소개
이 문서에서는 만료된 인증서를 사용하여 제어 연결 및 데이터 플레인 연결에 영향을 주고 서비스 손실을 초래할 수 있는 vEdge를 식별하는 방법에 대해 설명합니다.
배경 정보
이 문제는 vEdge 100M, vEdge 100WM, vEdge 100B, vEdge 1000 및 vEdge 2000 플랫폼에 영향을 미칩니다. 이는 2023년 5월 9일 오전 6시 57분 UTC에 만료된 공개 루트 인증서로 인해 발생합니다.
참고: 이 인시던트는 다음 플랫폼에 영향을 미치지 않습니다.
1. vEdge 클라우드, vEdge 5000 및 Viptela OS를 실행하는 ISR 1100
2. XE SD-WAN 소프트웨어를 실행하는 Cisco 라우팅 플랫폼(물리적 및 가상)
vEdge# show control local-properties
personality vedge
sp-organization-name CALO - 100589
organization-name CALO - 100589
root-ca-chain-status Installed
certificate-status Installed
certificate-validity Not Valid - certificate has expired <<<<<<<<<<<<<<<<<<<<
certificate-not-valid-before May 12 17:11:21 2013 GMT
certificate-not-valid-after Jan 19 03:14:07 2038 GMT
'시간 X'(즉, 2023년 5월 9일 오전 6시 57분 UTC) 이후에 디바이스가 다시 로드된 경우, 다음과 같이 표시됩니다.
serial-num BOARD-ID-NOT-INITIALISED
주의: 이 문제는 vManage에서 하드웨어 WAN 에지 인증서 권한 부여가 엔터프라이즈 인증서 또는 온박스 인증서로 설정된 경우에 적용됩니다.
이러한 조건은 vEdge에 영향을 미칠 수 있습니다.
- vSmart에 대한 연결 손실
- vManage에 대한 연결 손실
- 포트 홉
- 네트워크의 토폴로지 변경과 같은 정책 변경 제어
- 제어 연결 지우기
- 인터페이스 플랩
- 디바이스 다시 로드
참고: Control Connection 설정 과정에서 온박스 인증서는 모든 경우에 컨트롤러에 의해 검증됩니다. 엔터프라이즈 인증서를 사용하면 온박스 인증서와 엔터프라이즈 인증서가 모두 검증됩니다.
참고: 이 동작에 대한 자세한 내용은 Cisco 버그 ID CSCwf28118을 참조하십시오.
서비스 중단을 방지하기 위한 예방 조치
서비스의 완전한 손실을 방지하려면 이 섹션에서 이러한 작업을 피하십시오.
- 디바이스를 다시 로드합니다
- 정책 업데이트
- 템플릿 푸시
주의: 디바이스를 다시 로드하면 Graceful Restart 타이머가 재설정되며 라우터가 패브릭에 다시 연결할 수 없습니다. 다시 로드가 없으면 BFD(Data Plane) 세션이 작동 상태로 유지되고 제어 연결이 중단된 동안에도 Graceful Restart 타이머가 만료될 때까지 트래픽이 전달될 수 있습니다.
리미디에이션 프로세스
Cisco는 이 문제를 영구적으로 해결하기 위해 소프트웨어 업그레이드 버전을 게시했습니다. 모든 조치를 취하기 전에 전체 프로세스를 주의 깊게 읽으십시오.
이 문제를 해결하기 위한 상위 레벨 프로세스는 다음과 같습니다.
- 사전 검사를 실행하여 컨트롤러 업그레이드 준비
- SD-WAN 컨트롤러를 고정 버전으로 업그레이드
- vEdge와 컨트롤러 간의 제어 및 BFD 연결 복원
- 사전 검사를 실행하여 vEdge 소프트웨어 업그레이드 준비
- vEdge 소프트웨어를 고정 버전으로 업그레이드
- 업그레이드 후 고려 사항
여기서는 세 가지 시나리오를 참조합니다. 개선 단계는 네트워크의 각 vEdge에 적용되는 시나리오에 따라 달라집니다.
시나리오 1: vEdge 제어 연결이 작동 중이며 vEdge가 재부팅되지 않았습니다.
시나리오 2: vEdge 제어 연결이 다운되었으며 vEdge가 재부팅되지 않았습니다.
시나리오 3: vEdge 제어 연결이 중단되고 vEdge가 재부팅되었습니다.
고정 소프트웨어 버전
Cisco는 고정 소프트웨어 버전을 가능한 한 신속하게 구축하고 검증하기 위해 지속적으로 노력하고 있습니다. 이 페이지는 새 버전이 검증되고 Cisco.com에 게시됨에 따라 업데이트됩니다.
팁: Cisco.com의 소프트웨어 다운로드 페이지에 있는 '내 알림' 기능을 사용하여 원하는 Cisco 제품에 새 소프트웨어를 사용할 수 있는 경우 알림을 받을 수 있습니다.
현재 버전을 기준으로 어떤 버전으로 업그레이드할 수 있는지 확인하려면 아래 표를 사용하십시오. 둘 이상의 업그레이드 경로가 지원될 수 있습니다.
사용 가능한 버전이 더 추가됩니다. 현재 버전이 Current Version 열에 나열되지 않으면 현재 사용 가능한 업그레이드 경로가 없습니다.
