执行升级

节点的升级顺序

您可以使用 GUI、备份和恢复或 CLI 升级思科 ISE。如果您使用 GUI 进行升级,则可以选择要升级的节点的顺序。但是,我们建议您按照以下提供的节点顺序升级部署。这将帮助您减少停机时间,同时提供最大的恢复能力和回滚能力。

  1. 备份所有配置和监控数据。您还应导出内部 CA 密钥和证书链的副本,并备份所有 ISE 节点的 ISE 服务器证书。此任务应在启动升级之前完成,以确保您可以在必要时轻松手动回滚。

  2. 辅助管理节点

    此时,主管理节点仍然是之前的版本,如果升级失败,可用于回滚。

  3. 主监控节点或辅助监控节点

    如果您有分布式部署,请升级具有现有思科 ISE 部署的辅助管理节点的站点中可用的所有节点。

  4. 策略服务节点

    如果您使用 GUI 从思科 ISE 版本 2.6 升级到更高版本,则可以选择一组要同时升级的 PSN。这将减少总体升级停机时间。

    升级一系列策略服务节点后,请验证升级是否成功(请参阅验证升级过程)并运行必要的网络测试,以确保新部署运行正常。如果升级成功,就可以升级接下来的一组策略服务节点。

  5. 辅助监控节点或主监控节点

  6. 主管理节点

    在您升级主管理节点后,重新进行升级验证和网络测试。

    如果在注册主管理节点(旧部署中要升级的最后一个节点)的过程中升级失败,升级会回滚,并且此节点会成为独立节点。在 CLI 中,将此节点作为独立节点进行升级。将此节点作为辅助管理节点注册到新部署中。

升级后,辅助管理节点成为主管理节点,原始主管理节点成为辅助管理节点。如有必要,在 Edit Node 窗口中,点击 Promote to Primary 即可将辅助管理节点升级为主管理节点(与旧部署中一样)。

如果管理节点还承担监控角色,请按照下表中给出的顺序进行升级︰

当前部署中的节点角色

升级顺序

辅助管理/主监控节点、策略服务节点、主管理/辅助监控节点

  1. 辅助管理/主监控节点

  2. 策略服务节点

  3. 主管理/辅助监控节点

辅助管理/辅助监控节点、策略服务节点、主管理/主监控节点

  1. 辅助管理/辅助监控节点

  2. 策略服务节点

  3. 主管理/主监控节点

辅助管理节点、主监控节点、策略服务节点、主管理/辅助监控节点

  1. 辅助管理节点

  2. 主监控节点

  3. 策略服务节点

  4. 主管理/辅助监控节点

辅助管理节点、辅助监控节点、策略服务节点、主管理/主监控节点

  1. 辅助管理节点

  2. 辅助监控节点

  3. 策略服务节点

  4. 主管理/主监控节点

辅助管理/主监控节点、策略服务节点、辅助监控节点、主管理节点

  1. 辅助管理/主监控节点

  2. 策略服务节点

  3. 辅助监控节点

  4. 主管理节点

辅助管理/辅助监控节点、策略服务节点、主监控节点、主管理节点

  1. 辅助管理/辅助监控节点

  2. 策略服务节点

  3. 主监控节点

  4. 主管理节点

在以下情况下,您将收到错误消息:No Secondary Administration Node in the Deployment

  • 部署中没有辅助管理节点。

  • 辅助管理节点已关闭。

  • 辅助管理节点已完成升级并移动到升级后的部署中。当您在完成辅助管理节点升级后使用 Refresh Deployment Details 选项时一般会出现此问题。

要解决此问题,请根据实际情况执行以下其中一个任务:

  • 如果部署没有辅助管理节点,请配置辅助管理节点,然后重新尝试升级。

  • 如果辅助管理节点已关闭,则启动节点,然后重新尝试升级。

  • 如果辅助管理节点已升级并移动到升级后的部署中,请使用 CLI 手动升级部署中的其他节点。

选择升级方法

此版本的思科 ISE 支持以下升级过程。您可以从以下升级流程中进行选择,具体取决于您的技术专业知识和升级时间。

  • 使用备份和恢复程序升级思科 ISE(推荐)

  • 通过 GUI 升级思科 ISE 部署

  • 通过 CLI 升级思科 ISE 部署

表 1. 思科 ISE 升级方法比较

比较因素

备份和恢复(推荐)

使用 GUI 升级

使用 CLI 升级

比较概要

快速,但需要更多管理

时间长,但所需的管理更少

需要更长的时间和更多的管理

难度

困难

容易

中等

最低版本

思科 ISE 2.6 及更高版本

思科 ISE 2.6 及更高版本

思科 ISE 2.6 及更高版本

VM

如果您有足够的容量,则可以预先安排新的虚拟机并立即将其加入新的 PAN

每个 PSN 按顺序升级,这会线性增加总升级时间

每个 PSN 都会升级,但可以并行完成,以减少总升级时间

时间

最短升级停机时间,因为 PSN 使用新版本进行映像而不是升级

每个 PSN 按顺序升级,这会线性增加总升级时间

每个 PSN 都会升级,但可以并行完成,以减少总升级时间

人员

跨业务部门的多个利益相关者参与传输配置设置和操作日志。

自动升级过程,减少手动干预

思科 ISE 的技术专业知识。

回滚

需要重新映像节点。

轻松回滚选项。

轻松回滚选项。

升级方法的详细比较如下:

