升级身份服务引擎(ISE)
简介
本文描述如何升级在Cisco ISE设备和虚拟机设置的一现有身份服务引擎(ISE)版本2.4到2.6。它也包括如何使用升级准备工具(URT)检测和调整所有配置数据升级问题,在升级进程开始前。
先决条件
要求
Cisco 建议您了解以下主题:
- 身份服务引擎(ISE)
- 用于的对术语的了解描述不同种类的ISE部署
使用的组件
本文档中的信息基于以下软件和硬件版本:
- ISE,版本2.4
- ISE,版本2.6
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
Cisco ISE部署升级是一多步的进程,并且必须按在本文指定的顺序执行。请使用提供的时间估计在本文对与最低的停机时间的升级计划。对于与是PSN组的一部分的多项策略服务节点(PSN)的一部署,没有停机时间。如果有通过PSN验证升级的终端,请求由另一个PSN在节点组中处理。在验证是成功的后,终端重新鉴别和授权网络访问。
升级准备工具
在您开始升级进程前,请使用URT为了检测和调整所有配置数据升级问题。大多升级故障发生由于配置数据升级问题。URT在升级前验证数据为了识别,并且报告或者调整问题,在任何可能的情况下。URT是可用的作为在一个附属策略管理节点或独立节点可以运行的一个分开的可下载的套件。没有运行此工具的停机时间。
此视频链路解释如何使用URT。
在附属管理节点或一个独立节点应该运行URT。
这是展示如何运行在一个独立节点的URT的示例(同一进程在一个附属管理节点可以按照)。
步骤1.下载URT套件。
因为规划是升级对版本2.6。,请下载在ISE的2.6 (ise-urtbundle-2.6.0.156-1.0.0.SPA.x86_64.tar.gz) Cisco.com发布的URT如镜像所显示。
2.6的URT
步骤2.创建信息库并且复制URT套件。
推荐使用文件传输协议(FTP)更加好的性能和可靠性。请勿使用在慢速广域网链路间查找的信息库。被建议使用是离节点较近的一个本地信息库。
如镜像所显示,从ISE GUI,请导航对管理>System >维护>信息库>Add。
信息库
随意地,为了节省时间,请复制URT套件到在Cisco ISE节点的本地磁盘与使用此命令:
copy repository_url/path/ise-urtbundle-2.6.0.xxx-1.0.0.SPA.x86_64.tar.gz disk:/例如,如果安全FTP (SFTP)用于复制升级套件,请跟随此:
(Add the host key if it does not exist) crypto host_key add host mySftpserver
copy sftp://aaa.bbb.ccc.ddd/ ise-urtbundle-2.6.0.xxx-1.0.0.SPA.x86_64.tar.gz disk:/
aaa.bbb.ccc.ddd是SFTP服务器的IP地址或主机名,并且ise-urtbundle-2.6.0.xxx-1.0.0.SPA.x86_64.tar.gz是URT套件的名称。
步骤3.运行URT套件。
输入应用软件安装命令为了安装URT :
application install ise-urtbundle-2.6.0.x.SPA.x86_64.tar.gz reponame
警告谈论在节点运作的服务,并且,如果用户希望持续运行在此节点的URT。如镜像所显示,键入Y为了继续。
您也许注意有时URT年龄旧有。只要套件是从Cisco的网站下载的最新一个,可以将来发生。最新的URT套件可以也是超过45天年纪。键入Y为了继续。
案例1. URT运行是成功的
1. 如果URT成功运行,输出类似于此:
2. URT提供每一预计时间根据配置和MNT数据的大小的Upgrade节点的。
3. 在您顺利地完成URT运行后,请继续对升级。
4. URT :
- 检查URT是否在Cisco ISE支持的版本运行。支持的版本是版本2.1, 2.2, 2.3和2.4 (升级对版本2.6)。
- 验证URT在一个独立Cisco ISE节点或一个附属策略管理节点(第二PAN)运行。
- 检查URT套件是否是少于45天年纪-此检查进行保证您使用最最近的URT套件。
