Introducción
Este documento describe cómo identificar un vEdge con un certificado caducado que puede afectar a las conexiones de control y a las conexiones del plano de datos, y dar lugar a la pérdida de servicio.
Antecedentes
Este problema afecta a las plataformas vEdge 100M, vEdge 100WM, vEdge 100B, vEdge 1000 y vEdge 2000. Esto se debe a un certificado raíz público que expiró el 9 de mayo de 2023 a las 6:57 AM UTC.
Nota: este incidente no afecta a estas plataformas:
1. vEdge Cloud, vEdge 5000 e ISR 1100 con Viptela OS
2. Plataformas de routing de Cisco (físicas y virtuales) que ejecutan el software XE SD-WAN
vEdge# show control local-properties
personality vedge
sp-organization-name CALO - 100589
organization-name CALO - 100589
root-ca-chain-status Installed
certificate-status Installed
certificate-validity Not Valid - certificate has expired <<<<<<<<<<<<<<<<<<<<
certificate-not-valid-before May 12 17:11:21 2013 GMT
certificate-not-valid-after Jan 19 03:14:07 2038 GMT
En caso de que el dispositivo se recargara después de la "hora X" (es decir, las 6:57 AM UTC del 9 de mayo de 2023), también se puede ver lo siguiente:
serial-num BOARD-ID-NOT-INITIALISED
Precaución: este problema es aplicable cuando la autorización de certificados de extremo de la WAN de hardware se establece en Enterprise Certificates o Onbox Certificates en vManage.
Estas condiciones pueden tener un impacto en el vEdge:
- Pérdida de conexiones con vSmart
- Pérdida de conexiones con vManage
- Port-Hop
- Controlar los cambios de políticas, como los cambios de topología en la red
- Borrar conexión de control
- Interfaces inestables
- Recarga del dispositivo
Nota: Durante el establecimiento de la conexión de control, el certificado Onbox es validado por los controladores en todos los casos. Cuando se utilizan certificados de empresa, se validan tanto los certificados Onbox como los Enterprise.
Nota: para obtener más información sobre este comportamiento, consulte el ID de bug de Cisco CSCwf28118.
Precauciones para evitar la interrupción del servicio
Para evitar una pérdida completa del servicio, EVITE estas acciones en esta sección.
- Recargue el dispositivo
- Actualizar directiva
- Inserciones de plantilla
Precaución: la recarga del dispositivo hace que se restablezcan los temporizadores de Graceful Restart y que el router no pueda volver a conectarse al fabric. Sin una recarga, las sesiones del plano de datos (BFD) permanecen activas y el tráfico puede pasar hasta que caduque el temporizador de Graceful Restart, incluso cuando las conexiones de control están inactivas.
Proceso de remediación
Cisco ha publicado versiones de actualización de software para resolver este problema de forma permanente. Lea atentamente todo el proceso antes de realizar cualquier acción.
El proceso de alto nivel para remediar este problema es:
- Realice comprobaciones previas para prepararse para la actualización de sus controladores
- Actualizar los controladores SD-WAN a una versión fija
- Restaurar el control y las conexiones BFD entre vEdge y los controladores
- Realice comprobaciones previas para prepararse para actualizar el software vEdge
- Actualización del software vEdge a una versión fija
- Consideraciones posteriores a la actualización
Aquí se hace referencia a tres escenarios. Los pasos para la remediación varían en función del escenario que se aplique a cada vEdge de la red.
Situación 1: vEdge Control Connection está activo y vEdge NO se ha reiniciado.
Situación 2: vEdge Control Connection está INACTIVO y vEdge NO se ha reiniciado.
Situación 3: vEdge Control Connection está INACTIVO y se ha reiniciado vEdge.
Versiones de software fijas
Cisco continúa trabajando para crear y validar versiones fijas de software lo antes posible. Esta página se actualiza a medida que se validan nuevas versiones y se publican en Cisco.com.
Sugerencia: utilice la función "Mis notificaciones" de la página de descargas de software en Cisco.com para recibir una notificación cuando haya nuevo software disponible para cualquier producto de Cisco que le interese.
Utilice la tabla que se muestra para determinar a qué versión puede actualizar en función de su versión actual. Es posible que se admita más de una ruta de actualización.
Se añaden más versiones a medida que están disponibles. Si su versión no aparece en la columna Current Version no hay ninguna ruta de actualización disponible en este momento.
