简介
本文档介绍如何识别具有过期证书的vEdge,该证书可能会影响控制连接和数据平面连接,并导致服务丢失。
背景信息
此问题会影响vEdge 100M、vEdge 100WM、vEdge 100B、vEdge 1000和vEdge 2000平台。 这是由2023年5月9日UTC上午6:57到期的公共根证书引起的。
注意:此事件不会影响以下平台:
1.运行Viptela OS的vEdge云、vEdge 5000和ISR 1100
2.运行XE SD-WAN软件的思科路由平台(物理和虚拟)
vEdge# show control local-properties
personality vedge
sp-organization-name CALO - 100589
organization-name CALO - 100589
root-ca-chain-status Installed
certificate-status Installed
certificate-validity Not Valid - certificate has expired <<<<<<<<<<<<<<<<<<<<
certificate-not-valid-before May 12 17:11:21 2013 GMT
certificate-not-valid-after Jan 19 03:14:07 2038 GMT
如果设备在“小时X”之后重新加载(即2023年5月9日UTC上午6:57),还会出现以下情况:
serial-num BOARD-ID-NOT-INITIALISED
注意:当vManage中的硬件WAN Edge证书授权设置为Enterprise Certificates或Onbox Certificates时,此问题适用。
这些情况可能会对vEdge造成影响:
- 丢失与vSmart的连接
- 丢失与vManage的连接
- Port-Hop
- 控制策略更改,例如网络中的拓扑更改
- 清除控制连接
- 接口摆动
- 设备重新加载
注意:在控制连接建立过程中,所有情况下控制器都会验证机上证书。使用企业证书时,会验证内部证书和企业证书。
注意:有关此行为的详细信息,请参阅Cisco Bug ID CSCwf28118。
避免服务中断的预防措施
为防止完全失去服务,请避免本节中的这些操作。
- 重新加载设备
- 更新策略
- 模板推送
注意:设备重新加载会导致平滑重启计时器重置,路由器无法重新连接到交换矩阵。如果不重新加载,数据平面(BFD)会话将保持运行,流量可以通过,直到平滑重启计时器超时,即使控制连接已关闭。
补救流程
思科发布了软件的升级版本,可永久解决此问题。在采取任何操作之前,请仔细阅读整个过程。
解决此问题的高级流程是:
- 执行预检查,为控制器的升级做好准备
- 将SD-WAN控制器升级到固定版本
- 在vEdge和控制器之间恢复控制和BFD连接
- 执行预检查以准备升级vEdge软件
- 将vEdge软件升级到固定版本
- 升级后的注意事项
此处引用了三种方案。补救步骤因适用于网络中每个vEdge的场景而异。
场景1:vEdge控制连接处于启用状态,并且vEdge尚未重新启动。
场景2:vEdge控制连接已关闭且尚未重新启动vEdge。
场景3:vEdge控制连接已关闭且已重新启动vEdge。
固定软件版本
思科将继续努力尽快构建和验证固定软件版本。在新版本经过验证并发布到Cisco.com时,更新此页面。
提示:使用Cisco.com上“软件下载”(Software Downloads)页面上的“我的通知”(My Notifications)功能,当您感兴趣的任何思科产品有新软件可用时收到通知。
使用所示的表根据当前版本确定可升级到的版本。可能支持多个升级路径。
当版本可用时,会添加更多版本。如果您的版本未在当前版本列中列出,则此时没有可用的升级路径。
提示:建议先将软件映像暂存到计划的维护窗口。 使用安装在窗口出现之前暂存映像。 请勿在此过程中选中Activate and Reboot复选框,否则,设备将在安装完成后立即完成升级。 这可确保缩短维护时段。
升级建议表
根据过期证书问题的修复程序,建议使用下表中的软件版本。此问题范围之外的升级必须按照产品文档中的说明以及基于您升级到的版本的Cisco SD-WAN发行版本注释来完成。
注意:思科强烈建议您留在当前的版本系列中,以减轻认证过期问题对生产的影响。例如,如果您当前使用的是20.3.2,请升级到20.3.7.1。
由于Cisco Bug ID CSCwf28118不会影响vEdge 5000、vEdge云和ISR 1100,因此当前无需升级vEdge 5000、vEdge云和ISR 1100。
注意:对于混合版本环境,请根据设备当前运行的映像按照下表中的建议执行软件升级。
检查兼容性表以确定任何可能的控制器/边缘兼容性问题,如果出现任何问题,请打开TAC SR获取支持。
注意:尚未升级到具有修复程序的映像的工程特殊(ES)映像客户需要打开TAC SR以获得进一步指导。
vEdge-2000兼容性
vEdge-2000支持的最后一个软件映像系列是20.9.x。
