思科 ISE 升级概览
从 Cisco Identity Services Engine (思科 ISE) 版本 3.1开始,所有 pxGrid 连接都必须基于 pxGrid 2.0。基于 pxGrid 1.0(基于 XMPP)的集成将从版本 3.1 开始在思科 ISE 上停止使用。
基于 WebSockets 的 pxGrid 版本 2.0 在思科 ISE 版本 2.4 中引入。我们建议将您的其他系统计划并升级到与 pxGrid 2.0 兼容的版本,以防止对集成造成可能的中断(如有)。
本文档介绍如何将思科 ISE 设备和虚拟机上的思科身份服务引擎 (思科 ISE) 软件升级到版本 3.1。(请参阅《思科身份服务引擎版本 3.1 版本说明》中的“思科 ISE 版本 3.1 的新增功能”部分。 )
思科 ISE 部署升级过程包含多个步骤,必须按照本文档中指定的顺序执行。请使用本文档中提供的时间预计规划升级,以最大程度地减少业务中断时间。对于具有多个属于 PSN 组的策略服务节点 (PSN) 的部署,不会出现停机。如果没有终端通过正在升级的 PSN 进行身份验证,则请求将由节点组中的其他 PSN 处理。系统会重新对终端进行身份验证,验证成功后,会向其授予网络访问权限。
小心 |
如果您执行的是独立部署或仅一个 PSN 的部署,则在 PSN 升级时,所有身份验证都可能会造成停机。 |
注 |
升级到思科 ISE 版本 3.2 及更高版本时,在升级流程中会自动重新生成根 CA。因此,不需要在升级后重新生成根 CA。 |
不同类型的部署
-
独立节点部署:单个的思科 ISE 节点担任管理、策略服务和监控角色。
-
多节点部署:几个 ISE 节点的分布式部署。
思科 ISE 本地云部署的差异
思科 ISE 升级工作流程在 AWS 上的思科 ISE 中不可用。仅支持全新安装。但是,您可以执行配置数据的备份和恢复。当您在思科 ISE AWS 实例中恢复数据时,数据会升级到思科 ISE 版本 3.1。
如果发生以下事件,您必须重新生成根 CA 链:
-
更改 PAN 或 PSN 的域名或主机名。
-
在新部署中恢复备份。
-
在升级后将旧的主 PAN 升级为新的主 PAN。
-
在思科 ISE GUI 中,单击菜单 图标 (),然后选择 。
-
单击生成证书签名请求 (Generate Certificate Signing Request (CSR))。
-
从证书将用于 (Certificate(s) will be used for) 下拉列表中选择 ISE 根 CA。
-
单击替换 ISE 根 CA 证书链 (Replace ISE root CA Certificate Chain)。