识别2023年5月9日过期的vEdge证书

已更新: 2023 年 5 月 24 日
文档 ID:220448

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍如何识别具有过期证书的vEdge,该证书可能会影响控制连接和数据平面连接,并导致服务丢失。

    背景信息

    此问题会影响vEdge 100M、vEdge 100WM、vEdge 100B、vEdge 1000和vEdge 2000平台。  这是由2023年5月9日UTC上午6:57到期的公共根证书引起的。

    note-icon

    注意:此事件不会影响以下平台:

    1.运行Viptela OS的vEdge云、vEdge 5000和ISR 1100

    2.运行XE SD-WAN软件的思科路由平台(物理和虚拟)

    vEdge# show control local-properties
    personality                       vedge
    sp-organization-name              CALO - 100589
    organization-name                 CALO - 100589
    root-ca-chain-status              Installed
    certificate-status                Installed
    certificate-validity              Not Valid -  certificate has expired    <<<<<<<<<<<<<<<<<<<<
    certificate-not-valid-before      May 12 17:11:21 2013 GMT
    certificate-not-valid-after       Jan 19 03:14:07 2038 GMT

    如果设备在“小时X”之后重新加载(即2023年5月9日UTC上午6:57),还会出现以下情况:

    serial-num BOARD-ID-NOT-INITIALISED
    caution-icon

    注意:当vManage中的硬件WAN Edge证书授权设置为Enterprise Certificates或Onbox Certificates时,此问题适用。

    这些情况可能会对vEdge造成影响:

    1. 丢失与vSmart的连接
    2. 丢失与vManage的连接
    3. Port-Hop 
    4. 控制策略更改,例如网络中的拓扑更改
    5. 清除控制连接
    6. 接口摆动
    7. 设备重新加载
    note-icon

    注意:在控制连接建立过程中,所有情况下控制器都会验证机上证书。使用企业证书时,会验证内部证书和企业证书。

    意:有关此行为的详细信息,请参阅Cisco Bug ID CSCwf28118

    避免服务中断的预防措施

    为防止完全失去服务,请避免本节中的这些操作。

    1. 重新加载设备
    2. 更新策略
    3. 模板推送

    注意:设备重新加载会导致平滑重启计时器重置,路由器无法重新连接到交换矩阵。如果不重新加载,数据平面(BFD)会话将保持运行,流量可以通过,直到平滑重启计时器超时,即使控制连接已关闭。

    补救流程

    思科发布了软件的升级版本,可永久解决此问题。在采取任何操作之前,请仔细阅读整个过程。 

    解决此问题的高级流程是:

    1. 执行预检查,为控制器的升级做好准备
    2. 将SD-WAN控制器升级到固定版本
    3. 在vEdge和控制器之间恢复控制和BFD连接 
    4. 执行预检查以准备升级vEdge软件
    5. 将vEdge软件升级到固定版本
    6. 升级后的注意事项

    此处引用了三种方案。补救步骤因适用于网络中每个vEdge的场景而异。

    场景1:vEdge控制连接处于启用状态,并且vEdge尚未重新启动。

    场景2:vEdge控制连接已关闭且尚未重新启动vEdge。

    场景3:vEdge控制连接已关闭且已重新启动vEdge。 

    固定软件版本

    思科将继续努力尽快构建和验证固定软件版本。在新版本经过验证并发布到Cisco.com时,更新此页面。 

    tip-icon

    提示:使用Cisco.com上“软件下载”(Software Downloads)页面上的“我的通知”(My Notifications)功能,当您感兴趣的任何思科产品有新软件可用时收到通知。

    使用所示的表根据当前版本确定可升级到的版本。可能支持多个升级路径。

    当版本可用时,会添加更多版本。如果您的版本未在当前版本列中列出,则此时没有可用的升级路径。

    tip-icon

    提示:建议先将软件映像暂存到计划的维护窗口。 使用安装在窗口出现之前暂存映像。 请勿在此过程中选中Activate and Reboot复选框,否则,设备将在安装完成后立即完成升级。 这可确保缩短维护时段。

    note-icon

    注意:为了确保思科映像的完整性,客户可以采用常见的最佳实践来使用为映像提供的SHA校验和对其进行验证。 思科提供批量散列文件,作为客户从思科软件下载页面重新验证已下载映像的有用工具。有关更多详细信息,请访问https://www.cisco.com/c/en/us/about/trust-center/downloads.html

