有关升级到X14.2的重要说明:
1. Expressway X14.2仅支持智能许可。
2. Expressway X14.2的终端加密信令会话上限为2500个,并且包括与思科漏洞ID CSCwc相关的流量服务器行为的更改69661 这会导致MRA故障 — 在升级到X14.2之前,请阅读版本说明和管理指南。有关详细信息,另请参阅本文档的升级前操作部分中的说明4。
3.如果在Expressway上配置了自定义MTU大小,升级后该大小会更改为默认值1500,从而导致连接和介质出现问题,这在Cisco Bug ID CSCwc74590下跟踪。 因此,升级后,您必须将MTU大小更改回升级前配置的上一个MTU大小。
简介
本文档介绍Expressway升级过程,旨在指导您并回答最常见的问题。
背景信息
本文档中的信息适用于Expressway和视频通信服务器(VCS)。文档引用了Expressway,但可以与VCS互换。
注:虽然本文档旨在帮助您进行升级,但它不会取代Expressway版本说明。它们是真理的来源。
在进行升级之前,请始终参考目标版本的发行版本注释。
所有部署的重要信息
- 有关升级步骤,请参阅此处的独立系统和群集系统的发行版本注释。
- 您可以从版本X8.11.4及更高版本直接升级到X14.x,无需中间版本。从X8.11.4之前的任何版本升级都需要到X8.11.4的中间升级。
- 将Expressway升级到X12.5.4或更高版本不需要版本密钥。但是,Cisco VCS系统需要此功能。
- 如果是集群,请先在集群中的“主”服务器上启动升级。升级“主”后,您可以一次升级一个“从属”节点。这避免了配置数据丢失的风险并保持了服务连续性。
注意:您可以在System > Clustering菜单上找到“Primary”。“Configuration primary”号码指向同一页面中对等体列表中的“Primary peer”。
- 您可以同时升级Expressway-E和Expressway-C“主要”。或者,您可以先升级Expressway-E集群(“主”,然后升级“从属”),然后升级Expressway-C集群(“主”,然后升级“从属”),但是请确保在升级窗口结束时,所有服务器(Expressway-C和Expressway-E)都处于同一版本。
- 如果您使用Cisco Meeting Server(CMS)WebRTC Proxy over Expressway功能和Expressway-E作为TURN服务器,您必须确保运行CMS版本2.9.3或3.0及更高版本,以便WebRTC在升级后继续运行。由于TURN服务不兼容(与Cisco Bug ID CSCvv01243),以前版本的CMS无法正常工作。
- 如果您为移动和远程访问(MRA)启用了推送通知,则必须确保在Expressway升级之前至少运行Cisco Unified Communications Manager(CUCM)/即时消息和在线状态(IMP)版本11.5.1.18900-97或12.5.1.13900-152或14.0.1.10000-20或更高版本。
注意:您可以检查是否从CUCM > Advanced features > Cisco Cloud Onboarding启用了推送通知,并查看是否选中Enable push notifications(启用)。
升级前操作
1.为了使MRA功能在升级后继续运行,您需要将签署Expessway-C证书的根证书和中间证书作为“tomcat-trust”和“callmanager-trust”上传到CUCM发布器。
上传证书后,在所有相关CUCM节点上重新启动“Cisco Tomcat”服务、“Cisco callmanager”服务和“Cisco TFTP”服务(Cisco HAProxy服务随Tomcat服务重新启动自动重新启动)。
由于在Cisco Bug ID CSCvz20720(仅限注册用户)中进行了更改,因此需要进行此操作。即使您使用非安全电话配置文件,并且在Expressway-C上添加的CUCM集群禁用了“TLS验证模式”,也需要此功能。
有关实现此目标所需确切步骤的详细信息,请参阅文档将Expressway-Core的根证书和中间证书上传到CUCM。
注意:您只能使用命令utils service restart Cisco Tomcat从命令行重启“Cisco Tomcat”服务。
