O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este documento descreve como fazer backup de dados de configuração sob demanda e de dados de operação do Identity Service Engine (ISE).
A Cisco recomenda que você tenha conhecimento destes tópicos:
As informações neste documento são baseadas nestas versões de software e hardware:
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Outra estratégia importante para garantir a disponibilidade do ISE no ambiente é ter uma estratégia de backup sólida. Há dois tipos de backups do ISE: backup de configuração e backup operacional.
O Cisco ISE permite fazer backup dos dados do PAN primário e do nó de monitoramento. O backup pode ser feito na CLI ou na interface do usuário.
Dados de configuração- Contém dados de configuração do sistema operacional específicos do aplicativo e do Cisco ADE. O backup pode ser feito via PAN principal usando a GUI ou CLI.
Dados operacionais- Contém dados de monitoramento e solução de problemas. O backup pode ser feito por meio da GUI do PAN primário ou usando a CLI para o nó de monitoramento.
Os backups são armazenados em um repositório e podem ser restaurados do mesmo repositório. Você pode programar backups para execução automática ou executá-los manualmente sob demanda. Você pode exibir o status de um backup na GUI ou na CLI, mas pode exibir o status de uma restauração somente na CLI.
Caution: O Cisco ISE não oferece suporte a snapshots do VMware para backup de dados do ISE. Usar snapshots VMware ou qualquer backup de terceiros para fazer backup dos dados do ISE resulta na interrupção dos serviços do Cisco ISE.
Etapa 1. Configurar um repositório consulte Como configurar Repositório no ISE
Etapa 2. Faça login no ISE , navegue para Administration > System > Backup & Restore, selecione Configuration Data Backup, clique em Backup Now, conforme mostrado na imagem:
Etapa 3. Forneça Nome do Backup, Nome do Repositório e Chave de Criptografia e clique em Backup.
Dica: Certifique-se de que se lembra da chave de criptografia.
Note: O backup de configuração do ISE contém certificados confiáveis e do sistema e não contém certificados CA (Certificate Authority) internos.
Para fazer backup do armazenamento interno da autoridade de certificação (CA) manualmente da CLI do ISE. Faça login no nó de nó administrativo primário (PAN) do ISE via SSH e execute o aplicativo de comando configure ise > selecione a opção 7 para Exportar armazenamento interno de CA.
ise/admin# application configure ise Selection configuration option [1]Reset M&T Session Database [2]Rebuild M&T Unusable Indexes [3]Purge M&T Operational Data [4]Reset M&T Database [5]Refresh Database Statistics [6]Display Profiler Statistics [7]Export Internal CA Store [8]Import Internal CA Store [9]Create Missing Config Indexes [10]Create Missing M&T Indexes [11]Enable/Disable ACS Migration [12]Generate Daily KPM Stats [13]Generate KPM Stats for last 8 Weeks [14]Enable/Disable Counter Attribute Collection [15]View Admin Users [16]Get all Endpoints [17]Enable/Disable Wifi Setup [18]Reset Config Wifi Setup [19]Establish Trust with controller [20]Reset Context Visibility [21]Synchronize Context Visibility With Database [22]Generate Heap Dump [23]Generate Thread Dump [24]Force Backup Cancellation [25]CleanUp ESR 5921 IOS Crash Info Files [0]Exit 7 Export Repository Name: FTP-Repo Enter encryption-key for export: Security Protocol list Start Inside Session facade init Old Memory Size : 7906192 Old Memory Size : 7906192 Export in progress... Old Memory Size : 7906192 The following 5 CA key pairs were exported to repository 'FTP-Repo' at 'ise_ca_key_pairs_of_ise': Subject:CN=Certificate Services Root CA - ise Issuer:CN=Certificate Services Root CA - ise Serial#:0x08f06033-2a4c4fcc-b297e75a-04f11bf9 Subject:CN=Certificate Services Node CA - ise Issuer:CN=Certificate Services Root CA - ise Serial#:0x3a0e8d8a-5a2846be-a902c280-b5d678aa Subject:CN=Certificate Services Endpoint Sub CA - ise Issuer:CN=Certificate Services Node CA - ise Serial#:0x33b14150-596c4552-ad0a9ab1-9541f0bb Subject:CN=Certificate Services Endpoint RA - ise Issuer:CN=Certificate Services Endpoint Sub CA - ise Serial#:0x37e17494-cf1d4372-bf0ba1e6-83653826 Subject:CN=Certificate Services OCSP Responder - ise Issuer:CN=Certificate Services Node CA - ise Serial#:0x68a694ed-bc48481d-bc6cc58e-60a44a61 ise CA keys export completed successfully
Etapa 1. Configurar um repositório consulte Como configurar Repositório no ISE
Etapa 2. Faça login na CLI do nó PAN e execute o comando:
backup <nome do arquivo de backup> repositório <nome do repositório> ise-config encryption-key plain <chave de criptografia>
ise/admin# backup ConfigBackup-CLI repository FTP-Repo ise-config encryption-key plain% Internal CA Store is not included in this backup. It is recommended to export it using "application configure ise" CLI command % Creating backup with timestamped filename: ConfigBackup-CLI-CFG10-200326-0705.tar.gpg % backup in progress: Starting Backup...10% completed % backup in progress: Validating ISE Node Role...15% completed % backup in progress: Backing up ISE Configuration Data...20% completed % backup in progress: Backing up ISE Indexing Engine Data...45% completed % backup in progress: Backing up ISE Logs...50% completed % backup in progress: Completing ISE Backup Staging...55% completed % backup in progress: Backing up ADEOS configuration...55% completed % backup in progress: Moving Backup file to the repository...75% completed % backup in progress: Completing Backup...100% completed ise/admin#
Etapa 1. Configurar um repositório consulte Como configurar Repositório no ISE
Etapa 2. Inicie o backup operacional do ISE.