    升级建议表

    根据过期证书问题的修复程序,建议使用下表中的软件版本。此问题范围之外的升级必须按照产品文档中的说明以及基于您升级到的版本的Cisco SD-WAN发行版本注释来完成。

    note-icon

    意:思科强烈建议您留在当前的版本系列中,以减轻认证过期问题对生产的影响。例如,如果您当前使用的是20.3.2,请升级到20.3.7.1。

    由于Cisco Bug ID CSCwf28118不会影响vEdge 5000、vEdge云和ISR 1100,因此当前无需升级vEdge 5000、vEdge云和ISR 1100。

    当前版本

    升级版本

    下载链接

    所有早于18.4的版本

    20.3.7.1

    致电TAC提交服务请求。 

    18.4

    19.x

    20.1.x

    20.3.7.1

    阅读18.4、19.x和20.1的升级过程

    20.3.x

     20.3.7.1

    Vedge软件

    https://software.cisco.com/download/home/286320990/type/286321106/release/20.3.7.1

    SD-WAN软件更新 

    https://software.cisco.com/download/home/286320995/type/286321394/release/20.3.7.1

    请阅读有关以前建议版本的本特别建议。

    20.4.1 

    20.4.1.1 

    20.4.1.2 
    20.4.2 

    20.4.2.3 

    Vedge软件

    https://software.cisco.com/download/home/286320990/type/286321106/release/20.4.2.3

    SD-WAN软件更新 

    https://software.cisco.com/download/home/286320995/type/286321394/release/20.4.2.3

    在升级之前,请阅读本特殊建议。

    20.6.1.1 

    20.6.1.2 

    vEdge软件 

    https://software.cisco.com/download/home/286320990/type/286321106/release/20.6.1.2

    SD-WAN软件更新

    https://software.cisco.com/download/home/286320995/type/286321394/release/20.6.1.2

    20.6.2

    20.6.3.1

    20.6.3.2

    vEdge软件:

    https://software.cisco.com/download/home/286320990/type/286321106/release/20.6.3.2

    SD-WAN软件更新:

    https://software.cisco.com/download/home/286320995/type/286321394/release/20.6.3.2

    在升级之前,请阅读本特殊建议。

    20.6.4 

    20.6.4.1 

    vEdge软件
    https://software.cisco.com/download/home/286320990/type/286321106/release/20.6.4.1

    SD-WAN软件更新
    https://software.cisco.com/download/home/286320995/type/286321394/release/20.6.4.1

    在升级之前,请阅读本特殊建议。

    20.5.x
    20.6.5 

    20.6.5.2 

    vEdge软件
    https://software.cisco.com/download/home/286320990/type/286321106/release/20.6.5.2

    SD-WAN软件更新
    https://software.cisco.com/download/home/286320995/type/286321394/release/20.6.5.2

    20.7.x 

    20.8.x 

    20.9.x 

    20.9.3.1 

    vEdge软件
    https://software.cisco.com/download/home/286320990/type/286321106/release/20.9.3.1

    请阅读此说明,了解与此版本相关的vEdge硬件兼容性。

    SD-WAN软件更新
    https://software.cisco.com/download/home/286320995/type/286321394/release/20.9.3.1

    20.10

    20.10.1.1

    SD-WAN软件更新

    https://software.cisco.com/download/home/286320995/type/286321394/release/20.10.1.1

    检查兼容性表以选择vEdge软件版本。

    20.11.1 

    20.11.1.1 

    SD-WAN软件更新

    https://software.cisco.com/download/home/286320995/type/286321394/release/20.11.1.1