2.从X14.2开始,即使统一通信服务器(CUCM、IM&P、CUC和CMS)上的TLS verify设置为Off,也必须将这些服务器的CA证书(根证书和所有中间CA)添加到Expressway-C信任存储中。如果不这样做,则会在升级到X14.2或更高版本后导致MRA登录问题。
此外,Expressway-C连接的统一通信服务器的FQDN需要位于这些服务器的证书的SAN列表中。
此更改是Expressway安全增强功能的一部分,在Cisco Bug ID CSCwc69661中进行了跟踪。有关此内容的详细信息,请参阅X14.2发行版本注释。
此外,您还可以参阅文档 对CSCwc69661引入的MRA服务的Expressway流量服务器证书验证进行故障排除
3.从X14.2开始,智能许可是唯一可用于Expressway的许可证模式,基于传统PAK(选项密钥)的许可证模式已删除。
通常,如果仅使用Expressway for MRA,则不需要许可证,并且此更改不会影响您的系统。但是,如果您使用B2B呼叫或向Expressway注册终端(或需要许可证的任何其他功能),则必须确保Expressway-C和Expressway-C可以直接或通过代理访问云上的思科智能软件管理器,或者连接到思科智能软件管理器本地。
升级到X14.2后,默认启用智能许可,但您必须确保成功连接到CSSM(云或内部部署)。
有关此内容的详细信息,请参阅X14.2发行说明。
4.从X14.2开始,Expressway限制为2500个加密会话限制(此处的2500个会话是所有MRA会话+呼叫+终端注册到Expressway的总和),一个客户端的单个MRA会话可能占用两个或更多的加密会话,与两个注册终端(H.323和SIP)相同,这些终端每个都将占用2个加密会话。
通常,这不会影响仅用于MRA的小型Expressway,但会影响用于MRA的中型或大型Expressway。
在X14.2之前,大型Expressway通常可处理多达3500个MRA会话,但使用X14.2时,其数量限制为2500。
这意味着Expressway的容量可能会减半。例如,如果您有2500个Jabber用户(使用电话和IM&P服务),在升级到X14.2后,Expressway会将此视为5000个加密信号会话,超过2500个标记的会话会被拒绝,这会影响MRA呼叫和注册。
在X14.2中无法删除此限制。
有关此内容的详细信息,请参阅X14.2发行说明。
5.如果您有Expressway集群,请确保没有集群警报(“从状态”>“警报”)。
注意:如果只有有关“群集TLS允许性 — 群集TLS验证模式允许无效证书”的警报编号“40049”,则可以忽略此警报并继续升级,但任何其他群集警报都需要在升级之前处理。
6.如果您有Expressway集群,请通过SSH连接到要升级的Expressway服务器,并使用“root”用户并运行命令:
cd / && ./sbin/verify-syskey
注意:此命令不得提供任何输出。如果因此命令而出现“错误”,请打开TAC案例以修复错误,然后再继续升级。
7.最后,在升级之前进行备份(从维护>备份和恢复)。在每台服务器上执行此操作。
升级说明
- 从Expressway软件下载下载升级文件(名称以“.tar.gz”结尾)(例如,下载用于X14.0.6的“s42700x14_0_6.tar.gz”)。
- 将升级文件(例如,“s42700x14_0_6.tar.gz”)上传到Expressway(从Maintenance > Upgrade,然后点击Browse在PC上查找升级文件,最后点击Upgrade)
注意:当您点击Upgrade时,升级文件将上传到Expressway。上传完成后,请按继续继续升级。服务器安装软件,并在结束时要求您重启Reboot以切换到新软件。
升级后操作
Expressway升级后,您必须从主Expressway-C服务器刷新统一通信节点:
— 导航到配置>统一通信> Unified CM服务器。 选择所有CUCM群集并选择刷新。
— 导航到配置>统一通信> IM和在线状态服务节点。选择所有IM&P集群,然后选择刷新。
— 导航到配置>统一通信> Unity Connection服务器。选择所有CUC集群,然后选择刷新。
常见问题
许可证
1.我是否需要发行密钥才能升级?
答:将Expressway升级到版本X12.5.4或更高版本不需要版本密钥(版本密钥仍用于思科VCS系统)。
2.我是否需要迁移许可证?
A.升级前在Expressway上安装的许可证将自动迁移到新版本。
3.我需要升级哪些许可证?
