在执行模式下开始思科 ISE CLI 会话
当您在思科 ISE CLI 中启动会话时,您应在执行模式下开始。在执行模式下,您有权访问思科 ISE 服务器中的所有项目、执行系统级别的配置,以及生成运行日志。
此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
思科可能会在某些地方提供本内容的当地语言翻译版本。请注意,翻译版本仅供参考,如有任何不一致之处,以本内容的英文版本为准。
本章介绍在执行模式下使用的思科 ISE 命令行界面 (CLI) 命令。本章的每个命令之后会随附命令使用、命令语法、使用指南和一个或多个示例的简要说明。
当您在思科 ISE CLI 中启动会话时,您应在执行模式下开始。在执行模式下,您有权访问思科 ISE 服务器中的所有项目、执行系统级别的配置,以及生成运行日志。
![]() 注 |
application install 命令只能用于安装热补丁。 |
要删除思科 ISE 之外的特定应用,请在执行模式下使用 application install 命令。要删除思科 ISE 之外的应用,请使用 application remove 命令。
application [ install {application-bundle} {remote-repository-name}]
install |
安装特定应用。 |
application-bundle |
应用捆绑包文件名。最多支持 255 个字母数字字符。 |
remote-repository-name |
远程存储库名称。最多支持 255 个字母数字字符。 |
无默认行为或值。
EXEC
版本 |
修改 |
---|---|
2.0.0.306 |
引入了此命令。 |
在设备上安装指定应用捆绑包。系统将从指定存储库中提取应用捆绑包文件。
如果您在其他应用安装或删除操作正在进行时发出 application install 或 application remove 命令,将显示以下警告消息:
An existing application install, remove, or upgrade is in progress. Try again shortly.
ise/admin# application install ise-hotpatch-appbundle-x.x.tar.gz myrepository
Do you want to save the current configuration? (yes/no) [yes]? yes
Generating configuration...
Saved the running configuration to startup successfully
Initiating Application installation...
Extracting ISE database content...
Starting ISE database processes...
Restarting ISE database processes...
Creating ISE M&T session directory...
Performing ISE database priming...
Application successfully installed
ise/admin#
在执行模式下使用 application configure 命令:
执行 M&T 操作
刷新并显示与分析器相关的统计信息
导出和导入用于备份和恢复思科 ISE CA 证书及密钥的选项
生成关键性能指标 (KPM) 统计信息
启用或禁用 ISE 计数器属性数据集合
application [ configure {application-name}]
configure |
配置特定应用。 |
application-name |
应用名称。最多支持 255 个字母数字字符。 |
无默认行为或值。
EXEC
版本 |
修改 |
---|---|
2.0.0.306 |
引入了此命令。 |
3.0 |
无线设置支持已删除。 |
您可以使用此命令在思科 ISE 节点上更新 M&T 数据库和索引,导入和导出思科 ISE CA 证书及密钥,生成关键性能指标 (KPM) 统计信息,并启用或禁用 ISE 计数器属性数据集合。
ise/admin# application configure ise
Selection configuration option
[1]Reset M&T Session Database
[2]Rebuild M&T Unusable Indexes
[3]Purge M&T Operational Data
[4]Reset M&T Database
[5]Refresh Database Statistics
[6]Display Profiler Statistics
[7]Export Internal CA Store
[8]Import Internal CA Store
[9]Create Missing Config Indexes
[10]Create Missing M&T Indexes
[12]Generate Daily KPM Stats
[13]Generate KPM Stats for last 8 Weeks
[14]Enable/Disable Counter Attribute Collection
[15]View Admin Users
[16]Get all Endpoints
[19]Establish Trust with controller
[20]Reset Context Visibility
[21]Synchronize Context Visibility With Database
[22]Generate Heap Dump
[23]Generate Thread Dump
[24]Force Backup Cancellation
[25]CleanUp ESR 5921 IOS Crash Info Files
[26]Recreate undotablespace
[27]Configure TCP params
[28]Reset Upgrade Tables and Proceed with upgrade
[29]Recreate Temp tablespace
[30]Clear Sysaux tablespace
[31]Fetch SGA/PGA Memory usage
[32]Generate Self-Signed Admin Certificate
[33]View Certificates in NSSDB or CA_NSSDB
[0]Exit
![]() 注 |
思科 ISE 3.0 及更高版本不支持无线设置(Wifi 设置)。 |
![]() 注 |
思科 ISE 3.1 及更高版本不支持 ACS 迁移。 |
只有当部署中没有思科 ISE 服务器时,您才必须重置监控数据库。
![]() 注 |
我们建议同时重置主要和次要监控节点数据库以防止日志文件差异。 |
要配置监控数据库相关任务,请使用 application configure ise 命令:
要重置监控会话数据库,请使用选项 1。
![]() 注 |
重置选项会导致 ISE 服务在系统完成重启前暂时不可用。 |
要重新构建监控数据库中的不可用索引,请使用选项 2。
要清除监控运行数据,请使用选项 3。
清除选项用于清除数据,会通过提示符询问保留天数。
要重置监控数据库,请使用选项 4。
重置选项用于将数据库重置为出厂默认设置,会永久删除所有数据。如果文件占用了文件系统的过多空间,您可以重置数据库。
![]() 注 |
重置选项会导致 ISE 服务在系统完成重启前暂时不可用。 |
要刷新监控数据库统计信息,请使用选项 5。
要重置监控会话数据库,请使用选项 1。
ise/admin# application configure ise
Selection ISE configuration option
[1]Reset M&T Session Database
[2]Rebuild M&T Unusable Indexes
[3]Purge M&T Operational Data
[4]Reset M&T Database
[5]Refresh Database Statistics
[6]Display Profiler Statistics
[7]Export Internal CA Store
[8]Import Internal CA Store
[9]Create Missing Config Indexes
[10]Create Missing M&T Indexes
[11]Enable/Disable ACS Migration
[12]Generate Daily KPM Stats
[13]Generate KPM Stats for last 8 Weeks
[14]Enable/Disable Counter Attribute Collection
[15]View Admin Users
[16]Get all Endpoints
[17]Exit
1
You are about to reset the M&T session database. Following this operation, an application restart will be required.
Are you sure you want to proceed? y/n [n]: y
TimesTen Daemon stopped.
TimesTen Daemon startup OK.
Restarting application
Stopping ISE Monitoring & Troubleshooting Log Processor...
ISE Identity Mapping Service is disabled
ISE pxGrid processes are disabled
Stopping ISE Application Server...
Stopping ISE Certificate Authority Service...
Stopping ISE Profiler Database...
Stopping ISE Monitoring & Troubleshooting Session Database...
Stopping ISE AD Connector...
Stopping ISE Database processes...
iptables: No chain/target/match by that name.
iptables: No chain/target/match by that name.
Starting ISE Monitoring & Troubleshooting Session Database...
Starting ISE Profiler Database...
Starting ISE Application Server...
Starting ISE Certificate Authority Service...
Starting ISE Monitoring & Troubleshooting Log Processor...
Starting ISE AD Connector...
Note: ISE Processes are initializing. Use 'show application status ise'
CLI to verify all processes are in running state.
2
You are about to rebuild the M&T database unusable indexes.
Are you sure you want to proceed? y/n [n]: y
Starting to rebuild indexes
Completed rebuild indexes
3
Enter number of days to be retained in purging MnT Operational data [between 1 to 90 days]
For instance, Entering 20 will purge MnT Operational data older than 20 days
Enter 'exit' to return to the main menu without purging
Enter days to be retained: 20
You are about to purge M&T data older than 20 from your database.
Are you sure you want to proceed? y/n [n]: y
M&T Operational data older than 20 is getting removed from database
4
You are about to reset the M&T database. Following this operation, application will be restarted.
Are you sure you want to proceed? y/n [n]: y
Stopping application
Stopping ISE Monitoring & Troubleshooting Log Processor...
ISE Identity Mapping Service is disabled
ISE pxGrid processes are disabled
Stopping ISE Application Server...
Stopping ISE Certificate Authority Service...
Stopping ISE Profiler Database...
Stopping ISE Monitoring & Troubleshooting Session Database...
Stopping ISE AD Connector...
Stopping ISE Database processes...
Starting Database only
Creating ISE M&T database tables...
Restarting application
ISE M&T Log Processor is not running
ISE Identity Mapping Service is disabled
ISE pxGrid processes are disabled
ISE Application Server process is not running
ISE Certificate Authority Service is not running
ISE Profiler Database is not running
ISE M&T Session Database is not running
ISE AD Connector is not running
Stopping ISE Database processes...
Starting ISE Monitoring & Troubleshooting Session Database...
Starting ISE Profiler Database...
Starting ISE Application Server...
Starting ISE Certificate Authority Service...
Starting ISE Monitoring & Troubleshooting Log Processor...
Starting ISE AD Connector...
Note: ISE Processes are initializing. Use 'show application status ise'
CLI to verify all processes are in running state.
5
You are about to Refresh Database statistics
Are you sure you want to proceed? y/n [n]: y
Starting to terminate long running DB sessions
Completed terminating long running DB sessions
Gathering Config schema(CEPM) stats ........
Gathering Operational schema(MNT) stats ....
Completed Refresh Database statistics
要按探测器和类型显示分析事件的实时统计信息,请使用 application configure 命令中的 Display Profiler Statistics 选项。系统只会从策略服务节点收集此数据,并且您无法在监控节点中看到此数据。
它利用现有的 JMX 计数器(之前需要检索根补丁或外部 JConsole),因此无需使用根补丁捕获此数据。
ise/admin# application configure ise
Selection ISE configuration option
[1]Reset M&T Session Database
[2]Rebuild M&T Unusable Indexes
[3]Purge M&T Operational Data
[4]Reset M&T Database
[5]Refresh Database Statistics
[6]Display Profiler Statistics
[7]Export Internal CA Store
[8]Import Internal CA Store
[9]Create Missing Config Indexes
[10]Create Missing M&T Indexes
[11]Enable/Disable ACS Migration
[12]Generate Daily KPM Stats
[13]Generate KPM Stats for last 8 Weeks
[14]Enable/Disable Counter Attribute Collection
[15]View Admin Users
[16]Get all Endpoints
[17]Exit
6
Create an RMI connector client and connect it to the RMI connector server
Get an MBeanServerConnection
Retrieve MXBean
Press <Enter> to continue...
Timestamp,Elapsed,EndpointsProfiled,NetflowPacketsReceived,
EndpointsReProfiled,EndpointsDeleted...
Press Ctrl + c
要从主要管理节点 (PAN) 导出思科 ISE CA 证书和密钥,以便能在 PAN 出现故障的情况下将其导入辅助管理节点,请在执行模式下使用 application configure 命令。
当您将辅助管理节点提升为主要管理节点 (PAN) 时,您必须导入从原始 PAN 导出的思科 ISE CA 证书和密钥。
要导出思科 ISE CA 证书和密钥的副本,请使用 application configure ise 命令中的选项 7。
要导入思科 ISE CA 证书和密钥的副本,请使用 application configure ise 命令中的选项 8。
要导出思科 ISE CA 证书和密钥的副本,请使用选项 7。
ise/admin# application configure iseSelection ISE configuration option
[1]Reset M&T Session Database
[2]Rebuild M&T Unusable Indexes
[3]Purge M&T Operational Data
[4]Reset M&T Database
[5]Refresh Database Statistics
[6]Display Profiler Statistics
[7]Export Internal CA Store
[8]Import Internal CA Store
[9]Create Missing Config Indexes
[10]Create Missing M&T Indexes
[11]Enable/Disable ACS Migration
[12]Generate Daily KPM Stats
[13]Generate KPM Stats for last 8 Weeks
[14]Enable/Disable Counter Attribute Collection
[15]View Admin Users
[16]Get all Endpoints
[17]Exit
7
Export Repository Name: sftp
Enter encryption-key for export: Test1234
Export on progress...............
The following 4 CA key pairs were exported to repository 'sftp' at 'ise_ca_key_pairs_of_ise60':
Subject:CN=Certificate Services Root CA - ise60
Issuer:CN=Certificate Services Root CA - ise60
Serial#:0x66cfded7-2f384979-9110c0e1-50dbf656
Subject:CN=Certificate Services Endpoint Subordinate CA - ise60
Issuer:CN=Certificate Services Root CA - ise60
Serial#:0x20ff700b-d5844ef8-a029bf7d-fad64289
Subject:CN=Certificate Services Endpoint RA - ise60
Issuer:CN=Certificate Services Endpoint Subordinate CA - ise60
Serial#:0x483542bd-1f1642f4-ba71b338-8f606ee4
Subject:CN=Certificate Services OCSP Responder Certificate - ise60
Issuer:CN=Certificate Services Root CA - ise60
Serial#:0x0ad3ccdf-b64842ad-93dd5826-0b27cbd2
ISE CA keys export completed successfully
要导入思科 ISE CA 证书和密钥的副本,请使用选项 8。
ise/admin# application configure ise
Selection ISE configuration option
[1]Reset M&T Session Database
[2]Rebuild M&T Unusable Indexes
[3]Purge M&T Operational Data
[4]Reset M&T Database
[5]Refresh Database Statistics
[6]Display Profiler Statistics
[7]Export Internal CA Store
[8]Import Internal CA Store
[9]Create Missing Config Indexes
[10]Create Missing M&T Indexes
[11]Enable/Disable ACS Migration
[12]Generate Daily KPM Stats
[13]Generate KPM Stats for last 8 Weeks
[14]Enable/Disable Counter Attribute Collection
[15]View Admin Users
[16]Get all Endpoints
[17]Exit
8
Import Repository Name: sftp
Enter CA keys file name to import: ise_ca_key_pairs_of_ise60
Enter encryption-key: Test1234
Import on progress...............
The following 4 CA key pairs were imported:
Subject:CN=Certificate Services Root CA - ise60
Issuer:CN=Certificate Services Root CA - ise60
Serial#:0x66cfded7-2f384979-9110c0e1-50dbf656
Subject:CN=Certificate Services Endpoint Subordinate CA - ise60
Issuer:CN=Certificate Services Root CA - ise60
Serial#:0x20ff700b-d5844ef8-a029bf7d-fad64289
Subject:CN=Certificate Services Endpoint RA - ise60
Issuer:CN=Certificate Services Endpoint Subordinate CA - ise60
Serial#:0x483542bd-1f1642f4-ba71b338-8f606ee4
Subject:CN=Certificate Services OCSP Responder Certificate - ise60
Issuer:CN=Certificate Services Root CA - ise60
Serial#:0x0ad3ccdf-b64842ad-93dd5826-0b27cbd2
Stopping ISE Certificate Authority Service...
Starting ISE Certificate Authority Service...
