使用完全升級方法升級ISE

簡介

本文檔介紹如何使用完全升級方法將現有ISE部署從2.7版升級到3.1版。 

必要條件

需求

思科建議您瞭解以下主題： 

• 身分識別服務引擎 (ISE) 
• 瞭解用於描述不同型別ISE部署的術語 

採用元件 

本文中的資訊係根據以下軟體和硬體版本： 

• ISE版本2.7，補丁4
• ISE版本3.1

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

附註：該過程與其他ISE版本相似或相同。除非另有說明，否則這些步驟可在2.6上用於升級到3.1和ISE軟體版本。

背景資訊

還包括如何使用運行狀況檢查功能檢測和修復任何潛在的部署問題。傳統升級方法現在稱為剝離升級，如果完全升級方法不是首選方法，則可作為替代選項使用。

支援的路徑

支援從ISE 3.1完全升級

• ISE 2.6補丁10及更高版本
• ISE 2.7補丁4及更高版本
• ISE 3.0補丁3及更高版本

ISE 2.6及更高版本支援拆分升級到ISE 3.1，帶或不帶任何補丁程式。

完全升級與分割升級方法的比較

分散式部署中基於分割升級方法的節點升級順序

完全分散式部署至少需要5個步驟才能升級到較新版本。

考慮到每個步驟大約需要240分鐘，因此這裡的總升級過程將需要240*5分鐘= 20小時。

分散式部署中採用完全升級方法的節點升級順序

完全分散式部署只需兩個步驟即可升級到較新版本。

同樣，考慮到每一步大約需要240分鐘，整個升級過程現在減少到240*2分鐘= 8小時。

完全升級相對於拆分升級方法的優勢

• 完全升級方法消耗整個活動的時間較少，這是因為節點是並行升級的，而拆分升級方法需要在較長的維護時段內進行良好的規劃。
• 就升級順序而言，完全升級方法沒有麻煩，因為僅需兩個步驟。Split Upgrade方法要求在開始升級過程之前對節點進行適當的排序。
• 完全升級方法保留升級前的角色和角色。Split Upgrade方法會切換升級版本中的主要和次要管理員角色。
• 通過消除升級過程中與部署相關的更改對API的依賴性，完全升級方法減少了故障點。
• 當主管理節點關閉以進行升級時，Full Upgrade方法允許從輔助管理節點跟蹤升級狀態。在分割升級方法中無法實現此功能。
• 升級後補丁安裝是自動進行的，並且是作為完全升級方法中的一個選項提供的。

完整升級流程

本文檔演示了4節點部署的升級流程。對於雙節點或其他多節點部署，整個流程保持不變。

升級UI

導覽至Administration > System > Upgrade，以開始活動，如下圖所示。

附註：ISE 2.6補丁9及以下、ISE 2.7補丁3及以下、ISE 3.0補丁2及以下僅支援拆分升級方法。預設情況下，會為這些版本啟動Split Upgrade視窗。可從此處參閱Split Upgrade過程。選擇Full Upgrade單選按鈕，然後按一下Start Upgrade。

歡迎頁面

在歡迎頁嚮導中，按一下下一步以繼續操作。

核對表

檢查核對表並確保在進一步操作之前完成任務。

勾選說明我已審閱檢查清單的覈取方塊，然後按一下下一步。

準備升級

在升級之前對完整部署運行預檢查，結果顯示在此頁面上。除了檢查外，在此步驟中，升級捆綁包下載到所有節點上，離線資料升級(ODU)在輔助管理節點上運行(這類似於分割升級方法的升級準備工具(URT)模擬)，最後還顯示活動的估計時間。

將從思科軟體下載頁面下載升級套件組合。

若要運行升級前檢查，請選擇放置升級捆綁包的儲存庫名稱。從Bundle下拉框中選擇升級捆綁包檔名。

附註：Full Upgrade方法還介紹了升級後自動補丁安裝。修補程式檔案將與升級捆綁包一起置於同一個儲存庫中，如果需要自動安裝修補程式，可從下拉選單中選擇修補程式檔名。

按一下Start Preparation以開始運行預檢查。所有預檢查（捆綁包下載和配置資料升級檢查除外）在啟動系統驗證4小時後自動過期。配置資料升級（僅適用於ODU）將在12小時後過期。

附註：在升級活動之前禁用PAN故障切換設定。如果沒有手動完成，升級觸發後將自動禁用。

附註：ISE 3.0和列出的要求使用智慧許可。它不支援傳統許可。如果在升級前未啟用或註冊智慧許可，則ISE會在預設升級後進入智慧許可評估期。許可證遷移參考連結：產品 — ISE許可遷移指南 — 思科。將ISE從2. x升級到3.x時，涉及許可層更改。

如果任何元件預檢查失敗，則根據元件的重要性以紅色或橙色顯示。以紅色突出顯示的故障需要強制糾正才能繼續操作。以橙色突出顯示的警告無法停止升級過程，但是，最好將它們作為最佳實踐進行修復，以免影響未來的部署特性和功能。

更正錯誤後，按一下「開始暫存」以繼續操作。

升級暫存

升級暫存期間，升級的資料庫檔案將複製到部署中的所有節點，配置檔案將備份在部署的所有節點上。

作為ODU的一部分，轉儲檔案已存在於輔助管理節點上。因此，在此步驟中，輔助管理節點只為CA NSS DB、智慧許可和DHCP/DNS配置建立備份檔案。所有其他節點也會建立這些檔案，但還需要從輔助管理節點複製轉儲檔案。

當所有節點的暫存完成時，按一下下一步。

升級節點

按一下「Start」以觸發升級。

彈出消息確認升級已觸發，並且所有節點都顯示在具有升級狀態的隊列中。由於升級首先在主管理節點上啟動，因此系統從此節點註銷，現在可以從輔助管理節點的GUI監視升級狀態。在輔助管理節點的GUI上導航到Administration > System > Upgrade，以繼續檢視狀態。

主管理節點升級且服務啟動後，系統會註銷輔助管理節點的GUI。現在，使用者可以從主管理節點的GUI切換回監視狀態，同時部署的所有其他節點都停止執行升級。

成功升級所有節點後，狀態將變為綠色。

如果存在任何故障節點，則會顯示一個包含有關故障節點資訊的彈出視窗。在彈出視窗中按一下OK以從部署中註銷失敗節點。必須逐個升級/重新映像這些映像並將其加入部署（如果有）。

按一下「Next」以檢視整體升級摘要報告。

摘要

升級過程完成後，可從此頁檢視和下載部署的診斷升級報告。

運行狀況檢查

為了升級後驗證部署狀態，系統將自動運行運行狀況檢查以驗證部署狀態。可以從升級流程的「摘要」頁面下載此報告。如果需要在任何時間點進行按需運行狀況檢查，請導航到Administration > System > Health Checks，然後按一下Start Health Checks。

升級後任務

使用者在您完成升級後登入到主管理節點的GUI時，會顯示有關升級後任務的彈出消息。

按一下彈出消息中的升級後任務超連結，以檢視任務詳細資訊並完成它們。

問題和補救措施

1. 如果主管理節點升級失敗，請將輔助管理節點升級為主管理節點，然後重試升級。
2. 如果升級在除主admin之外的任何其他節點上失敗，則必須從部署中註銷該節點。此節點必須單獨升級，或直接重新映像至升級的版本，並且可以重新加入部署。