答:如果您计划在同一台服务器上从X8.11.4或更高版本升级到更高版本,则无需其他许可证,您当前的许可证将自动迁移至新版本(VCS系统仍需要版本密钥)。
从X12.5.4版本开始,这些许可证不是必需的:
LIC-SW-EXP-K9版本密钥(从X12.5.4开始),在升级Expressway系统时默认提供此密钥。VCS系统仍需要此功能。)
LIC-EXP-TURN TURN中继许可证(默认提供)
LIC-EXP-GW互通网关(默认提供)
LIC-EXP-AN高级网络(默认提供)
从X12.6版本开始,这些许可证不是必需的:
LIC-EXP-SERIES Expressway系列(现在您可以通过Status > Overview中的服务设置向导从UI中更改此配置)
LIC-EXP-E遍历服务器许可证(现在您可以通过Status > Overview中的“Service Setup Wizard”(服务设置向导)从UI中更改此许可证
4.是否需要启用智能许可?
A.从X14.2开始,智能许可是强制性的。任何低于X14.2的版本仍可使用选项密钥许可证型号。
升级到X14.2后,默认启用智能许可,但您必须确保成功连接到CSSM(云或内部部署)。
兼容性
1.是否可以直接升级到X14.x?
A.您可以从X8.11.4及更高版本直接升级到X14.x(或X12.x)Expressway版本。任何低于X8.11.4的版本都需要两阶段升级。有关详细信息,请参阅版本说明。
2.哪些Cisco Unified Communications Manager和IM&Presence版本与Expressway兼容?
A.如果您使用MRA上的Jabber推送通知,则最低版本为11.5.1.18900-97、12.5.1.13900-152或14.0.1.10000-20。
您可以检查是否在CUCM管理员页面Advanced features > Cisco Cloud Onboarding下启用推送通知。验证Enable push notifications是否已选中(启用)。
3.哪个CMS版本与Expressway 12.X和14.X兼容?
A.如果在Expressway上使用CMS WebRTC代理,请确保运行CMS版本2.9.3、3.0或更高版本。
由于与Cisco Bug ID CSCvv01243相关的TURN服务不兼容,以前的版本不起作用
升级后
1.升级后是否需要执行任何其他任务?
A.必须从Expressway-C主要对等体刷新统一通信节点:
— 导航到配置>统一通信> Unified CM服务器。 选择所有CUCM集群,然后选择刷新。
— 导航到配置>统一通信> IM和在线状态服务节点。选择所有IM&P集群,然后选择刷新。
— 导航到配置>统一通信> Unity Connection服务器。选择所有CUC集群,然后选择刷新。
2.如何验证升级是否成功?
有两件事可以检查:
— 检查集群是否稳定(从System > Clustering),并确认没有集群警报Status > Alarms。
— 确保对于Expressway-C和Expressway-E上的“SIP状态”,类型为“统一通信遍历”的区域显示为“活动”。通常,自动创建的CE(tcp/tls/OAuth)区域(从Configuration > Zones)显示为“可解析地址”而不是“活动”。
— 通过MRA登录、测试呼叫等执行实时测试。
3.在升级成功后,我在Virtual Expressway服务器上看到一个关于“不支持的硬件”或“不合适的硬件警告”的新警报?
A. Expressway版本X14.x现在会验证虚拟机(VM)CPU时钟速度,并确保其与Expressway虚拟化指南中提到的相同大小的VM所需的时钟速度相匹配。确切的警报显示为:“Unsuitable hardware warning - Your current hardware does not contain supported VM configuration requirements for this version of Expressway.”。
如果看到此警报,请验证VM资源是否与Expressway虚拟化指南中提到的资源匹配。如果服务器的大小低于指南中提到的值,则需要重建服务器以满足所选大小的最低要求,然后恢复备份。
X14.0.7的重要说明
如果您采用中型部署(从Status > System > Information中查看),并且您的VM的时钟速度高于3.19GHz,并且VCS/Expressway版本正好是X14.0.7,则可以忽略警报。由于Cisco Bug ID CSCwc09399,此警报被错误触发。
移动远程访问(MRA)
1.升级是否需要更改Cisco Unified Communications Manager(CUCM)上的配置?
A.如果使用MRA,由于安全增强思科漏洞ID CSCvz20720,签署Expressway-C证书的证书颁发机构的根证书和中间证书必须以“tomcat-trust”和“callmanager-trust”的形式上传到CUCM发布服务器(它将它们复制到订阅服务器)。即使您使用非安全电话配置文件,并且在Expressway-C上添加的CUCM集群禁用了“TLS验证模式”,也需要此功能。重新启动每台服务器上的“Cisco Tomcat”、“Cisco CallManager”和“Cisco TFTP”服务,使更改生效。
“Cisco Tomcat”服务只能通过命令“utils service restart Cisco Tomcat”从命令行重新启动。
有关实现此目标所需确切步骤的详细信息,请参阅文档将Expressway-Core的根证书和中间证书上传到CUCM。
2.是否需要更改我的Expressway-C证书以升级?
