•Cisco Identity Service Engine のアップグレードの概要 (1 ページ)
•アップグレード中の時間を最小限に抑えて効率を最大化するためのガイドライン (25
ページ)
•仮想マシンでサポートされるオペレーティング システム (26 ページ)
•アップグレードにかかる時間 (26 ページ)
Cisco Identity Service Engine のアップグレードの概要
このマニュアルでは、Cisco ISE アプライアンスおよび仮想マシンで Cisco Identity Services Engine (ISE)ソフトウェアをリリース 2.4 にアップグレードする方法について説明します。 Cisco ISE 展開環境のアップグレードは複数段階のプロセスであり、このマニュアルで指定さ れている順序で実行する必要があります。このマニュアルで示されている推定所要時間を使用 して、最小限のダウンタイムでのアップグレードを計画してください。展開環境に含まれる複 数のポリシー サービス ノード(PSN)が 1 つの PSN グループに属している場合、ダウンタイ ムは発生しません。アップグレード対象の PSN で認証されるエンドポイントが存在する場合、 要求はノード グループ内の別の PSN で処理されます。エンドポイントは、認証の成功後に再 認証されて、ネットワーク アクセス権が付与されます。 スタンドアロン展開環境または単一の PSN のみの展開環境の場合は、その PSN がアップグレー ドされている間、すべての認証にダウンタイムが発生する可能性があります。 (注) 次のリリースはすべて、リリース 2.4 に直接アップグレードできます。 • Cisco ISE、リリース 2.0 • Cisco ISE、リリース 2.0.1 • Cisco ISE、リリース 2.1 • Cisco ISE、リリース 2.2
Cisco ISE リリース 2.3 以降では、すべての既存のネットワーク アクセス ポリシーとポリシー セットを置き換える、新しい拡張された [ポリシーセット(Policy Sets)] ページが用意されて います。以前のリリースからリリース 2.3 以降にアップグレードすると、すべてのネットワー ク アクセス ポリシーの設定(認証および認可の条件、ルール、ポリシー、プロファイル、お よび例外を含む)が Cisco ISE GUI の新しい [ポリシーセット(Policy Sets)] ウィンドウに移
行されます。変更の詳細については、新規ポリシー モデル (6 ページ)を参照してくださ い。 (注) Cisco ISE リリース 2.0 より前のバージョンの場合は、はじめに上記のリリースのいずれかに アップグレードしてから、リリース 2.4 にアップグレードする必要があります。 アップグレード バンドルは Cisco.com からダウンロードすることができます。リリース 2.4 で は、次のアップグレード バンドルを使用できます。 ise-upgradebundle-2.x-to-2.4.0.xxx.SPA.x86_64.tar.gz:リリース 2.0、2.0.1、2.1、2.2 または 2.3 か ら 2.4 にアップグレードするには、このバンドルを使用します
Cisco ISE のこのリリースでは、GUI ベースおよび CLI ベース両方のアップグレードに対応し ています。
管理者用ポータルからの GUI ベースのアップグレードは、現在リリース 2.0 以降で、2.4 にアッ プグレードする場合にのみサポートされます。詳細については、GUI からの Cisco ISE 展開の アップグレードを参照してください。
(注)
Cisco ISE の CLI からは、リリース 2.0、2.0.1、2.1、または 2.2 からリリース 2.4 に直接アップ グレードできます。詳細については、CLI からの Cisco ISE 展開のアップグレードを参照して
ください。 GUI または CLI を使用してアップグレードするかどうかに関係なく、最小のダウンタイムで、 最大の復元力とロールバックの機能を提供しながら、展開環境をアップグレードするには、次 の順序でアップグレードを実行することをお勧めします。 1. すべての設定およびモニタリングデータ。必要に応じて、手動で簡単にロールバックでき るように、アップグレードを開始する前にこのタスクを実行する必要があります。 2. セカンダリ管理ノード この時点では、プライマリ管理ノードは以前のバージョンのままで、アップグレードに失敗し た場合はロールバックに使用できます。 (注) 3. プライマリ モニタリング ノード 4. ポリシー サービス ノード
ポリシー サービス ノードのセットをアップグレードした後、アップグレードが成功した かどうかを確認し(アップグレード プロセスの確認を参照)、ネットワーク テストを実 行して新しい展開環境が期待どおりに機能していることを確認します。アップグレードが 成功した場合は、ポリシー サービス ノードの次のセットをアップグレードできます。 5. セカンダリ モニタリング ノード 6. プライマリ管理ノード プライマリ管理ノードをアップグレードした後、アップグレードの検証テストとネットワーク テストを再実行します。 (注) アップグレード後、セカンダリ管理ノードはプライマリ管理ノードになり、元のプライマ リ管理ノードはセカンダリ管理ノードになります。必要に応じて、[ノードの編集(Edit Node)] ウィンドウで [プライマリに昇格(Promote to Primary)] をクリックして、セカン ダリ管理ノードを昇格してプライマリ管理ノードにします(古い展開環境と一致させま す)。
アップグレード プロセスの種類
