Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit comment mettre à niveau la version 2.4 actuelle d'Identity Services Engine (ISE) vers la version 2.6. configurée sur l'appliance Cisco ISE et la machine virtuelle (VM). Il explique également comment utiliser l'outil URT (Upgrade Readiness Tool) pour détecter et résoudre les problèmes de mise à niveau des données de configuration avant le début du processus de mise à niveau.
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Note: La procédure est similaire ou identique pour les autres versions d'ISE. Ces étapes peuvent être utilisées sur toutes les versions du logiciel ISE 2.x, sauf indication contraire.
Une mise à niveau de déploiement Cisco ISE est un processus en plusieurs étapes qui doit être effectué dans l'ordre spécifié dans ce document. Utilisez les estimations de temps fournies dans ce document pour planifier une mise à niveau avec un temps d'arrêt minimal. Dans le cas d'un déploiement avec plusieurs noeuds de service de stratégie (PSN) faisant partie d'un groupe PSN, il n'y a pas d'interruption. Si des terminaux sont authentifiés via un PSN mis à niveau, la demande est traitée par un autre PSN du groupe de noeuds. Le point d'extrémité est réauthentifié et se voit accorder l'accès réseau une fois l'authentification réussie.
Utilisez l'URT pour détecter et résoudre les problèmes de mise à niveau des données de configuration avant de commencer le processus de mise à niveau. La plupart des échecs de mise à niveau se produisent en raison de problèmes de mise à niveau des données de configuration. L'URT valide les données avant la mise à niveau afin d'identifier, de signaler ou de résoudre le problème, dans la mesure du possible. L'URT est disponible sous la forme d'un bundle téléchargeable distinct qui peut être exécuté sur un noeud Administration des politiques secondaires ou un noeud autonome. Il n'y a pas de temps d'arrêt pour exécuter cet outil.
Attention : L'outil URT ne peut pas être exécuté sur un noeud d'administration principal.
Ce lien vidéo explique comment utiliser la fonction URT.
URT s'exécute sur le noeud d'administration secondaire ou sur un noeud autonome.
Attention : L'outil URT ne simule pas les mises à niveau des données opérationnelles du noeud de surveillance (MnT).
Voici un exemple qui montre comment exécuter URT sur un noeud autonome (le même processus peut être suivi sur un noeud d'administration secondaire).
Étape 1. Téléchargez l’offre groupée URT.
Étant donné que la mise à niveau vers la version 2.6 est prévue, téléchargez l'URL publiée sur Cisco.com pour ISE 2.6, comme illustré dans l'image.
URT pour 2,6
Étape 2 : création d'un référentiel et copie de l'ensemble URT
Il est recommandé d'utiliser le protocole FTP (File Transfer Protocol) pour améliorer les performances et la fiabilité. N'utilisez pas de référentiels situés sur des liaisons WAN lentes. Il est conseillé d'utiliser un référentiel local plus proche des noeuds.
Dans l'interface utilisateur graphique d'ISE, accédez à Administration > System > Maintenance > Repository > Add comme indiqué dans l'image.
Référentiel
Éventuellement, pour gagner du temps, copiez l'ensemble URT sur le disque local du noeud Cisco ISE à l'aide de cette commande :
copy repository_url/path/ise-urtbundle-2.6.0.xxx-1.0.0.SPA.x86_64.tar.gz disk:/
Par exemple, si le protocole SFTP (Secure FTP) est utilisé pour copier le bundle de mise à niveau, procédez comme suit :
(Add the host key if it does not exist) crypto host_key add host mySftpserver
copy sftp://aaa.bbb.ccc.ddd/ise-urtbundle-2.6.0.xxx-1.0.0.SPA.x86_64.tar.gz disk:/
aaa.bbb.ccc.ddd est l'adresse IP ou le nom d'hôte du serveur SFTP et ise-urtbundle-2.6.0.xxx-1.0.0.SPA.x86_64.tar.gz est le nom du bundle URT.
Astuce : Il est recommandé d'avoir le bundle URT dans le disque local pour gagner du temps.
Étape 3. Exécutez l'ensemble URT.
Entrez la commande application install pour installer l'URL :
application install ise-urtbundle-2.6.0.x.SPA.x86_64.tar.gz reponame
L'avertissement indique les services qui s'exécutent sur le noeud et si l'utilisateur souhaite continuer à exécuter l'URT sur ce noeud. Tapez Y pour continuer comme indiqué dans l'image.
