Einleitung
In diesem Dokument wird beschrieben, wie ein vEdge mit abgelaufenem Zertifikat identifiziert wird, das sich auf Steuerungs- und Datenebenenverbindungen auswirken und zu Serviceverlusten führen kann.
Hintergrundinformationen
Dieses Problem betrifft die Plattformen vEdge 100M, vEdge 100WM, vEdge 100B, vEdge 1000 und vEdge 2000. Dies wird durch ein öffentliches Stammzertifikat verursacht, das am 9. Mai 2023 um 6:57 Uhr UTC abgelaufen ist.
Hinweis: Dieser Vorfall hat keine Auswirkungen auf diese Plattformen:
1. vEdge Cloud, vEdge 5000 und ISR 1100 mit Viptela OS
2. Cisco Routing-Plattformen (physisch und virtuell) mit XE SD-WAN-Software
vEdge# show control local-properties
personality vedge
sp-organization-name CALO - 100589
organization-name CALO - 100589
root-ca-chain-status Installed
certificate-status Installed
certificate-validity Not Valid - certificate has expired <<<<<<<<<<<<<<<<<<<<
certificate-not-valid-before May 12 17:11:21 2013 GMT
certificate-not-valid-after Jan 19 03:14:07 2038 GMT
Falls das Gerät nach der 'Stunde X' (also 6:57 Uhr UTC am 9. Mai 2023) neu geladen wurde, ist zusätzlich folgendes zu sehen:
serial-num BOARD-ID-NOT-INITIALISED
Vorsicht: Dieses Problem tritt auf, wenn die Hardware-WAN-Edge-Zertifikatsautorisierung in vManage auf Enterprise-Zertifikate oder Onbox-Zertifikate festgelegt ist.
Diese Bedingungen können Auswirkungen auf den vEdge haben:
- Verbindungsverlust mit vSmart
- Verbindungsverlust mit vManage
- Port-Hop
- Kontrolle von Richtlinienänderungen wie Topologieänderungen im Netzwerk
- Steueranschluss leeren
- Schnittstellen-Flaps
- Gerät neu laden
Hinweis: Während des Aufbaus der Steuerungsverbindung wird das Onbox-Zertifikat in allen Fällen von den Controllern validiert. Bei Verwendung von Enterprise-Zertifikaten werden sowohl das Onbox- als auch das Enterprise-Zertifikat validiert.
Hinweis: Weitere Informationen zu diesem Verhalten finden Sie unter der Cisco Bug-ID CSCwf28118.
Vorsichtsmaßnahmen zur Vermeidung von Serviceunterbrechungen
Vermeiden Sie diese Aktionen in diesem Abschnitt, um einen vollständigen Serviceverlust zu vermeiden.
- Laden Sie das Gerät neu
- Richtlinie aktualisieren
- Vorlagenwerbung
Vorsicht: Beim erneuten Laden des Geräts werden die Timer für einen ordnungsgemäßen Neustart zurückgesetzt, und der Router kann keine Verbindung zur Fabric herstellen. Ohne ein erneutes Laden bleiben die BFD-Sitzungen (Data Plane) aktiv, und der Datenverkehr kann weitergeleitet werden, bis der Timer für einen ordnungsgemäßen Neustart abgelaufen ist, selbst wenn die Steuerungsverbindungen unterbrochen sind.
Sanierungsprozess
Cisco hat Softwareupgradeversionen veröffentlicht, um dieses Problem dauerhaft zu beheben. Lesen Sie den gesamten Prozess sorgfältig durch, bevor Sie eine Aktion durchführen.
Der allgemeine Prozess zur Behebung dieses Problems ist wie folgt:
- Durchführen von Vorabprüfungen zur Vorbereitung des Upgrades Ihrer Controller
- Upgrade der SD-WAN-Controller auf eine feste Version
- Wiederherstellung der Kontroll- und BFD-Verbindungen zwischen vEdge und Controllern
- Durchführen von Vorabprüfungen zur Vorbereitung des Upgrades Ihrer vEdge-Software
- Upgrade der vEdge-Software auf eine feste Version
- Überlegungen nach dem Upgrade
Auf drei Szenarien wird hier Bezug genommen. Die Schritte zur Behebung variieren je nach Szenario für jeden vEdge in Ihrem Netzwerk.
1. Szenario: Die vEdge-Steuerverbindung ist aktiv, und der vEdge WURDE NICHT neu gestartet.
Szenario 2: Die vEdge-Steuerverbindung ist ausgefallen, und der vEdge WURDE NICHT neu gestartet.
Szenario 3: Die vEdge-Steuerverbindung ist ausgefallen, und der vEdge wurde neu gestartet.
Fest implementierte Softwareversionen
Cisco arbeitet weiterhin daran, feste Softwareversionen so schnell wie möglich zu erstellen und zu validieren. Diese Seite wird aktualisiert, wenn neue Versionen validiert und an Cisco.com gesendet werden.
Tipp: Verwenden Sie die Funktion "Meine Benachrichtigungen" auf der Seite "Software-Downloads" unter Cisco.com, um benachrichtigt zu werden, wenn neue Software für ein Cisco Produkt verfügbar ist, das Sie interessiert.
Ermitteln Sie anhand der Tabelle, auf welche Version Sie basierend auf Ihrer aktuellen Version aktualisieren können. Es können mehrere Upgrade-Pfade unterstützt werden.
