Note Importanti Sugli Aggiornamenti A X14.2:
1. Expressway X14.2 supporta solo Smart Licensing.
2. Il limite massimo di Expressway X14.2 è di 2500 sessioni di segnalazione crittografate sugli endpoint e include modifiche del comportamento del server di traffico relative all'ID bug Cisco CSCwc69661 che possono causare errori MRA - Leggere le note sulla versione e la guida per l'amministratore prima di eseguire l'aggiornamento a X14.2. Per ulteriori informazioni, fare riferimento anche alla nota 4 nella sezione Azioni pre-aggiornamento di questo documento.
3. Se è stata configurata una dimensione MTU personalizzata su Expressway, dopo l'aggiornamento viene ripristinata l'impostazione predefinita di 1500, che causa problemi nelle connessioni e nei supporti. Questa impostazione viene rilevata con l'ID bug Cisco CSCwc74590 quindi, dopo l'aggiornamento, è necessario ripristinare le dimensioni MTU precedenti configurate prima dell'aggiornamento.
Introduzione
Questo documento descrive il processo di aggiornamento di Expressway ed è stato creato per guidare l'utente e rispondere alle domande più frequenti.
Premesse
Le informazioni di questo documento si applicano sia a Expressway che a Video Communication Server (VCS). Il documento fa riferimento a Expressway ma può essere scambiato con VCS.
Nota: anche se questo documento è stato progettato per semplificare l'aggiornamento, non sostituisce le note di rilascio di Expressway. Loro sono la fonte della verità.
Consultare sempre le note sulla versione per la versione di destinazione prima di procedere con l'aggiornamento.
Informazioni importanti per tutte le distribuzioni
- I passaggi per l'aggiornamento sono disponibili nelle note sulla versione sia per i sistemi standalone che per i sistemi cluster.
- È possibile eseguire direttamente l'aggiornamento a X14.x dalla versione X8.11.4 e successive. Non è richiesta alcuna versione intermedia. Gli aggiornamenti da qualsiasi versione precedente a X8.11.4 richiedono un aggiornamento intermedio a X8.11.4.
- Per l'aggiornamento di Expressway a X12.5.4 o versione successiva non è richiesta alcuna chiave di rilascio. Tuttavia, è richiesto per i sistemi Cisco VCS.
- Nel caso di un cluster, avviare prima l'aggiornamento sul server "Primario" nel cluster. Una volta aggiornato il nodo "Principale", è possibile aggiornare i nodi "Subordinati" uno alla volta. In questo modo si evita il rischio di perdita dei dati di configurazione e si mantiene la continuità del servizio.
Nota: è possibile trovare "Principale" nel menu Sistema > Clustering. Il numero "Configuration primary" fa riferimento al "Primary peer" nell'elenco dei peer nella stessa pagina.
- È possibile aggiornare contemporaneamente Expressway-E ed Expressway-C "Primary". In alternativa, è possibile aggiornare prima il cluster Expressway-E ("Primario", quindi "Subordinato/i"), quindi il cluster Expressway-C ("Primario" e infine "Subordinato/i"), verificando tuttavia che al termine della finestra di aggiornamento tutti i server (Expressway-C ed Expressway-E) siano nella stessa versione.
- Se si utilizza la funzionalità Cisco Meeting Server (CMS) Proxy WebRTC su Expressway e Expressway-E come server TURN, è necessario eseguire un CMS versione 2.9.3 o 3.0 e successive affinché WebRTC continui a funzionare dopo l'aggiornamento. Le versioni precedenti di CMS non funzionano a causa dell'incompatibilità del servizio TURN relativa all'ID bug Cisco CSCv01243.
- Se le notifiche push sono abilitate per Mobile e Remote Access (MRA), è necessario verificare di eseguire almeno Cisco Unified Communications Manager (CUCM)/ Instant Messaging and Presence (IMP) versione 11.5.1.18900-97 o 12.5.1.13900-152 o 14.0.1.10000-20 o successive prima dell'aggiornamento di Expressways.
Nota: è possibile verificare se le notifiche push sono abilitate da CUCM > Funzioni avanzate > Cisco Cloud Onboarding e verificare se l'opzione Abilita notifiche push è selezionata (abilitata).
