升级身份服务引擎(ISE)
简介
本文档介绍如何将当前身份服务引擎(ISE)版本2.4升级到2.6。在Cisco ISE设备和虚拟机(VM)上设置。 还包括如何在升级过程开始之前使用升级就绪工具(URT)检测和修复任何配置数据升级问题。
先决条件
要求
Cisco 建议您了解以下主题:
- 身份服务引擎 (ISE)
- 了解用于描述不同类型ISE部署的术语
使用的组件
本文档中的信息基于以下软件和硬件版本:
- ISE版本2.4
- ISE版本2.6
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
思科ISE部署升级是一个多步骤过程,必须按照本文档中指定的顺序执行。使用本文档中提供的时间预估计划升级,最大限度缩短停机时间。对于包含多个策略服务节点(PSN)且属于PSN组的部署,不会出现停机。如果存在通过升级的PSN进行身份验证的终端,则请求将由节点组中的其他PSN处理。终端会重新进行身份验证,并在身份验证成功后授予网络访问权限。
升级就绪工具
在开始升级过程之前,请使用URT检测并修复任何配置数据升级问题。大多数升级失败是由于配置数据升级问题而发生的。URT会在升级之前验证数据,以尽可能识别、报告或修复问题。URT可作为可在辅助策略管理节点或独立节点上运行的单独可下载捆绑包提供。运行此工具不会中断时间。
此视频链接说明如何使用URT。
URT在辅助管理节点或独立节点上运行。
以下示例演示如何在独立节点上运行URT(可以在辅助管理节点上遵循相同的流程)。
步骤1.下载URT捆绑包。
由于计划将升级到版本2.6。请下载在Cisco.com上发布的ISE 2.6的URT,如图所示。
用于2.6的URT
步骤2.创建存储库并复制URT包。
建议使用文件传输协议(FTP)来提高性能和可靠性。请勿使用位于慢速WAN链路上的存储库。建议使用更靠近节点的本地存储库。
在ISE GUI中,导航到管理>System >维护>存储库>添加,如图所示。
存储库
或者,为了节省时间,请使用此命令将URT捆绑包复制到Cisco ISE节点上的本地磁盘:
copy repository_url/path/ise-urtbundle-2.6.0.xxx-1.0.0.SPA.x86_64.tar.gz disk:/例如,如果使用Secure FTP(SFTP)复制升级捆绑包,请遵循以下步骤:
(Add the host key if it does not exist) crypto host_key add host mySftpserver
copy sftp://aaa.bbb.ccc.ddd/ise-urtbundle-2.6.0.xxx-1.0.0.SPA.x86_64.tar.gz disk:/
aaa.bbb.ccc.ddd是SFTP服务器的IP地址或主机名,ise-urtbundle-2.6.0.xxx-1.0.0.SPA.x86_64.tar.gz是URT捆绑的名称。
步骤3.运行URT包。
输入应用安装命令以安装URT:
application install ise-urtbundle-2.6.0.x.SPA.x86_64.tar.gz reponame
该警告涉及在节点上运行的服务,以及用户是否仍希望在此节点上继续运行URT。键入Y继续操作,如图所示。
您会注意到有时候URT的年龄是旧的。如果捆绑包是从思科网站下载的最新捆绑包,可以继续操作。最新的URT捆绑包也可能超过45天。键入Y继续。
例 1. URT运行成功
1.如果URT成功运行,输出如下:
2. URT根据配置和MNT数据的大小为每个节点提供升级的估计时间。
3.成功完成URT运行后,继续升级。
4.urt:
- 检查URT是否在受支持的Cisco ISE版本上运行。支持的版本为版本2.1、2.2、2.3和2.4(升级到版本2.6)。
- 验证URT是在独立思科ISE节点或辅助策略管理节点(辅助PAN)上运行。
- 检查URT捆绑包是否不足45天 — 此检查是为了确保您使用最新的URT捆绑包。
检查是否满足所有必备条件。
以下是由URT检查的必备条件:
- 版本兼容性
- 角色检查
- 磁盘空间
- NTP 服务器
- 内存
- 系统和受信任证书验证
5.克隆配置数据库。
