常见系统维护任务

绑定以太网接口以实现高可用性

思科 ISE 支持将两个以太网接口绑定为一个虚拟接口,以为物理接口提供高可用性。此功能称为网络接口卡 (NIC) 绑定或 NIC 分组。两个接口绑定在一起时,两个 NIC 似乎是具有单个 MAC 地址的单台设备。

思科 ISE 中的 NIC 绑定功能不支持负载均衡或链路聚合功能。思科 ISE 仅支持 NIC 绑定的高可用性功能。

接口绑定可以确保思科 ISE 服务在下列情况下不受影响:

  • 物理接口故障

  • 交换机端口断开连接(关闭或出现故障)

  • 交换机线卡故障

两个接口绑定在一起时,其中一个接口将成为主接口,另一个接口成为备用接口。两个接口绑定在一起时,正常情况下,所有流量都会流经主接口。如果主接口因某种原因出现故障,则备用接口承接此任务,并处理所有流量。绑定将采用主接口的 IP 地址和 MAC 地址。

当您配置 NIC 绑定功能时,思科 ISE 会与固定的物理 NIC 配对,以形成绑定的 NIC。下表列出了哪些 NIC 可以绑定在一起形成绑定的接口。

表 1. 绑定在一起形成接口的物理 NIC

思科 ISE 物理 NIC 名称

Linux 物理 NIC 名称

绑定的 NIC 中的角色

绑定的 NIC 名称

千兆以太网 0

Eth0

主服务器

绑定 0

千兆以太网 1

Eth1

备份

千兆以太网 2

Eth2

主服务器

绑定 1

千兆以太网 3

Eth3

备份

千兆以太网 4

Eth4

主服务器

绑定 2

千兆以太网 5

Eth5

备份

支持的平台

NIC 绑定功能在所有受支持的平台和节点角色上都受支持。受支持的平台包括:

  • SNS 3500 和 3600 系列工具 - 绑定 0、1 和 2

  • VMware 虚拟机 - 绑定 0、1 和 2(如果六个 NIC 可用于虚拟机)

  • Linux KVM 节点 - 绑定 0、1 和 2(如果六个 NIC 可用于虚拟机)

绑定以太网接口指南

  • 由于思科 ISE 最多可支持六个以太网接口,它只能有三个绑定,即绑定 0、绑定 1 和绑定 2。

  • 您不能更改属于某个绑定的接口,也不能更改绑定中接口的角色。请参阅上表,了解有关哪些 NIC 可以绑定在一起及其在绑定中的角色的信息。

  • Eth0 接口既用作管理接口,也用作运行时接口。其他接口用作运行时接口。

  • 在您创建一个绑定之前,必须为主接口(主 NIC)分配 IP 地址。创建绑定 0 之前,必须为 Eth0 接口分配 IPv4 地址。类似地,在创建绑定 1 和 2 之前,必须为 Eth2 和 Eth4 接口分别分配 IPv4 或 IPv6 地址。

  • 在您创建一个绑定之前,如果为备用接口(Eth1、Eth3 和 Eth5)分配了 IP 地址,请将该 IP 地址从备用接口删除。不应该给备用接口分配 IP 地址。

  • 您可以选择仅创建一个绑定(绑定 0),并让剩余接口保持不变。在这种情况下,绑定 0 作为管理接口和运行时接口,剩余接口作为运行时接口。

  • 您可以更改绑定中主接口的 IP 地址。绑定的接口将被分配新的 IP 地址,因为该地址将用作主接口的 IP 地址。

  • 当您删除两个接口之间的绑定时,为绑定的接口分配的 IP 地址将重新分配给主接口。

  • 如果要在属于某个部署的思科 ISE 节点上配置 NIC 绑定功能,则必须从部署中取消注册该节点,配置 NIC 绑定,然后将该节点重新注册到部署中。

  • 如果作为某绑定中的主接口(Eth0、Eth2 或 Eth4)的物理接口配置了静态路由,则这些静态路由将自动更新,以在绑定的接口而非该物理接口上运行。

配置 NIC 绑定

您可以从思科 ISE CLI 配置 NIC 绑定。以下程序介绍了如何在 Eth0 和 Eth1 接口之间配置绑定 0。

开始之前

如果为一个充当备用接口的物理接口(例如 Eth1、Eth3,Eth5 接口)配置了 IP 地址,则必须从备用接口删除该 IP 地址。不应为备用接口分配 IP 地址。