vEdge-100B、vEdge-100M、vEdge-1000兼容性
vEdge-100B、vEdge-100M和vEdge-1000支持的最后一个软件映像系列是20.6.x。使用中的当前版本和软件映像以识别建议的目标版本。
如果vEdge-100B、vEdge-100M和vEdge-1000恰好已经在20.7.x及更高版本上,请向TAC SR打开指南。
注意:由于可能对生产造成影响,我们建议客户仅在维护时段执行升级。在生产过程中进行任何额外更改之前,确保并确认网络稳定性。
SD-WAN控制器和vEdge软件兼容性矩阵
注意:思科强烈建议您留在当前的版本系列中,以减轻认证过期问题对生产的影响。
例如,如果您当前使用的是20.3.2,请升级到20.3.7.1。
证书修复程序的升级后,如果您选择从一个版本系列升级到另一个主要版本系列,思科建议您升级到该版本系列中的首选版本。
例如,对于认证后修复:如果您当前使用的是20.3.7.1,并计划升级到20.6版本系列,思科建议您升级到首选版本20.6.5.2版本。
SD-WAN控制器 |
vEdge 100M、vEdge 100B、vEdge 1000 |
vEdge 2000 |
20.3.3.21 |
20.3.3.21 |
20.3.3.21 |
20.3.4.31 |
20.3.3.21,20.3.4.31 |
20.3.3.21,20.3.4.31 |
20.3.5.11 |
20.3.3.21,20.3.4.31,20.3.5.11 |
20.3.3.21,20.3.4.31,20.3.5.11 |
20.3.7.12 |
20.3.3.21、20.3.4.31、20.3.5.11、20.3.7.12 |
20.3.3.21、20.3.4.31、20.3.5.11、20.3.7.12 |
20.4.2.3 |
20.3.3.21,20.3.7.12,20.4.2.3 |
20.3.3.21,20.3.7.12,20.4.2.3 |
20.6.1.2 |
20.6.1.2 |
20.6.1.2 |
20.6.3.2 |
20.3.3.21、20.3.4.31、20.3.5.11、20.3.7.12、20.4.2.3、20.6.1.2、20.6.3.2 |
20.3.3.21、20.3.4.31、20.3.5.11、20.3.7.12、20.4.2.3、20.6.1.2、20.6.3.2 |
20.6.4.1 |
20.3.3.21、20.3.4.31、20.3.5.11、20.4.2.3、20.6.1.2、20.6.3.2、20.6.4.1 |
20.3.3.21、20.3.4.31、20.3.5.11、20.4.2.3、20.6.1.2、20.6.3.2、20.6.4.1 |
20.6.5.22 |
20.3.3.21、20.3.4.31、20.3.5.11、20.3.7.12、20.4.2.3、20.6.1.2、20.6.3.2、20.6.4.1、20.6.5.22 |
20.3.3.21、20.3.4.31、20.3.5.11、20.3.7.12、20.4.2.3、20.6.1.2、20.6.3.2、20.6.4.1、20.6.5.22 |
20.9.3.12 |
20.3.3.21、20.3.4.31、20.3.5.11、20.3.7.12、20.4.2.3、20.6.1.2、20.6.3.2、20.6.4.1、20.6.5.22 |
20.3.3.21、20.3.4.31、20.3.5.11、20.3.7.12、20.4.2.3、20.6.1.2、20.6.3.2、20.6.4.1、20.6.5.22、20.9.3.12 |
20.10.1.1 |
20.6.1.2,20.6.3.2,20.6.4.1 |
20.6.1.2,20.6.3.2,20.6.4.1 |
20.11.1.1 |
20.6.1.2、20.6.3.2、20.6.4.1、20.6.5.22 |
20.6.1.2、20.6.3.2、20.6.4.1、20.6.5.22、20.9.3.12 |
1此映像不再可供下载。对于已经部署了它们的客户,它们都有相关记录。
2表示包含证书修复程序的首选版本。
在控制器升级之前执行的预检查
备份控制器
- 如果云托管,请确认已完成最新备份,或启动下一步中提到的config db备份。
- 您可以查看当前备份并从SSP门户触发按需快照。 在此处查找更多指导。
- 如果内置,请获取控制器的config-db备份和VM快照。
vManage# request nms configuration-db backup path /home/admin/db_backup
successfully saved the database to /home/admin/db_backup.tar.gz
- 如果是本地,请收集show running-config并将其保存在本地。
- 如果是内部版,请确保您知道neo4j密码,并记录到您的准确当前版本。
运行AURA检查
确保发送至控制器/发送至vBond已完成
