマリ ISE ノードの CLI から application reset-config ise コマンドを実行します。
プライマリ ISE ノードにセカンダリ ISE ノードとして ISE ノードを再登録します。
(注) |
インストール時に設定された正しいシステム時刻に確実に設定されるように、セットアップ ウィザードによってネットワーク タイム プロトコル(NTP)サーバーの指定が要求され、このサーバーとの同期が試行されます。セットアップ中に設定された NTP サーバーが常に到達可能であり、システム時刻が常に正確さを保つようにする必要があります。これは、特に、電源の障害や CMOS バッテリの障害によって BIOS 時刻が破損するというまれな状況において重要です。この場合、リブート時に Cisco ADE-OS のシステム時刻が破損するおそれがあります。セットアップ中に NTP サーバーを設定しない場合は、『Cisco Identity Services Engine Hardware Installation Guide』に記載されているように、システムの BIOS 時刻が協定世界時(UTC)時間帯を基準にして設定されていることを確認する必要があります。 |
ise/admin# clock set August 30 18:07:20 2013
ise/admin# show clock
Fri Aug 30 18:07:26 UTC 2013
ise/admin#
端末画面の内容をクリアするには、EXEC モードで cls コマンドを使用します。
cls
このコマンドには、キーワードおよび引数はありません。 |
デフォルトの動作や値はありません。
EXEC
リリース |
変更内容 |
---|---|
2.0.0.306 |
このコマンドが導入されました。 |
cls は隠しコマンドです。cls は Cisco ISE で使用できますが、コマンドラインで疑問符を入力して表示しようとした場合、CLI インタラクティブヘルプには表示されません。
次の例は、端末の内容をクリアする方法を示しています。
ise/admin# cls
ise/admin#
コンフィギュレーション モードを開始するには、EXEC モードで configure コマンドを使用します。
configure terminal
terminal |
コンフィギュレーション コマンドを端末から実行します。 |
デフォルトの動作や値はありません。
EXEC
リリース |
変更内容 |
---|---|
2.0.0.306 |
このコマンドが導入されました。 |
コンフィギュレーション モードを開始するには、このコマンドを使用します。このモードのコマンドは、入力するとすぐに、実行コンフィギュレーション ファイルへの書き込みを行うことに注意してください。
コンフィギュレーション モードを終了して EXEC モードに戻るには、end 、exit または Ctrl-z を入力します。
コンフィギュレーションに加えた変更内容を表示するには、EXEC モードで show running-config コマンドを使用します。
このコマンドで replace オプションを使用すると、システムにリモート コンフィギュレーションがコピーされ、既存のコンフィギュレーションが上書きされます。
ise/admin# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
ise/admin(config)#
ファイルをコピー元からコピー先にコピーするには、EXEC モードで copy コマンドを使用します。
copy コマンドを使用すると、コアファイルとヒープダンプを Cisco ISE からリモートリポジトリにコピーできます。詳細については、ログ ファイルのコピーにある例 3 を参照してください。
protocol |
コピーの宛先。protocol のキーワード オプションについては、表 2-1 を参照してください。 |
hostname |
コピー先のホスト名。 |
location |
コピー先の場所。 現在の実行コンフィギュレーション ファイルを表します。 |
logs |
システムのログ ファイル。 |
all |
すべての Cisco ISE ログ ファイルをシステムから別の場所にコピーします。すべてのログは、iselogs.tar.gz としてパッケージ化され、リモート ホストの指定されたディレクトリに転送されます。 |
filename |
単一の Cisco ISE ログ ファイルをコピーし、そのファイルをリモート ホストにある指定されたディレクトリに、元の名前で転送できます。 |
log_filename |
show logs コマンドによって表示される Cisco ISE ログファイルの名前(255 文字以内)。 |
mgmt |
Cisco ISE 管理デバッグ ログと Tomcat ログをシステムからコピーし、mgmtlogs.tar.gz としてバンドルしたうえで、リモート ホスト上の指定されたディレクトリに転送します。 |
runtime |
Cisco ISE ランタイム デバッグ ログをシステムからコピーし、runtimelogs.tar.gz としてバンドルしたうえで、リモート ホスト上の指定されたディレクトリに転送します。 |
disk |
ファイルのダウンロードやアップロードが可能なローカルディスク。 |
repository |
ファイルのダウンロードやアップロードが可能なリポジトリ。 |
デフォルトの動作や値はありません。
EXEC
リリース |
変更内容 |
---|---|
2.0.0.306 |
このコマンドが導入されました。 |
3.2 |
このコマンドが変更され、running-config および startup-config 機能がサポートされなくなりました。 |
Cisco ISE の copy コマンドは、システムの実行コンフィギュレーションまたはスタートアップ コンフィギュレーション、およびログファイルを別の場所にコピーします。
copy コマンドの基本的な機能として、1 つの場所から別の場所に、ファイル(システムイメージやコンフィギュレーション ファイルなど)をコピーできます。指定したファイルのコピー元およびコピー先には、Cisco ISE ファイル システムを使用して、サポートされているローカルまたはリモート ファイルの場所を指定できます。使用されているファイル システム(ローカル メモリ ソースまたはリモート システム)によって、コマンドで使用される構文が決定されます。
必要なすべてのコピー元とコピー先の情報、および使用するユーザー名とパスワードを入力できます。または、copy コマンドを入力して、不足情報がある場合にサーバーにプロンプトを表示させることもできます。
コピー プロセスが完全に完了するまでには、数分間かかることがあります。これは、使用しているプロトコルやネットワークによって異なります。
ファイル転送には、ディレクトリに対する相対ファイル名を使用します。
考えられるエラーは標準ファイル転送プロトコル(FTP)のエラーメッセージです。
キーワード |
コピー元またはコピー先 |
---|---|
ftp |
FTP ネットワーク サーバーのコピー元またはコピー先の URL。このエイリアスの構文: ftp:[[[//username [:password]@]location]/directory]/filename |
sftp |
SFTP ネットワーク サーバーのコピー元またはコピー先の URL。このエイリアスの構文: sftp:[[//location]/directory]/filename |
tftp |
TFTP ネットワーク サーバーのコピー元またはコピー先の URL。このエイリアスの構文: tftp:[[//location]/directory]/filename |
ise/admin# copy disk:/ filename repository repository_name
次の copy コマンドを使用して、Cisco ISE システムから別の場所にシステムログファイルをコピーします。
copy logs [protocol://hostname/location]
ログ ファイルをローカル ディスクにコピーするには、次のコマンドを使用します。
ise/admin# copy logs disk:/
Collecting logs...