使用备份和恢复方法升级思科 ISE

思科 ISE 节点的重新映像在初始部署和故障排除期间完成,但您也可以重新映像思科 ISE 节点以升级部署,同时在新版本发布后将策略恢复到新部署已部署。

如果资源有限,并且新部署无法启动并行 ISE 节点,则会从生产部署中删除辅助 PAN 和 MnT,然后再升级其他节点。节点移至新部署;配置和操作备份从相应节点上的先前部署恢复,从而创建并行部署。这允许将策略集、自定义配置文件、网络访问设备和终端恢复到新的部署中,而无需手动干预。

使用备份和恢复流程升级思科 ISE 的优势如下:

  • 您可以从之前的 ISE 部署恢复配置设置和操作日志。因此,防止数据丢失。

  • 您可以手动选择应重新用于新部署的节点。

  • 您可以并行升级多个 PSN,从而减少升级停机时间。

  • 您可以在维护窗口之外暂存节点,从而减少生产期间的升级时间。

使用“备份和恢复”功能升级思科 ISE 之前需要考虑的事项

所需资源:备份和恢复升级过程需要额外的资源,这些资源可以在释放之前为 ISE 部署预留。在重复使用现有硬件的情况下,需要将额外的负载均衡到保持在线状态的节点上。因此,您需要在部署开始之前评估当前负载和延迟限制,以确保部署可以处理每个节点的用户数量增加。

所需人员: 您将需要多个业务部门(包括网络管理、安全管理、数据中心和虚拟化资源)的参与才能执行升级。此外,您需要将节点重新加入新部署,恢复证书,重新加入 Active Directory,并等待策略同步。这可能会导致多次重新加载,并且需要网络新部署的时间范围。

回滚机制: 由于节点的重新映像,所有信息和配置设置都将从之前的部署中清除。因此,备份和恢复升级的回滚机制与第二次重新映像节点的过程相同。

备份和恢复升级过程的最佳实践:

  • 创建独立环境或专用负载均衡器来切换 RADIUS 请求的虚拟 IP 地址。

  • 您可以在维护窗口之前启动部署过程,并将用户负载均衡器指向新部署。

通过 GUI 升级思科 ISE 部署

您还可以使用一些可自定义的选项从 GUI 中点击一下升级思科 ISE。在思科 ISE GUI 中,单击菜单 图标 (),然后选择 ISE 管理 > 升级。创建新存储库以下载 ISO 映像。

在升级过程中,辅助 PAN 会自动移至升级后的部署中,并首先升级主 MnT。因此,如果其中任何一个升级失败,则必须将节点回滚到之前的版本并重新加入之前的 ISE 部署。稍后 PSN 将逐个移至新部署并升级。如果升级失败,您还可以选择继续或停止升级。这将导致同一思科 ISE 部署的双版本,允许在继续升级之前进行故障排除。升级所有 PSN 后,辅助 MnT 和主 PAN 将升级并加入新的思科 ISE 部署。

鉴于此升级过程需要的技术专业知识有限,一名管理员开始升级并指派 NOC 或 SOC 工程师监控和报告升级状态或提交 TAC 支持案例。

从 GUI 升级思科 ISE 的优势如下:

  • 升级是自动化的,干预最少。

  • 您可以选择 PSN 的升级顺序,以确保连续性,尤其是在数据中心之间存在冗余时。

  • 单个管理员无需任何额外人员、第三方虚拟机监控程序或网络接入设备即可执行升级。

从 GUI 升级思科 ISE 之前要考虑的事项

失败场景下的继续: 如果升级失败,您还可以选择继续或停止升级。这将导致同一思科 ISE 部署的双版本,允许在继续升级之前进行故障排除。虽然思科升级就绪工具应指示任何不兼容或错误配置,但如果选中“继续”字段,则如果在升级前未执行尽职调查,则可能会遇到其他错误。

回滚机制: 如果 PAN 或 MnT 节点上的升级失败,则节点会自动回滚。但是,如果 PSN 升级失败,则节点将保留在同一思科 ISE 版本上,并且可以在损害冗余的同时进行修复。在此期间,思科 ISE 仍在运行,因此在不重新映像的情况下,回滚功能会受到限制。

所需时间: 每个 PSN 升级大约需要 90-120 分钟,因此,如果您有大量 PSN,则需要时间来升级所有 PSN。

从 GUI 升级的最佳实践: 如果您有大量的 PSN,请将 PSN 分组并执行升级。

通过 CLI 升级思科 ISE 部署

从 CLI 升级思科 ISE 是一个复杂的过程,需要管理员将升级映像下载到本地节点,执行升级,并在整个升级过程中单独监控每个节点。虽然升级顺序在本质上与 GUI 升级类似,但从监控和操作的角度来看,这种方法需要大量操作。

由于所需的工作量,建议仅出于故障排除目的从 CLI 升级。

从 CLI 升级思科 ISE 的优势如下:

  • 执行升级时,CLI 会向管理员显示其他日志记录消息。

  • 可以选择具有更多控制权并并行升级的升级节点。未升级的节点可以在整个部署中重新平衡终端时处理额外的负载。

  • 由于能够指示脚本撤消以前的更改,因此在 CLI 中回滚要容易得多。

  • 由于映像驻留在本地节点上,因此可以消除 PAN 和 PSN 之间的复制错误(如果有)。

从 CLI 升级思科 ISE 之前需要考虑的事项

您需要技术专业知识和更长的时间才能使用 CLI 升级思科 ISE。

使用备份和恢复方法升级思科 ISE 部署

备份和恢复升级方法概述

我们建议使用备份和恢复升级过程,而不是其他升级过程,因为它有助于恢复当前的思科 ISE 部署节点设置,并在升级过程中出现任何损坏时防止数据丢失。此程序首先创建现有思科 ISE 部署的配置和操作备份,然后将其应用于新部署。