Sugerencia: se recomienda almacenar en zona intermedia las imágenes de software antes de la ventana de mantenimiento programada. Utilice Install para almacenar en zona intermedia las imágenes antes de la ventana. No marque la casilla Activar y reiniciar durante este proceso; de lo contrario, el dispositivo completa la actualización inmediatamente después de la finalización de la instalación. Esto asegura una ventana de mantenimiento más corta.
Nota: para garantizar la integridad de una imagen en Cisco, los clientes pueden seguir una práctica recomendada común para verificarla con la suma de comprobación SHA proporcionada para la imagen. Cisco ofrece un archivo Hash masivo como una herramienta útil para que los clientes vuelvan a verificar las imágenes descargadas desde la página de descargas de software de Cisco. Para obtener información más detallada, visite https://www.cisco.com/c/en/us/about/trust-center/downloads.html.
Matriz de recomendación de actualización
Las versiones de software de la tabla mostrada se recomiendan según la corrección del problema de certificado caducado. Las actualizaciones fuera del alcance de este problema solo se deben realizar con las instrucciones de la documentación del producto y las Release Notes para Cisco SD-WAN basadas en la versión a la que se realiza la actualización.
Nota: Cisco recomienda encarecidamente que no se salga del tren de versiones actual para mitigar el impacto en la producción debido al problema de vencimiento de la certificación. Por ejemplo, si actualmente está en 20.3.2, actualice a 20.3.7.1.
Actualmente no es necesario actualizar vEdge 5000, vEdge Cloud e ISR 1100, ya que no se ven afectados por el identificador de error de Cisco CSCwf28118.
Nota: para entornos de versiones mixtas, realice actualizaciones de software según las recomendaciones de la tabla mostrada en función de la imagen que el dispositivo esté ejecutando actualmente.
Verifique la matriz de compatibilidad para identificar cualquier posible problema de compatibilidad del controlador/borde y abra un TAC SR para obtener soporte si surge alguna preocupación.
Nota: los clientes con imágenes de Engineering Special (ES) que aún no han actualizado a una imagen con la corrección necesitan abrir un TAC SR para obtener más información.
Compatibilidad con vEdge-2000
El último tren de imágenes de software compatible con vEdge-2000 es 20.9.x.
Compatibilidad con vEdge-100B, vEdge-100M y vEdge-1000
El último tren de imágenes de software compatible para vEdge-100B, vEdge-100M y vEdge-1000 es 20.6.x. Utilice la versión actual y la imagen del software para identificar la versión de destino recomendada.
Si el vEdge-100B, vEdge-100M y vEdge-1000 ya se encuentran en la versión 20.7.x o posterior, abra un TAC SR para recibir asesoramiento.
Precaución: debido al impacto potencial en la producción, aconsejamos a nuestros clientes que solo ejecuten las actualizaciones durante una ventana de mantenimiento. Garantice y confirme la estabilidad de la red antes de realizar cambios adicionales en la producción.
Matriz de compatibilidad de software de controlador SD-WAN y vEdge
Nota: Cisco recomienda encarecidamente que no se salga del tren de versiones actual para mitigar el impacto en la producción debido al problema de vencimiento de la certificación.
Por ejemplo, si actualmente está en 20.3.2, actualice a 20.3.7.1.
Tras la actualización de la corrección del certificado, si decide actualizar de un tren de versión a otro tren de versión principal, Cisco recomienda actualizar a la versión preferida en ese tren de versión.
Por ejemplo, para la corrección posterior a la certificación: si actualmente se encuentra en la versión 20.3.7.1 y planea actualizar a la versión 20.6, Cisco recomienda actualizar a la versión preferida 20.6.5.2.