ise/admin#
ログ ファイルを別の場所にコピーするには、次のコマンドを使用します。
ise/admin# copy disk://mybackup-100805-1910.tar.gz ftp://myftpserver/mydir
Username:
Password:
ise/admin#
Cisco ISE では、時間単位でコア ファイルとヒープ ダンプが /var/tmp ディレクトリから disk:/corefiles ディレクトリに移動します。copy コマンドを使用して、これらのログをローカル ディスクからリモート リポジトリにコピーできます。コア ファイルとヒープ ダンプには、クラッシュの原因の特定に役立つ重要な情報が含まれています。これらのログは、アプリケーションがクラッシュすると作成されます。dir コマンドを使用して、ローカル ディスクでコア ファイルを表示することができます。
ise/admin# copy disk:/corefiles ftp://192.0.2.2/
Username: ftp
Password:
ise36/admin#
ise36/admin# dir
Directory of disk:/
70 May 20 2016 00:57:28 1
4096 May 20 2016 06:34:49 corefiles/
0 May 20 2016 00:57:28 err.out
4096 May 20 2016 00:57:28 lost+found/
Usage for disk: filesystem
51474489344 bytes total used
123938643968 bytes free
184807632896 bytes available
新しい公開キーペアを生成して現在の公開キーをリポジトリにエクスポートし、公開キーを許可キーリストにインポートするには、EXEC モードで crypto コマンドを使用します。公開キー情報を確認し、指定したキーを削除することもできます。
crypto key [ delete {hash | authorized_keys | rsa}]
crypto key [ export {filename | repository}]
crypto key [ generate {rsa}]
crypto key [ import {filename | repository}]
crypto [host_key {add | delete}]
key |
暗号キー操作を実行できます。 |
delete |
公開キー/秘密キー ペアを削除します。 |
hash |
ハッシュ値。80 文字までで指定します。 |
authorized_keys |
許可キーを削除します。 |
rsa |
RSA キー ペアを削除します。 |
export |
リポジトリに公開キー/秘密キー ペアをエクスポートします。 |
filename |
公開キーをエクスポートするファイル名。80 文字までで指定します。 |
repository |
公開キーをエクスポートするリポジトリ。 |
generate |
公開/秘密キー ペアを生成します。 |
rsa |
RSA キー ペアを生成します。 |
import |
公開キー/秘密キー ペアをインポートします。 |
filename |
公開キーをインポートするファイル名。80 文字までで指定します。 |
repository |
公開キーをインポートするリポジトリ。 |
host_key |
暗号ホストキー操作を実行できます。 |
add |
信頼できるホストのキーを追加します。 |
delete |
信頼できるホストのキーを削除します。 |
add |
信頼できるホストのキーを追加します。 |
host |
ホスト名を指定します。 |
delete |
信頼できるホストのキーを削除します。 |
ntpkey |
NTP サーバーから生成された公開キー。 |
デフォルトの動作や値はありません。
EXEC
リリース |
変更内容 |
---|---|
2.0.0.306 |
このコマンドが導入されました。 |
Cisco ADE OS では、管理者およびユーザーの ID への SSH アクセスのためにパスワードなしの公開キー認証をサポートします。
現在のユーザー用に 2048 ビット長の新しい公開キー/秘密キーペアを生成するには、crypto key generate rsa コマンドを使用します。キー属性は固定で、RSA キー タイプをサポートしています。キー ペアがすでにある場合は、パスフレーズを使用して続行する前に上書きを許可するようにメッセージが表示されます。パスフレーズを入力すると、公開/秘密キーにアクセスするたびにパスフレーズを入力するように促されます。パスフレーズが空の場合は、それ以降、パスフレーズを入力するよう促されません。
crypto ntp_import_autokey コマンドを使用して、NTP サーバーから生成された公開キーをインポートします。
次の例は、SFTP リポジトリのキー管理を示しています。
ise/admin# crypto key generate rsa
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
ise/admin# show crypto key
admin public key: ssh-rsa ad:14:85:70:fa:c3:c1:e6:a9:ff:b1:b0:21:a5:28:94 admin@ise
ise/admin# crypto key generate rsa
Private key for user admin already exists. Overwrite? y/n [n]: y
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
ise/admin# show crypto key
admin public key: ssh-rsa 41:ab:78:26:48:d3:f1:6f:45:0d:99:d7:0f:50:9f:72 admin@ise
ise/admin# crypto key export mykey_rsa repository myrepository
ise/admin# show crypto key
admin public key: ssh-rsa f8:7f:8a:79:44:b8:5d:5f:af:e1:63:b2:be:7a:fd:d4 admin@ise
ise/admin# crypto key delete f8:7f:8a:79:44:b8:5d:5f:af:e1:63:b2:be:7a:fd:d4
ise/admin#
ise/admin# crypto key delete rsa
ise/admin# show crypto key
ise/admin#
次の例は、Cisco ISE へのログインに使用できる公開キーのキー管理を示しています。
ise/admin# show crypto authorized_keys
Authorized keys for admin
ise/admin# crypto key delete authorized_keys
ise/admin# show crypto authorized_keys
ise/admin#
ise/admin# crypto key import mykey_rsa repository myrepository
ise/admin# show crypto key
admin public key: ssh-rsa f8:7f:8a:79:44:b8:5d:5f:af:e1:63:b2:be:7a:fd:d4 admin@ise
ise/admin#
ise/admin# crypto host_key add host ise
host key fingerprint added
# Host ise found: line 1 type RSA
2048 1d:72:73:6e:ad:f7:2d:11:ac:23:e7:8c:81:32:c5:ea ise (RSA)
ise/admin#
ise/admin# crypto host_key delete host ise
host key fingerprint for ise removed
ise/admin#
実行したコマンドのエラーまたはイベントを表示するには、EXEC モードで debug コマンドを使用します。
debug [ all | application | backup-restore | cdp | config | copy | locks | logging | snmp | system | transfer | user | utils ]
all |
すべてのデバッグをイネーブルにします。 |
application |
アプリケーション関連のエラーまたはイベントのデバッグをイネーブルにします。
|
backup-restore |
バックアップと復元関連のエラーまたはイベントのデバッグをイネーブルにします。
|
cdp |
Cisco Discovery Protocol 設定関連のエラーまたはイベントのデバッグをイネーブルにします。
|
config |
Cisco ISE 設定関連のエラーまたはイベントのデバッグをイネーブルにします。
|
copy |
copy コマンドのデバッグをイネーブルにします。0 ~ 7 の間でレベルを設定します。0 は重大、7 はすべてを示します。 |
locks |
リソース ロック関連のエラーまたはイベントのデバッグをイネーブルにします。
|
logging |
ロギング コンフィギュレーション関連のエラーまたはイベントのデバッグをイネーブルにします。 all:すべてのロギング コンフィギュレーションのデバッグ出力をイネーブルにします。0 ~ 7 の間でレベルを設定します。0 は重大、7 はすべてを示します。 |
snmp |
SNMP 設定関連のエラーまたはイベントのデバッグをイネーブルにします。 all:すべての SNMP コンフィギュレーションのデバッグ出力をイネーブルにします。0 ~ 7 の間でレベルを設定します。0 は重大、7 はすべてを示します。 |
system |
Cisco ISE システム関連のエラーおよびイベントのデバッグをイネーブルにします。
|
transfer |
ファイル転送のデバッグをイネーブルにします。0 ~ 7 の間でレベルを設定します。0 は重大、7 はすべてを示します。 |
user |
ユーザー管理のデバッグをイネーブルにします。
|
utils |
ユーティリティ設定関連のエラーまたはイベントのデバッグをイネーブルにします。 all:すべてのユーティリティ コンフィギュレーションのデバッグ出力をイネーブルにします。0 ~ 7 の間でレベルを設定します。0 は重大、7 はすべてを示します。 |
デフォルトの動作や値はありません。
EXEC
リリース |
変更内容 |
---|---|
2.0.0.306 |
このコマンドが導入されました。 |
セットアップやコンフィギュレーションのエラーなど、Cisco ISE サーバー内のさまざまなエラーまたはイベントを表示するには、debug コマンドを使用します。
ise/admin# debug all
ise/admin# mkdir disk:/1
ise/admin# 6 [15347]: utils: vsh_root_stubs.c[2742] [admin]: mkdir operation success
ise/admin# rmdir disk:/1
6 [15351]: utils: vsh_root_stubs.c[2601] [admin]: Invoked Remove Directory disk:/1 command
6 [15351]: utils: vsh_root_stubs.c[2663] [admin]: Remove Directory operation success
ise/admin#
ise/admin# undebug all
ise/admin#
Cisco ISE サーバーからファイルを削除するには、EXEC モードで delete コマンドを使用します。
delete [filename disk:/path]
filename |
ファイル名。80 文字までの英数字で指定します。 |
disk:/path |
リポジトリ内のファイルの場所。 |
デフォルトの動作や値はありません。
EXEC
リリース |
変更内容 |
---|---|
2.0.0.306 |
このコマンドが導入されました。 |
コンフィギュレーション ファイルまたはイメージを削除しようとすると、削除を確認するためのプロンプトが表示されます。また、最新の有効なシステム イメージを削除しようとした場合も、削除を確認するためのプロンプトが表示されます。
ise/admin# delete disk:/hs_err_pid19962.log
ise/admin#
Cisco ISE サーバー上のファイルを一覧表示するには、EXEC モードで dir コマンドを使用します。
dir
dir disk:/logs
dir recursive
directory-name |
ディレクトリ名。最大 80 文字の英数字をサポートします。ディレクトリ名の前には disk:/ を指定する必要があります。 |
recursive |
(任意)。ローカル ファイル システムのディレクトリとファイルを一覧表示します。 |
デフォルトの動作や値はありません。
EXEC
リリース |
変更内容 |
---|---|
2.0.0.306 |
このコマンドが導入されました。 |
なし
iseadmin#dir
Directory of disk:/
4096 Jun 19 2022 00:01:31 corefileanalysis/
4096 Jun 18 2022 21:33:58 corefiles/
4096 Jun 18 2022 23:22:31 CSD-config-backup/
4096 Jun 20 2022 14:33:12 gc/
16552 Jun 18 2022 21:35:15 upgraderpms.log
Usage for disk: filesystem
42673885184 bytes total used
220581744640 bytes free
277419163648 bytes available
iseadmin#dir disk:/corefiles
Directory of disk:/
Usage for disk: filesystem
42674413568 bytes total used
220581216256 bytes free
277419163648 bytes available
iseadmin#dir recursive
Directory of disk:/
.:
4096 Jun 19 2022 00:01:31 corefileanalysis/
4096 Jun 18 2022 21:33:58 corefiles/
4096 Jun 18 2022 23:22:31 CSD-config-backup/
4096 Jun 20 2022 14:33:12 gc/
16552 Jun 18 2022 21:35:15 upgraderpms.log
./corefileanalysis:
./corefiles:
./CSD-config-backup:
./gc:
490314 Jun 20 2022 15:01:01 gc_app.log.20220620143312.0.current
Usage for disk: filesystem
42674921472 bytes total used
220580708352 bytes free
277419163648 bytes available
埋め込み型サービスルータコンソールを開始するには、EXEC モードで esr コマンドを使用します。
esr
このコマンドには、キーワードおよび引数はありません。 |
デフォルトの動作や値はありません。
EXEC
リリース |
変更内容 |
---|---|
2.2.0.470 |
このコマンドが導入されました。 |
C5921 ESR ソフトウェアは Cisco ISE リリース 2.2 以降に付属しています。このソフトウェアを使用可能にするには ESR ライセンスが必要です。ESR ライセンスの情報については、『Cisco 5921 Embedded Services Router Integration Guide』を参照してください。
Cisco ISE サーバーからのログアウトによってアクティブなターミナルセッションを終了するか、コンフィギュレーション モードから 1 つ上のモードレベルに移行するには、EXEC モードで exit コマンドを使用します。
このコマンドには、キーワードおよび引数はありません。
exit
デフォルトの動作や値はありません。
EXEC
リリース |
変更内容 |
---|---|
2.0.0.306 |
このコマンドが導入されました。 |
ise/admin# config t
Enter configuration commands, one per line. End with CNTL/Z.