Weitere Versionen werden hinzugefügt, sobald sie verfügbar sind. Wenn Ihre Version nicht in der Spalte Aktuelle Version aufgeführt ist, ist derzeit kein Upgrade-Pfad verfügbar.
Tipp: Es ist ratsam, Software-Images vor dem geplanten Wartungsfenster zu installieren. Installieren verwenden, um die Images vor dem Fenster zu installieren. Markieren Sie nicht das Kontrollkästchen Activate and Reboot während dieses Vorgangs. Andernfalls schließt das Gerät das Upgrade sofort nach Abschluss der Installation ab. Dadurch wird ein kürzeres Wartungsfenster gewährleistet.
Hinweis: Um die Integrität eines Images bei Cisco zu gewährleisten, können Kunden eine gängige Best Practice anwenden, um das Image mit der SHA-Prüfsumme zu verifizieren. Cisco bietet eine Bulk-Hash-Datei als hilfreiches Tool, mit dem Kunden heruntergeladene Images auf der Seite Cisco Software-Downloads erneut überprüfen können. Weitere Informationen finden Sie unter https://www.cisco.com/c/en/us/about/trust-center/downloads.html.
Upgrade-Empfehlungsmatrix
Die Softwareversionen in der Tabelle werden auf Grundlage der Fehlerbehebung für das abgelaufene Zertifikatsproblem empfohlen. Upgrades außerhalb des Geltungsbereichs dieses Problems dürfen nur mit den Anweisungen in der Produktdokumentation und den Versionshinweisen für Cisco SD-WAN durchgeführt werden, die auf der Version basieren, auf die Sie das Upgrade durchführen.
Hinweis: Cisco empfiehlt dringend, dass Sie Ihre aktuelle Version beibehalten, um die Auswirkungen auf die Produktion aufgrund des Ablaufs der Zertifizierung zu minimieren. Wenn Sie sich z. B. derzeit auf 20.3.2 befinden, führen Sie ein Upgrade auf 20.3.7.1 durch.
Ein Upgrade von vEdge 5000, vEdge Cloud und ISR 1100 ist derzeit aufgrund der Cisco Bug-ID CSCwf28118 nicht erforderlich, da diese nicht betroffen sind.
Hinweis: Führen Sie in Umgebungen mit unterschiedlichen Versionen Software-Upgrades gemäß den Empfehlungen in der Tabelle durch, die auf dem derzeit ausgeführten Image des Geräts basiert.
Prüfen Sie die Kompatibilitätsmatrix, um mögliche Probleme mit der Controller-/Edge-Kompatibilität zu identifizieren, und öffnen Sie einen TAC-Serviceticket für Support, falls Probleme auftreten.
Hinweis: Kunden, die noch kein Upgrade auf ein Engineering Special (ES)-Image durchgeführt haben, müssen einen TAC-Serviceticket öffnen, um weitere Informationen zu erhalten.
vEdge-2000-Kompatibilität
Der letzte unterstützte Software-Image-Zug für vEdge-2000 ist 20.9.x.
Kompatibilität mit vEdge-100B, vEdge-100M, vEdge-1000
Der letzte unterstützte Software-Image-Zug für vEdge-100B, vEdge-100M und vEdge-1000 ist 20.6.x. Verwenden Sie die aktuelle Version und das Software-Image im , um die empfohlene Zielversion zu ermitteln.
Wenn sich vEdge-100B, vEdge-100M und vEdge-1000 bereits auf 20.7.x oder höher befinden, wenden Sie sich zwecks Beratung an einen TAC-Serviceticket.
Vorsicht: Aufgrund der möglichen Auswirkungen auf die Produktion empfehlen wir unseren Kunden, die Upgrades nur während eines Wartungsfensters durchzuführen. Stellen Sie die Netzwerkstabilität sicher, bevor Sie weitere Änderungen an der Produktion vornehmen.
Kompatibilitätsmatrix für SD-WAN-Controller und vEdge-Software
Hinweis: Cisco empfiehlt dringend, dass Sie Ihre aktuelle Version beibehalten, um die Auswirkungen auf die Produktion aufgrund des Ablaufs der Zertifizierung zu minimieren.
Wenn Sie sich z. B. derzeit auf 20.3.2 befinden, führen Sie ein Upgrade auf 20.3.7.1 durch.
Wenn Sie nach dem Upgrade von einem Release Train auf einen anderen Major Release Train aktualisieren, empfiehlt Cisco Ihnen, das Upgrade auf die bevorzugte Version dieses Release Trains durchzuführen.
Beispiel für eine Behebung nach der Zertifizierung: Wenn Sie derzeit Version 20.3.7.1 verwenden und ein Upgrade auf Version 20.6.2 planen, empfiehlt Cisco ein Upgrade auf die bevorzugte Version 20.6.5.2.