A.如果Expressway-C证书仍然有效,则无需更改。但是,签署Expressway-C证书的证书颁发机构的根证书和中间证书必须作为“tomcat-trust”和“callmanager-trust”上传到CUCM发布服务器。有关详细信息,请参阅升级前操作部分的第1点。
升级前
1.升级之前必须检查什么?
A.如果有集群式Expressway系统,请确认没有来自Status > Alarms的集群警报。
注意:带有消息“Cluster TLS permissive - Cluster TLS verification mode permits invalid certificates”的警报“40049”不会影响升级过程。所有其他问题必须在升级之前解决。
此外,从命令行通过root用户运行命令cd / && ./sbin/verify-syskey。此命令不得提供任何输出。如果确实如此,我们建议您创建TAC案例以调查并纠正此问题。
升级过程
1.集群系统中的升级顺序是什么?
A.从集群中的“配置主”对等体开始升级。您可以在菜单System > Clustering下查看它是哪一个。“配置主要”编号显示它在对等体中的编号。
主要对等体的升级完成后,您可以继续使用从属对等体(一次一个)。
2.是否可以同时升级Expressway-C和Expressway-E?
答:是,您可以执行此操作,但建议先升级Expressway E服务器,然后升级Expressway C服务器,以便首先在E服务器上正确设置遍历区域。如果您有集群,请确保使用“主”服务器开始升级。完成“主要”升级后,您可以升级“从属”对等体。
3.在哪里可以下载Expressway升级映像?
答:您可以在此链接中找到所有Expressway升级映像。下载扩展名为“tar.gz”的文件,以获得要升级到的版本:
https://software.cisco.com/download/home/286255326/type/280886992/
4.如何开始升级?
A.导航到Maintenance > Upgrade > Browse,选择升级文件,然后点击“Upgrade”。首先传输文件。然后,您将看到“Continue”按钮以开始实际的升级过程。
5.升级过程需要多长时间?
A.升级过程的大部分时间是在升级文件传输到系统且您选择了“继续”后长达10分钟。
但是,强烈建议为升级后测试安排一个4到48小时的维护时段。
6.执行升级需要什么访问权限?
答:升级通过Web界面执行,但是,如果您在升级后遇到任何问题,可能需要控制台访问。
在升级之前最好检查VMware或CIMC控制台访问是否可用。
备份和恢复
1.升级前是否需要备份?
A.建议在Expressway升级之前进行备份。如果是集群,则从所有服务器进行备份。
您可以在每台服务器上从Maintenance > Backup and Restore执行此操作。
2.升级前是否可以拍摄Expressway的快照?
A. Expressway不支持VMware快照。
3.是否可以回滚/恢复到升级之前使用的系统?
A. Expressway在升级后保留两组分区。一个使用升级版本,另一个使用早期版本。
您可以从根用户shell使用命令“selectsw <1或2>”在这些分区之间切换。
您可以使用命令“selectsw”验证当前的活动分区。
例如,如果在运行“selectsw”命令后获得“1”,则活动版本为“1”,非活动版本为“2”。要切换到非活动分区,请执行命令“selectsw 2”。需要重新启动才能从新选定的分区系统启动。
物理设备服务器
1.我可以在物理设备服务器上升级到此版本吗?
A.对于所有物理设备服务器(CE500、CE1000、CE1100、CE1200),请参阅目标版本发行说明的“支持的平台”部分中的“表2”,以验证是否可以升级到目标版本。
2.我有CE1100,能否将其升级到X14.0.x和X14.2.x?
答:对于物理设备服务器CE1100,您可以升级到X14.0.x和X14.2.x以缓解漏洞,并且可以忽略“不支持的硬件”警报。X14.0.6版本说明中提到了这一点。对于拥有有效服务合同的客户,思科已将漏洞/安全支持终止日期从2021年11月14日(根据最初的“寿命终止”公告)延长至2023年11月30日(与最后支持日期一致)。请注意,这仅适用于漏洞修复,不适用于新功能。
虚拟服务器和ESXi
1.此Expressway版本支持哪个ESXi版本?
答:您可以在Expressway目标版本的安装指南(在System Requirements > ESXi Requirements下)中找到ESXi支持信息。