ise/admin(config)# exit
ise/admin#
ユーザーを Cisco ISE サーバーからログアウトさせることで、アクティブなターミナルセッションを強制的に終了させるには、EXEC モードで forceout コマンドを使用します。
forceout username
username |
ユーザー名。最大 31 文字の英数字をサポートします。 |
デフォルトの動作や値はありません。
EXEC
リリース |
変更内容 |
---|---|
2.0.0.306 |
このコマンドが導入されました。 |
ユーザーのアクティブなセッションを強制的に終了させるには、EXEC モードで forceout コマンドを使用します。
ise/admin# forceout user1
ise/admin#
Cisco ISE のパスワードポリシーに準拠したユーザーパスワードを生成するには、EXEC モードで generate-password コマンドを使用します。 。
<word> |
パスワードを生成する必要があるユーザー名(最大長は 31)。 |
デフォルトの動作や値はありません。
EXEC
リリース |
変更内容 |
---|---|
3.1 |
このコマンドが導入されました。 |
新しい管理者ユーザーを追加するときに、Cisco ISE GUI を使用してユーザーパスワードを生成することもできます。Cisco ISE の GUI で、メニューから
の順に選択します。[パスワード(Password)] 領域で [Generate Password(パスワードの生成)] をクリックし、追加する管理者ユーザーのパスワードを自動的に生成して割り当てます。Cisco ISE CLI では、generate-password コマンドを使用して Cisco ISE のパスワードポリシーに準拠した管理者ユーザーパスワードを生成できます。
ise/admin# generate-password <username>
1pNn
ise/admin#configure terminal
Entering configuration mode terminal
ise/admin(config)#username <username> ?
Possible completions:
password Password and user role
ise/admin(config)#username <username> password plain ?
Description: Password. Use of % character must be escaped with (Max Size - 127)
Possible Completions:
<AES encrypted string, min: 1 units, max: 200 units>
ise/admin(config)#username <username> password plain 1pNn ?
Possible completions:
role
ise/admin(config)#username <username> password plain 1pNn role admin ?
Possible completions:
disabled User is diabled
email User email address
<cr>
システムをシャットダウンしてシステムの電源を切るには、EXEC モードで halt コマンドを使用します。
このコマンドには、キーワードおよび引数はありません。
halt
デフォルトの動作や値はありません。
EXEC
リリース |
変更内容 |
---|---|
2.0.0.306 |
このコマンドが導入されました。 |
halt コマンドを実行する前に、Cisco ISE が、バックアップ、復元、インストール、アップグレード、または削除操作を実行中でないことを確認します。まず、application stop ise コマンドを実行して Cisco ISE プロセスを停止します。続いて、halt コマンドを実行します。
Cisco ISE がこれらのいずれかの操作を行っている間に halt コマンドを実行すると、次のいずれかの警告メッセージが表示されます。
WARNING: A backup or restore is currently in progress! Continue with halt?
WARNING: An install/upgrade/remove is currently in progress! Continue with halt?
これらのいずれかの警告が表示された場合、強制終了処理を続行するには Yes と入力し、強制終了をキャンセルするには No と入力します。
halt コマンドの使用時に他のプロセスが実行されていない場合、または表示される警告メッセージに応じて Yes と入力した場合は、次の質問に応答する必要があります。
Do you want to save the current configuration?
既存の Cisco ISE 設定を保存するために Yes と入力すると、次のメッセージが表示されます。
Saved the running configuration to startup successfully
ise/admin# halt
ise/admin#
すべてのセッションに対する非アクティブタイムアウトを設定するには、EXEC モードで idle-timeout コマンドを使用します。
idle-timeout seconds
session-timeout |
すべてのセッションに対して、非アクティブ タイムアウトを設定します。 |
seconds |
非アクティブタイムアウトの秒数。有効な範囲は 0 ~ 999998 です。 |
なし。
EXEC
リリース |
変更内容 |
---|---|
3.2 |
このコマンドが導入されました。 |
idle-timeout コマンドをゼロ(0)に設定すると、タイムアウトが設定されません。
ise/admin# idle-timeout 40
esr ライセンス操作を実行するには、EXEC モードで licence esr コマンドを使用します。
license esr{ classic |smart }
classic |
ESR クラシックライセンスを有効にします。 |
smart |
ESR スマートライセンスを有効にします。 |
デフォルトの動作や値はありません。
EXEC
リリース |
変更内容 |
---|---|
2.2.0.470 |
このコマンドが導入されました。 |
C5921 ESR ソフトウェアは Cisco ISE リリース 2.2 以降に付属しています。このソフトウェアを使用可能にするには ESR ライセンスが必要です。ESR ライセンスの情報については、『Cisco 5921 Embedded Services Router Integration Guide』を参照してください。
Cisco ISE サーバーに新しいディレクトリを作成するには、EXEC モードで mkdir コマンドを使用します。
mkdir directory-name
directory-name |
作成するディレクトリの名前。最大 80 文字の英数字をサポートします。disk:/directory-name を使用します。 |
デフォルトの動作や値はありません。
EXEC
リリース |
変更内容 |
---|---|
2.0.0.306 |
このコマンドが導入されました。 |
disk :/directory-name を使用してください。使用しないと、disk :/directory-name を含める必要があることを示すエラーが表示されます。
ise/admin# mkdir disk:/test
ise/admin# dir
Directory of disk:/
4096 May 06 2010 13:34:49 activemq-data/
4096 May 06 2010 13:40:59 logs/
16384 Mar 01 2010 16:07:27 lost+found/
4096 May 06 2010 13:42:53 target/
4096 May 07 2010 12:26:04 test/
Usage for disk: filesystem
181067776 bytes total used
19084521472 bytes free
20314165248 bytes available
ise/admin#
Cisco ISE サーバーにあるリモートシステムのホスト名を検索するには、EXEC モードで nslookup コマンドを使用します。
nslookup {ip-address |hostname}
nslookup [ {ip-address |hostname} name-server {ip-address }]
nslookup [ {ip-address |hostname} querytype {query-type}]
ip-address |
リモート システムの IPv4 または IPv6 アドレス。最大 64 文字の英数字をサポートします。 |
hostname |
リモート システムのホスト名。最大 64 文字の英数字をサポートします。 |
name-server |
代替ネーム サーバーを指定します。最大 64 文字の英数字をサポートします。 |
querytype |
リモート システムの IPv4 または IPv6 アドレス、あるいはホスト名を問い合わせます。これには、PTR、A、AAAA、SRV のようなクエリー タイプも含まれます。最大 16 文字の英数字をサポートします。 |
デフォルトの動作や値はありません。
EXEC
リリース |
変更内容 |
---|---|
2.0.0.306 |
このコマンドが導入されました。 |
ise/admin# nslookup 1.2.3.4
Trying "4.3.2.1.in-addr.arpa"
Received 127 bytes from 171.70.168.183#53 in 1 ms
Trying "4.3.2.1.in-addr.arpa"
Host 4.3.2.1.in-addr.arpa. not found: 3(NXDOMAIN)
Received 127 bytes from 171.70.168.183#53 in 1 ms
ise/admin#
ise/admin# nslookup ipv6.google.com querytype AAAA
Server: 10.106.230.244
Address: 10.106.230.244#53
Non-authoritative answer:
ipv6.google.com canonical name = ipv6.l.google.com.
ipv6.l.google.com has AAAA address 2404:6800:4007:803::1001
Authoritative answers can be found from:
google.com nameserver = ns4.google.com.
google.com nameserver = ns3.google.com.
google.com nameserver = ns2.google.com.
google.com nameserver = ns1.google.com.