Vous remarquerez que parfois l'âge de l'URT est vieux. S'il s'agit de la dernière offre téléchargée sur le site Web de Cisco, vous pouvez continuer. Les derniers bundles URT peuvent également dater de plus de 45 jours. Tapez Y pour continuer.
1. Si l'URT fonctionne correctement, le résultat est le suivant :
2. L’URT fournit une estimation du temps de mise à niveau de chacun des noeuds en fonction de la taille de la configuration et des données MNT.
3. Une fois que vous avez réussi l'exécution de l'URT, passez à la mise à niveau.
4. L’URT :
Vérifie si toutes les conditions préalables sont remplies.
Voici les conditions préalables vérifiées par l'URT :
Note: Vérifiez la taille de disque disponible avec la taille de disque requise. Si vous devez augmenter la taille du disque, réinstallez ISE et restaurez une sauvegarde de configuration.
5. Clone la base de données de configuration.
6. Copie les derniers fichiers de mise à niveau vers le bundle de mise à niveau.
Note: S'il n'y a pas de correctifs dans le bundle URT, alors le résultat retourne : N/A.This est le comportement attendu lorsque vous installez un correctif à chaud.
7. Effectue une mise à niveau du schéma et des données sur la base de données clonée.
Si la mise à niveau de la base de données clonée est réussie, elle fournit une estimation du temps nécessaire à la fin de la mise à niveau.
Si la mise à niveau réussit, la base de données clonée est supprimée.
Si la mise à niveau de la base de données clonée échoue, elle collecte les journaux requis, demande un mot de passe de cryptage, génère un lot de journaux et le stocke sur le disque local.
1. L'URT peut échouer pour une raison qui peut entraîner des problèmes avec la mise à niveau. Dans ce cas, URT renvoie la cause de l'échec.
2. Voici un exemple d'exécution d'une erreur URT :
3. L’URT a échoué pour la raison suivante : Le certificat de confiance portant le nom convivial « VeriSign Class 3 Secure Server CA - G3 » n'est pas valide : Le certificat a expiré.
4. Comme expliqué dans les vérifications préalables de la mise à niveau, si le système ISE a des certificats expirés, la mise à niveau échoue. Tous les certificats expirés doivent être renouvelés ou remplacés.
5. URT enregistre les journaux d'échec qui peuvent être partagés avec le TAC Cisco si l'utilisateur n'est pas sûr de la raison de l'échec.
6. Il vous invite à saisir un mot de passe pour chiffrer les journaux. Ces journaux URT sont enregistrés sur le disque local.
7. Copiez-les du disque local vers un référentiel et partagez-les avec le TAC Cisco pour la résolution.
Avant de commencer la mise à niveau, assurez-vous que les tâches suivantes sont effectuées :
1. Obtenez une sauvegarde de la configuration ISE et des données opérationnelles.
*Lorsque Cisco ISE est exécuté sur VMware, les snapshots VMware ne sont pas pris en charge pour la sauvegarde des données ISE.
2. Obtenez une sauvegarde des journaux système.
3. Désactivez les sauvegardes planifiées. Reconfigurer les plannings de sauvegarde une fois la mise à niveau du déploiement terminée.
4. Exportez les certificats et les clés privées.
5. Configurez un référentiel. Téléchargez le bundle de mise à niveau et placez-le dans le référentiel.
6. Notez les informations d'identification de jointure Active Directory (AD) et le secret de noeud RSA SecurID, le cas échéant. Ces informations sont nécessaires pour se connecter au serveur Active Directory ou RSA SecurID après la mise à niveau.
7. Purgez les données opérationnelles pour améliorer les performances de mise à niveau.
8. Assurez-vous que la connexion Internet au référentiel est correcte.
Note: Le téléchargement d'un bundle de mise à niveau d'un référentiel vers un noeud expire si cela prend plus de 35 minutes.
Préparation de la mise à niveau :
Ces instructions permettent de résoudre les problèmes du déploiement actuel qui peuvent survenir lors du processus de mise à niveau. Cela réduit les interruptions de mise à niveau globales et augmente l'efficacité.
Dernier correctif : Effectuez une mise à niveau vers le dernier correctif de la version actuelle avant la mise à niveau.
