使用完全升級方法升級ISE

簡介

本文檔介紹如何使用完全升級方法將現有ISE部署從2.7版升級到3.1版。 

必要條件

需求

 

思科建議您瞭解以下主題： 

• 身分識別服務引擎 (ISE) 
• 瞭解用於描述不同型別ISE部署的術語 

  

採用元件 

 

本文中的資訊係根據以下軟體和硬體版本： 

• ISE版本2.7，補丁4
• ISE版本3.1

 

本文中的資訊是根據特定實驗室環境內的裝置所建立。 文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

注意：該過程與其他ISE版本相似或相同。除非另有說明，否則這些步驟可在2.6上用於升級到3.1和ISE軟體版本。

背景資訊

還包括如何使用運行狀況檢查功能檢測和修復任何潛在的部署問題。傳統升級方法現在稱為剝離升級，如果完全升級方法不是首選方法，則可作為替代選項使用。

支援的路徑

支援從ISE 3.1完全升級

• ISE 2.6補丁10及更高版本
• ISE 2.7補丁4及更高版本
• ISE 3.0補丁3及更高版本

ISE 2.6及更高版本支援拆分升級到ISE 3.1，帶或不帶任何補丁程式。

 

完全升級與分割升級方法的比較

分散式部署中基於分割升級方法的節點升級順序

完全分散式部署至少需要5個步驟才能升級到較新版本。

考慮到每個步驟大約需要240分鐘，因此這裡的總升級過程將需要240*5分鐘= 20小時。

分散式部署中採用完全升級方法的節點升級順序

完全分散式部署只需兩個步驟即可升級到較新版本。

同樣，考慮到每一步大約需要240分鐘，整個升級過程現在減少到240*2分鐘= 8小時。

完全升級相對於拆分升級方法的優勢

• 完全升級方法消耗整個活動的時間較少，這是因為節點是並行升級的，而拆分升級方法需要在較長的維護時段內進行良好的規劃。
• 就升級順序而言，完全升級方法沒有麻煩，因為僅需兩個步驟。Split Upgrade方法要求在開始升級過程之前對節點進行適當的排序。
• 完全升級方法保留升級前的角色和角色。Split Upgrade方法會切換升級版本中的主要和次要管理員角色。
• 通過消除升級過程中與部署相關的更改對API的依賴性，完全升級方法減少了故障點。
• 當主管理節點關閉以進行升級時，Full Upgrade方法允許從輔助管理節點跟蹤升級狀態。在分割升級方法中無法實現此功能。
• 升級後補丁安裝是自動進行的，並且是作為完全升級方法中的一個選項提供的。

注意：完全升級需要完全停機時間，因為所有PSN都同時關閉以進行升級。確保在計畫的維護時段內計畫此活動。

完整升級流程

本文檔演示了4節點部署的升級流程。對於雙節點或其他多節點部署，整個流程保持不變。

升級UI

導覽至Administration > System > Upgrade，以開始活動，如下圖所示。

註:ISE 2.6補丁9及以下、ISE 2.7補丁3及以下、ISE 3.0補丁2及以下僅支援拆分升級方法。預設情況下，會為這些版本啟動Split Upgrade視窗。可從此處參閱Split Upgrade過程。選擇Full Upgrade單選按鈕，然後按一下Start Upgrade。

歡迎頁面

在歡迎頁嚮導中，按一下下一步以繼續操作。

核對表

檢查核對表並確保在進一步操作之前完成任務。

勾選說明我已審閱檢查清單的覈取方塊，然後按一下下一步。

準備升級

在升級之前對完整部署運行預檢查，結果顯示在此頁面上。除了檢查外，在此步驟中，升級捆綁包下載到所有節點上，離線資料升級(ODU)在輔助管理節點上運行(這類似於分割升級方法的升級準備工具(URT)模擬)，最後還顯示活動的估計時間。

將從思科軟體下載頁面下載升級套件組合。

若要運行升級前檢查，請選擇放置升級捆綁包的儲存庫名稱。從Bundle下拉框中選擇升級捆綁包檔名。

注意：完全升級方法還引入了在升級後自動安裝補丁程式。修補程式檔案將與升級捆綁包一起置於同一個儲存庫中，如果需要自動安裝修補程式，可從下拉選單中選擇修補程式檔名。

按一下Start Preparation以開始運行預檢查。所有預檢查（捆綁包下載和配置資料升級檢查除外）在啟動系統驗證4小時後自動過期。配置資料升級（僅適用於ODU）將在12小時後過期。

注意：在升級活動之前禁用PAN故障切換設定。如果沒有手動完成，升級觸發後將自動禁用。

註:ISE 3.0和所列命令使用智慧許可。它不支援傳統許可。如果在升級前未啟用或註冊智慧許可，則ISE會在預設升級後進入智慧許可評估期。許可證遷移參考連結：產品 — ISE許可遷移指南 — 思科。 將ISE從2. x升級到3.x時，需要更改許可層。

注意：觸發配置資料升級後，應避免ISE上的所有型別的配置更改。升級後所做的任何更改都將丟失。

如果任何元件預檢查失敗，則根據元件的重要性以紅色或橙色顯示。以紅色突出顯示的故障需要強制糾正才能繼續操作。以橙色突出顯示的警告無法停止升級過程，但是，最好將它們作為最佳實踐進行修復，以免影響未來的部署特性和功能。

更正錯誤後，按一下「開始暫存」以繼續操作。

升級暫存

升級暫存期間，升級的資料庫檔案將複製到部署中的所有節點，配置檔案將備份在部署的所有節點上。

作為ODU的一部分，轉儲檔案已存在於輔助管理節點上。因此，在此步驟中，輔助管理節點只為CA NSS DB、智慧許可和DHCP/DNS配置建立備份檔案。所有其他節點也會建立這些檔案，但還需要從輔助管理節點複製轉儲檔案。

當所有節點的暫存完成時，按一下下一步。

升級節點

按一下「Start」以觸發升級。

彈出消息確認升級已觸發，並且所有節點都顯示在具有升級狀態的隊列中。由於升級首先在主管理節點上啟動，因此系統從此節點註銷，現在可以從輔助管理節點的GUI監視升級狀態。在輔助管理節點的GUI上導航到Administration > System > Upgrade，以繼續檢視狀態。

主管理節點升級且服務啟動後，系統會註銷輔助管理節點的GUI。現在，使用者可以從主管理節點的GUI切換回監視狀態，同時部署的所有其他節點都停止執行升級。

成功升級所有節點後，狀態將變為綠色。

如果存在任何故障節點，則會顯示一個包含有關故障節點資訊的彈出視窗。在彈出視窗中按一下OK以從部署中註銷失敗節點。必須逐個升級/重新映像這些映像並將其加入部署（如果有）。

按一下「Next」以檢視整體升級摘要報告。

摘要