ns1.google.com internet address = 216.239.32.10
ns2.google.com internet address = 216.239.34.10
ns3.google.com internet address = 216.239.36.10
ns4.google.com internet address = 216.239.38.10
ise/admin#
CLI アカウントのパスワードを更新するには、EXEC モードで password コマンドを使用します。
Cisco ISE リリース 3.2 で、ハッシュ記号(#)または感嘆符(!)を使用してパスワードを作成するには、最初にバックスラッシュ記号(\)を入力する必要があります。たとえば、abc\!23、abc\12# のようになります。
(注) |
CLI でインストール中またはインストール後に管理者のパスワードを作成する際に、パスワードの最後の文字の場合を除いて文字「$」を使わないでください。この文字が最初または他の文字の間にあると、パスワードは受け入れられますが、CLI へのログオンには使用できません。 コンソールにログインして CLI コマンドを使用するか、ISE CD または ISO ファイルを取得することによってこれを修正できます。ISO を使用してパスワードをリセットする手順は、次のドキュメントで説明されています。 https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/200568-ISE-Password-Recovery-Mechanisms.html |
Enter old password |
現在の CLI パスワードを入力します。 |
Enter new password |
新しい CLI パスワードを入力します。 |
Confirm new password |
新しい CLI パスワードを確認します。 |
EXEC
リリース |
変更内容 |
---|---|
2.0.0.306 |
このコマンドが導入されました。 |
3.2 |
ハッシュ記号(#)または感嘆符(!)を使用してパスワードを作成するには、最初にバックスラッシュ記号(\)を入力する必要があります。たとえば、abc\!23、abc\12# のようになります。 |
ise/admin# password
Enter old password:
Enter new password:
Confirm new password:
ise/admin#
patch install コマンドを使用してパッチをインストールする前に、そのパッチに付随するリリースノートでパッチのインストール手順を参照してください。リリース ノートには、重要な更新手順が含まれており、従う必要があります。
特定のノードで CLI からアプリケーションのパッチバンドルをインストールするには、EXEC モードで patch install コマンドを使用します。
patch install patch-bundle repository
(注) |
Cisco ISE 分散展開環境では、パッチ バンドルがすべてのセカンダリ ノードで自動的にインストールされるように、管理者ポータルからパッチ バンドルをインストールします。 |
install |
アプリケーションの特定のパッチ バンドルをインストールします。 |
patch-bundle |
パッチ バンドル ファイル名。最大 255 文字の英数字をサポートします。 |
repository |
指定したリポジトリ名にパッチをインストールします。最大 255 文字の英数字をサポートします。 |
展開内でプライマリ管理ノード(PAN)の自動フェールオーバー設定をイネーブルにしている場合は、パッチをインストールする前にディセーブルにしてください。展開内のすべてのノードでパッチ インストールが完了したら、PAN の自動フェールオーバー設定をイネーブルにします。
リリース 2.0 にパッチをインストールするときに、パッチのインストール プロセスでは、ソフトウェアのハッシュ値を確認するように促されません。リリース 2.0 以降では、パッチのインストール ソフトウェアがデジタル署名を使用して、パッチ ソフトウェアの整合性を自動的に確認します。patch install コマンドの出力例については、以下の例を参照してください。
デフォルトの動作や値はありません。
EXEC
リリース |
変更内容 |
---|---|
2.0.0.306 |
このコマンドが導入されました。 |
アプリケーションの特定のパッチ バンドルをインストールします。
既存のパッチの古いバージョンであるパッチをインストールしようとすると、次のエラー メッセージが表示されます。
% Patch to be installed is an older version than currently installed version.
CLI からパッチ インストールのステータスを確認する場合は、Cisco ISE サポート バンドルの ade.log ファイルを参照してください。
展開内で PAN の自動フェールオーバー設定がイネーブルになっていると、次のメッセージが表示されます。
PAN Auto Failover is enabled, this operation is
not allowed! Please disable PAN Auto-failover first.
PAN の自動フェールオーバー設定をディセーブルにして、展開内のすべてのノードでパッチ インストールが完了したらイネーブルに戻します。
ise/admin# patch install ise-patchbundle-2.0.0.306-Patch2-164765.SPA.x86_64.tar.gz disk
%Warning: Patch will be installed only on this node. Install using Primary Administration node GUI to install on all nodes in deployment. Continue? (yes/no) [yes] ?
Save the current ADE-OS running configuration? (yes/no) [yes] ?
Generating configuration...
Saved the ADE-OS running configuration to startup successfully
Initiating Application Patch installation...
Getting bundle to local machine...
Unbundling Application Package...
Verifying Application Signature...
Patch successfully installed
ise/admin#
patch remove コマンドを使用してパッチをロールバックする前に、そのパッチに付随するリリースノートでパッチのロールバック手順を参照してください。リリース ノートには、重要な更新手順が含まれており、従う必要があります。
アプリケーションの特定のパッチバンドルのバージョンを削除するには、EXEC モードで patch remove コマンドを使用します。
patch [ remove {application_name | version}]
(注) |
Cisco ISE 分散展開環境では、管理者ポータルからパッチ バンドルを削除すると、セカンダリ ノードから自動的にパッチが削除されます。 |
remove |
アプリケーションの特定のパッチ バンドルのバージョンを削除するコマンド。 |
application_name |
パッチが削除されるアプリケーションの名前。最大 255 文字の英数字をサポートします。 |
version |
削除されるパッチ バージョン番号。最大 255 文字の英数字をサポートします。 |
展開内でプライマリ管理ノード(PAN)の自動フェールオーバー設定をイネーブルにしている場合は、パッチを削除する前にディセーブルにしてください。パッチの削除が完了したら、PAN の自動フェールオーバー設定をイネーブルに戻すことができます。
デフォルトの動作や値はありません。
EXEC
リリース |
変更内容 |
---|---|
2.0.0.306 |
このコマンドが導入されました。 |
インストールされていないパッチを削除しようとすると、次のエラー メッセージが表示されます。
% Patch is not installed
展開内で PAN の自動フェールオーバー設定がイネーブルになっていると、次のメッセージが表示されます。
PAN Auto Failover is enabled, this operation is
not allowed! Please disable PAN Auto-failover first.
ise/admin# patch remove ise 3
Continue with application patch uninstall? [y/n] y
Application patch successfully uninstalled
ise/admin#
ise/admin# patch remove ise 3
Continue with application patch uninstall? [y/n] y
% Patch is not installed
ise/admin#
Cisco ISE CLI のルートにアクセスするには、EXEC モードで permit rootaccess コマンドを使用します。
permit rootaccess
(注) |
チャレンジ/レスポンスを取得するには、TAC ケースの一部としてチャレンジトークン要求を送信する必要があります。この TAC ケースは 15 分間のみ有効です。15 分以内にチャレンジ/レスポンスを受信しなかった場合は、要求を再度送信する必要があります。TAC から受け取ったルートアクセスは、ルートレベルのアクセスを終了すると、チャレンジ/レスポンスプロセスによってロックされます。 |
このコマンドには、キーワードおよび引数はありません。 |
デフォルトの動作や値はありません。
EXEC
リリース |
変更内容 |
---|---|
2.7.0.349 |
このコマンドが導入されました。 |
次の例は、Cisco ISE CLI のルートにアクセスする方法を示しています。
ise/admin##
ise/admin# permit rootaccess
1. Generate Challenge Token Request
2. Enter Challenge Response for Root Access
3. Show History
4. Exit
Enter CLI Option:
1
Generating Challenge.....................................
Challenge String (Please copy everything between the asterisk lines exclusively):
*****************************************************************************************
GLOX7gAAAQEBAAQAAAABAgAEAAAAAAMACLmJxgub0hitBAAQiUwv+XeD3pnJ4HLnJy30YQUABAAADhAGAANJU0UHAAZJU0VfQ1QIAANJU0UJACcJIDU2NGQ5NjgwLTFmZmEtOWI0ZS0wZjY1LTdlZDllMGQ1M2UzNQo=
*****************************************************************************************
Starting background timer of 15mins
1. Generate Challenge Token Request
2. Enter Challenge Response for Root Access
3. Show History
4. Exit
Enter CLI Option:
2
Please input the response when you are ready .........................
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
Response Signature Verified successfully !
Granting shell access
sh-4.2# ls
2.4backup config CT_Deme_Test_Rpm ct_rolling.txt lost+found threadHeapDumpGntr.sh
backup_anc-2.7.0-115.jar corefiles CT_engine-2.7.0-1.0.x86_64.rpm err.out prrt-server.log tomcat-process-log.txt
backup_guestaccess-upgrade-2.7.0-115.jar corestacks.txt ct_persistent.txt Heap_dump20190705 libciscosafec.so.4.0.1 Thread_dump_2019-07-05-19:07:30
sh-4.2# exit
exit
Root shell exited
1. Generate Challenge Token Request
2. Enter Challenge Response for Root Access
3. Show History
4. Exit
Enter CLI Option:
3
************************************
SN No : 1
************************************
Challenge 3/WcyAAAAQEBAAQAAAABAgAEAAAAAAMACMt89YhCTVWWBAAQwo9lyianfhO4C5u1+v80AQUABAAADhAGAANJU0UHAAZJU0VfQ1QIAANJU0UJACcJIDU2NGQ5NjgwLTFmZmEtOWI0ZS0wZjY1LTdlZDllMGQ1M2UzNQo= generated at 2019-06-12 15:40:01.000
************************************
SN No : 2
************************************
Challenge exNwkAAAAQEBAAQAAAABAgAEAAAAAAMACCIBbk3qhsFGBAAQQ4UKV7KrKQ7uoHEq7qPG1AUABAAADhAGAANJU0UHAAZJU0VfQ1QIAANJU0UJACcJIDU2NGQ5NjgwLTFmZmEtOWI0ZS0wZjY1LTdlZDllMGQ1M2UzNQo= generated at 2019-06-12 15:43:31.000
1. Generate Challenge Token Request
2. Enter Challenge Response for Root Access
3. Show History
4. Exit
Enter CLI Option:
4
Exiting..............
ise/admin#
リモートシステムとの基本的な IPv4 ネットワーク接続を診断するには、EXEC モードで ping コマンドを使用します。
ping {ip-address | hostname} [df df] [packetsize packetsize] [pingcount pingcount]
ip-address |
PING を実行するシステムの IP アドレス。最大 32 文字の英数字をサポートします。 |
hostname |
PING を実行するシステムのホスト名。最大 32 文字の英数字をサポートします。 |
df |
(任意)。パケット フラグメンテーションに関する指定。 |
df |
パケット フラグメンテーションを禁止する場合は、値を 1 に指定し、ローカルにパケットをフラグメントする場合は 2、DF を設定しない場合は 3 に指定します。 |
packetsize |
(任意)。PING パケットのサイズ。 |
packetsize |
PING パケットのサイズを 0 ~ 65507 の範囲で指定します。 |
pingcount |
(任意)。PING エコー要求の数。 |
pingcount |
PING エコー要求の数を 1 ~ 10 の範囲で指定します。 |
デフォルトの動作や値はありません。
EXEC
リリース |
変更内容 |
---|---|
2.0.0.306 |
このコマンドが導入されました。 |
ping コマンドは、エコー要求パケットをアドレスに送信して応答を待ちます。ping 出力は、ホストへのパスの信頼性、パスの遅延、ホストに到達可能かどうかを評価するのに役立ちます。
ise/admin# ping 172.16.0.1 df 2 packetsize 10 pingcount 2
PING 172.16.0.1 (172.16.0.1) 10(38) bytes of data.