ISE CA keys import completed successfully
要避免由于缺失索引导致的升级失败,请在执行模式下使用 application configure 命令。
要创建缺失的 CEPM 数据库索引,请使用选项 9。
要创建缺失的监控数据库索引,请使用选项 10。
要创建 CEPM 数据库索引,请使用选项 9。
ise/admin# application configure ise
Selection ISE configuration option
[1]Reset M&T Session Database
[2]Rebuild M&T Unusable Indexes
[3]Purge M&T Operational Data
[4]Reset M&T Database
[5]Refresh Database Statistics
[6]Display Profiler Statistics
[7]Export Internal CA Store
[8]Import Internal CA Store
[9]Create Missing Config Indexes
[10]Create Missing M&T Indexes
[11]Enable/Disable ACS Migration
[12]Generate Daily KPM Stats
[13]Generate KPM Stats for last 8 Weeks
[14]Enable/Disable Counter Attribute Collection
[15]View Admin Users
[16]Get all Endpoints
[17]Exit
9
You are about to create missing config indexes.
Are you sure you want to proceed? y/n [n]: y
Starting to create missing config indexes
Completed creating missing config indexes
ise/admin# application configure ise
Selection ISE configuration option
[1]Reset M&T Session Database
[2]Rebuild M&T Unusable Indexes
[3]Purge M&T Operational Data
[4]Reset M&T Database
[5]Refresh Database Statistics
[6]Display Profiler Statistics
[7]Export Internal CA Store
[8]Import Internal CA Store
[9]Create Missing Config Indexes
[10]Create Missing M&T Indexes
[11]Enable/Disable ACS Migration
[12]Generate Daily KPM Stats
[13]Generate KPM Stats for last 8 Weeks
[14]Enable/Disable Counter Attribute Collection
[15]View Admin Users
[16]Get all Endpoints
[17]Exit
10
You are about to create missing MnT indexes.
Are you sure you want to proceed? y/n [n]: y
Starting to create missing MnT indexes
Completed creating missing MnT indexes
要获取关键绩效指标 (KPM),请在 application configure 命令中使用 Generate Daily KPM Stats 或 Generate KPM Stats for last 8 Weeks 选项。系统会从监控节点收集此数据。此命令的输出提供有关连接到部署的终端的统计信息。您可以选择生成每日或最近 8 个星期的 KPM 统计信息报告。报告会保存到本地磁盘。
如果您已在生成 KPM 统计信息前重置监控数据库(选项 4),则选项 12 和 13 将不会返回任何数据,因为监控数据库已重置。
ise/admin# application configure ise
Selection ISE configuration option
[1]Reset M&T Session Database
[2]Rebuild M&T Unusable Indexes
[3]Purge M&T Operational Data
[4]Reset M&T Database
[5]Refresh Database Statistics
[6]Display Profiler Statistics
[7]Export Internal CA Store
[8]Import Internal CA Store
[9]Create Missing Config Indexes
[10]Create Missing M&T Indexes
[11]Enable/Disable ACS Migration
[12]Generate Daily KPM Stats
[13]Generate KPM Stats for last 8 Weeks
[14]Enable/Disable Counter Attribute Collection
[15]View Admin Users
[16]Get all Endpoints
[17]Exit
12
You are about to generate Daily KPM (Key Performance Metrics).
% Warning Generating KPM stats may impact ISE performance during the generation of the report. It is suggested to run this report during non-peak hours and when not
conflicting with other scheduled operations of ISE.
Are you sure you want to proceed? y/n [n]: y
Starting to generate Daily KPM stats
Copying files to /localdisk
Completed generating daily KPM stats. You can find details in following files located under /localdisk
KPM_onboarding_results_27_MAR_2015.xls
KPM_trx_load_27_MAR_2015.xls
ISE 计数器会收集各种属性的阈值。这些不同的属性值按照不同的时间间隔收集(有的间隔为 5 分钟,有的间隔大于 5 分钟),收集到的数据将显示在 ISE 计数器报告中。
默认情况下,思科 ISE 会收集这些属性值。可以在思科 ISE CLI 中使用 application configure ise 命令禁用此数据收集操作。选择选项 14 可启用或禁用计数器属性收集。
要禁用计数器属性收集,请使用选项 14。
ise/admin# application configure ise
Selection ISE configuration option
[1]Reset M&T Session Database
[2]Rebuild M&T Unusable Indexes
[3]Purge M&T Operational Data
[4]Reset M&T Database
[5]Refresh Database Statistics
[6]Display Profiler Statistics
[7]Export Internal CA Store
[8]Import Internal CA Store
[9]Create Missing Config Indexes
[10]Create Missing M&T Indexes
[11]Enable/Disable ACS Migration
[12]Generate Daily KPM Stats
[13]Generate KPM Stats for last 8 Weeks
[14]Enable/Disable Counter Attribute Collection
[15]View Admin Users
[16]Get all Endpoints
[17]Exit
14
Do you want to Enable(e) or Disable(d) counter attribute collection? [e/d]d
Completed disabling counter attributes. It will take at the most 30 minute to get effected.
要配置 TCP 参数,请在 application configure 命令中使用 Configure TCP params选项(选项 25)。确保您在管理 CLI 中。
为使更改生效,请在修改任何参数后使用管理 CLI reload 重新加载思科 ISE 服务器。
要配置 TCP 参数,请使用选项 25。
ise/admin#application configure ise
Selection configuration option
[1]Reset M&T Session Database
[2]Rebuild M&T Unusable Indexes
[3]Purge M&T Operational Data
[4]Reset M&T Database
[5]Refresh Database Statistics
[6]Display Profiler Statistics
[7]Export Internal CA Store
[8]Import Internal CA Store
[9]Create Missing Config Indexes
[10]Create Missing M&T Indexes
[11]Enable/Disable ACS Migration
[12]Generate Daily KPM Stats
[13]Generate KPM Stats for last 8 Weeks
[14]Enable/Disable Counter Attribute Collection
[15]View Admin Users
[16]Get all Endpoints
[17]Enable/Disable Wifi Setup
[18]Reset Config Wifi Setup
[19]Establish Trust with controller
[20]Reset Context Visibility
[21]Synchronize Context Visibility With Database
[22]Generate Heap Dump
[23]Generate Thread Dump
[24]Force Backup Cancellation
[25]Configure TCP params
[0]Exit
25
This CLI allows admins to modify the TCP parameters recycle/reuse/fin_timeout
For the changes to take effect, RELOAD ISE server on modifying any of the parameter using the admin cli 'reload'. Until reload is done, the changes will not be persisted.
Select the option to configure/display tcp params.
1. tcp recycle
2. tcp reuse
3. tcp fin_timeout
4. display tcp param values
0. Exit
[1/2/3/4/0]: 1
Enable/Disable tcp recycle parameter? [e/d]: e
param recycle is already enabled..
Select the option to configure/display tcp params.
1. tcp recycle
2. tcp reuse
3. tcp fin_timeout
4. display tcp param values
0. Exit
[1/2/3/4/0]: 2
Enable/Disable tcp reuse parameter? [e/d]: e
param reuse is already enabled..
Select the option to configure/display tcp params.
1. tcp recycle
2. tcp reuse
3. tcp fin_timeout
4. display tcp param values
0. Exit
[1/2/3/4/0]: 3
Set tcp fin_timeout (60 default) <0-180> : 60
updated timeout param..
Select the option to configure/display tcp params.
1. tcp recycle
2. tcp reuse
3. tcp fin_timeout
4. display tcp param values
0. Exit
[1/2/3/4/0]: 4
Current values of the tcp parameters:
Recycle = ENABLED
Reuse = ENABLED
Fin_timeout = 60
Select the option to configure/display tcp params.
1. tcp recycle
2. tcp reuse
3. tcp fin_timeout
4. display tcp param values
0. Exit
[1/2/3/4/0]:
![]() 注 |
|
![]() 注 |
不允许从命令行界面 (CLI) 运行 application remove 命令来删除思科 ISE,除非您收到明确指示,为进行升级而执行此操作。 |
要删除思科 ISE 之外的特定应用,请在执行模式下使用 application remove 命令。
application [ remove {application-name}]
如果不想删除思科 ISE 之外的任何其他应用,请使用此命令的 no 形式。
no application [ remove {application-name}]
remove |
删除或卸载应用。 |
application-name |
应用名称。最多支持 255 个字母数字字符。 删除或卸载应用。 |
无默认行为或值。
EXEC
版本 |
修改 |
---|---|
2.0.0.306 |
引入了此命令。 |
删除或卸载应用。
ise/admin# application remove ise
Continue with application removal? [y/n] y
Application successfully uninstalled
ise/admin#
要将思科 ISE 应用配置重置为出厂默认设置或保留现有的出厂设置,请在执行模式下使用 application reset-config 命令。除了自签名的证书之外,您还可以重置服务器证书或保留现有的服务器证书。
application [ reset-config {application-name}]
reset-config |
重置思科 ISE 应用配置并清除思科 ISE 数据库。 |
application-name |
要重置的应用配置的名称。最多支持 255 个字母数字字符。 |
无默认行为或值。
EXEC
版本 |
修改 |
---|---|
2.0.0.306 |
引入了此命令。 |
可以使用 application reset-config 命令重置思科 ISE 配置和清除思科 ISE 数据库,而无需重映像思科 ISE 设备或 VMware。重置需要您输入新的思科 ISE 数据库管理员和用户密码。
![]() 注 |
application reset-config 命令可将思科 ISE 配置重置为出厂默认设置,但操作系统(思科 ADE-OS)配置仍旧保持不变。思科 ADE-OS 配置包括网络设置、CLI 密码策略和备份历史记录等项目。 |
当您从 CLI 重置思科 ISE 应用配置时,它会执行退出操作,使 ISE 节点与 Active Directory 域(如已加入)断开连接。但是,思科 ISE 节点帐户不会从 Active Directory 域删除。我们建议您使用 Active Directory 凭证从思科 ISE 管理员门户执行离开操作。离开操作会从 Active Directory 域删除节点帐户。
如果用户选择 No 选项,则命令会删除服务器证书并只重新生成自签名的证书。如果用户选择 Yes 选项,则命令会通过将服务器证书导出到某个位置来保留现有的服务器证书。之后,系统会从此位置导入服务器证书。
Initialize your ISE configuration to factory defaults? (y/n): y
Leaving currently connected AD domains if any...
Please rejoin to AD domains from the administrative GUI
Retain existing ISE server certificates? (y/n): y
Reinitializing local ISE configuration to factory defaults...
Stopping ISE Monitoring & Troubleshooting Log Processor...
PassiveID WMI Service is disabled
PassiveID Syslog Service is disabled
PassiveID API Service is disabled
PassiveID Agent Service is disabled
PassiveID Endpoint Service is disabled
PassiveID SPAN Service is disabled
ISE pxGrid processes are disabled
Stopping ISE Application Server...
Stopping ISE Certificate Authority Service...
Stopping ISE EST Service...
ISE Sxp Engine Service is disabled
Stopping TC-NAC Service ...
Stopping container irf-core-engine-runtime
Stopping container irf-rabbitmq-runtime
Stopping container irf-mongo-runtime
Stopping VA Service...
Stopping ISE VA Database...
Stopping container wifisetup-container
Stopping docker daemon...
Stopping ISE Profiler Database...
Stopping ISE Indexing Engine...
Stopping ISE Monitoring & Troubleshooting Session Database...
Stopping ISE AD Connector...
Stopping ISE Database processes...
Enter the ISE administrator username to create[admin]:
Enter the password for 'admin':
Re-enter the password for 'admin':
Extracting ISE database content...
Starting ISE database processes...
Creating ISE M&T session directory...
Creating ISE VA timesten database...
Performing ISE database priming...
Starting ISE Indexing Engine...
TimeoutStartUSec=20min
TimeoutStopUSec=20min
Cleaning up TC-NAC docker configuration...
Starting docker daemon ...
irf-core-engine-runtime is not running
irf-rabbitmq-runtime is not running
irf-mongo-runtime is not running
VA Service is not running
ISE VA Database is not running
Stopping docker daemon...
Calling wifi setup reset-config
application reset-config is success
在管理员帐户由于输入不正确的密码而被禁用之后,如果要为思科 ISE 中的指定用户账号(通常是现有的管理员帐户)重置管理员门户登录密码,请在执行模式下使用 application reset-passwd 命令。
application [ reset-passwd {application-name} {administrator-ID} ]
reset-passwd |
重置管理员帐户密码。 |
application-name |
应用名称。最多支持 255 个字母数字字符。 |
administrator-ID |
要为其重置密码的已禁用管理员帐户的名称。 |
没有默认行为或值。需要禁用思科 ISE 中的管理员帐户
EXEC
版本 |
修改 |
---|---|
2.0.0.306 |
引入了此命令。 |
重置思科 ISE 管理员门户密码时,允许使用以下特殊字符:
~ |
! |
@ |
$ |
& |
* |
- |
_ |
---|---|---|---|---|---|---|---|
+ |
= |
\ |
" |
, |
; |
< |
> |
如果您为管理员用户 ID 输入错误密码的次数超过指定次数,则管理员门户会“禁止您访问”系统。思科 ISE 会暂停该管理员用户 ID 的凭证,直到您有机会重置与其关联的密码。您只能在管理 ESS 节点 CLI 中重置管理员密码。
UTF-8 管理员用户只可以通过思科 ISE 管理员门户更改密码。
ise/admin# application reset-passwd ise admin
Enter new password: ******
Confirm new password: ******
Password reset successfully.
ise/admin#
要启用特定应用,请在执行模式下使用 application start 命令。要禁止启动应用,请使用此命令的 no 形式。
application [ start {application-name [safe]}]
no application [ start {application-name [safe]}]
start |
启用应用捆绑包。 |
application-name |
要启用的预定义应用的名称。最多支持 255 个字母数字字符。 |
safe |
在安全模式下启动应用。 |
无默认行为或值。
EXEC
版本 |
修改 |
---|---|
2.0.0.306 |
引入了此命令。 |
启用应用。
您无法使用此命令启动思科 ISE。如果您尝试使用此命令启动,则系统会提示您:思科 ISE 已在运行中。
可以使用 application start ise safe 命令在安全模式下启动思科 ISE,该模式允许您暂时禁用对管理员门户的访问控制,然后在进行必要的更改后重启应用。
在您作为管理员无意禁止所有用户访问思科 ISE 管理员门户的情况下,safe 选项提供了一种恢复方法。如果您在“管理”(Administration) > “管理访问”(Admin Access) > “设置”(Settings) > “访问”(Access) 页面中配置错误的“IP 访问”列表,则可能会发生此事件。“safe”选项还会绕过基于证书的身份验证并恢复到默认用户名和密码身份验证以登录思科 ISE 管理员门户。
ise/admin# application start ise
Starting ISE Monitoring & Troubleshooting Session Database...
Starting ISE Profiler Database...
Starting ISE Application Server...
Starting ISE Monitoring & Troubleshooting Log Processor...
Starting ISE Indexing Engine...
Starting docker daemon ...
38a408c9a1c8
Starting container wifisetup-container
Starting ISE Certificate Authority Service...
Starting ISE AD Connector...
Starting ISE EST Service...