备份和恢复升级过程的最佳实践:

  • 创建独立环境或专用负载均衡器来切换 RADIUS 请求的虚拟 IP 地址。

  • 您可以在维护窗口之前启动部署过程,并将用户负载均衡器指向新部署。

  • 如果使用 RSA SecurID 身份源,则在添加新的 PSN 时,必须在 RSA 身份验证管理器的主实例中生成包含所有 PSN 的新配置文件。

    为避免每次添加新的 PSN 时都生成新的 RSA 配置,在开始备份和恢复过程之前,必须知道要添加到部署中的所有节点的 IP 地址。然后,您必须使用所有 IP 地址生成 RSA 配置文件,并将其上传到 PAN UI。

    操作步骤:

    1. 在 RSA 身份验证管理器安全控制台主实例上生成身份验证管理器配置文件,其中包含所有节点的 IP 地址,包括不在部署中的节点。

    2. 将新配置文件导入到 PAN UI。

    在上传新的 RSA 配置文件之前,必须清除 RSA 身份验证管理器上的节点密钥。这有助于创建新的节点密钥并在 ISE 和 RSA 身份验证管理器之间共享。

    现在,您可以将新节点添加到部署,而无需生成新的配置文件,因为它会使用已导入的配置文件中的 IP 地址作为配置的一部分进行复制。

以下是“备份和恢复升级”方法中涉及的步骤的概述:

1. 取消注册节点

要从部署中删除节点,您需要取消注册该节点。有关取消注册或删除节点的详细信息,请参阅 思科身份服务引擎管理员指南中的“从部署中删除节点”部分。

2. 重新映像节点

要重新映像思科 ISE 节点,必须先将其从部署中删除,然后继续安装思科 ISE。有关 思科 ISE 安装的更多信息,请参阅《Cisco 身份服务引擎安装指南》中的“安装 思科 ISE”一章。

我们建议您应用新安装的思科 ISE 版本的最新补丁。

3. 备份和恢复配置或操作数据库

有关备份和恢复操作的详细信息,请参阅 思科身份服务引擎管理员指南中的“备份和恢复操作”部分。

4. 为节点分配主角色或辅助角色。

您可以根据需要为节点分配主要或辅助角色。

有关如何将角色分配给监控和故障排除 (MnT) 节点的详细信息,请参阅 思科身份服务引擎管理员指南中的“手动修改 MnT 角色”部分。

5. 加入策略服务节点

要将策略服务节点 (PSN) 加入新部署,您需要将该节点注册为 PSN。有关注册或加入 PSN 的详细信息,请参阅 思科身份服务引擎管理员指南中的“注册辅助思科 ISE 节点”部分。

6. 导入证书

您需要将系统证书导入到思科 ISE 中新部署的节点。有关如何将系统证书导入思科 ISE 节点的详细信息,请参阅 思科身份服务引擎管理员指南中的“导入系统证书”部分。

备份和恢复升级过程

本节介绍使用推荐的备份和恢复升级方法的升级过程。

如果您正在使用 思科 ISE 版本 2.6 或更高版本,您可以直接升级到 思科 ISE 版本 3.1

如果您使用的 思科 ISE 版本与 思科 ISE 3.1 版本不兼容,则需要首先升级到与 思科 ISE 3.1 版本兼容的中间版本。然后,您可以从中间版本升级到思科 ISE 版本 3.1。请按照以下步骤升级到思科 ISE 中间版本。

将辅助 PAN 和辅助 MnT 节点升级到思科 ISE 版本 2.6、2.7 或 3.0

开始之前

将备份从现有思科 ISE 恢复到中间思科 ISE 版本。如果您不想保留较早的报告数据,请跳过步骤 4 至 6。

过程
步骤 1

取消注册辅助 PAN 节点。

步骤 2

将已取消注册的辅助 PAN 节点作为独立节点重新映像到中间思科 ISE 版本。安装后,此节点会成为新部署中的主管理节点。
步骤 3

从备份数据恢复思科 ISE 配置。
步骤 4

取消注册辅助 PAN 节点。

步骤 5

将已取消注册的辅助 MnT 节点作为独立节点重新映像到中间思科 ISE 版本。
步骤 6

将主角色分配给此 Mnt 节点,并从备份存储库恢复操作备份。这是一个可选步骤,仅当您需要报告较早的日志时才需要执行
步骤 7

从原始思科 ISE 备份存储库导入 ise-https-admin CA 证书。

将辅助 PAN 和 MnT 节点升级到思科 ISE 版本 3.1

过程
步骤 1

备份思科 ISE 配置设置和操作日志。
步骤 2

取消注册辅助 PAN 节点。

步骤 3

将取消注册的辅助 PAN 节点重新映像到思科 ISE 版本 3.1
步骤 4

从备份数据恢复 ISE 配置,并将此节点设置为新部署的主节点。

步骤 5

从此节点的备份导入 ise-https-admin CA 证书,除非您使用的是通配符证书。
步骤 6

取消注册辅助 PAN 节点。

步骤 7

将取消注册的辅助 MnT 节点重新映像到思科 ISE 版本 3.1
步骤 8

恢复当前的 ISE 运行备份,并将节点作为主 MnT 加入新部署。这是一个可选步骤,仅当您需要报告较早的日志时才需要执行。

将策略服务节点加入思科 ISE 版本 3.1

如果您在多个站点部署了思科 ISE 节点,请先加入站点(具有辅助 PAN 和 MnT 节点)中可用的 PSN,然后加入其他站点中可用的 PSN(具有辅助 PAN 和 MnT 节点)现有思科 ISE 的主 PAN 和 MnT 节点)。