アップグレードの技術上の専門知識とアップグレードに割くことのできる時間に応じて、以下 のアップグレード プロセスから選択できます。
•GUI からの Cisco ISE 展開環境のアップグレード
•バックアップと復元の手順を使用した Cisco ISE のアップグレード(推奨)
•CLI からの Cisco ISE 展開環境のアップグレード
一般に、Cisco ISE のアップグレードに RHEL(Red Hat Enterprise Linux)OS(Red Hat の後継 バージョン)のアップグレードが含まれている場合は、ISEインスタンスあたりのアップグレー ド所要時間が長くなります。さらに、ISE の Oracle データベース バージョンに変更がある場合 は、OS のアップグレード時に新しい Oracle パッケージがインストールされます。このためアッ プグレードに時間がかかる場合があります。アップグレードの時間を最小限にするには、ISE のアップグレード中に基盤となる OS がアップグレードされるかどうかを確認する必要があり ます。 次の表に、Cisco ISE のアップグレード時に OS のアップグレードが発生するかどうかを示しま す。表中の○は、ISE のアップグレード中に基盤となる OS のアップグレードが発生すること を、×は ISE のアップグレード中に OS のアップグレードが発生しないことを示します。ISE アップグレードに OS アップグレードが伴うかどうかは、シスコの ISE ソフトウェア ダウン ロード センターのアップグレード バンドルのサイズから簡単にわかります。
表 1 : リリー ス 2.6 へ のアッ プグ レード ISE 2.4 への アップ グレー ド ISE 2.3 への アップ グレー ド ISE 2.2 への アップ グレー ド ISE 2.1 への アップ グレー ド ISE 2.0.1 への アップ グレー ド ISE 2.0 への アップ グレー ド ISE 1.4 への アップ グレー ド ISE 1.3 への アップ グレー ド アップ グレー ド元 該当な し 該当な し 該当な し 該当な し あり あり なし なし 該当な し ISE 1.3 該当な し 該当な し あり あり あり あり なし 該当な し 該当な し ISE 1.4 あり あり あり あり あり 該当な し 該当な し 該当な し 該当な し ISE 2.0 あり あり あり あり あり 該当な し 該当な し 該当な し 該当な し ISE 2.0.1 あり あり あり なし 該当な し 該当な し 該当な し 該当な し 該当な し ISE 2.0 あり あり 該当な し 該当な し 該当な し 該当な し 該当な し 該当な し 該当な し ISE 2.1 あり あり 該当な し 該当な し 該当な し 該当な し 該当な し 該当な し 該当な し ISE 2.2 あり あり 該当な し 該当な し 該当な し 該当な し 該当な し 該当な し 該当な し ISE 2.3 あり あり 該当な し 該当な し 該当な し 該当な し 該当な し 該当な し 該当な し ISE 2.4
ライセンスの変更
デバイス管理ライセンス Cisco ISE 2.3 以前のバージョンでは、展開でのデバイス管理ノードの数にかかわらず、展開ご とに Device Administration 永久ライセンスが必要です。Cisco ISE 2.4 以降、デバイス管理ライ センスの数は、展開環境のデバイス管理ノード(デバイス管理サービス用に設定された PSN) の数と同じである必要があります。現在、デバイス管理ライセンスを使用していてリリース 2.4 以降へのアップグレードを計画し ている場合、TACACS+ 機能はリリース 2.4 以降で 50 デバイス管理ノードに対しサポートされ ます。
新しい PID から生成された PAK をインストールすると、PAK ファイルで利用可能な数量に応 じて Device Administration ライセンス数が表示されます。必要なデバイス管理ノード数に基づ いて、展開に複数のデバイス管理ライセンスを追加できます。評価ライセンスでは、1 つのデ バイス管理ノードをサポートします。 VM ノードのライセンス Cisco ISE は、仮想アプライアンスとしても販売されています。リリース 2.4 以降では、展開に VM ノードの適切な VM ライセンスをインストールすることをお勧めします。VM ノードの数 と CPU やメモリなどの各 VM ノードのリソースに基づいて、VM ライセンスをインストール する必要があります。そうでない場合、リリース 2.4 以降で VM ライセンス キーを調達してイ ンストールする警告と通知が表示されますが、サービスは中断されません。 VM ライセンスは、小、中、大の 3 つのカテゴリで提供されます。たとえば、8 コアと 64 GB RAM を搭載した 3595 相当の VM ノードを使用している場合に、その VM で同じ機能をレプリ ケートするには、中カテゴリの VM ライセンスが必要になります。展開の要件に応じて、VM とそのリソースの数に基づいて、複数の VM ライセンスをインストールできます。 VM ライセンスは、インフラストラクチャ ライセンスなので、展開で使用可能なエンドポイン ト ライセンスに関係なく VM ライセンスをインストールできます。展開に評価、Base、Plus、 Apex ライセンスのどれもインストールされていない場合でも、VM ライセンスをインストー ルできます。ただし、Base、Plus、または Apex ライセンスによって有効になる機能を使用す るには、適切なライセンスをインストールする必要があります。 リリース 2.4 以降のインストールまたはアップグレードの後、展開済みの VM ノードの数とイ ンストール済みの VM ライセンスの数の間に不一致がある場合、アラームが 14 日ごとに [ア ラーム(Alarms)] ダッシュレットに表示されます。アラームは、VM ノードのリソースに変 化がある場合や、VM ノードが登録または登録解除されるたびにも表示されます。