팁: 예약된 Maintenance Window(유지 관리 기간) 전에 소프트웨어 이미지를 준비하는 것이 좋습니다. 창 이전에 이미지를 스테이징하려면 Install을 사용합니다. 이 프로세스 동안 Activate and Reboot(활성화 및 재부팅) 상자를 선택하지 마십시오. 그렇지 않으면 디바이스에서 설치가 완료된 후 즉시 업그레이드를 완료합니다. 따라서 유지 관리 기간이 단축됩니다.
참고: Cisco에서 이미지의 무결성을 보장하기 위해 고객은 이미지에 대해 제공된 SHA 체크섬을 사용하여 이미지를 확인하는 일반적인 모범 사례를 따를 수 있습니다. Cisco는 고객이 Cisco Software Downloads(Cisco 소프트웨어 다운로드) 페이지에서 다운로드한 이미지를 다시 확인할 수 있도록 유용한 도구로 벌크 해시 파일을 제공합니다. 자세한 내용은 https://www.cisco.com/c/en/us/about/trust-center/downloads.html을 참조하십시오.
업그레이드 권장 사항 매트릭스
표시된 표의 소프트웨어 버전은 만료된 인증서 문제에 대한 수정 사항에 따라 권장됩니다. 이 문제의 범위를 벗어나는 업그레이드는 업그레이드하려는 버전을 기준으로 제품 설명서의 지침 및 Cisco SD-WAN용 릴리스 노트를 통해서만 수행해야 합니다.
참고: Cisco는 인증 만료 문제로 인해 생산에 미치는 영향을 최소화하기 위해 현재 릴리스 교육 과정 내에 머물 것을 적극 권장합니다. 예를 들어 현재 20.3.2에 있는 경우 20.3.7.1로 업그레이드합니다.
vEdge 5000, vEdge Cloud 및 ISR 1100은 Cisco 버그 ID CSCwf28118의 영향을 받지 않으므로 현재 업그레이드할 필요가 없습니다.
참고: 혼합 버전 환경의 경우, 디바이스가 현재 실행 중인 이미지를 기준으로 표에 표시된 권장 사항에 따라 소프트웨어 업그레이드를 수행합니다.
호환성 매트릭스를 확인하여 가능한 컨트롤러/에지 호환성 문제를 파악하고 문제가 발생할 경우 지원을 받기 위해 TAC SR을 엽니다.
참고: 수정 사항이 있는 이미지로 아직 업그레이드하지 않은 ES(Engineering Special) 이미지의 고객은 추가 지침을 위해 TAC SR을 열어야 합니다.
vEdge-2000 호환성
vEdge-2000에서 마지막으로 지원되는 소프트웨어 이미지 열차는 20.9.x입니다.
vEdge-100B, vEdge-100M, vEdge-1000 호환성
vEdge-100B, vEdge-100M 및 vEdge-1000에서 마지막으로 지원되는 소프트웨어 이미지 트레인 수는 20.6.x입니다. 권장 대상 릴리스를 식별하려면 의 현재 버전 및 소프트웨어 이미지를 사용하십시오.
vEdge-100B, vEdge-100M 및 vEdge-1000이 20.7.x 이상에 이미 있는 경우 TAC SR에 문의하여 지침을 받으십시오.
주의: 생산에는 잠재적인 영향을 미칠 수 있으므로, 유지 보수 기간 동안에만 업그레이드를 실행할 것을 고객에게 권장합니다. 운영 환경을 추가로 변경하기 전에 네트워크 안정성을 확인하고 확인합니다.
SD-WAN 컨트롤러 및 vEdge 소프트웨어 호환성 매트릭스
참고: Cisco는 인증 만료 문제로 인해 생산에 미치는 영향을 최소화하기 위해 현재 릴리스 교육 과정 내에 머물 것을 적극 권장합니다.
예를 들어 현재 20.3.2에 있는 경우 20.3.7.1로 업그레이드합니다.
인증서 수정에 대한 사후 업그레이드 한 릴리스 열차에서 다른 주요 릴리스 열차로 업그레이드하도록 선택하는 경우 해당 릴리스 열차에서 기본 릴리스로 업그레이드할 것을 권장합니다.
예를 들어, 인증 후 수정: 현재 20.3.7.1에 있고 20.6 릴리스 트레인으로 업그레이드할 계획이면 기본 버전 20.6.5.2 릴리스로 업그레이드하는 것이 좋습니다.