过程
步骤 1

取消注册 PSN。
步骤 2

将 PSN 重新映像到思科 ISE 版本 3.1 最新补丁,并将 PSN 加入新的思科 ISE 版本 3.1 部署。

下一步做什么

我们建议您此时测试部分升级的部署。您可以通过检查日志是否存在以及升级的节点功能来执行此操作。

将主 PAN 和 MnT 升级到思科 ISE 版本 3.1

过程
步骤 1

重新映像主 MnT 节点并作为辅助 MnT 加入新部署。

如果要保留数据以进行报告,请将操作备份的副本恢复到辅助 MnT 节点。
步骤 2

重新映像主 PAN 节点并作为辅助 PAN 加入新部署。

通过 GUI 升级思科 ISE 部署

通过 GUI 升级思科 ISE 部署

通过Cisco ISE,可以从管理门户执行基于 GUI 的集中式升级。升级过程是相当简单的,升级进度和节点状态显示在屏幕上。

选择Adminstration > System > Upgrade > Overview菜单选项列出了部署中的所有节点、这些节点上启用的角色、所安装 ISE 的版本以及节点的状态(指示节点是处于活动状态还是非活动状态)。只有在节点处于活动状态时,才能开始升级。

在思科 ISE GUI 中,单击菜单 图标 (),然后选择Adminstration > System > Upgrade > Overview菜单选项列出了部署中的所有节点、这些节点上启用的角色、所安装 ISE 的版本以及节点的状态(指示节点是处于活动状态还是非活动状态)。只有在节点处于活动状态时,才能开始升级。

仅当您当前使用 2.0 或更高版本并且希望升级到版本 2.0.1 或更高版本时,才支持从管理员门户进行基于 GUI 的升级。

您可以在 Administration > System > Upgrade> Upgrade Selection 窗口中选择以下选项之一来升级 思科 ISE 部署:

  • 完全升级:完全升级是一个多步骤过程,可同时对思科 ISE 部署中的所有节点进行完整升级。与拆分升级过程相比,此方法将在更短的时间内升级部署。在此升级过程中,应用服务将关闭,因为所有节点都是并行升级的。

  • 拆分升级:拆分升级是一个多步骤过程,它可以升级思科 ISE 部署,同时允许在升级过程中保持服务可用。通过此升级方法,您可以选择要在部署中升级的思科 ISE 节点。


思科 ISE 2.6 补丁 10 及更高版本、思科 ISE 2.7 补丁 4 及更高版本以及思科 ISE 3.0 补丁 3 及更高版本支持完全升级方法。拆分升级方法可以在任何受支持的思科 ISE 版本和补丁上执行。

虽然这些 GUI 升级方法从思科 ISE 2.6 补丁 10 开始可用,但您至少需要运行思科 ISE 2.7 补丁 4 才能升级到思科 ISE 3.2。

通过 GUI 全面升级思科 ISE 部署

通过Cisco ISE,可以从管理门户执行基于 GUI 的集中式升级。全面升级是一个多步骤过程,可实现思科 ISE 部署的完整升级。

要执行思科 ISE 部署的完整升级,请执行以下操作:

过程

步骤 1

在思科 ISE GUI 中,单击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 升级 (Upgrade)
步骤 2

升级选择 窗口中,点击 全面升级 ,然后点击 开始升级
步骤 3

欢迎 窗口中点击 下一步 以启动升级工作流程。

步骤 4

完成 核对表 窗口中列出的所有任务,以避免在升级过程中出现任何阻止程序或停机时间。

图 1. 显示核对表的升级窗口
步骤 5

(可选)点击 打印核对表 下载核对表以供参考。

步骤 6

选中 我已查看核对表 复选框,然后在验证升级核对表中列出的项目后点击 下一步

屏幕上将显示 准备升级 窗口。

步骤 7

存储库 下拉列表中,选择存储升级捆绑包的存储库。

步骤 8

捆绑包 下拉列表中选择升级捆绑包。

步骤 9

所有 补丁版本都列在 补丁下 拉列表中。我们建议您为要升级到的思科 ISE 版本选择最新的补丁。

步骤 10

点击 开始准备 以验证所有思科 ISE 组件并为您的部署生成报告。

图 2. 在“准备升级”选项卡中显示节点的升级窗口

思科 ISE 在升级过程中会检查以下内容。

预先检查列表

说明

存储库验证

检查是否为所有节点配置了存储库。

捆绑包下载

帮助下载和准备所有节点的升级捆绑包。

内存检查

检查 PAN 或独立节点上是否有 25% 的内存空间,以及所有其他节点上是否有 1 GB 的内存空间。

PAN 故障切换验证

检查是否已启用 PAN 高可用性。

在开始升级之前,管理员会收到 PAN 高可用性将被禁用的通知。

计划的备份检查

检查计划备份是否已启用。

 

对于升级过程,此检查不是强制性的。

配置备份检查

检查最近是否完成了配置备份。升级过程仅在备份完成后运行。

配置数据升级

在配置数据库克隆上运行配置数据升级,并创建升级后的数据转储。此检查在捆绑包下载后开始。

平台支持检查

检查部署中支持的平台。它会检查系统是否至少具有 12 个核心 CPU、300-GB 硬盘和 16-GB 内存。它还会检查 ESXi 版本是否为 6.5 或更高版本。

