Actualización de Identity Services Engine (ISE)

Opciones de descarga

  • PDF     (525.9 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (434.1 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (417.1 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:18 de mayo de 2020
ID del documento:215528

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo actualizar la versión 2.4. a la 2.6. actual de Identity Services Engine (ISE) configurada en el dispositivo Cisco ISE y la máquina virtual (VM). También incluye cómo utilizar la herramienta de preparación de actualizaciones (URT) para detectar y solucionar cualquier problema de actualización de datos de configuración antes de que comience el proceso de actualización.

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Identity Services Engine (ISE)
    • Comprensión de la terminología utilizada para describir diferentes tipos de implementaciones de ISE

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • ISE, versión 2.4
    • ISE, versión 2.6

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Nota: El procedimiento es similar o idéntico para otras versiones de ISE. Estos pasos se pueden utilizar en todas las versiones de software 2.x ISE a menos que se indique lo contrario.

    Antecedentes

    Una actualización de la implementación de Cisco ISE es un proceso de varios pasos que se debe realizar en el orden especificado en este documento. Utilice las estimaciones de tiempo proporcionadas en este documento para planificar una actualización con un tiempo de inactividad mínimo. En el caso de una implementación con varios nodos de servicios de políticas (PSN) que forman parte de un grupo PSN, no hay tiempo de inactividad. Si hay terminales que se autentican a través de un PSN que se actualiza, otro PSN del grupo de nodos procesa la solicitud. El terminal se vuelve a autenticar y se le concede acceso a la red después de que la autenticación se realice correctamente.

    Herramienta Upgrade Readiness

    Utilice URT para detectar y solucionar cualquier problema de actualización de datos de configuración antes de iniciar el proceso de actualización. La mayoría de los errores de actualización ocurren debido a problemas de actualización de datos de configuración. El URT valida los datos antes de la actualización para identificar, informar o solucionar el problema, siempre que sea posible. El URT está disponible como un paquete descargable independiente que se puede ejecutar en un nodo de administración de políticas secundarias o un nodo independiente. No hay tiempo de inactividad para ejecutar esta herramienta.

    Precaución: La herramienta URT no se puede ejecutar en un nodo de administración principal.

    Este enlace de vídeo explica cómo utilizar URT.

    URT se ejecuta en el nodo de administración secundario o en un nodo independiente.

    Precaución: La herramienta URT no simula las actualizaciones de datos operativos del nodo de supervisión (MnT).

    Este es un ejemplo que muestra cómo ejecutar URT en un nodo independiente (se puede seguir el mismo proceso en un nodo de administración secundario).

    Paso 1. Descargue el paquete URT.

    Dado que el plan es actualizar a la versión 2.6, descargue el URT publicado en Cisco.com para ISE 2.6, como se muestra en la imagen.

    URT for 2.6URT para 2.6

    Paso 2. Cree un repositorio y copie el paquete URT.

    Se recomienda utilizar el protocolo de transferencia de archivos (FTP) para mejorar el rendimiento y la fiabilidad. No utilice repositorios ubicados en enlaces WAN lentos. Se recomienda utilizar un repositorio local que esté más cerca de los nodos.

    Desde la GUI de ISE, navegue hasta Administration > System > Maintenance > Repository > Add como se muestra en la imagen. 

    RepositoryRepositorio

    Opcionalmente, para ahorrar tiempo, copie el paquete URT en el disco local del nodo Cisco ISE con el uso de este comando:

    copy repository_url/path/ise-urtbundle-2.6.0.xxx-1.0.0.SPA.x86_64.tar.gz disk:/

    Por ejemplo, si utiliza FTP seguro (SFTP) para copiar el paquete de actualización, siga este procedimiento:

    (Add the host key if it does not exist) crypto host_key add host mySftpserver
copy sftp://aaa.bbb.ccc.ddd/ise-urtbundle-2.6.0.xxx-1.0.0.SPA.x86_64.tar.gz disk:/

    aaa.bbb.ccc.ddd es la dirección IP o el nombre de host del servidor SFTP e ise-urtbundle-2.6.0.xxx-1.0.0.SPA.x86_64.tar.gz es el nombre del paquete URT. 

