Cisco ISE アップグレードの概要
Cisco Identity Services Engine(Cisco ISE)リリース 3.1 以降、すべての pxGrid 接続は pxGrid 2.0 に基づく必要があります。 pxGrid 1.0 ベース(XMPP ベース)の統合は、リリース 3.1 以降の Cisco ISE では動作しなくなります。
WebSocket に基づく pxGrid バージョン 2.0 は、Cisco ISE リリース 2.4 で導入されました。統合の中断を防ぐために、他のシステムを計画して pxGrid 2.0 準拠バージョンにアップグレードすることをお勧めします。
このマニュアルでは、Cisco ISE アプライアンスおよび仮想マシン(VM)で Cisco ISE ソフトウェアをリリース 3.3 にアップグレードする方法について説明します。(『Cisco Identity Services Engine リリース 3.3 リリースノート』の「Cisco ISE リリース 3.3 の新機能」を参照してください。)
Cisco ISE 展開環境のアップグレードは複数段階のプロセスであり、このマニュアルで指定されている順序で実行する必要があります。このマニュアルで示されている推定所要時間を使用して、最小限のダウンタイムでのアップグレードを計画してください。展開環境に含まれる複数のポリシーサービスノード(PSN)が 1 つの PSN グループに属している場合、ダウンタイムは発生しません。アップグレード対象の PSN で認証されるエンドポイントがない場合、要求はノードグループ内の別の PSN で処理されます。エンドポイントは、認証の成功後に再認証されて、ネットワークアクセス権が付与されます。
注意 |
スタンドアロン展開環境または単一の PSN のみの展開環境の場合は、その PSN がアップグレードされている間、すべての認証にダウンタイムが発生する可能性があります。 |
(注) |
Cisco ISE リリース 3.2 以降にアップグレードすると、ルート CA の再生成がアップグレードフローで自動的に行われます。したがって、アップグレード後のルート CA の再生成は必要ありません。 |
さまざまなタイプの展開
-
スタンドアロンノード:管理、ポリシーサービスおよびモニターリングのペルソナを担当する単一の Cisco ISE ノード
-
マルチノード展開:複数の ISE ノードによる分散展開。
Cisco ISE のネイティブクラウド展開の違い
-
Amazon Web Services(AWS)
-
Azure Cloud
-
Oracle Cloud Infrastrucure(OCI)
AWS の場合、Cisco ISE リリース 3.2 からリリース 3.3 にアップグレードするには、次の手順を実行します。
-
Cisco ISE リリース 3.2 AWS インスタンスから設定データをバックアップします。
-
Cisco ISE リリース 3.3 で AWS インスタンスを再設定します。
-
新しく作成された Cisco ISE リリース 3.3 インスタンスで設定データを復元します。
次のイベントが発生した場合は、ルート CA チェーンを再生成する必要があります。
-
PAN または PSN のドメイン名またはホスト名の変更。
-
新しい展開でのバックアップの復元。
-
アップグレード後に古いプライマリ PAN を新しいプライマリ PAN に昇格。
-
Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして選択します。[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [証明書の管理(Certificate Management)] > [証明書署名要求(Certificate Signing Requests)] の順に選択します。
-
[証明書署名要求(CSR)の生成(Generate Certificate Signing Request (CSR))] をクリックします。
-
[証明書の使用先(Certificate(s) will be used for)] ドロップダウンリストから、[ISE ルート CA(ISE Root CA)] を選択します。
-
[ISE ルート CA 証明書チェーンの置き換え(Replace ISE Root CA Certificate Chain)] をクリックします。