Note: ISE Processes are initializing. Use 'show application status ise'
CLI to verify all processes are in running state.
ise/admin# show application status ise
ISE PROCESS NAME STATE PROCESS ID
--------------------------------------------------------------------
Database Listener running 17893
Database Server running 62 PROCESSES
Application Server running 21962
Profiler Database running 19443
ISE Indexing Engine running 23331
AD Connector running 24955
M&T Session Database running 19351
M&T Log Processor running 22010
Certificate Authority Service running 24759
EST Service running 891
SXP Engine Service disabled
Docker Daemon running 24000
TC-NAC Service disabled
Wifi Setup Helper Container running 24465
Wifi Setup Helper Vault running 41
Wifi Setup Helper MongoDB running 14
Wifi Setup Helper Web Server running 213
Wifi Setup Helper Auth Service running 123
Wifi Setup Helper Main Service running 159
Wifi Setup Helper WLC Service running 197
pxGrid Infrastructure Service disabled
pxGrid Publisher Subscriber Service disabled
pxGrid Connection Manager disabled
pxGrid Controller disabled
PassiveID WMI Service disabled
PassiveID Syslog Service disabled
PassiveID API Service disabled
PassiveID Agent Service disabled
PassiveID Endpoint Service disabled
PassiveID SPAN Service disabled
DHCP Server (dhcpd) disabled
DNS Server (named) disabled
“safe”选项的目的是绕过可能无意导致的访问限制。当安全模式用于启动思科 ISE 服务时,应遵循以下行为:
如果管理员无意将自己锁定,则系统会暂时禁用 IP 访问限制,以允许管理员登录正确的 IP 访问限制。
在已启用 FIPS 的主机上,如果在应用启动时传递“safe”选项,则系统会暂时禁用 FIPS 完整性检查。通常,如果 FIPS 完整性检查失败,思科 ISE 服务不会启动。用户可以在应用启动时使用“safe”选项绕过 FIPS 完整性检查。
在已启用 FIPS 的主机上,如果在应用启动时传递“safe”选项,系统会禁用硬件随机数生成器完整性检查。
即使未在 ISE 上启用 FIPS 模式,思科 ISE 也会在 FIPS 模式下启动出站 SSH 或 SFTP 连接。确保与 ISE 通信的远程 SSH 或 SFTP 服务器允许 FIPS 140-2 批准的加密算法。
思科 ISE 使用嵌入式 FIPS 140-2 验证加密模块。有关 FIPS 合规要求的详细信息,请参阅 FIPS 合规证明书。
如果使用基于证书的身份验证,有关应用启动的“safe”选项会暂时使用基于用户名和密码的身份验证。
![]() 注 |
这些更改只是临时的,只与思科 ISE 应用的该实例有关。如果思科 ISE 服务在不使用“safe”选项的情况下再次重新启动,所有默认功能将会恢复。 |
ise/admin# application stop ise
Stopping ISE Monitoring & Troubleshooting Log Processor...
PassiveID WMI Service is disabled
PassiveID Syslog Service is disabled
PassiveID API Service is disabled
PassiveID Agent Service is disabled
PassiveID Endpoint Service is disabled
PassiveID SPAN Service is disabled
ISE pxGrid processes are disabled
Stopping ISE Application Server...
Stopping ISE Certificate Authority Service...
Stopping ISE EST Service...
ISE Sxp Engine Service is disabled
Stopping TC-NAC Service ...
Error response from daemon: no such id: irf-core-engine-runtimeirf-core-engine-runtime is not running
Error response from daemon: no such id: irf-rabbitmq-runtimeirf-rabbitmq-runtime is not running
Error response from daemon: no such id: irf-mongo-runtimeirf-mongo-runtime is not running
VA Service is not running
ISE VA Database is not running
Stopping container wifisetup-container
Stopping docker daemon...
Stopping ISE Profiler Database...
Stopping ISE Indexing Engine...
Stopping ISE Monitoring & Troubleshooting Session Database...
Stopping ISE AD Connector...
Stopping ISE Database processes...
ise/admin# application start ise safe
Starting ISE Monitoring & Troubleshooting Session Database...
Starting ISE Profiler Database...
Starting ISE Application Server...
Starting ISE Monitoring & Troubleshooting Log Processor...
Starting ISE Indexing Engine...
Starting docker daemon ...
38a408c9a1c8
Starting container wifisetup-container
Starting ISE Certificate Authority Service...
Starting ISE AD Connector...
Note: ISE Processes are initializing. Use 'show application status ise'
CLI to verify all processes are in running state.
Starting ISE EST Service...
要启用特定应用,请在执行模式下使用 application stop 命令。要禁止停止应用,请使用此命令的 no 形式。
application [ stop {application-name}]
no application [ stop {application-name}]
stop |
禁用应用。 |
application-name |
要禁用的预定义应用的名称。最多支持 255 个字母数字字符。 |
无默认行为或值。
EXEC
版本 |
修改 |
---|---|
2.0.0.306 |
引入了此命令。 |
禁用应用。
如果在部署中已启用自动故障切换配置,您会收到以下警告消息:
PAN Auto Failover feature is enabled, therefore
this operation will trigger a failover if ISE services are not
restarted within the fail-over window. Do you want to continue (y/n)?
如果要继续,请键入“ y”,如果要取消,请键入“ n”。
ise/admin# application stop ise
Stopping ISE Monitoring & Troubleshooting Log Processor...
Stopping ISE Identity Mapping Service...
Stopping ISE pxGrid processes...
Stopping ISE Application Server...
Stopping ISE Certificate Authority Service...
Stopping ISE Profiler Database...
Stopping ISE Monitoring & Troubleshooting Session Database...
Stopping ISE AD Connector...
Stopping ISE Database processes...
ise//admin# show application status ise
ISE PROCESS NAME STATE PROCESS ID
--------------------------------------------------------------------
Database Listener not running
Application Server not running
Profiler Database not running
AD Connector not running
M&T Session Database not running
M&T Log Processor not running
Certificate Authority Service disabled
pxGrid Infrastructure Service not running
pxGrid Publisher Subscriber Service not running
pxGrid Connection Manager not running
pxGrid Controller not running
Identity Mapping Service not running
ise//admin#
要升级特定应用捆绑包,请在执行模式下使用 application upgrade 命令。
application [ upgrade{application-bundle} {remote-repository-name}]
upgrade |
升级远程存储库中的特定应用捆绑包。 |
application-bundle |
应用名称。最多支持 255 个字母数字字符。 |
remote-repository-name |
远程存储库名称。最多支持 255 个字母数字字符。 |
cleanup |
清理之前准备的升级捆绑包并准备新的升级捆绑包。 |
prepare |
下载升级捆绑包并将内容压缩到本地磁盘以准备好要进行升级的应用。 |
application-bundle |
应用名称。最多支持 255 个字母数字字符。 |
remote-repository-name |
远程存储库名称。最多支持 255 个字母数字字符。 |
proceed |
继续使用本地文件进行升级。 |
Start |
使用本地准备的捆绑包开始升级。 |
无默认行为或值。
EXEC
版本 |
修改 |
---|---|
2.0.0.306 |
引入了此命令。 |
升级应用,并保留所有应用配置数据。有关详细信息,请参阅“Cisco Identity Services Engine Upgrade Guide”(思科身份服务引擎升级指南)。
如果您希望在出现失败时尝试使用另一个升级捆绑包,或者使用其他版本,请使用 cleanup 选项。
通过 prepare 选项可在本地下载和解压缩升级捆绑包。
通过 proceed 选项可使用通过 prepare 选项解压缩的升级捆绑包升级思科 ISE。可以在准备升级捆绑包后使用此选项,而不是直接使用 application upgrade 命令。
如果升级成功,此选项会删除升级捆绑包。
如果出于任何原因导致升级失败,此选项会保留升级捆绑包。
如果您在其他应用升级操作正在进行时发出 application upgrade 命令,您将看到以下警告消息:
An existing application install, remove, or upgrade is in progress. Try again shortly.
![]() 小心 |
不要在进行升级时发出 backup 或 restore 命令。此操作可能会导致数据库损坏。 |
![]() 注 |
尝试使用 application upgrade 命令之前,您必须阅读新版本随附的发行说明中的升级说明。发行说明包含重要的更新说明,您必须遵循这些说明。 |
ise/admin# application upgrade prepare ise-upgradebundle-3.x.0.x.x86_64.tar.gz local
Getting bundle to local machine...
Unbundling Application Package...
Verifying Application Signature...
Application upgrade preparation successful
ise/admin# application upgrade proceed
Initiating Application Upgrade...
% Warning: Do not use Ctrl-C or close this terminal window until upgrade completes.
-Checking VM for minimum hardware requirements
STEP 1: Stopping ISE application...
STEP 2: Verifying files in bundle...
-Internal hash verification passed for bundle
STEP 3: Validating data before upgrade...
STEP 4: Taking backup of the configuration data...
STEP 5: Running ISE configuration database schema upgrade...
- Running db sanity to check and fix if any index corruption
- Auto Upgrading Schema for UPS Model
- Upgrading Schema completed for UPS Model
ISE database schema upgrade completed.
% Warning: Sanity test found some indexes missing in CEPM schema. Please recreate missing indexes after upgrade using app configure ise cli
STEP 6: Running ISE configuration data upgrade...
- Data upgrade step 1/14, UPSUpgradeHandler(2.3.0.100)... Done in 53 seconds.
- Data upgrade step 2/14, UPSUpgradeHandler(2.3.0.110)... Done in 1 seconds.
- Data upgrade step 3/14, NetworkAccessUpgrade(2.3.0.145)... Done in 0 seconds.
- Data upgrade step 4/14, NodeGroupUpgradeService(2.3.0.155)... Done in 0 seconds.
- Data upgrade step 5/14, IRFUpgradeService(2.3.0.155)... Done in 0 seconds.
- Data upgrade step 6/14, UPSUpgradeHandler(2.3.0.158)... Done in 0 seconds.
- Data upgrade step 7/14, NetworkAccessUpgrade(2.3.0.178)... Done in 0 seconds.
- Data upgrade step 8/14, NetworkAccessUpgrade(2.3.0.182)... Done in 0 seconds.
- Data upgrade step 9/14, CertMgmtUpgradeService(2.3.0.194)... Done in 3 seconds.
- Data upgrade step 10/14, UPSUpgradeHandler(2.3.0.201)... Done in 0 seconds.
- Data upgrade step 11/14, NSFUpgradeService(2.3.0.233)... Done in 0 seconds.
- Data upgrade step 12/14, ProfilerUpgradeService(2.3.0.233)... Done in 0 seconds.
- Data upgrade step 13/14, GuestAccessUpgradeService(2.3.0.233)... Done in 7 seconds.
STEP 7: Running ISE configuration data upgrade for node specific data...
STEP 8: Running ISE M&T database upgrade...
ISE M&T Log Processor is not running
ISE database M&T schema upgrade completed.
Gathering Config schema(CEPM) stats ....
Gathering Operational schema(MNT) stats .....
% NOTICE: Upgrading ADEOS. Appliance will be rebooted after upgrade completes successfully.
warning: file /opt/xgrid/gc/pxgrid-controller-1.0.4.18-dist.tar.gz: remove failed: No such file or directory
% This application Install or Upgrade requires reboot, rebooting now...
Broadcast message from root@IS137 (pts/3) (Fri Jun 2 12:22:49 2017):
Trying to stop processes gracefully. Reload might take approximately 3 mins
Broadcast message from root@IS137 (pts/3) (Fri Jun 2 12:22:49 2017):
Trying to stop processes gracefully. Reload might take approximately 3 mins
Broadcast message from root@IS137 (pts/3) (Fri Jun 2 12:23:10 2017):
The system is going down for reboot NOW
Broadcast message from root@IS137 (pts/3) (Fri Jun 2 12:23:10 2017):
The system is going down for reboot NOW
The upgrade is now complete.
