使用完全升级方法升级ISE

简介

本文档介绍如何使用完全升级方法将现有ISE部署从版本2.7升级到3.1。 

先决条件

要求

 

Cisco 建议您了解以下主题： 

• 身份服务引擎 (ISE) 
• 了解用于描述不同类型ISE部署的术语 

  

使用的组件 

 

本文档中的信息基于以下软件和硬件版本： 

• ISE版本2.7，补丁4
• ISE版本3.1

 

本文档中的信息都是基于特定实验室环境中的设备编写的。 本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

注意：此过程与其他ISE版本相似或相同。这些步骤可在2.6上用于升级到3.1和ISE软件版本，除非另有说明。

背景信息

还包括如何使用运行状况检查功能检测和修复任何潜在的部署问题。传统升级方法现在称为剥离升级，如果并非首选完全升级方法，则可作为替代选项使用。

支持的路径

支持从Cisco UCS Director完全升级到ISE 3.1

• ISE 2.6补丁10及更高版本
• ISE 2.7补丁4及更高版本
• ISE 3.0补丁3及更高版本

从ISE 2.6及更高版本支持拆分升级到ISE 3.1，带或不带任何补丁。

 

完全升级与分割升级方法的比较

分布式部署中采用分割升级方法的节点升级顺序

完全分布式部署至少需要5个步骤才能升级到新版本。

考虑到每个步骤大约需要240分钟，因此这里的总升级过程将需要240*5分钟= 20小时。

分布式部署中的节点升级序列及完全升级方法

完全分布式部署只需两个步骤即可升级到新版本。

同样，考虑到每个步骤大约需要240分钟，整个升级过程现在减少到240*2分钟= 8小时。

完全升级相对于拆分升级方法的优势

• 完全升级方法会减少整个活动所花费的时间，因为节点是并行升级的，而拆分升级方法则需要在较长的维护窗口期限内进行良好的规划。
• 从升级顺序来看，完全升级方法非常简单，因为只需2个步骤。Split Upgrade方法要求在开始升级过程之前对节点进行适当的排序。
• 完全升级方法保留升级前的角色和角色。Split Upgrade方法会切换升级版本中的主要和辅助管理员角色。
• 在完全升级方法中，通过消除升级过程中与部署相关的更改对API的依赖，减少了故障点。
• Full Upgrade方法允许在主要管理节点关闭进行升级时，从辅助管理节点跟踪升级状态。在Split Upgrade方法中，这是不可能的。
• 升级后补丁安装是自动进行的，并且是作为完全升级方法的一个选项提供的。

注意：完全升级需要完全停机时间，因为所有PSN同时关闭进行升级。确保在计划的维护时段内计划活动。

完整升级流程

本文档演示4节点部署的升级流程。对于双节点部署或其他多节点部署，整个流程保持不变。

升级UI

导航到Administration > System > Upgrade以开始如图所示的活动。

注:ISE 2.6补丁9及以下、ISE 2.7补丁3及以下和ISE 3.0补丁2及以下版本仅支持拆分升级方法。默认情况下，会为这些版本启动Split Upgrade窗口。此处可参阅Split Upgrade。选择Full Upgrade单选按钮，然后单击Start Upgrade。

欢迎页面

在欢迎页面向导上，单击下一步以继续操作。

核对清单

检查核对表并确保在继续之前完成任务。

勾选表明我已审核检查表的复选框，然后单击“下一步”。

准备升级

升级前将对整个部署运行预检查，结果将显示在此页面上。除了检查外，在此步骤中，升级捆绑包在所有节点上下载，离线数据升级(ODU)在辅助管理节点上运行(这类似于分割升级方法的升级准备工具(URT)模拟)，最后，它还显示活动的估计时间。

升级捆绑包将从Cisco Software Download页下载。

要运行升级前检查，请选择放置升级捆绑包的存储库名称。从Bundle下拉框中选择升级捆绑包文件名。

注意：完全升级方法还引入了升级后自动补丁安装。修补程序文件将与升级捆绑包一起置于同一存储库中，如果需要自动安装修补程序，可从下拉列表中选择修补程序文件名。

单击Start Preparation以开始运行预检查。所有预检查（捆绑包下载和配置数据升级检查除外）在启动系统验证4小时后自动到期。配置数据升级（仅适用于ODU）将在12小时后过期。

注意：在升级活动之前禁用PAN故障切换设置。如果未手动完成，在触发升级后会自动禁用该功能。

注意：ISE 3.0和列出的要求使用智能许可。它不支持传统许可。如果在升级前未启用或注册智能许可，默认情况下，升级后ISE会进入智能许可评估期。许可证迁移参考链接：产品 — ISE许可迁移指南 — 思科 当您将ISE从2. x升级到3.x时，它涉及许可层更改。

注意：一旦触发配置数据升级，应避免ISE上的所有类型的配置更改。升级后所做的任何更改都将丢失。

如果任何组件预检查失败，则根据关键程度以红色或橙色显示。在继续之前，需要强制纠正以红色突出显示的故障。以橙色突出显示的警告无法停止升级过程，但是，最好将它们作为最佳实践进行修复，以免影响未来的部署特性和功能。

纠正错误后，点击Start Staging以继续操作。

升级暂存

在升级过渡期间，升级后的数据库文件将复制到部署中的所有节点，配置文件将在部署的所有节点上备份。

作为ODU的一部分，转储文件已存在于辅助管理节点上。因此，在此步骤中，辅助管理节点仅为CA NSS DB、智能许可和DHCP/DNS配置创建备份文件。所有其他节点也会创建这些文件，但还需要从辅助管理节点复制转储文件。

当所有节点的暂存完成时，单击Next。

升级节点

单击Start以触发升级。

弹出消息确认升级已触发，并且所有节点都显示在队列中，其状态为升级状态。由于升级首先在主管理节点上启动，因此系统从此节点注销，现在可以从辅助管理节点的GUI监控升级状态。在辅助管理节点的GUI上导航到Administration > System > Upgrade以继续查看状态。

主管理节点升级且服务启动后，系统会从辅助管理节点的GUI中注销。现在，用户可以从主管理节点的GUI切换回监控状态，同时部署的所有其他节点都关闭进行升级。

成功升级所有节点后，状态变为绿色。

如果存在任何故障节点，则会显示一个弹出窗口，其中包含有关故障节点的信息。在弹出窗口中单击OK以从部署中注销故障节点。必须逐个升级/重新映像这些映像，并重新加入部署（如果有）。

单击下一步以查看总体升级摘要报告。

摘要