VM ライセンスは永続ライセンスです。VM ライセンスの変更は、Cisco ISE GUI にログインす るたびに表示され、通知ポップアップで [このメッセージを再度表示しない(Do not show this message again)] チェックボックスをオンにすると表示されなくなります。
以前に ISE VM ライセンスのいずれも購入していない場合は、『ISE Ordering Guide』を参照し て購入する適切な VM ライセンスを選択します。製品認証キー(PAK)が関連付けられていな い ISE VM ライセンスを購入済みの場合、[email protected]で ISE VM 購入を反映する販売 注文番号を使用して VM PAK を要求することができます。この要求は、過去に購入した ISE VM ごとに 1 つの中規模 VM ライセンス キーを提供するように処理されます。 次の表は、VM 最小リソースをカテゴリ別に示しています。 CPU の数 RAM の範囲 VM カテゴリ 12 個の CPU 16 GB 小 16 個の CPU 64 GB 中 16 個の CPU 256 GB 大
新規ポリシー モデル
認証、認可、例外を含め、すべてのネットワーク アクセス ポリシーおよびポリシー セットは、 Cisco ISE 2.3 以降では [ポリシーセット(Policy Sets)] ウィンドウの下に統合されます。各ポ リシー セットは、ポリシー階層の最上位レベルで定義されたコンテナであり、その下にその セットのすべての関連する認証および認可ポリシーおよびポリシー例外ルールが設定されま す。 条件に基づいて、認証と認可の両方に複数のルールを定義できます。また、条件とその他の関 連設定に簡単にアクセスして、新しいポリシー セット インターフェイスから直接再利用でき るようになりました。ポリシー セットの照合順序は、新しい [ポリシーセット(Policy Set)] インタフェイスに表示される順序によって決まります。チェックは、ポリシーセット テーブル の最初の行から開始され、一致が見つかるまで続きます。一致するものが見つからない場合 は、システムのデフォルト ポリシー セットが使用されます。同じ論理を使用して正しい認証 ルールの照合と選択が行われ、次に正しい認可ルールの照合と選択が行われます。各ポリシー セット テーブルの先頭からチェックが開始され、一致が見つかるまで各ルールがチェックされ ます。一致する他のルールがない場合は、デフォルト ルールが使用されます。 新しいポリシー モデルは、古いユーザ インターフェイスを使用して以前のバージョンで追加 された可能性のあるすべてのポリシーを表しますが、ネットワーク アクセスを論理的に管理で きる大幅に簡素化された改良済みのインターフェイスが提供されます。 スタンドアロンの認証および許可ポリシーの変更 スタンドアロンの認証ルールを使用する場合、ISE 2.2 以前のバージョンのルールは新しいポリ シー モデルに変換されます。認証ルールに割り当てられている許可されたプロトコルに基づい て、2 つの個別のシナリオがあります。 1. システム内のすべての「外部パート」に、デフォルト パートを含む同じ許可されたプロト コルが割り当てられている場合、すべての元の認証ルールは次のように変換されます。 すべての「外部パート」は、新しいポリシー モデルの単一のポリシー セットに変換され ます。新しいポリシー セットはデフォルトと呼ばれ、ポリシー セット レベルでは条件が 定義されず、統一された許可プロトコルが割り当てられます。すべての内部パートは、新 しいデフォルト ポリシー セット内の認証ポリシーの一部としてルールに変換されます。 次の表に、同じ許可プロトコルを使用する古いスタンドアロン認証ルールのセットの変換 を示します(シナリオ 1)。この表では、各行の形式は次のとおりです。 名前(条件/結果) たとえば認証外部パート 1(外部条件/許可されるプロトコル A)の場合: • 名前:認証外部パート 1 • 条件:外部条件 • 結果:許可されるプロトコル A
表 2 : 同じ許可されたプロトコルを使用したスタンドアロン認証ポリシー Cisco ISE 2.3 以降へのアップグレード後:ポ リシー セット Cisco ISE 2.3 より前:デフォルト認証 1. 認証外部パート 1(外部条件 1/許可され るプロトコル A) 1. 認証内部パート 1.1(内部条件 1.1/ID ストア A) 2. 認証内部パート 1.2(内部条件 1.2/ID ストア A) 3. 認証内部パート 1.3(内部条件 1.3/ID ストア A) 4. 認証内部 1 デフォルト(条件なし/ID ストア B) 2. 認証外部パート 2(外部条件 2/許可され るプロトコル A) 1. 認証内部パート 2.1(内部条件 2.1/ID ストア A) 2. 認証内部パート 2.2(内部条件 2.2/ID ストア A) 3. 認証内部パート 2.3(内部条件 2.3/ID ストア A) 4. 認証内部 2 デフォルト(条件なし/ID ストア B) 3. 認証外部パート 3(外部条件 3/許可され るプロトコル A) 1. 認証内部 3 デフォルト(条件なし/ID ストア B) 4. デフォルト認証外部パート(条件なし/ 許可されるプロトコル A/デフォルト ID ストア) 5. 例外 1 6. 許可ルール 1 7. 許可ルール 2