SD-WAN 컨트롤러 |
vEdge 100M, vEdge 100B, vEdge 1000 |
vEdge 2000 |
20.3.3.21 |
20.3.3.21 |
20.3.3.21 |
20.3.4.31 |
20.3.3.21, 20.3.4.31 |
20.3.3.21, 20.3.4.31 |
20.3.5.11 |
20.3.3.21, 20.3.4.31, 20.3.5.11 |
20.3.3.21, 20.3.4.31, 20.3.5.11 |
20.3.7.12 |
20.3.3.21, 20.3.4.31, 20.3.5.11, 20.3.7.12 |
20.3.3.21, 20.3.4.31, 20.3.5.11, 20.3.7.12 |
20.4.2.3 |
20.3.3.21, 20.3.7.12, 20.4.2.3 |
20.3.3.21, 20.3.7.12, 20.4.2.3 |
20.6.1.2 |
20.6.1.2 |
20.6.1.2 |
20.6.3.2 |
20.3.3.21, 20.3.4.31, 20.3.5.11, 20.3.7.12¼, 20.4.2.3, 20.6.1.2, 20.6.3.2 |
20.3.3.21, 20.3.4.31, 20.3.5.11, 20.3.7.12¼, 20.4.2.3, 20.6.1.2, 20.6.3.2 |
20.6.4.1 |
20.3.3.21, 20.3.4.31, 20.3.5.11, 20.4.2.3, 20.6.1.2, 20.6.3.2, 20.6.4.1 |
20.3.3.21, 20.3.4.31, 20.3.5.11, 20.4.2.3, 20.6.1.2, 20.6.3.2, 20.6.4.1 |
20.6.5.22 |
20.3.3.21, 20.3.4.31, 20.3.5.11, 20.3.7.12, 20.4.2.3, 20.6.1.2, 20.6.3.2, 20.6.4.1, 20.6.5.2 2 |
20.3.3.21, 20.3.4.31, 20.3.5.11, 20.3.7.12, 20.4.2.3, 20.6.1.2, 20.6.3.2, 20.6.4.1, 20.6.5.2 2 |
20.9.3.12 |
20.3.3.21, 20.3.4.31, 20.3.5.11, 20.3.7.12, 20.4.2.3, 20.6.1.2, 20.6.3.2, 20.6.4.1, 20.6.5.2 2 |
20.3.3.21, 20.3.4.31, 20.3.5.11, 20.3.7.12, 20.4.2.3, 20.6.1.2, 20.6.3.2, 20.6.4.1, 20.6.5.22, 20.9.3.12 |
20.10.1.1 |
20.6.1.2, 20.6.3.2, 20.6.4.1 |
20.6.1.2, 20.6.3.2, 20.6.4.1 |
20.11.1.1 |
20.6.1.2, 20.6.3.2, 20.6.4.1, 20.6.5.22 |
20.6.1.2, 20.6.3.2, 20.6.4.1, 20.6.5.22, 20.9.3.12 |
1 이 이미지는 더 이상 다운로드할 수 없습니다. 이미 구축한 고객을 대상으로 문서화됩니다.
2는 인증서 수정을 포함하는 기본 릴리스를 나타냅니다.
컨트롤러 업그레이드 전에 수행할 사전 검사
컨트롤러 백업
- 클라우드를 호스팅하는 경우 최신 백업이 완료되었는지 확인하거나 다음 단계에서 설명한 대로 config db의 백업을 시작합니다.
- SSP 포털에서 현재 백업을 보고 온디맨드 스냅샷을 트리거할 수 있습니다. 자세한 지침은 여기를 참조하십시오.
- 온프레미스(on-prem)인 경우 컨트롤러의 config-db 백업 및 VM 스냅샷을 만듭니다.
vManage# request nms configuration-db backup path /home/admin/db_backup
successfully saved the database to /home/admin/db_backup.tar.gz
- on-prem인 경우 show running-config를 수집하고 이를 로컬에 저장합니다.
- 온-프렘인 경우 neo4j 비밀번호를 알고 정확한 현재 버전을 확인합니다.
AURA 검사 실행
컨트롤러로 전송/vBond로 전송 완료 확인
vManage 통계 수집 간격 확인
Cisco는 Administration > Settings에서 Statistics Collection Interval(통계 수집 간격)을 30분의 기본 타이머로 설정하는 것을 권장합니다.
참고: Cisco는 업그레이드 전에 vSmarts 및 vBond를 vManage 템플릿에 연결하는 것을 권장합니다.
vSmart 및 vBond의 디스크 공간 확인
df -kh 명령을 사용합니다. | 디스크의 크기를 확인하기 위해 vShell에서 grep 부팅
controller:~$ df -kh | grep boot
/dev/sda1 2.5G 232M 2.3G 10% /boot
controller:~$
크기가 200MB보다 큰 경우 컨트롤러 업그레이드를 진행합니다.
크기가 200MB 미만인 경우 다음 단계를 수행합니다.
1. 현재 버전이 show software 명령에 나열된 버전인지 확인합니다.
VERSION ACTIVE DEFAULT PREVIOUS CONFIRMED TIMESTAMP
------------------------------------------------------------------------------
20.11.1 true true false auto 2023-05-02T16:48:45-00:00
20.9.1 false false true user 2023-05-02T19:16:09-00:00
20.8.1 false false false user 2023-05-10T10:57:31-00:00
2. show software version 명령에서 현재 버전이 기본값으로 설정되었는지 확인합니다.
controller# request software set-default 20.11.1
status mkdefault 20.11.1: successful
controller#
3. 더 많은 버전이 나열되면, 명령 요청 소프트웨어 remove <version>에서 활성 상태가 아닌 버전을 제거합니다. 이렇게 하면 업그레이드를 진행하는 데 사용할 수 있는 공간이 늘어납니다.
controller# request software remove 20.9.1
status remove 20.9.1: successful
vedge-1# show software
VERSION ACTIVE DEFAULT PREVIOUS CONFIRMED TIMESTAMP
------------------------------------------------------------------------------
20.11.1 true true false auto 2023-05-02T16:48:45-00:00
controller#
4. 디스크 공간이 200MB보다 큰지 확인하십시오. 200MB보다 크지 않으면 TAC SR을 여십시오.
컨트롤러 업그레이드
각 고객에 대해 수행되는 다음 단계를 요약한 것입니다.
주의: 이전 섹션에서 설명한 대로 모든 사전 검사가 완료되고 백업이 수행되었는지 확인합니다.