检查vManage Statistics Collection Interval
思科建议Administration > Settings中的Statistics Collection Interval设置为默认计时器30分钟。
注意:思科建议在升级之前将vSmarts和vBonds附加到vManage模板。
验证vSmart和vBond上的磁盘空间
使用命令df -kh | grep boot from vShell以确定磁盘的大小。
controller:~$ df -kh | grep boot
/dev/sda1 2.5G 232M 2.3G 10% /boot
controller:~$
如果大小大于200 MB,请继续升级控制器。
如果大小小于200 MB,请执行以下步骤:
1.验证当前版本是show software命令下列出的唯一版本。
VERSION ACTIVE DEFAULT PREVIOUS CONFIRMED TIMESTAMP
------------------------------------------------------------------------------
20.11.1 true true false auto 2023-05-02T16:48:45-00:00
20.9.1 false false true user 2023-05-02T19:16:09-00:00
20.8.1 false false false user 2023-05-10T10:57:31-00:00
2.在show software version命令下,验证当前版本是否设置为默认值。
controller# request software set-default 20.11.1
status mkdefault 20.11.1: successful
controller#
3.如果列出了更多版本,请使用request software remove <version>命令删除任何未处于活动状态的版本。这会增加可用于继续升级的空间。
controller# request software remove 20.9.1
status remove 20.9.1: successful
vedge-1# show software
VERSION ACTIVE DEFAULT PREVIOUS CONFIRMED TIMESTAMP
------------------------------------------------------------------------------
20.11.1 true true false auto 2023-05-02T16:48:45-00:00
controller#
4.检查磁盘空间以确保大于200 MB。如果不是,请打开TAC SR。
升级您的控制器
以下是针对每个客户执行的后续步骤的摘要。
- 将新软件版本上传到升级存储库。
- 确保选择了具有此问题修复程序的控制器映像。
- 按照此顺序使用映像修复升级控制器。
1. vManage
2. vBond
3. vSmart
注意:如果通过CLI继续控制器升级,请记住执行“request software upgrade-confirm”。
vManage独立升级
对于独立vManage,必须执行以下步骤:
- 将映像复制到vManage Maintenance > Software repository
- 使用vManage Maintenance>软件升级进行升级
- 单击Upgrade,然后等待升级完成
- 导航回同一页面,点击vManage,然后点击Activate
vManage集群升级
对于集群升级,必须遵循Cisco SD-WAN入门指南 — 集群管理[Cisco SD-WAN] — 思科指南中提到的步骤。
注意:如果您在升级集群时遇到任何问题或问题,请在继续之前联系TAC。
vBond升级
vBond升级使用与vManage升级相同的过程。
警告:vBonds必须按顺序升级。在进入下一阶段之前,验证每个vBond的升级是否已完成。
- 将映像复制到vManage Maintenance > Software repository
- 使用vManage Maintenance > Software upgrade升级
- 单击Upgrade,然后等待升级完成
- 导航回同一页面,点击vManage,然后点击Activate
- 在vBond上使用命令show orchestrator connections进行验证
- 在vManage上使用show control connections命令进行验证
vSmart升级
vSmart升级使用与vManage升级相同的流程。
警告:必须按顺序升级vSmarts。在进入下一阶段之前,验证已在每个vSmart上完成升级。
- 将映像复制到vManage Maintenance > Software repository
- 从vManage UI Maintenance > Software upgrade升级vSmart
- 单击Upgrade并等待升级完成