Azioni pre-aggiornamento
1. Per continuare a utilizzare la funzionalità MRA dopo l'aggiornamento, è necessario caricare i certificati radice e intermedi che hanno firmato il certificato Expessway-C all'editore CUCM come "tomcat-trust" e come "callmanager-trust".
Dopo il caricamento dei certificati, riavviare i servizi "Cisco Tomcat", "Cisco callmanager" e "Cisco TFTP" su tutti i nodi CUCM pertinenti (il servizio Cisco HAProxy viene riavviato automaticamente con il riavvio del servizio Tomcat).
Questa operazione è necessaria a causa delle modifiche apportate all'ID bug Cisco CSCvz20720. Questa operazione è necessaria anche se si utilizzano profili telefonici non di sicurezza e la modalità di verifica TLS è disabilitata per il cluster CUCM aggiunto in Expressway-C.
Per ulteriori informazioni sui passaggi esatti necessari per ottenere questo risultato, consultare il documento relativo al caricamento del certificato principale e intermedio di Expressway-Core su CUCM.
Nota: è possibile riavviare il servizio "Cisco Tomcat" solo dalla riga di comando con il servizio utilità di comando restart Cisco Tomcat .
2. A partire da X14.2, anche se TLS verify è impostato su Off sui server Unified Communications (CUCM, IM&P, CUC e CMS), i certificati CA (sia radice che eventuali CA intermedie) per tali server devono essere aggiunti all'archivio di attendibilità Expressway-C. In caso contrario, possono verificarsi problemi di accesso all'MRA dopo un aggiornamento a X14.2 o versione successiva.
Inoltre, l'FQDN dei server Unified Communications a cui si connette Expressway-C deve essere incluso nell'elenco SAN nel certificato di tali server.
Questa modifica è stata aggiunta come parte dei miglioramenti alla sicurezza di Expressway, rilevati nell'ID bug Cisco CSCwc69661. Ulteriori informazioni su questo argomento sono disponibili nelle note di rilascio di X14.2.
Inoltre, è possibile fare riferimento alla documentazione Risoluzione dei problemi relativi alla verifica dei certificati del server traffico Expressway per i servizi MRA introdotti da CSCwc69661
3. A partire da X14.2, Smart Licensing è l'unica modalità di licenza disponibile con il modello di licenza basato su Expressway PAK (chiave di opzione) tradizionale che è stato rimosso.
In genere, se si utilizza Expressways for MRA, non è necessaria alcuna licenza e questa modifica non influisce sul sistema. Tuttavia, se si utilizzano chiamate B2B o si registrano endpoint in Expressway (o in altre funzionalità che richiedono una licenza), è necessario verificare che Expressway-C e Expressway-C possano accedere a Cisco Smart Software Manager sul cloud direttamente o tramite un proxy o connettersi a Cisco Smart Software Manager on-Prem.
Le licenze Smart sono abilitate per impostazione predefinita dopo un aggiornamento a X14.2, ma è necessario verificare che la connessione al CSM (cloud o locale) abbia esito positivo.
Ulteriori informazioni su questo argomento sono disponibili nelle note di rilascio di X14.2.
4. A partire da X14.2, Expressway è limitato al limite di 2500 sessioni crittografiche (2500 sessioni sono la somma di tutte le sessioni MRA + chiamate + registrazioni di endpoint su Expressways), una singola sessione MRA con un client potrebbe utilizzare due o più sessioni crittografiche, la stessa con due endpoint di registrazione (H.323 e SIP), ognuno di questi endpoint consumerebbe 2 sessioni crittografiche.
Normalmente questo non ha effetto sulle Expressway di piccole dimensioni utilizzate solo per l'Autorità registrazione integrità, tuttavia ciò influisce su Expressway di medie o grandi dimensioni utilizzate per l'Autorità registrazione integrità.
Prima di X14.2, un Expressway di grandi dimensioni poteva normalmente gestire fino a 3500 sessioni MRA, ma con X14.2 è limitato a 2500.