过程


步骤 1

使用您的管理员帐户登录思科 ISE CLI。

步骤 2

输入 configure terminal 进入配置模式。

步骤 3

输入 interface GigabitEthernet 0 命令。

步骤 4

输入 backup interface GigabitEthernet 1 命令。

控制台会显示:

 % Warning: IP address of interface eth1 will be removed once NIC bonding is enabled. Are you sure you want to proceed? Y/N [N]:
步骤 5

输入 Y 并按 Enter

绑定 0 现已配置。思科 ISE 会自动重启。等待一段时间,以确保所有服务均已成功启动和运行。从 CLI 中输入 show application status ise 命令,检查是否所有服务都在运行。


ise/admin# configure terminal  
Enter configuration commands, one per line.  End with CNTL/Z.
ise/admin(config)# interface gigabitEthernet 0 
ise/admin(config-GigabitEthernet)# backup interface gigabitEthernet 1 
Changing backup interface configuration may cause ISE services to restart.
Are you sure you want to proceed? Y/N [N]: Y 
Stopping ISE Monitoring & Troubleshooting Log Collector...
Stopping ISE Monitoring & Troubleshooting Log Processor...
ISE PassiveID Service is disabled
ISE pxGrid processes are disabled
Stopping ISE Application Server...
Stopping ISE Certificate Authority Service...
Stopping ISE EST Service...
ISE Sxp Engine Service is disabled
Stopping ISE Profiler Database...
Stopping ISE Indexing Engine...
Stopping ISE Monitoring & Troubleshooting Session Database...
Stopping ISE AD Connector...
Stopping ISE Database processes...
Starting ISE Monitoring & Troubleshooting Session Database...
Starting ISE Profiler Database...
Starting ISE Application Server...
Starting ISE Indexing Engine...
Starting ISE Certificate Authority Service...
Starting ISE EST Service...
Starting ISE Monitoring & Troubleshooting Log Processor...
Starting ISE Monitoring & Troubleshooting Log Collector...
Starting ISE AD Connector...
Note: ISE Processes are initializing. Use 'show application status ise'
      CLI to verify all processes are in running state. 
ise/admin(config-GigabitEthernet)#


验证 NIC 绑定配置

要验证 NIC 绑定功能是否已配置,请从思科 ISE CLI 运行 show running-config 命令。您会看到类似如下的输出:


!        
interface GigabitEthernet 0
  ipv6 address autoconfig
  ipv6 enable
  backup interface GigabitEthernet 1
  ip address 192.168.118.214 255.255.255.0
!    

在上面的输出中,“备用接口千兆以太网 1”表示在千兆以太网 0 上配置了 NIC 绑定,其中千兆以太网 0 作为主接口,千兆以太网 1 作为备用接口。此外,尽管主接口和备用接口实际上具有相同的 IP 地址,但 ADE-OS 配置不会在运行配置中的备用接口上显示 IP 地址。

您也可以运行 show interface 命令查看已绑定的接口。


ise/admin# show interface  
bond0: flags=5187<UP,BROADCAST,RUNNING,PRIMARY,MULTICAST>  mtu 1500
        inet 10.126.107.60  netmask 255.255.255.0  broadcast 10.126.107.255
        inet6 fe80::8a5a:92ff:fe88:4aea  prefixlen 64  scopeid 0x20<link>
        ether 88:5a:92:88:4a:ea  txqueuelen 0  (Ethernet)
        RX packets 1726027  bytes 307336369 (293.0 MiB)
        RX errors 0  dropped 844  overruns 0  frame 0
        TX packets 1295620  bytes 1073397536 (1023.6 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