要执行包括思科 ISE 和思科 ADE OS 数据在内的备份并将备份存放在存储库中,请在执行模式下使用 backup 命令。
![]() 注 |
尝试在执行模式下使用 backup 命令之前,必须将运行配置复制到一个安全的位置(例如网络服务器),或者将其保存为思科 ISE 服务器启动配置。当您从备份和系统日志恢复或对思科 ISE 进行排除故障时,您可以使用此启动配置。 backup [{backup-name} repository {repository-name} ise-config encryption-key hash| plain {encryption-key name}] backup [{backup-name} repository {repository-name} ise-operational encryption-key hash| plain {encryption-key name}] |
backup-name |
备份文件的名称。最多支持 100 个字母数字字符。 |
repository |
指定要存储备份文件的存储库。 |
repository-name |
文件应备份到的位置。最多支持 80 个字母数字字符。 |
ise-config |
备份思科 ISE 配置数据(包括思科 ISE ADE-OS)。 |
ise-operational |
备份思科 ISE 运行数据。 |
encryption-key |
指定用于保护备份的用户定义加密密钥。 |
hash |
指定跟随的加密(散列)加密密钥(用于保护备份的散列加密密钥)。最多支持 40 个字符。 |
plain |
指定跟随的未加密明文加密密钥(用于保护备份的明文加密密钥)。最多支持 15 个字符。 |
encryption-key name |
用于备份的散列 | 明文格式的加密密钥。 |
无默认行为或值。
EXEC
版本 |
修改 |
---|---|
2.0.0.306 |
引入了此命令。 |
使用 ise-config 以加密(散列)或未加密明文密码形式在存储库中备份思科 ISE 和思科 ADE OS 数据时,现在可以通过使用用户定义的加密密钥加密和解密备份。要只备份思科 ISE 应用数据,而不备份思科 ADE OS 数据,请使用 ise-operational 命令。
您只可以从主要或次要监控节点备份思科 ISE 运行数据。
![]() 重要 |
当执行备份和恢复时,恢复功能会使用源系统中的证书列表覆盖目标系统上的受信任证书列表。需要注意的是,备份和恢复功能不包括与内部证书颁发机构 (CA) 证书关联的专用密钥,这一点至关重要。 如果您正在从一个系统向另一个系统上执行备份和恢复,您将必须选择下面一个选项以避免错误:
|
要备份思科 ISE 配置数据,请使用以下命令:
backup mybackup repository myrepository ise-config encryption-key plain lablab12
ise/admin# backup test repository disk ise-config encryption-key plain Test_1234
Internal CA Store is not included in this backup. It is recommended to export it using "application configure ise" CLI command
Creating backup with timestamped filename: test-CFG-141006-1350.tar.gpg
backup in progress: Starting Backup...10% completed
backup in progress: Validating ISE Node Role...15% completed
backup in progress: Backing up ISE Configuration Data...20% completed
backup in progress: Backing up ISE Logs...45% completed
backup in progress: Completing ISE Backup Staging...50% completed
backup in progress: Backing up ADEOS configuration...55% completed
backup in progress: Moving Backup file to the repository...75% completed
backup in progress: Completing Backup...100% completed
ise/admin#
要备份思科 ISE 运行数据,请使用以下命令:
backup mybackup repository myrepository ise-operational encryption-key plain lablab12
ise/admin# backup mybackup repository myrepository ise-operational encryption-key plain lablab12
backup in progress: Starting Backup...10% completed
Creating backup with timestamped filename: mybackup-OPS-130103-0019.tar.gpg
backup in progress: starting dbbackup using expdp.......20% completed
backup in progress: starting cars logic.......50% completed
backup in progress: Moving Backup file to the repository...75% completed
backup in progress: Completing Backup...100% completed
ise/admin#
要备份系统日志,请在执行模式下使用 backup-logs 命令。要删除该功能,请使用此命令的 no 形式。
![]() 注 |
尝试在执行模式下使用 backup-logs 命令之前,必须将运行配置复制到一个安全的位置(例如网络服务器),或者将其保存为思科 ISE 服务器启动配置。当您从备份和系统日志恢复或对思科 ISE 进行排除故障时,您可以使用此启动配置。 |
backup-logs backup-name repository repository-name {public-key | {encryption-key { hash | plain } encryption-key name}}
backup-name |
一个或多个要备份文件的名称。最多支持 100 个字母数字字符。 |
repository |
存储库命令。 |
repository-name |
文件应备份到的位置。最多支持 80 个字母数字字符。 |
public-key |
指定思科 ISE 将使用思科 PKI 公共密钥进行加密。如果您打算为思科 TAC 提供支持捆绑包以进行故障排除,请选择此选项。只有思科 TAC 可以使用专用密钥解密支持捆绑包。如果您打算在内部以本地方式对问题进行故障排除,请选择 encryption-key 选项。 |
encryption-key |
指定用于保护备份日志的加密密钥。 |
hash |
用于保护备份日志的散列加密密钥。指定跟随的加密(散列)加密密钥。最多支持 40 个字符。 |
plain |
用于保护备份日志的明文加密密钥。指定跟随的未加密密文加密密钥。最多支持 15 个字符。 |
encryption-key name |
散列或明文格式的加密密钥。 |
无默认行为或值。
EXEC
版本 |
修改 |
---|---|
2.0.0.306 |
引入了此命令。 |
使用加密(散列)或未加密明文密码备份系统日志。
ise/admin# backup-logs Test repository disk encryption-key plain Test_1234
% Creating log backup with timestamped filename: Test-141006-1351.tar.gpg
% supportbundle in progress: Copying database config files...10% completed
% supportbundle in progress: Copying debug logs...20% completed
% supportbundle in progress: Copying local logs...30% completed
% supportbundle in progress: Copying monitor logs...40% completed
% supportbundle in progress: Copying policy xml...50% completed
% supportbundle in progress: Copying system logs...60% completed
% supportbundle in progress: Moving support bundle to the repository...75% completed
% supportbundle in progress: Completing support bundle generation......100% completed
ise/admin#
ise/admin# backup-logs test repository disk public-key
% Creating log backup with timestamped filename: new-pk-160520-0259.tar.gpg
% supportbundle in progress: Copying database config files...10% completed
% supportbundle in progress: Copying debug logs...20% completed
% supportbundle in progress: Copying local logs...30% completed
% supportbundle in progress: Copying monitor logs...40% completed
% supportbundle in progress: Copying policy xml...50% completed
% supportbundle in progress: Copying system logs...60% completed
% supportbundle in progress: Moving support bundle to the repository...75% completed
% supportbundle in progress: Completing support bundle generation......100% completed
要清除终端屏幕的内容,请在执行模式下使用 clear screen 命令。
clear screen
此命令没有关键字和参数。 |
无默认行为或值。
EXEC
版本 |
修改 |
---|---|
2.0.0.306 |
引入了此命令。 |
clear screen 是隐藏命令。虽然 clear screen 在思科 ISE 中可用,但如果您尝试通过在命令行输入问号来查看此命令,CLI 交互式帮助不会显示此命令。
以下示例显示了如何清除终端内容:
ise/admin# clear screen
ise/admin#
要设置系统时钟,请在执行模式下使用 clock 命令。要禁用系统时钟设置,请使用此命令的 no 形式。
clock [ set {month day hh:min:ss yyyy}]
set |
设置系统时钟。 |
month |
年份的当前月份(按名称)。最多支持三个字母字符。例如,Jan 表示一月。 |
day |
月份的当前日期(按日期)。值 = 0 至 31。最多支持两个数字。 |
hh:mm:ss |
小时(24 小时制)、分钟和秒格式的当前时间。 |
yyyy |
当前年份(无缩写)。 |
无默认行为或值。
EXEC
版本 |
修改 |
---|---|
2.0.0.306 |
引入了此命令。 |
![]() 小心 |
更改思科 ISE 设备的系统时间会导致思科 ISE 应用不可用。 |
设置系统时钟。重置时钟之后,为使更改生效,您必须重新启动思科 ISE 服务器。更改系统时间会影响不同思科 ISE 节点类型的部署。
要从影响中恢复过来,请使用以下步骤:
![]() 注 |
独立或主要 ISE 节点上不支持安装后更改系统时间。 |
如果您无意中更改了系统时间,请执行以下操作:
恢复到原始系统时间(更改前的时间)。
从该节点的 CLI 运行 application reset-config ise 命令。
在该节点上的时间更改之前,从最后一个已知的正确备份中恢复。
![]() 注 |
在辅助节点上更改系统时间会导致其在您的部署中不可用。 |
要将辅助节点的系统时间与主要节点的系统时间同步,请执行以下操作:
取消注册辅助 ISE 节点。
更正系统时间,以便与主要 ISE 节点的系统时间同步。
从主 ISE 节点的 CLI 运行 application reset-config ise 命令。
将 ISE 节点重新注册为主要 ISE 节点的辅助 ISE 节点。
![]() 注 |
为确保您已在安装时设置正确的系统时间,安装向导会要求您指定网络时间协议 (NTP) 服务器并尝试与其同步。您必须确保在设置过程中配置的 NTP 服务器始终可访问,以便系统时间始终保持准确,特别是在极少数情况下,由于电源故障或 CMOS 电池失效,BIOS 时间可能会损坏时。此操作反过来可能会在重新启动过程中损坏思科 ADE-OS 系统时间。如果您在设置过程中未配置 NTP 服务器,则必须确保设置的系统 BIOS 时间与协调世界时 (UTC) 时区是相对的,如“Cisco Identity Services Engine Hardware Installation Guide”(思科身份服务引擎硬件安装指南)所述。 |
ise/admin# clock set August 30 18:07:20 2013
ise/admin# show clock
Fri Aug 30 18:07:26 UTC 2013
ise/admin#
要清除终端屏幕的内容,请在执行模式下使用 cls 命令。
cls
此命令没有关键字和参数。 |
无默认行为或值。
EXEC
版本 |
修改 |
---|---|
2.0.0.306 |
引入了此命令。 |
cls 是隐藏命令。虽然 cls 在思科 ISE 中可用,但如果您尝试通过在命令行输入问号来查看此命令,CLI 交互式帮助不会显示此命令。
以下示例显示了如何清除终端内容:
ise/admin# cls
ise/admin#
要进入配置模式,请在执行模式下使用 configure 命令。
configure terminal
terminal |
从终端执行配置命令。 |
无默认行为或值。
EXEC
版本 |
修改 |
---|---|
2.0.0.306 |
引入了此命令。 |
使用此命令进入配置模式。请注意,此模式下的命令会在您输入这些命令后立即写入运行配置文件中。
要退出配置模式并返回执行模式,请输入 end 、exit 或 Ctrl-z 。
要查看对配置所做的更改,请在执行模式下使用 show running-config 命令。
如果将 replace 选项与此命令一起使用,请将远程配置复制到系统,此配置会覆盖现有配置。
ise/admin# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
ise/admin(config)#
要将文件从源复制到目标,请在执行模式下使用 copy 命令。
利用 copy 命令,可以将核心文件和堆转储从思科 ISE 复制到远程存储库。有关更多信息,请参阅复制日志文件部分的示例 3。
running-config |
显示当前运行配置文件。 |
startup-config |
表示在初始化(启动)过程中使用的配置文件。 |
protocol |
复制的目标。有关协议关键字选项,请参阅表 2-1。 |
hostname |
目标的主机名。 |
location |
目标的位置。 显示当前运行的配置文件。 |
logs |
系统日志文件。 |
all |
将所有思科 ISE 日志文件从系统复制到另一个位置。所有日志打包成 iselogs.tar.gz 并传输到远程主机上的指定目录。 |
filename |
允许您复制单个思科 ISE 日志文件并将其传输到远程主机上的指定目录,原始名称保持不变。 |
log_filename |
思科 ISE 日志文件的名称,如 show logs 命令所示(最多 255 个字符)。 |
mgmt |
从系统复制思科 ISE 管理调试日志和 Tomcat 日志,将其打包为 mgmtlogs.tar.gz,并传输到远程主机上的指定目录。 |
runtime |
从系统复制思科 ISE 运行时调试日志,将其打包为 runtimelogs.tar.gz,并传输到远程主机上的指定目录。 |
disk |
可以从中下载或上传文件的本地磁盘。 |
repository |
可以从中下载或上传文件的存储库。 |
无默认行为或值。
EXEC
版本 |
修改 |
---|---|
2.0.0.306 |
引入了此命令。 |
思科 ISE 中的 copy 命令会将运行配置或启动配置和日志文件从系统复制到另一个位置。
通过 copy 命令的基本功能,可以将文件(例如系统映像或配置文件)从一个位置复制到另一个位置。指定文件的源和目标使用思科 ISE 文件系统,通过此系统,您可以指定任何支持的本地或远程文件位置。使用的文件系统(本地内存源或远程系统)指定该命令中使用的语法。
可以输入所有必要的源和目标信息及要使用的用户名和密码;或者,可以输入 copy 命令并让服务器提示您缺少的任何信息。
整个复制过程可能需要几分钟,会因协议和网络有所不同。
使用与目录有关的文件名进行文件传输。
可能的错误为标准文件传输协议 (FTP) 或安全复制 (SCP) 错误消息。
关键字 |
目标的源。 |
---|---|
ftp |
FTP 网络服务器的源或目标 URL。此别名的语法: ftp:[[[//username [:password]@]location]/directory]/filename |
sftp |
SFTP 网络服务器的源或目标 URL。此别名的语法: sftp:[[//location]/directory]/filename |
tftp |
TFTP 网络服务器的源或目标 URL。此别名的语法: tftp:[[//location]/directory]/filename |
ise/admin# copy disk:/ filename repository repository_name
思科 ISE 活动配置将自己存储在思科 ISE RAM 中。您输入的每个配置命令位于运行配置中。如果重新启动思科 ISE 服务器,您会丢失运行配置。如果您进行要保存的更改,则必须将运行配置复制到一个安全的位置(例如网络服务器),或者将其保存为思科 ISE 服务器启动配置。
如果您不保存运行配置,则会在思科 ISE 服务器下次重新启动时丢失所有配置更改。如果您确信当前配置正确,请使用 copy run start 命令将您的配置复制到启动配置。
![]() 注 |
别名可减少所需键入量。例如,键入 copy run 并按 Tab 键,键入 start 并按 Tab 键,这是 copy running-config startup-config 命令的缩写形式。 |
要使用运行配置取代启动配置,请使用以下命令:
copy run start
要将运行配置复制到启动配置,请使用以下命令:
copy running-config startup-config
要将启动配置放在运行配置顶部,请使用以下命令:
copy start run
ise/admin# copy run start
Generating configuration...
ise/admin#
ise/admin# copy running-config startup-config
Generating configuration...
ise/admin#
要将运行配置复制到远程系统,请使用以下命令:
copy running-config [protocol://hostname/location]
要将远程文件复制并合并到运行配置,请使用以下命令:
copy [protocol://hostname/location] running-config - 将远程文件复制并合并到正在运行的配置。
您无法直接编辑启动配置。您输入的所有命令都会自行存储在运行配置中,您可以将这些运行配置复制到启动配置中。
换句话说,当您启动思科 ISE 服务器时,启动配置会成为初始运行配置。您修改配置时,会出现两个分歧:启动配置保持不变;运行配置反映您做出的更改。如果您要使更改永久生效,则必须将运行配置复制到启动配置。
要将启动配置复制到运行配置,请使用以下命令:
copy startup-config running-config
ise/admin# copy start run
ise/admin#
ise/admin# copy startup-config running-config
ise/admin#
要将启动配置复制到远程系统,请使用以下命令:
copy startup-config [protocol://hostname/location]
要复制远程文件但不将其合并到启动配置,请使用以下命令:
copy [protocol://hostname/location] startup-config - 将远程文件复制到启动配置,但是不与启动配置合并。
使用以下 copy 命令可将系统日志文件从思科 ISE 系统复制到另一个位置:
copy logs [protocol://hostname/location]
要将日志文件复制到本地磁盘,请使用以下命令:
ise/admin# copy logs disk:/
Collecting logs...