Cisco ISE 2.3 以降へのアップグレード後:ポ リシー セット Cisco ISE 2.3 より前:デフォルト認証 1. デフォルト(条件なし/許可されるプロ トコル A) 1. 認証ポリシー(コンテナ) 1. 認証外部パート 1:認証内部 パート 1.1(外部条件 1 + 内部 条件 1.1/ID ストア A) 2. 認証外部パート 1:認証内部 パート 1.2(外部条件 1 + 内部 条件 1.2/ID ストア A) 3. 認証外部パート 1:認証内部 パート 1.3(外部条件 1 + 内部 条件 1.3/ID ストア A) 4. 認証外部パート 1:認証内部 1 デフォルト(外部条件 1/ID ストア B) 5. 認証外部パート 2:認証内部 パート 2.1(外部条件 2 + 内部 条件 2.1/ID ストア A) 6. 認証外部パート 2:認証内部 パート 2.2(外部条件 2 + 内部 条件 2.2/ID ストア A) 7. 認証外部パート 2:認証内部 パート 2.3(外部条件 2 + 内部 条件 2.3/ID ストア A) 8. 認証外部パート 2:認証内部 2 デフォルト(外部条件 2/ID ストア B) 9. 認証外部パート 3:認証内部 3 デフォルト(外部条件 3/ID ストア B) 10. デフォルト認証外部パート (条件なし/デフォルト ID ス トア) 2. 例外 1 3. 許可ポリシー(コンテナ)
Cisco ISE 2.3 以降へのアップグレード後:ポ リシー セット Cisco ISE 2.3 より前:デフォルト認証 1. 許可ルール 1 2. 許可ルール 2 2. システム内の「外部パート」の少なくとも 1 つに、デフォルト パートなどの他の部分とは 異なる許可されたプロトコルが割り当てられている場合、すべての元の認証ルールは次の ように変換されます。 各「外部パート」は、新しいポリシー モデルの個別のポリシー セットに変換されます。 新しいポリシー セットは、その特定の新しいセットの元の外部パートの名前に基づいて名 前が付けられます。各ポリシー セットのポリシー セット レベルでは、元の外部パートの 条件と許可プロトコルが割り当てられます。各外部パートのすべての内部パートは、新し いポリシー セット内の認証ポリシーの一部として 1 対 1 で認証ルールに変換されます。 次の表に、異なる許可プロトコルを使用する古いスタンドアロン認証ルールのセットの変 換を示します(シナリオ 2)。この表では、各行の形式は次のとおりです。 名前(条件/結果) たとえば認証外部パート 1(外部条件/許可されるプロトコル A)の場合: • 名前:認証外部パート 1 • 条件:外部条件 • 結果:許可されるプロトコル A
表 3 : 異なる許可されたプロトコルを使用したスタンドアロン認証ポリシー Cisco ISE 2.3 以降へのアップグレード後:ポ リシー セット Cisco ISE 2.3 より前:デフォルト認証 1. 認証外部パート 1(外部条件 1/許可され るプロトコル A) 1. 認証内部パート 1.1(内部条件 1.1/ID ストア A) 2. 認証内部パート 1.2(内部条件 1.2/ID ストア A) 3. 認証内部パート 1.3(内部条件 1.3/ID ストア A) 4. 認証内部 1 デフォルト(条件なし/ID ストア B) 2. 認証外部パート 2(外部条件 2/許可され るプロトコル B) 1. 認証内部パート 2.1(内部条件 2.1/ID ストア A) 2. 認証内部パート 2.2(内部条件 2.2/ID ストア A) 3. 認証内部パート 2.3(内部条件 2.3/ID ストア A) 4. 認証内部 2 デフォルト(条件なし/ID ストア B) 3. 認証外部パート 3(外部条件 3/許可され るプロトコル C) 1. 認証内部 3 デフォルト(条件なし/ID ストア B) 4. デフォルト認証外部パート(条件なし/ 許可されるプロトコル A/ID ストア C) 5. 例外 1 6. 許可ルール 1 7. 許可ルール 2
Cisco ISE 2.3 以降へのアップグレード後:ポ リシー セット Cisco ISE 2.3 より前:デフォルト認証 1. デフォルト認証外部パート 1(外部条件 1/許可されるプロトコル A) 1. 認証ポリシー(コンテナ) 1. 認証内部パート 1.1(内部条件 1.1/ID ストア A) 2. 認証内部パート 1.2(内部条件 1.2/ID ストア A) 3. 認証内部パート 1.3(内部条件 1.3/ID ストア A) 4. 認証内部 1 デフォルト(条件な し/ID ストア B) 2. 例外 1 3. 許可ポリシー(コンテナ) 1. 許可ルール 1 2. 許可ルール 2 1. デフォルト認証外部パート 2(外部条件 2/許可されるプロトコル B) 1. 認証ポリシー(コンテナ) 1. 認証内部パート 2.1(内部条件 2.1/ID ストア A) 2. 認証内部パート 2.2(内部条件 2.2/ID ストア A) 3. 認証内部パート 2.3(内部条件 2.3/ID ストア A) 4. 認証内部 2 デフォルト(条件な し/ID ストア B) 2. 例外 1 3. 許可ポリシー(コンテナ) 1. 許可ルール 1 2. 許可ルール 2
Cisco ISE 2.3 以降へのアップグレード後:ポ リシー セット Cisco ISE 2.3 より前:デフォルト認証 デフォルト認証外部パート 3(外部条件 3/許可されるプロトコル C) 1. 1. 認証ポリシー(コンテナ) 1. 認証内部 3 デフォルト(条件な し/ID ストア B) 2. 例外 1 3. 許可ポリシー(コンテナ) 1. 許可ルール 1 2. 許可ルール 2 1. デフォルト(条件なし/許可されるプロ トコル A) 1. 認証ポリシー(コンテナ) 1. デフォルト認証ルール(条件な し/ID ストア C) 2. 例外 1 3. 許可ポリシー(コンテナ) 1. 許可ルール 1 2. 許可ルール 2 ポリシー セットの変更 以前のバージョンから ISE 2.3 以降にアップグレードする場合、表示される新しいポリシー セッ トはここで説明する古い ISE バージョンの場合とは異なりますが、動作は同じままです。 次の図は、Cisco ISE 2.3 以降へのアップグレード後のポリシー セットの変更を示しています。
