Sécurité : Dispositif Cisco NAC (Clean Access)

Dispositif Cisco NAC (Clean Access) : Mise à niveau logicielle de la version 3.x à 4.0(x)

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document fournit des instructions pour que la façon améliore votre système existant d'appareils du Cisco Network Admission Control (NAC) (autrefois Cisco Clean Access [CCA]) pour libérer 4.0(x).

Conditions préalables

Conditions requises

Ce document suppose le logiciel d'appareils NAC plus tôt que 4.0(x) est installé et fonctionne correctement.

Composants utilisés

Les informations dans ce document sont basées sur l'appliance de Cisco NAC.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Mise à jour à 4.0(x)

Cette section fournit les informations générales pour que la façon prépare pour améliorer votre système existant de Dispositif Cisco NAC (Clean Access) pour libérer 4.0(x). Cette section contient ces sujets :

Si vous devez améliorer d'une version beaucoup plus ancienne de Cisco Clean Access, vous pourriez devoir exécuter une mise à jour intérimaire à une version qui est prise en charge pour la mise à jour à 4.0(x). Dans ce cas, référez-vous aux notes de mise à jour applicables sous le Dispositif Cisco NAC (Clean Access) pour des instructions de mise à jour pour la version intermédiaire. Cisco recommande que vous testiez toujours de nouvelles releases sur un autre système d'abord avant que vous amélioriez votre système de production.

Notes sur 4.0(x) la mise à jour

Si vous prévoyez d'améliorer à la plus défunte appliance de Cisco NAC (Cisco Clean Access) 4.0(x) ED, notez ces éléments :

  • La version d'appareils de Cisco NAC (Cisco Clean Access) 4.0(x) ED est une version logicielle importante avec un état d'Early Deployment.

  • Cisco vous recommande emploient la procédure de mise à niveau console/SSH pour améliorer de la version 3.6(x) ou 4.0(x) à la dernière 4.0(x) release (par exemple, 4.0(5)). Référez-vous à la mise à jour Console/SSH — Pour en savoir plus autonome d'ordinateurs.

    Remarque: Quand vous améliorez de 3.6(x)/4.0(x) à 4.0(4) ou plus tard, vous pouvez seulement exécuter la mise à jour de console Web sur les ordinateurs autonomes du CAM (non-ha). Des ordinateurs autonomes de CAS doivent toujours être mis à jour de 3.6(x)/4.0(x) à la dernière 4.0(x) release suivant la procédure de mise à niveau console/SSH.

    avertissement Avertissement : La mise à jour de Web n'est pas prise en charge pour une mise à niveau de logiciel des paires HA-CAM. Une mise à jour des paires facilement disponibles de Clean Access Manager doit toujours être exécutée par l'intermédiaire de la console comme décrit dans des instructions Console/SSH pour améliorer des paires HA-CAM et HA-CAS.

  • Vous pouvez améliorer de la version 3.5(7), 3.5(8), 3.5(9), 3.5(10), ou 3.5(11) au dernier 4.0(x) suivant la procédure de mise à niveau sur place, dans laquelle la CD d'installation est utilisée pour améliorer chaque ordinateur en place. Pour les ordinateurs autonomes, référez-vous à la mise à jour sur place de 3.5(7)+ à 4.0(x) — pour en savoir plus autonome d'ordinateurs. Pour des ordinateurs ha, référez-vous à la mise à jour sur place de 3.5(7)+ à 4.0(x) — pour en savoir plus de Ha-paires.

  • Lisez et passez en revue les instructions d'installation ou de mise à jour complètement avant que vous commenciez. Le 3.5(7) et le plus tard 4.0(x) à la procédure de mise à niveau sur place est différent des mises à jour mineures de release et exige une installation physique de CD.

  • Si vous avez les utilisateurs existants, testez le version de déploiement anticipé (ED) dans votre environnement de travaux pratiques d'abord et finissez une phase pilote avant le déploiement de production.

    Remarque: Votre permis de production met en référence l'adresse MAC de votre production Clean Access Manager. Quand vous testez sur une case différente avant que vous amélioriez votre environnement d'appareils de Cisco NAC de production, vous devez obtenir un permis d'essai pour vos serveurs de test. Référez-vous au pour en savoir plus de permis d'évaluation.

Remarque: La version 4.0(1) est Désuet(e). Si votre système exécute 4.0(1), 3.5(x) ou 3.6(x) et vous souhaitent améliorer pour relâcher 4.0(x), améliorent à la dernière 4.0(x) release directement.

Configurations qui pourraient changer avec la mise à jour

  • Jeux de puces 5702/5703/5704 NIC de Broadcom — Si votre système utilise des jeux de puces 5702/5703/5704 NIC de Broadcom, et vous exécutez 4.0(x) ou 3.6(x) ou plan pour améliorer de 3.5(x), vous devez exécuter une mise à jour du firmware de HP. Référez-vous aux problèmes connus avec des jeux de puces NIC 5702/5703/5704 de Broadcom dans les notes en version pour l'appliance de Cisco NAC (Cisco Clean Access), pour en savoir plus de version 4.0(x)

  • Cisco 2200/4400 contrôleur LAN de radio (Airespace WLCs) — si vous utilisez Clean Access Server (CAS) comme serveur DHCP en même temps qu'Airespace WLCs, vous pourriez devoir configurer des options DHCP. Référez-vous au problème connu avec Cisco 2200/4400 section de contrôleurs LAN de radio (Airespace WLCs) des notes en version pour l'appliance de Cisco NAC (Cisco Clean Access), pour en savoir plus de version 4.0(x).

