Identificar certificado vEdge vencido em 9 de maio de 2023
Contents
Introdução
Este documento descreve como identificar um vEdge com um certificado expirado que pode afetar conexões de controle e conexões de plano de dados, e resultar em perda de serviço.
Informações de Apoio
Esse problema afeta as plataformas vEdge 100M, vEdge 100WM, vEdge 100B, vEdge 1000 e vEdge 2000. Isso é causado por um certificado raiz público que expirou em 9 de maio de 2023 às 6:57 AM UTC.
Observação: este incidente não afeta estas plataformas:
1. vEdge Cloud, vEdge 5000 e ISR 1100 executando o Viptela OS
2. Plataformas de roteamento da Cisco (físicas e virtuais) executando o software XE SD-WAN
vEdge# show control local-properties
personality vedge
sp-organization-name CALO - 100589
organization-name CALO - 100589
root-ca-chain-status Installed
certificate-status Installed
certificate-validity Not Valid - certificate has expired <<<<<<<<<<<<<<<<<<<<
certificate-not-valid-before May 12 17:11:21 2013 GMT
certificate-not-valid-after Jan 19 03:14:07 2038 GMT
Caso o dispositivo tenha sido recarregado após a 'hora X' (ou seja, 6:57 AM UTC, 9 de maio de 2023), adicionalmente, isso é visto:
serial-num BOARD-ID-NOT-INITIALISED
Cuidado: esse problema é aplicável quando a Autorização do certificado de borda da WAN de hardware está definida como Certificados corporativos ou Certificados Onbox no vManage.
Essas condições podem resultar em um impacto no vEdge:
- Perda de conexões com o vSmart
- Perda de conexões com o vManage
- Port-Hop
- Controlar alterações de política, como alterações de topologia na rede
- Limpar conexão de controle
- Flaps de interface
- Recarregamento do dispositivo
Observação: durante o estabelecimento da Conexão de controle, o certificado Onbox é validado pelos controladores em todos os casos. Quando os certificados corporativos são usados, os certificados Onbox e Enterprise são validados.
Precauções para evitar a interrupção dos serviços
Para evitar uma perda completa de serviço, EVITE estas ações nesta seção.
- Recarregue o dispositivo
- Atualizar política
- Envios por push de modelo
Processo de correção
A Cisco publicou versões de atualização de software para resolver permanentemente esse problema. Leia atentamente todo o processo antes de executar qualquer ação.
O processo avançado para solucionar esse problema é:
- Executar pré-verificações para preparar a atualização de seu(s) Controlador(es)
- Atualize os controladores SD-WAN para uma versão fixa
- Restaure o controle e as conexões BFD entre o vEdge e os controladores
- Execute pré-verificações para preparar a atualização do software vEdge
- Atualizar o software vEdge para uma versão fixa
- Considerações sobre o pós-upgrade
Três cenários são referenciados aqui. As etapas para correção variam de acordo com o cenário aplicável a cada vEdge em sua rede.
Cenário 1: a conexão do vEdge Control está ativada e o vEdge NÃO foi reinicializado.
Cenário 2: a conexão de controle do vEdge está INATIVA e o vEdge NÃO foi reinicializado.
Cenário 3: a conexão de controle do vEdge está INATIVA e o vEdge FOI reinicializado.
Versões de software fixo
A Cisco continua trabalhando para criar e validar versões fixas de software o mais rápido possível. Esta página é atualizada à medida que novas versões são validadas e postadas em Cisco.com.
Dica: use o recurso "Minhas notificações", disponível na página Downloads de software em Cisco.com, para ser notificado quando houver um novo software disponível para qualquer produto da Cisco no qual você esteja interessado.
Use a tabela mostrada para determinar para qual versão você pode fazer upgrade com base na sua versão atual. É possível que mais de um caminho de atualização seja suportado.
Mais versões são adicionadas conforme estão disponíveis. Se a sua versão não estiver listada na coluna Versão Atual, não há caminho de atualização disponível no momento.
Dica: é recomendável preparar imagens de software antes da janela de manutenção programada. Use Install para preparar as imagens antes da janela. Não marque a caixa Ativate and Reboot durante esse processo, caso contrário, o dispositivo concluirá a atualização imediatamente após a conclusão da instalação. Isso garante uma janela de manutenção mais curta.
Observação: para garantir a integridade de uma imagem na Cisco, os clientes podem buscar uma prática recomendada comum para verificá-la com o checksum SHA fornecido para a imagem. A Cisco oferece um arquivo Bulk Hash como uma ferramenta útil para que os clientes verifiquem novamente as imagens baixadas na página Downloads de software da Cisco. Para obter informações mais detalhadas, visite https://www.cisco.com/c/en/us/about/trust-center/downloads.html.