6.将最新的升级文件复制到升级捆绑包。
7.对克隆的数据库执行模式和数据升级。
-
如果克隆数据库的升级成功,则它会估计完成升级所需的时间。
-
如果升级成功,则会删除克隆的数据库。
-
如果克隆数据库的升级失败,它会收集所需的日志、提示输入加密密码、生成日志捆绑包并将其存储在本地磁盘中。
案例2. URT运行不成功
1. URT可能由于可能导致升级问题的原因而失败。如果发生这种情况,URT将返回失败的原因。
2.以下是URT故障运行的示例:
3. URT失败,原因如下:友好名称为“VeriSign Class 3 Secure Server CA - G3”的信任证书无效:证书已过期。
4.如升级预检查中所述,如果ISE系统有任何过期的证书,则升级失败。必须更新或更换所有过期证书。
5. URT保存故障日志,如果用户不确定故障原因,则可与思科TAC共享。
6.提示输入密码以加密日志。这些URT日志保存在本地磁盘中。
7.从本地磁盘将其复制到存储库,并与思科TAC共享以解决问题。
升级ISE
在开始升级之前,请确保完成以下任务:
1.获取ISE配置和运行数据的备份。
*当Cisco ISE在VMware上运行时,不支持VMware快照来备份ISE数据。
2.获取系统日志的备份。
3.禁用定时备份。部署升级完成后重新配置备份计划。
4.导出证书和私钥。
5.配置存储库。下载升级捆绑包并将其放入存储库。
6.记下Active Directory(AD)加入凭据和RSA SecurID节点密钥(如果适用)。升级后连接到Active Directory或RSA SecurID服务器需要此信息。
7.清除运营数据以提高升级性能。
8.确保与存储库的Internet连接正常。
准备升级:
这些指南有助于解决当前部署中升级过程中可能出现的问题。这减少了整体升级停机时间,提高了效率。
最新补丁:升级前升级到当前版本的最新补丁。
暂存环境:建议在试运行环境中测试升级,以在升级生产网络之前确定和解决任何升级问题。
补丁级别:思科ISE部署中的所有节点都处于相同的补丁级别以交换数据。
运行数据(日志):最佳做法是存档旧日志,而不是将它们传输到新部署。这是因为如果MnT角色稍后发生更改,在MnTs中还原的操作日志不会同步到不同的节点。如果计划保留MnT日志,请对MnT节点执行这些任务,并作为MnT节点加入新部署。但是,如果不需要保留操作日志,可以通过重新映像MnT节点跳过此步骤。
如果需要进行重新映像:如果思科ISE安装是多节点部署,则可以并行完成,而不会影响生产部署。并行安装ISE服务器时,可以节省时间,特别是在使用以前版本的备份和恢复时。可以将PSN添加到新部署中,以在从PAN进行注册时下载当前策略。
使用ISE延迟和带宽计算器了解思科ISE部署中的延迟和带宽需求。
HA数据中心:如果数据中心(DC)采用完全分布式部署,请在升级主DC之前升级备份DC并测试使用案例。
下载前一天:在升级之前,下载并存储用于升级的最新升级捆绑包到本地存储库,以加快升级过程。
时间预测:对于从GUI进行的ISE升级,此过程的超时为4小时。如果过程耗时超过四个小时,则升级失败。如果URT耗时超过四个小时,Cisco建议使用CLI完成此过程。
负载均衡设备:在更改配置之前备份负载均衡器。在升级窗口时,从负载均衡器中删除PSN,并在升级后重新添加。
PAN故障切换:在升级时禁用自动PAN故障切换(如果已配置)并禁用PAN之间的心跳。
审核策略:查看当前策略和规则,删除过时、冗余和陈旧的策略和规则。
不需要的日志:删除不需要的监控日志和终端数据。
错误检查:使用Bug Search Tool查找与升级相关的未解决或已修复的缺陷。
升级后:使用较少的用户测试新部署的所有使用案例,以确保服务连续性。
从GUI升级ISE
Cisco ISE提供从管理员门户的基于GUI的集中升级。升级过程大大简化,并且升级进度和节点的状态显示在屏幕上。Administration > Upgrade菜单选项下的“概览”页列出部署中的所有节点、在这些节点上启用的角色、安装的ISE版本以及节点的状态(指示节点是活动还是非活动)。仅当节点处于活动状态时,才能开始升级。
仅当ISE在版本2.0或更高版本上且需要升级到版本2.0.1或更高版本时,才支持从管理员门户进行基于GUI的升级。