Ciò significa che la capacità di Expressway potrebbe essere dimezzata. Ad esempio, se si dispone di 2.500 utenti Jabber (con servizi telefonici e IM&P), dopo un aggiornamento a X14.2, Expressway considera 5.000 sessioni di segnale crittografate e le sessioni con un valore superiore a 2.500 vengono rifiutate, con conseguenze sulle chiamate e le registrazioni MRA.
Impossibile rimuovere questo limite in X14.2.
Ulteriori informazioni su questo argomento sono disponibili nelle note di rilascio di X14.2.
5. Se si dispone di un cluster Expressway, assicurarsi di non disporre di allarmi del cluster (Da Stato > Allarmi).
Nota: se si dispone solo del numero di avviso "40049" relativo a "Cluster TLS permissive - La modalità di verifica TLS del cluster consente certificati non validi", è possibile ignorare questo avviso e continuare con l'aggiornamento, ma qualsiasi altro avviso del cluster deve essere risolto prima dell'aggiornamento.
6. Se si dispone di un cluster Expressway, connettersi al server Expressway che si sta per aggiornare tramite SSH e utilizzare l'utente "root" ed eseguire il comando:
cd / && ./sbin/verify-syskey
Nota: questo comando non deve fornire alcun output. Se il comando restituisce un errore, aprire una richiesta TAC per correggere gli errori prima di procedere con l'aggiornamento.
7. Infine, eseguire un backup prima dell'aggiornamento (Da Manutenzione > Backup e ripristino). Eseguire questa operazione su ogni server.
Indicazioni per l'aggiornamento
- Scarica il file di aggiornamento (il nome termina con ".tar.gz") dai download del software Expressway (ad esempio, scarica "s42700x14_0_6.tar.gz" per X14.0.6).
- Caricare il file di aggiornamento (ad esempio "s42700x14_0_6.tar.gz") in Expressway (da Manutenzione > Aggiornamento, quindi fare clic su Sfoglia per trovare il file di aggiornamento sul PC e infine fare clic su Aggiorna).
Nota: il file di aggiornamento viene caricato in Expressway quando si fa clic su Aggiorna. Al termine del caricamento, premere Continua per procedere con l'aggiornamento. Il server installa il software e chiede all'utente di riavviare il sistema per passare al nuovo software.
Azioni post-aggiornamento
Dopo un aggiornamento di Expressway, è necessario aggiornare i nodi di Unified Communications dal server primario Expressway-C:
- Passare a Configurazione > Comunicazione unificata > Server CM unificati. Selezionare tutti i cluster CUCM e selezionare Aggiorna.
- Passare a Configurazione > Comunicazione unificata > Nodi di servizio di messaggistica immediata e presenza. Selezionare tutti i cluster IM&P e scegliere Aggiorna.
- Passare a Configurazione > Comunicazione unificata > Server Unity Connection. Selezionare tutti i cluster CUC e selezionare Aggiorna.
Domande frequenti
Licenze
1. È necessaria una chiave di rilascio per eseguire l'aggiornamento?
R. Per aggiornare Expressway alla versione X12.5.4 o successive, non è necessario disporre di un codice di rilascio (i codici di rilascio sono ancora utilizzati per i sistemi Cisco VCS).
2. È necessario eseguire la migrazione delle licenze?
R. Le licenze installate in Expressway prima dell'aggiornamento vengono migrate automaticamente alla nuova versione.
3. Quali licenze devo aggiornare?
R. Se si intende eseguire l'aggiornamento da X8.11.4 o versione successiva a una versione successiva sullo stesso server, non sono necessarie licenze aggiuntive, le licenze correnti vengono migrate automaticamente alla nuova versione (i sistemi VCS richiedono ancora una chiave di rilascio).
Queste licenze non sono richieste dalla versione X12.5.4 in poi:
Chiave di rilascio LIC-SW-EXP-K9 (da X12.5.4, viene fornita per impostazione predefinita su un aggiornamento di Expressway Systems. è ancora necessario per i sistemi VCS).
