簡介
本文檔介紹如何使用完全升級方法將現有ISE部署從2.7版升級到3.1版。
必要條件
需求
思科建議您瞭解以下主題:
- 身分識別服務引擎 (ISE)
- 瞭解用於描述不同型別ISE部署的術語
採用元件
本文中的資訊係根據以下軟體和硬體版本:
本文中的資訊是根據特定實驗室環境內的裝置所建立。 文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
注意:該過程與其他ISE版本相似或相同。除非另有說明,否則這些步驟可在2.6上用於升級到3.1和ISE軟體版本。
背景資訊
還包括如何使用運行狀況檢查功能檢測和修復任何潛在的部署問題。傳統升級方法現在稱為剝離升級,如果完全升級方法不是首選方法,則可作為替代選項使用。
支援的路徑
支援從ISE 3.1完全升級
- ISE 2.6補丁10及更高版本
- ISE 2.7補丁4及更高版本
- ISE 3.0補丁3及更高版本
ISE 2.6及更高版本支援拆分升級到ISE 3.1,帶或不帶任何補丁程式。
完全升級與分割升級方法的比較
分散式部署中基於分割升級方法的節點升級順序
完全分散式部署至少需要5個步驟才能升級到較新版本。
考慮到每個步驟大約需要240分鐘,因此這裡的總升級過程將需要240*5分鐘= 20小時。
分散式部署中採用完全升級方法的節點升級順序
完全分散式部署只需兩個步驟即可升級到較新版本。
同樣,考慮到每一步大約需要240分鐘,整個升級過程現在減少到240*2分鐘= 8小時。
完全升級相對於拆分升級方法的優勢
- 完全升級方法消耗整個活動的時間較少,這是因為節點是並行升級的,而拆分升級方法需要在較長的維護時段內進行良好的規劃。
- 就升級順序而言,完全升級方法沒有麻煩,因為僅需兩個步驟。Split Upgrade方法要求在開始升級過程之前對節點進行適當的排序。
- 完全升級方法保留升級前的角色和角色。Split Upgrade方法會切換升級版本中的主要和次要管理員角色。
- 通過消除升級過程中與部署相關的更改對API的依賴性,完全升級方法減少了故障點。
- 當主管理節點關閉以進行升級時,Full Upgrade方法允許從輔助管理節點跟蹤升級狀態。在分割升級方法中無法實現此功能。
- 升級後補丁安裝是自動進行的,並且是作為完全升級方法中的一個選項提供的。
注意:完全升級需要完全停機時間,因為所有PSN都同時關閉以進行升級。確保在計畫的維護時段內計畫此活動。
完整升級流程
本文檔演示了4節點部署的升級流程。對於雙節點或其他多節點部署,整個流程保持不變。
升級UI
導覽至Administration > System > Upgrade,以開始活動,如下圖所示。
註:ISE 2.6補丁9及以下、ISE 2.7補丁3及以下、ISE 3.0補丁2及以下僅支援拆分升級方法。預設情況下,會為這些版本啟動Split Upgrade視窗。可從此處參閱Split Upgrade過程。選擇Full Upgrade單選按鈕,然後按一下Start Upgrade。
歡迎頁面
在歡迎頁嚮導中,按一下下一步以繼續操作。
核對表
檢查核對表並確保在進一步操作之前完成任務。
勾選說明我已審閱檢查清單的覈取方塊,然後按一下下一步。
準備升級
在升級之前對完整部署運行預檢查,結果顯示在此頁面上。除了檢查外,在此步驟中,升級捆綁包下載到所有節點上,離線資料升級(ODU)在輔助管理節點上運行(這類似於分割升級方法的升級準備工具(URT)模擬),最後還顯示活動的估計時間。
將從思科軟體下載頁面下載升級套件組合。
若要運行升級前檢查,請選擇放置升級捆綁包的儲存庫名稱。從Bundle下拉框中選擇升級捆綁包檔名。
注意:完全升級方法還引入了在升級後自動安裝補丁程式。修補程式檔案將與升級捆綁包一起置於同一個儲存庫中,如果需要自動安裝修補程式,可從下拉選單中選擇修補程式檔名。
按一下Start Preparation以開始運行預檢查。所有預檢查(捆綁包下載和配置資料升級檢查除外)在啟動系統驗證4小時後自動過期。配置資料升級(僅適用於ODU)將在12小時後過期。
注意:在升級活動之前禁用PAN故障切換設定。如果沒有手動完成,升級觸發後將自動禁用。
註:ISE 3.0和所列命令使用智慧許可。它不支援傳統許可。如果在升級前未啟用或註冊智慧許可,則ISE會在預設升級後進入智慧許可評估期。許可證遷移參考連結:產品 — ISE許可遷移指南 — 思科。 將ISE從2. x升級到3.x時,需要更改許可層。
注意:觸發配置資料升級後,應避免ISE上的所有型別的配置更改。升級後所做的任何更改都將丟失。
如果任何元件預檢查失敗,則根據元件的重要性以紅色或橙色顯示。以紅色突出顯示的故障需要強制糾正才能繼續操作。以橙色突出顯示的警告無法停止升級過程,但是,最好將它們作為最佳實踐進行修復,以免影響未來的部署特性和功能。
更正錯誤後,按一下「開始暫存」以繼續操作。
升級暫存
升級暫存期間,升級的資料庫檔案將複製到部署中的所有節點,配置檔案將備份在部署的所有節點上。
作為ODU的一部分,轉儲檔案已存在於輔助管理節點上。因此,在此步驟中,輔助管理節點只為CA NSS DB、智慧許可和DHCP/DNS配置建立備份檔案。所有其他節點也會建立這些檔案,但還需要從輔助管理節點複製轉儲檔案。
當所有節點的暫存完成時,按一下下一步。
升級節點
按一下「Start」以觸發升級。
彈出消息確認升級已觸發,並且所有節點都顯示在具有升級狀態的隊列中。由於升級首先在主管理節點上啟動,因此系統從此節點註銷,現在可以從輔助管理節點的GUI監視升級狀態。在輔助管理節點的GUI上導航到Administration > System > Upgrade,以繼續檢視狀態。
主管理節點升級且服務啟動後,系統會註銷輔助管理節點的GUI。現在,使用者可以從主管理節點的GUI切換回監視狀態,同時部署的所有其他節點都停止執行升級。
成功升級所有節點後,狀態將變為綠色。
如果存在任何故障節點,則會顯示一個包含有關故障節點資訊的彈出視窗。在彈出視窗中按一下OK以從部署中註銷失敗節點。必須逐個升級/重新映像這些映像並將其加入部署(如果有)。
按一下「Next」以檢視整體升級摘要報告。
摘要
升級過程完成後,可從此頁檢視和下載部署的診斷升級報告。
運行狀況檢查
為了升級後驗證部署狀態,系統將自動運行運行狀況檢查以驗證部署狀態。可以從升級流程的「摘要」頁面下載此報告。如果需要在任何時間點進行按需運行狀況檢查,請導航到Administration > System > Health Checks,然後按一下Start Health Checks。
升級後任務
使用者在您完成升級後登入到主管理節點的GUI時,會顯示有關升級後任務的彈出消息。
按一下彈出消息中的升級後任務超連結,以檢視任務詳細資訊並完成它們。
問題和補救措施
- 如果主管理節點升級失敗,請將輔助管理節點升級為主管理節點,然後重試升級。
- 如果升級在除主admin之外的任何其他節點上失敗,則必須從部署中註銷該節點。此節點必須單獨升級,或直接重新映像至升級的版本,並且可以重新加入部署。