- 새 소프트웨어 버전을 업그레이드 리포지토리에 업로드합니다.
- 이 문제에 대한 해결 방법이 있는 컨트롤러 이미지를 선택했는지 확인합니다.
- 이 시퀀스의 이미지 수정으로 컨트롤러를 업그레이드합니다.
1. vManage
2. vBond
3. vSmart
참고: CLI로 컨트롤러 업그레이드를 진행하는 경우 '소프트웨어 업그레이드 요청-확인'을 수행해야 합니다.
vManage 독립형 업그레이드
독립형 vManage의 경우 다음 단계를 수행해야 합니다.
- 이미지를 vManage Maintenance> Software Repository에 복사합니다.
- vManage Maintenance(vManage 유지 관리)>Software upgrade(소프트웨어 업그레이드)로 업그레이드
- Upgrade(업그레이드)를 클릭하고 업그레이드가 완료될 때까지 기다립니다.
- 동일한 페이지로 돌아가 vManage를 클릭한 다음 Activate를 클릭합니다.
참고: vManage 업그레이드는 데이터 네트워크에 영향을 미치지 않습니다.
vManage 클러스터 업그레이드
클러스터 업그레이드의 경우 Cisco SD-WAN 시작 가이드 - 클러스터 관리 [Cisco SD-WAN] - Cisco 설명서에 설명된 단계를 수행해야 합니다.
참고: vManage 클러스터 업그레이드는 데이터 네트워크에 영향을 미치지 않습니다.
주의: 클러스터를 업그레이드할 때 질문이 있거나 문제가 있는 경우 계속 진행하기 전에 TAC에 문의하십시오.
vBond 업그레이드
vBond 업그레이드는 vManage 업그레이드와 동일한 프로세스를 사용합니다.
경고: vBonds는 순차적으로 업그레이드해야 합니다. 다음 단계로 이동하기 전에 각 vBond에서 업그레이드가 완료되었는지 확인합니다.
- 이미지를 vManage Maintenance(vManage 유지 관리) > Software repository(소프트웨어 저장소)에 복사합니다.
- vManage Maintenance(vManage 유지 관리) > Software upgrade(소프트웨어 업그레이드)로 업그레이드
- Upgrade(업그레이드)를 클릭하고 업그레이드가 완료될 때까지 기다립니다.
- 동일한 페이지로 돌아가 vManage를 클릭한 다음 Activate를 클릭합니다.
- vBond에서 show orchestrator 연결 명령을 사용하여 확인합니다.
- vManage에서 show control connections 명령을 사용하여 확인합니다.
vSmart 업그레이드
vSmart 업그레이드는 vManage 업그레이드와 동일한 프로세스를 사용합니다.
경고: vSmarts는 순차적으로 업그레이드해야 합니다. 다음 단계로 이동하기 전에 각 vSmart에서 업그레이드가 완료되었는지 확인합니다.
- 이미지를 vManage Maintenance(vManage 유지 관리) > Software repository(소프트웨어 저장소)에 복사합니다.
- vManage UI Maintenance(vManage UI 유지 관리) > Software upgrade(소프트웨어 업그레이드)에서 vSmart 업그레이드
- Upgrade(업그레이드)를 클릭하고 업그레이드가 완료될 때까지 기다립니다
- 동일한 페이지로 다시 이동합니다. vSmart를 선택한 다음 Activate(활성화)를 클릭합니다.
- vSmart에서 show control connections 명령을 사용하여 업그레이드 후 세션이 복원되었는지 확인합니다.
참고: 소프트웨어 업그레이드 중에 vSmart가 재부팅되면 네트워크에 영향을 미치지 않고 디바이스가 Graceful Restart로 실행됩니다.
모든 컨트롤러 업그레이드 후 제어 연결이 설정되었는지 확인
컨트롤러가 업그레이드된 후 시나리오 1 및 시나리오 2의 모든 vEdge의 경우 Control 및 BFD 연결을 모두 복원해야 합니다.
vEdge 업그레이드
참고: vEdge 업그레이드는 시나리오 3에 설명된 vEdge 라우터의 전원 사이클을 완전히 보호하는 절차의 마지막 단계입니다.
참고: 예약된 Maintenance Window(유지 관리 기간) 이전에 vEdge 소프트웨어 이미지를 준비하는 것이 좋습니다. 창 이전에 이미지를 스테이징하려면 Install을 사용합니다. 이 프로세스 동안 Activate and Reboot(활성화 및 재부팅) 상자를 선택하지 마십시오. 그렇지 않으면 디바이스에서 설치가 완료된 후 즉시 업그레이드를 완료합니다. 따라서 유지 관리 기간이 단축됩니다.
다음을 통해 vManage에서 한 번에 여러 vEdge에 이미지를 로드할 수 있습니다.
1. vManage UI로 이동합니다. Maintenance(유지 관리) > Software Repository(소프트웨어 저장소)로 이동합니다. vEdge 이미지를 로드합니다. 그런 다음 Maintenance(유지 관리) > Software Upgrade(소프트웨어 업그레이드)로 이동하고 업그레이드가 필요한 디바이스를 선택한 후 Upgrade(업그레이드)를 클릭할 수 있습니다.