GigabitEthernet 0
        flags=6211<UP,BROADCAST,RUNNING,SUBORDINATE,MULTICAST>  mtu 1500
        ether 88:5a:92:88:4a:ea  txqueuelen 1000  (Ethernet)
        RX packets 1726027  bytes 307336369 (293.0 MiB)
        RX errors 0  dropped 844  overruns 0  frame 0
        TX packets 1295620  bytes 1073397536 (1023.6 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
        device memory 0xfab00000-fabfffff  

GigabitEthernet 1
        flags=6211<UP,BROADCAST,RUNNING,SUBORDINATE,MULTICAST>  mtu 1500
        ether 88:5a:92:88:4a:ea  txqueuelen 1000  (Ethernet)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
        device memory 0xfaa00000-faafffff

删除 NIC 绑定

使用 no 形式的 backup interface 命令删除 NIC 绑定。

开始之前

过程


步骤 1

使用您的管理员帐户登录思科 ISE CLI。

步骤 2

输入 configure terminal 进入配置模式。

步骤 3

输入 interface GigabitEthernet 0 命令。

步骤 4

输入 no backup interface GigabitEthernet 1 命令。

% Notice: Bonded Interface bond 0 has been removed.
步骤 5

输入 Y 并按 Enter 键。

绑定 0 现已删除。思科 ISE 会自动重启。等待一段时间,以确保所有服务均已成功启动和运行。在 CLI 中输入 show application status ise 命令,检查是否所有服务都在运行。


ise/admin# configure terminal  
Enter configuration commands, one per line.  End with CNTL/Z.
ise/admin(config)# interface gigabitEthernet 0 
ise/admin(config-GigabitEthernet)# no backup interface gigabitEthernet 1

Changing backup interface configuration may cause ISE services to restart.
Are you sure you want to proceed? Y/N [N]: Y 
Stopping ISE Monitoring & Troubleshooting Log Collector...
Stopping ISE Monitoring & Troubleshooting Log Processor...
ISE PassiveID Service is disabled
ISE pxGrid processes are disabled
Stopping ISE Application Server...
Stopping ISE Certificate Authority Service...
Stopping ISE EST Service...
ISE Sxp Engine Service is disabled
Stopping ISE Profiler Database...
Stopping ISE Indexing Engine...
Stopping ISE Monitoring & Troubleshooting Session Database...
Stopping ISE AD Connector...
Stopping ISE Database processes...
Starting ISE Monitoring & Troubleshooting Session Database...
Starting ISE Profiler Database...
Starting ISE Application Server...
Starting ISE Indexing Engine...
Starting ISE Certificate Authority Service...
Starting ISE EST Service...
Starting ISE Monitoring & Troubleshooting Log Processor...
Starting ISE Monitoring & Troubleshooting Log Collector...
Starting ISE AD Connector...
Note: ISE Processes are initializing. Use 'show application status ise'
      CLI to verify all processes are in running state. 
ise/admin(config-GigabitEthernet)#


使用 DVD 重置丢失、忘记或泄漏的密码

开始之前

确保您了解在尝试使用思科 ISE 软件 DVD 启动思科 ISE 设备时可能导致问题的以下连接相关情况:

  • 您的终端服务器与设置为 exec 的思科 ISE 设备的串行控制台连接相关联。通过将其设置为 no exec,您可以使用键盘和视频显示器连接以及串行控制台连接。

  • 您具有到思科 ISE 设备的键盘和视频显示器连接(它可以是远程键盘和视频显示器连接或 VMware vSphere 客户端控制台连接)。

  • 您具有到思科 ISE 设备的串行控制台连接。

过程


步骤 1

确保思科 ISE 设备已接通电源。

步骤 2

插入思科 ISE 软件 DVD。

步骤 3

使用箭头键进行选择,如果使用本地串行控制台端口连接,请选择 System Utilities (Serial Console),如果使用键盘和视频显示器连接至设备,请选择 System Utilities (Keyboard/Monitor),然后按 Enter

