Вариант метода обновления резервного копирования и восстановления ISE.

moshe.leyzerman

Всем привет, представляю свой план по обновлению ISE, чтобы выявить возможные недостатки/ограничения. Не могли бы вы поделиться своим мнением? Для наглядности прилагаю схему. A. Существующее развертывание: 2.6 (патч 12)
B. Целевое развертывание: 3.1 (патч 10)
C. 6 виртуальных машин построены на отдельном оборудовании ESXi с использованием OVA ISE для развертывания 3.
1 D. Обоснованием процесса обновления является сохранение имен узлов и IP-адресов всех узлов, построенных на новом оборудовании, чтобы можно было сохранить настройки NAD AAA, записи DNS, правила брандмауэра и сертификаты узлов ISE.
E. В то же время существующее развертывание сохраняется в максимально возможной степени (а не переобразуется в 3.1 для каждого узла) для ускоренного отката
F. Переход от традиционного к интеллектуальному лицензированию (лицензии были приобретены и зарегистрированы в интеллектуальной учетной записи). Процесс:

1. Экспорт сертификатов Admin/EAP (и их закрытых ключей) со всех узлов существующей версии 2.6.
2. Экспорт сертификатов из хранилища доверенных сертификатов всех узлов существующей версии 2.6.
3. Экспорт сертификата Cisco ISE CA.
4. Повысить NODE_A241 до роли PMnT, сделав NODE_A242 SMnT
5. Сделать резервную копию настроек конфигурации Cisco ISE и операционных журналов существующего развертывания 2.
   6 6. Отменить регистрацию узла NODE_A242 из развертывания 2.
   6 7. Отключите vNIC этого узла от сети.
6. Запустите установку на новой виртуальной машине 3.1 в местоположении A (назначенном для SAN/PMnT) и присвойте узлу имя NODE_A242 и IP-адрес, идентичный адресу узла NODE_A242 в развертывании 2.
7. 9. Восстановите конфигурацию ISE из резервной копии, созданной в шаге 5. Сделайте этот узел PAN для нового развертывания
8. Включите и проверьте интеллектуальное лицензирование в развертывании 3.
   1 11. Импортируйте сертификаты ise-https-admin CA из резервной копии
9. Назначьте этому узлу первичную
   личность MnT 13. Назначьте этому узлу личность
   PSN 14. Присоедините этот узел к Active Directory
10. Для узлов NODE_B241, NODE_B242, NODE_C241, NODE_C242 повторите шаги 6-8, зарегистрируйте эти узлы в новом развертывании 3.1, а затем выполните шаги 13-14 для каждого узла
11. Отключите узел NODE_A241 от сети (этот узел не затрагивается, поскольку он готов стать источником потенциального процесса отката в своих ролях PAN/MnT/PSN)
12. Запустите настройку на новой виртуальной машине 3.1 в местоположении AU и присвойте узлу имя NODE_A241 и IP-адрес, идентичный адресу NODE_A241 в развертывании 2.6
    . 18. Зарегистрируйте NODE_A241 (3.1) в новом развертывании и присвойте ему роли/персонажи SAN и SMnT, а также персонаж
    PSN. 19. При необходимости перегенерируйте корневой сертификат CA
    PAN. 20. Переместите узел NODE_A241 (3.1) из роли SAN в PAN.

moshe.leyzerman

Всем привет, первоначальный план был недавно реализован в реальной жизни. Вот обновленный план, который был протестирован и может быть надежно принят, если кому-то еще нужно обновить ISE 2.6 до текущей рекомендуемой версии (а обновление до 3.1 является необходимым промежуточным шагом при переходе с 2.x). A. Существующее развертывание: 2.6 (патч 12)
B. Целевое развертывание: 3.1 (патч 10)
C. 6 виртуальных машин построены на отдельном оборудовании ESXi с использованием OVA ISE для развертывания 3.
1 D. Обоснованием процесса обновления является сохранение имен узлов и IP-адресов всех узлов из существующего развертывания для соответствующих узлов, построенных на новом оборудовании для развертывания 3.1, чтобы можно было сохранить настройки NAD AAA, записи DNS,
правила брандмауэра и сертификаты узлов ISE. E. В то же время существующее развертывание остается практически неизменным (а не каждый узел переобразовывается в 3.1) для ускоренного отката, если это потребуется.
F. Переход от традиционного к интеллектуальному лицензированию (лицензии были приобретены и зарегистрированы в интеллектуальной учетной записи). Это небольшое изменение процесса «Резервное копирование и восстановление», описанного в Руководстве по обновлению: виртуальные машины 3.1 предварительно создаются на отдельном оборудовании, а не переобразуются существующие узлы 2.6 (как указано в руководстве). Преимущества:

1. Развертывание 2.6 сохраняется и может быть использовано для отката.
2. Подходит для ситуации, когда ресурсы виртуальной машины 2.6 не подходят для ISE 3.1 или базовая версия гипервизора несовместима с ней. Процесс:
3. Экспорт сертификатов Admin/EAP (и их закрытых ключей) со всех узлов существующего развертывания 2.6.
4. Экспорт сертификатов из хранилища доверенных сертификатов всех узлов существующего развертывания 2.6.
5. Экспорт сертификата Cisco ISE CA (необязательно; если это не удается по какой-либо причине, это не должно стать препятствием, так как цепочка ISE CA восстанавливается ближе к концу процесса).
6. Повысьте NODE_A241 до роли PMnT, сделав NODE_A242 SMnT.
7. Сделайте резервную копию настроек конфигурации Cisco ISE и операционных журналов существующей версии 2.6.
8. Отмените регистрацию узла NODE_A242 из версии 2.6.
9. Отключите vNIC этого узла от сети.
10. Запустите установку на новой виртуальной машине 3.1 в местоположении A (назначенном для SAN/PMnT) и присвойте узлу имя NODE_A242 и IP-адрес, идентичный адресу узла NODE_A242 в развертывании 2.
11. 9. Восстановите конфигурацию ISE из резервной копии, созданной в шаге 5.
       NB: НЕ восстанавливайте настройки ade-os (флажок на веб-странице восстановления), так как это приведет к присвоению настроек виртуальной машины бывшего NODE_A241 новому NODE_A242!
12. Сделайте узел NODE_A242 PAN для нового развертывания.
    Важно, чтобы продвижение NODE_A242 к роли PAN выполнялось ПОСЛЕ восстановления конфигурации! Обратный порядок может стоить вам начала с нуля, переустановки NODE_A242 из OVA!
13. Назначьте основную личность MnT и личность PSN узлу NODE_A242
14. Назначьте личность PSN этому узлу
15. Присоедините этот узел к Active Directory
16. Для узлов NODE_B241, NODE_B242, NODE_C241, NODE_C242 повторите шаги 6-8, зарегистрируйте эти узлы в новом развертывании 3.1, а затем выполните шаги 13-14 для каждого узла
17. Отключите узел NODE_A241 от сети (этот узел не затрагивается, поскольку он готов стать источником потенциального процесса отката в своих ролях PAN/MnT/PSN)
18. Запустите настройку на новой виртуальной машине 3.1 в местоположении AU и присвойте узлу имя NODE_A241 и IP-адрес, идентичный адресу NODE_A241 в развертывании 2.6
    . 18. Зарегистрируйте NODE_A241 (3.1) в новом развертывании и присвойте ему роли/персонажи SAN и SMnT, а также персонаж
    PSN. 19. Переведите узел NODE_A241 (3.1) из роли SAN в PAN
    . 20. Перегенерируйте корневой сертификат CA
    PAN. 21. Включите и проверьте интеллектуальное лицензирование в развертывании 3.1.

Arne Bier

План мне кажется хорошим (мне нравятся все резервные копии, которые вы делаете в начале — это всегда хорошая идея на случай сбоя). Но одно меня смущает — возможно, это опечатка. Вы не можете переименовать A241 в имя, которое в настоящее время используется A242: 7. Запустите настройку на новой виртуальной машине 3.1 в местоположении A (назначенном для SAN/PMnT) и присвойте узлу имя NODE_
A242
и IP-адрес, идентичный адресу узла NODE_
A241
в развертывании 2.6 При любом обновлении всегда начинайте с вторичного PAN, а первичный PAN оставьте на последний момент (PPAN — это капитан корабля... последний, кто покидает тонущий корабль
![]
, поэтому шаг 5 должен быть «Отменить регистрацию A242»... и действовать дальше. Насколько я знаю, PPAN нельзя отменить регистрацию, потому что это ПЕРВИЧНЫЙ узел. Отменить регистрацию можно только вторичные узлы.

moshe.leyzerman

Привет
[, @Arne Bier]
, Спасибо за ответ и за то, что указали на неточность в моем посте. Да, это была опечатка: NODE_A242 (SAN/SMnT/PSN) — это узел, который сначала удаляется из 2.6, а затем его имя и адрес принимает на себя новая виртуальная машина 3.1. NODE_A241 версии 2.6 остается практически неизменным, просто отключенным от сети, и при необходимости может стать якорем процесса отката. Я отредактировал свой первоначальный пост, исправил его и добавил немного больше подробностей о процессе.

balaji.bandi

Высокий уровень, похоже, в порядке. Проверьте метод обновления и восстановления: https://www.cisco.com/c/en/us/td/docs/security/ise/3-1/upgrade_guide/HTML/b_upgrade_method_3_1.html Сертификаты также необходимо экспортировать: https://opensourceisfun.substack.com/p/upgrade-cisco-ise-from-27-31 AD необходимо присоединиться заново, даже если вы выполнили восстановление (у меня это не сработало, когда я выполнил этот шаг) ISE 3.1 требует наличия лицензии Smart License, поэтому убедитесь, что у вас есть учетная запись Smart и она готова к использованию, то есть ISE также необходимо подключиться к серверу Cisco Smart License (доступны различные варианты, которые вы можете посмотреть). BB
=====Preenayamo Vasudevam=====
***** Оцените все полезные ответы *****
Как обратиться за помощью в сообщество Cisco

moshe.leyzerman

Здравствуйте,
@balaji.bandi
, Спасибо за ответ. Да, подключение каждого узла к AD отдельно включено в процесс. Также учитывается интеллектуальное лицензирование (необходимые лицензии были приобретены и проверены в Smart Account), а подключение к tools.cisco.com для функции CSSM настраивается до начала миграции. Были изучены многочисленные руководства по установке и обновлению.
![]

balaji.bandi

Тогда все должно быть в порядке; ключевым элементом является монитор. BB
=====Preenayamo Vasudevam=====
***** Оценить все полезные ответы *****
Как обратиться за помощью к сообществу Cisco