Environnement intermédiaire : Il est recommandé de tester la mise à niveau dans un environnement intermédiaire afin d'identifier et de résoudre les problèmes de mise à niveau avant la mise à niveau pour les réseaux de production.
Niveau du correctif : Tous les noeuds du déploiement Cisco ISE sont dans le même niveau de correctif pour échanger des données.
Note: Si tous les noeuds du déploiement ne sont pas sur la même version de Cisco ISE et de correctif, un message d'avertissement s'affiche : L'option « La mise à niveau ne peut pas commencer » est affichée. Ce message indique que la mise à niveau est bloquée. Assurez-vous que tous les noeuds du déploiement sont dans la même version (y compris la version du correctif, le cas échéant) avant de lancer le processus de mise à niveau.
Données opérationnelles (journaux) : Il est recommandé d'archiver les anciens journaux et de ne pas les transférer vers les nouveaux déploiements. En effet, les journaux opérationnels restaurés dans les MnT ne sont pas synchronisés sur différents noeuds au cas où les rôles MnT seraient modifiés ultérieurement. Si le plan prévoit de conserver les journaux MnT, effectuez ces tâches pour les noeuds MnT et joignez le nouveau déploiement en tant que noeuds MnT. Cependant, s'il n'est pas nécessaire de conserver les journaux d'exploitation, cela peut être ignoré en recréant l'image des noeuds MnT.
Dans le cas d'une ré-image nécessaire : L'installation de Cisco ISE peut être effectuée en parallèle s'il s'agit d'un déploiement multinoeud sans impact sur le déploiement de production. Lorsque vous installez des serveurs ISE en parallèle, cela permet de gagner du temps, en particulier lorsque des sauvegardes et des restaurations à partir d'une version précédente sont utilisées. Vous pouvez ajouter des PSN au nouveau déploiement pour télécharger les stratégies actuelles au moment du processus d'enregistrement à partir du PAN.
Utilisez le calculateur de latence et de bande passante ISE afin de comprendre la latence et les exigences de bande passante dans le déploiement Cisco ISE.
Datacenters haute disponibilité : S'il existe des data centers (DC) avec un déploiement distribué complet, mettez à niveau le DC de sauvegarde et testez les cas d'utilisation avant de mettre à niveau le DC principal.
Télécharger la veille : Téléchargez et stockez la dernière offre groupée de mise à niveau dans un référentiel local avant la mise à niveau pour accélérer le processus.
Prédiction temporelle : Pour la mise à niveau ISE depuis l'interface utilisateur graphique, le délai d'attente du processus est de quatre heures. Si le processus prend plus de quatre heures, la mise à niveau échoue. Si l'URT prend plus de quatre heures, Cisco recommande d'utiliser l'interface de ligne de commande pour ce processus.
Équilibreurs de charge : Effectuez une sauvegarde des équilibreurs de charge avant de modifier la configuration. Supprimez les PSN des équilibreurs de charge au moment de la fenêtre de mise à niveau et rajoutez-les après la mise à niveau.
Basculement PAN : Désactivez le basculement PAN automatique (s'il est configuré) et désactivez Heartbeat entre les PAN au moment de la mise à niveau.
Vérifier les politiques : Examiner les stratégies et règles actuelles et supprimer les stratégies et règles obsolètes, redondantes et périmées.
Journaux indésirables : Supprimez les journaux de surveillance et les données de point de terminaison indésirables.
Vérification des bogues : Utilisez l'Outil de recherche de bogues afin de trouver les défauts liés à la mise à niveau qui sont ouverts ou corrigés.
Post-mise à niveau : Testez tous les cas d'utilisation du nouveau déploiement avec moins d'utilisateurs pour assurer la continuité du service.
Cisco ISE propose une mise à niveau centralisée basée sur une interface utilisateur graphique à partir du portail Admin. Le processus de mise à niveau est beaucoup plus simple et la progression de la mise à niveau et le statut des noeuds sont affichés à l'écran. La page Vue d'ensemble sous l'option de menu Administration > Mise à niveau répertorie tous les noeuds du déploiement, les personnalités qui y sont activées, la version d'ISE installée et le statut (indique si un noeud est actif ou inactif) du noeud. La mise à niveau ne peut commencer que si les noeuds sont à l'état Actif.