18 bytes from 172.16.0.1: icmp_seq=0 ttl=40 time=306 ms
18 bytes from 172.16.0.1: icmp_seq=1 ttl=40 time=300 ms
--- 172.16.0.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 300.302/303.557/306.812/3.255 ms, pipe 2
ise/admin#
リモートシステムとの基本的な IPv6 ネットワーク接続を診断するには、EXEC モードで ping6 コマンドを使用します。これは、IPv4 ping コマンドと類似しています。
ping6 {ip-address} [GigabitEthernet {0-3}][packetsize {packetsize}] [pingcount {pingcount}]
ip-address |
PING を実行するシステムの IP アドレス。最大 64 文字の英数字をサポートします。 |
GigabitEthernet |
(任意)。イーサネット インターフェイス。 |
0-3 |
イーサネット インターフェイスを選択します。 |
packetsize |
(任意)。PING パケットのサイズ。 |
packetsize |
PING パケットのサイズを 0 ~ 65507 の範囲で指定します。 |
pingcount |
(任意)。PING エコー要求の数。 |
pingcount |
PING エコー要求の数を 1 ~ 10 の範囲で指定します。 |
デフォルトの動作や値はありません。
EXEC
リリース |
変更内容 |
---|---|
2.0.0.306 |
このコマンドが導入されました。 |
ping6 コマンドは、エコー要求パケットをアドレスに送信して応答を待ちます。ping 出力は、ホストへのパスの信頼性、パスの遅延、ホストに到達可能かどうかを評価するのに役立ちます。
ping6 コマンドは、既存の ping コマンドに類似しています。ping6 コマンドは、IPv4 のパケット フラグメンテーション(ping コマンドで説明されている df )オプションをサポートしませんが、任意でインターフェイスを指定できます。インターフェイス オプションは、主にインターフェイス固有のアドレスであるリンクローカル アドレスとのピン接続に役立ちます。packetsize オプションと pingcount オプションは、ping コマンドの場合と同様に機能します。
ise/admin# ping6 3ffe:302:11:2:20c:29ff:feaf:da05
PING 3ffe:302:11:2:20c:29ff:feaf:da05(3ffe:302:11:2:20c:29ff:feaf:da05) from 3ffe:302:11:2:20c:29ff:feaf:da05 eth0: 56 data bytes
64 bytes from 3ffe:302:11:2:20c:29ff:feaf:da05: icmp_seq=0 ttl=64 time=0.599 ms
64 bytes from 3ffe:302:11:2:20c:29ff:feaf:da05: icmp_seq=1 ttl=64 time=0.150 ms
64 bytes from 3ffe:302:11:2:20c:29ff:feaf:da05: icmp_seq=2 ttl=64 time=0.070 ms
64 bytes from 3ffe:302:11:2:20c:29ff:feaf:da05: icmp_seq=3 ttl=64 time=0.065 ms
--- 3ffe:302:11:2:20c:29ff:feaf:da05 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3118ms
rat min./aft/max/endive = 0.065/0.221/0.599/0.220 ms, pipe 2
ise/admin#
ise/admin# ping6 3ffe:302:11:2:20c:29ff:feaf:da05 GigabitEthernet 0 packetsize 10 pingcount 2
PING 3ffe:302:11:2:20c:29ff:feaf:da05(3ffe:302:11:2:20c:29ff:feaf:da05) from 3ffe:302:11:2:20c:29ff:feaf:da05 eth0: 10 data bytes
18 bytes from 3ffe:302:11:2:20c:29ff:feaf:da05: icmp_seq=0 ttl=64 time=0.073 ms
18 bytes from 3ffe:302:11:2:20c:29ff:feaf:da05: icmp_seq=1 ttl=64 time=0.073 ms
--- 3ffe:302:11:2:20c:29ff:feaf:da05 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1040ms
rat min./aft/max/endive = 0.073/0.073/0.073/0.000 ms, pipe 2
ise/admin#
このコマンドには、キーワードおよび引数はありません。Cisco ISE オペレーティングシステムをリブートするには、EXEC モードで reload コマンドを使用します。
reload [cli ]
cli |
基盤となる Confd プロセスを再起動し、更新された値で CLI を再度生成します。 |
デフォルトの動作や値はありません。
EXEC
リリース |
変更内容 |
---|---|
2.0.0.306 |
このコマンドが導入されました。 |
3.2 |
cli 変数が導入されました。 |
reload コマンドはシステムをリブートします。コンフィギュレーション情報をファイルに入力し、CLI で永続的なスタートアップ コンフィギュレーションに実行コンフィギュレーションを保存した後で、reload コマンドを使用します。Cisco ISE 管理ポータルセッションで設定を保存します。
reload コマンドを実行する前に、Cisco ISE が、バックアップ、復元、インストール、アップグレード、または削除操作を実行中でないことを確認します。まず、application stop ise コマンドを実行して Cisco ISE プロセスを停止します。続いて、reload コマンドを実行します。
Cisco ISE がこれらの操作を行っている間に reload コマンドを実行すると、次のいずれかの警告メッセージが表示されます。
WARNING: A backup or restore is currently in progress! Continue with reload?
WARNING: An install/upgrade/remove is currently in progress! Continue with reload?
これらのいずれかの警告が表示された場合、リロード処理を続行するには Yes と入力し、キャンセルするには No と入力します。
reload コマンドの使用時に他のプロセスが実行されていない場合、または表示される警告メッセージに応じて Yes と入力した場合は、次の質問に応答する必要があります。
Do you want to save the current configuration?
既存の Cisco ISE 設定を保存するために Yes と入力すると、次のメッセージが表示されます。
Saved the running configuration to startup successfully
展開内で自動フェールオーバーがイネーブルになっていると、次の警告メッセージが表示されます。
PAN Auto Failover feature is enabled, therefore
this operation will trigger a failover if ISE services are not
restarted within the fail-over window. Do you want to continue (y/n)?
続行する場合は「y」、キャンセルする場合は「n」と入力します。
Cisco ISE 3.1 以前のリリースでは、新しい NIC カードを Cisco ISE に追加するなどの操作を実行すると、running-config およびその他の適切なコマンドが自動的に更新され、変更が反映されます。Cisco ISE リリース 3.2 では、reload cli コマンドを入力して Cisco ISE CLI をリロードする必要があります。次に、新しく追加された NIC カードの情報が running-config など関連する領域に表示されます。
(注) |
reload cli コマンドを実行すると、Cisco ISE CLI サービスが数分間中断されます。 |
ise/admin# reload
Do you want to save the current configuration? (yes/no) [yes]? yes
Generating configuration...
Saved the running configuration to startup successfully
Continue with reboot? [y/n] y
Broadcast message from root (pts/0) (Fri Aug 7 13:26:46 2010):
The system is going down for reboot NOW!
ise/admin#
ise/iseadmin#reload cli
%WARNING: : The Cisco ISE CLI will restart now and will be unavailable for a few minutes.
Do you want to continue (yes/no) [no] ?yes
Connection to ise closed.