部署验证

检查部署状态节点是否处于同步状态或在进行中。

DNS 解析

检查主机名和 IP 地址的正向和反向查找。

信任存储区证书验证

检查信任存储区证书是否有效或已过期。

系统证书验证

检查每个节点的系统证书验证。

磁盘空间检查

检查硬盘是否有足够的可用空间来继续执行升级过程。

NTP 连通性和时间源检查

检查系统中配置的 NTP 以及时间源是否为 NTP 服务器。

平均负载检查

按指定时间间隔检查系统负载。频率可以是 1、5 或 15 分钟。

许可证验证

检查智能许可是否已配置且有效。如果智能许可未配置且无效,则会显示警告,要求您配置并验证许可证。

服务或流程故障

指示服务或应用的状态(是正在运行还是处于故障状态)。

如果任何组件处于非活动状态或发生故障,则会显示为红色。您还将获得故障排除建议。根据发生故障的组件的升级严重性,您可以继续执行升级过程,或者系统会要求您解决问题,以便继续执行升级过程。

刷新失败的检查 选项仅刷新以红色突出显示的失败。在执行升级之前,必须纠正这些故障。以橙色突出显示的警告不会停止升级过程。但是,它们可能会在升级后影响某些思科 ISE 功能。点击每个警告旁边显示的 刷新 图标,在解决问题后刷新这些检查。

点击 展开以显示 图标可查看有关每个节点及其状态的其他信息。

点击 信息 图标可查看有关每个组件的详细信息。

点击 下载报告 可获得生成的报告的副本。

您可以查看暂存和升级过程所需的估计时间。计算方法如下:

  • 网速

  • 节点配置:处理器、RAM 和硬盘的数量

  • 数据库中的数据大小

  • 节点启动应用服务器所用的时间

 
捆绑包下载配置数据升级 检查外,所有预先检查都将在启动系统验证四小时后自动到期。
步骤 11

完成所有节点的预先检查后,点击 开始暂存 以启动暂存过程。

在升级暂存期间,升级后的数据库文件将复制到部署中的所有节点,并在部署中的所有节点上备份配置文件。

图 3. 显示升级暂存的升级窗口

如果节点上的升级暂存成功,则显示为绿色。如果特定节点的升级暂存失败,则显示为红色。您还将获得故障排除建议。

点击 刷新故障节点 图标,为故障节点重新启动暂存升级。

步骤 12

点击 下一步 以进入 升级节点 窗口。

升级节点 窗口中,您可以查看总体升级进度以及部署中每个节点的状态。

步骤 13

点击 开始 以开始升级流程。

在升级过程完成之前,系统将显示消息 系统将升级。注销。显示
步骤 14

点击确定以继续。

 

您可以再次登录辅助 PAN 以监控升级进度。

在主 PAN 升级时,您可以从辅助 PAN 控制面板监控主 PAN 升级状态。主 PAN 升级后,您可以从主 PAN 控制面板监控所有思科 ISE 节点的升级状态。

图 4. 显示升级状态的升级节点窗口
 
点击此窗口中的 退出向导 选项将阻止您稍后查看 总结 窗口。
步骤 15

点击升级节点窗口中的下一步,检查是否所有节点都已成功升级。

如果有任何故障节点,系统将显示一个对话框,其中包含有关故障节点的信息。

步骤 16

在对话框中点击确定,从部署中取消注册失败的节点。

升级过程完成后,您可以在摘要窗口中查看和下载部署的诊断升级报告。您可以验证并下载包含相关详细信息的升级摘要报告,例如核对表升级准备升级报告系统运行状况核对表项目。

通过 GUI 拆分升级思科 ISE 部署

拆分升级是一个多步骤过程,可在允许用户使用其他服务的同时升级思科 ISE 部署。

要对思科 ISE 部署执行拆分升级,请执行以下程序。

过程

步骤 1

在思科 ISE GUI 中,单击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 升级 (Upgrade)
步骤 2

在升级选择窗口中,点击拆分升级,然后点击开始升级。

概述 选项卡列表列出了部署中的所有节点、这些节点上启用的角色、所安装思科 ISE 的版本以及节点的状态(指示节点是处于活动状态还是非活动状态)。只有在节点处于活动状态时,才能开始升级。

步骤 3

点击升级 (Upgrade) 选项卡。

完成 核对表 窗口中列出的所有任务,以避免在升级过程中出现任何阻止程序或停机时间。

步骤 4

选中 我已检查核对表 复选框,然后点击 继续

屏幕上会显示 将捆绑包下载至节点 窗口。

步骤 5

从存储库中下载升级捆绑包至节点:

  1. 选中要下载升级捆绑包的节点旁边的复选框。

  2. 点击 Download

    屏幕上会显示 选择存储库和捆绑包 窗口。

  3. 从下拉列表中选择存储库。

     

    您可以选择相同的存储库或不同节点上不同的存储库,但是,您必须在所有节点上选择相同的升级捆绑包。

  4. 勾选您想要用于升级的捆绑包旁边的复选框。

  5. 点击 Confirm

    捆绑包下载到节点后,节点状态将更改为 准备升级
步骤 6

点击继续 (Continue)

系统将显示 升级节点 窗口。

图 5. 显示当前部署和新部署的升级窗口


步骤 7

选择节点并将其按要升级的顺序移动到 新部署升级 窗格。

当您将节点移动到新部署中后, 升级节点 窗口上将显示升级时间估值。您可以使用此信息进行升级规划并最大限度地减少业务中断时间。如果您有一对管理和监控节点和多个策略服务节点,请采用以下顺序的步骤。