Controladores SD-WAN |
vEdge 100M, vEdge 100B, vEdge 1000 |
vEdge 2000 |
20.3.3.21 |
20.3.3.21 |
20.3.3.21 |
20.3.4.31 |
20.3.3.21, 20.3.4.31 |
20.3.3.21, 20.3.4.31 |
20.3.5.11 |
20.3.3.21, 20.3.4.31 y 20.3.5.11 |
20.3.3.21, 20.3.4.31 y 20.3.5.11 |
20.3.7.12 |
20.3.3.21, 20.3.4.31, 20.3.5.11, 20.3.7.12 |
20.3.3.21, 20.3.4.31, 20.3.5.11, 20.3.7.12 |
20.4.2.3 |
20.3.3.21, 20.3.7.12 y 20.4.2.3 |
20.3.3.21, 20.3.7.12 y 20.4.2.3 |
20.6.1.2 |
20.6.1.2 |
20.6.1.2 |
20.6.3.2 |
20.3.3.21, 20.3.4.31, 20.3.5.11, 20.3.7.121, 20.4.2.3, 20.6.1.2, 20.6.3.2 |
20.3.3.21, 20.3.4.31, 20.3.5.11, 20.3.7.121, 20.4.2.3, 20.6.1.2, 20.6.3.2 |
20.6.4.1 |
20.3.3.21, 20.3.4.31, 20.3.5.11, 20.4.2.3, 20.6.1.2, 20.6.3.2, 20.6.4.1 |
20.3.3.21, 20.3.4.31, 20.3.5.11, 20.4.2.3, 20.6.1.2, 20.6.3.2, 20.6.4.1 |
20.6.5.22 |
20.3.3.21, 20.3.4.31, 20.3.5.11, 20.3.7.12, 20.4.2.3, 20.6.1.2, 20.6.3.2, 20.6.4.1, 20.6.5.22 |
20.3.3.21, 20.3.4.31, 20.3.5.11, 20.3.7.12, 20.4.2.3, 20.6.1.2, 20.6.3.2, 20.6.4.1, 20.6.5.22 |
20.9.3.12 |
20.3.3.21, 20.3.4.31, 20.3.5.11, 20.3.7.12, 20.4.2.3, 20.6.1.2, 20.6.3.2, 20.6.4.1, 20.6.5.22 |
20.3.3.21, 20.3.4.31, 20.3.5.11, 20.3.7.12, 20.4.2.3, 20.6.1.2, 20.6.3.2, 20.6.4.1, 20.6.5.22, 20.9.3.12 |
20.10.1.1 |
20.6.1.2, 20.6.3.2 y 20.6.4.1 |
20.6.1.2, 20.6.3.2 y 20.6.4.1 |
20.11.1.1 |
20.6.1.2, 20.6.3.2, 20.6.4.1, 20.6.5.22 |
20.6.1.2, 20.6.3.2, 20.6.4.1, 20.6.5.22, 20.9.3.12 |
1Esta imagen ya no se puede descargar. Están documentados para clientes que ya los han implementado.
2Indica una versión preferida que contiene la corrección del certificado.
Comprobaciones previas que se deben realizar antes de actualizar el controlador
Realice una copia de seguridad del controlador
- Si está alojado en la nube, confirme que se ha realizado la última copia de seguridad o inicie una copia de seguridad de config db como se menciona en el siguiente paso.
- Puede ver las copias de seguridad actuales y desencadenar una instantánea a demanda desde el portal del SSP. Obtenga más información aquí.
- Si se encuentra en las instalaciones, tome una copia de seguridad de config-db y una instantánea de VM de los controladores.
vManage# request nms configuration-db backup path /home/admin/db_backup
successfully saved the database to /home/admin/db_backup.tar.gz
- Si está en las instalaciones, recopile el comando show running-config y guárdelo localmente.
- Si está en las instalaciones, asegúrese de conocer su contraseña de neo4j y anote su versión actual exacta.
Ejecutar una comprobación AURA
Asegúrese de que el envío a los controladores/el envío a vBond se ha realizado
Comprobar intervalo de recopilación de estadísticas de vManage
Cisco recomienda que el Intervalo de recolección de estadísticas en Administración > Configuración se establezca en el temporizador predeterminado de 30 minutos.
Nota: Cisco recomienda que vsmarts y vBonds se adjunten a la plantilla de vManage antes de realizar una actualización.
Verificar espacio en disco en vSmart y vBond
Utilice el comando df -kh | arranque grep desde vShell para determinar el tamaño del disco.
controller:~$ df -kh | grep boot
/dev/sda1 2.5G 232M 2.3G 10% /boot
controller:~$
Si el tamaño es superior a 200 MB, continúe con la actualización de los controladores.
