Cisco ISE : Différence entre versions
(→Renseignements principaux) |
|||
| Ligne 6 : | Ligne 6 : | ||
* Identifiants compte admin dans KeePassX du campus, sur ''Mars\services\SSI\pwd\campus'' | * Identifiants compte admin dans KeePassX du campus, sur ''Mars\services\SSI\pwd\campus'' | ||
| − | + | * Nœud primaire - Gestion de l'ensemble des fonctionnalités d'ISE | |
| + | * Nœud secondaire - Gestion d'ISE en cas de plantage du nœud primaire + quelques autres fonctions (ex : conf NTP) | ||
| − | |||
| − | + | == Maintenance == | |
| − | == Plantage | + | === Plantage nœud secondaire === |
| − | + | Redémarrer le nœud en CLI via SSH (~15/20min) : | |
| − | |||
| − | Redémarrer le nœud en CLI (~15/20min) | ||
reload | reload | ||
| − | === | + | === Plantage nœud primaire === |
Sur nœud secondaire, vérifier si la bascule a fonctionné (accès à l'ensemble des menus d'administration). | Sur nœud secondaire, vérifier si la bascule a fonctionné (accès à l'ensemble des menus d'administration). | ||
| − | Sinon, aller à ''Deployment | + | Sinon, aller à ''Deployment → Promote to Primary'' |
| + | |||
| + | Sur nœud primaire, redémarrage en CLI via SSH (~15/20min) : | ||
| + | reload | ||
| + | |||
| + | === Plantage complet === | ||
| − | + | Redémarrage nœud primaire puis nœud secondaire : | |
reload | reload | ||
| + | |||
| + | |||
| + | == Déploiement Patch de sécu == | ||
| + | |||
| + | Sur nœud primaire : ''Administration → System → Maintenance → Installed Patches → Install → Parcourir... → Sélectionner le fichier → Install'' | ||
| + | |||
| + | Une fois le patch installé sur le nœud 1, il va ensuite être déployé automatiquement sur le nœud 2. | ||
| + | |||
| + | Vérifier l’état d’avancement du déploiement : ''Administration → System → Maintenance → Installed Patches → Numéro_de_patch → Show Node Status'' | ||
| + | |||
| + | |||
| + | == Déploiement Hotpatch == | ||
| + | |||
| + | Hotpatch = patch de sécu déployé en urgence en cas de faille de sécu à haut impact. | ||
| + | |||
| + | Création répertoire sur disque local : | ||
| + | <pre> | ||
| + | conf t | ||
| + | mkdir disk:/hotpatch | ||
| + | repository hotpatch | ||
| + | url disk:/hotpatch | ||
| + | </pre> | ||
| + | |||
| + | Copie fichier hotpatch via SFTP (SCP non supporté) : | ||
| + | copy sftp://IP_sftp_server/hotpatch_file.tar.gz disk:/hotpatch | ||
| + | |||
| + | Installation du hotpatch : | ||
| + | application install hotpatch_file.tar.gz hotpatch | ||
| + | |||
| + | Les hotpatch ne sont pas visibles depuis l’interface web d’ISE. Seule la commande suivante nous permet d’obtenir les informations les concernant. | ||
| + | <pre> | ||
| + | show logging application hotpatch.log | ||
| + | Thu Feb 17 16:32:42 CET 2022 => CSCwa47133_3.1.0.518_patch1 | ||
| + | </pre> | ||
| + | |||
== MAJ d'ISE == | == MAJ d'ISE == | ||
| Ligne 35 : | Ligne 73 : | ||
* Mettre à jour l’ancien nœud primaire en CLI. Le processus de mise à jour va automatiquement enregistré le nœud en tant que nœud secondaire | * Mettre à jour l’ancien nœud primaire en CLI. Le processus de mise à jour va automatiquement enregistré le nœud en tant que nœud secondaire | ||
* Promouvoir le nouveau nœud secondaire afin qu’il retrouve sa place initiale de nœud primaire | * Promouvoir le nouveau nœud secondaire afin qu’il retrouve sa place initiale de nœud primaire | ||
| + | |||
| + | === Mise à jour CLI via SSH === | ||
| + | |||
| + | Création répertoire sur disque local : | ||
| + | <pre> | ||
| + | conf t | ||
| + | mkdir disk:/upgrade | ||
| + | repository upgrade | ||
| + | url disk:/upgrade | ||
| + | </pre> | ||
| + | |||
| + | Téléchargement du fichier d’upgrade en récupérant son nom depuis le site web de Cisco. | ||
| + | |||
| + | '''IMPORTANT : Comparer la valeur du hash avec celle sur le site de Cisco afin de vérifier l’intégrité du fichier''' | ||