SD-WAN-Controller |
vEdge 100M, vEdge 100B, vEdge 1000 |
vEdge 2000 |
20.3.3.21 |
20.3.3.21 |
20.3.3.21 |
20.3.4.31 |
20.3.3.21, 20.3.4.31 |
20.3.3.21, 20.3.4.31 |
20.3.5.11 |
20.3.3.21, 20.3.4.31, 20.3.5.11 |
20.3.3.21, 20.3.4.31, 20.3.5.11 |
20.3.7.12 |
20.3.3.21, 20.3.4.31, 20.3.5.1, 20.3.7.12 |
20.3.3.21, 20.3.4.31, 20.3.5.1, 20.3.7.12 |
20.4.2.3 |
20.3.3.21, 20.3.7.12, 20.4.2.3 |
20.3.3.21, 20.3.7.12, 20.4.2.3 |
20.6.1.2 |
20.6.1.2 |
20.6.1.2 |
20.6.3.2 |
20.3.3.21, 20.3.4.31, 20.3.5.11, 20.3.7.12, 20.4.2.3, 20.6.1.2, 20.6.3.2 |
20.3.3.21, 20.3.4.31, 20.3.5.11, 20.3.7.12, 20.4.2.3, 20.6.1.2, 20.6.3.2 |
20.6.4.1 |
20.3.3.21, 20.3.4.31, 20.3.5.1, 20.4.2.3, 20.6.1.2, 20.6.3.2, 20.6.4.1 |
20.3.3.21, 20.3.4.31, 20.3.5.1, 20.4.2.3, 20.6.1.2, 20.6.3.2, 20.6.4.1 |
20.6.5.22 |
20.3.3.21, 20.3.4.31, 20.3.5.11, 20.3.7.12, 20.4.2.3, 20.6.1.2, 20.6.3.2, 20.6.2 4.1, 20.6.5.22 |
20.3.3.21, 20.3.4.31, 20.3.5.11, 20.3.7.12, 20.4.2.3, 20.6.1.2, 20.6.3.2, 20.6.2 4.1, 20.6.5.22 |
20.9.3.12 |
20.3.3.21, 20.3.4.31, 20.3.5.11, 20.3.7.12, 20.4.2.3, 20.6.1.2, 20.6.3.2, 20.6.2 4.1, 20.6.5.22 |
20.3.3.21, 20.3.4.31, 20.3.5.11, 20.3.7.12, 20.4.2.3, 20.6.1.2, 20.6.3.2, 20.6.4.1, 20.6.5.22, 20.9.3.12 |
20.10.1.1 |
20.6.1.2, 20.6.3.2, 20.6.4.1 |
20.6.1.2, 20.6.3.2, 20.6.4.1 |
20.11.1.1 |
20.6.1.2, 20.6.3.2, 20.6.4.1, 20.6.5.22 |
20.6.1.2, 20.6.3.2, 20.6.4.1, 20.6.5.22, 20.9.3.12 |
1Dieses Bild kann nicht mehr heruntergeladen werden. Sie werden für Kunden dokumentiert, die sie bereits implementiert haben.
2Gibt eine bevorzugte Version an, die den Zertifikatsfix enthält.
Vor einem Controller-Upgrade durchzuführende Vorabprüfungen
Sicherung des Controllers
- Bei Cloud-gehosteten Geräten müssen Sie das neueste Backup bestätigen oder ein Backup der Konfigurationsdatenbank initiieren, wie im nächsten Schritt beschrieben.
- Sie können die aktuellen Backups anzeigen und einen On-Demand-Snapshot vom SSP-Portal aus auslösen. Weitere Informationen finden Sie hier.
- Wenn Sie sich am Standort befinden, erstellen Sie ein config-db-Backup und einen VM-Snapshot der Controller.
vManage# request nms configuration-db backup path /home/admin/db_backup
successfully saved the database to /home/admin/db_backup.tar.gz
- Wenn Sie sich am Standort befinden, sammeln Sie show running-config, und speichern Sie es lokal.
- Wenn Sie vor Ort sind, stellen Sie sicher, dass Sie Ihr neo4j-Passwort kennen und notieren Sie Ihre genaue aktuelle Version.
AURA-Prüfung durchführen
Sicherstellen, dass Senden an Controller/Senden an vBond abgeschlossen ist
Intervall für die vManage-Statistikerfassung prüfen
Cisco empfiehlt, das Intervall für die Statistikerfassung unter Administration > Settings (Verwaltung > Einstellungen) auf den Standard-Timer von 30 Minuten einzustellen.
Hinweis: Cisco empfiehlt, Ihre vSmarts und vBonds vor einem Upgrade an die vManage-Vorlage anzuhängen.
Überprüfen Sie den Speicherplatz auf vSmart und vBond.
Verwenden Sie den Befehl df -kh. | Grep-Boot von vShell, um die Größe der Festplatte zu bestimmen.
controller:~$ df -kh | grep boot
/dev/sda1 2.5G 232M 2.3G 10% /boot
controller:~$
Wenn die Größe größer als 200 MB ist, fahren Sie mit dem Upgrade der Controller fort.
Wenn die Größe weniger als 200 MB beträgt, gehen Sie wie folgt vor:
1. Überprüfen Sie, ob die aktuelle Version die einzige ist, die unter dem Befehl show software aufgeführt ist.
VERSION ACTIVE DEFAULT PREVIOUS CONFIRMED TIMESTAMP
------------------------------------------------------------------------------
20.11.1 true true false auto 2023-05-02T16:48:45-00:00
20.9.1 false false true user 2023-05-02T19:16:09-00:00
20.8.1 false false false user 2023-05-10T10:57:31-00:00
2. Überprüfen Sie, ob die aktuelle Version unter dem Befehl show software version (Software-Version anzeigen) als Standard festgelegt ist.
controller# request software set-default 20.11.1
status mkdefault 20.11.1: successful
controller#
3. Wenn mehrere Versionen aufgeführt sind, entfernen Sie alle nicht aktiven Versionen, indem Sie die Befehlsanforderungs-Software remove <version> eingeben. Dadurch erhöht sich der verfügbare Speicherplatz, um mit dem Upgrade fortzufahren.
controller# request software remove 20.9.1
status remove 20.9.1: successful
vedge-1# show software
VERSION ACTIVE DEFAULT PREVIOUS CONFIRMED TIMESTAMP
------------------------------------------------------------------------------
20.11.1 true true false auto 2023-05-02T16:48:45-00:00
controller#
4. Überprüfen Sie den Speicherplatz, um sicherzustellen, dass er größer als 200 MB ist. Wenn dies nicht der Fall ist, öffnen Sie ein TAC-Serviceticket.