ise/admin#
要将日志文件复制到另一个位置,请使用以下命令:
ise/admin# copy disk://mybackup-100805-1910.tar.gz ftp://myftpserver/mydir
Username:
Password:
ise/admin#
思科 ISE 可以每隔一小时将核心文件和堆转储从 /var/tmp 目录移动到 disk:/corefiles 目录。您可以使用 copy 命令将这些日志从本地磁盘复制到远程存储库。核心文件和堆转储包含有助于确定崩溃原因的关键信息。这些日志在应用崩溃时生成。您可以使用 dir 命令查看本地磁盘中的核心文件。
ise/admin# copy disk:/corefiles ftp://192.0.2.2/
Username: ftp
Password:
ise36/admin#
ise36/admin# dir
Directory of disk:/
70 May 20 2016 00:57:28 1
4096 May 20 2016 06:34:49 corefiles/
0 May 20 2016 00:57:28 err.out
4096 May 20 2016 00:57:28 lost+found/
Usage for disk: filesystem
51474489344 bytes total used
123938643968 bytes free
184807632896 bytes available
要生成新的公共密钥对、将当前公共密钥导出到存储库,以及将公共密钥导入到授权密钥列表,请在执行模式下使用 crypto 命令。您还可查看公共密钥信息和删除所选密钥。
crypto key [ delete {hash | authorized_keys | rsa}]
crypto key [ export {filename | repository}]
crypto key [ generate {rsa}]
crypto key [ import {filename | repository}]
crypto [host_key {add | delete}]
key |
允许您执行加密密钥操作。 |
delete |
删除公共密钥/专用密钥对。 |
hash |
散列值。最多支持 80 个字符。 |
authorized_keys |
删除授权密钥。 |
rsa |
删除 RSA 密钥对。 |
export |
将公共密钥/专用密钥对导出到存储库。 |
filename |
要导出公共密钥的文件所对应的文件名。最多支持 80 个字符。 |
repository |
要导出公共密钥的存储库所对应的存储库名。 |
generate |
生成公共密钥/专用密钥对。 |
rsa |
生成 RSA 密钥对。 |
import |
导入公共密钥/专用密钥对。 |
filename |
要导入公共密钥的文件所对应的文件名。最多支持 80 个字符。 |
repository |
要导入公共密钥的存储库所对应的存储库名。 |
host_key |
允许您执行加密主机密钥操作。 |
add |
添加受信任的主机密钥。 |
delete |
删除受信任的主机密钥。 |
add |
添加受信任的主机密钥。 |
host |
指定主机名。 |
delete |
删除受信任的主机密钥。 |
ntpkey |
NTP 服务器生成的公共密钥。 |
无默认行为或值。
EXEC
版本 |
修改 |
---|---|
2.0.0.306 |
引入了此命令。 |
对于管理员和用户身份的 SSH 访问,思科 ADE OS 支持无密码的公共密钥身份验证。
使用 crypto key generate rsa 命令可为当前用户生成长度为 2048 位的新公共密钥/专用密钥对。密钥属性是固定的,并支持 RSA 密钥类型。如果密钥对已存在,在您使用口令继续操作之前,系统会提示您允许覆盖。如果您提供口令,系统将在您访问公共密钥/专用密钥时提示您输入口令。如果口令为空,则后续操作不会出现提示输入口令的情况。
使用 crypto ntp_import_autokey 可命令导入 NTP 服务器生成的公共密钥。
以下示例显示了 SFTP 存储库的密钥管理。
ise/admin# crypto key generate rsa
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
ise/admin# show crypto key
admin public key: ssh-rsa ad:14:85:70:fa:c3:c1:e6:a9:ff:b1:b0:21:a5:28:94 admin@ise
ise/admin# crypto key generate rsa
Private key for user admin already exists. Overwrite? y/n [n]: y
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
ise/admin# show crypto key
admin public key: ssh-rsa 41:ab:78:26:48:d3:f1:6f:45:0d:99:d7:0f:50:9f:72 admin@ise
ise/admin# crypto key export mykey_rsa repository myrepository
ise/admin# show crypto key
admin public key: ssh-rsa f8:7f:8a:79:44:b8:5d:5f:af:e1:63:b2:be:7a:fd:d4 admin@ise
ise/admin# crypto key delete f8:7f:8a:79:44:b8:5d:5f:af:e1:63:b2:be:7a:fd:d4
ise/admin#
ise/admin# crypto key delete rsa
ise/admin# show crypto key
ise/admin#
以下示例显示可用于登录思科 ISE 的公钥的密钥管理。
ise/admin# show crypto authorized_keys
Authorized keys for admin
ise/admin# crypto key delete authorized_keys
ise/admin# show crypto authorized_keys
ise/admin#
ise/admin# crypto key import mykey_rsa repository myrepository
ise/admin# show crypto key
admin public key: ssh-rsa f8:7f:8a:79:44:b8:5d:5f:af:e1:63:b2:be:7a:fd:d4 admin@ise
ise/admin#
ise/admin# crypto host_key add host ise
host key fingerprint added
# Host ise found: line 1 type RSA
2048 1d:72:73:6e:ad:f7:2d:11:ac:23:e7:8c:81:32:c5:ea ise (RSA)
ise/admin#
ise/admin# crypto host_key delete host ise
host key fingerprint for ise removed
ise/admin#
要显示已执行命令的错误或事件,请在执行模式下使用 debug 命令。
debug [ all | application | backup-restore | cdp | config | copy | icmp | locks | logging | snmp | system | transfer | user | utils ]
all |
启用所有调试。 |
application |
启用调试应用相关的错误或事件。
|
backup-restore |
启用调试备份和恢复相关的错误或事件。
|
cdp |
启用调试思科发现协议配置相关的错误或事件。
|
config |
启用调试思科 ISE 配置相关的错误或事件。
|
copy |
启用调试复制命令。将等级设置为 0 和 7 之间的数字,0 表示严重,7 表示所有。 |
icmp |
启用调试互联网控制消息协议 (ICMP) 回送响应配置相关的错误或事件。 all - 启用 ICMP 回送响应配置的所有调试输出。将等级设置为 0 和 7 之间的数字,0 表示严重,7 表示所有。 |
locks |
启用调试资源锁定相关的错误或事件。
|
logging |
启用调试日志记录配置相关的错误或事件。 all - 启用所有日志记录配置调试输出。将等级设置为 0 和 7 之间的数字,0 表示严重,7 表示所有。 |
snmp |
启用调试 SNMP 配置相关的错误或事件。 all - 启用所有 SNMP 配置调试输出。将等级设置为 0 和 7 之间的数字,0 表示严重,7 表示所有。 |
system |
启用调试思科 ISE 系统相关的错误和事件。
|
transfer |
启用调试文件传输。将等级设置为 0 和 7 之间的数字,0 表示严重,7 表示所有。 |
user |
启用调试用户管理。
|
utils |
启用调试实用工具配置相关的错误和事件。 all - 启用所有实用工具配置调试输出。将等级设置为 0 和 7 之间的数字,0 表示严重,7 表示所有。 |
无默认行为或值。
EXEC
版本 |
修改 |
---|---|
2.0.0.306 |
引入了此命令。 |
使用 debug 命令可显示思科 ISE 服务器中的各种错误或事件,例如设置或配置失败。
ise/admin# debug all
ise/admin# mkdir disk:/1
ise/admin# 6 [15347]: utils: vsh_root_stubs.c[2742] [admin]: mkdir operation success
ise/admin# rmdir disk:/1
6 [15351]: utils: vsh_root_stubs.c[2601] [admin]: Invoked Remove Directory disk:/1 command
6 [15351]: utils: vsh_root_stubs.c[2663] [admin]: Remove Directory operation success
ise/admin#
ise/admin# undebug all
ise/admin#
要从思科 ISE 服务器中删除文件,请在执行模式下使用 delete 命令。
delete [filename disk:/path]
filename |
文件名。最多支持 80 个字母数字字符。 |
disk:/path |
文件在存储库中的位置。 |
无默认行为或值。
EXEC
版本 |
修改 |
---|---|
2.0.0.306 |
引入了此命令。 |
如果您尝试删除配置文件或映像,系统会提示您确认删除。此外,如果您尝试删除最后一个有效的系统映像,系统会提示您确认删除。
ise/admin# delete disk:/hs_err_pid19962.log
ise/admin#
要列出思科 ISE 服务器的文件,请在执行模式下使用 dir 命令。
dir
dir disk:/logs
dir recursive
directory-name |
目录名称。最多支持 80 个字母数字字符。需要在目录名称前面加上 disk:/ 。 |
recursive |
(可选)。列出本地文件系统中的目录和文件。 |
无默认行为或值。
EXEC
版本 |
修改 |
---|---|
2.0.0.306 |
引入了此命令。 |
无。
ise/admin# dir
Directory of disk:/
2034113 Aug 05 2010 19:58:39 ADElogs.tar.gz
4096 Jun 10 2010 02:34:03 activemq-data/
4096 Aug 04 2010 23:14:53 logs/
16384 Jun 09 2010 02:59:34 lost+found/
2996022 Aug 05 2010 19:11:16 mybackup-100805-1910.tar.gz
4096 Aug 04 2010 23:15:20 target/
4096 Aug 05 2010 12:25:55 temp/
Usage for disk: filesystem
8076189696 bytes total used
6371618816 bytes free
15234142208 bytes available
ise/admin#
ise/admin# dir disk:/logs
0 Aug 05 2010 11:53:52 usermgmt.log
Usage for disk: filesystem
8076189696 bytes total used
6371618816 bytes free
15234142208 bytes available
ise/admin#
ise/admin# dir recursive
Directory of disk:/
2034113 Aug 05 2010 19:58:39 ADElogs.tar.gz
4096 Jun 10 2010 02:34:03 activemq-data/
4096 Aug 04 2010 23:14:53 logs/
16384 Jun 09 2010 02:59:34 lost+found/
2996022 Aug 05 2010 19:11:16 mybackup-100805-1910.tar.gz
4096 Aug 04 2010 23:15:20 target/
4096 Aug 05 2010 12:25:55 temp/
Directory of disk:/logs
Directory of disk:/temp
Directory of disk:/activemq-data
Directory of disk:/activemq-data/localhost
Directory of disk:/activemq-data/localhost/journal
Directory of disk:/activemq-data/localhost/kr-store
Directory of disk:/activemq-data/localhost/kr-store/data
Directory of disk:/activemq-data/localhost/kr-store/state
Directory of disk:/activemq-data/localhost/tmp_storage
Directory of disk:/target
Directory of disk:/target/logs
Directory of disk:/lost+found
Usage for disk: filesystem
8076189696 bytes total used
6371618816 bytes free
15234142208 bytes available
ise/admin#
要进入嵌入式服务路由器控制台,请在执行模式下使用 esr 命令。
esr
此命令没有关键字和参数。 |
无默认行为或值。
EXEC
版本 |
修改 |
---|---|
2.2.0.470 |
引入了此命令。 |
C5921 ESR 软件与思科 ISE 版本 2.2 及更高版本捆绑在一起。您需要 ESR 许可证才能将其启用。有关 ESR 许可信息,请参阅《思科 5921 嵌入式服务路由器集成指南》。
要通过注销思科 ISE 服务器来关闭活动终端会话或要从配置模式向上移动一个模式层次,请在执行模式下使用 exit 命令。
此命令没有关键字和参数。
exit
无默认行为或值。
EXEC
版本 |
修改 |
---|---|
2.0.0.306 |
引入了此命令。 |
ise/admin# config t
Enter configuration commands, one per line. End with CNTL/Z.
ise/admin(config)# exit
ise/admin#
要通过将用户注销思科 ISE 服务器来强制用户退出活动终端会话,请在执行模式下使用 forceout 命令。
forceout username
username |
用户的名称。最多支持 31 个字母数字字符。 |
无默认行为或值。
EXEC
版本 |
修改 |
---|---|
2.0.0.306 |
引入了此命令。 |
在执行模式下使用 forceout 命令可强制用户退出活动会话。
ise/admin# forceout user1
ise/admin#
要生成 符合思科 ISE 密码策略的用户密码,请在 EXEC 模式下使用 generate-password 命令。 。
<word> |
必须为其生成密码的用户名(最大长度为 31)。 |
无默认行为或值。
EXEC
版本 |
修改 |
---|---|
3.1 |
引入了此命令。 |
当您添加新的管理员用户时,您还可以通过思科 ISE GUI 生成用户密码。在思科 ISE GUI,从主菜单中,选择 密码 区域中,点击 生成密码 以自动为您添加的管理员用户生成并分配密码。
。在在思科 ISE CLI 中,您可以使用 generate-password 命令生成符合思科 ISE 密码策略的管理员用户密码。
ise/admin# generate-password <username>
1pNn
ise/admin#configure terminal
Entering configuration mode terminal
ise/admin(config)#username <username> ?
Possible completions:
password Password and user role
ise/admin(config)#username <username> password plain ?
Description: Password. Use of % character must be escaped with (Max Size - 127)
Possible Completions:
<AES encrypted string, min: 1 units, max: 200 units>
ise/admin(config)#username <username> password plain 1pNn ?
Possible completions:
role
ise/admin(config)#username <username> password plain 1pNn role admin ?
Possible completions:
disabled User is diabled
email User email address
<cr>
要关闭系统和系统电源,请在执行模式下使用 halt 命令。
此命令没有关键字和参数。
halt
无默认行为或值。
EXEC
版本 |
修改 |
---|---|
2.0.0.306 |
引入了此命令。 |
在发出 halt 命令之前,请确保思科 ISE 未执行任何备份、恢复、安装、升级或删除操作。首先,运行 application stop ise 命令以停止思科 ISE 进程。然后,运行 halt 命令。
如果在思科 ISE 执行上述任一操作时发出 halt 命令,您将会收到以下其中一条警告消息︰
WARNING: A backup or restore is currently in progress! Continue with halt?
WARNING: An install/upgrade/remove is currently in progress! Continue with halt?
如果您收到上述任一警告,请输入 Yes 继续停止操作,或输入 No 取消停止。
在使用 halt 命令时,如果系统没有运行任何进程,或如果您输入 Yes 来回应显示的警告消息,则您必须回答以下问题:
Do you want to save the current configuration?
如果您输入 Yes 保存现有思科 ISE 配置,系统将显示以下消息:
Saved the running configuration to startup successfully
ise/admin# halt
ise/admin#
要显示思科 ISE 服务器的交互式帮助系统,请在执行模式下使用 help 命令。
此命令没有关键字和参数。
help
无默认行为或值。
执行和所有配置 (config) 模式。
版本 |
修改 |
---|---|
2.0.0.306 |
引入了此命令。 |
help 命令可提供上下文相关帮助系统的简短说明。
要列出可用于特定命令模式的所有命令,请在系统提示符处输入问号 (?)。
要获取以特定字符串开头的命令列表,请输入缩写的命令条目,后面紧跟着 ?。此形式的帮助被称为文字帮助,因为它仅列出以您输入的缩写开头的关键字或参数。
要列出与命令关联的关键字和参数,请在命令行中输入 ? 来代替关键字或参数。此形式的帮助被称为命令语法帮助,因为它列出基于您输入的命令、关键字和参数所运用的关键字或参数。
ise/admin# help
Help may be requested at any point in a command by entering
a question mark '?'. If nothing matches, the help list will
be empty and you must backup until entering a '?' shows the
available options.
Two styles of help are provided:
1. Full help is available when you are ready to enter a
command argument (e.g. 'show?') and describes each possible
argument.
