使用完整升級方法升級ISE

簡介

本文檔介紹如何使用完全升級方法將現有ISE部署從版本2.7升級到3.1。 

必要條件

需求

 

思科建議您瞭解以下主題： 

• 身分識別服務引擎 (ISE) 
• 瞭解用於描述不同型別ISE部署的術語 

  

採用元件 

 

本文中的資訊係根據以下軟體和硬體版本： 

• ISE版本2.7，修補4
• ISE版本3.1

 

本文中的資訊是根據特定實驗室環境內的裝置所建立。 文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

注意：該過程與其他ISE版本類似或相同。這些步驟可在2.6上用於升級到3.1和ISE軟體版本，除非另有說明。

背景資訊

還包括如何使用運行狀況檢查功能檢測和修復任何潛在的部署問題。傳統升級方法現在稱為「分割升級」，如果不偏好使用「完整升級」方法，則此升級方法可作為替代選項使用。

支援的路徑

支援從ISE 3.1全面升級

• ISE 2.6修補10及更高版本
• ISE 2.7修補4及更高版本
• ISE 3.0修補3及更高版本

從ISE 2.6及更高版本支援拆分升級到ISE 3.1，帶或不帶任何修補程式。

 

完全升級與拆分升級方法的比較

分散式部署中的節點升級序列（使用拆分升級方法）

完全分散式部署至少需要5個步驟才能升級到新版本。

考慮到每個步驟大約需要240分鐘，這裡的總升級過程將需要240*5分鐘= 20小時。

分散式部署中帶有完整升級方法的節點升級序列

完全分散式部署只需兩個步驟即可升級到新版本。

同樣，考慮到每個步驟大約需要240分鐘，現在整個升級過程減少到240*2分鐘= 8小時。

完全升級相對於拆分升級方法的優勢

• 「完整升級」方法會使用較短的時間來進行整體活動，因為節點是平行升級的，而「分割升級」方法則需要在較長的維護時段內進行良好的規劃。
• 完全升級方法升級順序非常簡單，因為僅需兩個步驟。「分割升級」方法需要在開始升級程式之前對節點進行適當的排序。
• 「完整升級」方法會保留升級前的角色和角色。Split Upgrade方法會切換升級版本中的主要和次要管理員角色。
• 透過消除升級過程中與部署相關的更改的API依賴性，完全升級方法減少了故障點。
• Full Upgrade方法允許在主要管理節點停止升級時，從次要管理節點追蹤升級狀態。在Split Upgrade方法中無法執行此操作。
• 升級後修補程式安裝是自動執行的，並且是完整升級方法中提供的選項。

注意：完全升級需要完全停機，因為所有PSN會同時停止升級。確保在計畫維護時段內計畫活動。

完整升級流程

本文檔演示了4節點部署的升級流程。對於雙節點或其他多節點部署，整體流程保持不變。

升級UI

導航到管理>系統>升級以開始如圖所示的活動。

注意：在ISE 2.6修補9及更低版本、ISE 2.7修補3及更低版本以及ISE 3.0修補2及更低版本上，僅支援分割升級方法。依預設，會針對這些版本啟動「分割升級」視窗。可以從此處參閱分割升級過程。選擇Full Upgrade單選按鈕，然後按一下Start Upgrade。

歡迎頁面

在歡迎頁嚮導上，按一下下一步以繼續操作。

檢查清單

檢查核對表，確保完成任務後再繼續。

勾選表示我審閱了核對表的覈取方塊，然後按一下下一步。

準備升級

升級前會對整個部署執行預先檢查，結果會顯示在此頁面上。除了檢查之外，在此步驟中，升級捆綁包下載到所有節點上，離線資料升級(ODU)在輔助管理節點上運行(這類似於升級準備工具(URT)模擬拆分升級方法)，最後還顯示活動的估計時間。

升級捆綁包將從Cisco軟體下載頁下載。

要運行升級前檢查，請選擇放置升級捆綁的儲存庫名稱。從「捆綁包」下拉框中選擇升級捆綁包檔名。

注意：「完全升級」方法還會在升級後引入自動修補程式安裝。修補程式檔案會與升級套件一起放在同一個儲存庫中，如果需要自動安裝修補程式，您可以從下拉式清單中選取修補程式檔案名稱。

按一下Start Preparation以開始運行預檢查。所有預檢查（捆綁包下載和配置資料升級檢查除外）都將在啟動系統驗證4小時後自動過期。配置資料升級（僅適用於ODU）將在12小時後過期。

注意：在升級活動之前停用PAN故障切換設定。若未手動完成，系統會在觸發升級後自動停用該功能。

注意：ISE 3.0和列出的要求使用智慧許可。它不支援傳統許可。如果在升級前未啟用或註冊智慧許可，ISE在升級後預設進入智慧許可評估期。許可證遷移參考連結：產品- ISE許可遷移指南-思科。 當您將ISE從2. x升級到3.x時，它涉及許可層更改。

注意：一旦觸發配置資料升級，應避免ISE上的所有型別的配置更改。升級後所做的任何更改都將丟失。

如果任何元件預先檢查失敗，則會根據其重要性以紅色或橙色顯示。以紅色標示的故障需要強制糾正，然後才能繼續。以橙色突出顯示的警告無法停止升級過程，但是，最好按照最佳實踐修復這些警告，避免影響將來的部署特性和功能。

更正錯誤後，請按一下「開始暫存」以繼續操作。

升級暫存

在升級暫存期間，升級的資料庫檔案會複製到部署中的所有節點，並在部署的所有節點上備份組態檔。

轉儲檔案已作為ODU的一部分存在於輔助管理節點上。因此，在此步驟中，輔助管理節點僅建立CA NSS DB、智慧許可和DHCP/DNS配置的備份檔案。所有其他節點也會建立這些檔案，但需要從次要管理節點另外複製傾印檔案。

當所有節點的轉移完成時，按一下Next。

升級節點

按一下Start以觸發升級。

快顯訊息會確認升級已觸發，而且所有節點都會顯示在具有升級狀態的佇列中。由於升級首先在主要管理節點上啟動，因此系統從此節點註銷，現在可以從次要管理節點的GUI監視升級狀態。在輔助管理節點的GUI上導航到Administration > System > Upgrade，以繼續檢視狀態。

升級主要管理節點並啟動服務後，系統會從次要管理節點的GUI中登出。現在，使用者可以從主管理節點的GUI切換回監控狀態，同時部署的所有其他節點同時停止升級。

成功升級所有節點後，狀態會變更為綠色。

如果有任何失敗的節點，會顯示一個包含有關失敗節點的資訊的快顯視窗。在彈出窗口中按一下OK以從部署中取消註冊故障節點。這些映像必須單獨升級/重新映像，並連線回部署（如果有）。

按一下Next以檢視總體升級摘要報告。

摘要