IP アドレス、マスク、ゲートウェイ、ホスト名、ドメイン名、DNS サーバー、NTP サーバーなど、ADE-OS ネットワーク コンフィギュレーションをリセットするには、EXEC モードで reset-config コマンドを使用します。これらのパラメータは、設定時に要求されるパラメータと基本的に同じです。管理者は、この CLI から管理者パスワードを要求されることはありません。また、このコマンドは現在の ISE 設定または動作データをリセットしません。application reset-config コマンドを使用して、これらのタスクを実行できるからです。
reset-config
デフォルトの動作や値はありません。
EXEC
リリース |
変更内容 |
---|---|
2.2.0.470 |
このコマンドが導入されました。 |
完了時にすべてのサービスが再起動されます。
(注) |
ホスト名を更新すると、古いホスト名を使用している証明書が無効になります。新しいホスト名を使用している新しい自己署名証明書が生成され、HTTPS/EAP で使用されます。このノードで CA 署名付き証明書を使用する場合、正しいホスト名が設定された新しい証明書をインポートします。また、このノードが AD ドメインの一部である場合、続行する前に、AD メンバーシップを削除します。 |
システムの以前のバックアップを復元するには、EXEC モードで restore コマンドを使用します。復元操作は Cisco ISE および Cisco ADE OS 関連のデータを復元します。
Cisco ISE アプリケーションと Cisco ADE OS に関するデータを復元するには、次のコマンドを使用します。
restore [{filename} repository {repository-name} encryption-key hash | plain {encryption-key-name}]
restore [{filename} repository {repository-name} encryption-key hash | plain {encryption-key-name} include-adeos]
filename |
リポジトリに存在するバックアップ ファイルのファイル名。120 文字までの英数字で指定します。
|
||
repository |
repository コマンド。 |
||
repository-name |
バックアップを復元するリポジトリの名前。120 文字までで指定します。 |
||
encryption-key |
(任意)。バックアップを復元するユーザー定義の暗号キーを指定します。 |
||
hash |
バックアップを復元するためのハッシュされた暗号キー。使用する暗号化された(ハッシュ化された)暗号化キーを指定します。40 文字までで指定します。 |
||
plain |
バックアップを復元するためのプレーン テキストの暗号キー。使用する暗号化されたプレーンテキストの暗号化キーを指定します。15 文字までで指定します。 |
||
encryption-key-name |
hash | plain 形式で暗号キーを指定します。 |
||
include-adeos |
ADE-OS 設定データがバックアップに存在する場合、バックアップを復元し、Cisco ISE をリブートします |
展開内でプライマリ管理ノード(PAN)の自動フェールオーバー設定をイネーブルにしている場合は、バックアップを復元する前にこの設定をディセーブルにしてください。復元が完了したら、PAN の自動フェールオーバー設定をイネーブルに戻すことができます。
デフォルトの動作や値はありません。
EXEC
リリース |
変更内容 |
---|---|
2.0.0.306 |
このコマンドが導入されました。 |
Cisco ISE で restore コマンドを使用すると、Cisco ISE サーバーが自動的に再起動します。
データの復元処理で、暗号キーはオプションです。暗号キーを指定しなかった以前のバックアップの復元をサポートするために、暗号キーなしで restore コマンドを使用できます。
展開内で PAN の自動フェールオーバー設定がイネーブルになっていると、次のメッセージが表示されます。
PAN Auto Failover is enabled, this operation is
not allowed! Please disable PAN Auto-failover first.
(注) |
Cisco ISE Release 1.0 および Cisco ISE Release 1.0 MR のバックアップからの復元は、Cisco ISE Release 1.2 ではサポートされません。 |
(注) |
Cisco ISE リリース 1.4 はリリース 1.2 以降で取得したバックアップからの復元をサポートしています。 |
バックアップから Cisco ISE 設定データを復元するには、次のコマンドを使用します。
restore mybackup-CFG-121025-2348.tar.gpg repository myrepository encryption-key plain lablab12
ise/admin# restore latest-jul-15-CFG-140715-2055.tar.gpg repository CUSTOMER-DB-sftp encryption-key plain Test_1234
% Warning: Do not use Ctrl-C or close this terminal window until the restore completes.
Initiating restore. Please wait...
% restore in progress: Starting Restore...10% completed
% restore in progress: Retrieving backup file from Repository...20% completed
% restore in progress: Decrypting backup data...25% completed
% restore in progress: Extracting backup data...30% completed
Leaving the currently connected AD domain
Please rejoin the AD domain from the administrative GUI
% restore in progress: Stopping ISE processes required for restore...35% completed
% restore in progress: Restoring ISE configuration database...40% completed
% restore in progress: Adjusting host data for upgrade...65% completed
UPGRADE STEP 1: Running ISE configuration DB schema upgrade...
- Running db sanity check to fix index corruption, if any...
UPGRADE STEP 2: Running ISE configuration data upgrade...
- Data upgrade step 1/67, NSFUpgradeService(1.2.1.127)... Done in 0 seconds.
- Data upgrade step 2/67, NetworkAccessUpgrade(1.2.1.127)... Done in 0 seconds.
- Data upgrade step 3/67, GuestUpgradeService(1.2.1.146)... Done in 43 seconds.
- Data upgrade step 4/67, NetworkAccessUpgrade(1.2.1.148)... Done in 2 seconds.
- Data upgrade step 5/67, NetworkAccessUpgrade(1.2.1.150)... Done in 2 seconds.
- Data upgrade step 6/67, NSFUpgradeService(1.2.1.181)... Done in 0 seconds.
- Data upgrade step 7/67, NSFUpgradeService(1.3.0.100)... Done in 0 seconds.
- Data upgrade step 8/67, RegisterPostureTypes(1.3.0.170)... Done in 0 seconds.
- Data upgrade step 9/67, ProfilerUpgradeService(1.3.0.187)... Done in 5 seconds.
- Data upgrade step 10/67, GuestUpgradeService(1.3.0.194)... Done in 2 seconds.
- Data upgrade step 11/67, NetworkAccessUpgrade(1.3.0.200)... Done in 0 seconds.
- Data upgrade step 12/67, GuestUpgradeService(1.3.0.208)... Done in 2 seconds.
- Data upgrade step 13/67, GuestUpgradeService(1.3.0.220)... Done in 0 seconds.
- Data upgrade step 14/67, RBACUpgradeService(1.3.0.228)... Done in 15 seconds.
- Data upgrade step 15/67, NetworkAccessUpgrade(1.3.0.230)... Done in 3 seconds.
- Data upgrade step 16/67, GuestUpgradeService(1.3.0.250)... Done in 0 seconds.
- Data upgrade step 17/67, NetworkAccessUpgrade(1.3.0.250)... Done in 0 seconds.
- Data upgrade step 18/67, RBACUpgradeService(1.3.0.334)... Done in 9 seconds.
- Data upgrade step 19/67, RBACUpgradeService(1.3.0.335)... Done in 9 seconds.
- Data upgrade step 20/67, ProfilerUpgradeService(1.3.0.360)... ...Done in 236 seconds.
- Data upgrade step 21/67, ProfilerUpgradeService(1.3.0.380)... Done in 4 seconds.
- Data upgrade step 22/67, NSFUpgradeService(1.3.0.401)... Done in 0 seconds.
- Data upgrade step 23/67, NSFUpgradeService(1.3.0.406)... Done in 0 seconds.
- Data upgrade step 24/67, NSFUpgradeService(1.3.0.410)... Done in 2 seconds.
- Data upgrade step 25/67, RBACUpgradeService(1.3.0.423)... Done in 0 seconds.
- Data upgrade step 26/67, NetworkAccessUpgrade(1.3.0.424)... Done in 0 seconds.
- Data upgrade step 27/67, RBACUpgradeService(1.3.0.433)... Done in 1 seconds.
- Data upgrade step 28/67, EgressUpgradeService(1.3.0.437)... Done in 1 seconds.
- Data upgrade step 29/67, NSFUpgradeService(1.3.0.438)... Done in 0 seconds.
- Data upgrade step 30/67, NSFUpgradeService(1.3.0.439)... Done in 0 seconds.
- Data upgrade step 31/67, CdaRegistration(1.3.0.446)... Done in 2 seconds.
- Data upgrade step 32/67, RBACUpgradeService(1.3.0.452)... Done in 16 seconds.
- Data upgrade step 33/67, NetworkAccessUpgrade(1.3.0.458)... Done in 0 seconds.
- Data upgrade step 34/67, NSFUpgradeService(1.3.0.461)... Done in 0 seconds.
- Data upgrade step 35/67, CertMgmtUpgradeService(1.3.0.462)... Done in 2 seconds.
- Data upgrade step 36/67, NetworkAccessUpgrade(1.3.0.476)... Done in 0 seconds.
- Data upgrade step 37/67, TokenUpgradeService(1.3.0.500)... Done in 1 seconds.
- Data upgrade step 38/67, NSFUpgradeService(1.3.0.508)... Done in 0 seconds.
- Data upgrade step 39/67, RBACUpgradeService(1.3.0.509)... Done in 17 seconds.
- Data upgrade step 40/67, NSFUpgradeService(1.3.0.526)... Done in 0 seconds.
- Data upgrade step 41/67, NSFUpgradeService(1.3.0.531)... Done in 0 seconds.
- Data upgrade step 42/67, MDMUpgradeService(1.3.0.536)... Done in 0 seconds.
- Data upgrade step 43/67, NSFUpgradeService(1.3.0.554)... Done in 0 seconds.
- Data upgrade step 44/67, NetworkAccessUpgrade(1.3.0.561)... Done in 3 seconds.
- Data upgrade step 45/67, RBACUpgradeService(1.3.0.563)... Done in 19 seconds.
- Data upgrade step 46/67, CertMgmtUpgradeService(1.3.0.615)... Done in 0 seconds.
- Data upgrade step 47/67, CertMgmtUpgradeService(1.3.0.616)... Done in 15 seconds.
- Data upgrade step 48/67, CertMgmtUpgradeService(1.3.0.617)... Done in 2 seconds.
- Data upgrade step 49/67, OcspServiceUpgradeRegistration(1.3.0.617)... Done in 0 seconds.
- Data upgrade step 50/67, NSFUpgradeService(1.3.0.630)... Done in 0 seconds.