Si el tamaño es inferior a 200 MB, siga estos pasos:
1. Verifique que la versión actual sea la única que aparezca en el comando show software.
VERSION ACTIVE DEFAULT PREVIOUS CONFIRMED TIMESTAMP
------------------------------------------------------------------------------
20.11.1 true true false auto 2023-05-02T16:48:45-00:00
20.9.1 false false true user 2023-05-02T19:16:09-00:00
20.8.1 false false false user 2023-05-10T10:57:31-00:00
2. Verifique que la versión actual esté configurada como predeterminada bajo el comando show software version.
controller# request software set-default 20.11.1
status mkdefault 20.11.1: successful
controller#
3. Si aparecen más versiones, elimine las versiones que no estén activas con el comando request software remove <version>. Esto aumenta el espacio disponible para continuar con la actualización.
controller# request software remove 20.9.1
status remove 20.9.1: successful
vedge-1# show software
VERSION ACTIVE DEFAULT PREVIOUS CONFIRMED TIMESTAMP
------------------------------------------------------------------------------
20.11.1 true true false auto 2023-05-02T16:48:45-00:00
controller#
4. Compruebe el espacio en disco para asegurarse de que es superior a 200 MB. Si no es así, abra un TAC SR.
Actualice sus controladores
Este es un resumen de los siguientes pasos que se realizan para cada uno de estos clientes.
Precaución: confirme que se han realizado todas las comprobaciones previas y que se han realizado las copias de seguridad como se describe en la sección anterior.
- Cargue la nueva versión del software en el repositorio de actualización.
- Asegúrese de que la imagen del controlador con la corrección de este problema esté seleccionada.
- Actualice los controladores con la corrección de imagen en esta secuencia.
1. vManage
2. vBond
3. vSmart
Nota: Si continúa con la actualización de los controladores mediante CLI, recuerde realizar la 'solicitud de actualización de software-confirmación'.
Actualización independiente de vManage
En el caso de vManage independiente, se deben seguir estos pasos:
- Copie la imagen en vManage Maintenance> Software repository
- Actualización con vManage Maintenance>Software upgrade
- Haga clic en Upgrade y espere a que se complete la actualización
- Vuelva a la misma página, haga clic en vManage y, a continuación, haga clic en Activate
Nota: la actualización de vManage no afecta a la red de datos.
Actualización del clúster de vManage
En el caso de la actualización del clúster, deben seguirse los pasos mencionados en la Guía de inicio de Cisco SD-WAN: administración del clúster [Cisco SD-WAN]: guía de Cisco.
Nota: La actualización del clúster de vManage no afecta a la red de datos.
Precaución: si tiene alguna pregunta o problema al actualizar su clúster, comuníquese con el TAC antes de continuar.
Actualización de vBond
Una actualización de vBond utiliza el mismo proceso que una actualización de vManage.
Advertencia: vBonds se debe actualizar secuencialmente. Compruebe que la actualización se ha completado en cada vBond antes de pasar al siguiente.
- Copie la imagen en vManage Maintenance > Software repository
- Actualización con vManage Maintenance > Software upgrade
- Haga clic en Upgrade y espere a que se complete la actualización
- Vuelva a la misma página, haga clic en vManage y, a continuación, haga clic en Activate .
- Verifique con el comando show orchestrator connections en vBond
- Verifique con el comando show control connections en vManage
Actualización de vSmart
Una actualización de vSmart utiliza el mismo proceso que una actualización de vManage.
Advertencia: vsmarts debe actualizarse secuencialmente. Verifique que la actualización se haya completado en cada vSmart antes de pasar a la siguiente.
- Copie la imagen en vManage Maintenance > Software repository
- Actualice el vSmart desde vManage UI Maintenance > Software upgrade
- Haga clic en Upgrade y espere a que se complete la actualización
- Vuelva a la misma página. Elija el vSmart y haga clic en Activar
- Verifique que las sesiones se hayan restaurado después de la actualización con el comando show control connections en vSmart
Nota: cuando vSmart se reinicia durante una actualización de software, los dispositivos se reinician sin problemas y sin que ello afecte a la red.
Verifique que las conexiones de control se establezcan después de todas las actualizaciones del controlador
Para todos los vEdge en el Escenario 1 y el Escenario 2 después de que los controladores se hayan actualizado, se deben restaurar las conexiones de control y BFD.
Actualizar vEdge
Nota: la actualización de vEdge es el último paso del procedimiento para proteger completamente contra el ciclo de alimentación de los routers vEdge, descrito en la situación 3.
Nota: se recomienda almacenar en zona intermedia las imágenes de software de vEdge antes de la ventana de mantenimiento programada. Utilice Install para almacenar en zona intermedia las imágenes antes de la ventana. No marque la casilla Activar y reiniciar durante este proceso; de lo contrario, el dispositivo completa la actualización inmediatamente después de la finalización de la instalación. Esto asegura una ventana de mantenimiento más corta.
Puede cargar las imágenes en varios vEdges de una sola vez desde vManage mediante:
1. Acceda a la interfaz de usuario de vManage. Vaya a Mantenimiento > Repositorio de software. Cargue la imagen de vEdge. A continuación, puede navegar hasta Mantenimiento > Actualización de software y hacer clic en Actualizar después de elegir los dispositivos que necesitan la actualización.
