소개
이 문서에서는 Cisco ISE 어플라이언스 및 가상 머신(VM)에 설정된 현재 ISE(Identity Services Engine) 버전 2.4.6을 2.6으로 업그레이드하는 방법에 대해 설명합니다. 또한 업그레이드 프로세스가 시작되기 전에 URT(Upgrade Readiness Tool)를 사용하여 컨피그레이션 데이터 업그레이드 문제를 감지하고 수정하는 방법도 포함되어 있습니다.
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- Identity Services Engine(ISE)
- 다양한 유형의 ISE 구축을 설명하는 데 사용되는 용어 이해
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
- ISE, 릴리스 2.4
- ISE, 릴리스 2.6
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
참고: 절차는 다른 ISE 버전에서도 비슷하거나 동일합니다. 달리 명시되지 않는 한 이 단계는 모든 2.x ISE 소프트웨어 릴리스에서 사용할 수 있습니다.
배경 정보
Cisco ISE 구축 업그레이드는 다단계 프로세스이며 이 문서에 지정된 순서대로 수행해야 합니다. 이 문서에 제공된 예상 시간을 사용하여 다운타임을 최소화하면서 업그레이드를 계획하십시오. PSN 그룹의 일부인 여러 PSN(Policy Service Node)이 있는 구축의 경우 다운타임이 없습니다. 업그레이드된 PSN을 통해 인증된 엔드포인트가 있는 경우 노드 그룹의 다른 PSN에서 요청이 처리됩니다. 엔드포인트가 재인증되고 인증에 성공한 후 네트워크 액세스가 부여됩니다.
업그레이드 준비 도구
업그레이드 프로세스를 시작하기 전에 URT를 사용하여 컨피그레이션 데이터 업그레이드 문제를 탐지하고 수정합니다. 대부분의 업그레이드 실패는 컨피그레이션 데이터 업그레이드 문제로 인해 발생합니다. URT는 업그레이드 전에 데이터를 검증하여 가능한 경우 문제를 식별하고 보고하거나 수정합니다. URT는 보조 정책 관리 노드 또는 독립형 노드에서 실행할 수 있는 별도의 다운로드 가능 번들로 사용할 수 있습니다. 이 툴을 실행하는 데 다운타임이 발생하지 않습니다.
주의: URT 도구는 기본 관리 노드에서 실행할 수 없습니다.
이 비디오 링크에서는 URT 사용 방법에 대해 설명합니다.
URT는 보조 관리 노드 또는 독립형 노드에서 실행됩니다.
주의: URT 도구는 모니터링 노드 (MnT) 운영 데이터 업그레이드를 시뮬레이션하지 않습니다.
다음은 독립형 노드에서 URT를 실행하는 방법을 보여 주는 예입니다(보조 관리 노드에서 동일한 프로세스를 따를 수 있음).
1단계. URT 번들을 다운로드합니다.
계획은 버전 2.6으로 업그레이드하는 것이므로 이미지에 표시된 대로 ISE 2.6용 Cisco.com에 게시된 URT를 다운로드합니다.
2.6용 URT
2단계. 리포지토리를 생성하고 URT 번들을 복사합니다.
FTP(File Transfer Protocol)를 사용하여 성능과 안정성을 높이는 것이 좋습니다. 느린 WAN 링크 전반에 있는 리포지토리는 사용하지 마십시오. 노드에 더 가까운 로컬 저장소를 사용하는 것이 좋습니다.
이미지에 표시된 대로 ISE GUI에서 Administration > System > Maintenance > Repository > Add로 이동합니다.
저장소
선택적으로, 시간을 절약하려면 다음 명령을 사용하여 Cisco ISE 노드의 로컬 디스크에 URT 번들을 복사합니다.
copy repository_url/path/ise-urtbundle-2.6.0.xxx-1.0.0.SPA.x86_64.tar.gz disk:/
예를 들어, SFTP(Secure FTP)가 업그레이드 번들을 복사하는 데 사용되는 경우 다음을 수행합니다.
(Add the host key if it does not exist) crypto host_key add host mySftpserver
copy sftp://aaa.bbb.ccc.ddd/ise-urtbundle-2.6.0.xxx-1.0.0.SPA.x86_64.tar.gz disk:/
aaa.bbb.ccc.ddd는 SFTP 서버의 IP 주소 또는 호스트 이름이고 ise-urtbundle-2.6.0.xxx-1.0.0.SPA.x86_64.tar.gz는 URT 번들의 이름입니다.
팁: 시간을 절약하려면 로컬 디스크에 URT 번들을 포함하는 것이 좋습니다.
3단계. URT 번들을 실행합니다.
application install 명령을 입력하여 URT를 설치합니다.
application install ise-urtbundle-2.6.0.x.SPA.x86_64.tar.gz reponame