    Consejo: Se recomienda tener el paquete URT en el disco local para ahorrar tiempo.

    Paso 3. Ejecute el paquete URT.

    Ingrese el comando application install para instalar el URT:

    application install ise-urtbundle-2.6.0.x.SPA.x86_64.tar.gz reponame

    URT

    La advertencia habla de los servicios que se ejecutan en el nodo y si el usuario desea continuar ejecutando el URT en este nodo. Escriba Y para continuar como se muestra en la imagen.

    URT2

    Notan que a veces la edad URT es vieja. Si el paquete es el último que se ha descargado del sitio web de Cisco, puede continuar. Los últimos paquetes URT también pueden tener más de 45 días de antigüedad. Escriba Y para continuar.

    Caso 1.  La ejecución URT se ha realizado correctamente

    1. Si el URT se ejecuta correctamente, el resultado es el siguiente:

    URT success

    URT success2

    2. El URT proporciona un tiempo estimado para que cada uno de los nodos actualice en función del tamaño de la configuración y los datos de MNT.

    3. Después de haber completado correctamente la ejecución URT, continúe con la actualización.

    4. La URT:

    • Comprueba si el URT se ejecuta en una versión compatible de Cisco ISE. Las versiones compatibles son las versiones 2.1, 2.2, 2.3 y 2.4 (actualización a la versión 2.6).
    • Verifica que el URT se ejecute en un nodo Cisco ISE independiente o en un nodo de administración de políticas secundario (PAN secundario).
    • Comprueba si el paquete URT tiene menos de 45 días de antigüedad. Esta comprobación se realiza para asegurarse de que utiliza el paquete URT más reciente.

    Comprueba si se cumplen todos los requisitos previos.

    Estos son los requisitos previos que comprueba el URT:

    • Compatibilidad de versiones
    • Cheques personales
    • Espacio en disco

    Nota: Verifique el tamaño de disco disponible con Disk Requirement Size. Si necesita aumentar el tamaño del disco, reinstale ISE y restaure una copia de seguridad de la configuración.

    • servidor NTP
    • Memoria
    • Validación de certificados del sistema y de confianza

    5. Clona la base de datos de configuración.

    6. Copia los últimos archivos de actualización al paquete de actualización.

    Nota: Si no hay parches en el paquete URT, el resultado devuelve:N/A.This se espera un comportamiento al instalar un parche en caliente.

    7. Realiza una actualización de esquemas y datos en la base de datos clonada.

    • Si la actualización de la base de datos clonada se realiza correctamente, proporciona una estimación del tiempo que tarda en finalizar la actualización.

    • Si la actualización se realiza correctamente, quita la base de datos clonada.

    • Si la actualización de la base de datos clonada falla, recopila los registros necesarios, solicita una contraseña de cifrado, genera un paquete de registro y lo almacena en el disco local.

    Caso 2. La ejecución URT no se ha realizado correctamente

    1. El URT puede fallar debido a una razón que puede causar problemas con la actualización. Si esto sucede, URT devuelve la causa del error.

    2. Aquí hay un ejemplo de ejecución de falla URT:

    URT Fail

    3. La URT falló con la razón: El certificado de confianza con el nombre descriptivo 'VeriSign Class 3 Secure Server CA - G3' no es válido: El certificado ha caducado.

    4. Como se explicó en las comprobaciones previas de la actualización, si el sistema ISE tiene algún certificado caducado, la actualización falla. Es obligatorio renovar o sustituir todos los certificados caducados.

    5. URT guarda los registros de fallos que se pueden compartir con Cisco TAC si el usuario no está seguro del motivo del fallo.

    6. Se le solicita que introduzca una contraseña para cifrar los registros. Estos registros URT se guardan en el disco local.