2. Acceda a la interfaz de usuario de vManage. Vaya a Mantenimiento > Repositorio de software. Haga clic en Agregar nuevo software. Haga clic en Servidor remoto. Introduzca la versión del controlador, la versión de vEdge y la ruta de acceso completa a la URL FTP/HTTP donde se almacena la imagen. Por ejemplo, ftp://<username>:<password>@<FTP server>/<path>/<image name>. A continuación, puede navegar hasta Mantenimiento > Actualización de software y hacer clic en Actualizar después de elegir los dispositivos que necesitan la actualización con el uso de la opción Servidor remoto.
Nota: Elija vEdges en lotes basados en el ancho de banda para enviar la imagen.
Comprobaciones previas antes de actualizar vEdge
Precaución: si se omiten estas comprobaciones previas, la actualización de vEdge puede fallar debido a la falta de espacio en disco.
1. Verifique que la versión actual sea la única que aparezca en el comando show software.
VERSION ACTIVE DEFAULT PREVIOUS CONFIRMED TIMESTAMP
------------------------------------------------------------------------------
20.11.1 true true false auto 2023-05-02T16:48:45-00:00
20.9.1 false false true user 2023-05-02T19:16:09-00:00
20.8.1 false false false user 2023-05-10T10:57:31-00:00
2. Verifique que la versión actual esté configurada como predeterminada bajo el comando show software version.
vedge-1# request software set-default 20.11.1
status mkdefault 20.11.1: successful
vedge-1#
3. Si aparecen más versiones, elimine las versiones que no estén activas con el comando request software remove <version>. Esto aumenta el espacio disponible para continuar con la actualización.
vedge-1# request software remove 20.9.1
status remove 20.9.1: successful
vedge-1# show software
VERSION ACTIVE DEFAULT PREVIOUS CONFIRMED TIMESTAMP
------------------------------------------------------------------------------
20.11.1 true true false auto 2023-05-02T16:48:45-00:00
vedge-1#
4. Utilice vShell y el comando df -h para confirmar que hay suficiente espacio libre en el disco para realizar la actualización.
VEDGE-1000-AC-K9# vshel
VEDGE-1000-AC-K9:~$ df -h
Filesystem Size Used Avail Use% Mounted on
none 1.4G 8.0K 1.4G 1% /dev
/dev/sda1 1013M 518M 445M 54% /boot
/dev/loop0 78M 78M 0 100% /rootfs.ro
/dev/sda2 6.0G 178M 5.5G 4% /rootfs.rw
aufs 6.0G 178M 5.5G 4% /
tmpfs 1.4G 300K 1.4G 1% /run
shm 1.4G 48K 1.4G 1% /dev/shm
tmp 600M 84K 600M 1% /tmp
tmplog 120M 37M 84M 31% /var/volatile/log/tmplog
svtmp 1.0M 312K 712K 31% /etc/sv
5. Si /tmp está lleno, abra un TAC SR para obtener ayuda para borrar espacio en el directorio /tmp/tmp antes de la actualización.
vEdge Upgrade Scenario 1: la conexión de control está activa y vEdge NO se ha reiniciado
Después de actualizar los controladores a una versión con la corrección, los dispositivos vEdge que no se hayan reiniciado restablecen la conectividad automáticamente.
Importante: se requiere una actualización en los dispositivos vEdge en este estado. Se DEBE priorizar y planificar lo antes posible. Si es necesario, actúe fuera del horario comercial lo más rápido posible. Planifique una actualización del dispositivo para evitar el impacto en el plano de datos y control debido a cualquier reinicio o ciclo de alimentación del dispositivo. El dispositivo no se debe reiniciar antes de la actualización.
Para actualizar vEdge, siga los pasos indicados:
- Copie el nuevo software vEdge en vManage mediante el mantenimiento > repositorio de software
- Actualice el vEdge desde vManage Maintenance > Software upgrade
- Haga clic enActualizar y espere a que finalice la actualización
- Vuelva a la misma página. Elija el vEdge y luego haga clic en Activar
Validación posterior a la actualización
- Verifique las conexiones de control y las sesiones BFD
- Verifique las rutas OMP y las rutas VPN de servicio: pruebe el ping de extremo a extremo en cada segmento de VPN de servicio entre vEdge y el hub/otros nodos
- Consulte las consideraciones posteriores a la actualización
Situación 2 de actualización de vEdge: la conexión de control está inactiva y vEdge NO se ha reiniciado
Después de actualizar los controladores a una versión con la corrección, los dispositivos vEdge que no se hayan reiniciado restablecen la conectividad automáticamente.