La mise à niveau basée sur l'interface utilisateur graphique à partir du portail Admin est prise en charge uniquement si ISE est sur la version 2.0 ou ultérieure et nécessite une mise à niveau vers la version 2.0.1 ou ultérieure.
Si ce message d'avertissement s'affiche : "Le noeud est revenu à son état antérieur à la mise à niveau", accédez à la fenêtre Mise à niveau, cliquez sur le lien Détails. Résolvez les problèmes répertoriés dans la fenêtre Détails de l'échec de la mise à niveau. Une fois tous ces problèmes résolus, cliquez sur Upgrade pour relancer la mise à niveau.
Étape 1. Cliquez sur l’onglet Upgrade du portail Admin.
Étape 2. Cliquez sur Continuer.
La fenêtre Vérifier la liste de contrôle apparaît. Lisez attentivement les instructions données, comme indiqué sur l'image.
Étape 3. Cochez la case « J'ai vérifié la liste de contrôle », puis cliquez sur Continuer.
La fenêtre Download Bundle to Nodes s'affiche comme illustré dans l'image.
Étape 4. Téléchargez le bundle de mise à niveau du référentiel vers les noeuds :
1. Cochez la case en regard des noeuds vers lesquels le bundle est téléchargé.
2. Cliquez sur Télécharger. La fenêtre Sélectionner le référentiel et le bundle s'affiche comme illustré dans l'image.
3. Sélectionnez le référentiel.
4. Cochez la case en regard du bundle utilisé pour la mise à niveau.
5. Cliquez sur Confirmer. Une fois le bundle téléchargé sur le noeud, l'état du noeud passe à Prêt pour la mise à niveau.
Étape 5. Cliquez sur Continue. La fenêtre Upgrade Nodes s'affiche ensuite. Cliquez sur Upgrade afin de commencer.
Avant de continuer, lisez le chapitre intitulé « Avant de commencer ». Voici un exemple de mise à niveau d'un noeud ISE autonome à partir de l'interface de ligne de commande.
Étape 1. Vérifiez si le référentiel à utiliser contient le fichier de mise à niveau à l'aide de la commande show repository reponame comme indiqué dans l'image.
Étape 2. À partir de l’interface de ligne de commande (CLI) de Cisco ISE, entrez la commande application upgrade prepare avec le nom du fichier d’ensemble et le nom du référentiel où le fichier est stocké.
Cette commande copie le bundle de mise à niveau dans le référentiel local.
Étape 3. À partir de l’interface de ligne de commande Cisco ISE, entrez la commande application upgrade progress, comme indiqué dans l’image.
Une fois que ce message apparaît, démarrez une session SSH après 30 minutes et exécutez la commande show application status ise afin de voir la progression. Ce message apparaît % NOTICE : Mise à niveau du moteur Identity Services Engine en cours...
La mise à niveau est considérée comme terminée lorsque l'état de tous les services attendus passe à l'exécution.
Note: Si la mise à niveau échoue pour une raison quelconque, avant de tenter une nouvelle mise à niveau, utilisez la commande application upgrade cleanup pour effacer les anciens fichiers.
1. Si le téléchargement du bundle à partir du référentiel prend trop de temps ou expire lors du téléchargement via l'interface utilisateur graphique :
2. Dans une mise à niveau de déploiement distribué, l'erreur « Aucun noeud d'administration secondaire dans le déploiement » peut s'afficher lorsque :
Il n'existe aucun noeud Administration secondaire dans le déploiement.
Le noeud Administration secondaire est arrêté.
Le noeud Administration secondaire est mis à niveau et déplacé vers le déploiement mis à niveau. En général, cela se produit si l'option Actualiser les détails du déploiement est utilisée après la mise à niveau du noeud Administration secondaire.
Afin de résoudre ce problème, effectuez l'une des tâches suivantes, le cas échéant :
Si le déploiement n'a pas de noeud d'administration secondaire, configurez un noeud d'administration secondaire et recommencez la mise à niveau.
Si le noeud Administration secondaire est en panne, ouvrez le noeud et recommencez la mise à niveau.
Si le noeud Administration secondaire est mis à niveau et déplacé vers le déploiement mis à niveau, utilisez l'interface de ligne de commande pour mettre à niveau manuellement les autres noeuds du déploiement.
3. L'état de mise à niveau d'un noeud n'a pas changé :
4. Revenez à la version précédente de l'image ISO :
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
15-May-2020 |
Première publication |