升级思科 ISE

思科 ISE 升级概览

从 Cisco Identity Services Engine (思科 ISE) 版本 3.1开始,所有 pxGrid 连接都必须基于 pxGrid 2.0。基于 pxGrid 1.0(基于 XMPP)的集成将从版本 3.1 开始在思科 ISE 上停止使用。

基于 WebSockets 的 pxGrid 版本 2.0 在思科 ISE 版本 2.4 中引入。我们建议将您的其他系统计划并升级到与 pxGrid 2.0 兼容的版本,以防止对集成造成可能的中断(如有)。

本文档介绍如何将思科 ISE 设备和虚拟机上的思科身份服务引擎 (思科 ISE) 软件升级到版本 3.1。(请参阅《思科身份服务引擎版本 3.1 版本说明》中的“思科 ISE 版本 3.1 的新增功能”部分。 )

思科 ISE 部署升级过程包含多个步骤,必须按照本文档中指定的顺序执行。请使用本文档中提供的时间预计规划升级,以最大程度地减少业务中断时间。对于具有多个属于 PSN 组的策略服务节点 (PSN) 的部署,不会出现停机。如果没有终端通过正在升级的 PSN 进行身份验证,则请求将由节点组中的其他 PSN 处理。系统会重新对终端进行身份验证,验证成功后,会向其授予网络访问权限。


小心

如果您执行的是独立部署或仅一个 PSN 的部署,则在 PSN 升级时,所有身份验证都可能会造成停机。


升级到思科 ISE 版本 3.2 及更高版本时,在升级流程中会自动重新生成根 CA。因此,不需要在升级后重新生成根 CA。

不同类型的部署

  • 独立节点部署:单个的思科 ISE 节点担任管理、策略服务和监控角色。

  • 多节点部署:几个 ISE 节点的分布式部署。

思科 ISE 本地云部署的差异

思科 ISE 升级工作流程在 AWS 上的思科 ISE 中不可用。仅支持全新安装。但是,您可以执行配置数据的备份和恢复。当您在思科 ISE AWS 实例中恢复数据时,数据会升级到思科 ISE 版本 3.1。

重新生成根 CA 链

如果发生以下事件,您必须重新生成根 CA 链:

  • 更改 PAN 或 PSN 的域名或主机名。

  • 在新部署中恢复备份。

  • 在升级后将旧的主 PAN 升级为新的主 PAN。

要重新生成根 CA 链,请执行以下操作:

  1. 在思科 ISE GUI 中,单击菜单 图标 (),然后选择管理 (Administration) 系统 (System) 证书 (Certificates) 证书管理 (Certificate Management) 证书签名请求 (Certificate Signing Request)

  2. 单击生成证书签名请求 (Generate Certificate Signing Request (CSR))

  3. 证书将用于 (Certificate(s) will be used for) 下拉列表中选择 ISE 根 CA

  4. 单击替换 ISE 根 CA 证书链 (Replace ISE root CA Certificate Chain)

升级路径

单步升级

您可以直接从以下任何版本升级到 思科 ISE 版本 3.1

  • 思科 ISE 版本 2.6

  • 思科 ISE 版本 2.7

  • 思科 ISE 版本 3.0

  • 思科 ISE 版本 3.1

两步升级

如果您的版本早于思科 ISE 版本 2.6,则必须先升级到上述版本之一,然后才能升级到版本 3.1

虚拟机上支持的操作系统

思科 ISE 在基于 Red Hat Enterprise Linux (RHEL) 的思科应用部署引擎操作系统 (ADE-OS) 上运行。对于思科 ISE 3.1,ADE-OS 基于 RHEL 8.2。

下表显示了不同版本的思科 ISE 中使用的 RHEL 版本。

表 1. RHEL 版本

思科 ISE 版本

RHEL 版本

思科 ISE 1.3

RHEL 6.4

思科 ISE 1.4

RHEL 6.4

思科 ISE 2.0

RHEL 7.0

思科 ISE 2.1

RHEL 7.0

思科 ISE 2.2

RHEL 7.0

思科 ISE 2.3

RHEL 7.0

思科 ISE 2.4

RHEL 7.3

思科 ISE 2.6

RHEL 7.5

Cisco ISE 2.7

RHEL 7.6

Cisco ISE 3.0

RHEL 7.6

Cisco ISE 3.1

RHEL 8.2

思科 ISE 3.2

RHEL 8.4

RHEL 8.2 及更高版本支持以下 VMware ESXi 版本:

  • VMware ESXi 6.5

  • VMware ESXi 6.5 U1

  • VMware ESXi 6.5 U2

  • VMware ESXi 6.5 U3

  • VMware ESXi 6.7

  • VMware ESXi 6.7 U1

  • VMware ESXi 6.7 U2

  • VMware ESXi 6.7 U3

  • VMware ESXi 7.0

  • VMware ESXi 7.0 U1

  • VMware ESXi 7.0 U2

  • VMware ESXi 7.0 U3

除上述内容外,RHEL 8.2 还将支持较新的兼容 VMware ESXi 版本。

如果在升级后升级 VMware 虚拟机 (VM) 上的思科 ISE 节点,则必须将访客操作系统更改为支持的 RHEL 版本。要执行此操作,您必须关闭虚拟机,将访客操作系统更改为受支持的 RHEL 版本,并再打开虚拟机。


如果您选择了访客操作系统 RHEL 8固件 EFI,请确保在 VM Options 选项卡中禁用 Enable UEFI Secure Boot 选项。默认情况下,为访客操作系统 RHEL 8 VM 启用此选项。确保禁用思科 ISE VM 的启用 UEFI 安全启动选项。

使用 RHEL 操作系统升级思科 ISE 可能需要比正常升级过程更长的时间。此外,如果 Oracle 数据库版本发生更改,则升级可能需要更多时间,因为在操作系统升级期间安装了新的 Oracle 软件包。

许可更改

本节重点介绍思科 ISE 版本 3.1中的许可更改。

有关思科 ISE 许可证的详细信息,请参阅以下资源:

有关在思科 ISE GUI 中激活许可证的信息,请参阅 许可

虚拟设备许可证

思科 ISE 版本 3.1 及更高版本支持 ISE VM 许可证,该许可证取代了版本 3.1 之前的版本中支持的 VM 小型、VM 中型和 VM 大型许可证。新的 ISE VM 许可证涵盖内部部署和云部署中的思科 ISE VM 节点。

更多信息,请参阅《思科 ISE 管理员指南,版本 3.2》"许可证"一章中的“思科 ISE 许可证”。

特定许可证预留

特定许可证预留是一种智能许可方法,当您的组织的安全要求不允许思科 ISE 与思科智能软件管理器 (CSSM) 之间存在持久连接时,可帮助您管理智能许可。特定许可证预留允许您在思科 ISE 节点上保留特定许可证授权。

您可以通过定义需要预留的许可证的类型和数量来创建特定许可证预留,然后在思科 ISE 节点上激活预留。然后,您在其上注册并启用预留的思科 ISE 节点会跟踪许可证使用情况,同时强制执行许可证使用合规性。

有关更多信息,请参阅《思科 ISE 管理员指南版本 3.1》“许可”一章中的“特定许可证保留”

通信、服务和其他信息

思科漏洞搜索工具

思科漏洞搜索工具 (BST) 是通往思科漏洞跟踪系统的网关,该系统包含一个关于思科产品和软件的缺陷和漏洞的综合列表。BST 提供关于您的产品和软件的详细漏洞信息。

文档反馈

要提供有关思科技术文档的反馈,请使用每个在线文档右窗格中提供的反馈表。