Licenze LIC-EXP-TURN TURN relay (fornite per impostazione predefinita)
LIC-EXP-GW Interworking gateway (fornito per impostazione predefinita)
LIC-EXP-AN Advanced networking (fornito per impostazione predefinita)
Queste licenze non sono richieste dalla versione X12.6 in poi:
LIC-EXP-SERIES serie Expressway (è ora possibile modificare questa impostazione dall'interfaccia utente tramite l'Impostazione guidata dei servizi da Stato > Panoramica)
Licenza server LIC-EXP-E Traversal (è ora possibile modificare questa licenza dall'interfaccia utente tramite l'Impostazione guidata servizio da Stato > Panoramica)
4. È necessario abilitare Smart Licensing?
R. Le licenze Smart sono obbligatorie a partire da X14.2. Le versioni inferiori a X14.2 possono comunque utilizzare il modello di licenza con chiave di opzione.
Le licenze Smart sono abilitate per impostazione predefinita dopo un aggiornamento a X14.2, ma è necessario verificare che la connessione al CSM (cloud o locale) sia stata stabilita correttamente.
Compatibilità
1. È possibile eseguire l'aggiornamento direttamente a X14.x?
R. È possibile eseguire direttamente l'aggiornamento a X14.x (o a X12.x) Expressway dalla versione X8.11.4 e successive. Qualsiasi versione inferiore a X8.11.4 richiede un aggiornamento a due fasi. Ulteriori informazioni sono disponibili nelle note sulla versione.
2. Quali versioni di Cisco Unified Communications Manager e di IM&Presence sono compatibili con Expressway?
R. Se si utilizza la notifica Push per Jabber su MRA, le versioni minime sono 11.5.1.18900-97, 12.5.1.13900-152 o 14.0.1.10000-20.
È possibile controllare se le notifiche Push sono abilitate nella pagina di amministrazione CUCM Funzioni avanzate > Cisco Cloud Onboarding. Verificare se l'opzione Abilita notifiche push è selezionata (abilitata).
3. Quale versione CMS è compatibile con Expressway 12.X e 14.X?
R. Se si utilizza CMS WebRTC Proxy su Expressway, assicurarsi di eseguire CMS versione 2.9.3, 3.0 o successiva.
Le versioni precedenti non funzionano a causa dell'incompatibilità del servizio TURN relativa all'ID bug Cisco CSCv01243
Post-aggiornamento
1. Dopo l'aggiornamento, è necessario eseguire altre attività?
R. I nodi Unified Communications devono essere aggiornati dal peer primario Expressway-C:
- Passare a Configurazione > Comunicazione unificata > Server CM unificati. Selezionare tutti i cluster CUCM e selezionare Aggiorna.
- Passare a Configurazione > Comunicazione unificata > Nodi di servizio di messaggistica immediata e presenza. Selezionare tutti i cluster IM&P e scegliere Aggiorna.
- Passare a Configurazione > Comunicazione unificata > Server Unity Connection. Selezionare tutti i cluster CUC e selezionare Aggiorna.
2. Come posso verificare che l'aggiornamento sia stato completato?
R. È possibile verificare due aspetti:
- Verificare che il cluster sia stabile (da Sistema > Clustering) e confermare che non vi siano allarmi del cluster Stato > Allarmi.
- Verificare che la zona con tipo "Unified communication traversal" sia contrassegnata come "Active" (attiva) per lo "stato SIP" su Expressway-C e Expressway-E. È normale vedere le zone CE (tcp/tls/OAuth) create automaticamente (da Configurazione > Zone) come "Risolvibili indirizzi" anziché "Attive".
- Esecuzione di test in tempo reale mediante l'accesso MRA, chiamate di test e così via.
3. Viene visualizzato un nuovo avviso relativo a "Hardware non supportato" o "Avviso hardware non adatto" sul server Virtual Expressway dopo un aggiornamento riuscito?
R. Expressway versione X14.x verifica ora la velocità di clock della CPU della macchina virtuale (VM) e verifica che corrisponda alla velocità di clock richiesta per la macchina virtuale delle stesse dimensioni indicate nella guida alla virtualizzazione di Expressway. Gli allarmi esatti vengono visualizzati come: "Avviso hardware non idoneo - L'hardware corrente non soddisfa i requisiti di configurazione della macchina virtuale supportati per questa versione di Expressway.".