図 1 : ISE 2.3 より前:ポリシー セット 図 2 : ISE 2.3 から:ポリシー セット ISE 2.2 以前のバージョンのポリシーは、新しいポリシー モデルに変換されます。認証ルール に割り当てられている許可されたプロトコルに基づいて、2 つの個別のシナリオがあります。 1. 単一のポリシー セット内のすべての「外部パート」に同じ許可されたプロトコルが割り当 てられている場合、元のポリシー セットはすべて次のように変換されます。 • すべての「外部パート」は、新しいポリシー モデルの単一のポリシー セットに変換 されます。新しいポリシー セットは、元のポリシー セットと同じ名前になります。 たとえば、古いモデルでポリシー セットの名前が「全従業員」になっている場合、新 しいモデルでも「全従業員」と呼ばれます。 次の表に、同じ許可プロトコルを使用する認証ルールを含む古いポリシー セットの変 換を示します(シナリオ 1)。この表では、各行の形式は次のとおりです。
たとえば認証外部パート 1(外部条件/許可されるプロトコル A)の場合: • 名前:認証外部パート 1
• 条件:外部条件
表 4 : 同じ許可されたプロトコルを使用したポリシー セットの変換
Cisco ISE 2.3 以降へのアップグレード後の 新しいポリシー セット
Cisco ISE 2.2 以前からの古いポリシー セッ ト
Cisco ISE 2.3 以降へのアップグレード後の 新しいポリシー セット Cisco ISE 2.2 以前からの古いポリシー セッ ト 1. ポリシー セット A(条件 A/結果な し) 1. 認証外部パート 1(外部条件 1/許 可されるプロトコル A) 1. 認証内部パート 1.1(内部条 件 1.1/ID ストア A) 2. 認証内部パート 1.2(内部条 件 1.2/ID ストア A) 3. 認証内部パート 1.3(内部条 件 1.3/ID ストア A) 4. 認証内部 1 デフォルト(条件 なし/ID ストア B) 2. 認証外部パート 2(外部条件 2/許 可されるプロトコル A) 1. 認証内部パート 2.1(内部条 件 2.1/ID ストア A) 2. 認証内部パート 2.2(内部条 件 2.2/ID ストア A) 3. 認証内部パート 2.3(内部条 件 2.3/ID ストア A) 4. 認証内部 2 デフォルト(条件 なし/ID ストア B) 3. 認証外部パート 3(外部条件 3/許 可されるプロトコル A) 1. 認証内部 3 デフォルト(条件 なし/ID ストア B) 4. デフォルト認証外部パート(条件 なし/許可されるプロトコル A/ID ストア C) 5. 例外 1 6. 許可ルール 1 7. 許可ルール 2
Cisco ISE 2.3 以降へのアップグレード後の 新しいポリシー セット Cisco ISE 2.2 以前からの古いポリシー セッ ト 1. ポリシー セット A(条件 A/許可され るプロトコル A) 1. 認証ポリシー(コンテナ) 1. 認証外部パート 1:認証内 部パート 1.1(外部条件 1 + 内部条件 1.1/ID ストア A) 2. 認証外部パート 1:認証内 部パート 1.2(外部条件 1 + 内部条件 1.2/ID ストア A) 3. 認証外部パート 1:認証内 部パート 1.3(外部条件 1 + 内部条件 1.3/ID ストア A) 4. 認証外部パート 1:認証内 部 1 デフォルト(外部条件 1/ID ストア B) 5. 認証外部パート 2:認証内 部パート 2.1(外部条件 2 + 内部条件 2.1/ID ストア A) 6. 認証外部パート 2:認証内 部パート 2.2(外部条件 2 + 内部条件 2.2/ID ストア A) 7. 認証外部パート 2:認証内 部パート 2.3(外部条件 2 + 内部条件 2.3/ID ストア A) 8. 認証外部パート 2:認証内 部 2 デフォルト(外部条件 2/ID ストア B) 9. 認証外部パート 3:認証内 部 3 デフォルト(外部条件 3/ID ストア B) 10. デフォルト認証外部パート (条件なし/ID ストア C) 2. 例外 1 3. 許可ポリシー(コンテナ)
Cisco ISE 2.3 以降へのアップグレード後の 新しいポリシー セット Cisco ISE 2.2 以前からの古いポリシー セッ ト 許可ルール 2 2. • 新しくアップグレードされたポリシー セットには、元のポリシー セットからの外部 条件と内部条件を組み合わせて変換される認証ルールのリストが含まれています。変 換中に作成されるそれぞれの新しい認証ルールは、内部パートの名前を含むサフィッ クス付きの古い外部パートの名前に基づいて名前が付けられます。たとえば、上記の 表のように、古いポリシー セットが「ポリシー セット A」と呼ばれ、その認証の「外 部パート」の 1 つが外部パート 1 と呼ばれ、認証の「内部パート」の 1 つが内部パー ト 1 と呼ばれている場合、新しく作成された認証ルールは、ポリシー セット A 内で 「外部パート 1:内部パート 1」と呼ばれます。