2. vManage UI로 이동합니다. Maintenance(유지 관리) > Software Repository(소프트웨어 저장소)로 이동합니다. Add new software(새 소프트웨어 추가)를 클릭합니다. Remote server(원격 서버)를 클릭합니다. 컨트롤러 버전, vEdge 버전 및 이미지가 저장되는 FTP/HTTP URL의 전체 경로를 입력합니다. 예를 들어, ftp://<username>:<password>@<FTP server>/<path>/<image name>. 그런 다음 Maintenance(유지 관리) > Software Upgrade(소프트웨어 업그레이드)로 이동하고 Remote server(원격 서버) 옵션을 사용하여 업그레이드가 필요한 디바이스를 선택한 후 Upgrade(업그레이드)를 클릭할 수 있습니다.
참고: 이미지를 푸시하려면 대역폭을 기준으로 vEdge를 일괄적으로 선택합니다.
vEdge 업그레이드 전 사전 검사
주의: 이러한 사전 검사를 건너뛰면 디스크 공간 부족으로 인해 vEdge 업그레이드가 실패할 수 있습니다.
1. 현재 버전이 show software 명령에 나열된 버전인지 확인합니다.
VERSION ACTIVE DEFAULT PREVIOUS CONFIRMED TIMESTAMP
------------------------------------------------------------------------------
20.11.1 true true false auto 2023-05-02T16:48:45-00:00
20.9.1 false false true user 2023-05-02T19:16:09-00:00
20.8.1 false false false user 2023-05-10T10:57:31-00:00
2. show software version 명령에서 현재 버전이 기본값으로 설정되었는지 확인합니다.
vedge-1# request software set-default 20.11.1
status mkdefault 20.11.1: successful
vedge-1#
3. 더 많은 버전이 나열되면, 명령 요청 소프트웨어 remove <version>에서 활성 상태가 아닌 버전을 제거합니다. 이렇게 하면 업그레이드를 진행하는 데 사용할 수 있는 공간이 늘어납니다.
vedge-1# request software remove 20.9.1
status remove 20.9.1: successful
vedge-1# show software
VERSION ACTIVE DEFAULT PREVIOUS CONFIRMED TIMESTAMP
------------------------------------------------------------------------------
20.11.1 true true false auto 2023-05-02T16:48:45-00:00
vedge-1#
4. vShell과 df -h 명령을 사용하여 업그레이드를 수행할 수 있는 사용 가능한 디스크 공간이 충분한지 확인합니다.
VEDGE-1000-AC-K9# vshel
VEDGE-1000-AC-K9:~$ df -h
Filesystem Size Used Avail Use% Mounted on
none 1.4G 8.0K 1.4G 1% /dev
/dev/sda1 1013M 518M 445M 54% /boot
/dev/loop0 78M 78M 0 100% /rootfs.ro
/dev/sda2 6.0G 178M 5.5G 4% /rootfs.rw
aufs 6.0G 178M 5.5G 4% /
tmpfs 1.4G 300K 1.4G 1% /run
shm 1.4G 48K 1.4G 1% /dev/shm
tmp 600M 84K 600M 1% /tmp
tmplog 120M 37M 84M 31% /var/volatile/log/tmplog
svtmp 1.0M 312K 712K 31% /etc/sv
5. /tmp가 꽉 차면 업그레이드 전에 TAC SR을 열어 /tmp/tmp 디렉토리의 공간을 지웁니다.
vEdge 업그레이드 시나리오 1: 제어 연결이 작동 중이며 vEdge가 리부팅되지 않았습니다.
컨트롤러를 수정 버전이 있는 버전으로 업그레이드한 후 리부팅되지 않은 vEdge 디바이스는 자동으로 연결을 재설정합니다.
중요: 이 상태의 vEdge 디바이스에서는 업그레이드가 필요합니다. 가능한 한 빨리 우선 순위를 정하고 계획을 세워야 합니다. 필요한 경우 업무 외 시간에 가능한 한 빨리 수행하십시오. 디바이스의 재부팅 또는 전원 주기로 인해 제어 및 데이터 플레인에 영향을 주지 않도록 디바이스의 업그레이드를 계획합니다. 업그레이드 전에 디바이스를 재부팅해서는 안 됩니다.
vEdge를 업그레이드하려면 다음 단계를 따르십시오.
- Maintenance(유지 관리) > Software repository(소프트웨어 저장소)를 통해 새 vEdge 소프트웨어를 vManage에 복사합니다.
- vManage Maintenance(vManage 유지 관리) > Software upgrade(소프트웨어 업그레이드)에서 vEdge 업그레이드
- Upgrade(업그레이드)를 클릭하고 업그레이드가 완료될 때까지 기다립니다
- 동일한 페이지로 다시 이동합니다. vEdge를 선택하고 활성화를 클릭합니다
업그레이드 후 검증
- 제어 연결 및 BFD 세션 확인
- OMP 경로 및 서비스 VPN 경로 확인 - vEdge와 허브/기타 노드 간의 모든 서비스 VPN 세그먼트에서 엔드 투 엔드 ping 테스트
- 업그레이드 후 고려 사항 확인
vEdge 업그레이드 시나리오 2: 제어 연결이 다운되었으며 vEdge가 리부팅되지 않았습니다.
컨트롤러를 수정 버전이 있는 버전으로 업그레이드한 후 리부팅되지 않은 vEdge 디바이스는 자동으로 연결을 재설정합니다.