Aktualisieren Sie Ihre Controller
Dies ist eine Zusammenfassung der nächsten Schritte, die für jeden dieser Kunden durchgeführt werden.
Achtung: Vergewissern Sie sich, dass alle Vorabprüfungen durchgeführt und Sicherungskopien erstellt wurden, wie im vorherigen Abschnitt beschrieben.
- Laden Sie die neue Softwareversion in das Upgrade-Repository hoch.
- Stellen Sie sicher, dass das Controller-Image mit der Problembehebung ausgewählt ist.
- Aktualisieren Sie die Controller mit dem Image-Fix in dieser Sequenz.
1. vManage
2. vBond
3. vSmart
Hinweis: Wenn Sie das Upgrade der Controller über die CLI fortsetzen, denken Sie daran, "request software upgrade-confirm" auszuführen.
vManage Standalone-Upgrade
Im Fall von Standalone vManage müssen die folgenden Schritte ausgeführt werden:
- Kopieren Sie das Image in das vManage Maintenance> Software-Repository.
- Upgrade mit vManage Maintenance>Software-Upgrade
- Klicken Sie auf Upgrade, und warten Sie, bis das Upgrade abgeschlossen ist.
- Navigieren Sie zurück zur gleichen Seite, klicken Sie auf vManage und dann auf Activate.
Hinweis: Das vManage-Upgrade hat keine Auswirkungen auf das Datennetzwerk.
vCluster-Upgrade verwalten
Im Falle eines Cluster-Upgrades müssen die im Cisco SD-WAN Leitfaden "Erste Schritte" - "Cluster-Management" [Cisco SD-WAN] - "Cisco Leitfaden" genannten Schritte befolgt werden.
Hinweis: Das Upgrade von vManage auf Cluster hat keine Auswirkungen auf das Datennetzwerk.
Vorsicht: Wenden Sie sich bei Fragen oder Problemen während des Upgrades Ihres Clusters an das TAC, bevor Sie fortfahren.
vBond-Upgrade
Ein vBond-Upgrade verwendet den gleichen Prozess wie ein vManage-Upgrade.
Warnung: vBonds müssen sequenziell aktualisiert werden. Vergewissern Sie sich, dass das Upgrade für jeden vBond abgeschlossen wurde, bevor Sie mit dem nächsten Schritt fortfahren.
- Kopieren Sie das Image in das vManage Maintenance > Software-Repository.
- Upgrade mit vManage Wartung > Software-Upgrade
- Klicken Sie auf Upgrade, und warten Sie, bis das Upgrade abgeschlossen ist.
- Navigieren Sie zurück zur gleichen Seite, klicken Sie auf vManage und dann auf Activate.
- Überprüfen Sie mit dem Befehl show orchestrator connections on the vBond
- Überprüfen Sie mit dem Befehl show control connections on the vManage
vSmart-Upgrade
Bei einem vSmart-Upgrade wird derselbe Prozess wie bei einem vManage-Upgrade verwendet.
Warnung: vSmarts muss sequenziell aktualisiert werden. Vergewissern Sie sich, dass das Upgrade auf jedem vSmart abgeschlossen wurde, bevor Sie mit dem nächsten Schritt fortfahren.
- Kopieren Sie das Image in das vManage Maintenance > Software-Repository.
- Aktualisieren Sie vSmart von vManage UI Maintenance > Software Upgrade
- Klicken Sie auf Upgrade, und warten Sie, bis das Upgrade abgeschlossen ist.
- Navigieren Sie zurück zur gleichen Seite. Wählen Sie vSmart aus, und klicken Sie dann auf Aktivieren
- Überprüfen Sie, ob die Sitzungen nach dem Upgrade mit dem Befehl show control connections on the vSmart wiederhergestellt wurden.
Hinweis: Wenn vSmart während eines Software-Upgrades neu startet, werden die Geräte ohne Auswirkungen auf das Netzwerk ordnungsgemäß neu gestartet.
Überprüfen Sie, ob die Steuerungsverbindungen nach allen Controller-Upgrades hergestellt wurden.
Für alle vEdge-Geräte in Szenario 1 und Szenario 2 nach dem Upgrade der Controller müssen sowohl die Steuerungs- als auch die BFD-Verbindungen wiederhergestellt werden.
vEdge-Upgrade
Hinweis: Ein vEdge-Upgrade ist der letzte Schritt des vollständigen Schutzes vor dem Aus- und Einschalten der vEdge-Router, der in Szenario 3 beschrieben wird.
Hinweis: Es wird empfohlen, vEdge-Software-Images vor dem geplanten Wartungsfenster zu installieren. Installieren verwenden, um die Images vor dem Fenster zu installieren. Markieren Sie nicht das Kontrollkästchen Activate and Reboot während dieses Vorgangs. Andernfalls schließt das Gerät das Upgrade sofort nach Abschluss der Installation ab. Dadurch wird ein kürzeres Wartungsfenster gewährleistet.