| + | <pre> | ||
| + | application upgrade prepare ise-upgradebundle-1.3.x-and-1.4.x-to-2.0.1.130.x86_64.tar.gz upgrade | ||
| + | </pre> | ||
| + | |||
| + | Installation de la MAJ : | ||
| + | <pre> | ||
| + | application upgrade proceed | ||
| + | </pre> | ||
| + | |||
| + | Redémarrage d’un nœud = ~20 minutes. Durant 1 MAJ, 2 redémarrages consécutifs d'un nœud ont lieu. Conclusion : Il faut être patient ! | ||
| + | |||
| + | Une fois la mise à jour terminée, si les nœuds contiennent d’anciens logs, on peut exécuter la commande '''application configure ise''' et choisir 5 (Refresh Database Statistics) sur ces nœuds. | ||
Version du 9 mars 2022 à 15:56
Sommaire
Renseignements principaux
- @IP : 10.13.102.221/24 et 10.13.102.222/24
- Serveurs NAC MOY1300
- Virtualisé sur cluster VMware
- Identifiants compte admin dans KeePassX du campus, sur Mars\services\SSI\pwd\campus
- Nœud primaire - Gestion de l'ensemble des fonctionnalités d'ISE
- Nœud secondaire - Gestion d'ISE en cas de plantage du nœud primaire + quelques autres fonctions (ex : conf NTP)
Maintenance
Plantage nœud secondaire
Redémarrer le nœud en CLI via SSH (~15/20min) :
reload
Plantage nœud primaire
Sur nœud secondaire, vérifier si la bascule a fonctionné (accès à l'ensemble des menus d'administration).
Sinon, aller à Deployment → Promote to Primary
Sur nœud primaire, redémarrage en CLI via SSH (~15/20min) :
reload
Plantage complet
Redémarrage nœud primaire puis nœud secondaire :
reload
Déploiement Patch de sécu
Sur nœud primaire : Administration → System → Maintenance → Installed Patches → Install → Parcourir... → Sélectionner le fichier → Install
Une fois le patch installé sur le nœud 1, il va ensuite être déployé automatiquement sur le nœud 2.
Vérifier l’état d’avancement du déploiement : Administration → System → Maintenance → Installed Patches → Numéro_de_patch → Show Node Status
Déploiement Hotpatch
Hotpatch = patch de sécu déployé en urgence en cas de faille de sécu à haut impact.
Création répertoire sur disque local :
conf t mkdir disk:/hotpatch repository hotpatch url disk:/hotpatch
Copie fichier hotpatch via SFTP (SCP non supporté) :
copy sftp://IP_sftp_server/hotpatch_file.tar.gz disk:/hotpatch
Installation du hotpatch :
application install hotpatch_file.tar.gz hotpatch
Les hotpatch ne sont pas visibles depuis l’interface web d’ISE. Seule la commande suivante nous permet d’obtenir les informations les concernant.
show logging application hotpatch.log Thu Feb 17 16:32:42 CET 2022 => CSCwa47133_3.1.0.518_patch1
MAJ d'ISE
Étapes d'une MAJ
- Mettre à jour le nœud secondaire en CLI. Le processus de mise à jour va automatiquement supprimer la déclaration de ce nœud sur le nœud primaire puis le second nœud va devenir le nœud primaire lors du redémarrage survenant à la fin de la MAJ
- Mettre à jour l’ancien nœud primaire en CLI. Le processus de mise à jour va automatiquement enregistré le nœud en tant que nœud secondaire
- Promouvoir le nouveau nœud secondaire afin qu’il retrouve sa place initiale de nœud primaire
Mise à jour CLI via SSH
Création répertoire sur disque local :
conf t mkdir disk:/upgrade repository upgrade url disk:/upgrade
Téléchargement du fichier d’upgrade en récupérant son nom depuis le site web de Cisco.
IMPORTANT : Comparer la valeur du hash avec celle sur le site de Cisco afin de vérifier l’intégrité du fichier
application upgrade prepare ise-upgradebundle-1.3.x-and-1.4.x-to-2.0.1.130.x86_64.tar.gz upgrade
Installation de la MAJ :
application upgrade proceed
Redémarrage d’un nœud = ~20 minutes. Durant 1 MAJ, 2 redémarrages consécutifs d'un nœud ont lieu. Conclusion : Il faut être patient !
Une fois la mise à jour terminée, si les nœuds contiennent d’anciens logs, on peut exécuter la commande application configure ise et choisir 5 (Refresh Database Statistics) sur ces nœuds.