    检查兼容性表以选择vEdge软件版本。
    note-icon

    注意:对于混合版本环境,请根据设备当前运行的映像按照下表中的建议执行软件升级。

    检查兼容性表以确定任何可能的控制器/边缘兼容性问题,如果出现任何问题,请打开TAC SR获取支持。

    note-icon

    意:尚未升级到具有修复程序的映像的工程特殊(ES)映像客户需要打开TAC SR以获得进一步指导。

    vEdge-2000兼容性

    vEdge-2000支持的最后一个软件映像系列是20.9.x。

    vEdge-100B、vEdge-100M、vEdge-1000兼容性

    vEdge-100B、vEdge-100M和vEdge-1000支持的最后一个软件映像系列是20.6.x。使用中的当前版本和软件映像以识别建议的目标版本。

    如果vEdge-100B、vEdge-100M和vEdge-1000恰好已经在20.7.x及更高版本上,请向TAC SR打开指南。

    caution-icon

    注意:由于可能对生产造成影响,我们建议客户仅在维护时段执行升级。在生产过程中进行任何额外更改之前,确保并确认网络稳定性。

    SD-WAN控制器和vEdge软件兼容性矩阵

    note-icon

    意:思科强烈建议您留在当前的版本系列中,以减轻认证过期问题对生产的影响。

    例如,如果您当前使用的是20.3.2,请升级到20.3.7.1。

    证书修复程序的升级后,如果您选择从一个版本系列升级到另一个主要版本系列,思科建议您升级到该版本系列中的首选版本。

    例如,对于认证后修复:如果您当前使用的是20.3.7.1,并计划升级到20.6版本系列,思科建议您升级到首选版本20.6.5.2版本。

    SD-WAN控制器

    vEdge 100M、vEdge 100B、vEdge 1000

    vEdge 2000

    20.3.3.21

    20.3.3.21

    20.3.3.21

    20.3.4.31

    20.3.3.21,20.3.4.31

    20.3.3.21,20.3.4.31

    20.3.5.11

    20.3.3.21,20.3.4.31,20.3.5.11

    20.3.3.21,20.3.4.31,20.3.5.11

    20.3.7.12

    20.3.3.21、20.3.4.31、20.3.5.1120.3.7.12

    20.3.3.21、20.3.4.31、20.3.5.1120.3.7.12

    20.4.2.3

    20.3.3.21,20.3.7.12,20.4.2.3

    20.3.3.21,20.3.7.12,20.4.2.3

    20.6.1.2

    20.6.1.2

    20.6.1.2

    20.6.3.2

    20.3.3.21、20.3.4.31、20.3.5.1120.3.7.12、20.4.2.3、20.6.1.2、20.6.3.2

    20.3.3.21、20.3.4.31、20.3.5.1120.3.7.12、20.4.2.3、20.6.1.2、20.6.3.2

    20.6.4.1

    20.3.3.21、20.3.4.31、20.3.5.11、20.4.2.3、20.6.1.2、20.6.3.2、20.6.4.1

    20.3.3.21、20.3.4.31、20.3.5.11、20.4.2.3、20.6.1.2、20.6.3.2、20.6.4.1

    20.6.5.22

    20.3.3.21、20.3.4.31、20.3.5.1120.3.7.12、20.4.2.3、20.6.1.2、20.6.3.2、20.6.4.1、20.6.5.22

    20.3.3.21、20.3.4.31、20.3.5.1120.3.7.12、20.4.2.3、20.6.1.2、20.6.3.2、20.6.4.1、20.6.5.22

    20.9.3.12

    20.3.3.21、20.3.4.31、20.3.5.1120.3.7.12、20.4.2.3、20.6.1.2、20.6.3.2、20.6.4.1、20.6.5.22

    20.3.3.21、20.3.4.31、20.3.5.11、20.3.7.12、20.4.2.3、20.6.1.2、20.6.3.2、20.6.4.1、20.6.5.2220.9.3.12

    20.10.1.1

    20.6.1.2,20.6.3.2,20.6.4.1

    20.6.1.2,20.6.3.2,20.6.4.1

    20.11.1.1

    20.6.1.2、20.6.3.2、20.6.4.1、20.6.5.22

    20.6.1.2、20.6.3.2、20.6.4.1、20.6.5.2220.9.3.12

    1此映像不再可供下载。对于已经部署了它们的客户,它们都有相关记录。

    2表示包证书修复程序的首选版本。 

    在控制器升级之前执行的预检查

    备份控制器

    • 如果云托管,请确认已完成最新备份,或启动下一步中提到的config db备份。
      • 您可以查看当前备份并从SSP门户触发按需快照。  在此处查找更多指导
    • 如果内置,请获取控制器的config-db备份和VM快照。
    vManage# request nms configuration-db backup path /home/admin/db_backup
    successfully saved the database to /home/admin/db_backup.tar.gz
    • 如果是本地,请收集show running-config并将其保存在本地。
    • 如果是内部版,请确保您知道neo4j密码,并记录到您的准确当前版本。 