Faça login na GUI do ISE, navegue para Administration > System > Backup & Restore, selecione Operational Data Backup, clique em Backup Now, como mostrado na imagem:
Etapa 3. Forneça Nome do Backup, Nome do Repositório e Chave de Criptografia e clique em Backup.
Dica: Certifique-se de que se lembra da chave de criptografia.
Etapa 1.Configurar um repositório consulte Como configurar o repositório no ISE
Etapa 2. Faça login na CLI do nó MNT principal e execute o comando:
backup <nome do arquivo de backup> repositório <nome do repositório> ise-operational encryption-key plain <chave de criptografia>
ise/admin# backup Ops-Backup-CLI repository FTP-Repo ise-operational encryption-key plain <backup password> % Creating backup with timestamped filename: Ops-Backup-CLI-OPS10-200326-0719.tar.gpg % backup in progress: Starting Backup...10% completed % backup in progress: starting dbbackup using expdp.......20% completed % backup in progress: starting cars logic.......50% completed % backup in progress: Moving Backup file to the repository...75% completed % backup in progress: Completing Backup...100% completed ise/admin#
Navegue até Administration > System > Backup & Restore (Administração > Sistema > Backup e restauração) para ver o progresso do backup de dados de configuração, como mostrado na imagem:
Navegue até Administration > System > Backup & Restore Para revisar o progresso do backup de dados operacionais , como mostrado na imagem:
Você também pode verificar o progresso do backup de configuração a partir da CLI do nó PAN.
ise/admin# show backup status %% Configuration backup status %% ---------------------------- % backup name: ConfigBackup-CLI % repository: FTP-Repo % start date: Thu Mar 26 07:05:11 IST 2020 % scheduled: no % triggered from: CLI % host: % status: Backup is in progress % progress %: 50 % progress message: Backing up ISE Logs %% Operation backup status %% ------------------------ % No data found. Try 'show backup history' or ISE operation audit report ise/admin#
Quando o backup for concluído, você poderá ver o Status do backup como bem-sucedido.
Verifique se o serviço ISE Indexing Engine está em execução nos nós de administrador do ISE.
ise-1/admin# show application status ise ISE PROCESS NAME STATE PROCESS ID -------------------------------------------------------------------- Database Listener running 15706 Database Server running 89 PROCESSES Application Server running 25683 Profiler Database running 23511 ISE Indexing Engine running 28268 AD Connector running 32319 M&T Session Database running 23320 M&T Log Processor running 16272
Para depurar a restauração de backup no ISE, use as seguintes depurações:
ise-1/admin# debug backup-restore backup ? <0-7> Set level, from 0 (severe only) to 7 (all) <cr> Carriage return. ise-1/pan# debug backup-restore backup 7 ise-1/pan#
ise-1/pan# 6 [25683]:[info] backup-restore:backup: br_history.c[549] [system]: ISE backup/restore initiated by web UI as ise.br.status is 'in-progress' in /tmp/ise-cfg-br-flags
7 [25683]:[debug] backup-restore:backup: br_backup.c[600] [system]: initiating backup Config-Backup to repos FTP-Repo
7 [25683]:[debug] backup-restore:backup: br_backup.c[644] [system]: no staging url defined, using local space
7 [25683]:[debug] backup-restore:backup: br_backup.c[60] [system]: flushing the staging area
7 [25683]:[debug] backup-restore:backup: br_backup.c[673] [system]: creating /opt/backup/backup-Config-Backup-1587431770
7 [25683]:[debug] backup-restore:backup: br_backup.c[677] [system]: creating /opt/backup/backup-Config-Backup-1587431770/backup/cars
7 [25683]:[debug] backup-restore:backup: br_backup.c[740] [system]: creating /opt/backup/backup-Config-Backup-1587431770/backup/ise
7 [25683]:[debug] backup-restore:backup: br_backup.c[781] [system]: calling script /opt/CSCOcpm/bin/isecfgbackup.sh
6 [25683]:[info] backup-restore:backup: br_backup.c[818] [system]: adding ADEOS files to backup
6 [25683]:[info] backup-restore:backup: br_backup.c[831] [system]: Backup password provided by user
6 [25683]:[info] backup-restore:backup: br_backup.c[190] [system]: No post-backup entry in the manifest file for ise
7 [25683]:[debug] backup-restore:backup: br_backup.c[60] [system]: flushing the staging area
6 [25683]:[info] backup-restore:backup: br_backup.c[912] [system]: backup Config-Backup-CFG10-200421-0646.tar.gpg to repository FTP-Repo: success
6 [25683]:[info] backup-restore:backup: br_history.c[487] [system]: updating /tmp/ise-cfg-br-flags with status: complete and message: backup Config-Backup-CFG10-200421-0646.tar.gpg to repository FTP-Repo: success
Use no debug backup backup-restore 7 para desativar as depurações no nó.
ise-1/admin# no debug backup-restore backup 7