- 导航回同一页面。选择vSmart,然后点击激活
- 使用vSmart上的show control connections命令验证升级后会话是否已恢复
注意:在软件升级期间,vSmart重新启动时,设备会平稳重启而不会影响网络。
验证所有控制器升级后是否建立了控制连接
对于场景1和场景2中升级控制器后的所有vEdge,必须恢复控制和BFD连接。
升级vEdge
注意:vEdge升级是完全防止vEdge路由器重新通电过程的最后一步,如场景3所述。
注意:建议在计划的维护时段之前暂存vEdge软件映像。 使用安装在窗口出现之前暂存映像。 请勿在此过程中选中Activate and Reboot复选框,否则,设备将在安装完成后立即完成升级。 这可确保缩短维护时段。
您可以通过以下方式从vManage一次将图像加载到多个vEdge:
1.导航至vManage UI。导航到维护>软件存储库。加载vEdge图像。选择需要升级的设备后,您可以导航到维护>软件升级,然后单击升级。
2.导航至vManage UI。导航到维护>软件存储库。单击Add new software。单击Remote server。输入控制器版本、vEdge版本和存储映像的FTP/HTTP URL的完整路径。例如,ftp://<username>:<password>@<FTP server>/<path>/<image name>。使用Remote server选项选择需要升级的设备后,您可以导航到Maintenance > Software Upgrade,然后单击Upgrade。
在vEdge升级之前进行预检查
注意:如果跳过这些预检查,vEdge升级可能会因磁盘空间不足而失败。
1.验证当前版本是show software命令下列出的唯一版本。
VERSION ACTIVE DEFAULT PREVIOUS CONFIRMED TIMESTAMP
------------------------------------------------------------------------------
20.11.1 true true false auto 2023-05-02T16:48:45-00:00
20.9.1 false false true user 2023-05-02T19:16:09-00:00
20.8.1 false false false user 2023-05-10T10:57:31-00:00
2.在show software version命令下,验证当前版本是否设置为默认值。
vedge-1# request software set-default 20.11.1
status mkdefault 20.11.1: successful
vedge-1#
3.如果列出了更多版本,请使用request software remove <version>命令删除任何未处于活动状态的版本。这会增加可用于继续升级的空间。
vedge-1# request software remove 20.9.1
status remove 20.9.1: successful
vedge-1# show software
VERSION ACTIVE DEFAULT PREVIOUS CONFIRMED TIMESTAMP
------------------------------------------------------------------------------
20.11.1 true true false auto 2023-05-02T16:48:45-00:00
vedge-1#
4.使用vShell和命令df -h确认有足够的可用磁盘空间来执行升级。
VEDGE-1000-AC-K9# vshel
VEDGE-1000-AC-K9:~$ df -h
Filesystem Size Used Avail Use% Mounted on
none 1.4G 8.0K 1.4G 1% /dev
/dev/sda1 1013M 518M 445M 54% /boot
/dev/loop0 78M 78M 0 100% /rootfs.ro
/dev/sda2 6.0G 178M 5.5G 4% /rootfs.rw
aufs 6.0G 178M 5.5G 4% /
tmpfs 1.4G 300K 1.4G 1% /run
shm 1.4G 48K 1.4G 1% /dev/shm
tmp 600M 84K 600M 1% /tmp
tmplog 120M 37M 84M 31% /var/volatile/log/tmplog
svtmp 1.0M 312K 712K 31% /etc/sv
5.如果/tmp已满,请打开TAC SR以获得帮助,以便在升级之前清除/tmp/tmp目录中的空间。
vEdge Upgrade Scenario 1:控制连接处于启用状态且vEdge尚未重新启动
将控制器升级到带修复程序的版本后,未重新启动的vEdge设备将自动重新建立连接。