2. Partial help is provided when an abbreviated argument is entered
and you want to know what arguments match the input
(e.g. 'show pr?'.)
ise/admin#
要执行 esr 许可证操作,请在执行模式下使用 licence esr 命令。
license esr{ classic |smart }
classic |
启用 ESR 经典许可。 |
smart |
启用 ESR 智能许可。 |
无默认行为或值。
EXEC
版本 |
修改 |
---|---|
2.2.0.470 |
引入了此命令。 |
C5921 ESR 软件与思科 ISE 版本 2.2 及更高版本捆绑在一起。您需要 ESR 许可证才能将其启用。有关 ESR 许可信息,请参阅《思科 5921 嵌入式服务路由器集成指南》。
要在思科 ISE 服务器中创建新目录,请在执行模式下使用 mkdir 命令。
mkdir directory-name
directory-name |
要创建的目录的名称。最多支持 80 个字母数字字符。请使用 disk:/directory-name 。 |
无默认行为或值。
EXEC
版本 |
修改 |
---|---|
2.0.0.306 |
引入了此命令。 |
请使用 disk :/directory-name ;否则,将出现一个错误,指示必须包括 disk :/directory-name 。
ise/admin# mkdir disk:/test
ise/admin# dir
Directory of disk:/
4096 May 06 2010 13:34:49 activemq-data/
4096 May 06 2010 13:40:59 logs/
16384 Mar 01 2010 16:07:27 lost+found/
4096 May 06 2010 13:42:53 target/
4096 May 07 2010 12:26:04 test/
Usage for disk: filesystem
181067776 bytes total used
19084521472 bytes free
20314165248 bytes available
ise/admin#
要在思科 ISE 服务器中查找远程系统的主机名,请在执行模式下使用 nslookup 命令。
nslookup {ip-address |hostname}
nslookup [ {ip-address |hostname} name-server {ip-address }]
nslookup [ {ip-address |hostname} querytype {query-type}]
ip-address |
远程系统的 IPv4 或 IPv6 地址。最多支持 64 个字母数字字符。 |
hostname |
远程系统的主机名。最多支持 64 个字母数字字符。 |
name-server |
指定备用域名服务器。最多支持 64 个字母数字字符。 |
querytype |
查询远程系统的 IPv4 或 IPv6 地址或主机名。它包括查询类型,例如 PTR、A、AAAA 和 SRV。最多支持 16 个字母数字字符。 |
无默认行为或值。
EXEC
版本 |
修改 |
---|---|
2.0.0.306 |
引入了此命令。 |
ise/admin# nslookup 1.2.3.4
Trying "4.3.2.1.in-addr.arpa"
Received 127 bytes from 171.70.168.183#53 in 1 ms
Trying "4.3.2.1.in-addr.arpa"
Host 4.3.2.1.in-addr.arpa. not found: 3(NXDOMAIN)
Received 127 bytes from 171.70.168.183#53 in 1 ms
ise/admin#
ise/admin# nslookup ipv6.google.com querytype AAAA
Server: 10.106.230.244
Address: 10.106.230.244#53
Non-authoritative answer:
ipv6.google.com canonical name = ipv6.l.google.com.
ipv6.l.google.com has AAAA address 2404:6800:4007:803::1001
Authoritative answers can be found from:
google.com nameserver = ns4.google.com.
google.com nameserver = ns3.google.com.
google.com nameserver = ns2.google.com.
google.com nameserver = ns1.google.com.
ns1.google.com internet address = 216.239.32.10
ns2.google.com internet address = 216.239.34.10
ns3.google.com internet address = 216.239.36.10
ns4.google.com internet address = 216.239.38.10
ise/admin#
要更新 CLI 帐户密码,请在执行模式下使用 password 命令。
![]() 注 |
在 CLI 中进行安装时或完成安装后,当您为管理员创建密码时,请勿使用 $ 字符(除非是将其作为密码的最后一个字符)。如果在密码开头或中间使用此字符,系统虽然会接受该密码,但是您无法使用该密码登录到 CLI。 要更正此问题,请登录控制台并使用 CLI 命令,或者获取 ISE CD 或 ISO 文件。有关如何使用 ISO 重置密码的说明,可在以下文档中找到: https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/200568-ISE-Password-Recovery-Mechanisms.html |
Enter old password |
输入当前 CLI 密码。 |
Enter new password |
输入新的 CLI 密码。 |
Confirm new password |
确认新的 CLI 密码。 |
EXEC
版本 |
修改 |
---|---|
2.0.0.306 |
引入了此命令。 |
ise/admin# password
Enter old password:
Enter new password:
Confirm new password:
ise/admin#
尝试使用 patch install 命令安装补丁之前,必须阅读随附于补丁的发行说明中的补丁安装说明。发行说明包含重要的更新说明,您必须遵循这些说明。
要通过 CLI 在特定节点上安装应用的补丁包,请在执行模式下使用 patch install 命令。
patch install patch-bundle repository
![]() 注 |
在思科 ISE 分布式部署环境中,从管理员门户安装补丁包,以便补丁包自动安装在所有辅助节点上。 |
install |
安装应用的特定补丁包。 |
patch-bundle |
补丁包文件名。最多支持 255 个字母数字字符。 |
repository |
将补丁安装在指定存储库名称中。最多支持 255 个字母数字字符。 |
如果您已在部署中启用主要管理节点 (PAN) 自动故障切换配置,请在安装补丁前将其禁用。对部署中的所有节点完成补丁安装后,启用 PAN 自动故障切换配置。
在版本 2.0 中安装补丁时,补丁安装进程不会提示您验证软件的散列值。从版本 2.0 开始,补丁安装软件会自动使用数字签名验证补丁软件的完整性。有关 patch install 命令的输出示例,请参阅下面提供的示例。
无默认行为或值。
EXEC
版本 |
修改 |
---|---|
2.0.0.306 |
引入了此命令。 |
安装应用的特定补丁包。
如果您尝试安装的补丁是现有补丁的早期版本,则您将收到以下错误消息:
% Patch to be installed is an older version than currently installed version.
要从 CLI 查看补丁安装的状态,您必须检查思科 ISE 支持捆绑包中的 ade.log 文件。
如果您已在部署中启用 PAN 自动故障切换配置,系统将会显示以下消息:
PAN Auto Failover is enabled, this operation is
not allowed! Please disable PAN Auto-failover first.
对部署中的所有节点完成补丁安装后,禁用 PAN 自动故障切换配置,然后再启用。
ise/admin# patch install ise-patchbundle-2.0.0.306-Patch2-164765.SPA.x86_64.tar.gz disk
%Warning: Patch will be installed only on this node. Install using Primary Administration node GUI to install on all nodes in deployment. Continue? (yes/no) [yes] ?
Save the current ADE-OS running configuration? (yes/no) [yes] ?
Generating configuration...
Saved the ADE-OS running configuration to startup successfully
Initiating Application Patch installation...
Getting bundle to local machine...
Unbundling Application Package...
Verifying Application Signature...
Patch successfully installed
ise/admin#
尝试使用 patch remove 命令回滚补丁之前,必须阅读随附于补丁的发行说明中的补丁回滚说明。发行说明包含重要的更新说明,您必须遵循这些说明。
要删除应用的特定补丁包版本,请在执行模式下使用 patch remove 命令。
patch [ remove {application_name | version}]
![]() 注 |
在思科 ISE 分布式部署环境中,从管理员门户删除补丁包会自动从辅助节点中删除补丁。 |
remove |
删除应用的特定补丁包版本的命令。 |
application_name |
要从其删除补丁的应用的名称。最多支持 255 个字母数字字符。 |
version |
要删除的补丁版本号。最多支持 255 个字母数字字符。 |
如果您已在部署中启用主要管理节点 (PAN) 自动故障切换配置,请在删除补丁前将其禁用。完成删除补丁后,您可以启用 PAN 自动故障切换配置。
无默认行为或值。
EXEC
版本 |
修改 |
---|---|
2.0.0.306 |
引入了此命令。 |
如果您尝试删除未安装的补丁,则您将收到以下错误消息:
% Patch is not installed
如果您已在部署中启用 PAN 自动故障切换配置,系统将会显示以下消息:
PAN Auto Failover is enabled, this operation is
not allowed! Please disable PAN Auto-failover first.
ise/admin# patch remove ise 3
Continue with application patch uninstall? [y/n] y
Application patch successfully uninstalled
ise/admin#
ise/admin# patch remove ise 3
Continue with application patch uninstall? [y/n] y
% Patch is not installed
ise/admin#
要访问思科 ISE CLI 的根,请在执行模式下使用 permit rootaccess 命令。
permit rootaccess
![]() 注 |
必须作为 TAC 案例的一部分提交质询令牌请求才能获取质询响应。该 TAC 案例仅在 15 分钟内有效。如果您未在 15 分钟内收到质询响应,则必须再次提交。退出根级别访问权限后,质询/响应过程将锁定从 TAC 收到的根访问权限。 |
此命令没有关键字和参数。 |
无默认行为或值。
EXEC
版本 |
修改 |
---|---|
2.7.0.349 |
引入了此命令。 |
以下示例显示了如何访问思科 ISE CLI 的根:
ise/admin##
ise/admin# permit rootaccess
1. Generate Challenge Token Request
2. Enter Challenge Response for Root Access
3. Show History
4. Exit
Enter CLI Option:
1
Generating Challenge.....................................
Challenge String (Please copy everything between the asterisk lines exclusively):
*****************************************************************************************
GLOX7gAAAQEBAAQAAAABAgAEAAAAAAMACLmJxgub0hitBAAQiUwv+XeD3pnJ4HLnJy30YQUABAAADhAGAANJU0UHAAZJU0VfQ1QIAANJU0UJACcJIDU2NGQ5NjgwLTFmZmEtOWI0ZS0wZjY1LTdlZDllMGQ1M2UzNQo=
*****************************************************************************************
Starting background timer of 15mins
1. Generate Challenge Token Request
2. Enter Challenge Response for Root Access
3. Show History
4. Exit
Enter CLI Option:
2
Please input the response when you are ready .........................
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
Response Signature Verified successfully !
Granting shell access
sh-4.2# ls
2.4backup config CT_Deme_Test_Rpm ct_rolling.txt lost+found threadHeapDumpGntr.sh
backup_anc-2.7.0-115.jar corefiles CT_engine-2.7.0-1.0.x86_64.rpm err.out prrt-server.log tomcat-process-log.txt
backup_guestaccess-upgrade-2.7.0-115.jar corestacks.txt ct_persistent.txt Heap_dump20190705 libciscosafec.so.4.0.1 Thread_dump_2019-07-05-19:07:30
sh-4.2# exit
exit
Root shell exited
1. Generate Challenge Token Request
2. Enter Challenge Response for Root Access
3. Show History
4. Exit
Enter CLI Option:
3
************************************
SN No : 1
************************************
Challenge 3/WcyAAAAQEBAAQAAAABAgAEAAAAAAMACMt89YhCTVWWBAAQwo9lyianfhO4C5u1+v80AQUABAAADhAGAANJU0UHAAZJU0VfQ1QIAANJU0UJACcJIDU2NGQ5NjgwLTFmZmEtOWI0ZS0wZjY1LTdlZDllMGQ1M2UzNQo= generated at 2019-06-12 15:40:01.000
************************************
SN No : 2
************************************
Challenge exNwkAAAAQEBAAQAAAABAgAEAAAAAAMACCIBbk3qhsFGBAAQQ4UKV7KrKQ7uoHEq7qPG1AUABAAADhAGAANJU0UHAAZJU0VfQ1QIAANJU0UJACcJIDU2NGQ5NjgwLTFmZmEtOWI0ZS0wZjY1LTdlZDllMGQ1M2UzNQo= generated at 2019-06-12 15:43:31.000
1. Generate Challenge Token Request
2. Enter Challenge Response for Root Access
3. Show History
4. Exit
Enter CLI Option:
4
Exiting..............
ise/admin#
要诊断远程系统的基本 IPv4 网络连接,请在执行模式下使用 ping 命令。
ping {ip-address | hostname} [ df df] [ packetsize packetsize] [ pingcount pingcount]
ip-address |
要 ping 的系统的 IP 地址。最多支持 32 个字母数字字符。 |
hostname |
要 ping 的系统的主机名。最多支持 32 个字母数字字符。 |
df |
(可选)。数据包分段的规范。 |
df |
将该值指定为 1 可禁止数据包分段,或指定为 2 可局部地进行数据包分段,或指定为 3 可不设置 df。 |
packetsize |
(可选)。ping 数据包的大小。 |
packetsize |
指定 ping 数据包的大小;该值可介于 0 与 65507 之间。 |
pingcount |
(可选)。ping 回应请求数。 |
pingcount |
指定 ping 回应请求数;该值介于 1 与 10 之间。 |
无默认行为或值。
EXEC
版本 |
修改 |
---|---|
2.0.0.306 |
引入了此命令。 |
ping 命令可将回应请求数据包发送到某个地址,然后等待回复。Ping 输出可帮助您评估路径到主机的可靠性、路径的延迟,以及您是否可访问主机。
ise/admin# ping 172.16.0.1 df 2 packetsize 10 pingcount 2
PING 172.16.0.1 (172.16.0.1) 10(38) bytes of data.
18 bytes from 172.16.0.1: icmp_seq=0 ttl=40 time=306 ms
18 bytes from 172.16.0.1: icmp_seq=1 ttl=40 time=300 ms
--- 172.16.0.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 300.302/303.557/306.812/3.255 ms, pipe 2
ise/admin#
要诊断远程系统的基本 IPv6 网络连接,请在执行模式下使用 ping6 命令。这类似于 IPv4 ping 命令。
ping6 {ip-address} [GigabitEthernet {0-3}][packetsize {packetsize}] [pingcount {pingcount}]
ip-address |
要 ping 的系统的 IP 地址。最多支持 64 个字母数字字符。 |
GigabitEthernet |
(可选)。以太网接口。 |
0-3 |
选择以太网接口。 |
packetsize |
(可选)。ping 数据包的大小。 |
packetsize |
指定 ping 数据包的大小;该值可介于 0 与 65507 之间。 |
pingcount |
(可选)。ping 回应请求数。 |
pingcount |
指定 ping 回应请求数;该值介于 1 与 10 之间。 |
无默认行为或值。
EXEC
版本 |
修改 |
---|---|
2.0.0.306 |
引入了此命令。 |
ping6 命令可将回应请求数据包发送到某个地址,然后等待回复。Ping 输出可帮助您评估路径到主机的可靠性、路径的延迟,以及您是否可访问主机。
ping6 命令类似于现有的 ping 命令。ping6 命令不支持 IPv4 数据包分段(df ,如 ping 命令所述)选项,但它允许接口的可选规范。接口选项主要用于使用属于接口特定地址的链接本地地址进行固定。packetsize 和 pingcount 选项的作用与 ping 命令相同。
ise/admin# ping6 3ffe:302:11:2:20c:29ff:feaf:da05
PING 3ffe:302:11:2:20c:29ff:feaf:da05(3ffe:302:11:2:20c:29ff:feaf:da05) from 3ffe:302:11:2:20c:29ff:feaf:da05 eth0: 56 data bytes
64 bytes from 3ffe:302:11:2:20c:29ff:feaf:da05: icmp_seq=0 ttl=64 time=0.599 ms
64 bytes from 3ffe:302:11:2:20c:29ff:feaf:da05: icmp_seq=1 ttl=64 time=0.150 ms
64 bytes from 3ffe:302:11:2:20c:29ff:feaf:da05: icmp_seq=2 ttl=64 time=0.070 ms
64 bytes from 3ffe:302:11:2:20c:29ff:feaf:da05: icmp_seq=3 ttl=64 time=0.065 ms
--- 3ffe:302:11:2:20c:29ff:feaf:da05 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3118ms
rat min./aft/max/endive = 0.065/0.221/0.599/0.220 ms, pipe 2
ise/admin#
ise/admin# ping6 3ffe:302:11:2:20c:29ff:feaf:da05 GigabitEthernet 0 packetsize 10 pingcount 2
PING 3ffe:302:11:2:20c:29ff:feaf:da05(3ffe:302:11:2:20c:29ff:feaf:da05) from 3ffe:302:11:2:20c:29ff:feaf:da05 eth0: 10 data bytes
18 bytes from 3ffe:302:11:2:20c:29ff:feaf:da05: icmp_seq=0 ttl=64 time=0.073 ms
18 bytes from 3ffe:302:11:2:20c:29ff:feaf:da05: icmp_seq=1 ttl=64 time=0.073 ms
--- 3ffe:302:11:2:20c:29ff:feaf:da05 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1040ms
rat min./aft/max/endive = 0.073/0.073/0.073/0.000 ms, pipe 2
ise/admin#
此命令没有关键字和参数。要重新引导思科 ISE 操作系统,请在执行模式下使用 reload 命令。
reload
无默认行为或值。
EXEC
版本 |
修改 |
---|---|
2.0.0.306 |
引入了此命令。 |
reload 命令可重新引导系统。在文件中输入配置信息,通过 CLI 将运行配置保存到永久启动配置,即可使用 reload 命令。保存思科 ISE 管理门户会话中的任何设置。
在发出 reload 命令之前,请确保思科 ISE 未执行任何备份、恢复、安装、升级或删除操作。首先,运行 application stop ise 命令以停止思科 ISE 进程。然后,运行 reload 命令。
如果思科 ISE 执行上述任一操作且您发出 reload 命令,则会收到以下其中一条警告消息︰
WARNING: A backup or restore is currently in progress! Continue with reload?