  1. 默认情况下,辅助管理节点会首先在升级顺序中列出。升级后,此节点会成为新部署中的主管理节点。

  2. 在升级顺序列表中,主监控节点是下一个待升级至新部署的节点。

  3. 选择策略服务节点并将其移至新部署。您也可以修改策略服务节点升级的顺序。

    您可以按顺序或并行升级策略服务节点。您可以选择一组策略服务节点进行并行升级。

  4. 选择辅助监控节点并将其移至新部署。

  5. 最后,选择主管理节点并将其移至新部署。

步骤 8

如果希望即使升级顺序中的任何策略服务节点升级失败仍继续升级,请选中 失败后继续升级 复选框。

此选项不适用于辅助管理节点和主监控节点。如果任意节点出现故障,升级过程会回滚。如果任何策略服务节点发生故障,则辅助监控节点和主管理节点不会升级,并且会保留在旧部署中。

步骤 9

点击升级 (Upgrade)开始部署升级。

图 6. 显示升级进度的升级窗口


系统会显示每个节点的升级进度。在成功完成升级后,节点状态变为 升级完成

 

当您从管理员门户升级某节点,且该节点状态长时间未改变(并且保持在 80%),可以通过 CLI 检查升级日志或通过控制台检查升级状态。

您可以使用 show logging application 命令通过 CLI 查看以下升级日志:

  • 数据库数据升级日志

  • 数据库架构日志

  • 操作系统升级后日志

如果您收到以下警告消息,请点击 升级 窗口中的 详细信息 链接: 

The node has been reverted back to its pre-upgrade state.

解决升级失败详细信息 (Upgrade Failure Details) 窗口中列出的问题。修复所有问题后,点击升级 (Upgrade) 重新开始升级。

 

如果终端安全评估数据更新流程运行在新部署的主管理节点上,您无法向主管理节点注册节点。您可以在升级或向新部署中注册节点时等待终端安全评估流程结束(这大概需要 20 分钟),也可以从 升级 窗口(管理 > 系统 > 设置 > 安全评估 > 升级)页面禁用终端安全评估自动更新功能。

从版本 、 2.6、2.7 或 3.0 到版本 3.1

您可以从版本 2.0 开始使用管理员门户升级思科 ISE 部署中的所有节点。您还可以将思科 ISE 2.0 的有限可用性版本升级到通用版本。

开始之前

确保您已阅读升级前的准备工作一节中的说明。

过程

步骤 1

在思科 ISE GUI 中,单击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 升级 (Upgrade)
步骤 2

单击继续
步骤 3

屏幕上会显示 检查核对表 窗口。仔细阅读提供的说明。

步骤 4

选中我已检查核对表 (I have reviewed the checklist) 复选框,然后点击继续 (Continue)

屏幕上会显示 将捆绑包下载至节点 窗口。

步骤 5

从存储库中下载升级捆绑包至节点:

  1. 选中要下载升级捆绑包的节点旁边的复选框。

  2. 点击 Download

    屏幕上会显示 选择存储库和捆绑包 窗口。

  3. 选择存储库。

    您可以选择相同的存储库或不同节点上不同的存储库,但是,您必须在所有节点上选择相同的升级捆绑包。

  4. 勾选您想要用于升级的捆绑包旁边的复选框。

  5. 点击 Confirm

    捆绑包下载到节点后,节点状态将更改为 Ready for Upgrade
步骤 6

单击继续

屏幕上将显示升级节点 (Upgrade Nodes) 窗口。

图 7. 显示各节点所选存储库的升级窗口


步骤 7

选择升级顺序。

当您将节点移动到新部署中后,Upgrade Nodes 窗口上将显示升级时间估值。您可以使用此信息进行升级规划并最大限度地减少业务中断时间。如果您有一对管理和监控节点和多个策略服务节点,请采用以下升级顺序。

  1. 默认情况下,辅助管理节点会首先在升级顺序中列出。升级后,此节点会成为新部署中的主管理节点。

  2. 在升级顺序列表中,主监控节点是下一个待升级至新部署的节点。

  3. 选择策略服务节点并将其移至新部署。您可以修改策略服务节点升级的顺序。

    您可以按顺序或并行升级策略服务节点。您可以选择一组策略服务节点进行并行升级。

  4. 选择辅助监控节点并将其移至新部署。

  5. 最后,选择主管理节点并将其移至新部署。

步骤 8

如果希望即使升级顺序中的任何策略服务节点升级失败仍继续升级,请选中失败后继续升级 (Continue with upgrade on failure) 复选框。

此选项不适用于辅助管理节点和主监控节点。如果任意一个节点出现故障,升级过程会回滚。如果任何策略服务节点发生故障,则辅助监控节点和主管理节点不会升级,并且会保留在旧部署中。

步骤 9

点击升级 (Upgrade)开始部署升级。

图 8. 显示升级进度的升级窗口


系统会显示每个节点的升级进度。在成功完成升级后,节点状态变为 Upgrade Complete

 

当您从管理员门户升级某节点,如果该节点状态长时间未改变(并且保持在 80%),可以通过 CLI 检查升级日志或通过控制台检查升级状态。登录到 CLI,或通过思科 ISE 节点的控制台以查看升级过程。您可以使用 show logging application 命令查看 upgrade-uibackend-cliconsole.logupgrade-postosupgrade-yyyymmdd-xxxxxx.log

您可以使用 show logging application 命令通过 CLI 查看以下升级日志:

  • 数据库数据升级日志

  • 数据库架构日志

  • 操作系统升级后日志

如果收到警告消息:The node has been reverted back to its pre-upgrade state ,转到升级 (Upgrade) 窗口,单击详细信息 (Details) 链接。解决升级失败详细信息 (Upgrade Failure Details) 窗口中列出的问题。修复所有问题后,点击升级 (Upgrade) 重新开始升级。

 