Matriz de Recomendação de Atualização
As versões de software na tabela mostrada são recomendadas com base na correção do problema de certificado expirado. Atualizações fora do escopo deste problema devem ser feitas apenas com as instruções na documentação do produto e nas Notas de versão do Cisco SD-WAN com base na versão para a qual você atualiza.
Observação: a Cisco recomenda que você fique dentro do treinamento da versão atual para reduzir o impacto na produção devido ao problema de expiração da certificação. Por exemplo, se você estiver atualmente em 20.3.2, atualize para 20.3.7.1.
A atualização do vEdge 5000, vEdge Cloud e ISR 1100 não é necessária no momento, pois eles não são afetados pelo bug da Cisco ID CSCwf28118.
Observação: para ambientes de versões mistas, execute atualizações de software de acordo com as recomendações na tabela mostrada com base na imagem que o dispositivo está executando no momento.
Verifique a matriz de compatibilidade para identificar possíveis problemas de compatibilidade de controlador/borda e abra um TAC SR para obter suporte se houver alguma preocupação.
Observação: os clientes com imagens do Especial de Engenharia (ES) que ainda não fizeram upgrade para uma imagem com a correção precisam abrir um TAC SR para obter mais orientações.
Compatibilidade com vEdge-2000
O último treinamento de imagem de software suportado para vEdge-2000 é 20.9.x.
Compatibilidade com vEdge-100B, vEdge-100M e vEdge-1000
O último treinamento de imagem de software compatível para vEdge-100B, vEdge-100M e vEdge-1000 é 20.6.x. Use a versão atual e a imagem do software no para identificar a versão de destino recomendada.
Se o vEdge-100B, o vEdge-100M e o vEdge-1000 já estiverem em 20.7.x ou posterior, abra um TAC SR para orientação.
Cuidado: devido ao impacto potencial na produção, aconselhamos nossos clientes a executar apenas as atualizações durante uma janela de manutenção. Garanta e confirme a estabilidade da rede antes de qualquer alteração adicional na produção.
Matriz de compatibilidade de software do controlador SD-WAN e vEdge
Observação: a Cisco recomenda que você fique dentro do treinamento da versão atual para reduzir o impacto na produção devido ao problema de expiração da certificação.
Por exemplo, se você estiver atualmente em 20.3.2, atualize para 20.3.7.1.
Após a atualização para a correção do certificado, se você optar por atualizar de uma versão de treinamento para outra versão de treinamento principal, a Cisco recomenda que você atualize para a versão preferencial nessa versão de treinamento.
Por exemplo, para correção de pós-certificação: se você estiver atualmente em 20.3.7.1 e planeja atualizar para a versão de treinamento 20.6, a Cisco recomenda que você atualize para a versão preferida 20.6.5.2.
| Controladores SD-WAN |
vEdge 100M, vEdge 100B, vEdge 1000 |
vEdge 2000 |
| 20.3.3.21 |
20.3.3.21 |
20.3.3.21 |
| 20.3.4.31 |
20.3.3.21, 20.3.4.31 |
20.3.3.21, 20.3.4.31 |
| 20.3.5.11 |
20.3.3.21, 20.3.4.31, 20.3.5.11 |
20.3.3.21, 20.3.4.31, 20.3.5.11 |
| 20.3.7.12 |
20.3.3.21, 20.3.4.31, 20.3.5.11, 20.3.7.12 |
20.3.3.21, 20.3.4.31, 20.3.5.11, 20.3.7.12 |
| 20.4.2.3 |
20.3.3.21, 20.3.7.12, 20.4.2.3 |
20.3.3.21, 20.3.7.12, 20.4.2.3 |
| 20.6.1.2 |
20.6.1.2 |
20.6.1.2 |
| 20.6.3.2 |
20.3.3.21, 20.3.4.31, 20.3.5.11, 20.3.7.12, 20.4.2.3, 20.6.1.2, 20.6.3.2 |
20.3.3.21, 20.3.4.31, 20.3.5.11, 20.3.7.12, 20.4.2.3, 20.6.1.2, 20.6.3.2 |
| 20.6.4.1 |
20.3.3.21, 20.3.4.31, 20.3.5.11, 20.4.2.3, 20.6.1.2, 20.6.3.2, 20.6.4.1 |
20.3.3.21, 20.3.4.31, 20.3.5.11, 20.4.2.3, 20.6.1.2, 20.6.3.2, 20.6.4.1 |
| 20.6.5.22 |
20.3.3.21, 20.3.4.31, 20.3.5.11, 20.3.7.12, 20.4.2.3, 20.6.1.2, 20.6.3.2, 20.6.4.1, 20.6.5.22 |
20.3.3.21, 20.3.4.31, 20.3.5.11, 20.3.7.12, 20.4.2.3, 20.6.1.2, 20.6.3.2, 20.6.4.1, 20.6.5.22 |
| 20.9.3.12 |
20.3.3.21, 20.3.4.31, 20.3.5.11, 20.3.7.12, 20.4.2.3, 20.6.1.2, 20.6.3.2, 20.6.4.1, 20.6.5.22 |
20.3.3.21, 20.3.4.31, 20.3.5.11, 20.3.7.12, 20.4.2.3, 20.6.1.2, 20.6.3.2, 20.6.4.1, 20.6.5.22, 20.9.3.12 |
| 20.10.1.1 |
20.6.1.2, 20.6.3.2, 20.6.4.1 |
20.6.1.2, 20.6.3.2, 20.6.4.1 |
| 20.11.1.1 |
20.6.1.2, 20.6.3.2, 20.6.4.1, 20.6.5.22 |
20.6.1.2, 20.6.3.2, 20.6.4.1, 20.6.5.22, 20.9.3.12 |
1Esta imagem não está mais disponível para download. Eles são documentados para clientes que já os implantaram.