如果出现以下警告消息:“节点已恢复到其升级前状态”,导航到Upgrade窗口,单击Details链接。解决“升级失败详细信息”窗口中列出的问题。解决所有这些问题后,单击Upgrade重新开始升级。
步骤1.点击管理员门户中的Upgrade选项卡。
步骤2.单击Proceed。
将出现检查清单窗口。仔细阅读图中所示的指示。
步骤3.选中“我已经检查了核对表”复选框,然后单击继续。
出现Download Bundle to Nodes窗口,如图所示。
步骤4.将升级捆绑包从存储库下载到节点:
1.勾选下载捆绑包的节点旁边的复选框。
2.单击下载。此时将显示“选择存储库和捆绑包”窗口,如图所示。
3.选择存储库。
4.选中用于升级的捆绑包旁边的复选框。
5.单击Confirm。将捆绑包下载到节点后,节点状态更改为Ready for Upgrade。
步骤5.单击Continue。然后,出现Upgrade Nodes窗口。单击Upgrade以开始。
从CLI升级ISE
请务必阅读标题为“开始之前”的章节,然后再继续。以下是从CLI升级独立ISE节点的示例。
步骤1.使用命令show repository responame检查要使用的存储库中是否存在升级文件,如图所示。
第2步:从Cisco ISE命令行界面(CLI),输入包含捆绑包文件名和文件存储库名称的应用升级准备命令。
此命令将升级捆绑包复制到本地存储库。
第3步:从Cisco ISE CLI,输入应用升级继续命令,如图所示。
显示此消息后,30分钟后启动SSH会话并运行show application status ise命令以查看进度。此消息出现% NOTICE:正在进行身份服务引擎升级……
当所有预期服务的状态都变为正在运行时,升级被视为已完成。
常见问题
1.如果从存储库下载捆绑包所用时间过长,或者通过GUI下载时超时:
- 确保有足够的带宽处理捆绑包下载。
- 将升级捆绑包从存储库下载到节点时,如果下载完成时间超过35分钟,则下载将超时。确保与存储库的Internet连接正常。
2.在分布式部署升级中,当出现以下情况时,会出现“部署中没有辅助管理节点”错误:
-
部署中没有辅助管理节点。
-
辅助管理节点已关闭。
-
辅助管理节点升级并移至升级后的部署。通常,如果在辅助管理节点升级后使用Refresh Deployment Details选项,就会发生这种情况。
要解决此问题,请根据需要执行以下任务之一:
-
如果部署没有辅助管理节点,请配置辅助管理节点并重试升级。
-
如果辅助管理节点关闭,请启动该节点并重试升级。
-
如果辅助管理节点升级并移至升级的部署,请使用CLI手动升级部署中的其他节点。
3.节点的升级状态未更改:
- 如果升级状态在GUI中长时间没有更改(并且保持在80%),请从CLI检查升级日志或从控制台检查升级状态。
- 登录CLI或查看Cisco ISE节点的控制台,以便查看升级进度。使用show logging application命令查看upgrade-uibend-cliconsole.log和upgrade-postosupgrade-yyyymmdd-xxxxxx.log。
- 使用show logging application命令从CLI查看这些升级日志:数据库数据升级日志、数据库架构日志和操作系统升级后日志。
4.回滚至先前版本的ISO映像:
- 在极少数情况下,可能需要使用早期版本的映像重新映像Cisco ISE设备并从备份文件恢复数据。数据恢复后,注册旧部署,然后启用角色,就像在旧部署中一样。因此,建议在升级过程开始之前备份Cisco ISE配置和运行数据。
- 有时,由于配置和监控数据库中存在的问题而导致升级失败不会自动回滚。发生这种情况时,将显示一条通知,说明数据库未回滚,同时还会显示升级失败消息。在这种情况下,请手动重新映像系统,安装Cisco ISE,并恢复配置数据和运行数据(如果启用MnT角色)。
- 在尝试回滚或恢复之前,使用backup-logs命令生成支持捆绑包,并将支持捆绑包放置在远程存储库中,以便稍后由TAC进行调查(如果需要)。
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
15-May-2020 |
初始版本 |
反馈