    URT Fail2

    7. Copie el archivo desde el disco local a un repositorio y compártalo con Cisco TAC para su resolución.

    URT Fail3

    Actualización de ISE

    Antes de que comience la actualización, asegúrese de que se completan estas tareas:

    1. Obtener una copia de seguridad de la configuración de ISE y los datos operativos.

    *Cuando Cisco ISE se ejecuta en VMware, no se admiten instantáneas de VMware para realizar copias de seguridad de datos de ISE.

    2. Obtenga una copia de seguridad de los registros del sistema.

    3. Desactive las copias de seguridad programadas. Vuelva a configurar las programaciones de copia de seguridad una vez completada la actualización de implementación.

    4. Exporte los certificados y las claves privadas.

    5. Configure un repositorio. Descargue el paquete de actualización y colóquelo en el repositorio.

    6. Anote las credenciales de unión de Active Directory (AD) y el secreto de nodo RSA SecurID, si procede. Esta información es necesaria para conectarse a Active Directory o al servidor RSA SecurID después de la actualización.

    7. Purgue los datos operativos para mejorar el rendimiento de la actualización.

    8. Asegúrese de que la conexión a Internet del repositorio es correcta.

    Nota: La descarga del paquete de actualización de un repositorio a un nodo agota el tiempo de espera si tarda más de 35 minutos en completarse.

    Preparación para la actualización:

    Estas directrices ayudan a solucionar los problemas de la implementación actual que pueden surgir durante el proceso de actualización. Esto reduce el tiempo de inactividad general de la actualización y aumenta la eficiencia.

    Último parche: Actualice a la última revisión de la versión actual antes de la actualización.

    Entorno provisional: Se recomienda probar la actualización en un entorno provisional para identificar y solucionar cualquier problema de actualización antes de la actualización para las redes de producción.

    Nivel de parche: Todos los nodos de la implementación de Cisco ISE se encuentran en el mismo nivel de parche para intercambiar datos.

    Nota: Si todos los nodos de la implementación no están en la misma versión de Cisco ISE y la misma versión de revisión, aparece un mensaje de advertencia: Se muestra "No puede comenzar la actualización". Este mensaje indica que la actualización está en estado bloqueado. Asegúrese de que todos los nodos de la implementación estén en la misma versión (incluida la versión de revisión, si la hay) antes de que se inicie el proceso de actualización.

    Datos operativos (registros): Se recomienda archivar los registros antiguos y no enviarlos a las nuevas implementaciones. Esto se debe a que los registros operativos restaurados en los MnT no se sincronizan con los distintos nodos en caso de que los roles de MnT se cambien más adelante. Si el plan es conservar los registros MnT, realice estas tareas para los nodos MnT y únase a la nueva implementación como nodos MnT. Sin embargo, si no hay necesidad de conservar los registros operativos, esto se puede omitir volviendo a crear imágenes de los nodos MnT. 

    En caso de que sea necesario volver a crear la imagen: La instalación de Cisco ISE se puede realizar en paralelo si se trata de una implementación de varios nodos sin afectar a la implementación de producción. Al instalar servidores ISE en paralelo, se ahorra tiempo, especialmente cuando se utilizan copias de seguridad y restauraciones de una versión anterior. Se pueden agregar PSN a la nueva implementación para descargar las políticas actuales en el momento del proceso de registro desde PAN.

    Utilice la calculadora de latencia y ancho de banda de ISE para comprender los requisitos de latencia y ancho de banda en la implementación de Cisco ISE.

    Data Centers de HA: Si hay Data Centers (DC) con una implementación distribuida completa, actualice el DC de copia de seguridad y pruebe los casos prácticos antes de actualizar el DC principal.

    Descargar un día antes: Descargue y almacene el paquete de actualización más reciente para la actualización en un repositorio local antes de la actualización para acelerar el proceso.

    Predicción de tiempo: Para la actualización de ISE desde la GUI, el tiempo de espera del proceso es de cuatro horas. Si el proceso tarda más de cuatro horas, la actualización falla. Si el URT tarda más de cuatro horas, Cisco recomienda utilizar CLI para este proceso.