同様に、古いポリシー セットが「全 従業員」ポリシー セットと呼ばれ、その認証の「外部パート」の 1 つがロンドンと呼 ばれ、認証の「内部パート」の 1 つが「有線 MAB」と呼ばれている場合、新しく作 成された認証ルールは「全従業員」ポリシー セット内で「ロンドン:有線 MAB」と 呼ばれます。認証ポリシーのデフォルトの外部パートは、デフォルトの認証ルールと して変換されます。システムのデフォルト ポリシー ルールは、作成または変換され た他のルールに関係なく、認証テーブル全体の最後のルールとして表示され、この ルールは移動または削除できません。 • 外部パートに定義された条件(それに基づいて認証ルールが照合されます)は、内部 パートの条件(認証に使用される ID ストアを示す)と組み合わされます。新しい結 合条件は、新しいモデルのポリシー セット内の単一の認証ルールで設定されます。ポ リシー セット内の新しい個別ルールは、古いポリシー セットの個別の外部パートご とに作成されます。 2. ポリシー セット内の「外部パート」に対して 2 つ以上の許可プロトコルが選択されている 場合、元のポリシー セットはすべて次のように変換されます。 • 古いポリシー セット内の各認証ルールの各「外部パート」は、新しいモデルで新しい 個別のポリシー セットに変換されます。この新しいポリシー セットは、新しいポリ シー モデルの [認証ポリシー(Authentication Policy)] セクションの下にある同じ元の 「外部パート」から「条件」を配置します。 次の表に、ISE 2.2 以前のバージョンから ISE 2.3 以降への古いポリシー セットの変換 を示します(シナリオ 2)。
表 5 : 異なる許可されたプロトコルを使用したポリシー セットの変換
Cisco ISE 2.3 以降へのアップグレード後の 新しいポリシー セット
Cisco ISE 2.2 以前からの古いポリシー セッ ト
Cisco ISE 2.3 以降へのアップグレード後の 新しいポリシー セット Cisco ISE 2.2 以前からの古いポリシー セッ ト 1. ポリシー セット A(条件 A/結果な し) 1. 認証外部パート 1(外部条件 1/許 可されるプロトコル A) 1. 認証内部パート 1.1(内部条 件 1.1/ID ストア A) 2. 認証内部パート 1.2(内部条 件 1.2/ID ストア A) 3. 認証内部パート 1.3(内部条 件 1.3/ID ストア A) 4. 認証内部 1 デフォルト(条件 なし/ID ストア B) 2. 認証外部パート 2(外部条件 2/許 可されるプロトコル B) 1. 認証内部パート 2.1(内部条 件 2.1/ID ストア A) 2. 認証内部パート 2.2(内部条 件 2.2/ID ストア A) 3. 認証内部パート 2.3(内部条 件 2.3/ID ストア A) 4. 認証内部 2 デフォルト(条件 なし/ID ストア B) 3. 認証外部パート 3(外部条件 3/許 可されるプロトコル C) 1. 認証内部 3 デフォルト(条件 なし/ID ストア B) 4. デフォルト認証外部パート(条件 なし/許可されるプロトコル A/ID ストア C) 5. 例外 1 6. 許可ルール 1 7. 許可ルール 2
Cisco ISE 2.3 以降へのアップグレード後の 新しいポリシー セット Cisco ISE 2.2 以前からの古いポリシー セッ ト 1. ポリシー セット A:認証外部パート 1(条件 A + 外部条件 1/許可されるプ ロトコル A) 1. 認証ポリシー(コンテナ) 1. 認証内部パート 1.1(内部条 件 1.1/ID ストア A) 2. 認証内部パート 1.2(内部条 件 1.2/ID ストア A) 3. 認証内部パート 1.3(内部条 件 1.3/ID ストア A) 4. 認証内部 1 デフォルト(条件 なし/ID ストア B) 2. 例外 1 3. 許可ポリシー(コンテナ) 1. 許可ルール 1 2. 許可ルール 2 1. ポリシー セット A:認証外部パート 2(条件 A + 外部条件 2/許可されるプ ロトコル B) 1. 認証ポリシー(コンテナ) 1. 認証内部パート 2.1(内部条 件 2.1/ID ストア A) 2. 認証内部パート 2.2(内部条 件 2.2/ID ストア A) 3. 認証内部パート 2.3(内部条 件 2.3/ID ストア A) 4. 認証内部 2 デフォルト(条件 なし/ID ストア B) 2. 例外 1 3. 許可ポリシー(コンテナ) 1. 許可ルール 1
Cisco ISE 2.3 以降へのアップグレード後の 新しいポリシー セット Cisco ISE 2.2 以前からの古いポリシー セッ ト 許可ルール 2 2. 1. ポリシー セット A:デフォルト認証 外部パート 3(条件 A + 外部条件 3/許 可されるプロトコル C) 1. 認証ポリシー(コンテナ) 1. 認証内部 3 デフォルト(条件 なし/ID ストア B) 2. 例外 1 3. 許可ポリシー(コンテナ) 1. 許可ルール 1 2. 許可ルール 2 1. ポリシー セット A:デフォルト(条 件 A/許可されるプロトコル A) 1. 認証ポリシー(コンテナ) 1. デフォルト認証ルール(条件 なし/ID ストア C) 2. 例外 1 3. 許可ポリシー(コンテナ) 1. 許可ルール 1 2. 許可ルール 2 • 変換時に作成される新しいポリシー セットは、外部パート名を含むサフィックスを使 用して抽出された古いポリシー セットの名前に基づいて名前が付けられます。たとえ ば、上記の表のように、古いポリシー セットが「ポリシー セット A」と呼ばれ、その 認証の「外部パート」の 1 つが外部パート 1 と呼ばれている場合、新しく作成された ポリシー セットは「ポリシー セット A:外部パート 1」と呼ばれます。同じように、 古いポリシー セットが「ロンドン」と呼ばれ、その認証の「外部パート」の 1 つが有 線 MAB と呼ばれている場合、新しく作成されたポリシー セットは「ロンドン:有線 MAB」と呼ばれます。