2Indica uma versão preferencial que contém a correção de certificado.
Pré-verificações a serem realizadas antes de uma atualização do controlador
Faça backup do seu controlador
- Se for hospedado na nuvem, confirme se o backup mais recente foi feito ou inicie um backup de config db, como mencionado na próxima etapa.
- Você pode exibir os backups atuais, bem como disparar um snapshot sob demanda no portal do SSP. Obtenha mais orientações aqui.
- Se estiver no local, faça um backup de config-db e um instantâneo da VM dos controladores.
vManage# request nms configuration-db backup path /home/admin/db_backup
successfully saved the database to /home/admin/db_backup.tar.gz
- Se estiver no local, colete o comando show running-config e salve-o localmente.
- Se estiver no local, certifique-se de que você conhece sua senha neo4j e anote para sua versão atual exata.
Executar uma verificação AURA
- Faça o download e siga as etapas para executar o AURA a partir do CiscoDevNet/sure: SD-WAN Upgrade Readiness Experience
- Aberta a um TAC SR para responder a quaisquer questões relacionadas com as verificações falhadas no relatório AURA.
Verifique se Send to Controllers/Send to vBond está concluído
Verificar intervalo de coleta de estatísticas do vManage
A Cisco recomenda que o Intervalo de coleta de estatísticas em Administração > Configurações seja definido como o temporizador padrão de 30 minutos.
Observação: a Cisco recomenda que seus vSmarts e vBonds sejam anexados ao modelo vManage antes de um upgrade.
Verificar o espaço em disco no vSmart e no vBond
Use o comando df -kh | grep boot do vShell para determinar o tamanho do disco.
controller:~$ df -kh | grep boot
/dev/sda1 2.5G 232M 2.3G 10% /boot
controller:~$Se o tamanho for superior a 200 MB, continue com a atualização das controladoras.
Se o tamanho for inferior a 200 MB, siga estas etapas:
1. Verifique se a versão atual é a única listada sob o comando show software.
VERSION ACTIVE DEFAULT PREVIOUS CONFIRMED TIMESTAMP
------------------------------------------------------------------------------
20.11.1 true true false auto 2023-05-02T16:48:45-00:00
20.9.1 false false true user 2023-05-02T19:16:09-00:00
20.8.1 false false false user 2023-05-10T10:57:31-00:00
2. Verifique se a versão atual está definida como padrão no comando show software version.
controller# request software set-default 20.11.1
status mkdefault 20.11.1: successful
controller#
3. Se mais versões estiverem listadas, remova quaisquer versões não ativas com o comando request software remove <version>. Isso aumenta o espaço disponível para prosseguir com a atualização.
controller# request software remove 20.9.1
status remove 20.9.1: successful
vedge-1# show software
VERSION ACTIVE DEFAULT PREVIOUS CONFIRMED TIMESTAMP
------------------------------------------------------------------------------
20.11.1 true true false auto 2023-05-02T16:48:45-00:00
controller#
4. Verifique o espaço em disco para garantir que ele seja maior que 200 MB. Se não for, abra um TAC SR.
Atualize seus controladores
Este é um resumo das próximas etapas realizadas para cada um desses clientes.
Cuidado: Confirme se todas as pré-verificações foram feitas e se os backups foram feitos conforme descrito na seção anterior.
- Carregue a nova versão do software no repositório de atualização.
- Verifique se a imagem do controlador com a correção para esse problema está selecionada.
- Atualize os controladores com a correção de imagem nesta sequência.