WARNING: An install/upgrade/remove is currently in progress! Continue with reload?
如果您收到上述任一警告,请输入 Yes 继续重新加载操作,或输入 No 取消重新加载操作。
在使用 reload 命令时,如果系统没有运行任何进程,或者如果您输入 Yes 来回应显示的警告消息,则您必须回答以下问题:
Do you want to save the current configuration?
如果您输入 Yes 保存现有思科 ISE 配置,系统将显示以下消息:
Saved the running configuration to startup successfully
如果在部署中已启用自动故障切换,您会收到以下警告消息:
PAN Auto Failover feature is enabled, therefore
this operation will trigger a failover if ISE services are not
restarted within the fail-over window. Do you want to continue (y/n)?
如果要继续,请键入“ y”,如果要取消,请键入“ n”。
ise/admin# reload
Do you want to save the current configuration? (yes/no) [yes]? yes
Generating configuration...
Saved the running configuration to startup successfully
Continue with reboot? [y/n] y
Broadcast message from root (pts/0) (Fri Aug 7 13:26:46 2010):
The system is going down for reboot NOW!
ise/admin#
ise/iseadmin#reload cli
%WARNING: : The Cisco ISE CLI will restart now and will be unavailable for a few minutes.
Do you want to continue (yes/no) [no] ?yes
Connection to ise closed.
要重置 ADE-OS 网络配置(例如 IP 地址/掩码/网关、主机名、域名、DNS 服务器和 NTP 服务),请在执行模式下使用 reset-config 命令。这些参数基本上与安装过程中提示的参数相同。在使用此 CLI 命令时,系统不会提示管理员输入管理员密码。此命令不会重置当前 ISE 配置或操作数据,因为这些任务是使用 application reset-config 命令实现的。
reset-config
无默认行为或值。
EXEC
版本 |
修改 |
---|---|
2.2.0.470 |
引入了此命令。 |
执行完成后,所有服务都将重启。
![]() 注 |
更新主机名会导致所有使用旧主机名的证书无效。系统会生成使用新主机名的新自签证书,用于 HTTPS/EAP。如果此节点使用 CA 签名证书,请导入使用正确主机名的新证书。另外,如果此节点是 AD 域的成员,请在继续之前删除所有 AD 成员关系。 |
要恢复系统之前的备份,请在执行模式下使用 restore 命令。恢复操作会恢复与思科 ISE 和思科 ADE OS 相关的数据。
使用以下命令可恢复与思科 ISE 应用和思科 ADE OS 相关的数据:
restore [{filename} repository {repository-name} encryption-key hash | plain {encryption-key-name}]
restore [{filename} repository {repository-name} encryption-key hash | plain {encryption-key-name} include-adeos]
filename |
驻留在存储库的备份文件的名称。最多支持 120 个字母数字字符。
|
||
repository |
存储库命令。 |
||
repository-name |
您要从其恢复备份的存储库的名称。最多支持 120 个字符。 |
||
encryption-key |
(可选)。指定用于恢复备份的用户定义加密密钥。 |
||
hash |
恢复备份的散列加密密钥。指定跟随的加密(散列)加密密钥。最多支持 40 个字符。 |
||
plain |
用于恢复备份的明文加密密钥。指定跟随的未加密密文加密密钥。最多支持 15 个字符。 |
||
encryption-key-name |
指定散列 | 明文格式的加密密钥。 |
||
include-adeos |
如果备份中存在 ADE-OS 配置数据,则恢复备份并重新启动思科 ISE |
如果您已在部署中启用主要管理节点 (PAN) 自动故障切换配置,请在恢复备份前将其禁用。在恢复完成后,您可以启用 PAN 自动故障切换配置。
无默认行为或值。
EXEC
版本 |
修改 |
---|---|
2.0.0.306 |
引入了此命令。 |
当您在思科 ISE 中使用 restore 命令时,思科 ISE 服务器会自动重新启动。
恢复数据时,加密密钥为可选。要在您未提供加密密钥的情况下,支持恢复更早的备份,您可以使用 restore 命令,无需加密密钥。
如果您已在部署中启用 PAN 自动故障切换配置,系统将会显示以下消息:
PAN Auto Failover is enabled, this operation is
not allowed! Please disable PAN Auto-failover first.
![]() 注 |
思科 ISE 版本 1.2 不支持从思科 ISE 版本 1.0 和思科 ISE 版本 1.0 MR 备份恢复。 |
![]() 注 |
思科 ISE 版本 1.4 支持从版本 1.2 及更高版本获取的备份恢复。 |
要从备份恢复思科 ISE 配置数据,请使用以下命令:
restore mybackup-CFG-121025-2348.tar.gpg repository myrepository encryption-key plain lablab12
ise/admin# restore latest-jul-15-CFG-140715-2055.tar.gpg repository CUSTOMER-DB-sftp encryption-key plain Test_1234
% Warning: Do not use Ctrl-C or close this terminal window until the restore completes.
Initiating restore. Please wait...
% restore in progress: Starting Restore...10% completed
% restore in progress: Retrieving backup file from Repository...20% completed
% restore in progress: Decrypting backup data...25% completed
% restore in progress: Extracting backup data...30% completed
Leaving the currently connected AD domain
Please rejoin the AD domain from the administrative GUI
% restore in progress: Stopping ISE processes required for restore...35% completed
% restore in progress: Restoring ISE configuration database...40% completed
% restore in progress: Adjusting host data for upgrade...65% completed
UPGRADE STEP 1: Running ISE configuration DB schema upgrade...
- Running db sanity check to fix index corruption, if any...
UPGRADE STEP 2: Running ISE configuration data upgrade...
- Data upgrade step 1/67, NSFUpgradeService(1.2.1.127)... Done in 0 seconds.
- Data upgrade step 2/67, NetworkAccessUpgrade(1.2.1.127)... Done in 0 seconds.
- Data upgrade step 3/67, GuestUpgradeService(1.2.1.146)... Done in 43 seconds.
- Data upgrade step 4/67, NetworkAccessUpgrade(1.2.1.148)... Done in 2 seconds.
- Data upgrade step 5/67, NetworkAccessUpgrade(1.2.1.150)... Done in 2 seconds.
- Data upgrade step 6/67, NSFUpgradeService(1.2.1.181)... Done in 0 seconds.
- Data upgrade step 7/67, NSFUpgradeService(1.3.0.100)... Done in 0 seconds.
- Data upgrade step 8/67, RegisterPostureTypes(1.3.0.170)... Done in 0 seconds.
- Data upgrade step 9/67, ProfilerUpgradeService(1.3.0.187)... Done in 5 seconds.
- Data upgrade step 10/67, GuestUpgradeService(1.3.0.194)... Done in 2 seconds.
- Data upgrade step 11/67, NetworkAccessUpgrade(1.3.0.200)... Done in 0 seconds.
- Data upgrade step 12/67, GuestUpgradeService(1.3.0.208)... Done in 2 seconds.
- Data upgrade step 13/67, GuestUpgradeService(1.3.0.220)... Done in 0 seconds.
- Data upgrade step 14/67, RBACUpgradeService(1.3.0.228)... Done in 15 seconds.
- Data upgrade step 15/67, NetworkAccessUpgrade(1.3.0.230)... Done in 3 seconds.
- Data upgrade step 16/67, GuestUpgradeService(1.3.0.250)... Done in 0 seconds.
- Data upgrade step 17/67, NetworkAccessUpgrade(1.3.0.250)... Done in 0 seconds.
- Data upgrade step 18/67, RBACUpgradeService(1.3.0.334)... Done in 9 seconds.
- Data upgrade step 19/67, RBACUpgradeService(1.3.0.335)... Done in 9 seconds.
- Data upgrade step 20/67, ProfilerUpgradeService(1.3.0.360)... ...Done in 236 seconds.
- Data upgrade step 21/67, ProfilerUpgradeService(1.3.0.380)... Done in 4 seconds.
- Data upgrade step 22/67, NSFUpgradeService(1.3.0.401)... Done in 0 seconds.
- Data upgrade step 23/67, NSFUpgradeService(1.3.0.406)... Done in 0 seconds.
- Data upgrade step 24/67, NSFUpgradeService(1.3.0.410)... Done in 2 seconds.
- Data upgrade step 25/67, RBACUpgradeService(1.3.0.423)... Done in 0 seconds.
- Data upgrade step 26/67, NetworkAccessUpgrade(1.3.0.424)... Done in 0 seconds.
- Data upgrade step 27/67, RBACUpgradeService(1.3.0.433)... Done in 1 seconds.
- Data upgrade step 28/67, EgressUpgradeService(1.3.0.437)... Done in 1 seconds.
- Data upgrade step 29/67, NSFUpgradeService(1.3.0.438)... Done in 0 seconds.
- Data upgrade step 30/67, NSFUpgradeService(1.3.0.439)... Done in 0 seconds.
- Data upgrade step 31/67, CdaRegistration(1.3.0.446)... Done in 2 seconds.
- Data upgrade step 32/67, RBACUpgradeService(1.3.0.452)... Done in 16 seconds.
- Data upgrade step 33/67, NetworkAccessUpgrade(1.3.0.458)... Done in 0 seconds.
- Data upgrade step 34/67, NSFUpgradeService(1.3.0.461)... Done in 0 seconds.
- Data upgrade step 35/67, CertMgmtUpgradeService(1.3.0.462)... Done in 2 seconds.
- Data upgrade step 36/67, NetworkAccessUpgrade(1.3.0.476)... Done in 0 seconds.
- Data upgrade step 37/67, TokenUpgradeService(1.3.0.500)... Done in 1 seconds.
- Data upgrade step 38/67, NSFUpgradeService(1.3.0.508)... Done in 0 seconds.
- Data upgrade step 39/67, RBACUpgradeService(1.3.0.509)... Done in 17 seconds.
- Data upgrade step 40/67, NSFUpgradeService(1.3.0.526)... Done in 0 seconds.
- Data upgrade step 41/67, NSFUpgradeService(1.3.0.531)... Done in 0 seconds.
- Data upgrade step 42/67, MDMUpgradeService(1.3.0.536)... Done in 0 seconds.
- Data upgrade step 43/67, NSFUpgradeService(1.3.0.554)... Done in 0 seconds.
- Data upgrade step 44/67, NetworkAccessUpgrade(1.3.0.561)... Done in 3 seconds.
- Data upgrade step 45/67, RBACUpgradeService(1.3.0.563)... Done in 19 seconds.
- Data upgrade step 46/67, CertMgmtUpgradeService(1.3.0.615)... Done in 0 seconds.
- Data upgrade step 47/67, CertMgmtUpgradeService(1.3.0.616)... Done in 15 seconds.
- Data upgrade step 48/67, CertMgmtUpgradeService(1.3.0.617)... Done in 2 seconds.
- Data upgrade step 49/67, OcspServiceUpgradeRegistration(1.3.0.617)... Done in 0 seconds.
- Data upgrade step 50/67, NSFUpgradeService(1.3.0.630)... Done in 0 seconds.
- Data upgrade step 51/67, NSFUpgradeService(1.3.0.631)... Done in 0 seconds.
- Data upgrade step 52/67, CertMgmtUpgradeService(1.3.0.634)... Done in 0 seconds.
- Data upgrade step 53/67, RBACUpgradeService(1.3.0.650)... Done in 8 seconds.
- Data upgrade step 54/67, CertMgmtUpgradeService(1.3.0.653)... Done in 0 seconds.
- Data upgrade step 55/67, NodeGroupUpgradeService(1.3.0.655)... Done in 1 seconds.
- Data upgrade step 56/67, RBACUpgradeService(1.3.0.670)... Done in 4 seconds.
- Data upgrade step 57/67, ProfilerUpgradeService(1.3.0.670)... Done in 0 seconds.
- Data upgrade step 58/67, ProfilerUpgradeService(1.3.0.671)... Done in 0 seconds.
- Data upgrade step 59/67, ProfilerUpgradeService(1.3.0.675)... ...................................Done in 2118 seconds.
- Data upgrade step 60/67, NSFUpgradeService(1.3.0.676)... Done in 1 seconds.
- Data upgrade step 61/67, AuthzUpgradeService(1.3.0.676)... Done in 20 seconds.
- Data upgrade step 62/67, GuestAccessUpgradeService(1.3.0.676)... .......Done in 454 seconds.
- Data upgrade step 63/67, NSFUpgradeService(1.3.0.694)... Done in 0 seconds.
- Data upgrade step 64/67, ProvisioningRegistration(1.3.0.700)... Done in 0 seconds.
- Data upgrade step 65/67, RegisterPostureTypes(1.3.0.705)... Done in 0 seconds.
- Data upgrade step 66/67, CertMgmtUpgradeService(1.3.0.727)... Done in 0 seconds.
- Data upgrade step 67/67, ProvisioningUpgradeService(1.3.105.181)... .Done in 103 seconds.
UPGRADE STEP 3: Running ISE configuration data upgrade for node specific data...
% restore in progress: Restoring logs...75% completed
% restore in progress: Restarting ISE Services...90% completed
Stopping ISE Monitoring & Troubleshooting Log Processor...
ISE Identity Mapping Service is disabled
ISE pxGrid processes are disabled
Stopping ISE Application Server...
Stopping ISE Certificate Authority Service...
Stopping ISE Profiler Database...
Stopping ISE Monitoring & Troubleshooting Session Database...
Stopping ISE AD Connector...
Stopping ISE Database processes...
Starting ISE Monitoring & Troubleshooting Session Database...
Starting ISE Profiler Database...
Starting ISE Application Server...
Starting ISE Certificate Authority Service...
Starting ISE Monitoring & Troubleshooting Log Processor...
Starting ISE AD Connector...
Note: ISE Processes are initializing. Use 'show application status ise'
CLI to verify all processes are in running state.
% restore in progress: Completing Restore...100% completed
ise/admin#
要从备份恢复思科 ISE 运行数据,请使用以下命令:
restore mybackup-OPS-130103-0019.tar.gpg repository myrepository encryption-key plain lablab12
ise/admin# restore mybackup-OPS-130103-0019.tar.gpg repository myrepository
encryption-key plain lablab12
% Warning: Do not use Ctrl-C or close this terminal window until the restore completes.
Initiating restore. Please wait...
% restore in progress: Starting Restore...10% completed
% restore in progress: Retrieving backup file from Repository...20% completed
% restore in progress: Decrypting backup data...40% completed
% restore in progress: Extracting backup data...50% completed
Stopping ISE Monitoring & Troubleshooting Log Processor...
Stopping ISE Application Server...
Stopping ISE Profiler DB...
Stopping ISE Monitoring & Troubleshooting Session Database...
Stopping ISE Database processes...