古い各ポリシー セットのデフォルトの外部パートも、「ロンドン:デフォルト」など のように、他のすべての外部パートと同様に新しいポリシー セットに変換されます。 システム デフォルト ポリシー セットは、作成または変換された他のポリシー セット に関係なく、テーブル全体の最後のポリシー セットとして表示され、移動または削除 できません。 • 古いポリシー セットの最上位レベルで定義された条件は、許可された正しいプロトコ ルを選択するように設計された外部認証パート条件と組み合わされます。新しい結合 条件は、新しいモデルの新しいポリシー セットごとに最上位レベルのルールで構成さ れます。古い各ポリシー セットの各外部パートごとに新しい個別のポリシー セット が作成されます。 許可ルール/例外の変更 グローバル例外とローカル例外に加えて、認可ルールもポリシー セット内から管理できるよう になりました。古いポリシー セット内のすべての認可ルールおよび例外は、認証ポリシー ルー ルの変換の結果として生じるすべての新しいポリシー セットにも適用されます。許可ポリシー の変更は、外部パートに設定されている許可されたプロトコルに関係なく、アップグレードさ れるすべてのポリシー セットに適用されます。 ポリシー セットの評価 新しいインターフェイスでポリシー セットは、[ポリシーセット(Policy Set)] テーブルに表示 される順序に従って一致の有無がチェックされます。たとえば、古い「ロンドン」ポリシー セットに、変換前にステータスが異なる 3 つの外部パートがあり、古い「ニューヨーク」セッ トにデフォルトの外部パートのみが含まれている場合、新しいポリシー セット インターフェ イスのテーブルには新しいポリシー セットとシステムのデフォルト ポリシー セットが次の順 序で表示されます。 ポリシー セット名 ロンドン:有線 MAB ロンドン:ワイヤレス MAB ロンドン:デフォルト ニューヨーク:デフォルト デフォルト 最初の 2 つのセットが一致しない場合、システムは「ロンドン:デフォルト」をチェックしま す。「ロンドン:デフォルト」が一致しない場合、システムは次に「ニューヨーク:デフォル ト」をチェックします。「ニューヨーク:デフォルト」も一致しない場合、システムはポリ シーとして「デフォルト」のみを使用します。 同じ論理を使用して正しい認証ルールの照合と選択が行われ、次に正しい許可ルールの照合と 選択が行われます。各テーブルの先頭から開始し一致が見つかるまで各ルールがチェックされ ます。一致する他のルールがない場合は、デフォルト ルールが使用されます。
新しく変換されたポリシー セットのステータス 認証ルールに異なる許可されたプロトコルを使用するポリシー セットを変換する際に、新しく 変換されたポリシー セットのステータスは、古いポリシー セットのステータスと古いポリシー セットの「外部パート」のステータスに基づいて次のように決定されます。 新しいポリシー セットのス テータス 古いポリシー セットの「外部 パート」のステータス 古いポリシー セットのステー タス 無効 無効 無効 無効 モニタ 無効 無効 有効 無効 無効 無効 モニタ モニタ モニタ モニタ モニタ 有効 モニタ 無効 無効 有効 モニタ モニタ 有効 有効 有効 有効 新しく変換された認証ルールのステータス 認証ルールに同じ許可されたプロトコルを使用するポリシー セットを変換する際に、新しく変 換された認証ルールのステータスは、古い認証ルールの「外部パート」のステータスと対応す る古い認証ルールの「内部パート」のステータスに基づいて次のように決定されます。 変換された認証ルールのス テータス 対応する古い認証ルールの 「内部パート」のステータス 古い認証ルールの「外部パー ト」のステータス 無効 無効 無効 無効 モニタ 無効 無効 有効 無効 無効 無効 モニタ モニタ モニタ モニタ モニタ 有効 モニタ 無効 無効 有効 モニタ モニタ 有効
変換された認証ルールのス テータス 対応する古い認証ルールの 「内部パート」のステータス 古い認証ルールの「外部パー ト」のステータス 有効 有効 有効
アップグレード中の時間を最小限に抑えて効率を最大化
するためのガイドライン
• アップグレードの開始前に、既存のバージョンで最新のパッチにアップグレードします。 • 実稼働ネットワークのアップグレード前に、ステージング環境でアップグレードをテスト し、アップグレードの問題を特定して修正することができます。 • アップグレード前にローカル リポジトリでアップグレード ソフトウェアをダウンロード および保存し、プロセスを高速化します。 • アップグレード プロセスの開始前にアップグレード準備ツール(URT)を使用し、設定 データのアップグレードの問題を検出して修正します。ほとんどのアップグレードの障害 は、設定データのアップグレードの問題が原因で発生します。URT は、可能な場合は、必 ずアップグレード前にデータを検証し、問題を特定、報告、または修正します。URT は、 セカンダリ ポリシー管理ノードまたはスタンドアロン ノードで実行できる個別のダウン ロード可能なバンドルとして利用できます。このツールを実行するのにダウンタイムは発 生しません。次のビデオでは、URT の使用方法について説明します: https://www.cisco.com/c/en/us/td/docs/security/ise/videos/urt/v1-0/cisco-urt.html プライマリ ポリシー管理ノードでは URT を実行しないでくださ い。