1. vManage
2. Obrigações
3. vSmart
Atualização autônoma do vManage
No caso do vManage autônomo, estas etapas devem ser seguidas:
- Copie a imagem para o repositório vManage Maintenance> Software
- Atualização com vManage Maintenance>Atualização de software
- Clique em Atualizar e aguarde a atualização ser concluída
- Volte para a mesma página, clique no botão vManage e clique em Ativar
Observação: a atualização do vManage não tem impacto na rede de dados.
Atualização de cluster do vManage
No caso de atualização de cluster, as etapas mencionadas no Guia de introdução do Cisco SD-WAN - Gerenciamento de cluster [Cisco SD-WAN] - Guia da Cisco devem ser seguidas.
Observação: a atualização do cluster vManage não tem impacto na rede de dados.
Cuidado: se você tiver dúvidas ou problemas ao atualizar o cluster, entre em contato com o TAC antes de continuar.
Atualização do vBond
Uma atualização do vBond usa o mesmo processo que uma atualização do vManage.
Aviso: vBonds devem ser atualizados sequencialmente. Verifique se a atualização foi concluída em cada vBond antes de passar para o próximo.
- Copie a imagem para o vManage Maintenance > Repositório de software
- Atualize com a manutenção do vManage > atualização de software
- Clique em Atualizar e aguarde a atualização ser concluída
- Navegue de volta para a mesma página, clique em vManage e clique em Ativate
- Verifique com o comando show orchestrator connections no vBond
- Verifique com o comando show control connections no vManage
Atualização vSmart
Uma atualização do vSmart usa o mesmo processo que uma atualização do vManage.
Aviso: o vSmarts deve ser atualizado sequencialmente. Verifique se a atualização foi concluída em cada vSmart antes de passar para a próxima.
- Copie a imagem para o vManage Maintenance > Repositório de software
- Atualize o vSmart a partir da Manutenção da interface do usuário do vManage > Atualização do software
- Clique em Atualizar e aguarde a atualização ser concluída
- Volte para a mesma página. Escolha o vSmart e clique em Ativar
- Verifique se as sessões foram restauradas após a atualização com o comando show control connections no vSmart
Observação: quando o vSmart é reinicializado durante uma atualização de software, os dispositivos são reiniciados normalmente sem afetar a rede.
Verifique se as conexões de controle estão estabelecidas após todas as atualizações do controlador
Para todos os vEdge no Cenário 1 e no Cenário 2 depois que os controladores forem atualizados, as conexões de Controle e BFD deverão ser restauradas.
Atualizar vEdge
Observação: a atualização do vEdge é a última etapa do procedimento para proteger completamente contra o ciclo de energia dos roteadores vEdge, descrito no Cenário 3.
Observação: é recomendável preparar imagens do software vEdge antes da janela de manutenção programada. Use Install para preparar as imagens antes da janela. Não marque a caixa Ativate and Reboot durante esse processo, caso contrário, o dispositivo concluirá a atualização imediatamente após a conclusão da instalação. Isso garante uma janela de manutenção mais curta.
Você pode carregar as imagens em várias Bordas de uma só vez a partir do vManage por meio de:
1. Navegue até a interface do usuário do vManage. Navegue até Manutenção > Repositório de software. Carregue a imagem do vEdge. Você pode navegar para Manutenção > Atualização de software e clicar em Atualização depois de escolher os dispositivos que precisam da atualização.
2. Navegue até a interface do usuário do vManage. Navegue até Manutenção > Repositório de software. Clique em Add new software. Clique em Servidor remoto. Insira a versão do controlador, a versão do vEdge e o caminho completo para a URL do FTP/HTTP onde a imagem está armazenada. Por exemplo, ftp://<username>:<password>@<servidor FTP>/<path>/<image name>. Você pode navegar para Manutenção > Atualização de software e clicar em Atualização depois de escolher os dispositivos que precisam da atualização com o uso da opção Servidor remoto.
Observação: escolha Bordas em lotes com base na largura de banda para enviar a imagem.
Verificações prévias antes da atualização do vEdge
Cuidado: se essas pré-verificações forem ignoradas, a atualização do vEdge poderá falhar devido a espaço em disco insuficiente.