  • Déploiements (OOB) hors bande — Puisque l'appliance de Cisco NAC peut des ports de joncteur réseau de commutateur de commande pour OOB (version 3.6(1) et ultérieures), assurer les ports de liaison ascendante pour des commutateurs de commande est configuré en tant que « incontrôlé » met en communication l'un ou l'autre avant ou après la mise à jour.

    Remarque: Pour le dépannage supplémentaire OOB, référez-vous au soutien de commutateur du pour en savoir plus d'appareils de Cisco NAC.

  • Options DHCP — Quand vous améliorez de 3.5/3.6 à 4.0, aucune option existante DHCP sur CAS n'est retenue. Les administrateurs doivent ressaisir toutes les options précédemment configurées DHCP utilisant la page options globale nouveau-améliorée.

  • Configurations SNMP — Quand vous améliorez de 3.5/3.6 à 4.0, aucun déroutement existant SNMP configuré sur Clean Access Manager (CAM) n'est retenu. Les administrateurs doivent ressaisir n'importe quelles configurations précédemment configurées SNMP utilisant la page nouveau-améliorée SNMP.

Préparation générale de mise à jour

attention Attention : Examinez cette section soigneusement avant que vous commenciez n'importe quelle mise à jour d'appareils de Cisco NAC.

  1. Support logiciel homogène de Clean Access Server :

    Vous devez promouvoir votre Clean Access Manager et tous vos serveurs de Clean Access simultanément. L'architecture d'appareils de Cisco NAC n'est pas conçue pour le support hétérogène (par exemple, quelques serveurs de Clean Access qui exécutent le logiciel 4.0 et certains qui exécutent le logiciel 3.6).

  2. Fenêtre de temps d'arrêt de mise à jour :

    Basé sur le nombre de serveurs de Clean Access que vous avez, le processus de mise à niveau devrait être programmé comme temps d'arrêt. Pour des mises à jour mineures de release telles que 4.0.0 à 4.0.x, nos évaluations suggèrent que cela prenne approximativement 15 minutes pour la mise à jour de Clean Access Manager et 10 minutes pour chaque mise à jour de Clean Access Server. Employez cette approximation pour estimer votre fenêtre de temps d'arrêt.

    Remarque: Accordez plus d'heure pour le 3.5(7) et plus tard 4.0(x) au processus de mise à niveau sur place, en particulier pour des paires facilement disponibles (de Basculement) d'ordinateurs.

  3. Effet de Clean Access Server pendant le temps d'arrêt de Clean Access Manager :

    Tandis que la mise à jour de Clean Access Manager est conduite, Clean Access Server (qui n'a pas été encore mise à jour, et qui perd la Connectivité à Clean Access Manager pendant la reprise ou la réinitialisation de Clean Access Manager) continue à passer le trafic authentifié d'utilisateur.

    attention Attention : Les nouveaux utilisateurs ne peuvent pas ouvrir une session ou être authentifié jusqu'à ce que Clean Access Server rétablisse la Connectivité avec Clean Access Manager.

  4. Sauvegarde de base de données (avant et après la mise à jour) :

    Pour la bonne garde, il est recommandé pour sauvegarder votre installation en cours de Clean Access Manager (utilisant la gestion > la sauvegarde) avant et après la mise à jour et pour sauvegarder l'instantané sur votre ordinateur local. Veillez à télécharger les instantanés à votre appareil de bureau/ordinateur portable pour la bonne garde. Quand vous exécutez une sauvegarde avant qu'une mise à jour, il te permette de retourner à votre 3.5(x) ou 3.6(x) précédent base de données si vous rencontrez des problèmes pendant la mise à jour. Quand vous exécutez une sauvegarde juste après que vous mise à jour, il préserve vos tables mises à jour et fournit une spécification de base de votre base de données 4.0. Après que le transfert soit complet, allez à la page de sauvegarde de base de données (gestion > sauvegarde) dans la console Web de Clean Access Manager. Téléchargez et puis supprimez tous les instantanés plus tôt de là car ils ne sont plus compatibles. Référez-vous créent un pour en savoir plus de sauvegarde d'instantané de base de données de Clean Access Manager.

    avertissement Avertissement : Vous ne pouvez pas restaurer des 3.6 ou une première base de données sur des 4.0 Clean Access Manager.

  5. Downgrade de logiciel :

    Une fois que vous améliorez votre logiciel à 4.0, si vous souhaitez retourner à votre version préalable de logiciel de Cisco Clean Access, vous devez réinstaller la version précédente de Cisco Clean Access du CD et récupérer votre configuration fondée sur la sauvegarde que vous avez exécutée avant la mise à jour à 4.0.

  6. Mots de passe :

    Pour une mise à jour par l'intermédiaire de console/SSH, vous mot de passe avez besoin de votre utilisateur de base de Clean Access Manager et de Clean Access Server (le mot de passe par défaut est cisco123). Pour une mise à jour de console Web, vous avez besoin de votre mot de passe utilisateur d'admin de console Web de Clean Access Manager (et, si c'est approprié, du mot de passe utilisateur d'accès direct d'admin de console de Clean Access Server).


Informations connexes


Document ID: 91887