重要:此状态下的vEdge设备需要升级。必须尽快予以优先排序和规划。如果需要,请尽快在非工作时间执行。 规划设备的升级,以避免由于设备的任何重新启动或电源重启而影响控制平面和数据平面。设备在升级之前不能重新启动。
要升级vEdge,请按照下列步骤操作:
- 通过维护>软件存储库将新vEdge软件复制到vManage
- 从vManage Maintenance > Software upgrade升级vEdge
- 点击Upgrade并等待升级完成
- 导航回同一页面。选择vEdge,然后单击Activate
升级后验证
- 检验控制连接和BFD会话
- 验证OMP路由和服务VPN路由 — 在vEdge和集线器/其他节点之间的每个服务VPN网段上测试端到端ping
- 检查升级后注意事项
vEdge升级场景2:控制连接已关闭,并且vEdge未重新启动
将控制器升级到带修复程序的版本后,未重新启动的vEdge设备将自动重新建立连接。
重要:此状态下的vEdge设备需要升级。必须尽快予以优先排序和规划。如果需要,请尽快在非工作时间执行。 规划设备的升级,以避免由于设备的任何重新启动或电源重启而影响控制平面和数据平面。设备在升级之前不能重新启动。
要升级vEdge,请按照下列步骤操作:
- 通过维护>软件存储库将新vEdge软件复制到vManage
- 从vManage Maintenance > Software upgrade升级vEdge
- 点击Upgrade并等待升级完成
- 导航回同一页面。选择vEdge,然后单击Activate
升级后验证
- 检验控制连接和BFD会话
- 验证OMP路由和服务VPN路由 — 在vEdge和集线器/其他节点之间的每个服务VPN网段上测试端到端ping
- 检查升级后注意事项
场景3:vEdge,控制连接关闭,设备重新启动/重新通电
此输出显示证书过期后已重新启动的vEdge设备。使用命令show control local-properties | inc serial并确认输出显示BOARD-ID-NOT-INITIALIZED。
vedge# show control local-properties | inc serial
serial-num BOARD-ID-NOT-INITIALISED
subject-serial-num N/A
enterprise-serial-num No certificate installed
vedge#
更改vEdge上的日期/时间以恢复控制连接
这些步骤需要带外访问vEdge设备,例如控制台或直接SSH。
在控制连接关闭的vEdge上,将时钟回滚到2023年5月5日(例如,#clock set date 2023-05-05 time 15:49:00.000)。
vedge# clock set date 2023-05-05 time 10:23:00
vedge# show clock
Mon May 5 10:23:37 UTC 2023
vedge#
等待2-3分钟,使board-id初始化。选中show control local-properties以确保设备现在具有输出中显示的编号。
vedge# show control local-properties | inc serial
serial-num 10024640
subject-serial-num N/A
enterprise-serial-num No certificate installed
vedge#
(可选)如果board-id初始化在2-3分钟内没有发生,请重新加载vEdge并检查show control local-properties输出,以确保设备现在在输出中列出了其序列号
一旦板ID初始化,则使用show certificate validity命令验证证书
vedge# show certificate validity
The certificate issued by c33d2cf4-e586-4df4-ac72-298422644ba3 is valid from Sep 7 02:50:16 2021 GMT (Current date is Mon May 1 10:25:03 GMT 2023) & valid until Sep 5 02:50:16 2031 GMT
vedge#
成功恢复控制连接后,使用YYYY-MM-DD和HH:MM::SS格式将时钟更正为当前时间,表示日期和时间。
此示例仅用于说明目的。始终将日期和时间设置为当前时间。
vedge# clock set date YYYY-MM-DD time HH:MM::SS
vedge# show clock
Wed May 10 10:23:37 UTC 2023
vedge#
使用命令show control connections验证控制连接是否处于启用状态。
vedge# show control connections
PEER PEER CONTROLLER
PEER PEER PEER SITE DOMAIN PEER PRIV PEER PUB GROUP