1. Verifique se a versão atual é a única listada sob o comando show software.
VERSION ACTIVE DEFAULT PREVIOUS CONFIRMED TIMESTAMP
------------------------------------------------------------------------------
20.11.1 true true false auto 2023-05-02T16:48:45-00:00
20.9.1 false false true user 2023-05-02T19:16:09-00:00
20.8.1 false false false user 2023-05-10T10:57:31-00:00
2. Verifique se a versão atual está definida como padrão no comando show software version.
vedge-1# request software set-default 20.11.1
status mkdefault 20.11.1: successful
vedge-1#
3. Se mais versões estiverem listadas, remova quaisquer versões não ativas com o comando request software remove <version>. Isso aumenta o espaço disponível para prosseguir com a atualização.
vedge-1# request software remove 20.9.1
status remove 20.9.1: successful
vedge-1# show software
VERSION ACTIVE DEFAULT PREVIOUS CONFIRMED TIMESTAMP
------------------------------------------------------------------------------
20.11.1 true true false auto 2023-05-02T16:48:45-00:00
vedge-1#
4. Use o vShell e o comando df -h para confirmar se há espaço livre em disco suficiente para executar a atualização.
VEDGE-1000-AC-K9# vshel
VEDGE-1000-AC-K9:~$ df -h
Filesystem Size Used Avail Use% Mounted on
none 1.4G 8.0K 1.4G 1% /dev
/dev/sda1 1013M 518M 445M 54% /boot
/dev/loop0 78M 78M 0 100% /rootfs.ro
/dev/sda2 6.0G 178M 5.5G 4% /rootfs.rw
aufs 6.0G 178M 5.5G 4% /
tmpfs 1.4G 300K 1.4G 1% /run
shm 1.4G 48K 1.4G 1% /dev/shm
tmp 600M 84K 600M 1% /tmp
tmplog 120M 37M 84M 31% /var/volatile/log/tmplog
svtmp 1.0M 312K 712K 31% /etc/sv
5. Se /tmp estiver cheio, abra um TAC SR para obter assistência para liberar espaço no diretório /tmp/tmp antes da atualização.
vEdge Upgrade Cenário 1: a conexão de controle está ativa e o vEdge NÃO foi reinicializado
Depois que os controladores são atualizados para uma versão com a correção, os dispositivos vEdge que não foram reinicializados restabelecem a conectividade automaticamente.
Para atualizar o vEdge, siga as etapas indicadas:
- Copie o novo software vEdge para o vManage via Manutenção > Repositório de software
- Atualize o vEdge a partir da Manutenção do vManage > Atualização do software
- Clique emAtualizar e aguarde a atualização ser concluída
- Volte para a mesma página. Escolha o vEdge e clique emAtivar
Validação Pós-Atualização
- Verificar as conexões de controle e as sessões BFD
- Verificar rotas OMP e rotas de VPN de serviço - testar o ping fim-a-fim em cada segmento de VPN de serviço entre vEdge e hub/outros nós
- Verifique as Considerações de Pós-Atualização
Cenário 2 de atualização do vEdge: a conexão de controle está inativa e o vEdge NÃO foi reinicializado
Depois que os controladores são atualizados para uma versão com a correção, os dispositivos vEdge que não foram reinicializados restabelecem a conectividade automaticamente.
Para atualizar o vEdge, siga as etapas indicadas:
- Copie o novo software vEdge para o vManage via Manutenção > Repositório de software
- Atualize o vEdge a partir da Manutenção do vManage > Atualização do software
- Clique emAtualizar e aguarde a atualização ser concluída
- Volte para a mesma página. Escolha o vEdge e clique emAtivar
Validação Pós-Atualização
- Verificar as conexões de controle e as sessões BFD
- Verificar rotas OMP e rotas de VPN de serviço - testar o ping fim-a-fim em cada segmento de VPN de serviço entre vEdge e hub/outros nós
- Verifique as Considerações de Pós-Atualização
Cenário 3: vEdge, conexão de controle desativada, dispositivo reinicializado/ligado e ligado novamente
Cuidado: para recuperar esses dispositivos, é necessário acesso fora da banda.
Esta saída mostra um dispositivo vEdge que foi reinicializado após a expiração do certificado. Use o comando show control local-properties | inc serial e confirme se a saída mostra BOARD-ID-NOT-INITIALIZED.
vedge# show control local-properties | inc serial
serial-num BOARD-ID-NOT-INITIALISED
subject-serial-num N/A
enterprise-serial-num No certificate installed
vedge#
Alterar a Data/Hora no vEdge para restaurar as Conexões de Controle
Essas etapas exigem acesso fora de banda ao dispositivo vEdge, como console ou SSH direto.