Sie können die Images von vManage aus auf einmal in mehrere vEdges laden:
1. Navigieren Sie zur vManage-Benutzeroberfläche. Navigieren Sie zu Wartung > Software-Repository. Laden Sie das vEdge-Image. Sie können dann zu Maintenance > Software Upgrade navigieren und auf Upgrade klicken, nachdem Sie die Geräte ausgewählt haben, die aktualisiert werden müssen.
2. Navigieren Sie zur vManage-Benutzeroberfläche. Navigieren Sie zu Wartung > Software-Repository. Klicken Sie auf Neue Software hinzufügen. Klicken Sie auf Remote server. Geben Sie die Controller-Version, die vEdge-Version und den vollständigen Pfad zur FTP-/HTTP-URL ein, unter der das Image gespeichert wird. Beispiel: ftp://<Benutzername>:<Kennwort>@<FTP-Server>/<Pfad>/<Abbildname>. Sie können dann zu Maintenance > Software Upgrade navigieren und auf Upgrade klicken, nachdem Sie die Geräte ausgewählt haben, für die ein Upgrade mithilfe der Option Remote server erforderlich ist.
Hinweis: Wählen Sie vEdges in Stapeln basierend auf der Bandbreite aus, um das Image zu übertragen.
Überprüfung vor dem vEdge-Upgrade
Vorsicht: Wenn diese Vorabprüfungen übersprungen werden, kann das vEdge-Upgrade aufgrund von unzureichendem Speicherplatz fehlschlagen.
1. Überprüfen Sie, ob die aktuelle Version die einzige ist, die unter dem Befehl show software aufgeführt ist.
VERSION ACTIVE DEFAULT PREVIOUS CONFIRMED TIMESTAMP
------------------------------------------------------------------------------
20.11.1 true true false auto 2023-05-02T16:48:45-00:00
20.9.1 false false true user 2023-05-02T19:16:09-00:00
20.8.1 false false false user 2023-05-10T10:57:31-00:00
2. Überprüfen Sie, ob die aktuelle Version unter dem Befehl show software version (Software-Version anzeigen) als Standard festgelegt ist.
vedge-1# request software set-default 20.11.1
status mkdefault 20.11.1: successful
vedge-1#
3. Wenn mehrere Versionen aufgeführt sind, entfernen Sie alle nicht aktiven Versionen, indem Sie die Befehlsanforderungs-Software remove <version> eingeben. Dadurch erhöht sich der verfügbare Speicherplatz, um mit dem Upgrade fortzufahren.
vedge-1# request software remove 20.9.1
status remove 20.9.1: successful
vedge-1# show software
VERSION ACTIVE DEFAULT PREVIOUS CONFIRMED TIMESTAMP
------------------------------------------------------------------------------
20.11.1 true true false auto 2023-05-02T16:48:45-00:00
vedge-1#
4. Verwenden Sie vShell und den Befehl df -h, um sicherzustellen, dass genügend freier Speicherplatz für das Upgrade vorhanden ist.
VEDGE-1000-AC-K9# vshel
VEDGE-1000-AC-K9:~$ df -h
Filesystem Size Used Avail Use% Mounted on
none 1.4G 8.0K 1.4G 1% /dev
/dev/sda1 1013M 518M 445M 54% /boot
/dev/loop0 78M 78M 0 100% /rootfs.ro
/dev/sda2 6.0G 178M 5.5G 4% /rootfs.rw
aufs 6.0G 178M 5.5G 4% /
tmpfs 1.4G 300K 1.4G 1% /run
shm 1.4G 48K 1.4G 1% /dev/shm
tmp 600M 84K 600M 1% /tmp
tmplog 120M 37M 84M 31% /var/volatile/log/tmplog
svtmp 1.0M 312K 712K 31% /etc/sv
5. Wenn /tmp voll ist, öffnen Sie ein TAC-Serviceticket, um vor dem Upgrade Unterstützung zum Löschen von Speicherplatz im Verzeichnis /tmp/tmp zu erhalten.
vEdge-Upgrade Szenario 1: Steuerverbindung ist aktiv und vEdge WURDE NICHT neu gestartet
Nachdem die Controller mit dem Fix auf eine Version aktualisiert wurden, stellen nicht neu gestartete vEdge-Geräte die Verbindung automatisch wieder her.
Wichtig: Auf vEdge-Geräten in diesem Zustand ist ein Upgrade erforderlich. Sie MUSS so schnell wie möglich priorisiert und geplant werden. Bei Bedarf sollten Sie so schnell wie möglich außerhalb der Geschäftszeiten arbeiten. Planen Sie ein Upgrade des Geräts, um Auswirkungen auf die Kontroll- und Datenebene durch einen Neustart oder Ein-/Ausschaltzyklus des Geräts zu vermeiden. Das Gerät darf vor dem Upgrade nicht neu gestartet werden.
Führen Sie zum Upgrade des vEdge die folgenden Schritte aus:
- Kopieren Sie die neue vEdge-Software in das vManage-Repository über Wartung > Software.
- Aktualisieren Sie den vEdge von vManage Maintenance > Software Upgrade.
- Klicken Sie auf Upgrade, und warten Sie, bis das Upgrade abgeschlossen ist.