경고는 노드에서 실행되는 서비스 및 사용자가 이 노드에서 URT를 계속 실행하려는 경우에 대해 설명합니다. 이미지에 표시된 대로 진행하려면 Y를 입력합니다.

당신은 가끔 URT의 나이가 많다는 것을 알아차립니다. 번들이 Cisco 웹 사이트에서 다운로드한 최신 번들인 경우 계속 진행해도 됩니다. 최신 URT 번들은 45일 이상 된 것일 수도 있습니다. 계속하려면 Y를 입력합니다.
사례 1. URT 실행 성공
1. URT가 성공적으로 실행되면 다음과 같이 출력됩니다.


2. URT는 컨피그레이션 및 MNT 데이터의 크기를 기준으로 각 노드의 예상 업그레이드 시간을 제공합니다.
3. URT 실행을 성공적으로 완료한 후 업그레이드를 진행합니다.
4. urt
- URT가 지원되는 Cisco ISE 버전에서 실행되는지 확인합니다. 지원되는 버전은 릴리스 2.1, 2.2, 2.3 및 2.4입니다(버전 2.6으로 업그레이드).
- URT가 독립형 Cisco ISE 노드 또는 보조 정책 관리 노드(보조 PAN)에서 실행되는지 확인합니다.
- URT 번들이 45일 미만인지 확인 - 이 확인은 가장 최근의 URT 번들을 사용하기 위해 수행됩니다.
모든 필수 구성 요소가 충족되는지 확인합니다.
다음은 URT에서 확인하는 사전 요구 사항입니다.
참고: 사용 가능한 디스크 크기를 디스크 요구 사항 크기로 확인합니다. 디스크 크기를 늘려야 하는 경우 ISE를 다시 설치하고 컨피그레이션 백업을 복원합니다.
- NTP 서버
- 메모리
- 시스템 및 신뢰할 수 있는 인증서 검증
5. 구성 데이터베이스를 복제합니다.
6. 최신 업그레이드 파일을 업그레이드 번들에 복사합니다.
참고: URT 번들에 패치가 없으면 N/A.This이 반환됩니다. 이는 핫 패치를 설치할 때 예상된 동작입니다.
7. 복제된 데이터베이스에 대해 스키마 및 데이터 업그레이드를 수행합니다.
-
복제된 데이터베이스의 업그레이드가 성공하면 업그레이드가 종료되는 데 걸리는 예상 시간이 제공됩니다.
-
업그레이드에 성공하면 복제된 데이터베이스가 제거됩니다.
-
복제된 데이터베이스의 업그레이드가 실패하면 필요한 로그를 수집하고 암호화 비밀번호를 묻는 메시지를 표시한 다음 로그 번들을 생성하여 로컬 디스크에 저장합니다.
사례 2. URT 실행 실패
1. 업그레이드에 문제가 발생할 수 있는 이유로 인해 URT가 실패할 수 있습니다. 이 경우 URT는 실패 원인을 반환합니다.
2. 다음은 URT 실패 실행의 예입니다.

3. URT가 실패한 이유는 다음과 같습니다. 이름이 'VeriSign Class 3 Secure Server CA - G3'인 트러스트 인증서가 잘못되었습니다. 인증서가 만료되었습니다.
4. 업그레이드 사전 점검에서 설명한 것처럼 ISE 시스템에 만료된 인증서가 있으면 업그레이드가 실패합니다. 만료된 모든 인증서를 갱신하거나 교체해야 합니다.
5. URT는 사용자가 실패 사유를 모를 경우 Cisco TAC와 공유할 수 있는 실패 로그를 저장합니다.
6. 로그를 암호화할 비밀번호를 입력하라는 프롬프트가 표시됩니다. 이러한 URT 로그는 로컬 디스크에 저장됩니다.