Reverta o relógio para 5 de maio de 2023 (por exemplo, #clock set date 2023-05-05 time 15:49:00.000) no vEdge que tem uma conexão de controle DOWN.
vedge# clock set date 2023-05-05 time 10:23:00
vedge# show clock
Mon May 5 10:23:37 UTC 2023
vedge#
Aguarde de 2 a 3 minutos para que o board-id seja inicializado. Marque show control local-properties para garantir que o dispositivo agora tenha um número mostrado na saída.
vedge# show control local-properties | inc serial
serial-num 10024640
subject-serial-num N/A
enterprise-serial-num No certificate installed
vedge#
(Opcional) Se a inicialização do ID da placa não acontecer dentro de 2 ou 3 minutos, recarregue o vEdge e verifique a saída do comando show control local-properties para garantir que o dispositivo agora tenha seu número de série listado na saída
Depois que o board-id tiver inicializado, valide o certificado com o comando show certificate valid
vedge# show certificate validity
The certificate issued by c33d2cf4-e586-4df4-ac72-298422644ba3 is valid from Sep 7 02:50:16 2021 GMT (Current date is Mon May 1 10:25:03 GMT 2023) & valid until Sep 5 02:50:16 2031 GMT
vedge#
Depois que as conexões de controle tiverem sido recuperadas com êxito, corrija o relógio para a hora atual com os formatos AAAA-MM-DD e HH:MM::SS para a data e a hora.
Este exemplo é apenas para fins ilustrativos. Sempre defina a data e a hora para a hora atual.
vedge# clock set date YYYY-MM-DD time HH:MM::SS
vedge# show clock
Wed May 10 10:23:37 UTC 2023
vedge#
Verifique se as conexões de controle estão ativas com o comando show control connections.
vedge# show control connections
PEER PEER CONTROLLER
PEER PEER PEER SITE DOMAIN PEER PRIV PEER PUB GROUP
TYPE PROT SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR PROXY STATE UPTIME ID
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
vsmart dtls 10.3.3.1 10 1 192.168.24.112 12346 192.168.24.112 12346 private1 No up 0:14:33:46 0
vsmart dtls 10.3.3.1 10 1 192.168.24.112 12346 192.168.24.112 12346 private2 No up 0:14:33:46 0
vbond dtls 0.0.0.0 0 0 192.168.28.122 12346 192.168.28.122 12346 private1 - up 0:14:33:47 0
vbond dtls 0.0.0.0 0 0 192.168.28.122 12346 192.168.28.122 12346 private2 - up 0:14:33:47 0
vmanage dtls 10.1.1.1 10 0 192.168.25.209 12346 192.168.25.209 12346 private1 No up 0:14:33:46 0
Para atualizar o vEdge, siga estas etapas:
- Copie a correção da imagem do vEdge para o vManage via Manutenção > Repositório de software
- Atualize o vEdge a partir de vManage UI Maintenance > Software upgrade
- Clique em Atualizar e aguarde a atualização ser concluída
- Volte para a mesma página. Escolha o vEdge e clique em Ativar
· Verificar se as conexões de controle e as sessões BFD estão ATIVADAS
· Verificar rotas OMP e rotas de VPN de serviço - testar o ping fim-a-fim em cada segmento de VPN de serviço entre vEdge e hub/outros nós - Verifique as Considerações de Pós-Atualização
Procedimento de atualização de 18.4, 19.x e 20.1 (revisto em 13 de maio de 2000 UTC)
Todas as atualizações das versões 18.4, 19.x e 20.1.x devem ser atualizadas para a versão 20.3.7.1.
Esta seção foi revisada com instruções para atualizar o vManage com discos de inicialização menores que 2.5G para 20.1.3.1 em vez de 20.1.3.
O novo software 20.1.3.1 vManage inclui os certificados atualizados e permite que os dispositivos se conectem enquanto a segunda atualização para 20.3.7.1 é executada.
Cuidado: leia esta seção com atenção antes de continuar. Várias atualizações podem ser necessárias.
Verificações de Pré-Atualização
Antes de prosseguir com qualquer atualização, você deve concluir todas as pré-verificações para ajudar a garantir que a atualização seja bem-sucedida.
Essas verificações de pré-upgrade validam o tamanho do banco de dados, os recursos de computação e o tamanho do disco de inicialização.
Verificar Tamanho do Banco de Dados via CLI
Use o comando request nms configuration-db diagnostic | i TotalStoreSize para obter o tamanho do banco de dados em bytes.
Do vshell execute o comando expr <número de bytes> / 1024 / 1024 / 1024 para converter esta saída em um valor inteiro em GB.
vmanage# request nms configuration-db diagnostics | i TotalStoreSize
| "StoreSizes" | "TotalStoreSize" | 3488298345 |
vmanage1# vshell
vmanage1:~$ expr 348829834 / 1024 / 1024 / 1024
3
Este exemplo mostra que o tamanho do banco de dados é 3 GB.
PARAR: se o tamanho do seu banco de dados for 5 GB ou maior Abra um TAC SR para obter assistência com esta atualização.
Se o tamanho do banco de dados for menor que 5 GB, prossiga com a atualização.
Verificar recursos de computação
Certifique-se de que os recursos de computação estejam de acordo com o 20.3 Compute Resources Guide.
