安装最新补丁

思科 ISE 软件补丁

思科 ISE 软件补丁始终会累积。思科 ISE 允许您执行补丁安装和从 CLI 或 GUI 回滚。

可以在部署中从主 PAN 为思科 ISE 服务器安装补丁。要从主 PAN 安装补丁,您必须从 Cisco.com 将补丁下载至运行您的客户端浏览器的系统。

如果从 GUI 安装补丁,补丁将先自动安装到主 PAN 上。系统随后将按照 GUI 中列出的顺序,在部署中的其他节点上安装补丁。无法控制节点的更新顺序。还可以手动安装、回滚和查看补丁版本。在思科 ISE GUI 中,单击菜单 图标 (),然后选择管理 (Administration) > 系统 (System) > 维护 (Maintenance) > 补丁管理 (Patch Management)

如果从 CLI 安装补丁,可以控制节点的更新顺序。但是,建议您先在主 PAN 上安装补丁。其余节点上的安装顺序不影响。您可以同时在多个节点上安装修补程序,以加快此过程。

如果要在升级整个部署之前在某些节点上验证补丁,可以使用 CLI 在选定节点上安装补丁。使用以下 CLI 命令安装补丁:
patch install <patch_bundle> <repository_that_stores_patch_file>

有关详细信息,请参阅《思科身份识别服务引擎 CLI 参考指南》中“执行模式下的思科 ISE CLI 命令”一章中的“安装补丁”部分。

您可以直接安装所需的补丁版本。例如,如果您当前使用的是思科 ISE 2.x,并且希望安装思科 ISE 2.x 补丁 5,则可以直接安装思科 ISE 2.x 补丁 5,而无需安装以前的补丁(在本例中为思科 ISE 2.x 补丁 1-4)。要在 CLI 中查看补丁版本,请使用以下 CLI 命令:
show version

软件补丁安装指南

在 ISE 节点上安装补丁时,节点会在安装完成后重新引导。可能必须等待几分钟才能再次登录。可以在维护时段安排补丁安装,以避免临时中断。

确保安装了适用于网络中部署的思科 ISE 版本的补丁。思科 ISE 会报告任何版本不匹配问题,以及补丁文件中的任何错误。

安装的补丁版本不能低于当前安装在思科 ISE 上的补丁版本。同样,如果思科 ISE 当前安装的是高版本补丁,则无法回滚低版本补丁的更改。例如,如果思科 ISE 服务器安装的是补丁 3,则无法安装或回滚补丁 1 或 2。

从分布式部署中的主 PAN 安装补丁时,思科 ISE 会先后在部署中的主节点和所有辅助节点上安装补丁。如果在主 PAN 上成功安装,思科 ISE 之后会继续在辅助节点上安装补丁。如果在主 PAN 上安装失败,则不会继续在辅助节点上安装。但是,如果出于任何原因导致任一辅助节点上的安装失败,则系统仍会继续在部署中的下一个辅助节点上安装补丁。

从两节点部署中的主 PAN 安装补丁时,思科 会先后在主节点和辅助节点上安装补丁。如果在主 PAN 上成功安装,思科 之后会继续在辅助节点上安装补丁。如果在主 PAN 上安装失败,则不会继续在辅助节点上安装。

安装软件补丁

开始之前

  • 您必须分配到了超级管理员或系统管理员的角色。

  • 在思科 ISE GUI 中,单击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 部署 (Deployment) > PAN 故障切换 (PAN Failover),并确保取消选中启用 PAN 自动故障切换 (Enable PAN Auto Failover) 复选框。在此任务期间必须禁用 PAN 自动故障切换配置。

过程

步骤 1

在思科 ISE GUI 中,单击菜单 图标 (),然后选择 管理 (Administration) > 系统 ( System) > 维护 (Maintenance) > 补丁管理 (Patch Management) > 安装 (Install)
步骤 2

单击浏览 (Browse),然后选择已从 Cisco.com 下载的补丁。

步骤 3

单击安装 (Install) 安装补丁。

在 PAN 上安装补丁后,思科 ISE 会将您注销,您必须等待几分钟后才能再次登录。

 

安装补丁期间,Show Node Status 是可在“补丁管理”(Patch Management) 页面上访问的唯一功能。

步骤 4

在思科 ISE GUI 中,单击菜单 图标 (),然后选择 管理 (Administration) > 系统 ( System) > 维护 (Maintenance) > 补丁管理 (Patch Management) 以返回至“补丁安装” (Patch Installation) 页面。

步骤 5

单击您安装的补丁旁边的单选按钮,然后单击显示节点状态 (Show Node Status) 以验证是否已完成安装。

回滚软件补丁

您从属于部署一部分的 PAN 回滚补丁时,思科 ISE 会在主节点上回滚补丁,然后在部署中的所有辅助节点上回滚补丁。

开始之前

  • 您必须分配到了超级管理员角色或系统管理员角色。

过程

步骤 1

在思科 ISE GUI 中,单击菜单 图标 (),然后选择管理 (Administration) > 系统 (System) > 维护 (Maintenance) > 补丁管理 (Patch Management)
步骤 2

单击您要回滚更改的补丁版本的单选按钮,然后单击回滚 (Rollback)

 

回滚补丁期间,在“补丁管理”(Patch Management) 页面上仅可访问 Show Node Status 功能。

从 PAN 回滚补丁后,思科 ISE 会将您注销,您必须等待几分钟,然后才能再次登录。

步骤 3

您登录之后,请单击页面底部的警报 (Alarms) 链接以查看回滚操作的状态。

步骤 4

要查看补丁回滚的进程,请在“补丁管理”(Patch Management) 页面选择补丁,然后单击显示节点状态 (Show Node Status)
步骤 5

在辅助节点上,单击补丁的单选按钮,然后单击显示节点状态 (Show Node Status),确保从部署中的所有节点回滚补丁。

如果没有从任意辅助节点回滚补丁,请确保该节点正常运行并且重复此程序以从其余节点回滚更改。思科 ISE 仅从仍安装此版本补丁的节点回滚补丁。

软件补丁回滚指南

要从部署中的思科 ISE 节点回滚补丁,必须先从 PAN 回滚更改。如果此操作成功,则系统会从辅助节点回滚补丁。如果 PAN 上的回滚流程失败,则系统不会从辅助节点回滚补丁。但是,如果任一辅助节点上的补丁回滚失败,系统仍会从部署中的下一个辅助节点回滚补丁。

当思科 ISE 从辅助节点回滚补丁时,可以继续从 PAN GUI 执行其他任务。辅助节点将会在回滚后重新启动。

查看补丁安装和回滚更改

要查看与已安装的补丁有关的报告,请执行以下步骤。

开始之前

您必须分配到了超级管理员角色或系统管理员角色。你可以安装或回滚补丁 在思科 ISE GUI 中,单击菜单 图标 (),然后选择 管理 > 系统 > 维护 > 补丁管理 窗口。您也可以通过选择一个特定补丁并点击 显示节点状态 按钮来查看部署中每个节点上的特定补丁的状态(已安装/正在安装/未安装)。

过程

步骤 1

在思科 ISE GUI 中,单击菜单 图标 (),然后选择 操作 > 报告 > 审核 > 操作审核默认情况下,会显示过去七天的记录。
步骤 2

点击 过滤器 下拉菜单, 并选择 快速过滤器高级过滤器 并使用所需的关键字,例如,patch install iniated,来生成包含已安装补丁的报告。