Importante: se requiere una actualización en los dispositivos vEdge en este estado. Se DEBE priorizar y planificar lo antes posible. Si es necesario, actúe fuera del horario comercial lo más rápido posible. Planifique una actualización del dispositivo para evitar el impacto en el plano de datos y control debido a cualquier reinicio o ciclo de alimentación del dispositivo. El dispositivo no se debe reiniciar antes de la actualización.
Para actualizar vEdge, siga los pasos indicados:
- Copie el nuevo software vEdge en vManage mediante el mantenimiento > repositorio de software
- Actualice el vEdge desde vManage Maintenance > Software upgrade
- Haga clic enActualizar y espere a que finalice la actualización
- Vuelva a la misma página. Elija el vEdge y luego haga clic en Activar
Validación posterior a la actualización
- Verifique las conexiones de control y las sesiones BFD
- Verifique las rutas OMP y las rutas VPN de servicio: pruebe el ping de extremo a extremo en cada segmento de VPN de servicio entre vEdge y el hub/otros nodos
- Consulte las consideraciones posteriores a la actualización
Situación 3: vEdge, la conexión de control está inactiva, el dispositivo se ha reiniciado o se ha apagado y encendido
Precaución: para recuperar estos dispositivos, se requiere acceso fuera de banda.
Este resultado muestra un dispositivo vEdge que se ha reiniciado después de que caducara el certificado. Utilice el comando show control local-properties | inc serial y confirme que la salida muestra BOARD-ID-NOT-INITIALIZED.
vedge# show control local-properties | inc serial
serial-num BOARD-ID-NOT-INITIALISED
subject-serial-num N/A
enterprise-serial-num No certificate installed
vedge#
Cambie la fecha/hora en vEdge para restaurar las conexiones de control
Estos pasos requieren acceso fuera de banda al dispositivo vEdge, como la consola o SSH directo.
Vuelva a poner el reloj en 5 de mayo de 2023 (por ejemplo, #clock set date 2023-05-05 time 15:49:00.000) en vEdge que tiene una conexión de control DOWN.
vedge# clock set date 2023-05-05 time 10:23:00
vedge# show clock
Mon May 5 10:23:37 UTC 2023
vedge#
Espere de 2 a 3 minutos para que se inicialice la tarjeta-id. Verifique show control local-properties para asegurarse de que el dispositivo ahora tiene un número que se muestra en el resultado.
vedge# show control local-properties | inc serial
serial-num 10024640
subject-serial-num N/A
enterprise-serial-num No certificate installed
vedge#
(Opcional) Si la inicialización board-id no ocurre dentro de 2-3 minutos, recargue vEdge y verifique la salida de show control local-properties para asegurarse de que el dispositivo ahora tenga su número de serie listado en la salida
Una vez que el board-id se haya inicializado, valide el certificado con el comando show certificate valid
vedge# show certificate validity
The certificate issued by c33d2cf4-e586-4df4-ac72-298422644ba3 is valid from Sep 7 02:50:16 2021 GMT (Current date is Mon May 1 10:25:03 GMT 2023) & valid until Sep 5 02:50:16 2031 GMT
vedge#
Una vez que las conexiones de control se hayan recuperado correctamente, corrija el reloj con la hora actual con un formato AAAA-MM-DD y HH:MM::SS para la fecha y hora.
Este ejemplo es sólo para fines ilustrativos. Establezca siempre la fecha y la hora en la hora actual.
vedge# clock set date YYYY-MM-DD time HH:MM::SS
vedge# show clock
Wed May 10 10:23:37 UTC 2023
vedge#
Verifique que las conexiones de control estén activas con el comando show control connections.
vedge# show control connections
PEER PEER CONTROLLER
PEER PEER PEER SITE DOMAIN PEER PRIV PEER PUB GROUP
TYPE PROT SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR PROXY STATE UPTIME ID
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
vsmart dtls 10.3.3.1 10 1 192.168.24.112 12346 192.168.24.112 12346 private1 No up 0:14:33:46 0
vsmart dtls 10.3.3.1 10 1 192.168.24.112 12346 192.168.24.112 12346 private2 No up 0:14:33:46 0
vbond dtls 0.0.0.0 0 0 192.168.28.122 12346 192.168.28.122 12346 private1 - up 0:14:33:47 0
vbond dtls 0.0.0.0 0 0 192.168.28.122 12346 192.168.28.122 12346 private2 - up 0:14:33:47 0
vmanage dtls 10.1.1.1 10 0 192.168.25.209 12346 192.168.25.209 12346 private1 No up 0:14:33:46 0
Nota: Se requiere una actualización en los dispositivos vEdge en este estado. Se DEBE priorizar y planificar lo antes posible. Si es necesario, realice las tareas durante una ventana de mantenimiento fuera del horario comercial. Planifique una actualización del dispositivo para evitar el impacto debido a cualquier reinicio o ciclo de alimentación del dispositivo. El dispositivo no se debe reiniciar antes de la actualización.
Para actualizar vEdge, siga estos pasos:
- Copie la corrección de la imagen de vEdge en vManage mediante Mantenimiento > Repositorio de software
- Actualice el vEdge desde vManage UI Maintenance > Software upgrade
- Haga clic en Upgrade y espere a que se complete la actualización
- Vuelva a la misma página. Elija el vEdge y haga clic en Activar
· Verificar que las conexiones de control y las sesiones BFD estén ACTIVAS
· Verificar rutas OMP y rutas VPN de servicio: prueba de ping de extremo a extremo en cada segmento de VPN de servicio entre vEdge y Hub/otros nodos
- Consulte las consideraciones posteriores a la actualización
Procedimiento de actualización de 18.4, 19.x y 20.1 (revisado el 13 de mayo de 2000 UTC)
Todas las actualizaciones de las versiones 18.4, 19.x y 20.1.x deben actualizarse a la versión 20.3.7.1.
Esta sección se ha revisado con instrucciones para actualizar vManage con discos de arranque menores que 2,5G a 20.1.3.1 en lugar de 20.1.3.
El nuevo software vManage 20.1.3.1 incluye los certificados actualizados y permite que los dispositivos se conecten mientras se realiza la segunda actualización a 20.3.7.1.
Precaución: lea atentamente esta sección antes de continuar. Se pueden necesitar varias actualizaciones.
Comprobaciones previas a la actualización
Antes de continuar con cualquier actualización, debe completar todas las comprobaciones previas para asegurarse de que la actualización se realiza correctamente.
Estas comprobaciones previas a la actualización validan el tamaño de la base de datos, los recursos informáticos y el tamaño del disco de arranque.
Comprobar el tamaño de la base de datos mediante CLI
Utilice el comando request nms configuration-db diagnostic | i TotalStoreSize para obtener el tamaño de la base de datos en bytes.
Desde vshell ejecute el comando expr <número de bytes> / 1024 / 1024 / 1024 para convertir esta salida a un valor entero en GB.
vmanage# request nms configuration-db diagnostics | i TotalStoreSize
| "StoreSizes" | "TotalStoreSize" | 3488298345 |
vmanage1# vshell
vmanage1:~$ expr 348829834 / 1024 / 1024 / 1024
3
Este ejemplo muestra que el tamaño de la base de datos es de 3 GB.
DETENER: si el tamaño de la base de datos es de 5 GB o superior, abra un TAC SR para obtener ayuda con esta actualización.
Si el tamaño de la base de datos es inferior a 5 GB, continúe con la actualización.
Verificar recursos informáticos
Asegúrese de que los recursos informáticos están en línea con la Guía de recursos informáticos 20.3.
- Verifique vCPU con el comando lscpu | grep CPU\ MHz
vmanage1:~$ lscpu | grep CPU\ MHz
CPU MHz: 2999.658
vmanage1:~$
- Verifique la memoria con los comandos free -g | grep Mem y free —giga | grep Mem
vmanage1:~$ free -g | grep Mem
Mem: 31 21 7 0 2 9
vmanage1:~$ free --giga | grep Mem
Mem: 33 23 7 0 2 9
vmanage1:~$
- Verifique el tamaño de la tercera partición (/opt/data) con el comando df -kh
vmanage1:~$ df -kh | grep "/opt/data"
/dev/sdb 108G 24G 79G 23% /opt/data
vmanage1:~$
Si los recursos informáticos no están en línea con 20.3, aumente los recursos informáticos antes de la actualización.
Compruebe el espacio de disco de arranque con CLI
Utilice el comando df -kh | arranque grep desde vShell para determinar el tamaño del disco.
vmanage# vshell
vmanage:~$ df -kh | grep boot
/dev/sda1 5.0G 4.7G 343M 94% /boot
vmanage:~$
Este ejemplo muestra que el disco/boot es 5.0G.