如果终端安全评估数据更新流程运行在新部署的主管理节点上,您无法向主管理节点注册节点。您可以在升级或向新部署中注册节点时等待终端安全评估流程结束(这大概需要 20 分钟),也可以从更新 (Updates) 窗口禁用终端安全评估自动更新功能。要查看此处窗口,请单击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 设置 (Settings) > 终端安全评估 (Posture) > 更新 (Updates)

通过 CLI 升级思科 ISE 部署

使用 CLI 的升级过程取决于部署类型。

升级独立节点

您可以直接使用 application upgrade <upgrade bundle name> <repository name> 命令,或者也可以按照指定顺序使用 application upgrade prepare <upgrade bundle name> <repository name> application upgrade proceed 命令来升级独立节点。

在担任管理、策略服务和监控角色的独立节点上,您可以通过 CLI 运行 application upgrade <upgrade bundle name> <repository name> 命令。如果选择直接运行此命令,我们建议您先将远程存储库中的升级捆绑包复制到思科 ISE 节点的本地磁盘中,然后再运行命令以节省升级时间。

或者,您也可以使用 application upgrade prepare <upgrade bundle name> <repository name> application upgrade proceed 命令。application upgrade prepare <upgrade bundle name> <repository name> 命令可下载升级捆绑包,并在本地进行解压缩。此命令会将远程存储库中的升级捆绑包复制到思科 ISE 节点的本地磁盘。在为升级准备好一个节点后,请运行 application upgrade proceed 命令来成功完成升级。

我们建议您运行下面描述的 application upgrade prepare <upgrade bundle name> <repository name> application upgrade proceed 命令。

开始之前

确保您已阅读升级前的准备工作一节中的说明。

过程
步骤 1

在本地磁盘上创建一个存储库。例如,您可以创建名为“upgrade”的存储库。

示例:
ise/admin# conf t 
Enter configuration commands, one per line.  End with CNTL/Z.
ise/admin(config)# repository upgrade 
ise/admin(config-Repository)# url disk: 
% Warning: Repositories configured from CLI cannot be used from the ISE web UI and are not replicated to other ISE nodes.
If this repository is not created in the ISE web UI, it will be deleted when ISE services restart.
ise/admin(config-Repository)# exit 
ise/admin(config)# exit
步骤 2

在思科 ISE 命令行界面 (CLI) 中,输入 application upgrade prepare <upgrade bundle name> <repository name> 命令。

此命令会将升级捆绑包复制到您在上一步中创建的本地存储库“upgrade”,并列出 MD5 和 SHA256 校验和。

步骤 3

ISE CLI 中,输入 application upgrade proceed 命令。

 

开始升级后,您可以查看升级进度,方法是通过 SSH 登录并运行 show application status ise 命令。显示以下消息:% 通知:身份服务引擎升级正在进行中…

下一步做什么
验证升级过程

升级双节点部署

使用 application upgrade prepare <upgrade bundle name> <repository name> proceed 命令升级双节点部署。您无需手动取消注册节点并再次注册。升级软件会自动取消注册节点,并将其迁移至新的部署。当您升级双节点部署时,最初应仅升级辅助管理节点(节点 B)。辅助节点的升级完成后,随后升级主节点(节点 A)如果您如下图所示设置部署,则可以继续执行此升级过程。

图 9. 思科 ISE 双节点管理部署
开始之前

  • 从主管理节点按需(手动)备份配置和运行数据。

  • 确保在部署的双节点上启用管理和监控角色。

    如果仅在主管理节点上启用了管理角色,则开始升级前必须在辅助节点上启用管理角色,这是因为升级过程要求先升级辅助管理节点。

    或者,如果双节点部署中只有一个管理节点,则取消注册辅助节点。两个节点成为独立节点。将两个节点作为独立节点升级,并在升级后设置部署。

  • 如果仅在其中一个节点上启用了监控角色,请确保您在另一个节点上也启用了监控角色,然后再继续。

过程
步骤 1

通过 CLI 升级辅助节点(节点 B)

升级过程自动从部署中删除节点 B 并对其进行升级。重新启动后,节点 B 将成为主节点。

步骤 2

升级节点 A

升级过程自动在部署中注册节点 A,并将其指定为升级后环境中的辅助节点。

步骤 3

现在将节点 A 升级为新部署中的主节点。

升级完成后,如果节点包含旧的监控日志,请确保运行 application configure ise 命令并在这些节点上选择 5(刷新数据库统计数据)。

下一步做什么
验证升级过程

升级分布式部署

您必须先将辅助管理节点 (SAN) 升级到新版本。例如,如果您如下图所示设置部署,其中包含一个主管理节点 (PAN)、一个辅助管理节点、四个策略服务节点 (PSN),一个主监控节点 (MnT1) 和一个辅助监控节点 (MnT2),您可以继续执行以下升级过程。

图 10. 升级前的思科 ISE 部署

升级前,您无需手动取消注册节点。使用 application upgrade prepare <upgrade bundle name> <repository name> proceed 命令升级到新版本。升级过程会自动取消注册节点,并将其迁移至新的部署。如果您在升级前手动取消注册节点,请确保您拥有主管理节点的许可证文件,然后再开始升级。如果您手头没有该文件(例如,您的许可证被思科合作伙伴供应商安装),请联系思科技术支持中心获得帮助。

