Einleitung
In diesem Dokument wird beschrieben, wie eine vorhandene ISE-Bereitstellung von Version 2.7 auf 3.1 mithilfe der Methode für ein vollständiges Upgrade aktualisiert wird.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- Identity Services Engine (ISE)
- Verstehen der Terminologie, die zur Beschreibung verschiedener Arten von ISE-Bereitstellungen verwendet wird
Verwendete Komponenten
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
- ISE Version 2.7, Patch 4
- ISE, Version 3.1
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Hinweis: Das Verfahren ähnelt oder ist mit anderen ISE-Versionen identisch. Mit diesen Schritten können Sie für 2.6 ein Upgrade auf 3.1 und die ISE-Softwareversionen durchführen, sofern nichts anderes angegeben ist.
Hintergrundinformationen
Außerdem wird erläutert, wie Sie mithilfe der Integritätsprüfungsfunktion potenzielle Bereitstellungsprobleme erkennen und beheben. Die bisherige Upgrade-Methode wird jetzt als Split Upgrade bezeichnet und ist als alternative Option verfügbar, wenn die vollständige Upgrade-Methode nicht bevorzugt wird.
Unterstützte Pfade
Ein vollständiges Upgrade auf ISE 3.1 wird unterstützt von
- ISE 2.6 Patch 10 und höher
- ISE 2.7 Patch 4 und höher
- ISE 3.0 Patch 3 und höher
Split-Upgrade auf ISE 3.1 wird von ISE 2.6 und höheren Versionen mit oder ohne Patch unterstützt.
Vergleich des vollständigen Upgrades mit der Split-Upgrade-Methode
Reihenfolge der Knotenaktualisierung mit Split-Upgrade-Methode in einer verteilten Bereitstellung
Erfordert mindestens 5 Schritte für eine vollständig verteilte Bereitstellung, um ein Upgrade auf die neuere Version durchzuführen.
Bei Berücksichtigung von ca. 240 Minuten pro Schritt würde der gesamte Upgrade-Prozess hier 240*5 Minuten = 20 Stunden dauern.
Reihenfolge der Knotenaktualisierung mit vollständiger Aktualisierungsmethode in einer verteilten Bereitstellung
Erfordert nur zwei Schritte für eine vollständig verteilte Bereitstellung, um ein Upgrade auf die neuere Version durchzuführen.
Auch hier wird bei Berücksichtigung von ca. 240 Minuten pro Schritt der gesamte Upgrade-Prozess auf 240*2 Minuten = 8 Stunden reduziert.
Vorteile eines vollständigen Upgrades im Vergleich zu einem Split-Upgrade
- Die Methode "Vollständiges Upgrade" benötigt weniger Zeit für die Gesamtaktivität, da die Knoten parallel aktualisiert werden, während die Methode "Aufteilen" gut geplant werden muss, wobei das Wartungsfenster länger sein muss.
- Die vollständige Upgrade-Methode ist in Bezug auf die Upgrade-Reihenfolge problemlos, da nur zwei Schritte erforderlich sind. Bei der Split-Upgrade-Methode müssen die Knoten entsprechend sequenziert werden, bevor der Upgrade-Prozess gestartet wird.
- Bei der Methode "Vollständiges Upgrade" bleiben die Rollen und Personen wie vor dem Upgrade erhalten. Die Split-Upgrade-Methode schaltet die primäre und sekundäre Admin-Rolle in der aktualisierten Version um.
- Die Fehlerpunkte wurden bei der Methode für ein vollständiges Upgrade reduziert, indem die API-Abhängigkeit durch bereitstellungsbezogene Änderungen während des Upgrade-Prozesses beseitigt wurde.
- Die Methode "Vollständiges Upgrade" ermöglicht die Verfolgung des Upgrade-Status vom sekundären Admin-Knoten aus, wenn der primäre Admin-Knoten für ein Upgrade ausfällt. Dies ist bei der Split-Upgrade-Methode nicht möglich.
- Die Patch-Installation nach dem Upgrade ist automatisiert und wird als Option in der Full Upgrade-Methode bereitgestellt.
Vorsicht: Für ein vollständiges Upgrade ist eine vollständige Ausfallzeit erforderlich, da alle PSNs gleichzeitig für das Upgrade ausfallen. Stellen Sie sicher, dass die Aktivität während eines geplanten Wartungsfensters geplant wird.
Vollständiger Upgrade-Fluss
In diesem Dokument wird der Upgrade-Fluss einer Bereitstellung mit vier Knoten veranschaulicht. Der gesamte Prozess bleibt für Bereitstellungen mit zwei oder mehreren Knoten derselbe.