- Navigieren Sie zurück zur gleichen Seite. Wählen Sie vEdge aus, und klicken Sie dann auf Aktivieren
Validierung nach dem Upgrade
- Überprüfen Sie die Steuerungsverbindungen und BFD-Sitzungen.
- Überprüfen von OMP-Routen und Service-VPN-Routen - Testen des End-to-End-Ping an jedem Service-VPN-Segment zwischen vEdge und Hub/anderen Knoten
- Lesen der Überlegungen nach dem Upgrade
vEdge-Upgrade-Szenario 2: Steuerverbindung ist ausgefallen und vEdge WURDE NICHT neu gestartet
Nachdem die Controller mit dem Fix auf eine Version aktualisiert wurden, stellen nicht neu gestartete vEdge-Geräte die Verbindung automatisch wieder her.
Wichtig: Auf vEdge-Geräten in diesem Zustand ist ein Upgrade erforderlich. Sie MUSS so schnell wie möglich priorisiert und geplant werden. Bei Bedarf sollten Sie so schnell wie möglich außerhalb der Geschäftszeiten arbeiten. Planen Sie ein Upgrade des Geräts, um Auswirkungen auf die Kontroll- und Datenebene durch einen Neustart oder ein Ein-/Ausschalten des Geräts zu vermeiden. Das Gerät darf vor dem Upgrade nicht neu gestartet werden.
Führen Sie zum Upgrade des vEdge die folgenden Schritte aus:
- Kopieren Sie die neue vEdge-Software in das vManage-Repository über Wartung > Software.
- Aktualisieren Sie den vEdge von vManage Maintenance > Software Upgrade.
- Klicken Sie auf Upgrade, und warten Sie, bis das Upgrade abgeschlossen ist.
- Navigieren Sie zurück zur gleichen Seite. Wählen Sie vEdge aus, und klicken Sie dann auf Aktivieren
Validierung nach dem Upgrade
- Überprüfen Sie die Steuerungsverbindungen und BFD-Sitzungen.
- Überprüfen von OMP-Routen und Service-VPN-Routen - Testen des End-to-End-Ping an jedem Service-VPN-Segment zwischen vEdge und Hub/anderen Knoten
- Lesen der Überlegungen nach dem Upgrade
Szenario 3: vEdge, Kontrollverbindung ist ausgefallen, Gerät neu gestartet/Ein-/Ausschalten
Vorsicht: Zur Wiederherstellung dieser Geräte ist ein Out-of-Band-Zugriff erforderlich.
Diese Ausgabe zeigt ein vEdge-Gerät, das nach Ablauf des Zertifikats neu gestartet wurde. Verwenden des Befehls show control local-properties | inc seriell und bestätigen die Ausgabe zeigt BOARD-ID-NOT-INITIALIZED.
vedge# show control local-properties | inc serial
serial-num BOARD-ID-NOT-INITIALISED
subject-serial-num N/A
enterprise-serial-num No certificate installed
vedge#
Ändern Sie Datum/Uhrzeit auf vEdge, um die Kontrollverbindungen wiederherzustellen.
Für diese Schritte ist ein Out-of-Band-Zugriff auf das vEdge-Gerät erforderlich, z. B. auf die Konsole oder das direkte SSH.
Setzen Sie die Uhr auf den 5. Mai 2023 zurück (z. B. #clock set date 2023-05-05 time 15:49:00.000) auf vEdge, das über eine Kontrollverbindung DOWN verfügt.
vedge# clock set date 2023-05-05 time 10:23:00
vedge# show clock
Mon May 5 10:23:37 UTC 2023
vedge#
Warten Sie 2-3 Minuten, bis die Board-ID initialisiert ist. Aktivieren Sie show control local-properties, um sicherzustellen, dass das Gerät jetzt eine Nummer in der Ausgabe hat.
vedge# show control local-properties | inc serial
serial-num 10024640
subject-serial-num N/A
enterprise-serial-num No certificate installed
vedge#
(Optional) Wenn die Board-ID-Initialisierung nicht innerhalb von 2-3 Minuten erfolgt, laden Sie vEdge neu, und überprüfen Sie die Ausgabe von show control local-properties, um sicherzustellen, dass die Seriennummer des Geräts jetzt in der Ausgabe aufgeführt ist.
Nachdem die Mainboard-ID initialisiert wurde, überprüfen Sie das Zertifikat mit dem Befehl show certificate valid.
vedge# show certificate validity
The certificate issued by c33d2cf4-e586-4df4-ac72-298422644ba3 is valid from Sep 7 02:50:16 2021 GMT (Current date is Mon May 1 10:25:03 GMT 2023) & valid until Sep 5 02:50:16 2031 GMT
vedge#
Nachdem die Steuerverbindungen erfolgreich wiederhergestellt wurden, korrigieren Sie die Uhr mit einem YYY-MM-DD- und einem HH:MM::SS-Format für Datum und Uhrzeit auf die aktuelle Zeit.