    运行AURA检查

    确保发送至控制器/发送至vBond已完成

    检查vManage Statistics Collection Interval

    思科建议Administration > Settings中的Statistics Collection Interval设置为默认计时器30分钟。

    note-icon

    意:思科建议在升级之前将vSmarts和vBonds附加到vManage模板。

    验证vSmart和vBond上的磁盘空间

    使用命令df -kh | grep boot from vShell以确定磁盘的大小。

    controller:~$ df -kh | grep boot
/dev/sda1       2.5G  232M  2.3G  10% /boot
controller:~$

    如果大小大于200 MB,请继续升级控制器。 

    如果大小小于200 MB,请执行以下步骤:

    1.验证当前版本是show software命令下列出的唯一版本。

    VERSION    ACTIVE   DEFAULT PREVIOUS  CONFIRMED TIMESTAMP 
    ------------------------------------------------------------------------------
    20.11.1     true    true    false    auto     2023-05-02T16:48:45-00:00 
    20.9.1      false   false   true     user     2023-05-02T19:16:09-00:00 
    20.8.1      false   false   false    user     2023-05-10T10:57:31-00:00

    2.在show software version命令下,验证当前版本是否设置为默认值。

    controller# request software set-default 20.11.1
    status mkdefault 20.11.1: successful
    controller#

    3.如果列出了更多版本,请使用request software remove <version>命令删除任何未处于活动状态的版本。这会增加可用于继续升级的空间。 

    controller# request software remove 20.9.1
    status remove 20.9.1: successful
    vedge-1# show software
    VERSION   ACTIVE DEFAULT PREVIOUS CONFIRMED TIMESTAMP 
    ------------------------------------------------------------------------------
    20.11.1   true   true    false    auto      2023-05-02T16:48:45-00:00 
    controller#

    4.检查磁盘空间以确保大于200 MB。如果不是,请打开TAC SR。 

    升级您的控制器

    以下是针对每个客户执行的后续步骤的摘要。

    caution-icon

    注意:确认已按照上一节所述完成所有预检查和备份。

    • 将新软件版本上传到升级存储库。
    • 确保选择了具有此问题修复程序的控制器映像。
    • 按照此顺序使用映像修复升级控制器。
      1. vManage
      2. vBond
      3. vSmart

    注意:如果通过CLI继续控制器升级,请记住执行“request software upgrade-confirm”。

    vManage独立升级

    对于独立vManage,必须执行以下步骤:

    1. 将映像复制到vManage Maintenance > Software repository
    2. 使用vManage Maintenance>软件升级进行升级
    3. 单击Upgrade,然后等待升级完成
    4. 导航回同一页面,点击vManage,然后点击Activate
    note-icon

    意:vManage升级对数据网络没有影响。

    vManage集群升级

    对于集群升级,必须遵循Cisco SD-WAN入门指南 — 集群管理[Cisco SD-WAN] — 思科指南中提到的步骤。 

    note-icon

    意:vManage集群升级对数据网络没有影响。

    caution-icon

    注意:如果您在升级集群时遇到任何问题或问题,请在继续之前联系TAC。

    vBond升级

    vBond升级使用与vManage升级相同的过程。

    warning-icon

    警告:vBonds必须按顺序升级。在进入下一阶段之前,验证每个vBond的升级是否已完成。

    1. 将映像复制到vManage Maintenance > Software repository
    2. 使用vManage Maintenance > Software upgrade升级
    3. 单击Upgrade,然后等待升级完成
    4. 导航回同一页面,点击vManage,然后点击Activate
    5. 在vBond上使用命令show orchestrator connections进行验证
    6. 在vManage上使用show control connections命令进行验证

    vSmart升级

    vSmart升级使用与vManage升级相同的流程。

    warning-icon

    警告:必须按顺序升级vSmarts。在进入下一阶段之前,验证已在每个vSmart上完成升级。

    1. 将映像复制到vManage Maintenance > Software repository
    2. vManage UI Maintenance > Software upgrade升级vSmart
    3. 单击Upgrade并等待升级完成
    4. 导航回同一页面。选择vSmart,然后点击激活
    5. 使用vSmart上的show control connections命令验证升级后会话是否已恢复
    note-icon