Se viene visualizzato questo avviso, verificare che le risorse della VM corrispondano alle risorse indicate nella guida alla virtualizzazione di Expressway. Se le dimensioni sono inferiori a quelle indicate nella Guida, è necessario ricreare il server per soddisfare i requisiti minimi relativi alle dimensioni selezionate e quindi ripristinare un backup.
Nota importante per X14.0.7
Se si dispone di un'implementazione di tipo Medio (vedere da Stato > Sistema > Informazioni) E la VM ha una velocità di clock superiore a 3,19 GHz E la versione VCS/Expressway è esattamente X14.0.7, è possibile ignorare l'allarme. Questo allarme viene attivato in modo errato a causa dell'ID bug Cisco CSCwc09399.
MRA (Mobile Remote Access)
1. L'aggiornamento richiede modifiche alla configurazione di Cisco Unified Communications Manager (CUCM)?
R. Se si utilizza MRA, a causa del miglioramento della sicurezza dell'ID bug Cisco CSCvz20720, i certificati radice e intermedi delle Autorità di certificazione che hanno firmato il certificato Expressway-C devono essere caricati come "tomcat-trust" e "callmanager-trust" sul server di pubblicazione CUCM (vengono replicati sui sottoscrittori). Questa operazione è necessaria anche se si utilizzano profili telefonici non di sicurezza e la modalità di verifica TLS è disabilitata per il cluster CUCM aggiunto in Expressway-C. Riavviare i servizi "Cisco Tomcat", "Cisco CallManager" e "Cisco TFTP" su ciascun server in modo che le modifiche abbiano effetto.
Il servizio "Cisco Tomcat" può essere riavviato solo dalla riga di comando con il comando "utils service restart Cisco Tomcat".
Per ulteriori informazioni sui passaggi esatti necessari per ottenere questo risultato, consultare il documento relativo al caricamento del certificato principale e intermedio di Expressway-Core su CUCM.
2. È necessario modificare il certificato Expressway-C per eseguire l'aggiornamento?
R. Non è necessario modificare il certificato Expressway-C se è ancora valido. Tuttavia, i certificati radice e intermedi delle Autorità di certificazione che hanno firmato il certificato Expressway-C devono essere caricati come "tomcat-trust" e "callmanager-trust" nel server di pubblicazione CUCM. Per ulteriori informazioni, vedere il punto 1 nella sezione Azioni pre-aggiornamento.
Pre-aggiornamento
1. Quali elementi è necessario verificare prima dell'aggiornamento?
R. Se si dispone di un sistema Expressway in cluster, verificare che non siano presenti allarmi del cluster da Stato > Allarmi.
Nota: l'allarme "40049" con il messaggio "Cluster TLS permissive - La modalità di verifica TLS del cluster consente certificati non validi" non influisce sul processo di aggiornamento. Tutte le altre occorrenze devono essere risolte prima dell'aggiornamento.
Inoltre, eseguire il comando cd / && ./sbin/verify-syskey dalla riga di comando tramite l'utente root. Questo comando non deve restituire alcun output. In caso affermativo, si consiglia di aprire una richiesta TAC per verificare e correggere il problema.
Processo di aggiornamento
1. Qual è la sequenza di aggiornamento in un sistema cluster?
R. Avviare l'aggiornamento dal peer "Configuration primary" nel cluster. È possibile vedere quale si trova sotto il menu Sistema > Clustering. Il numero "Configuration primary" visualizza quello tra i peer.
Al termine dell'aggiornamento del peer primario, è possibile continuare con i peer subordinati (uno alla volta).
2. È possibile aggiornare contemporaneamente Expressway-C ed Expressway-E?
R. Sì, è possibile eseguire questa operazione, tuttavia si consiglia di aggiornare prima i server Expressway-E e quindi i server Expressway-C in modo che la zona di attraversamento sia configurata correttamente prima sul server E. Se si dispone di un cluster, assicurarsi di avviare l'aggiornamento con i server "Principali". Una volta completato l'aggiornamento sul "Principale", è possibile aggiornare i peer "Subordinati".