- Verifique o vCPU com o comando lscpu | grep CPU\ MHz
vmanage1:~$ lscpu | grep CPU\ MHz
CPU MHz: 2999.658
vmanage1:~$- Verifique a memória com os comandos free -g | grep Mem e free — giga | grep Mem
vmanage1:~$ free -g | grep Mem
Mem: 31 21 7 0 2 9
vmanage1:~$ free --giga | grep Mem
Mem: 33 23 7 0 2 9
vmanage1:~$- Verifique o tamanho da terceira partição (/opt/data) com o comando df -kh
vmanage1:~$ df -kh | grep "/opt/data"
/dev/sdb 108G 24G 79G 23% /opt/data
vmanage1:~$Se os recursos de computação não estiverem de acordo com a versão 20.3, aumente os recursos de computação antes da atualização.
Verificar espaço no disco de inicialização com CLI
Use o comando df -kh | grep boot do vShell para determinar o tamanho do disco.
vmanage# vshell
vmanage:~$ df -kh | grep boot
/dev/sda1 5.0G 4.7G 343M 94% /boot
vmanage:~$
Este exemplo mostra que o /boot disk é 5.0G.
Aviso: se o disco de inicialização do vManage for menor que 2.5G, você deverá executar uma atualização em etapas até a versão 20.1
Atualização do vManage nas versões 18.4 e 19.x
Execute a atualização - vManage Standalone
Se o tamanho do disco de inicialização for menor que 2,5G, você deverá atualizar o vManage para a versão 20.1 antes de continuar.
- Faça o download da imagem 20.1.3.1 de https://software.cisco.com/download/home/286320995/type/286321394/release/20.1.3.1
- Siga as etapas em Upgrade your Controllers para concluir a atualização
Se o tamanho do disco for 2,5G ou superior, você poderá atualizar diretamente para 20.3.7.1.
- Faça o download da imagem 20.3.7.1 de https://software.cisco.com/download/home/286320995/type/286321394/release/20.3.7.1
- Siga as etapas em Upgrade your Controllers para concluir a atualização
Execute a atualização - vManage Cluster
Se o tamanho do disco for menor que 2,5G, você deverá atualizar o vManage para a versão 20.1.3.1 antes de continuar.
PARE: abra um TAC SR para obter assistência para a atualização de etapa no cluster vManage.
Se o tamanho do disco for 2,5G ou superior, você poderá atualizar diretamente para 20.3.7.1.
- Faça o download da imagem 20.3.7.1 de https://software.cisco.com/download/home/286320995/type/286321394/release/20.3.7.1
- Siga as etapas em Upgrade your Controllers para concluir a atualização
Atualização do vManage 20.1.x
Execute a atualização - vManage independente ou de cluster
- Faça o download da imagem 20.3.7.1 de https://software.cisco.com/download/home/286320995/type/286321394/release/20.3.7.1
- Siga as etapas em Upgrade your Controllers para concluir a atualização
Atualizar o vSmart e o vBond de 18.4, 19.x ou 20.1 para 20.3.7.1
O vSmarts e vBonds podem ser atualizados diretamente de todas as versões para 20.3.7.1.
- Faça o download da imagem 20.3.7.1 de https://software.cisco.com/download/home/286320995/type/286321394/release/20.3.7.1
- Siga as etapas da seção Upgrade vSmart para concluir a atualização
- Siga as etapas na seção Upgrade vBond para concluir a atualização
Atualizar o vEdge de 18.4, 19.x ou 20.1 para 20.3.7.1
Os dispositivos vSmarts, vBonds e vEdge podem ser atualizados diretamente de todas as versões para 20.3.7.1.
- Faça o download da imagem 20.3.7.1 de https://software.cisco.com/download/home/286320990/type/286321106/release/20.3.7.1
- Siga as etapas da seção Upgrade vEdge para concluir a atualização
Considerações sobre o pós-upgrade
Se as alterações de configuração foram feitas para aumentar os temporizadores de reinicialização de alto nível e os temporizadores de rechaveamento de IPSec antes da atualização, é recomendável reverter as configurações para as configurações que estavam em vigor antes da atualização para evitar um possível impacto desnecessário.
Consultoria especial
Os clientes que atualizaram seus controladores para versões anteriores a 20.3.7.1 e estão no processo de atualização de seus vEdges podem entrar em contato com o TAC para acessar as respectivas imagens vEdge.
Aviso sobre a ID de bug da Cisco CSCwd46600 
As versões anteriores deste documento recomendavam que os clientes fizessem a atualização para várias versões do 20.3.x (20.3.3.2, 20.3.5.1, 20.3.4.3, 20.3.7.1).
A Cisco recomenda que os clientes que executam a imagem 20.3.x atualizem seus controladores e vEdges para a imagem 20.3.7.1.