7. 로컬 디스크에서 저장소로 복사한 다음 Cisco TAC와 공유하여 문제를 해결합니다.

ISE 업그레이드
업그레이드를 시작하기 전에 다음 작업이 완료되었는지 확인합니다.
1. ISE 컨피그레이션 및 운영 데이터의 백업을 가져옵니다.
*Cisco ISE가 VMware에서 실행되는 경우 VMware 스냅샷은 ISE 데이터 백업에 지원되지 않습니다.
2. 시스템 로그의 백업을 가져옵니다.
3. 예약 백업을 비활성화합니다. 구축 업그레이드가 완료된 후 백업 일정을 재구성합니다.
4. 인증서 및 개인 키를 내보냅니다.
5. 저장소를 구성합니다. 업그레이드 번들을 다운로드하여 리포지토리에 저장합니다.
6. AD(Active Directory) 조인 자격 증명과 RSA SecurID 노드 암호를 적어두십시오(해당하는 경우). 이 정보는 업그레이드 후 Active Directory 또는 RSA SecurID 서버에 연결하는 데 필요합니다.
7. 업그레이드 성능 향상을 위해 운영 데이터를 삭제합니다.
8. 저장소에 대한 인터넷 연결이 양호한지 확인합니다.
참고: 35분 이상 소요될 경우 저장소에서 노드로의 업그레이드 번들 다운로드가 시간 초과됩니다.
업그레이드 준비:
이러한 지침은 업그레이드 프로세스에서 발생할 수 있는 현재 구축의 문제를 해결하는 데 도움이 됩니다. 따라서 전반적인 업그레이드 다운타임이 줄어들고 효율성이 향상됩니다.
최신 패치: 업그레이드하기 전에 현재 버전의 최신 패치로 업그레이드하십시오.
스테이징 환경: 운영 네트워크를 업그레이드하기 전에 업그레이드 문제를 파악하고 해결하려면 스테이징 환경에서 업그레이드를 테스트하는 것이 좋습니다.
패치 수준: Cisco ISE 구축의 모든 노드는 데이터를 교환 하는 동일 한 패치 수준에 있습니다.
참고: 구축의 모든 노드가 동일한 Cisco ISE 버전 및 패치 버전에 있지 않으면 다음과 같은 경고 메시지가 표시됩니다. "업그레이드를 시작할 수 없습니다"가 표시됩니다. 이 메시지는 업그레이드가 차단된 상태임을 나타냅니다. 업그레이드 프로세스가 시작되기 전에 구축의 모든 노드가 동일한 버전(패치 버전이 있는 경우 포함)인지 확인합니다.
운영 데이터(로그): 기존 로그를 아카이브하고 새 구축으로 전송하지 않는 것이 좋습니다. 이는 MnT에서 복원된 작업 로그는 나중에 MnT 역할이 변경될 경우 다른 노드에 동기화되지 않기 때문입니다. MnT 로그를 유지하려는 경우 MnT 노드에 대해 이러한 작업을 수행하고 새 구축에 MnT 노드로 참여합니다. 그러나 운영 로그를 유지할 필요가 없는 경우에는 MnT 노드를 다시 이미징하여 이 작업을 건너뛸 수 있습니다.
필요한 재이미지인 경우: 프로덕션 구축에 영향을 주지 않고 다중 노드 구축인 경우 Cisco ISE 설치를 병렬로 수행할 수 있습니다. ISE 서버를 병렬로 설치하면 특히 이전 릴리스의 백업 및 복원을 사용할 때 시간이 절약됩니다. PSN을 새 배포에 추가하여 PAN에서 등록 프로세스 시 현재 정책을 다운로드할 수 있습니다.
Cisco ISE 구축에서 레이턴시 및 대역폭 요구 사항을 파악하려면 ISE 레이턴시 및 대역폭 계산기를 사용하십시오.
HA 데이터 센터: 전체 분산 구축을 사용하는 DC(데이터 센터)가 있는 경우 기본 DC를 업그레이드하기 전에 백업 DC를 업그레이드하고 사용 사례를 테스트하십시오.
하루 전에 다운로드: 업그레이드 전에 로컬 리포지토리에 최신 업그레이드 번들을 다운로드하고 저장하여 프로세스를 가속화합니다.
시간 예측: GUI에서 ISE 업그레이드의 경우 프로세스에 대한 시간 초과는 4시간입니다. 프로세스가 4시간 이상 걸리면 업그레이드가 실패합니다. URT에 4시간 이상이 소요될 경우 이 프로세스에 CLI를 사용하는 것이 좋습니다.
로드 밸런서: 컨피그레이션을 변경하기 전에 로드 밸런서의 백업을 수행합니다. 업그레이드 창 시 로드 밸런서에서 PSN을 제거하고 업그레이드 후에 다시 추가합니다.
PAN 장애 조치: 업그레이드 시 자동 PAN 장애 조치(구성된 경우)를 비활성화하고 PAN 간 하트비트를 비활성화합니다.
정책 검토: 현재 정책 및 규칙을 검토하고 오래된 중복 오래된 정책 및 규칙을 제거합니다.
원치 않는 로그: 원치 않는 모니터링 로그 및 엔드 포인트 데이터를 제거 합니다.
버그 확인: 열려 있거나 수정된 업그레이드 관련 결함을 찾으려면 버그 검색 툴을 사용합니다.
업그레이드 후: 서비스 연속성을 보장하기 위해 사용자 수가 더 적은 새로운 구축의 모든 활용 사례를 테스트합니다.
GUI에서 ISE 업그레이드
Cisco ISE는 관리 포털에서 GUI 기반 중앙 집중식 업그레이드를 제공합니다. 업그레이드 프로세스가 훨씬 간소화되고 업그레이드 진행률 및 노드 상태가 화면에 표시됩니다. 관리 > 업그레이드 메뉴 옵션 아래의 개요 페이지에는 구축의 모든 노드, 노드에서 활성화된 페르소나, 설치된 ISE 버전 및 노드 상태(노드가 활성 상태인지 비활성 상태인지 표시)가 나열됩니다. 노드가 활성 상태인 경우에만 업그레이드를 시작할 수 있습니다.
ISE가 릴리스 2.0 이상에 있고 릴리스 2.0.1 이상으로 업그레이드해야 하는 경우에만 관리 포털에서 GUI 기반 업그레이드가 지원됩니다.
이 경고 메시지가 표시되는 경우: "노드가 업그레이드 전 상태로 되돌아갔습니다." 업그레이드 창으로 이동하여 세부 정보 링크를 클릭합니다. 업그레이드 실패 세부 정보 창에 나열된 문제를 해결합니다. 모든 문제가 해결된 후 Upgrade(업그레이드)를 클릭하여 업그레이드를 다시 시작합니다.
1단계. 관리 포털에서 Upgrade(업그레이드) 탭을 클릭합니다.
2단계. Proceed(진행)를 클릭합니다.
Review Checklist 창이 나타납니다. 이미지에 표시된 대로 지정된 지침을 주의 깊게 읽습니다.