检查所有前提条件是否被满足。
这些是由URT检查的前提条件:
- 版本兼容性
- 角色检查
- 磁盘空间
- Ntp server
- 内存
- 系统和信任证书验证
5. 克隆配置数据库。
6. 复制最新的升级文件对升级套件。
7. 执行模式和数据升级在被克隆的数据库。
-
如果在被克隆的数据库的升级是成功的,提供应该花费为了升级能结束时间的估计。
-
如果升级是成功的,取消被克隆的数据库。
-
如果在被克隆的数据库的升级发生故障,在本地磁盘收集需要的日志,提示输入加密密码,生成日志套件,并且存储它。
案例2. URT运行不成功
1. URT可以发生故障由于能导致与升级的问题的原因。如果那发生, URT返回失败的原因。
2. 这是URT失败示例运行:
3. URT失败与原因:与友好名称‘Verisign的信任认证等级3安全服务器CA - G3无效:证书超时。
4. 按照升级预先校验说明,如果ISE系统有任何过期的证书,升级将发生故障。要求所有过期的证书被更新或替换。
5. URT保存可以共享与Cisco TAC的失败日志,如果用户对失败原因是不确定的。
6. 它将提示输入密码加密日志。这些URT日志在本地磁盘保存。
7. 从本地磁盘复制他们到信息库并且共享它与解决方法的Cisco TAC。
升级ISE
在升级开始前,请保证这些任务完成:
1. 获取ISE配置和操作数据的备份。
2. 获取系统日志的备份。
3. 禁用定期备份。在部署升级完成后,重新配置备份日程。
4. 导出证书和专用密钥。
5. 配置信息库。下载升级套件并且安置它在信息库。
6. 记录下来激活目录(AD)加入凭证和RSA SecurID节点秘密,如果适用。此信息是需要的连接到活动目录或RSA SecurID服务器在升级以后。
7. 清除操作数据改进升级性能。
8. 保证对信息库的互联网连接是好。
准备升级:
这些指南帮助解决在升级进程能发生的当前部署的问题。这将减少整体升级停机时间并且增加效率。
最新的补丁程序:对最新的补丁程序的升级在升级前的现有版本。
演出的环境:推荐测试在试运行环境的升级在升级生产网络前确认并解决所有升级问题。
级的补丁程序:在Cisco ISE部署的所有节点应该在同一个补丁程序级别为了交换数据。
操作数据(日志) :它是最佳实践归档旧有日志和不传输他们到新的部署。这是因为在MnTs恢复的可操作的日志没有同步对另外节点,万一MnT角色更改的以后。如果规划是保留MnT记录,执行MnT节点的这些任务,并且请加入新的部署作为MnT节点。然而,如果没有需要保留可操作的日志,这可以通过再镜像MnT节点跳过。
在一必要的重新镜像的情况下:如果它是多节点部署没有影响对生产部署, Cisco ISE安装可以平行进行。当您平行时安装ISE服务器,它节省时间,特别是当使用从前一版本的备份与恢复。 PSN可以被添加到新的部署在从PAN的注册过程时下载现有策略。
请使用ISE延迟和带宽计算器为了了解延迟和带宽需求在Cisco ISE部署。
HA Datacenters :如果有数据中心(DC)与全双工分布式部署,请升级备份DC并且测试使用事例,在您升级主要的DC前。
以前下载一个天:在升级前下载并且存储升级的最新的升级套件在一个本地信息库加速进程。
时间预测:对于从GUI的ISE升级,进程的超时是四个小时。如果进程耗费超过四个小时,升级发生故障。如果URT耗费超过四个小时, Cisco推荐使用CLI此进程。
负载平衡器:在您更改配置前,请使用负载平衡器备份。从负载平衡器删除PSN在Upgrade窗口时并且添加他们回到在升级以后。
PAN故障切换:禁用自动PAN故障切换(若被设定)并且在升级时禁用在平底锅之间的检测信号。
复核策略:查看现有策略和规则并且删除过时,冗余和过时的策略和规则。
不需要的日志:删除不需要的监听日志和终端数据。
Bug检查:请使用Bug搜索工具为了查找开放或已修复的升级涉及的缺陷。
发表物升级:测试新的部署的所有使用事例以少量用户为了保证服务连续性。
升级从GUI的ISE