Os dispositivos que executam as versões 19.x e 20.3.x anteriores a 20.3.7.1, 20.4 e 20.6x anteriores a 20.6.5.1 podem encontrar o bug da Cisco ID CSCwd4600 após a atualização. Para resolver temporariamente esse problema, execute um destes comandos:
request security ipsec-rekey
or
request port-hop color
No entanto, é altamente recomendável que os clientes atualizem seus controladores e dispositivos vEdge para 20.3.7.1 ou 20.6.5.1.
Os clientes que atualizaram completamente todos os dispositivos vEdge para uma versão 20.3.x anterior a 20.3.7.1, 20.3.4.3 ou uma versão 20.6.x anterior a 20.6.5.1 com base em orientações anteriores podem optar por permanecer nesta versão se não tiverem sido afetados pelo bug. É recomendável atualizar para 20.3.7.1 ou 20.6.5.1 durante uma janela de manutenção programada em uma data posterior.
Recomendação para a versão de treinamento 20.6.x (revisada em 15 de maio, 0800 UTC)
As versões anteriores deste documento recomendavam que os clientes fizessem upgrade para várias versões do 20.6.x (20.6.3.2, 20.6.4.1, 20.6.5.2).
A Cisco recomenda que os clientes que executam a imagem 20.6.x e têm rastreadores configurados em uma interface atualizem seus controladores e bordas para a imagem 20.6.5.2.
Dispositivos com um rastreador configurado podem encontrar o bug da Cisco ID CSCvz44093 durante a atualização. Para evitar o impacto deste erro, você pode remover a configuração do rastreador antes da atualização.
É altamente recomendável que os clientes atualizem seus controladores e dispositivos vEdge para 20.6.5.2.
Os clientes que atualizaram completamente todos os dispositivos vEdge para 20.6.3.2 e 20.6.4.1 com base em orientações anteriores podem optar por permanecer nesta versão se não tiverem sido afetados pelo bug.
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
29.0 |
24-May-2023 |
Atualizações da seção de Consultoria Especial |
28.0 |
19-May-2023 |
Atualizações secundárias de informações de apoio |
27.0 |
18-May-2023 |
Adicionar mais detalhes às informações de fundo |
24.0 |
16-May-2023 |
Adicionada a família 100WM à declaração de modelos afetados. |
23.0 |
15-May-2023 |
Aviso especial para o treinamento da versão 20.6.x |
22.0 |
14-May-2023 |
Instruções adicionais para liberar espaço em disco com o caso TAC |
21.0 |
14-May-2023 |
Pequenas alterações de compatibilidade |
20.0 |
13-May-2023 |
Atualizações da matriz de compatibilidade para imagens preferenciais |
19.0 |
13-May-2023 |
Nota atualizada para mencionar plataformas adicionais que não sofreram impacto. Orientação para clientes sobre Especiais de Engenharia,
20.10/20.11 não têm imagens vEdge |
18.0 |
13-May-2023 |
várias opções de atualização para 20.5.x foram removidas. 20.6.5.2 é o caminho de atualização recomendado para o software 20.5.x |
17.0 |
12-May-2023 |
16/17 Orientação, atualizado 20.1 Verificação do BD de configuração |
16.0 |
12-May-2023 |
Atualização de recomendação revisada para alterações recomendadas no código 20.3.x. |
15.0 |
12-May-2023 |
Atualização de recomendação revisada para alterações recomendadas no código 20.3.x |
14.0 |
12-May-2023 |
Considerações sobre pós-atualização, 20.3 Recursos de computação |
13.0 |
11-May-2023 |
18.x/19.x Orientação para atualização, compatibilidade de hardware |
12.0 |
11-May-2023 |
SUDI sem impacto, orientação de certificação empresarial, seção de consultoria especial, orientação de atualização 20.3.x atualizada |
11.0 |
11-May-2023 |
Caminho atualizado para 18.x/19.x, orientação de ambiente misto, preparação |
10.0 |
11-May-2023 |
Link atualizado para 20.10.1.1 |
9.0 |
11-May-2023 |
Link atualizado para 20.3.3.2 |
8.0 |
11-May-2023 |
Atualização a partir de 10 de maio, às 22h00 (Horário do Pacífico) |
6.0 |
10-May-2023 |
Atualização a partir de 10 de maio, 19h30 (Horário do Pacífico) |
5.0 |
10-May-2023 |
Atualização a partir de 10 de maio, 17h30 (Horário do Pacífico) |
4.0 |
10-May-2023 |
Atualização a partir de 10 de maio, 15h30 (Horário do Pacífico) |
3.0 |
10-May-2023 |
Atualização alternativa 5/9 10PM PT |
2.0 |
10-May-2023 |
Atualizações de mitigação |
1.0 |
09-May-2023 |
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)