중요: 이 상태의 vEdge 디바이스에서는 업그레이드가 필요합니다. 가능한 한 빨리 우선 순위를 정하고 계획을 세워야 합니다. 필요한 경우 업무 외 시간에 가능한 한 빨리 수행하십시오. 디바이스의 재부팅 또는 전원 주기로 인해 제어 및 데이터 플레인에 영향을 주지 않도록 디바이스의 업그레이드를 계획합니다. 업그레이드 전에 디바이스를 재부팅해서는 안 됩니다.
vEdge를 업그레이드하려면 다음 단계를 따르십시오.
- Maintenance(유지 관리) > Software repository(소프트웨어 저장소)를 통해 새 vEdge 소프트웨어를 vManage에 복사합니다.
- vManage Maintenance(vManage 유지 관리) > Software upgrade(소프트웨어 업그레이드)에서 vEdge 업그레이드
- Upgrade(업그레이드)를 클릭하고 업그레이드가 완료될 때까지 기다립니다
- 동일한 페이지로 다시 이동합니다. vEdge를 선택하고 활성화를 클릭합니다
업그레이드 후 검증
- 제어 연결 및 BFD 세션 확인
- OMP 경로 및 서비스 VPN 경로 확인 - vEdge와 허브/기타 노드 간의 모든 서비스 VPN 세그먼트에서 엔드 투 엔드 ping 테스트
- 업그레이드 후 고려 사항 확인
시나리오 3: vEdge, 제어 연결 중단, 디바이스 재부팅/전원 껐다 켜기
주의: 이러한 디바이스를 복구하려면 대역 외 액세스가 필요합니다.
이 출력은 인증서가 만료된 후 리부팅된 vEdge 디바이스를 보여줍니다. show control local-properties 명령을 사용합니다 | inc 일련 번호 및 출력에 BOARD-ID-NOT-INITIALIZED가 표시되는지 확인합니다.
vedge# show control local-properties | inc serial
serial-num BOARD-ID-NOT-INITIALISED
subject-serial-num N/A
enterprise-serial-num No certificate installed
vedge#
제어 연결을 복원하려면 vEdge의 날짜/시간 변경
이러한 단계를 수행하려면 콘솔 또는 직접 SSH와 같은 vEdge 디바이스에 대한 대역 외 액세스가 필요합니다.
제어 연결이 중단된 vEdge에서 2023년 5월 5일(예: #clock set date 2023-05-05 time 15:49:00.000)로 시계를 롤백합니다.
vedge# clock set date 2023-05-05 time 10:23:00
vedge# show clock
Mon May 5 10:23:37 UTC 2023
vedge#
board-id가 초기화될 때까지 2-3분 정도 기다립니다. 장치가 이제 출력에 표시된 숫자를 가질 수 있도록 show control local-properties를 선택합니다.
vedge# show control local-properties | inc serial
serial-num 10024640
subject-serial-num N/A
enterprise-serial-num No certificate installed
vedge#
(선택 사항) 보드 ID 초기화가 2~3분 내에 일어나지 않을 경우, vEdge를 다시 로드하고 show control local-properties 출력을 확인하여 디바이스의 일련 번호가 출력에 나열되는지 확인합니다
board-id가 초기화되면 show certificate validity 명령을 사용하여 인증서의 유효성을 검사합니다
vedge# show certificate validity
The certificate issued by c33d2cf4-e586-4df4-ac72-298422644ba3 is valid from Sep 7 02:50:16 2021 GMT (Current date is Mon May 1 10:25:03 GMT 2023) & valid until Sep 5 02:50:16 2031 GMT
vedge#
제어 연결이 성공적으로 복구되면 날짜 및 시간에 대해 YYYY-MM-DD 및 HH:MM::SS 형식으로 현재 시간으로 시계를 수정합니다.
이 예는 설명을 위한 것입니다. 항상 날짜와 시간을 현재 시간으로 설정합니다.
vedge# clock set date YYYY-MM-DD time HH:MM::SS
vedge# show clock
Wed May 10 10:23:37 UTC 2023
vedge#
show control connections 명령을 사용하여 제어 연결이 설정되었는지 확인합니다.
vedge# show control connections
PEER PEER CONTROLLER
PEER PEER PEER SITE DOMAIN PEER PRIV PEER PUB GROUP
TYPE PROT SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR PROXY STATE UPTIME ID
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
vsmart dtls 10.3.3.1 10 1 192.168.24.112 12346 192.168.24.112 12346 private1 No up 0:14:33:46 0
vsmart dtls 10.3.3.1 10 1 192.168.24.112 12346 192.168.24.112 12346 private2 No up 0:14:33:46 0
vbond dtls 0.0.0.0 0 0 192.168.28.122 12346 192.168.28.122 12346 private1 - up 0:14:33:47 0
vbond dtls 0.0.0.0 0 0 192.168.28.122 12346 192.168.28.122 12346 private2 - up 0:14:33:47 0
vmanage dtls 10.1.1.1 10 0 192.168.25.209 12346 192.168.25.209 12346 private1 No up 0:14:33:46 0
참고: 이 상태의 vEdge 디바이스에서는 업그레이드가 필요합니다. 가능한 한 빨리 우선 순위를 정하고 계획을 세워야 합니다. 필요한 경우 업무 외 시간에 유지 보수 기간 중에 수행합니다. 디바이스의 재부팅 또는 전원 주기에 따른 영향을 받지 않도록 디바이스의 업그레이드를 계획합니다. 업그레이드 전에 디바이스를 재부팅해서는 안 됩니다.
vEdge를 업그레이드하려면 다음 단계를 수행하십시오.