TYPE PROT SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR PROXY STATE UPTIME ID
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
vsmart dtls 10.3.3.1 10 1 192.168.24.112 12346 192.168.24.112 12346 private1 No up 0:14:33:46 0
vsmart dtls 10.3.3.1 10 1 192.168.24.112 12346 192.168.24.112 12346 private2 No up 0:14:33:46 0
vbond dtls 0.0.0.0 0 0 192.168.28.122 12346 192.168.28.122 12346 private1 - up 0:14:33:47 0
vbond dtls 0.0.0.0 0 0 192.168.28.122 12346 192.168.28.122 12346 private2 - up 0:14:33:47 0
vmanage dtls 10.1.1.1 10 0 192.168.25.209 12346 192.168.25.209 12346 private1 No up 0:14:33:46 0
注:此状态下的vEdge设备需要升级。必须尽快予以优先排序和规划。如果需要,在非工作时间执行“维护时段”操作。 规划设备升级,以避免由于设备的任何重新启动或电源重启而受到影响。设备在升级之前不能重新启动。
要升级vEdge,请使用以下步骤:
- 通过Maintenance > Software repository将vEdge映像修复程序复制到vManage
- 从vManage UI Maintenance > Software upgrade升级vEdge
- 单击Upgrade并等待升级完成
- 导航回同一页面。选择vEdge,然后单击Activate
·验证控制连接和BFD会话是否处于工作状态
·检验OMP路由和服务VPN路由 — 在vEdge和集线器/其他节点之间的每个服务VPN网段上测试端到端ping
- 检查升级后注意事项
18.4、19.x和20.1升级程序(2003年5月13日修订版UTC)
所有版本18.4、19.x和20.1.x的升级都必须升级到版本20.3.7.1。
本节已经过修改,说明使用小于2.5G的引导磁盘将vManage升级到20.1.3.1,而不是20.1.3。
新的20.1.3.1 vManage软件包括更新的证书,允许设备在执行第二次升级到20.3.7.1的过程中进行连接。
注意:请仔细阅读此部分,然后再继续。可能需要多次升级。
升级前检查
在继续任何升级之前,您必须完成所有预检查以帮助确保升级成功。
这些升级前检查将验证数据库、计算资源和启动磁盘的大小。
通过CLI检查数据库大小
使用命令request nms configuration-db diagnostic | i TotalStoreSize,获取数据库的大小(字节)。
从vshell执行命令expr <number of bytes> / 1024 / 1024 / 1024,将此输出转换为以GB为单位的整数值。
vmanage# request nms configuration-db diagnostics | i TotalStoreSize
| "StoreSizes" | "TotalStoreSize" | 3488298345 |
vmanage1# vshell
vmanage1:~$ expr 348829834 / 1024 / 1024 / 1024
3
此示例显示数据库大小为3 GB。
如果数据库大小小于5GB,则继续升级。
验证计算资源
确保计算资源符合20.3计算资源指南。
- 使用命令lscpu检查vCPU | grep CPU\ MHz
vmanage1:~$ lscpu | grep CPU\ MHz
CPU MHz: 2999.658
vmanage1:~$
- 使用free -g命令检查内存 | grep Mem and free —giga | grep Mem
vmanage1:~$ free -g | grep Mem
Mem: 31 21 7 0 2 9
vmanage1:~$ free --giga | grep Mem
Mem: 33 23 7 0 2 9
vmanage1:~$
- 使用命令df -kh检查第三分区(/opt/data)大小
vmanage1:~$ df -kh | grep "/opt/data"
/dev/sdb 108G 24G 79G 23% /opt/data
vmanage1:~$
如果计算资源与20.3不一致,请在升级之前增加计算资源。
使用CLI检查引导磁盘空间
使用命令df -kh | grep boot from vShell以确定磁盘的大小。
vmanage# vshell
vmanage:~$ df -kh | grep boot