    注意:在软件升级期间,vSmart重新启动时,设备会平稳重启而不会影响网络。

    验证所有控制器升级后是否建立了控制连接

    对于场景1场景2中升级控制器后的所有vEdge,必须恢复控制和BFD连接。

    升级vEdge

    warning-icon

    意:vEdge升级是完全防止vEdge路由器重新通电过程的最后一步,如场景3所述

    note-icon

    注意:建议在计划的维护时段之前暂存vEdge软件映像。 使用安装在窗口出现之前暂存映像。 请勿在此过程中选中Activate and Reboot复选框,否则,设备将在安装完成后立即完成升级。 这可确保缩短维护时段。

    您可以通过以下方式从vManage一次将图像加载到多个vEdge:

    1.导航至vManage UI。导航到维护>软件存储库。加载vEdge图像。选择需要升级的设备后,您可以导航到维护>软件升级,然后单击升级

    2.导航至vManage UI。导航到维护>软件存储库。单击Add new software。单击Remote server。输入控制器版本、vEdge版本和存储映像的FTP/HTTP URL的完整路径。例如,ftp://<username>:<password>@<FTP server>/<path>/<image name>。使用Remote server选项选择需要升级的设备后,您可以导航到Maintenance > Software Upgrade,然后单击Upgrade

    note-icon

    :根据带宽成批选择vEdge以推送图像。

    在vEdge升级之前进行预检查 

    caution-icon

    注意:如果跳过这些预检查,vEdge升级可能会因磁盘空间不足而失败。

    1.验证当前版本是show software命令下列出的唯一版本。

    VERSION    ACTIVE   DEFAULT PREVIOUS  CONFIRMED TIMESTAMP 
    ------------------------------------------------------------------------------
    20.11.1     true    true    false    auto     2023-05-02T16:48:45-00:00 
    20.9.1      false   false   true     user     2023-05-02T19:16:09-00:00 
    20.8.1      false   false   false    user     2023-05-10T10:57:31-00:00

    2.在show software version命令下,验证当前版本是否设置为默认值。

    vedge-1# request software set-default 20.11.1
    status mkdefault 20.11.1: successful
    vedge-1#

    3.如果列出了更多版本,请使用request software remove <version>命令删除任何未处于活动状态的版本。这会增加可用于继续升级的空间。 

    vedge-1# request software remove 20.9.1
    status remove 20.9.1: successful
    vedge-1# show software
    VERSION   ACTIVE DEFAULT PREVIOUS CONFIRMED TIMESTAMP 
    ------------------------------------------------------------------------------
    20.11.1   true   true    false    auto      2023-05-02T16:48:45-00:00 
    vedge-1#

    4.使用vShell和命令df -h确认有足够的可用磁盘空间来执行升级。

    VEDGE-1000-AC-K9# vshel
    VEDGE-1000-AC-K9:~$ df -h
    Filesystem      Size  Used Avail Use% Mounted on
    none            1.4G  8.0K  1.4G   1% /dev
    /dev/sda1      1013M  518M  445M  54% /boot
    /dev/loop0       78M   78M     0 100% /rootfs.ro
    /dev/sda2       6.0G  178M  5.5G   4% /rootfs.rw
    aufs            6.0G  178M  5.5G   4% /
    tmpfs           1.4G  300K  1.4G   1% /run
    shm             1.4G   48K  1.4G   1% /dev/shm
    tmp             600M   84K  600M   1% /tmp
    tmplog          120M   37M   84M  31% /var/volatile/log/tmplog
    svtmp           1.0M  312K  712K  31% /etc/sv

    5.如果/tmp已满,请打开TAC SR以获得帮助,以便在升级之前清除/tmp/tmp目录中的空间。

    vEdge Upgrade Scenario 1:控制连接处于启用状态且vEdge尚未重新启动

    将控制器升级到带修复程序的版本后,未重新启动的vEdge设备将自动重新建立连接。

    重要:此状态下的vEdge设备需要升级。必须尽快予以优先排序和规划。如果需要,请尽快在非工作时间执行。 规划设备的升级,以避免由于设备的任何重新启动或电源重启而影响控制平面和数据平面。设备在升级之前不能重新启动。