3. Dove posso scaricare l'immagine di aggiornamento di Expressway?
R. Tutte le immagini di aggiornamento di Expressway sono disponibili nel collegamento qui. Scaricare il file con estensione "tar.gz" per la versione a cui si desidera effettuare l'aggiornamento:
https://software.cisco.com/download/home/286255326/type/280886992/
4. Come avviare l'aggiornamento?
A. Selezionare Manutenzione > Aggiorna > Sfoglia, selezionare il file di aggiornamento e fare clic su "Aggiorna". Il file viene prima trasferito. A questo punto, viene visualizzato il pulsante "Continua" per avviare il processo di aggiornamento.
5. Quanto tempo richiede il processo di aggiornamento?
R. Nella maggior parte dei casi il processo di aggiornamento impiega fino a 10 minuti dopo il trasferimento del file di aggiornamento al sistema ed è stato selezionato "Continua".
Tuttavia, si consiglia di pianificare un intervallo di manutenzione da 4 a 48 ore per i test successivi all'aggiornamento.
6. Quale accesso è necessario per eseguire l'aggiornamento?
R. L'aggiornamento viene eseguito tramite l'interfaccia Web; tuttavia, nel caso si verifichino dei problemi dopo l'aggiornamento, potrebbe essere necessario l'accesso alla console.
È consigliabile verificare prima dell'aggiornamento che l'accesso alla console VMware o CIMC sia disponibile.
Backup e ripristino
1. È necessario eseguire un backup prima dell'aggiornamento?
R. È consigliabile eseguire un backup prima dell'aggiornamento di Expressway. Nel caso di un cluster, eseguire un backup da tutti i server.
È possibile eseguire questa operazione su ogni server da Manutenzione > Backup e ripristino .
2. È possibile creare un'istantanea di Expressway prima dell'aggiornamento?
R. Gli snapshot VMware non sono supportati in Expressway.
3. È possibile eseguire il rollback/ripristino del sistema precedente che si disponeva prima dell'aggiornamento?
R. Expressway mantiene due set di partizioni dopo un aggiornamento. Uno è con la versione aggiornata e uno è con la versione precedente.
È possibile passare da una partizione all'altra con il comando "selectsw <1 o 2>" dalla shell utente root.
È possibile verificare la partizione attiva corrente con il comando "selectsw".
Ad esempio, se si ottiene "1" dopo aver eseguito il comando "selectsw", la versione attiva sarà "1" e la versione inattiva sarà "2". Per passare alla partizione inattiva, eseguire un comando "selectsw 2". Per avviare il sistema da una partizione appena selezionata, è necessario riavviare il sistema.
Server per appliance fisiche
1. È possibile eseguire l'aggiornamento a questa versione sul server dell'appliance fisica?
R. Per tutti i server delle appliance fisiche (CE500, CE1000, CE1100, CE1200), fare riferimento alla "Tabella 2" nella sezione "Piattaforme supportate" delle note di rilascio per la versione di destinazione in uso per verificare se è possibile eseguire l'aggiornamento alla versione di destinazione.
2. Se si dispone di un CE1100, è possibile aggiornarlo a X14.0.x e X14.2.x?
R. Per il server applicazioni fisiche CE1100, è possibile eseguire l'aggiornamento a X14.0.x e X14.2.x per ridurre le vulnerabilità e ignorare l'allarme "Hardware non supportato". Questo è menzionato nelle note di rilascio di X14.0.6. Cisco ha esteso la scadenza del supporto per situazioni di vulnerabilità/sicurezza dal 14 novembre 2021 (come da annuncio originale di fine del ciclo di vita) al 30 novembre 2023, in linea con l'ultima data del supporto, ai clienti con un contratto di assistenza valido. Si noti che questo vale solo per le correzioni delle vulnerabilità e non per le nuove funzionalità.
Server virtuali ed ESXi
1. Quale versione di ESXi è supportata con questa versione di Expressway?
R. Le informazioni sul supporto ESXi sono disponibili nella guida all'installazione (in Requisiti di sistema > Requisiti ESXi) per la versione di destinazione di Expressways.