Benutzeroberfläche aktualisieren
Navigieren Sie zu Administration > System > Upgrade, um die Aktivität wie im Bild dargestellt zu starten.
Hinweis: Nur die Split-Upgrade-Methode wird für ISE 2.6 Patch 9 und höher, ISE 2.7 Patch 3 und höher und ISE 3.0 Patch 2 und höher unterstützt. Standardmäßig wird das Fenster "Split Upgrade" für diese Versionen geöffnet. Auf den Split-Upgrade-Prozess kann hier verwiesen werden. Wählen Sie das Optionsfeld Vollständige Aktualisierung, und klicken Sie auf Aktualisierung starten.
Willkommensseite
Klicken Sie im Assistenten für die Willkommensseite auf Weiter, um fortzufahren.
Checkliste
Überprüfen Sie die Checkliste, und stellen Sie sicher, dass die Aufgaben abgeschlossen sind, bevor Sie fortfahren.
Aktivieren Sie das Kontrollkästchen Ich habe die Checkliste gelesen, und klicken Sie auf Weiter.
Upgrade vorbereiten
Vor der Aktualisierung wird eine Vorabprüfung für die vollständige Bereitstellung durchgeführt, und die Ergebnisse werden auf dieser Seite angezeigt. Neben den Überprüfungen wird in diesem Schritt das Upgrade-Paket auf alle Knoten heruntergeladen, das Offline-Daten-Upgrade (ODU) wird auf dem sekundären Admin-Knoten ausgeführt (dies entspricht der URT-Simulation (Upgrade Readiness Tool) der Split-Upgrade-Methode) und schließlich wird auch die geschätzte Zeit für die Aktivität angezeigt.
Das Upgrade-Paket kann von der Cisco Software-Download-Seite heruntergeladen werden.
Um die Prüfung vor dem Upgrade durchzuführen, wählen Sie den Repository-Namen aus, unter dem das Upgrade-Paket platziert wird. Wählen Sie im Dropdown-Feld "Paket" den Namen der Upgrade-Paketdatei aus.
Hinweis: Die Methode des vollständigen Upgrades führt auch die automatische Patch-Installation nach dem Upgrade ein. Die Patch-Datei wird zusammen mit dem Upgrade-Paket in demselben Repository abgelegt, und der Name der Patch-Datei kann aus dem Dropdown-Menü ausgewählt werden, wenn eine automatische Patch-Installation gewünscht wird.
Klicken Sie auf Vorbereitung starten, um die Vorprüfungen zu starten. Alle Vorabprüfungen mit Ausnahme der Prüfung für Paketdownload und Konfigurationsdaten-Upgrade laufen nach 4 Stunden Systemvalidierung automatisch ab. Das Konfigurationsdaten-Upgrade, bei dem es sich lediglich um die ODU handelt, läuft nach 12 Stunden ab.
Hinweis: Deaktivieren Sie die PAN-Failover-Einstellung vor dem Upgrade. Wird die Aktualisierung nicht manuell durchgeführt, wird sie automatisch deaktiviert, sobald die Aktualisierung ausgelöst wird.
Hinweis: ISE 3.0 und die aufgeführten Geräte erfordern Smart Licensing. Traditionelle Lizenzierung wird nicht unterstützt. Falls Smart Licensing vor dem Upgrade nicht aktiviert oder registriert wurde, läuft die ISE standardmäßig nach dem Upgrade in der Testperiode für Smart Licensing. Referenzlink zur Lizenzmigration: Products - ISE Licensing Migration Guide - Cisco. Wenn Sie ein Upgrade der ISE von 2.x auf 3.x durchführen, bedeutet dies Änderungen der Lizenzstufe.
Vorsicht: Alle Konfigurationsänderungen auf der ISE sind zu vermeiden, sobald das Konfigurationsdaten-Upgrade ausgelöst wird. Alle vorgenommenen Änderungen gehen nach dem Upgrade verloren.
Wenn eine der Komponentenvorprüfungen fehlschlägt, werden sie in roter oder orangefarbener Farbe angezeigt, je nach ihrer Wichtigkeit. Die rot hervorgehobenen Mängel müssen beseitigt werden, bevor weitere Schritte unternommen werden können. Die orangefarbenen Warnhinweise können den Upgrade-Prozess nicht stoppen. Es empfiehlt sich jedoch, diese als Best Practice zu beheben und künftige Auswirkungen auf die Bereitstellungsfunktionen und -funktionen zu vermeiden.