    要升级vEdge,请按照下列步骤操作:

    1. 通过维护>软件存储库将新vEdge软件复制到vManage
    2. vManage Maintenance > Software upgrade升级vEdge
    3. 点击Upgrade并等待升级完成
    4. 导航回同一页面。选择vEdge,然后单击Activate

    升级后验证

    • 检验控制连接和BFD会话
    • 验证OMP路由和服务VPN路由 — 在vEdge和集线器/其他节点之间的每个服务VPN网段上测试端到端ping
    • 检查升级后注意事项

    vEdge升级场景2:控制连接已关闭,并且vEdge未重新启动

    将控制器升级到带修复程序的版本后,未重新启动的vEdge设备将自动重新建立连接。

    重要:此状态下的vEdge设备需要升级。必须尽快予以优先排序和规划。如果需要,请尽快在非工作时间执行。  规划设备的升级,以避免由于设备的任何重新启动或电源重启而影响控制平面和数据平面。设备在升级之前不能重新启动。

    要升级vEdge,请按照下列步骤操作:

    1. 通过维护>软件存储库将新vEdge软件复制到vManage
    2. vManage Maintenance > Software upgrade升级vEdge
    3. 点击Upgrade并等待升级完成
    4. 导航回同一页面。选择vEdge,然后单击Activate

    升级后验证

    • 检验控制连接和BFD会话
    • 验证OMP路由和服务VPN路由 — 在vEdge和集线器/其他节点之间的每个服务VPN网段上测试端到端ping
    • 检查升级后注意事项

    场景3:vEdge,控制连接关闭,设备重新启动/重新通电

    caution-icon

    注意:要恢复这些设备,需要进行带外访问。 

    此输出显示证书过期后已重新启动的vEdge设备。使用命令show control local-properties | inc serial并确认输出显示BOARD-ID-NOT-INITIALIZED。

    vedge# show control local-properties | inc serial
    serial-num                        BOARD-ID-NOT-INITIALISED
    subject-serial-num                N/A
    enterprise-serial-num             No certificate installed
    vedge#

    更改vEdge上的日期/时间以恢复控制连接

    这些步骤需要带外访问vEdge设备,例如控制台或直接SSH。

    在控制连接关闭的vEdge上,将时钟回滚到2023年5月5日(例如,#clock set date 2023-05-05 time 15:49:00.000)。

    vedge# clock set date 2023-05-05 time 10:23:00
    vedge# show clock
    Mon May 5 10:23:37 UTC 2023
    vedge#

    等待2-3分钟,使board-id初始化。选中show control local-properties以确保设备现在具有输出中显示的编号。 

    vedge# show control local-properties | inc serial
    serial-num                        10024640
    subject-serial-num                N/A
    enterprise-serial-num             No certificate installed
    vedge#

    (可选)如果board-id初始化在2-3分钟内没有发生,请重新加载vEdge并检查show control local-properties输出,以确保设备现在在输出中列出了其序列号

    一旦板ID初始化,则使用show certificate validity命令验证证书

    vedge# show certificate validity 
    The certificate issued by c33d2cf4-e586-4df4-ac72-298422644ba3 is valid from Sep 7 02:50:16 2021 GMT (Current date is Mon May 1 10:25:03 GMT 2023) & valid until Sep 5 02:50:16 2031 GMT
    vedge#

    成功恢复控制连接后,使用YYYY-MM-DD和HH:MM::SS格式将时钟更正为当前时间,表示日期和时间。

    此示例仅用于说明目的。始终将日期和时间设置为当前时间。

    vedge# clock set date YYYY-MM-DD time HH:MM::SS
    vedge# show clock
    Wed May 10 10:23:37 UTC 2023
    vedge#