- Data upgrade step 51/67, NSFUpgradeService(1.3.0.631)... Done in 0 seconds.
- Data upgrade step 52/67, CertMgmtUpgradeService(1.3.0.634)... Done in 0 seconds.
- Data upgrade step 53/67, RBACUpgradeService(1.3.0.650)... Done in 8 seconds.
- Data upgrade step 54/67, CertMgmtUpgradeService(1.3.0.653)... Done in 0 seconds.
- Data upgrade step 55/67, NodeGroupUpgradeService(1.3.0.655)... Done in 1 seconds.
- Data upgrade step 56/67, RBACUpgradeService(1.3.0.670)... Done in 4 seconds.
- Data upgrade step 57/67, ProfilerUpgradeService(1.3.0.670)... Done in 0 seconds.
- Data upgrade step 58/67, ProfilerUpgradeService(1.3.0.671)... Done in 0 seconds.
- Data upgrade step 59/67, ProfilerUpgradeService(1.3.0.675)... ...................................Done in 2118 seconds.
- Data upgrade step 60/67, NSFUpgradeService(1.3.0.676)... Done in 1 seconds.
- Data upgrade step 61/67, AuthzUpgradeService(1.3.0.676)... Done in 20 seconds.
- Data upgrade step 62/67, GuestAccessUpgradeService(1.3.0.676)... .......Done in 454 seconds.
- Data upgrade step 63/67, NSFUpgradeService(1.3.0.694)... Done in 0 seconds.
- Data upgrade step 64/67, ProvisioningRegistration(1.3.0.700)... Done in 0 seconds.
- Data upgrade step 65/67, RegisterPostureTypes(1.3.0.705)... Done in 0 seconds.
- Data upgrade step 66/67, CertMgmtUpgradeService(1.3.0.727)... Done in 0 seconds.
- Data upgrade step 67/67, ProvisioningUpgradeService(1.3.105.181)... .Done in 103 seconds.
UPGRADE STEP 3: Running ISE configuration data upgrade for node specific data...
% restore in progress: Restoring logs...75% completed
% restore in progress: Restarting ISE Services...90% completed
Stopping ISE Monitoring & Troubleshooting Log Processor...
ISE Identity Mapping Service is disabled
ISE pxGrid processes are disabled
Stopping ISE Application Server...
Stopping ISE Certificate Authority Service...
Stopping ISE Profiler Database...
Stopping ISE Monitoring & Troubleshooting Session Database...
Stopping ISE AD Connector...
Stopping ISE Database processes...
Starting ISE Monitoring & Troubleshooting Session Database...
Starting ISE Profiler Database...
Starting ISE Application Server...
Starting ISE Certificate Authority Service...
Starting ISE Monitoring & Troubleshooting Log Processor...
Starting ISE AD Connector...
Note: ISE Processes are initializing. Use 'show application status ise'
CLI to verify all processes are in running state.
% restore in progress: Completing Restore...100% completed
ise/admin#
バックアップから Cisco ISE 動作データを復元するには、次のコマンドを使用します。
restore mybackup-OPS-130103-0019.tar.gpg repository myrepository encryption-key plainlablab12
ise/admin# restore mybackup-OPS-130103-0019.tar.gpg repository myrepository
encryption-key plain lablab12
% Warning: Do not use Ctrl-C or close this terminal window until the restore completes.
Initiating restore. Please wait...
% restore in progress: Starting Restore...10% completed
% restore in progress: Retrieving backup file from Repository...20% completed
% restore in progress: Decrypting backup data...40% completed
% restore in progress: Extracting backup data...50% completed
Stopping ISE Monitoring & Troubleshooting Log Processor...
Stopping ISE Application Server...
Stopping ISE Profiler DB...
Stopping ISE Monitoring & Troubleshooting Session Database...
Stopping ISE Database processes...
% restore in progress: starting dbrestore.......55% completed
% restore in progress: ending dbrestore.......75% completed
checking for upgrade
Starting M&T DB upgrade
ISE Database processes already running, PID: 30124
ISE M&T Session Database is already running, PID: 484
Starting ISE Profiler DB...
Starting ISE Application Server...
ISE M&T Log Processor is already running, PID: 837
Note: ISE Processes are initializing. Use 'show application status ise'
CLI to verify all processes are in running state.
% restore in progress: Completing Restore...100% completed
ise/admin#
Cisco ISE ADE OS データを含む Cisco ISE 設定データを復元するには、次のコマンドを使用します。
restore mybackup-CFG-130405-0044.tar.gpg repository myrepository encryption-key plain Mykey123 include-adeos
ise/admin# restore mybackup-CFG-130405-0044.tar.gpg repository myrepository encryption-key plain Mykey123 include-adeos
% Warning: Do not use Ctrl-C or close this terminal window until the restore completes.
Initiating restore. Please wait...
% restore in progress: Starting Restore...10% completed
% restore in progress: Retrieving backup file from Repository...20% completed
% restore in progress: Decrypting backup data...25% completed
% restore in progress: Extracting backup data...30% completed
% restore in progress: Stopping ISE processes required for restore...35% completed
% restore in progress: Restoring ISE configuration database...40% completed
% restore in progress: Updating Database metadata...70% completed
% restore in progress: Restoring logs...75% completed
% restore in progress: Performing ISE Database synchup...80% completed
% restore in progress: Completing Restore...100% completed
Broadcast message from root (pts/2) (Fri Apr 5 01:40:04 2013):
The system is going down for reboot NOW!
Broadcast message from root (pts/2) (Fri Apr 5 01:40:04 2013):
The system is going down for reboot NOW!
ise/admin#
既存のディレクトリを削除するには、EXEC モードで rmdir コマンドを使用します。
rmdir directory-name
directory-name |
ディレクトリ名。80 文字までの英数字で指定します。 |
デフォルトの動作や値はありません。
EXEC
リリース |
変更内容 |
---|---|
2.0.0.306 |
このコマンドが導入されました。 |
ise/admin# mkdir disk:/test
ise/admin# dir
Directory of disk:/
4096 May 06 2010 13:34:49 activemq-data/
4096 May 06 2010 13:40:59 logs/
16384 Mar 01 2010 16:07:27 lost+found/
4096 May 06 2010 13:42:53 target/
4096 May 07 2010 12:26:04 test/
Usage for disk: filesystem
181067776 bytes total used
19084521472 bytes free
20314165248 bytes available
ise/admin#
ise/admin# rmdir disk:/test
ise/admin# dir
Directory of disk:/
4096 May 06 2010 13:34:49 activemq-data/
4096 May 06 2010 13:40:59 logs/
16384 Mar 01 2010 16:07:27 lost+found/
4096 May 06 2010 13:42:53 target/
Usage for disk: filesystem
181063680 bytes total used
19084525568 bytes free
20314165248 bytes available
ise/admin#
現在のセッションでの現在の端末画面の行数を設定するには、EXEC モードで screen-length コマンドを使用します。
screen-length integer
length |
現在の端末画面に表示する、現在のセッションの行数を設定します。 |
integer |
画面の行数。有効な範囲は 0 ~ 511 です。0 を指定すると、出力画面間での一時停止がディセーブルになります。 |
現在の端末画面に表示する、現在のセッションのデフォルトの行数は 24 です。
EXEC
リリース |
変更内容 |
---|---|
3.2 |
このコマンドが導入されました。 |
システムは length の値を使用して、複数画面の出力時に一時停止するタイミングを決定します。有効な範囲は 0 ~ 511 です。
ise/admin# screen-length 24