    Equilibradores de carga: Realice la copia de seguridad de los equilibradores de carga antes de cambiar la configuración. Quite los PSN de los balanceadores de carga en el momento de la ventana de actualización y agréguelos nuevamente después de la actualización.

    Failover PAN: Desactive la conmutación por fallo PAN automática (si está configurada) y desactive los latidos entre PAN en el momento de la actualización.

    Revisar políticas: Revise las directivas y reglas actuales y elimine las directivas y reglas obsoletas, redundantes y obsoletas.

    Registros no deseados: Elimine los registros de supervisión no deseados y los datos del terminal.

    Comprobación de errores: Utilice la Herramienta de Búsqueda de Errores para encontrar los defectos relacionados con la actualización que están abiertos o corregidos.

    Tras actualización: Pruebe todos los casos prácticos de la nueva implementación con menos usuarios para garantizar la continuidad del servicio.

    Actualización de ISE desde la GUI

    Cisco ISE ofrece una actualización centralizada basada en GUI desde el portal de administración. El proceso de actualización es mucho más sencillo y el progreso de la actualización y el estado de los nodos se muestran en la pantalla. La página Visión General de la opción de menú Administración > Actualizar muestra todos los nodos de la implementación, las personas que están activadas en ellos, la versión de ISE instalada y el estado (indica si un nodo está activo o inactivo) del nodo. La actualización sólo puede comenzar si los nodos están en el estado Activo.

    La actualización basada en GUI desde el portal de administración solo es compatible si ISE está en la versión 2.0 o posterior y necesita una actualización a la versión 2.0.1 o posterior.

    En caso de que se vea este mensaje de advertencia: "El nodo ha vuelto a su estado anterior a la actualización", desplácese a la ventana Upgrade, haga clic en el enlace Details. Solucione los problemas enumerados en la ventana Detalles del fallo de actualización. Una vez solucionados todos estos problemas, haga clic en Upgrade para reiniciar la actualización.

    Paso 1. Haga clic en la pestaña Upgrade en el portal de administración.

    Paso 2. Haga clic en Proceed.

    Aparecerá la ventana Revisar lista de comprobación. Lea atentamente las instrucciones indicadas, como se muestra en la imagen.

    GUI upgrade

    Paso 3. Marque la casilla 'He revisado la lista de comprobación' y haga clic en Continuar.

    La ventana Download Bundle to Nodes aparece como se muestra en la imagen.

    GUI upgrade2

    Paso 4. Descargue el paquete de actualización del repositorio a los nodos:

    1. Active la casilla de verificación situada junto a los nodos en los que se descarga el paquete.

    2. Haga clic en Descargar. Aparece la ventana Select Repository and Bundle como se muestra en la imagen.

    3. Seleccione el repositorio.

    4. Active la casilla de verificación situada junto al paquete que se utiliza para la actualización.

    5. Haga clic en Confirmar. Una vez descargado el paquete en el nodo, el estado del nodo cambia a Preparado para actualización.

    Paso 5. Haga clic en Continuar. A continuación, aparece la ventana Actualizar nodos. Haga clic en Upgrade para comenzar.

    Actualización de ISE desde la CLI

    Asegúrese de leer el capítulo titulado "Antes de comenzar" antes de continuar. A continuación se muestra un ejemplo de una actualización de nodo ISE independiente desde CLI.

    Paso 1. Verifique si el repositorio que se va a utilizar tiene el archivo de actualización presente con el uso del comando show repository responame como se muestra en la imagen.

    CLI upgrade1

    Paso 2. Desde la interfaz de línea de comandos (CLI) de Cisco ISE, introduzca el comando application upgrade prepare con el nombre del archivo de agrupamiento y el nombre del repositorio donde se almacena el archivo.

    Este comando copia el paquete de actualización en el repositorio local.