3단계. '체크리스트를 검토했습니다' 확인란을 선택하고 계속을 클릭합니다.
이미지에 표시된 대로 Download Bundle to Nodes(노드에 번들 다운로드) 창이 나타납니다.

4단계. 리포지토리에서 노드로 업그레이드 번들을 다운로드합니다.
1. 번들이 다운로드되는 노드 옆의 확인란을 선택합니다.
2. 다운로드를 클릭합니다. 그림과 같이 저장소 및 번들 선택 창이 나타납니다.
3. 저장소를 선택합니다.
4. 업그레이드에 사용되는 번들 옆의 확인란을 선택합니다.
5. 확인을 클릭합니다. 번들이 노드에 다운로드되면 노드 상태가 Ready for Upgrade(업그레이드 준비)로 변경됩니다.
5단계. 계속을 클릭합니다. 그런 다음 Upgrade Nodes 창이 나타납니다. 시작하려면 Upgrade(업그레이드)를 클릭합니다.
CLI에서 ISE 업그레이드
계속하기 전에 '시작하기 전에' 장을 읽으십시오. 다음은 CLI에서 독립형 ISE 노드를 업그레이드하는 예입니다.
1단계. 사용할 리포지토리에 이미지에 표시된 대로 show repository reponame 명령을 사용하여 업그레이드 파일이 있는지 확인합니다.