Dieses Beispiel dient lediglich zu Illustrationszwecken. Stellen Sie Datum und Uhrzeit immer auf die aktuelle Uhrzeit ein.
vedge# clock set date YYYY-MM-DD time HH:MM::SS
vedge# show clock
Wed May 10 10:23:37 UTC 2023
vedge#
Überprüfen Sie mit dem Befehl show control connections, ob die Steuerverbindungen verfügbar sind.
vedge# show control connections
PEER PEER CONTROLLER
PEER PEER PEER SITE DOMAIN PEER PRIV PEER PUB GROUP
TYPE PROT SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR PROXY STATE UPTIME ID
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
vsmart dtls 10.3.3.1 10 1 192.168.24.112 12346 192.168.24.112 12346 private1 No up 0:14:33:46 0
vsmart dtls 10.3.3.1 10 1 192.168.24.112 12346 192.168.24.112 12346 private2 No up 0:14:33:46 0
vbond dtls 0.0.0.0 0 0 192.168.28.122 12346 192.168.28.122 12346 private1 - up 0:14:33:47 0
vbond dtls 0.0.0.0 0 0 192.168.28.122 12346 192.168.28.122 12346 private2 - up 0:14:33:47 0
vmanage dtls 10.1.1.1 10 0 192.168.25.209 12346 192.168.25.209 12346 private1 No up 0:14:33:46 0
Hinweis: Auf vEdge-Geräten mit diesem Status ist ein Upgrade erforderlich. Sie MUSS so schnell wie möglich priorisiert und geplant werden. Bei Bedarf während eines Wartungsfensters außerhalb der Geschäftszeiten ausführen. Planen Sie ein Upgrade des Geräts, um zu verhindern, dass es durch einen Neustart oder ein Ein-/Ausschalten des Geräts beeinträchtigt wird. Das Gerät darf vor dem Upgrade nicht neu gestartet werden.
Gehen Sie folgendermaßen vor, um ein Upgrade von vEdge durchzuführen:
- Kopieren Sie den vEdge-Image-Fix in das vManage-Repository über Wartung > Software.
- Aktualisieren Sie den vEdge von vManage UI Maintenance > Software Upgrade.
- Klicken Sie auf Upgrade, und warten Sie, bis das Upgrade abgeschlossen ist.
- Navigieren Sie zurück zur gleichen Seite. Wählen Sie den vEdge aus, und klicken Sie dann auf Aktivieren
・ Überprüfen Sie, ob die Steuerungsverbindungen und BFD-Sitzungen aktiv sind.
・ Überprüfen von OMP-Routen und Service-VPN-Routen - Testen des End-to-End-Ping an jedem Service-VPN-Segment zwischen vEdge und Hub/anderen Knoten
- Lesen der Überlegungen nach dem Upgrade
Upgrade-Verfahren von 18.4, 19.x und 20.1 (überarbeitet am 13. Mai 2000 UTC)
Alle Upgrades von Version 18.4, 19.x und 20.1.x müssen auf Version 20.3.7.1 aktualisiert werden.
Dieser Abschnitt wurde überarbeitet mit Anweisungen zum Upgrade von vManage mit Boot-Festplatten, die kleiner als 2.5G sind, auf 20.1.3.1 anstelle von 20.1.3.
Die neue Software 20.1.3.1 vManage enthält die aktualisierten Zertifikate und ermöglicht Geräten, sich zu verbinden, während das zweite Upgrade auf 20.3.7.1 durchgeführt wird.
Vorsicht: Lesen Sie diesen Abschnitt sorgfältig, bevor Sie fortfahren. Es können mehrere Upgrades erforderlich sein.
Prüfungen vor dem Upgrade
Bevor Sie mit einem Upgrade fortfahren, müssen Sie alle Vorabprüfungen durchführen, um sicherzustellen, dass das Upgrade erfolgreich ist.
Bei diesen Prüfungen vor dem Upgrade werden die Größe der Datenbank, die Computing-Ressourcen und die Größe der Startfestplatte überprüft.
Überprüfen der Datenbankgröße über die CLI
Verwenden Sie den Befehl request nms configuration-db diagnostic. | i TotalStoreSize, um die Größe der Datenbank in Byte abzurufen.
Führen Sie von vshell den Befehl expr <number of bytes> / 1024 / 1024 / 1024 aus, um diese Ausgabe in einen ganzzahligen Wert in GB zu konvertieren.
vmanage# request nms configuration-db diagnostics | i TotalStoreSize
| "StoreSizes" | "TotalStoreSize" | 3488298345 |
vmanage1# vshell
vmanage1:~$ expr 348829834 / 1024 / 1024 / 1024
3
In diesem Beispiel ist die Datenbankgröße 3 GB.
Wenn die Datenbankgröße kleiner als 5 GB ist, fahren Sie mit dem Upgrade fort.
Überprüfen der Computing-Ressourcen
Stellen Sie sicher, dass die Computing-Ressourcen mit dem Leitfaden für Computing-Ressourcen 20.3 übereinstimmen.
- Überprüfen Sie vCPU mit dem Befehl lscpu | grep CPU\ MHz
vmanage1:~$ lscpu | grep CPU\ MHz
CPU MHz: 2999.658
vmanage1:~$
- Überprüfen Sie den Speicher mit den Befehlen free -g | grep Mem und kostenlos —giga | Grep Mem
vmanage1:~$ free -g | grep Mem
Mem: 31 21 7 0 2 9
vmanage1:~$ free --giga | grep Mem
Mem: 33 23 7 0 2 9
vmanage1:~$
- Überprüfen Sie die Größe der dritten Partition (/opt/data) mit dem Befehl df -kh
vmanage1:~$ df -kh | grep "/opt/data"
/dev/sdb 108G 24G 79G 23% /opt/data
vmanage1:~$
Wenn die Computing-Ressourcen nicht mit Version 20.3 übereinstimmen, sollten Sie die Computing-Ressourcen vor dem Upgrade erhöhen.