系统会显示 ISO 实用工具菜单,如下所示。

Available System Utilities:
  [1] Recover Administrator Password
  [2] Virtual Machine Resource Check
  [3] Perform System Erase
  [q] Quit and reload
Enter option [1 - 3] q to Quit:
步骤 4

输入 1 以恢复管理员密码。

控制台会显示:


Admin Password Recovery
This utility will reset the password for the specified ADE-OS administrator.
At most the first five administrators will be listed. To cancel without
saving changes, enter [q] to Quit and return to the utilities menu.

[1]:admin
[2]:admin2
[3]:admin3
[4]:admin4

Enter choice between [1 - 4] or q to Quit: 2

Password:
Verify password:

Save change and reboot? [Y/N]:
步骤 5

输入对应于要重置其密码的管理员用户的数字。

步骤 6

输入新密码并进行验证。

步骤 7

输入 Y 以保存更改。


因管理员锁定而重置禁用的密码

管理员输入不正确的密码达到足够次数便会禁用帐户。最少和默认尝试次数为 5。

按照这些指令,使用思科 ISE CLI 中的 application reset-passwd ise 命令重置管理员用户界面密码。它不会影响管理员的 CLI 密码。在您成功重置管理员密码后,凭证立即生效,并且您可以登录,而不必重新启动系统。。

思科 ISE 在管理员登录 (Administrator Logins) 窗口中添加了一条日志条目。要查看此处窗口,请单击菜单 图标 (),然后选择 操作 (Operations) > 报告 (Reports) > 报告 (Reports) > 审核 (Audit) > 管理员登录 (Administrator Logins)。此管理员 ID 的凭证将暂停,直至您重置与此 ID 关联的密码。

过程


步骤 1

访问直接控制台 CLI 并输入:

application reset-passwd ise administrator_ID

步骤 2

指定并确认与用于此管理员 ID 的之前两个密码不同的新密码:


Enter new password:
Confirm new password:

Password reset successfully

退货许可

对于退货授权 (RMA),如果要更换 SNS 服务器上的单个组件,请务必先重新映像设备,再安装思科 ISE。如需帮助,请与 Cisco TAC 联系。

更改思科 ISE 设备的 IP 地址

开始之前

  • 在更改 IP 地址之前,请确保思科 ISE 节点处于独立状态。如果该节点是分布式部署的一部分,请从部署中取消注册该节点并使其成为独立节点。

  • 更改思科 ISE 设备 IP 地址时,请勿使用 no ip address 命令。

过程


步骤 1

登录到思科 ISE CLI。

步骤 2

输入以下命令:

  1. configure terminal

  2. interface GigabitEthernet 0

  3. ip address new_ip_address new_subnet_mask

    系统会提示您更改 IP 地址。输入 Y 。系统将显示类似于以下的屏幕。

ise-13-infra-2/admin(config-GigabitEthernet)# ip address a.b.c.d 255.255.255.0

% Changing the IP address might cause ISE services to restart
Continue with IP address change? Y/N [N]: y
Stopping ISE Monitoring & Troubleshooting Log Collector...
Stopping ISE Monitoring & Troubleshooting Log Processor...
Stopping ISE Identity Mapping Service...
Stopping ISE pxGrid processes...
Stopping ISE Application Server...
Stopping ISE Certificate Authority Service...
Stopping ISE Profiler Database...
Stopping ISE Monitoring & Troubleshooting Session Database...
Stopping ISE AD Connector...
Stopping ISE Database processes...
Starting ISE Monitoring & Troubleshooting Session Database...
Starting ISE Profiler Database...
Starting ISE pxGrid processes...
Starting ISE Application Server...
Starting ISE Certificate Authority Service...
Starting ISE Monitoring & Troubleshooting Log Processor...
Starting ISE Monitoring & Troubleshooting Log Collector...
Starting ISE Identity Mapping Service...
Starting ISE AD Connector...
Note: ISE Processes are initializing. Use 'show application status ise'
CLI to verify all processes are in running state. 

