Directives et limites en matière de rétrogradation
Consultez les consignes suivantes avant la rétrogradation :
-
Il n’y a pas de prise en charge officielle de la rétrogradation sans temps d’arrêt pour la mise en grappe. Cependant la rétrogradation sans temps d’arrêt fonctionnera dans certains cas. Consultez les problèmes connus suivants relatifs à la rétrogradation. Veuillez noter que d’autres problèmes peuvent vous obliger à recharger vos unités de grappe, ce qui entraînera un temps d’arrêt.
-
La rétrogradation à une version antérieure à la version 9.9(1) avec mise en grappe: la version 9.9(1) et les versions ultérieures inclut une amélioration de la distribution des sauvegardes. Si vous avez au moins 3 unités dans la grappe, vous devez effectuer les étapes suivantes :
-
Supprimez toutes les unités secondaires de la grappe (pour que celle-ci ne se compose que de l’unité principale).
-
Rétrogradez une unité secondaire et réintégrez-la à la grappe.
-
Désactivez la mise en grappe sur l’unité principale, rétrogradez-la et réintégrez-la à la grappe.
-
Rétrogradez les unités secondaires restantes et joignez-les à la grappe, une à la fois.
-
-
Rétrograder à une version antérieure à la version 9.9(1) lorsque vous activez la redondance du site en grappe : vous devez désactiver la redondance de site si vous souhaitez effectuer une rétrogradation (ou si vous souhaitez ajouter à une grappe une unité dont la version est antérieure à la version 9.9(1)). Sinon, vous constaterez des effets secondaires, par exemple des flux de transfert fictifs sur l’unité exécutant l’ancienne version.
-
Rétrogradation à partir de la version 9.8(1) avec mise en grappe et carte de chiffrement : il n’y a pas de prise en charge de la rétrogradation sans temps d’arrêt à partir de la version 9.8(1) lorsqu’une carte de chiffrement est configurée. Vous devez effacer la configuration de la carte de chiffrement avant la rétrogradation, puis réappliquer la configuration après la rétrogradation.
-
Rétrograder de la version 9.8(1) avec un contrôle d’intégrité de l’unité de mise en grappe défini sur 0,3 à 0,7 seconde : si vous rétrogradez votre logiciel ASA après avoir défini le délai de rétention sur 0,3–0,7 (health-check holdtime ), ce paramètre reviendra à la valeur par défaut de 3 secondes, car le nouveau paramètre n’est pas pris en charge.
-
Rétrogradation à partir de la version 9.5(2) ou d’une version ultérieure à la version 9.5(1) ou une version antérieure avec mise en grappe (CSCuv82933) : il n’y a pas de prise en charge de la rétrogradation sans temps d’arrêt à partir de la version 9.5(2). Vous devez recharger toutes les unités à peu près en même temps afin qu’un nouveau cluster se forme lorsque les unités sont de nouveau en ligne. Si vous attendez pour recharger les unités de manière séquentielle, elles ne pourront pas former de grappe.
-
Rétrogradation à partir de la version 9.2(1) ou d’une version ultérieure à la version 9.1 ou une version antérieure avec mise en grappe : la rétrogradation sans temps d’arrêt n’est pas prise en charge.
-
-
Problème de rétrogradation de la version 9.22 ou de toute version ultérieure : si vous désactivez le port USB à l’aide de la commande USB-port disable, mais que vous le rétrogradez à une version antérieure, le port restera désactivé et vous ne pourrez pas le réactiver sans effacer la NVRAM (la commande erase secure all de la gestion locale FXOS).
-
Problème de rétrogradation de la version 9.18 ou ultérieure : il y a un changement de comportement dans la version 9.18 où la commande access-group sera répertoriée avant ses commandes access-list. Si vous effectuez une rétrogradation, la commande access-group sera rejetée, car elle n’a pas encore chargé les commandes access-list. Ce résultat se produit même si vous avez précédemment activé la commande forward-reference enable , car cette commande est maintenant supprimée. Avant de procéder à la rétrogradation, assurez-vous de copier toutes les commandes access-group manuellement, puis après la rétrogradation, saisissez-les de nouveau.
-
Problème de rétrogradation du Firepower 2100 en mode plateforme à partir de la version 9.13/9.14 à la version 9.12 ou à une version antérieure : pour un Firepower 2100 disposant d’une nouvelle installation de la version 9.13 ou 9.14 que vous avez convertie en mode plateforme : si vous rétrogradez le périphérique à la version 9.12 ou à une version antérieure, vous ne pourrez pas configurer de nouvelles interfaces ni modifier des interfaces existantes dans FXOS (notez que la version 9.12 et les versions antérieures ne prennent en charge que le mode plateforme). Vous devez soit restaurer votre version à la version 9.13 ou à une version ultérieure, soit effacer votre configuration à l’aide de la commande de configuration d’effacement FXOS. Ce problème ne se produit pas si vous avez initialement effectué une mise à niveau vers la version 9.13 ou 9.14 à partir d’une version antérieure. Seules les nouvelles installations sont concernées, comme un nouveau périphérique ou un périphérique recréé. (CSCvr19755)
-
Rétrogradation de la version 9.10(1) pour les licences Smart : en raison de modifications dans l’agent Smart, si vous effectuez une rétrogradation, vous devez réenregistrer votre périphérique auprès de Cisco Smart Software Manager. Le nouvel agent Smart utilise un fichier chiffré. Vous devez donc vous réenregistrer pour utiliser un fichier non chiffré requis par l’ancien agent Smart.
-
Rétrograder à la version 9.5 ou à une version antérieure avec des mots de passe utilisant le hachage PBCDF2 (Password-Based Key Derivation Function 2) : les versions antérieures à la version 9.6 ne prennent pas en charge le hachage PBKDF2. Dans la version 9.6(1), les mots de passe enable et username de plus de 32 caractères utilisent le hachage PBCDF2. Dans la version 9.7(1), les nouveaux mots de passe de toutes les longueurs utilisent le hachage PBCDF2 (les mots de passe existants continuent d’utiliser le hachage MD5). Si vous effectuez une rétrogradation, le mot de passe de enable revient à la valeur par défaut (c’est-à-dire vide). Les noms d’utilisateur ne seront pas analysés correctement, et les commandes username seront supprimées. Vous devez recréer vos utilisateurs locaux.
-
Rétrograder à partir de la version 9.5(2.200) pour le ASA virtuel : le ASA virtuel ne conserve pas l’état d’enregistrement de la licence. Vous devez vous réenregistrer à l’aide de la commande license smart register idtoken id_token force (pour ASDM : consultez la page Configuration > Gestion des périphériques > Licence > Licences Smart et utilisez l’option Forcer l’enregistrement) et obtenir le jeton d’identification auprès de Smart Software Manager.
-
Les tunnels VPN sont répliqués sur l’unité de secours même si cette dernière exécute une version du logiciel qui ne prend pas en charge la suite de chiffrement que le tunnel d’origine a négociée. Ce scénario se produit lors de la rétrogradation. Dans ce cas, déconnectez votre connexion VPN et reconnectez-vous.