- Maintenance(유지 관리) > Software repository(소프트웨어 저장소)를 통해 vEdge 이미지 수정을 vManage에 복사합니다.
- vManage UI Maintenance(vManage UI 유지 관리) > Software upgrade(소프트웨어 업그레이드)에서 vEdge 업그레이드
- Upgrade(업그레이드)를 클릭하고 업그레이드가 완료될 때까지 기다립니다
- 동일한 페이지로 다시 이동합니다. vEdge를 선택하고 Activate(활성화)를 클릭합니다.
· 제어 연결 및 BFD 세션이 작동 중인지 확인
· OMP 경로 및 서비스 VPN 경로 확인 - vEdge와 허브/기타 노드 간의 모든 서비스 VPN 세그먼트에서 엔드 투 엔드 ping 테스트
- 업그레이드 후 고려 사항 확인
18.4, 19.x 및 20.1에서 업그레이드 절차(개정 2005년 5월 13일, 0300 UTC)
버전 18.4, 19.x 및 20.1.x에서 모든 업그레이드는 버전 20.3.7.1로 업그레이드해야 합니다.
이 섹션은 2.5G보다 작은 부팅 디스크를 사용하는 vManage를 20.1.3이 아닌 20.1.3.1로 업그레이드하기 위한 지침과 함께 개정되었습니다.
새로운 20.1.3.1 vManage 소프트웨어에는 업데이트된 인증서가 포함되어 있으며, 20.3.7.1로 두 번째 업그레이드를 수행하는 동안 디바이스를 연결할 수 있습니다.
주의: 계속하기 전에 이 섹션을 주의 깊게 읽으십시오. 여러 개의 업그레이드가 필요할 수 있습니다.
업그레이드 전 확인
업그레이드를 진행하기 전에 모든 사전 검사를 완료하여 업그레이드가 성공적으로 이루어지도록 해야 합니다.
이러한 사전 업그레이드 검사는 데이터베이스, 컴퓨팅 리소스 및 부팅 디스크 크기의 유효성을 검사합니다.
CLI를 통해 데이터베이스 크기 확인
명령 요청 nms configuration-db diagnostic 사용 | TotalStoreSize를 입력하여 데이터베이스의 크기를 바이트 단위로 가져옵니다.
vshell에서 expr <number of bytes> / 1024 / 1024 / 1024 명령을 실행하여 이 출력을 GB 단위의 정수 값으로 변환합니다.
vmanage# request nms configuration-db diagnostics | i TotalStoreSize
| "StoreSizes" | "TotalStoreSize" | 3488298345 |
vmanage1# vshell
vmanage1:~$ expr 348829834 / 1024 / 1024 / 1024
3
이 예에서는 데이터베이스 크기가 3GB임을 보여 줍니다.
중지: 데이터베이스 크기가 5GB 이상인 경우 TAC SR을 열어 이 업그레이드에 대한 지원을 받으십시오.
데이터베이스 크기가 5GB 미만인 경우 업그레이드를 진행합니다.
컴퓨팅 리소스 확인
Compute Resources가 20.3 Compute Resources Guide와 일치하는지 확인합니다.
- 명령 lscpu로 vCPU 확인 | grep CPU\ MHz
vmanage1:~$ lscpu | grep CPU\ MHz
CPU MHz: 2999.658
vmanage1:~$
- free -g 명령을 사용하여 메모리 확인 | grep Mem and free —giga | grep 메모리
vmanage1:~$ free -g | grep Mem
Mem: 31 21 7 0 2 9
vmanage1:~$ free --giga | grep Mem
Mem: 33 23 7 0 2 9
vmanage1:~$
- df -kh 명령을 사용하여 세 번째 파티션(/opt/data) 크기 확인
vmanage1:~$ df -kh | grep "/opt/data"
/dev/sdb 108G 24G 79G 23% /opt/data
vmanage1:~$
컴퓨팅 리소스가 20.3과 일치하지 않으면 업그레이드 전에 컴퓨팅 리소스를 늘리십시오.
CLI로 부팅 디스크 공간 확인
df -kh 명령을 사용합니다. | 디스크 크기를 확인하기 위해 vShell에서 grep 부팅합니다.
vmanage# vshell
vmanage:~$ df -kh | grep boot
/dev/sda1 5.0G 4.7G 343M 94% /boot
vmanage:~$
이 예에서는 /부팅 디스크가 5.0G임을 보여줍니다.
경고: vManage 부팅 디스크가 2.5G 미만인 경우 버전 20.1을 통해 단계 업그레이드를 수행해야 합니다.
버전 18.4 및 19.x에서 vManage 업그레이드
업그레이드 수행 - 독립형 vManage
부팅 디스크의 크기가 2.5G 미만인 경우 계속 진행하기 전에 vManage를 버전 20.1로 업그레이드해야 합니다.
- https://software.cisco.com/download/home/286320995/type/286321394/release/20.1.3.1에서 20.1.3.1 이미지를 다운로드합니다.
- 컨트롤러 업그레이드의 단계를 진행하여 업그레이드를 완료합니다.
디스크 크기가 2.5G 이상인 경우 20.3.7.1로 직접 업그레이드할 수 있습니다.