    CLI upgrade2

    Paso 3. Desde la CLI de Cisco ISE, ingrese el comando application upgrade continue como se muestra en la imagen.

    CLI upgrade3

    CLI upgrade4

    Una vez que aparezca este mensaje, inicie una sesión SSH después de 30 minutos y ejecute el comando show application status ise para ver el progreso. Este mensaje aparece como % AVISO: Actualización de Identity Services Engine en curso...

    La actualización se considera completa cuando el estado de todos los servicios esperados cambia a En ejecución.

    Nota: Si la actualización falla por alguna razón, antes de intentar una actualización de nuevo, utilice el comando application upgrade cleanup para borrar los archivos antiguos.

    Problemas comunes

    1. Si el paquete tarda demasiado en descargarse del repositorio o se agota el tiempo de espera cuando se descarga mediante la GUI:

    • Asegúrese de que haya suficiente ancho de banda para gestionar la descarga del paquete.
    • Cuando se descarga un paquete de actualización de un repositorio a un nodo, la descarga se agota si tarda más de 35 minutos en completarse. Asegúrese de que la conexión a Internet del repositorio es correcta. 

    2. En una actualización de implementación distribuida, el error "Ningún nodo de administración secundario en la implementación" puede verse cuando:

    • No hay ningún nodo de administración secundario en la implementación.

    • El nodo de administración secundario está inactivo.

    • El nodo de administración secundario se actualiza y se mueve a la implementación actualizada. Normalmente, esto ocurre si la opción Actualizar detalles de implementación se utiliza después de actualizar el nodo de administración secundario.

    Para resolver este problema, realice una de estas tareas, según corresponda:

    • Si la implementación no tiene un nodo de administración secundario, configure un nodo de administración secundario y vuelva a intentar la actualización.

    • Si el nodo de administración secundario está inactivo, abra el nodo y vuelva a intentar la actualización.

    • Si el nodo de administración secundario se actualiza y se mueve a la implementación actualizada, utilice la CLI para actualizar manualmente los demás nodos de la implementación.

    3. El estado de actualización de un nodo no ha cambiado: 

    • Si el estado de actualización no cambia durante mucho tiempo (y permanece en el 80%) en la GUI, verifique los registros de actualización de la CLI o el estado de la actualización desde la consola.
    • Inicie sesión en la CLI o vea la consola del nodo de Cisco ISE para ver el progreso de la actualización. Utilice el comando show logging application para ver los archivos upgrade-uibackend-cliconsole.log y upgrade-postosupgrade-yyyymmdd-xxxxxx.log.
    • Vea estos registros de actualización desde la CLI con el comando show logging application: DB Data Upgrade Log, DB Schema Log y Post OS Upgrade Log.

    4. Vuelva a la versión anterior de la imagen ISO:

    • En casos excepcionales, puede ser necesario recrear la imagen del dispositivo Cisco ISE con la imagen de la versión anterior y restaurar los datos del archivo de copia de seguridad. Después de la restauración de los datos, regístrese en la implementación anterior y habilite las personas como se hizo en la implementación anterior. Por lo tanto, se recomienda realizar una copia de seguridad de la configuración de Cisco ISE y de los datos operativos antes de que se inicie el proceso de actualización.
    • A veces, los errores de actualización que se producen debido a problemas en la base de datos de configuración y supervisión no se revierten automáticamente. Cuando esto ocurre, aparece una notificación que indica que la base de datos no se revierte, junto con un mensaje de error de actualización. En estos casos, recree manualmente el sistema, instale Cisco ISE y restaure los datos de configuración y los datos operativos (si MnT persona está habilitado).
    • Genere un paquete de soporte con el comando backup-logs antes de un intento de reversión o recuperación, y coloque el paquete de soporte en un repositorio remoto para que TAC lo investigue más tarde si es necesario.

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    15-May-2020
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Shivam Kumar
      Ingeniero de Cisco TAC
    • Harrison Forest
      Técnico de ingeniería de entrega al cliente
    • Freda Schmitt
      Escritor técnico ICD

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos