簡介
本文檔介紹如何使用完全升級方法將現有ISE部署從版本2.7升級到3.1。
必要條件
需求
思科建議您瞭解以下主題:
- 身分識別服務引擎 (ISE)
- 瞭解用於描述不同型別ISE部署的術語
採用元件
本文中的資訊係根據以下軟體和硬體版本:
本文中的資訊是根據特定實驗室環境內的裝置所建立。 文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
注意:該過程與其他ISE版本類似或相同。這些步驟可在2.6上用於升級到3.1和ISE軟體版本,除非另有說明。
背景資訊
還包括如何使用運行狀況檢查功能檢測和修復任何潛在的部署問題。傳統升級方法現在稱為「分割升級」,如果不偏好使用「完整升級」方法,則此升級方法可作為替代選項使用。
支援的路徑
支援從ISE 3.1全面升級
- ISE 2.6修補10及更高版本
- ISE 2.7修補4及更高版本
- ISE 3.0修補3及更高版本
從ISE 2.6及更高版本支援拆分升級到ISE 3.1,帶或不帶任何修補程式。
完全升級與拆分升級方法的比較
分散式部署中的節點升級序列(使用拆分升級方法)
完全分散式部署至少需要5個步驟才能升級到新版本。
考慮到每個步驟大約需要240分鐘,這裡的總升級過程將需要240*5分鐘= 20小時。
分散式部署中帶有完整升級方法的節點升級序列
完全分散式部署只需兩個步驟即可升級到新版本。
同樣,考慮到每個步驟大約需要240分鐘,現在整個升級過程減少到240*2分鐘= 8小時。
完全升級相對於拆分升級方法的優勢
- 「完整升級」方法會使用較短的時間來進行整體活動,因為節點是平行升級的,而「分割升級」方法則需要在較長的維護時段內進行良好的規劃。
- 完全升級方法升級順序非常簡單,因為僅需兩個步驟。「分割升級」方法需要在開始升級程式之前對節點進行適當的排序。
- 「完整升級」方法會保留升級前的角色和角色。Split Upgrade方法會切換升級版本中的主要和次要管理員角色。
- 透過消除升級過程中與部署相關的更改的API依賴性,完全升級方法減少了故障點。
- Full Upgrade方法允許在主要管理節點停止升級時,從次要管理節點追蹤升級狀態。在Split Upgrade方法中無法執行此操作。
- 升級後修補程式安裝是自動執行的,並且是完整升級方法中提供的選項。
注意:完全升級需要完全停機,因為所有PSN會同時停止升級。確保在計畫維護時段內計畫活動。
完整升級流程
本文檔演示了4節點部署的升級流程。對於雙節點或其他多節點部署,整體流程保持不變。
升級UI
導航到管理>系統>升級以開始如圖所示的活動。
注意:在ISE 2.6修補9及更低版本、ISE 2.7修補3及更低版本以及ISE 3.0修補2及更低版本上,僅支援分割升級方法。依預設,會針對這些版本啟動「分割升級」視窗。可以從此處參閱分割升級過程。選擇Full Upgrade單選按鈕,然後按一下Start Upgrade。
歡迎頁面
在歡迎頁嚮導上,按一下下一步以繼續操作。
檢查清單
檢查核對表,確保完成任務後再繼續。
勾選表示我審閱了核對表的覈取方塊,然後按一下下一步。
準備升級
升級前會對整個部署執行預先檢查,結果會顯示在此頁面上。除了檢查之外,在此步驟中,升級捆綁包下載到所有節點上,離線資料升級(ODU)在輔助管理節點上運行(這類似於升級準備工具(URT)模擬拆分升級方法),最後還顯示活動的估計時間。
升級捆綁包將從Cisco軟體下載頁下載。
要運行升級前檢查,請選擇放置升級捆綁的儲存庫名稱。從「捆綁包」下拉框中選擇升級捆綁包檔名。
注意:「完全升級」方法還會在升級後引入自動修補程式安裝。修補程式檔案會與升級套件一起放在同一個儲存庫中,如果需要自動安裝修補程式,您可以從下拉式清單中選取修補程式檔案名稱。
按一下Start Preparation以開始運行預檢查。所有預檢查(捆綁包下載和配置資料升級檢查除外)都將在啟動系統驗證4小時後自動過期。配置資料升級(僅適用於ODU)將在12小時後過期。
注意:在升級活動之前停用PAN故障切換設定。若未手動完成,系統會在觸發升級後自動停用該功能。
注意:ISE 3.0和列出的要求使用智慧許可。它不支援傳統許可。如果在升級前未啟用或註冊智慧許可,ISE在升級後預設進入智慧許可評估期。許可證遷移參考連結:產品- ISE許可遷移指南-思科。 當您將ISE從2. x升級到3.x時,它涉及許可層更改。
注意:一旦觸發配置資料升級,應避免ISE上的所有型別的配置更改。升級後所做的任何更改都將丟失。
如果任何元件預先檢查失敗,則會根據其重要性以紅色或橙色顯示。以紅色標示的故障需要強制糾正,然後才能繼續。以橙色突出顯示的警告無法停止升級過程,但是,最好按照最佳實踐修復這些警告,避免影響將來的部署特性和功能。
更正錯誤後,請按一下「開始暫存」以繼續操作。
升級暫存
在升級暫存期間,升級的資料庫檔案會複製到部署中的所有節點,並在部署的所有節點上備份組態檔。
轉儲檔案已作為ODU的一部分存在於輔助管理節點上。因此,在此步驟中,輔助管理節點僅建立CA NSS DB、智慧許可和DHCP/DNS配置的備份檔案。所有其他節點也會建立這些檔案,但需要從次要管理節點另外複製傾印檔案。
當所有節點的轉移完成時,按一下Next。
升級節點
按一下Start以觸發升級。
快顯訊息會確認升級已觸發,而且所有節點都會顯示在具有升級狀態的佇列中。由於升級首先在主要管理節點上啟動,因此系統從此節點註銷,現在可以從次要管理節點的GUI監視升級狀態。在輔助管理節點的GUI上導航到Administration > System > Upgrade,以繼續檢視狀態。
升級主要管理節點並啟動服務後,系統會從次要管理節點的GUI中登出。現在,使用者可以從主管理節點的GUI切換回監控狀態,同時部署的所有其他節點同時停止升級。
成功升級所有節點後,狀態會變更為綠色。
如果有任何失敗的節點,會顯示一個包含有關失敗節點的資訊的快顯視窗。在彈出窗口中按一下OK以從部署中取消註冊故障節點。這些映像必須單獨升級/重新映像,並連線回部署(如果有)。
按一下Next以檢視總體升級摘要報告。
摘要
升級程式完成後,即可從此頁面檢視及下載建置的診斷升級報告。
狀況檢查
為了在升級後驗證部署狀態,將自動運行運行狀況檢查以驗證部署狀態。可以從升級流程的「摘要」頁面下載此報告。如果需要在任何時間點進行按需運行狀況檢查,請導航到管理>系統>運行狀況檢查,然後按一下啟動運行狀況檢查。
升級後任務
使用者在您完成升級後登入到主管理節點的GUI時,會顯示有關升級後任務的彈出消息。
點選彈出消息中的升級後任務超連結,檢視任務詳細資訊並完成任務。
問題和補救措施
- 如果主要管理節點升級失敗,請將次要管理節點升級為主要管理節點,然後重新嘗試升級。
- 如果升級在除主admin以外的任何其他節點上失敗,則必須從部署中註銷該節點。此節點必須個別升級或直接重新映像至升級的版本,並可重新加入至部署。