Advertencia: Si el disco de arranque de vManage es inferior a 2,5 G, debe realizar una actualización paso a paso hasta la versión 20.1
Actualización de vManage en las versiones 18.4 y 19.x
Realizar la actualización: vManage independiente
Si el tamaño del disco de arranque es inferior a 2,5 G, debe actualizar vManage a la versión 20.1 antes de continuar.
Si el tamaño del disco es 2.5G o superior puede actualizar directamente a 20.3.7.1.
Realizar la actualización: vManage Cluster
Si el tamaño del disco es inferior a 2,5G, debe actualizar vManage a la versión 20.1.3.1 antes de continuar.
DETENER: abra un TAC SR para obtener ayuda sobre la actualización paso a paso en el clúster de vManage.
Si el tamaño del disco es 2.5G o superior puede actualizar directamente a 20.3.7.1.
Actualización de vManage 20.1.x
Realizar la actualización: vManage Standalone o Cluster
Actualización de vSmart y vBond de 18.4, 19.x o 20.1 a 20.3.7.1
vsmarts y vBonds se pueden actualizar directamente desde todas las versiones a 20.3.7.1.
Actualizar vEdge de 18.4, 19.x o 20.1 a 20.3.7.1
Los dispositivos vsmarts, vBonds y vEdge se pueden actualizar directamente desde todas las versiones a 20.3.7.1.
Consideraciones posteriores a la actualización
Si se realizaron cambios de configuración para aumentar los temporizadores de graceful restart y los temporizadores de regeneración de claves IPSec antes de la actualización, se recomienda revertir las configuraciones a las configuraciones que estaban en su lugar antes de la actualización para evitar un posible impacto innecesario.
Asesoramiento especial
Los clientes que hayan actualizado sus controladores a versiones anteriores a la 20.3.7.1 y estén en proceso de actualizar sus vEdge pueden ponerse en contacto con el TAC para acceder a las respectivas imágenes de vEdge.
Aviso sobre el ID de bug de Cisco CSCwd46600
Las versiones anteriores de este documento recomendaban a los clientes actualizar a varias versiones de 20.3.x (20.3.3.2, 20.3.5.1, 20.3.4.3, 20.3.7.1).
Cisco recomienda que los clientes que ejecuten la imagen 20.3.x actualicen sus controladores y vEdges a la imagen 20.3.7.1.
Los dispositivos que ejecutan las versiones 19.x y 20.3.x anteriores a las versiones 20.3.7.1, 20.4 y 20.6x anteriores a la 20.6.5.1 pueden encontrar el Id. de error de Cisco CSCwd4600 después de la actualización. Para resolver temporalmente este problema, ejecute cualquiera de estos comandos:
request security ipsec-rekey
or
request port-hop color
Sin embargo, se recomienda encarecidamente que los clientes actualicen sus controladores y dispositivos vEdge a 20.3.7.1 o 20.6.5.1.
Los clientes que hayan actualizado por completo todos los dispositivos vEdge a una versión 20.3.x anterior a 20.3.7.1, 20.3.4.3 o a una versión 20.6.x anterior a 20.6.5.1, según las directrices anteriores, pueden optar por permanecer en esta versión si no se han visto afectados por el error. Se recomienda actualizar a 20.3.7.1 o 20.6.5.1 durante una ventana de mantenimiento programado en una fecha posterior.
Asesoramiento para la versión 20.6.x del tren (revisado el 15 de mayo de 2000 UTC)
Las versiones anteriores de este documento recomendaban a los clientes actualizar a varias versiones de 20.6.x (20.6.3.2, 20.6.4.1, 20.6.5.2).
Cisco recomienda que los clientes que ejecuten la imagen 20.6.x y tengan rastreadores configurados en una interfaz actualicen sus controladores y vEdges a la imagen 20.6.5.2.
Los dispositivos con un rastreador configurado pueden encontrar el Id. de error de Cisco CSCvz44093 durante la actualización. Para evitar el impacto de este error, puede eliminar la configuración del rastreador antes de la actualización.
Se recomienda encarecidamente que los clientes actualicen sus controladores y dispositivos vEdge a 20.6.5.2.
Los clientes que han actualizado por completo todos los dispositivos vEdge a 20.6.3.2 y 20.6.4.1 según las directrices anteriores pueden optar por permanecer en esta versión si no se han visto afectados por el error.