在ISE上配置存储库

简介

本文档介绍如何在身份服务引擎(ISE)上配置存储库。

先决条件

要求

Cisco 建议您了解以下主题：

• 身份服务引擎(ISE)的基础知识
• 基本了解文件传输协议(FTP)服务器和SSH文件传输协议(SFTP)服务器

使用的组件

本文档中的信息基于以下软件和硬件版本：

• 思科身份服务引擎版本2.x
• 正常运行的FTP服务器和SFTP服务器

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

思科允许您通过管理员门户创建和删除存储库。您可以创建以下类型的存储库：

• 磁盘
• FTP
• SFTP
• NFS
• CD-ROM
• HTTP
• HTTPS

注意：建议小型部署（100个或更少端点）的存储库大小为10 GB，中型部署为100 GB，大型部署为200 GB。

ISE存储库可以通过GUI和ISE的CLI进行配置，并且可用于以下用途：

• 备份和恢复ISE配置和运行数据
• 升级ISE节点
• 补丁安装
• 从ISE导出数据（报告）
• 从ISE节点导出支持捆绑包

注：从ISE节点的CLI配置的存储库是每个节点的本地存储库，在重新加载节点时删除。从ISE的GUI中配置的存储库会复制到部署中的所有节点，而不会在重新加载节点时删除。

配置

配置FTP存储库

从GUI配置FTP存储库

步骤1:要在ISE上配置存储库，请登录到ISE GUI并导航到 Administration > System > Maintenance > Repository。然后单击 Add，如图所示。

第二步：提供 Repository Name 并选择 FTP 作为协议。然后输入 Server Name, Path, User Name、 Password并单击 Submit，如图所示。

从CLI配置FTP存储库

 通过SSH登录到ISE节点的CLI并运行以下命令。

ise/admin# ise/admin# configure terminal Enter configuration commands, one per line. End with CNTL/Z. ise/admin(config)# repository FTP-Repo ise/admin(config-Repository)# url ftp://10.106.37.174/ ise/adminconfig-Repository)# user <Username> password plain <Password> ise/admin(config-Repository)# exit ise/admin(config)# exit ise/admin#

配置SFTP存储库

从GUI配置SFTP存储库

步骤1:要在ISE上配置存储库，请登录到ISE GUI并导航到 Administration > System > Maintenance > Repository。然后单击 Add，如图所示。

第二步：提供 Repository Name 并选择 SFTP 作为协议。然后输入 Server Name, Path, User Name、 Password并单击 Submit，如图所示。

第三步：单击Submit后，将显示弹出消息。消息提示您使用CLI添加SFTP服务器的主机密钥，如图所示。

第四步：通过SSH登录到ISE节点的CLI并使用命令 crypto host_key add host <ip address of the server> 添加主机密钥。

ise/admin# crypto host_key add host 10.106.37.34 host key fingerprint added Operating in CiscoSSL FIPS mode # Host 10.106.37.34 found: line 1 10.106.37.34 RSA SHA256:exFnNITDhafaNPFr35x6kC1pR0iTP6xS+LBmtIXPfnk ise/admin#

从CLI配置SFTP存储库

通过 SSH 登录到 ISE 节点的 CLI 并运行以下命令：

ise/admin# ise/admin# configure terminal Enter configuration commands, one per line. End with CNTL/Z. ise/admin(config)# repository SFTP-Repo ise/admin(config-Repository)# url sftp://10.106.37.34/ ise/adminconfig-Repository)# user <Username> password plain <Password> ise/admin(config-Repository)# exit ise/admin(config)# exit ise/admin# 

配置NFS存储库

从GUI配置NFS存储库

步骤1:要在ISE上配置存储库，请登录到ISE GUI并导航到 Administration > System > Maintenance > Repository。然后单击Add，如图所示。

第二步：提供 Repository Name 并选择 NFS 作为协议。然后输入 Server Name 和 Path，并单击 Submit，如图所示。

从CLI配置NFS存储库

通过 SSH 登录到 ISE 节点的 CLI 并运行以下命令：

ise/admin# ise/admin# configure terminal Enter configuration commands, one per line. End with CNTL/Z. ise/admin(config)# repository NFS-Repo ise/admin(config-Repository)# url nfs://10.106.37.200:/nfs-repo ise/admin(config-Repository)# exit ise/admin(config)# exit ise/admin#