开始之前

  • 如果部署中没有辅助管理节点,请配置一个策略服务节点用作辅助管理节点,然后再开始升级。

  • 确保您已阅读并遵从升级前的准备工作一节中给出的说明。

  • 当您升级完整的思科 ISE 部署时,必须执行域名系统 (DNS) 服务器解析(转发和反向查找);否则,升级将会失败。

过程
步骤 1

从 CLI 升级 SAN。

升级过程自动从部署中取消注册 SAN 并对其进行升级。重新启动后,SAN 成为新部署的主节点。由于每个配置至少需要一个监控节点,因此升级过程会在 SAN 上启用监控角色,即便在旧部署中并未启用该节点的监控角色。如果在旧部署中对 SAN 启用了策略服务角色,则升级到新版本后将保留此配置。

步骤 2

将其中一个监控节点(MnT1 和 MnT2)升级到新部署。

我们建议您先升级主监控节点,然后再升级辅助监控节点(如果在旧部署中主管理节点同时也被用作主监控节点,那么这种方法是不可行的)。您的主监控节点开始从新部署收集日志,并且您可以在主管理节点控制面板上查看详细信息。

如果旧部署中只有一个监控节点,那么升级前请确保对 PAN 启用监控角色,而该节点正是旧部署中的主管理节点。由于节点角色的变更,会导致思科 ISE 应用重新启动。请等待 PAN 出现,然后再继续执行操作。由于将监控节点升级到新部署所需的时间比其他节点要长,因此必须将运行数据迁移到新部署。

如果在旧部署中没有对节点 B(同时也是新部署中的主管理节点)启用监控角色,请禁用其监控角色。由于节点角色的变更,会导致思科 ISE 应用重新启动。请等待主管理节点出现,然后再继续执行操作。

步骤 3

升级策略服务节点 (PAN)。您可以同时升级多个 PSN,但如果您同时升级所有 PSN,网络将会中断。

升级后,向新部署的主节点 SAN 注册 PSN,并将主节点的数据复制到所有 PSN。PSN 保留其角色、节点组信息和分析探针配置。

步骤 4

如果旧部署中有第二个监控节点,则必须执行以下操作:

  1. 对 PAN 启用监控角色,而该节点正是旧部署中的主节点。

    部署至少需要一个监控节点。升级旧部署中的第二个监控节点之前,对主节点启用此角色。由于节点角色的变更,会导致思科 ISE 应用重新启动。等待主 ISE 节点再次出现。

  2. 将旧部署中的辅助监控节点升级到新部署。

除主管理节点外,您必须将所有其他节点升级到新部署。

步骤 5

最后,升级主管理节点。

此节点已升级,并作为辅助管理节点添加到新部署中。您可以将辅助管理节点升级为新部署中的主节点。

升级完成后,如果升级的监控节点包含旧日志,请运行 application configure ise 命令并在监控节点上选择 5(刷新数据库统计数据)。

下一步做什么
验证升级过程

验证升级过程

我们建议您进行网络测试,以确保部署运行正常并且用户可以验证和访问您网络中的资源。

如果由于配置数据库问题而导致升级失败,则更改会自动回滚。

过程

执行以下任意一个选项,以验证升级是否成功。

  • 检查升级过程中使用的 ade.log 文件。要显示 ade.log 文件,请从思科 ISE CLI 输入以下命令:show logging system ade/ADE.log.?

您可以使用 grep STEP 命令查看升级进度: 

  • info:[application:install:upgrade:preinstall.sh] STEP 0: Running pre-checks
  • info:[application:operation:preinstall.sh] STEP 1: Stopping ISE application...
  • info:[application:operation:preinstall.sh] STEP 2: Verifying files in bundle...
  • info:[application:operation:isedbupgrade-newmodel.sh] STEP 3: Validating data before upgrade...
  • info:[application:operation:isedbupgrade-newmodel.sh] STEP 4: De-registering node from current deployment.
  • info:[application:operation:isedbupgrade-newmodel.sh] STEP 5: Taking backup of the configuration data...
  • info:[application:operation:isedbupgrade-newmodel.sh] STEP 6: Registering this node to primary  of new deployment...
  • info:[application:operation:isedbupgrade-newmodel.sh] STEP 7: Downloading configuration data from primary  of new deployment...
  • info:[application:operation:isedbupgrade-newmodel.sh] STEP 8: Importing configuration data...
  • info:[application:operation:isedbupgrade-newmodel.sh] STEP 9: Running ISE configuration data upgrade for node specific data...
  • info:[application:operation:isedbupgrade-newmodel.sh] STEP 10: Running ISE M&T database upgrade...
  • info:[application:install:upgrade:post-osupgrade.sh] POST ADEOS UPGRADE STEP 1: Upgrading Identity Services Engine software... 
  • info:[application:operation:post-osupgrade.sh] POST ADEOS UPGRADE STEP 2: Importing upgraded data to 64 bit database...
  • 搜索此字符串以确保升级已成功完成: 
    Upgrade of Identity Services Engine completed
      successfully.
  • 输入 show version 命令来验证版本。
  • 输入 show application status ise 命令验证所有服务是否都在运行。

回滚到之前版本

在极少数情况下,您可能需要使用以前版本的 ISO 映像并从备份文件中恢复数据,来重新映像思科 ISE 设备。恢复数据后,您可以在旧部署中注册,并启用和旧部署中一样的角色。因此,我们建议您在开始升级之前备份思科 ISE 配置和监控数据。

有时,因为配置和监控数据库中的问题不会自动回滚,所以升级才会失败。在这种情况下,您将收到升级失败消息,获悉数据库无法回滚。如果遇到这种情况,您应手动重新映像系统、安装思科 ISE,并恢复配置数据和监控数据(如果已启用监控角色)

在尝试执行任何回滚或恢复操作之前,使用 backup-logs 命令生成支持捆绑包,并将该支持捆绑包放于远程存储库中。