Wenn Sie die Fehler behoben haben, klicken Sie auf Start Staging, um fortzufahren.
Upgrade-Staging
Beim Upgrade-Staging wird die aktualisierte Datenbankdatei auf alle Knoten in der Bereitstellung kopiert, und die Konfigurationsdateien werden auf allen Knoten der Bereitstellung gesichert.
Die Dump-Datei ist bereits als Teil der ODU auf dem sekundären Admin-Knoten vorhanden. In diesem Schritt erstellt der sekundäre Admin-Knoten daher nur Sicherungsdateien für die CA NSS DB, Smart Licensing und die DHCP/DNS-Konfiguration. Alle anderen Knoten erstellen diese Dateien, müssen jedoch zusätzlich die Dump-Datei vom sekundären Admin-Knoten kopieren.
Klicken Sie auf Weiter, wenn die Bereitstellung für alle Knoten abgeschlossen ist.
Upgrade-Knoten
Klicken Sie auf Start, um die Aktualisierung zu starten.
Eine Popup-Meldung bestätigt, dass das Upgrade ausgelöst wird und alle Knoten in einer Warteschlange mit dem Upgrade-Status angezeigt werden. Da das Upgrade zuerst auf dem primären Admin-Knoten initiiert wird, meldet sich das System von diesem Knoten ab, und der Upgrade-Status kann jetzt über die grafische Benutzeroberfläche des sekundären Admin-Knotens überwacht werden. Navigieren Sie auf der Benutzeroberfläche des sekundären Admin-Knotens zu Administration > System > Upgrade, um den Status anzuzeigen.
Sobald der primäre Admin-Knoten aktualisiert und die Dienste aktiviert werden, meldet sich das System über die grafische Benutzeroberfläche des sekundären Admin-Knotens ab. Die Benutzer können nun über die Benutzeroberfläche des primären Admin-Knotens wieder auf die Statusüberwachung umschalten, während alle anderen Knoten der Bereitstellung gleichzeitig für die Aktualisierung deaktiviert werden.
Sobald alle Knoten erfolgreich aktualisiert wurden, ändert sich der Status in die grüne Farbe.
Wenn Knoten ausgefallen sind, wird ein Popup-Fenster mit Informationen zum ausgefallenen Knoten angezeigt. Klicken Sie im Popup-Fenster auf OK, um die Registrierung der ausgefallenen Knoten aus der Bereitstellung zu entfernen. Diese müssen einzeln aktualisiert/neu abgebildet und gegebenenfalls wieder in die Bereitstellung integriert werden.
Klicken Sie auf Weiter, um die allgemeinen Berichte zur Aktualisierung anzuzeigen.
Zusammenfassung
Nachdem der Upgrade-Prozess abgeschlossen ist, können die Berichte zur Diagnose-Aktualisierung für die Bereitstellung auf dieser Seite angezeigt und heruntergeladen werden.
Integritätsprüfungen
Um den Bereitstellungsstatus nach dem Upgrade zu überprüfen, wird automatisch eine Integritätsprüfung durchgeführt, um den Status der Bereitstellung zu überprüfen. Dieser Bericht kann von der Seite "Zusammenfassung" des Upgrade-Flusses heruntergeladen werden. Wenn zu einem beliebigen Zeitpunkt eine On-Demand-Integritätsprüfung erforderlich ist, navigieren Sie zu Administration > System > Health Checks, und klicken Sie auf Health Checks starten.
Aufgaben nach dem Upgrade
Wenn sich ein Benutzer nach Abschluss des Upgrades bei der Benutzeroberfläche des primären Admin-Knotens anmeldet, wird eine Popup-Meldung zu Aufgaben angezeigt, die nach dem Upgrade ausgeführt werden müssen.
Klicken Sie in der Popup-Meldung auf den Hyperlink für Aufgaben nach der Aktualisierung, um die Aufgabendetails zu überprüfen und abzuschließen.
Probleme und Abhilfemaßnahmen
- Wenn das Upgrade des primären Admin-Knotens fehlschlägt, stufen Sie den sekundären Admin zum primären Admin hoch, und wiederholen Sie dann den Vorgang.
- Wenn das Upgrade auf einem anderen Knoten mit Ausnahme des primären Administrators fehlschlägt, muss der Knoten von der Bereitstellung abgemeldet werden. Dieser Knoten muss einzeln aktualisiert werden, oder es muss ein direktes Image auf die aktualisierte Version erstellt werden, und er kann der Bereitstellung erneut hinzugefügt werden.