Cisco ISE提供从Admin门户的基于GUI的集中化升级。升级进程被简化,并且升级的进度和节点的状况在屏幕显示。 在Administration下的概述页> Upgrade菜单选项列表在他们启用在部署、人, ISE版本安装的和状况的所有节点(指示节点是否是活跃或非激活的)节点。只有当节点在活动状态,升级能开始。
从Admin门户的基于GUI的升级,只有当ISE在版本2.0或以上并且需要升级对版本2.0.1或以上,支持。
万一此警告消息被看到:“节点被复原了到其升级前状态”,导航到Upgrade窗口,点击详细信息链路。解决在Details窗口的升级故障里列出的问题。在所有那些问题修复后,请点击升级重新发动升级。
步骤1.在Admin门户点击Upgrade选项。
步骤2.单击继续。
复核清单窗口出现。如镜像所显示,仔细阅读给的说明。
第 3 步:检查‘我查看了清单’复选框,并且单击继续。
如镜像所显示,对节点窗口的下载套件出现。
步骤4.下载从信息库的升级套件到节点:
1. 在套件应该下载的节点旁边检查复选框。
2. 单击 Download。如镜像所显示,挑选信息库和套件窗口出现。
3. 选择信息库。
4. 在将使用升级的套件旁边检查复选框。
5. 点击确认。一旦套件下载对节点, Status节点更改为升级准备。
步骤5.单击继续。然后,升级节点窗口出现。点击升级为了开始。
升级从CLI的ISE
请保证阅读题为的本章‘在您开始’前,在您继续前。 这是一个独立ISE Upgrade节点的示例从CLI的。
第 1 步:检查将使用的信息库是否有升级文件现在与使用show命令信息库reponame如镜像所显示。
Step 2.从Cisco ISE命令行界面(CLI),回车应用升级准备与文件存储的捆绑名和信息库名称的命令。
此命令复制升级套件到本地信息库。
第 3 步:如镜像所显示,从Cisco ISE CLI,请输入应用升级继续命令。
一旦此消息出现,请在30分钟之后启动SSH会话并且运行显示应用程序状态ise命令为了发现进度。此消息出现%公告:身份服务引擎升级进展中…
升级考虑到完整,当所有对运行的预计服务的状态变化。
常见问题
1. 如果套件采取太长以至于不能从信息库或时代下载,当下载通过GUI :
- 保证那里是处理套件下载的足够的带宽。
- 当升级套件从一个信息库下载到节点,下载时间,如果需要超过35分钟完成。保证对信息库的互联网连接是好。
2. 在分布式部署升级,错误“在部署的没有附属管理节点”能被看到,当:
-
没有在部署的附属管理节点。
-
附属管理节点发生故障。
-
附属管理节点升级并且移动向升级的部署。一般,这发生,如果使用刷新部署详细信息选项,在附属管理节点升级后。
为了解决此问题,请执行这些任务之一,如可适用:
-
如果部署没有一个附属管理节点,配置一个附属管理节点并且再试升级。
-
如果附属管理节点发生故障,请启动节点并且再试升级。
-
如果附属管理节点升级并且移动向升级的部署,请使用CLI手工升级在部署的其他节点。
3. 节点的升级状态未更改:
- 如果升级状态在GUI长期不更改(和保持在80%),请检查从CLI的升级日志或升级的状况从控制台的。
- 登陆对CLI或查看Cisco ISE节点的控制台为了查看升级的进度。请使用application命令的show logging为了查看upgrade-uibackend-cliconsole.log和upgrade-postosupgrade-yyyymmdd-xxxxxx.log。
- 查看从CLI的这些升级日志与application命令的show logging : DB数据升级日志, DB模式日志和发表物OS升级日志。
4. 回到ISO镜像以前版本的卷:
- 偶然地,也许有需要再镜像有以前版本镜像的Cisco ISE设备和恢复数据从备份文件。在数据恢复后,向旧有部署登记,并且启用人如执行在旧有部署。因此,在升级进程开始前,推荐备份Cisco ISE配置和操作数据。
- 有时,发生由于在配置和监视数据库的问题的升级故障不自动地是滚动的上一步。当这发生时,通知与升级故障消息一起看来阐明,数据库不是滚动的上一步。在这样方案中, (如果MnT角色启用),请手工再镜像系统,安装Cisco ISE,并且恢复配置数据和操作数据。
- 生成与备份日志的支持套件在回退或恢复尝试前发出命令,并且如果必须安置支持套件在调查的一个远程信息库后由TAC。
反馈