/dev/sda1 5.0G 4.7G 343M 94% /boot
vmanage:~$
此示例显示/boot disk为5.0G。
警告:如果vManage启动磁盘小于2.5G,则必须执行逐步升级至版本20.1
在版本18.4和19.x上升级vManage
执行升级 — vManage Standalone
如果引导磁盘的大小小于2.5G,则必须将vManage升级到版本20.1,然后继续。
- 从https://software.cisco.com/download/home/286320995/type/286321394/release/20.1.3.1下载20.1.3.1映像
- 执行升级控制器中的步骤以完成升级
如果磁盘大小为2.5G或更高,您可以直接升级到20.3.7.1。
- 从https://software.cisco.com/download/home/286320995/type/286321394/release/20.3.7.1下载20.3.7.1映像
- 执行升级控制器中的步骤以完成升级
执行升级 — vManage集群
如果磁盘大小小于2.5G,则必须将vManage升级到版本20.1.3.1,然后继续。
如果磁盘大小为2.5G或更高,您可以直接升级到20.3.7.1。
- 从https://software.cisco.com/download/home/286320995/type/286321394/release/20.3.7.1下载20.3.7.1映像
- 执行升级控制器中的步骤以完成升级
升级vManage 20.1.x
执行升级 — vManage独立或集群
- 从https://software.cisco.com/download/home/286320995/type/286321394/release/20.3.7.1下载20.3.7.1映像
- 执行升级控制器中的步骤以完成升级
将vSmart和vBond从18.4、19.x或20.1升级到20.3.7.1
vSmarts和vBonds可以直接从所有版本升级到20.3.7.1。
- 从https://software.cisco.com/download/home/286320995/type/286321394/release/20.3.7.1下载20.3.7.1映像
- 执行升级vSmart部分中的步骤以完成升级
- 执行升级vBond部分中的步骤以完成升级
将vEdge从18.4、19.x或20.1升级到20.3.7.1
vSmarts、vBonds和vEdge设备可以直接从所有版本升级到20.3.7.1。
- 从https://software.cisco.com/download/home/286320990/type/286321106/release/20.3.7.1下载20.3.7.1映像
- 执行升级vEdge部分中的步骤以完成升级
升级后的注意事项
如果在升级之前更改了配置以增加平滑重启计时器和IPSec重新生成密钥计时器,则建议将配置回滚到升级之前已设置的设置,以避免潜在的不必要影响。
特别建议
将控制器升级到早于20.3.7.1版本并正在升级其vEdge的客户可以联系TAC以访问相应的vEdge映像了。
关于Cisco Bug ID CSCwd46600的建议
本文档的早期版本建议客户升级到多个版本的20.3.x(20.3.3.2、20.3.5.1、20.3.4.3、20.3.7.1)。
思科建议运行映像20.3.x的客户将其控制器和vEdge升级到映像20.3.7.1。
在升级后,运行早于20.3.7.1、20.4和20.6x版本(早于20.6.5.1)的19.x和20.3.x版本的设备可能会遇到思科漏洞ID CSCwd46600。要暂时解决此问题,请运行以下任一命令:
request security ipsec-rekey
或
request port-hop color
但是,强烈建议客户将其控制器和vEdge设备升级到20.3.7.1或20.6.5.1。
如果客户已根据之前的指南将所有vEdge设备完全升级到20.3.7.1、20.3.4.3之前的20.3.x版本,或20.6.5.1之前的20.6.x版本,则如果他们没有受到该漏洞的影响,可以选择继续使用此版本。建议以后在计划的维护时段升级到20.3.7.1或20.6.5.1。
20.6.x版本系列建议(修订日期:5月15日,0800 UTC)
本文档的早期版本建议客户升级到几个版本的20.6.x(20.6.3.2、20.6.4.1、20.6.5.2)。
Cisco建议运行映像20.6.x并在接口上配置跟踪器的客户将其控制器和vEdge升级到映像20.6.5.2。
在升级过程中,配置了跟踪器的设备可能会遇到Cisco Bug ID CSCvz44093。 为了避免此Bug的影响,您可以在升级之前删除跟踪器配置。
强烈建议客户将其控制器和vEdge设备升级到20.6.5.2。
如果客户已经根据之前的指导将所有vEdge设备完全升级到20.6.3.2和20.6.4.1,那么如果他们没有受到漏洞的影响,可以选择继续使用本版本。