思科 ISE 会提示您重启系统。

步骤 3

输入 Y 重启系统。


查看安装和升级历史

思科 ISE 提供一个命令行界面 (CLI) 命令来查看思科 ISE 版本和补丁的安装、升级和卸载详细信息。show version history 命令提供以下详细信息:

  • Date - 执行安装或卸载的日期和时间

  • Application - 思科 ISE 应用

  • Version - 已安装或删除的版本

  • Action - 安装、卸载、补丁安装或补丁卸载

  • Bundle Filename - 已安装或删除的捆绑包的名称

  • Repository - 从其安装思科 ISE 应用捆绑包的存储库。不适用于卸载。

过程


步骤 1

登录到思科 ISE CLI。

步骤 2

输入以下命令:show version history

系统将显示以下输出:


ise/admin# show version history
---------------------------------------------
Install Date: Fri Nov 30 21:48:58 UTC 2018 
Application: ise 
Version: 3.0.0.xxx 
Install type: Application Install 
Bundle filename: ise.tar.gz 
Repository: SystemDefaultPkgRepos 

ise/admin# 


执行系统清除

您可以执行系统清除以安全地清除思科 ISE 设备或 VM 中的所有信息。这个用于执行系统清除的选项可确保思科 ISE 符合 NIST 特别出版物 800-88 数据销毁标准。

开始之前

确保您了解在尝试使用思科 ISE 软件 DVD 启动思科 ISE 设备时可能导致问题的以下连接相关情况:

  • 您的终端服务器与设置为 exec 的思科 ISE 设备的串行控制台连接相关联。通过将其设置为 no exec,您可以使用 KVM 连接和串行控制台连接。

  • 您具有到思科 ISE 设备的键盘和视频显示器 (KVM) 连接(它可以是远程 KVM 或 VMware vSphere 客户端控制台连接)。

  • 您具有到思科 ISE 设备的串行控制台连接。

过程


步骤 1

确保思科 ISE 设备已接通电源。

步骤 2

插入思科 ISE 软件 DVD。

步骤 3

使用箭头键选择 System Utilities (Serial Console),并按 Enter。

系统随即会显示 ISO 实用工具菜单,如下所示:



Available System Utilities:

[1] Recover administrator password
[2] Virtual Machine Resource Check
[3] System Erase
[q] Quit and reload

Enter option [1 - 3] q to Quit:
步骤 4

输入 3 以执行系统清除。

控制台会显示:

 **********   W A R N I N G   **********
THIS UTILITY WILL PERFORM A SYSTEM ERASE ON THE DISK DEVICE(S). THIS PROCESS CAN TAKE UP TO 5 HOURS TO COMPLETE. THE RESULT WILL BE COMPLETE
DATA LOSS OF THE HARD DISK. THE SYSTEM WILL NO LONGER BOOT AND WILL REQUIRE A RE-IMAGE FROM INSTALL MEDIA TO RESTORE TO FACTORY DEFAULT STATE.

ARE YOU SURE YOU WANT TO CONTINUE? [Y/N] Y
步骤 5

输入 Y

控制台会显示另一个警告对您进行提示:

THIS IS YOUR LAST CHANGE TO CANCEL. PROCEED WITH SYSTEM ERASE? [Y/N] Y
步骤 6

输入 Y 以执行系统清除。

控制台会显示:

Deleting system disk, please wait…
Writing random data to all sectors of disk device (/dev/sda)…
Writing zeros to all sectors of disk device (/dev/sda)…
Completed!  System is now erased.  
Press <Enter> to reboot.

执行系统清除后,如果您要重复使用设备,则必须使用思科 ISE DVD 启动系统并从启动菜单中选择安装选项。