ISE : ローカルディスクを利用したリイメージ方法

Yuji Suzuki · ‎2024-06-06

これまでISEでは物理/仮想アプライアンス問わず、リイメージ(reimage)する際にISOファイルのDVDイメージをマウントさせる必要がありましたが、以下最新のパッチバージョンではDVDイメージをマウントすることなく再インストールできるようになりました。

ISEバージョン	パッチバージョン
3.1	Patch 9 以降
3.2	Patch 5 以降
3.3	Patch 2 以降

バージョン3.0以下は非サポートです

この機能の実装に伴い、これまで再インストール時に費やしていた作業や時間を大幅に削減できることが期待されます。

本記事ではその具体的な方法をご紹介します。

ISOファイルの入手

まずCisco Software Downloadサイトから再インストール先のバージョンのISOをダウンロードします。
ダウンロードが完了したらISEと疎通性のあるレポジトリ(FTPサーバ等)に配置します。

ISOファイルをISEにダウンロード

レポジトリにISOファイルの配置が完了したら、ISEのCLIにログインし、copyコマンドでローカルディスクにダウンロードします。

ise33/admin#copy ftp://x.x.x.x/ISO_REPOSITORY/Cisco-ISE-3.3.0.430.SPA.x86_64.iso disk://
Enter username:ftpuser
Enter password:
ise33/admin#
ise33/admin#dir

Directory of disk:/

13497010176 Jun 06 2024 13:48:05 Cisco-ISE-3.3.0.430.SPA.x86_64.iso
       4096 Jun 06 2024 11:01:10 corefileanalysis/
       4096 May 16 2024 10:23:53 corefiles/
       4096 Jun 06 2024 10:06:22 CSD-config-backup/
       4096 Jun 06 2024 13:02:37 gc/
       1647 Jun 06 2024 12:26:11 rpm_install.log
          0 Jun 06 2024 12:25:23 rpm_uninstall.log
      23505 May 16 2024 10:25:14 upgraderpms.log

	 Usage for disk: filesystem
		 65183567872 bytes total used
		 194333679616 bytes free
		 273484009472 bytes available
ise33/admin#

copyコマンドの進捗状況を確認したい場合は、別のターミナルでISE CLIにログインしてdirコマンドを実行します。

ise33/admin#dir

Directory of disk:/

1208668160 Jun 06 2024 15:23:14 Cisco-ISE-3.3.0.430.SPA.x86_64.iso <---ファイルサイズを確認
      4096 Jun 06 2024 14:17:41 corefiles/
      4096 Jun 06 2024 14:34:58 CSD-config-backup/
      4096 Jun 06 2024 15:04:34 gc/
     23663 Jun 06 2024 14:23:18 upgraderpms.log

	 Usage for disk: filesystem
		 47314935808 bytes total used
		 212202311680 bytes free
		 273484009472 bytes available
ise33/admin#

Localised ISE Installの実行

ISE CLIにログイン後、application configure iseを実行し、Option38(*1)を選択します。
上記手順でダウンロードしたISEのローカルディスク上のISOファイルが表示されたら、再インストールしたいISO番号を選択します。
インストールするISOファイルのMD5 Hash値の確認を必ず行い、インストールを進めるかどうかの確認でyを入力します。
その後、特に問題が発生しなければ再インストールが自動的に実行され、終了するのを待ちます。
なお、再インストールが実行されると結果としてSSHアクセスもできなくなるので、本手順はコンソール画面で操作した方が進捗確認がしやすくなります。

ise33/admin#application configure ise

Selection configuration option
[1]Reset M&T Session Database
...
[37]Enable/Disable/Current_status of RSA_PSS signature for EAP-TLS
[38]Localised ISE Install
[0]Exit

38
The ISO files present in the disk are:
	[1] Cisco-ISE-3.3.0.430.SPA.x86_64.iso
Choose the ISO you want to install: 1

Computing MD5 hash value of the selected ISO...
File selected: Cisco-ISE-3.3.0.430.SPA.x86_64.iso (MD5: 4bd259c5fb63bb0e089e690be8817043)

Warning: Verify the MD5 checksum of the ISO before you proceed.

Proceed with Installation? [y/n] y

Copying ISO contents to installer directories. The copy may take around 5 minutes.

% Notice: The appliance will reboot to install the chosen Cisco ISE release now.

再インストールの終了後、セットアップウィザードが表示されるので、従来どおりセットアッププログラムを実行してください。

**********************************************
Please type 'setup' to configure the appliance
**********************************************
localhost login:setup

注意事項

1.　上位バージョンへの再インストールはサポートされますが、下位バージョンへの再インストールはサポートされません。

例)
OK：バージョン3.1(Patch9) -> バージョン3.1以上
NG：バージョン3.3(Patch2) -> バージョン3.2以下

仮に下位バージョンの再インストールを実行した場合以下のようなエラーとなります。

Error: You cannot install an earlier version of Cisco ISE (3.2.0). The minimum supported version for installation is 3.3.0

ise33/admin#application configure ise

Selection configuration option
[1]Reset M&T Session Database
...
[37]Enable/Disable/Current_status of RSA_PSS signature for EAP-TLS
[38]Localised ISE Install
[0]Exit

38
The ISO files present in the disk are:
	[1] ise-3.2.0.542a.SPA.x86_64.iso
	[2] Cisco-ISE-3.3.0.430.SPA.x86_64.iso
Choose the ISO you want to install: 1

Computing MD5 hash value of the selected ISO...
File selected: ise-3.2.0.542a.SPA.x86_64.iso (MD5: 2e609b6cbeaa5c360d0a09a2a5d3c564)

Warning: Verify the MD5 checksum of the ISO before you proceed.

Proceed with Installation? [y/n] y
Error: You cannot install an earlier version of Cisco ISE (3.2.0). The minimum supported version for installation is 3.3.0

Selection configuration option
[1]Reset M&T Session Database
...
[38]Localised ISE Install
[0]Exit

0
ise33/admin#

再インストール中に何かしらの理由で失敗した場合は、従来通りの再インストール手順が必要です。

*1) オプション番号はISEバージョンによって変わります。

その他、ISEを含むAAA(認証・認可・アカウンティング)に関して、設計やトラブルシューティングなどに役立つ情報を以下にまとめてあります。お探しの情報が見つからなかった場合は、是非ご一読ください。

AAA トラブルシューティング