配置ISE本地存储库

通过GUI配置本地存储库

步骤1:要在ISE上配置存储库，请登录到ISE GUI并导航到 Administration > System > Maintenance > Repository。然后单击Add，如图所示。

第二步：提供 Repository Name 并选择 DISK 作为协议。然后输入 Path 并单击 Submit，如图所示。

从CLI配置本地存储库

通过 SSH 登录到 ISE 节点的 CLI 并运行以下命令：

ise/admin# ise/admin# configure terminal Enter configuration commands, one per line. End with CNTL/Z. ise/admin(config)# repository Local-Repo ise/admin(config-Repository)# url disk:/ ise/admin(config-Repository)# exit ise/admin(config)# exit ise/admin#

注意：本地存储库将数据本地存储在ISE磁盘上。

验证

可以从ISE服务器的GUI和CLI验证存储库。

使用GUI进行验证

要使用GUI验证存储库，请导航到 Administration > System > Maintenance > Repository，选择存储库，并单击 Validate，如图所示。

单击 Validate后，必须在GUI上获取 Repository validated successfully 响应（如图所示）。

使用CLI进行验证

要从CLI验证存储库，请通过SSH登录到ISE节点并运行命令 show repository <name of the repository>。命令的输出将列出存储库中存在的文件。

ise/admin# ise/admin# show repository FTP-Repo Config-Backup-CFG10-200307-1043.tar.gpg ise/admin#

故障排除

要调试ISE上的存储库，请使用以下调试：

ise-1/pan# debug copy 7 ise-1/pan# debug transfer 7 ise-1/pan# ise-1/pan# 6 [25683]:[info] transfer: cars_xfer.c[220] [system]: ftp dir of repository FTP-Repo requested 7 [25683]:[debug] transfer: cars_xfer_util.c[2017] [system]: ftp get dir for repos FTP-Repo 7 [25683]:[debug] transfer: cars_xfer_util.c[2029] [system]: initializing curl 7 [25683]:[debug] transfer: cars_xfer_util.c[2040] [system]: full url is ftp://10.106.37.174/ISE/ 7 [25683]:[debug] transfer: cars_xfer_util.c[1928] [system]: initializing curl 7 [25683]:[debug] transfer: cars_xfer_util.c[1941] [system]: full url is ftp://10.106.37.174/ISE/Config-Backup-CFG10-200307-1043.tar.gpg 7 [25683]:[debug] transfer: cars_xfer_util.c[1962] [system]: res: 0 7 [25683]:[debug] transfer: cars_xfer_util.c[1966] [system]: res: 0-----filetime Config-Backup-CFG10-200307-1043.tar.gpg: Sat Mar 7 10:55:39 2020 7 [25683]:[debug] transfer: cars_xfer_util.c[1972] [system]: filetime Config-Backup-CFG10-200307-1043.tar.gpg: Sat Mar 7 10:55:39 2020 7 [25683]:[debug] transfer: cars_xfer_util.c[1976] [system]: filesize Config-Backup-CFG10-200307-1043.tar.gpg: 181943580 bytes 6 [25683]:[info] transfer: cars_xfer.c[130] [system]: ftp copy out of /opt/backup/backup-Config-Backup-1587433372/Config-Backup-CFG10-200421-0712.tar.gpg requested 6 [25683]:[info] transfer: cars_xfer_util.c[787] [system]: curl version: libcurl/7.29.0 OpenSSL/1.0.2s zlib/1.2.7 libidn/1.28 libssh2/1.4.2 7 [25683]:[debug] transfer: cars_xfer_util.c[799] [system]: full url is ftp://10.106.37.174/ISE/Config-Backup-CFG10-200421-0712.tar.gpg

调试已禁用，如下所示：

ise-1/pan# ise-1/pan# no debug copy 7 ise-1/pan# no debug transfer 7 ise-1/pan# 

要确保ISE与已配置的存储库服务器之间正确通信，请从ISE GUI设置数据包捕获：

1. 导航到操作>故障排除>诊断工具> TCP转储。
2. 在“过滤器”中输入适当的值，然后选择“格式”。
3. 单击开始。

要触发需要测试的存储库的一些流量，请导航到 Administration > System > Maintenance > Repository，选择存储库，并单击 Validate。然后，导航到 Operations > Troubleshoot > Diagnostic tools > TCP Dump，单击Stop，并下载数据包捕获，如图所示。