- https://software.cisco.com/download/home/286320995/type/286321394/release/20.3.7.1에서 20.3.7.1 이미지를 다운로드합니다.
- 컨트롤러 업그레이드의 단계를 진행하여 업그레이드를 완료합니다.
업그레이드 - vManage 클러스터 수행
디스크 크기가 2.5G 미만인 경우 계속 진행하기 전에 vManage를 버전 20.1.3.1로 업그레이드해야 합니다.
디스크 크기가 2.5G 이상인 경우 20.3.7.1로 직접 업그레이드할 수 있습니다.
- https://software.cisco.com/download/home/286320995/type/286321394/release/20.3.7.1에서 20.3.7.1 이미지를 다운로드합니다.
- 컨트롤러 업그레이드의 단계를 진행하여 업그레이드를 완료합니다.
vManage 20.1.x 업그레이드
업그레이드 수행 - vManage 독립형 또는 클러스터
- https://software.cisco.com/download/home/286320995/type/286321394/release/20.3.7.1에서 20.3.7.1 이미지를 다운로드합니다.
- 컨트롤러 업그레이드의 단계를 진행하여 업그레이드를 완료합니다.
vSmart 및 vBond를 18.4, 19.x 또는 20.1에서 20.3.7.1로 업그레이드
vSmarts 및 vBonds는 모든 버전에서 20.3.7.1로 직접 업그레이드할 수 있습니다.
- https://software.cisco.com/download/home/286320995/type/286321394/release/20.3.7.1에서 20.3.7.1 이미지를 다운로드합니다.
- 업그레이드를 완료하려면 vSmart 업그레이드 섹션의 단계를 진행합니다
- 업그레이드를 완료하려면 vBond 업그레이드 섹션의 단계를 따르십시오
vEdge를 18.4, 19.x 또는 20.1에서 20.3.7.1로 업그레이드
vSmarts, vBonds 및 vEdge 디바이스는 모든 버전에서 20.3.7.1로 직접 업그레이드할 수 있습니다.
- https://software.cisco.com/download/home/286320990/type/286321106/release/20.3.7.1에서 20.3.7.1 이미지를 다운로드합니다.
- Upgrade vEdge(vEdge 업그레이드) 섹션의 단계를 따라 업그레이드를 완료합니다.
업그레이드 후 고려 사항
업그레이드 전에 Graceful Restart 타이머 및 IPSec 리키 타이머를 늘리기 위해 컨피그레이션을 변경한 경우, 불필요한 영향을 방지하기 위해 업그레이드 전에 있던 설정으로 컨피그레이션을 롤백하는 것이 좋습니다.
특별 자문
컨트롤러를 20.3.7.1 이전 버전으로 업그레이드하고 vEdge 업그레이드를 진행 중인 고객은 TAC에 연락하여 각 vEdge 이미지에 액세스할 수 있습니다.
Cisco 버그 ID CSCwd에 대한 권고46600
이 문서의 이전 버전에서는 고객이 여러 버전의 20.3.x(20.3.3.2, 20.3.5.1, 20.3.4.3, 20.3.7.1)로 업그레이드할 것을 권장했습니다.
Cisco에서는 이미지 20.3.x를 실행하는 고객에게 컨트롤러 및 vEdge를 이미지 20.3.7.1로 업그레이드할 것을 권장합니다.
20.3.7.1, 20.4 및 20.6.5.1 이전 20.6x 릴리스 19.x 및 20.3.x 이전 릴리스를 실행하는 디바이스에서 업그레이드 후 Cisco 버그 ID CSCwd46600이 발생할 수 있습니다. 이 문제를 일시적으로 해결하려면 다음 명령 중 하나를 실행합니다.
request security ipsec-rekey
또는
request port-hop color
그러나 컨트롤러 및 vEdge 디바이스를 20.3.7.1 또는 20.6.5.1로 업그레이드하는 것이 좋습니다.
이전 지침에 따라 모든 vEdge 장치를 20.3.7.1 이전, 20.3.4.3 이전 또는 20.6.6.x 이전 20.6.5.1 릴리스로 완전히 업그레이드한 고객은 버그의 영향을 받지 않은 경우 이 릴리스를 계속 사용할 수 있습니다. 나중에 예약된 유지 보수 기간 동안 20.3.7.1 또는 20.6.5.1로 업그레이드하는 것이 좋습니다.
20.6.x Release Train(개정 2000년 5월 15일)
이 문서의 이전 버전에서는 고객이 여러 버전의 20.6.x(20.6.3.2, 20.6.4.1, 20.6.5.2)로 업그레이드할 것을 권장합니다.
Cisco에서는 이미지 20.6.x를 실행하고 인터페이스에 추적기를 구성한 고객은 컨트롤러 및 vEdge를 이미지 20.6.5.2로 업그레이드할 것을 권장합니다.
추적기가 구성된 디바이스에서는 업그레이드 중 Cisco 버그 ID CSCvz44093이 발생할 수 있습니다. 이 버그의 영향을 피하기 위해 업그레이드 전에 추적 구성을 제거 할 수 있습니다.
컨트롤러 및 vEdge 디바이스를 20.6.5.2로 업그레이드하는 것이 좋습니다.
이전 지침에 따라 모든 vEdge 디바이스를 20.6.3.2 및 20.6.4.1로 완전히 업그레이드한 고객은 버그의 영향을 받지 않은 경우 이 릴리스에 남아 있도록 선택할 수 있습니다.