% restore in progress: starting dbrestore.......55% completed
% restore in progress: ending dbrestore.......75% completed
checking for upgrade
Starting M&T DB upgrade
ISE Database processes already running, PID: 30124
ISE M&T Session Database is already running, PID: 484
Starting ISE Profiler DB...
Starting ISE Application Server...
ISE M&T Log Processor is already running, PID: 837
Note: ISE Processes are initializing. Use 'show application status ise'
CLI to verify all processes are in running state.
% restore in progress: Completing Restore...100% completed
ise/admin#
要恢复包括思科 ISE ADE OS 数据在内的思科 ISE 配置数据,请使用以下命令:
restore mybackup-CFG-130405-0044.tar.gpg repository myrepository encryption-key plain Mykey123 include-adeos
ise/admin# restore mybackup-CFG-130405-0044.tar.gpg repository myrepository encryption-key plain Mykey123 include-adeos
% Warning: Do not use Ctrl-C or close this terminal window until the restore completes.
Initiating restore. Please wait...
% restore in progress: Starting Restore...10% completed
% restore in progress: Retrieving backup file from Repository...20% completed
% restore in progress: Decrypting backup data...25% completed
% restore in progress: Extracting backup data...30% completed
% restore in progress: Stopping ISE processes required for restore...35% completed
% restore in progress: Restoring ISE configuration database...40% completed
% restore in progress: Updating Database metadata...70% completed
% restore in progress: Restoring logs...75% completed
% restore in progress: Performing ISE Database synchup...80% completed
% restore in progress: Completing Restore...100% completed
Broadcast message from root (pts/2) (Fri Apr 5 01:40:04 2013):
The system is going down for reboot NOW!
Broadcast message from root (pts/2) (Fri Apr 5 01:40:04 2013):
The system is going down for reboot NOW!
ise/admin#
要删除现有目录,请在执行模式下使用 rmdir 命令。
rmdir directory-name
directory-name |
目录名称。最多支持 80 个字母数字字符。 |
无默认行为或值。
EXEC
版本 |
修改 |
---|---|
2.0.0.306 |
引入了此命令。 |
ise/admin# mkdir disk:/test
ise/admin# dir
Directory of disk:/
4096 May 06 2010 13:34:49 activemq-data/
4096 May 06 2010 13:40:59 logs/
16384 Mar 01 2010 16:07:27 lost+found/
4096 May 06 2010 13:42:53 target/
4096 May 07 2010 12:26:04 test/
Usage for disk: filesystem
181067776 bytes total used
19084521472 bytes free
20314165248 bytes available
ise/admin#
ise/admin# rmdir disk:/test
ise/admin# dir
Directory of disk:/
4096 May 06 2010 13:34:49 activemq-data/
4096 May 06 2010 13:40:59 logs/
16384 Mar 01 2010 16:07:27 lost+found/
4096 May 06 2010 13:42:53 target/
Usage for disk: filesystem
181063680 bytes total used
19084525568 bytes free
20314165248 bytes available
ise/admin#
要启动与远程系统的加密会话,请在执行模式下使用 ssh 命令。
![]() 注 |
管理员或用户可以使用此命令 |
ssh [{ip-address | hostname}] [username] [ port {port number | version {1 | 2}]
ssh delete host {ip-address | hostname}
ip-address |
远程系统的 IPv4/IPv6 地址。最多支持 64 个字母数字字符。 |
hostname |
远程系统的主机名。最多支持 64 个字母数字字符。 |
username |
通过 SSH 登录的用户的用户名。 |
port |
(可选)。指示远程主机的端口号。 |
port number |
端口的有效范围为 0 至 65,535。默认端口为 22。 |
version |
(可选)。指示版本号。 |
version number |
SSH 版本号 1 和 2。默认 SSH 版本为 2。 |
delete |
删除特定主机的 SSH 指纹。 |
host |
将为其删除主机密钥的远程系统的主机名。 |
ip-address |
远程系统的 IPv4/IPv6 地址。最多支持 64 个字母数字字符。 |
hostname |
远程系统的主机名。最多支持 64 个字母数字字符。 |
已禁用。
EXEC
版本 |
修改 |
---|---|
2.0.0.306 |
引入了此命令。 |
ssh 命令可让系统与另一个远程系统或服务器进行安全且加密的连接。通过身份验证和加密,SSH 客户端允许在不安全的网络上进行安全通信。
![]() 注 |
即使未在 ISE 上启用 FIPS 模式,思科 ISE 也会在 FIPS 模式下启动出站 SSH 或 SFTP 连接。确保与 ISE 通信的远程 SSH 或 SFTP 服务器允许 FIPS 140-2 批准的加密算法。 思科 ISE 使用嵌入式 FIPS 140-2 验证加密模块。有关 FIPS 合规要求的详细信息,请参阅 FIPS 合规证明书。 |
ise/admin# ssh 172.79.21.96 admin port 22 version 2
ssh: connect to host 172.79.21.96 port 22: No route to host
ise/admin#
ise/admin# ssh delete host ise
ise/admin#
要转储所选网络接口上的流量,请在执行模式下使用 tech 命令。
dumptcp |
将 TCP 数据包转储到控制台。 |
interface-number |
千兆以太网接口编号 (0-3)。 |
count |
指定最大数据包计数,默认设置为持续(无限制)。 |
package-count |
支持 1-10000 的数字。 |
interface |
指定接口名称。 |
console |
在控制台上打印人类可读的 TCP 数据包 |
filter |
指定要从 TCP 数据包中过滤的内容 |
time-limit |
根据时间限制命令的执行。默认值为 5 分钟。 |
filename |
指定用于存储捕获的 TCP 数据包的文件名。 |
localdisk |
文件将被压缩并保存到节点的 disk:/dumptcp/ |
file-size |
指定生成的文件的大小(以 MB 为单位)。默认值为 10 MB,最大为 100 MB(仅当保存到磁盘或存储库时)。 |
no-of-files |
指定要生成的文件数。默认值为 1。 |
repository |
指定要保存生成的文件的位置。 |
iostat |
将设备和分区的中央处理器 (CPU) 统计信息和输入/输出统计信息转储到控制台,每 3 秒转储一次。请参阅 Linux iostat 命令。 |
iotop |
按 ISE 节点中的进程提供精确的 I/O 使用情况信息。 |
killgdb |
根据 ProcessID 终止 GDB 进程 |
mpstat |
将发送的处理器相关信息转储到控制台。请参阅 Linux mpstat 命令。 |
netstat |
将发送的网络相关信息转储到控制台,每 3 秒转储一次。请参阅 Linux netstat 命令。 |
top |
转储运行系统的动态实时视图,每 5 秒以批量方式运行一次转储。请参阅 Linux top 命令。 |
vmstat |
转储内存、进程和寻呼的摘要信息,每 3 秒转储一次。请参阅 Linux vmstat 命令。 |
已禁用。
EXEC
版本 |
修改 |
---|---|
2.0.0.306 |
引入了此命令。 |
如果在 tech dumptcp 输出中发现 bad UDP cksum 警告,也并不必为此担心。tech dumptcp 命令可对要从以太网微处理器退出的传出数据包进行检查。大多数现代以太网芯片会计算传出数据包上的校验和,因此,操作系统软件堆栈不会再进行计算。因此,看到宣称为 bad UDP cksum 的传出数据包是正常的。
从思科 ISE 版本 3.0 开始,tech dumptcp 命令具有以下选项作为可用接口:
br-<...>
docker0
GigabitEthernet0(及其他 GigabitEthernet 接口,如果可用)
lo
veth<...>
ise/admin# tech dumptcp 0 count 2
Invoking tcpdump. Press Control-C to interrupt.
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
2 packets captured
2 packets received by filter
0 packets dropped by kernel
02:38:14.869291 IP (tos 0x0, ttl 110, id 4793, offset 0, flags [DF], proto: TCP (6), length: 40) 10.77.202.52.1598 > 172.21.79.91.22: ., cksum 0xe105 (correct),
234903779:234903779(0) ack 664498841 win 63344
02:38:14.869324 IP (tos 0x0, ttl 64, id 19495, offset 0, flags [DF], proto: TCP (6), length: 200) 172.21.79.91.22 > 10.77.202.52.1598: P 49:209(160) ack 0 win
12096
ise/admin#
ise/admin# tech iostat
Linux 2.6.18-348.el5 (ise) 02/25/13
avg-cpu: %user %nice %system %iowait %steal %idle
7.26 0.73 4.27 0.77 0.00 86.97
Device: tps Blk_read/s Blk_wrtn/s Blk_read Blk_wrtn
sda 16.05 415.47 1802.16 3761049 16314264
sda1 0.01 0.23 0.00 2053 22
sda2 0.02 0.22 0.04 1982 354
sda3 0.01 0.29 0.02 2626 152
sda4 0.00 0.00 0.00 14 0
sda5 0.00 0.16 0.00 1479 0
sda6 0.49 0.24 7.45 2189 67400
sda7 15.51 414.27 1794.66 3750186 16246336
ise/admin#
ise/admin# tech mpstat
Linux 2.6.18-348.el5 (ise) 02/25/13
02:41:25 CPU %user %nice %sys %iowait %irq %soft %steal %idle intr/s
02:41:25 all 7.07 0.70 3.98 0.74 0.02 0.14 0.00 87.34 1015.49
ise/admin#
要设置当前终端屏幕上的当前会话的行数,请在执行模式下使用 terminal length 命令。
terminal length 整数
length |
设置当前终端屏幕上的当前会话的行数。 |
integer |
屏幕上的行数。包含 0-511 行(首尾两个值包含在内)。值为零 (0) 可禁用输出屏幕之间的暂停。 |
当前终端屏幕上的当前会话的默认行数为 24。
EXEC
版本 |
修改 |
---|---|
2.0.0.306 |
引入了此命令。 |
系统会使用长度值确定要在多屏幕输出期间暂停的时间。
ise/admin# terminal length 24
ise/admin#
要设置所有会话的非活动超时,请在执行模式下使用 terminal session-timeout 命令。
terminal session-timeout 分钟
session-timeout |
设置所有会话的非活动超时。 |
minutes |
非活动超时的分钟数。有效范围为 0 到 525600。零 (0) 可禁用超时。 |
默认会话超时为 30 分钟。
EXEC
版本 |
修改 |
---|---|
2.0.0.306 |
引入了此命令。 |
将 terminal session-timeout 命令设置为零 (0) 即表示不设置超时。
ise/admin# terminal session-timeout 40
ise/admin#
要在系统上为所有登录系统的用户设置欢迎消息,请在执行模式下使用 terminal session-welcome 命令。
terminal session-welcome 字符串
session-welcome |
在系统上为所有登录系统的用户设置欢迎消息。 |
string |
欢迎消息。最多支持 2023 个字母数字字符。不允许使用 XML 保留字符。 |
无默认行为或值。
EXEC
版本 |
修改 |
---|---|
2.0.0.306 |
引入了此命令。 |
指定在您登录 CLI 时将在屏幕的命令提示顶部显示的欢迎消息。
ise/admin# terminal session-welcome Welcome
ise/admin#
要指定连接到当前会话的当前行的终端类型,请在执行模式下使用 terminal terminal-type 命令。
terminal terminal-type
terminal-type |
指定连接的终端的类型。默认终端类型为 VT100。 |
type |
定义终端名称和类型,并允许由提供该类型服务的主机进行终端协商。最多支持 80 个字母数字字符。 |
VT100
EXEC
版本 |
修改 |
---|---|
2.0.0.306 |
引入了此命令。 |
指示终端类型,如果与 VT100 不同。
您还可以使用 显示终端 命令查看有关终端类型的信息。
ise/admin# terminal terminal-type vt220
ise/admin#
要发现数据包在前往其目的地址时选择的路由,请在执行模式下使用 traceroute 命令。
traceroute [ip-address | hostname]
ip-address |
远程系统的 IPv4 地址。最多支持 64 个字母数字字符。 |
hostname |
远程系统的主机名。最多支持 64 个字母数字字符。 |
无默认行为或值。
EXEC
版本 |
修改 |
---|---|
2.0.0.306 |
引入了此命令。 |
ise/admin# traceroute 172.16.0.11
traceroute to 172.16.0.11 (172.16.0.11), 30 hops max, 38 byte packets
1 172.16.0.11 0.067 ms 0.036 ms 0.032 ms
ise/admin#
要禁用调试功能,请在执行模式下使用 undebug 命令。
undebug [ all | application | backup-restore | cdp | config | copy | icmp | locks | logging | snmp | system | transfer | user | utils]
all |
禁用所有调试。 |
application |
应用文件。
|
backup-restore |
备份和恢复文件。
|
cdp |
思科发现协议配置文件。
|
config |
配置文件。
|
copy |
复制命令。 |
icmp |
ICMP 回送响应配置。 all - 禁用 ICMP 回送响应配置的所有调试输出。将等级设置为 0 和 7 之间的数字,0 表示严重,7 表示所有。 |
locks |
资源锁定。
|
logging |
日志记录配置文件。 all - 禁用日志记录配置的所有调试输出。 |
snmp |
SNMP 配置文件。 all - 禁用 SNMP 配置的所有调试输出。 |
system |
系统文件。
|
transfer |
文件传输。 |
user |
用户管理。
|
utils |
实用工具配置文件。 all - 禁用所有实用工具配置调试输出。 |
无默认行为或值。
EXEC
版本 |
修改 |
---|---|
2.0.0.306 |
引入了此命令。 |
ise/admin# undebug all
ise/admin#
要显示管理 CLI 中可用命令的内容,请在执行模式下使用 which 命令。
which
此命令没有关键字和参数。 |
无默认行为或值。
EXEC
版本 |
修改 |
---|---|
2.0.0.306 |
引入了此命令。 |
which 是隐藏命令。虽然 which 在思科 ISE 中可用,但如果您尝试通过在命令行输入问号来查看此命令,CLI 交互式帮助不会显示此命令。
以下示例显示了 which 的输出:
ise/admin# which
[ 1]. application configure<STRING>
[ 2]. application install<STRING><STRING>
[ 3]. application remove<STRING>
[ 4]. application reset-config<STRING>
[ 5]. application reset-passwd<STRING><STRING>
[ 6]. application start<STRING>
[ 7]. application start<STRING> safe
[ 8]. application stop<STRING>
[ 9]. application upgrade cleanup
[ 10]. application upgrade prepare<STRING><STRING>
要复制、显示或擦除思科 ISE 服务器配置,请在执行模式下使用带相应参数的 write 命令。
write [ erase | memory | terminal ]
erase |
清除启动配置。此选项在思科 ISE 中处于禁用状态。 |
memory |
将运行配置复制到启动配置。 |
terminal |
将运行配置复制到控制台。 |
无默认行为或值。
EXEC
版本 |
修改 |
---|---|
2.0.0.306 |
引入了此命令。 |
在思科 ISE 中禁止将 write 命令与 erase 选项一起使用。
如果您将 write 命令与 erase 选项一起使用,思科 ISE 会显示以下错误消息:
% Warning: 'write erase' functionality has been disabled by application: ise
ise/admin# write memory
Generating configuration...
ise/admin#
ise/admin# write terminal
Generating configuration...
!
hostname ise