現在のセッションでの現在の端末画面の行数を設定するには、EXEC モードで screen-width コマンドを使用します。
screen-width integer
width |
現在の端末画面に表示する、現在のセッションの列数を設定します。 |
integer |
画面の列数。デフォルト値は 0 で、全画面表示に対応します。有効な範囲は 0 ~ 511 です。 |
デフォルト値は 0 で、全画面表示に対応します。
EXEC
リリース |
変更内容 |
---|---|
3.2 |
このコマンドが導入されました。 |
システムは length の値を使用して、複数画面の出力時に一時停止するタイミングを決定します。
ise/admin# screen-width 124
リモートシステムとの暗号化されたセッションを開始するには、EXEC モードで ssh コマンドを使用します。
(注) |
管理者またはユーザーがこのコマンドを使用できます |
ssh [{ip-address | hostname}] [username] [ port {port number | version {1 | 2}]
ssh delete host {ip-address | hostname}
ip-address |
リモートシステムの IPv4/IPv6 アドレス最大 64 文字の英数字をサポートします。 |
hostname |
リモート システムのホスト名。64 文字までの英数字で指定します。 |
username |
SSH を介してログインしているユーザーのユーザー名。 |
port |
(任意)。リモート ホストのポート番号を示します。 |
port number |
ポートの有効範囲は 0 ~ 65,535 です。デフォルト ポートは 22 です。 |
version |
(任意)。バージョン番号を示します。 |
version number |
SSH バージョン番号 1 および 2。デフォルトの SSH バージョンは 2 です。 |
delete |
特定のホストの SSH フィンガープリントを削除します。 |
host |
ホスト キーが削除されるリモート システムのホスト名。 |
ip-address |
リモートシステムの IPv4/IPv6 アドレス最大 64 文字の英数字をサポートします。 |
hostname |
リモート システムのホスト名。最大 64 文字の英数字をサポートします。 |
ディセーブル。
EXEC
リリース |
変更内容 |
---|---|
2.0.0.306 |
このコマンドが導入されました。 |
ssh コマンドは、システムから別のリモートシステムまたはサーバーに、安全な暗号化された接続を確立します。SSH クライアントは、認証および暗号化により、非セキュアなネットワーク上でセキュアな通信ができます。
(注) |
Cisco ISE は、FIPS モードが ISE で有効になっていない場合でも、FIPS モードで発信 SSH または SFTP 接続を開始します。ISE と通信するリモート SSH または SFTP サーバーが FIPS 140-2 承認暗号化アルゴリズムを許可していることを確認します。 Cisco ISE では、組み込みの FIPS 140-2 の検証済み暗号化モジュールが使用されています。FIPS コンプライアンスの要求の詳細については、『FIPS Compliance Letter』を参照してください。 |
ise/admin# ssh 172.79.21.96 admin port 22 version 2
ssh: connect to host 172.79.21.96 port 22: No route to host
ise/admin#
ise/admin# ssh delete host ise
ise/admin#
選択したネットワーク インターフェイス上のトラフィックをダンプするには、EXEC モードで tech コマンドを使用します。
dumptcp |
TCP パッケージをコンソールにダンプします。 |
interface-number |
ギガビット イーサネット インターフェイスの番号(0~3)。 |
count |
最大パッケージ数を指定します。デフォルトは連続的です(制限なし)。 |
package-count |
1 ~ 10000 をサポートします。 |
interface |
インターフェイス名を指定します |
console |
判読可能な TCP パケットをコンソールに出力します |
filter |
TCP パケットからフィルタリングするコンテンツを指定します |
time-limit |
時間に基づいてコマンドの実行を制限します。デフォルトは 5 分です。 |
filename |
キャプチャした TCP パケットを格納するファイルの名前を指定します。 |
localdisk |
ファイルが圧縮され、ノードの disk:/dumptcp/ に保存されます |
file-size |
生成するファイルのサイズを MB 単位で指定します。デフォルトは 10MB、最大で 100MB となります(ディスクまたはリポジトリに保存する場合のみ)。 |
no-of-files |
生成するファイル数を指定します。デフォルトは 1 です。 |
repository |
生成されたファイルを保存する場所を指定します。 |
iostat |
3 秒あたりの中央処理装置(CPU)の統計情報およびデバイスとパーティションの入出力統計情報をコンソールにダンプします。Linux の iostat コマンドを参照してください。 |
iotop |
ISE ノード上のプロセスごとに正確な I/O 使用率を提供します。 |
killgdb |
ProcessID に基づいて GDB プロセスを強制終了します |
mpstat |
コンソールに送信されるプロセッサ関連情報をダンプします。Linux の mpstat コマンドを参照してください。 |
netstat |
3 秒あたりのコンソールに送信されるネットワーク関連情報をダンプします。Linux の netstat コマンドを参照してください。 |
top |
実行中のシステムのダイナミックなリアルタイム ビューをダンプします。バッチ モードで 5 秒ごとに実行されます。Linux の top コマンドを参照してください。 |
vmstat |
3 秒あたりのメモリ、プロセスとページング サマリー情報をダンプします。Linux の vmstat コマンドを参照してください。 |
ディセーブル。
EXEC
リリース |
変更内容 |
---|---|
2.0.0.306 |
このコマンドが導入されました。 |
tech dumptcp の出力で bad UDP cksum の警告が表示された場合、問題の原因ではない場合があります。tech dumptcp コマンドは、イーサネット マイクロプロセッサを介して終了する前に、発信パケットを調べます。最新のイーサネット チップは発信パケットのチェックサムを計算しますが、オペレーティング システム ソフトウェアのスタックは実行しません。したがって、発信パケットが bad UDP cksum として宣言されることは異常ではありません。
Cisco ISE リリース 3.0 以降、tech dumptcp コマンドには使用可能なインターフェイスとして次のオプションがあります。
br-<...>
docker0
GigabitEthernet0(および使用可能な場合は他の GigabitEthernet インターフェイス)
lo
veth<...>
ise/admin# tech dumptcp 0 count 2
Invoking tcpdump. Press Control-C to interrupt.
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
2 packets captured
2 packets received by filter
0 packets dropped by kernel
02:38:14.869291 IP (tos 0x0, ttl 110, id 4793, offset 0, flags [DF], proto: TCP (6), length: 40) 10.77.202.52.1598 > 172.21.79.91.22: ., cksum 0xe105 (correct),
234903779:234903779(0) ack 664498841 win 63344
02:38:14.869324 IP (tos 0x0, ttl 64, id 19495, offset 0, flags [DF], proto: TCP (6), length: 200) 172.21.79.91.22 > 10.77.202.52.1598: P 49:209(160) ack 0 win
12096
ise/admin#
ise/admin# tech iostat
Linux 2.6.18-348.el5 (ise) 02/25/13
avg-cpu: %user %nice %system %iowait %steal %idle
7.26 0.73 4.27 0.77 0.00 86.97
Device: tps Blk_read/s Blk_wrtn/s Blk_read Blk_wrtn
sda 16.05 415.47 1802.16 3761049 16314264
sda1 0.01 0.23 0.00 2053 22
sda2 0.02 0.22 0.04 1982 354
sda3 0.01 0.29 0.02 2626 152
sda4 0.00 0.00 0.00 14 0
sda5 0.00 0.16 0.00 1479 0
sda6 0.49 0.24 7.45 2189 67400
sda7 15.51 414.27 1794.66 3750186 16246336
ise/admin#
ise/admin# tech mpstat
Linux 2.6.18-348.el5 (ise) 02/25/13
02:41:25 CPU %user %nice %sys %iowait %irq %soft %steal %idle intr/s
02:41:25 all 7.07 0.70 3.98 0.74 0.02 0.14 0.00 87.34 1015.49
ise/admin#
現在のセッションの現在の回線に接続される端末のタイプを指定するには、EXEC モードで terminal コマンドを使用します。
terminal
type |
端末の名前とタイプを定義し、そのサービスのタイプを提供するホストによる端末ネゴシエーションを許可します。80 文字までの英数字で指定します。 |
VT100
EXEC
リリース |
変更内容 |
---|---|
2.0.0.306 |
このコマンドが導入されました。 |
3.2 |
コマンドが更新され、変数 terminal-type がサポートされなくなりました |
VT100 以外の場合は、端末タイプを示します。
show terminal コマンドを使用して、端末タイプに関する情報を表示することもできます。
ise/admin# terminal vt220
ise/admin#
パケットが宛先のアドレスに送信されるときに実際に通るルートを検出するには、EXEC モードで traceroute コマンドを使用します。
traceroute [ip-address | hostname]
ip-address |
リモート システムの IPv4 アドレス。最大 64 文字の英数字をサポートします。 |
hostname |
リモート システムのホスト名。最大 64 文字の英数字をサポートします。 |
デフォルトの動作や値はありません。
EXEC
リリース |
変更内容 |
---|---|
2.0.0.306 |
このコマンドが導入されました。 |
ise/admin# traceroute 172.16.0.11
traceroute to 172.16.0.11 (172.16.0.11), 30 hops max, 38 byte packets
1 172.16.0.11 0.067 ms 0.036 ms 0.032 ms
ise/admin#
デバッグ機能を無効にするには、EXEC モードで undebug コマンドを使用します。
undebug [ all | application | backup-restore | cdp | config | copy | locks | logging | snmp | system | transfer | user | utils]
all |
すべてのデバッグをディセーブルにします |
application |
アプリケーション ファイル。
|
backup-restore |
ファイルをバックアップおよび復元します。
|
cdp |
Cisco Discovery Protocol(CDP)コンフィギュレーション ファイル。
|
config |
コンフィギュレーション ファイル。
|
copy |
コピー コマンド。 |
locks |
リソース ロッキング。
|
logging |
ロギング コンフィギュレーション ファイル。 all:ロギング コンフィギュレーションのすべてのデバッグ出力をディセーブルにします。 |
snmp |
SNMP コンフィギュレーション ファイル。 all:SNMP コンフィギュレーションのすべてのデバッグ出力をディセーブルにします。 |
system |
システム ファイル。
|
transfer |
ファイル転送。 |
user |
ユーザーの管理。
|
utils |
ユーティリティ コンフィギュレーション ファイル。 all:すべてのユーティリティ コンフィギュレーションのデバッグ出力をディセーブルにします。 |
デフォルトの動作や値はありません。
EXEC
リリース |
変更内容 |
---|---|
2.0.0.306 |
このコマンドが導入されました。 |
ise/admin# undebug all
ise/admin#
現在のユーザーの詳細を表示するには、EXEC モードで who コマンドを使用します。
who
このコマンドには、キーワードおよび引数はありません。 |
デフォルトの動作や値はありません。
EXEC
リリース |
変更内容 |
---|---|
3.2 |
このコマンドが導入されました。 |
なし
次に、who コマンドの出力例を示します。
ise/admin# who
Session User Context From Proto Date Mode
*188 admin cli xx.xxx.xxx.xx ssh 17:05:50 operational