Überprüfen des Startspeicherplatzes mit der CLI
Verwenden Sie den Befehl df -kh. | Grep-Boot von vShell aus, um die Größe der Festplatte zu bestimmen.
vmanage# vshell
vmanage:~$ df -kh | grep boot
/dev/sda1 5.0G 4.7G 343M 94% /boot
vmanage:~$
Dieses Beispiel zeigt, dass der /boot-Datenträger 5.0G ist.
Warnung: Wenn die vManage-Startdiskette weniger als 2.5G beträgt, müssen Sie ein schrittweises Upgrade bis Version 20.1 durchführen.
Upgrade von vManage auf Version 18.4 und 19.x
Führen Sie das Upgrade durch - vManage Standalone
Wenn die Größe der Boot-Festplatte weniger als 2,5 G beträgt, müssen Sie vManage auf Version 20.1 aktualisieren, bevor Sie fortfahren.
Wenn die Festplattengröße 2.5G oder höher ist, können Sie direkt auf 20.3.7.1 aktualisieren.
Upgrade durchführen - vManage-Cluster
Wenn die Größe der Festplatte weniger als 2.5G beträgt, müssen Sie vManage auf Version 20.1.3.1 aktualisieren, bevor Sie fortfahren.
Wenn die Festplattengröße 2.5G oder höher ist, können Sie direkt auf 20.3.7.1 aktualisieren.
Upgrade von vManage 20.1.x
Führen Sie das Upgrade durch - vManage Standalone oder Cluster
Upgrade von vSmart und vBond von 18.4, 19.x oder 20.1 auf 20.3.7.1
vSmarts und vBonds können direkt von allen Versionen auf 20.3.7.1 aktualisiert werden.
Upgrade vEdge von 18.4, 19.x oder 20.1 auf 20.3.7.1
vSmarts-, vBonds- und vEdge-Geräte können direkt von allen Versionen auf 20.3.7.1 aktualisiert werden.
Überlegungen nach dem Upgrade
Wenn Konfigurationsänderungen vorgenommen wurden, um Timer für normale Neustarts und IPSec-Rekey-Timer vor dem Upgrade zu erhöhen, wird empfohlen, die Konfigurationen auf die Einstellungen zurückzusetzen, die vor dem Upgrade vorgenommen wurden, um mögliche unnötige Auswirkungen zu vermeiden.
Sonderberatung
Kunden, die ihre Controller auf frühere Versionen als 20.3.7.1 aktualisiert haben und dabei sind, ihre vEdges zu aktualisieren, können sich an das TAC wenden, um Zugriff auf die entsprechenden vEdge-Images zu erhalten.
Hinweis zur Cisco Bug-ID CSCwd46600
In früheren Versionen dieses Dokuments wurde Kunden empfohlen, ein Upgrade auf mehrere Versionen von 20.3.x (20.3.3.2, 20.3.5.1, 20.3.4.3, 20.3.7.1) durchzuführen.
Cisco empfiehlt Kunden, die Image 20.3.x ausführen, ein Upgrade ihrer Controller und vEdges auf Image 20.3.7.1.
Geräte, auf denen Versionen 19.x und 20.3.x vor 20.3.7.1, 20.4 und 20.6x vor 20.6.5.1 ausgeführt werden, können nach dem Upgrade auf die Cisco Bug-ID CSCwd4600 stoßen. Führen Sie einen der folgenden Befehle aus, um dieses Problem vorübergehend zu beheben:
request security ipsec-rekey
Oder
request port-hop color
Es wird jedoch dringend empfohlen, dass die Kunden ihre Controller und vEdge-Geräte auf 20.3.7.1 oder 20.6.5.1 aktualisieren.
Kunden, die alle vEdge-Geräte auf eine Version 20.3.x vor 20.3.7.1, 20.3.4.3 oder eine Version 20.6.x vor 20.6.5.1 aktualisiert haben, können diese Version weiterhin verwenden, wenn der Fehler sie nicht beeinträchtigt hat. Es wird empfohlen, während eines geplanten Wartungsfensters zu einem späteren Zeitpunkt ein Upgrade auf 20.3.7.1 oder 20.6.5.1 durchzuführen.
Hinweise für den Release Train 20.6.x (überarbeitet am 15. Mai 2000 UTC)
In früheren Versionen dieses Dokuments wurde Kunden empfohlen, ein Upgrade auf mehrere Versionen von 20.6.x (20.6.3.2, 20.6.4.1, 20.6.5.2) durchzuführen.
Cisco empfiehlt Kunden, die Image 20.6.x ausführen und Tracker auf einer Schnittstelle konfiguriert haben, ihre Controller und vEdges auf Image 20.6.5.2 zu aktualisieren.
Bei Geräten mit konfiguriertem Tracker kann während des Upgrades die Cisco Bug-ID CSCvz44093 auftreten. Um die Auswirkungen dieses Fehlers zu vermeiden, können Sie die Tracker-Konfiguration vor dem Upgrade entfernen.
Es wird dringend empfohlen, dass Kunden ihre Controller und vEdge-Geräte auf 20.6.5.2 aktualisieren.
Kunden, die alle vEdge-Geräte basierend auf den vorherigen Hinweisen vollständig auf 20.6.3.2 und 20.6.4.1 aktualisiert haben, können wählen, ob sie diese Version beibehalten, wenn der Fehler sie nicht beeinträchtigt hat.