2단계. Cisco ISE CLI(Command Line Interface)에서 번들 파일 이름 및 파일이 저장된 저장소 이름과 함께 application upgrade prepare 명령을 입력합니다.
이 명령은 업그레이드 번들을 로컬 리포지토리에 복사합니다.

3단계. Cisco ISE CLI에서 이미지에 표시된 대로 application upgrade proceed 명령을 입력합니다.


이 메시지가 나타나면 30분 후에 SSH 세션을 시작하고 show application status ise 명령을 실행하여 진행률을 확인합니다. 이 메시지는 % 알림으로 표시됩니다. Identity Services Engine 업그레이드가 진행 중입니다...
모든 예상 서비스의 상태가 running으로 변경되면 업그레이드가 완료된 것으로 간주됩니다.
참고: 어떤 이유로 인해 업그레이드가 실패할 경우, 업그레이드를 다시 시도하기 전에 애플리케이션 업그레이드 정리 명령을 사용하여 기존 파일을 지웁니다.
일반적인 문제
1. 번들이 저장소에서 다운로드하는 데 시간이 너무 오래 걸리거나 GUI를 통해 다운로드할 때 시간 초과되는 경우:
- 번들 다운로드를 처리할 대역폭이 충분한지 확인합니다.
- 업그레이드 번들을 저장소에서 노드로 다운로드할 때 완료하는 데 35분 이상이 걸리면 다운로드 시간이 초과됩니다. 저장소에 대한 인터넷 연결이 양호한지 확인합니다.
2. 분산형 구축 업그레이드의 경우 다음과 같은 경우 "구축에 보조 관리 노드가 없습니다." 오류가 표시됩니다.
이 문제를 해결하려면 다음 작업 중 하나를 수행합니다.
-
구축에 보조 관리 노드가 없는 경우 보조 관리 노드를 구성하고 업그레이드를 다시 시도하십시오.
-
보조 관리 노드가 다운된 경우 노드를 위로 올리고 업그레이드를 다시 시도하십시오.
-
보조 관리 노드가 업그레이드되어 업그레이드된 구축으로 이동하는 경우 CLI를 사용하여 구축의 다른 노드를 수동으로 업그레이드합니다.
3. 노드의 업그레이드 상태가 변경되지 않았습니다.
- GUI에서 업그레이드 상태가 오랫동안 변경되지 않고 80%로 유지되는 경우 CLI의 업그레이드 로그 또는 콘솔에서 업그레이드 상태를 확인하십시오.
- 업그레이드 진행 상황을 보려면 CLI에 로그인하거나 Cisco ISE 노드의 콘솔을 확인하십시오. show logging application 명령을 사용하여 upgrade-uibackend-cliconsole.log 및 upgrade-postosupgrade-yyyymmdd-xxxxxx.log를 확인합니다.
- show logging application 명령을 사용하여 CLI에서 DB Data Upgrade Log, DB Schema Log 및 Post OS Upgrade Log를 확인합니다.
4. ISO 이미지의 이전 버전으로 롤백:
- 드문 경우이지만 Cisco ISE 어플라이언스를 이전 버전 이미지로 다시 이미지화하고 백업 파일에서 데이터를 복원해야 할 수 있습니다. 데이터 복원 후 이전 구축에 등록하고 이전 구축에서 수행한 페르소나를 활성화합니다. 따라서 업그레이드 프로세스가 시작되기 전에 Cisco ISE 컨피그레이션 및 운영 데이터를 백업하는 것이 좋습니다.
- 컨피그레이션 및 모니터링 데이터베이스의 문제로 인해 발생하는 업그레이드 실패가 자동으로 롤백되지 않는 경우도 있습니다. 이 경우 데이터베이스가 롤백되지 않았다는 알림과 함께 업그레이드 실패 메시지가 나타납니다. 이러한 시나리오에서는 시스템을 수동으로 리이미징하고 Cisco ISE를 설치하고 컨피그레이션 데이터 및 운영 데이터를 복원합니다(MnT 페르소나가 활성화된 경우).
- 롤백 또는 복구 시도 전에 backup-logs 명령을 사용하여 지원 번들을 생성하고, 필요한 경우 나중에 TAC에서 조사할 수 있도록 지원 번들을 원격 저장소에 배치합니다.