URT ツールは、MnT 運用データのアップグレードのシミュ レーションは行いません。 (注) • UI を使用して ISE をアップグレードする場合、プロセスのタイムアウトは 4 時間です。 アップグレード所要時間が 4 時間を超えると、アップグレードは失敗します。アップグ レード準備ツール(URT)のアップグレードに 4 時間以上かかる場合は、このプロセスに CLI を使用することをお勧めします。 • 設定を変更する前に、ロード バランサのバックアップを作成します。アップグレード ウィ ンドウ中にロード バランサから PSN を削除し、アップグレード後に再び追加できます。 • 自動 PAN フェールオーバーを無効にして(設定されている場合)、アップグレード中に PAN 間のハートビートを無効にします。 • 既存のポリシーとルールを確認し、古くて、冗長な、更新されていないポリシーおよび ルールを削除します。 • 不要なモニタリング ログとエンドポイント データを削除します。• 設定と動作のログのバックアップを作成し、ネットワークに接続されていない一時的な サーバで復元することができます。アップグレード ウィンドウ中はリモート ロギング ター ゲットを使用できます。 アップグレード後に次のオプションを使用して、MnT ノードに送信されるログの量を削減 し、パフォーマンスを向上させることができます。 • MnT コレクション フィルタ([システム(System)] > [ロギング(Logging)] > [コレ クションフィルタ(Collection Filters)])を使用して、着信ログをフィルタリングし、 AAA ログでエントリが重複しないようにします。 • リモート ロギング ターゲット([システム(System)] > [ロギング(Logging)] > [リ モートロギングターゲット(Remote Logging Target)])を作成し、個々のロギング カ テゴリを特定のロギング ターゲット([システム(System)] > [ロギング(Logging)] > [ロギングカテゴリ(Logging categories)])にルーティングできます。
• [管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロトコル (Protocols)] > [RADIUS] ウィンドウで [繰り返し発生する更新を無視(Ignore Repeated Updates)] オプションを有効にして、繰り返し発生するアカウンティングの更新を回 避します。 • アップグレードの最新のアップグレード バンドルをダウンロードして使用します。バグ検 索ツールで次のクエリを使用して、アップグレードを探し、オープンで修正済みの関連不 具合をアップグレードします: https://bst.cloudapps.cisco.com/bugsearch/search?kw=%20ISE%20upgrade&pf=prdNm&sb=anfr&mDt=4&sts=open&bt=custV
仮想マシンでサポートされるオペレーティングシステム
リリース 2.4 では、Red Hat Enterprise Linux(RHEL)7.0 に対応しています。
VMware 仮想マシンの Cisco ISE ノードをアップグレードする場合は、アップグレードの完了 後に、Red Hat Enterprise Linux(RHEL)7 にゲスト オペレーティング システムを変更します。 これを行うには、VM の電源をオフにし、RHEL 7 にゲスト オペレーティング システムを変更 し、変更後に VM の電源をオンにする必要があります。
アップグレードにかかる時間
アップグレード時間の計算 次の表に、Cisco ISE ノードのアップグレードの推定所要時間を示します。アップグレードに かかる実際の時間は、いくつかの要因によって異なります。ノード グループに複数の PSN が あれば、実稼働ネットワークはアップグレード プロセス中に停止することなく動作し続けま す。 UI を使用して ISE をアップグレードする場合、プロセスのタイムアウトは 4 時間です。アッ プグレード所要時間が 4 時間を超えると、アップグレードは失敗します。アップグレード準備ツール(URT)のアップグレードに 4 時間以上かかる場合は、このプロセスに CLI を使用する ことをお勧めします。 アップグレードにかかる時間 ノード ペルソナ 展開のタイプ 15 GB のデータごとに 240 分 + 60 分 管理、ポリシー サービス、モ ニタリング スタンドアロン 240 分 セカンダリ管理ノード 分散型 180 分 ポリシー サービス ノード 15 GB のデータごとに 240 分 + 60 分 モニタリング リリース 2.4 へのアップグレードでは、仮想マシンのゲスト オペレーティング システムをアッ プグレードして、ネットワーク アダプタのタイプを変更する必要があります。ゲスト OS の変 更では、システムの電源をオフにし、RHEL バージョンを変更し、電源を再度オンにする必要 があります。前述の表にある推定所要時間のほかに、アップグレード前のタスクにかかる時間 を考慮する必要があります。複数の PSN を含む分散展開環境では、システムのアップグレー ド準備に約 2 時間必要です。 アップグレードにかかる時間に影響する要因 • ネットワークのエンドポイント数 • ネットワークのユーザ数とゲスト ユーザ数 • モニタリング ノードまたはスタンドアロン ノードのログの数 • プロファイリング サービス(イネーブルの場合) 仮想マシン上の Cisco ISE ノードのアップグレードは、物理アプライアンスのアップグレード よりも長い時間がかかる場合があります。 (注)
