Inleiding
Dit document beschrijft hoe u een bestaande ISE-implementatie kunt upgraden van versie 2.7 naar 3.1 met behulp van de Full Upgrade-methode.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Identity Services Engine (ISE)
- Begrijpen van terminologie die wordt gebruikt om verschillende typen ISE-implementaties te beschrijven
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- ISE, release 2.7, pleister 4
- ISE, release 3.1
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Opmerking: de procedure is vergelijkbaar met of identiek aan andere ISE-versies. Deze stappen kunnen op 2.6 worden gebruikt om naar 3.1 en de ISE-softwarereleases te upgraden, tenzij anders vermeld.
Achtergrondinformatie
Dit omvat ook hoe de functie Gezondheidscontroles moet worden gebruikt om mogelijke implementatieproblemen te detecteren en te verhelpen. De legacy-methode van upgrade wordt nu aangeduid als Split Upgrade en is beschikbaar als een alternatieve optie als de Full Upgrade-methode niet de voorkeur heeft.
Ondersteunde paden
De volledige upgrade naar ISE 3.1 wordt ondersteund vanaf
- ISE 2.6-pleister 10 en hoger
- ISE 2.7-pleister 4 en hoger
- ISE 3.0 patch 3 en hoger
Split upgrade naar ISE 3.1 wordt ondersteund vanuit ISE 2.6 en latere versies, met of zonder patch.
Vergelijking van volledige upgrade met splitter-upgrade
Sequence van knooppunt-upgrade met splitter/upgrade-methode in een gedistribueerde implementatie
Vereist een minimum van 5 stappen voor een volledig gedistribueerde implementatie om te upgraden naar de nieuwere versie.
Rekening houdend met ongeveer 240 minuten voor elke stap, zou het totale verbeteringsproces hier 240*5 minuten = 20 uren vergen.
Sequence of Node Upgrade met volledige upgrade-methode in een gedistribueerde implementatie
Vereist slechts 2 stappen voor een volledig gedistribueerde implementatie om te upgraden naar de nieuwere versie.
Nogmaals, rekening houdend met ongeveer 240 minuten voor elke stap, wordt het totale upgradeproces nu gereduceerd tot 240*2 minuten = 8 uur.
Voordelen van volledige upgrade via splitter-upgrade
- De Full Upgrade-methode neemt minder tijd in beslag voor de totale activiteit omdat de knooppunten parallel worden opgewaardeerd, terwijl de Split Upgrade-methode goed met een langere duur van het onderhoudsvenster moet worden gepland.
- De Full Upgrade-methode is probleemloos in termen van upgrade-volgorde aangezien er slechts 2 stappen zijn. De methode voor upgrade naar splitsen vereist dat de knooppunten een geschikte volgorde hebben voordat het upgradeproces wordt gestart.
- De Full Upgrade-methode behoudt de rollen en persona's zoals deze vóór de upgrade waren. De methode voor upgrade van splitsen switch de primaire en secundaire beheerdersrollen in de opgewaardeerde versie.
- De punten van mislukkingen zijn verminderd in de Full Upgrade-methode door de API-afhankelijkheid met implementatiegerelateerde wijzigingen tijdens het upgradeproces te elimineren.
- Met de methode Full Upgrade kan de upgradestatus vanaf het secundaire beheerknooppunt worden bijgehouden wanneer het primaire beheerknooppunt voor een upgrade afneemt. Dit is niet mogelijk bij de methode voor splitter-upgrade.
- De patchinstallatie na de upgrade is automatisch en wordt als optie in de Full Upgrade-methode meegeleverd.
Waarschuwing: een volledige upgrade vereist een volledige downtime omdat alle PSN’s tegelijkertijd naar beneden gaan voor een upgrade. Zorg ervoor dat de activiteit is gepland tijdens een gepland onderhoudsvenster.
Volledige upgrade-stroom
Dit document toont de upgradestroom van een implementatie van vier knooppunten aan. Het algemene proces blijft hetzelfde voor implementaties met twee of meer knooppunten.
Upgradegebruikersinterface
Ga naar Beheer > Systeem > Upgrade om te beginnen met de activiteit zoals in de afbeelding.
Opmerking: alleen de Split Upgrade-methode wordt ondersteund op ISE 2.6 patch 9 en lager, ISE 2.7 patch 3 en lager, en ISE 3.0 patch 2 en lager. Standaard wordt het venster voor de upgrade van splitter gestart voor deze versies. Het Split Upgrade proces kan hier worden doorverwezen. Selecteer de radioknop Full Upgrade en klik op Start Upgrade.
Welkom Pagina
Klik op de welkomstpagina-wizard op Volgende om verder te gaan.
Checklist
Controleer de controlelijst en zorg ervoor dat u de taken voltooit voordat u verder gaat.
Vink het aanvinkvakje aan dat aangeeft dat ik de controlelijst heb bekeken en klik op Volgende.
Voorbereiden op upgrade
Vóór de upgrade wordt een voorcontrole uitgevoerd op de volledige implementatie en worden de resultaten op deze pagina weergegeven. Naast de controles, bij deze stap wordt de upgradebundel gedownload op alle knooppunten, offline data upgrade (ODU) wordt uitgevoerd op de secundaire admin knooppunt (dit is analoog aan de Upgrade Readiness Tool (URT) simulatie van de Split Upgrade methode) en ten slotte, het toont ook de tijdschatting voor de activiteit.
De upgrade-bundel moet worden gedownload van de pagina Cisco Software Download.
Om de pre-upgrade controle uit te voeren, selecteert u de naam van de Repository waarin de upgrade bundel is geplaatst. Selecteer de bestandsnaam van de upgradebundel in het vervolgkeuzevenster Bundel.
Opmerking: de Full Upgrade-methode introduceert ook automatische patchinstallatie na de upgrade. Het patchbestand moet samen met de upgradebundel in dezelfde repository geplaatst worden en de patchbestandsnaam kan uit de uitrollijst geselecteerd worden als automatische patchinstallatie gewenst is.
Klik op Voorbereiding starten om te beginnen met het uitvoeren van de voorcontroles. Alle voorcontroles, behalve de controle van de upgrade van de gegevens van de bundel en van de configuratie verlopen automatisch na 4 uren van het initiëren van de systeembevestiging. Configuration Data Upgrade, wat niets anders is dan de ODU, verloopt na 12 uur.
Opmerking: PAN-failoverinstelling uitschakelen voor upgrade-activiteit. Als dit niet handmatig gebeurt, wordt het automatisch uitgeschakeld zodra de upgrade wordt gestart.
Opmerking: ISE 3.0 en in de lijst staan het gebruik van slimme licenties verplicht. Traditionele licenties worden niet ondersteund. Als Smart Licensing niet is ingeschakeld of geregistreerd vóór de upgrade, wordt ISE standaard na de upgrade op de evaluatie van Smart Licensing gezet. Naslaglink voor licentiemigratie: producten - ISE-migratiegids voor licenties - Cisco. Wanneer u ISE van 2. x naar 3.x upgradet, zijn er wijzigingen in de licentielaag nodig.
Waarschuwing: alle soorten configuratiewijzigingen op ISE moeten worden vermeden zodra de Configuration Data Upgrade wordt geactiveerd. Eventuele wijzigingen zouden verloren gaan na de upgrade.
Als een van de vooraf ingestelde controles voor de componenten mislukt, worden deze op basis van hun belangrijkheid weergegeven in rood of oranje. De tekortkomingen die in rood zijn gemarkeerd, moeten verplicht worden rechtgezet voordat we verder gaan. De waarschuwingen die in oranje worden gemarkeerd, kunnen het upgradeproces niet stoppen. Het is echter goed om ze te repareren als best practice en te voorkomen dat de implementatiefuncties en functionaliteiten in de toekomst worden beïnvloed.
Klik op Start Staging om verder te gaan als de fouten zijn gecorrigeerd.
Upgradefasering
Tijdens de upgrade wordt het opgewaardeerde databasebestand gekopieerd naar alle knooppunten in de implementatie en worden de configuratiebestanden op alle knooppunten van de implementatie opgeslagen.
Het dump bestand is al aanwezig op de Secundaire admin-knooppunt als onderdeel van de ODU. In deze stap maakt de secundaire beheerknooppunt alleen back-upbestanden voor CA NSS DB, Smart Licensing en DHCP/DNS-configuratie. Alle andere knooppunten maken ook deze bestanden, maar moeten ook het dump-bestand van de secundaire beheerknooppunt kopiëren.
Klik op Volgende wanneer de fasering voor alle knooppunten is voltooid.
Upgradeknooppunten
Klik op Start om de upgrade te starten.
Een pop-upbericht bevestigt dat de upgrade wordt geactiveerd en dat alle knooppunten worden weergegeven in een wachtrij met de upgradestatus. Aangezien de upgrade eerst wordt gestart op de primaire admin-knooppunt, logt het systeem uit van deze knooppunt en kan nu de upgradestatus worden bewaakt vanuit de GUI van de secundaire admin-knooppunt. Navigeer naar Beheer > Systeem > Upgrade op de GUI van de secundaire beheerknooppunt om de status te blijven bekijken.
Zodra de primaire admin-knooppunt wordt geüpgraded en de services verschijnen, logt het systeem uit van de GUI van de secundaire admin-knooppunt. Gebruikers kunnen nu switches terug naar het bewaken van de status vanuit de GUI van het hoofdbeheerknooppunt, terwijl alle andere knooppunten van de implementatie tegelijkertijd naar beneden gaan voor de upgrade.
Zodra alle knooppunten met succes worden opgewaardeerd, verandert de status in groene kleur.
Als er knooppunten zijn waar fouten zijn opgetreden, verschijnt een pop-upvenster met informatie over de mislukte knooppunt. Klik op OK in het pop-upvenster om de registratie van de mislukte knooppunten uit de implementatie te verwijderen. Deze moeten afzonderlijk worden bijgewerkt/opnieuw worden bekeken en worden toegevoegd aan de eventuele implementatie.
Klik op Volgende om de overzichtsrapporten van de upgrade te bekijken.
Samenvatting
Nadat het upgradeproces is voltooid, kunnen de diagnostische upgraderapporten voor de implementatie worden bekeken en van deze pagina worden gedownload.
Gezondheidscontroles
Om de implementatiestatus na de upgrade te valideren, wordt automatisch een gezondheidscontrole uitgevoerd om de status van de implementatie te verifiëren. Dit rapport kan worden gedownload van de Overzichtspagina van de upgrade. Als een gezondheidscontrole op verzoek op een bepaald moment vereist is, navigeer dan naar Beheer > Systeem > Gezondheidscontroles en klik op Gezondheidscontroles starten.
Upgradetaken achteraf
Wanneer een gebruiker zich aanmeldt bij de GUI van de primaire beheerknooppunt nadat u de upgrade hebt voltooid, wordt er een pop-upbericht weergegeven met betrekking tot taken die na de upgrade moeten worden uitgevoerd.
Klik op de hyperlink taken na de upgrade in het pop-upbericht om de taakdetails te bekijken en te voltooien.
Problemen en oplossingen
- Als de upgrade van de primaire admin-knooppunten mislukt, promoot u de secundaire admin naar de primaire admin en probeer u de upgrade opnieuw.
- Als de upgrade mislukt op een ander knooppunt dan de primaire beheerder, zou het knooppunt van de implementatie moeten worden uitgeschreven. Dit knooppunt moet individueel worden geüpgraded of direct worden geimaged naar de geüpgradeversie en kan worden aangesloten op de implementatie.