    使用命令show control connections验证控制连接是否处于启用状态。

    vedge# show control connections
                                                                                           PEER                                          PEER                                          CONTROLLER
    PEER    PEER PEER            SITE       DOMAIN PEER                                    PRIV  PEER                                    PUB                                           GROUP
    TYPE    PROT SYSTEM IP       ID         ID     PRIVATE IP                              PORT  PUBLIC IP                               PORT  LOCAL COLOR     PROXY STATE UPTIME      ID
    ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
    vsmart  dtls 10.3.3.1       10         1      192.168.24.112                          12346 192.168.24.112                          12346 private1        No    up     0:14:33:46  0
    vsmart  dtls 10.3.3.1       10         1      192.168.24.112                          12346 192.168.24.112                          12346 private2        No    up     0:14:33:46  0
    vbond   dtls 0.0.0.0         0         0      192.168.28.122                          12346 192.168.28.122                          12346 private1        -     up     0:14:33:47  0
    vbond   dtls 0.0.0.0         0         0      192.168.28.122                          12346 192.168.28.122                          12346 private2        -     up     0:14:33:47  0
    vmanage dtls 10.1.1.1       10         0      192.168.25.209                          12346 192.168.25.209                          12346 private1        No    up     0:14:33:46  0

    :此状态下的vEdge设备需要升级。必须尽快予以优先排序和规划。如果需要,在非工作时间执行“维护时段”操作。 规划设备升级,以避免由于设备的任何重新启动或电源重启而受到影响。设备在升级之前不能重新启动。

    要升级vEdge,请使用以下步骤:

    1. 通过Maintenance > Software repository将vEdge映像修复程序复制到vManage
    2. vManage UI Maintenance > Software upgrade升级vEdge
    3. 单击Upgrade并等待升级完成
    4. 导航回同一页面。选择vEdge,然后单击Activate
      ·验证控制连接和BFD会话是否处于工作状态
      ·检验OMP路由和服务VPN路由 — 在vEdge和集线器/其他节点之间的每个服务VPN网段上测试端到端ping
    5. 检查升级后注意事项

    18.4、19.x和20.1升级程序(2003年5月13日修订版UTC) 

    所有版本18.4、19.x和20.1.x的升级都必须升级到版本20.3.7.1。

    本节已经过修改,说明使用小于2.5G的引导磁盘将vManage升级到20.1.3.1,而不是20.1.3。

    新的20.1.3.1 vManage软件包括更新的证书,允许设备在执行第二次升级到20.3.7.1的过程中进行连接。

    caution-icon

    注意:请仔细阅读此部分,然后再继续。可能需要多次升级。

    升级前检查

    在继续任何升级之前,您必须完成所有预检查以帮助确保升级成功。 

    这些升级前检查将验证数据库、计算资源和启动磁盘的大小。

    通过CLI检查数据库大小

    使用命令request nms configuration-db diagnostic | i TotalStoreSize,获取数据库的大小(字节)。

    vshell执行命令expr <number of bytes> / 1024 / 1024 / 1024,将此输出转换为以GB为单位的整数值。

    vmanage# request nms configuration-db diagnostics | i TotalStoreSize
    | "StoreSizes"     | "TotalStoreSize"                     | 3488298345                |
    vmanage1# vshell
    vmanage1:~$ expr 348829834 / 1024 / 1024 / 1024
    3

    此示例显示数据库大小为3 GB。

    warning-icon

    停止:如果您的数据库大小为5GB或更大,请打开TAC SR以获得此升级的帮助。

    如果数据库大小小于5GB,则继续升级。

    验证计算资源 

    确保计算资源符合20.3计算资源指南

    • 使用命令lscpu检查vCPU | grep CPU\ MHz
    vmanage1:~$ lscpu | grep CPU\ MHz
CPU MHz:                         2999.658
vmanage1:~$
    • 使用free -g命令检查内存 | grep Mem and free —giga | grep Mem
    vmanage1:~$ free -g | grep Mem
Mem:             31          21           7           0           2           9
vmanage1:~$ free --giga | grep Mem
Mem:             33          23           7           0           2           9
vmanage1:~$
    • 使用命令df -kh检查第三分区(/opt/data)大小
    vmanage1:~$ df -kh | grep "/opt/data"
/dev/sdb 108G 24G 79G 23% /opt/data
vmanage1:~$

    如果计算资源与20.3不一致,请在升级之前增加计算资源。 

    使用CLI检查引导磁盘空间

    使用命令df -kh | grep boot from vShell以确定磁盘的大小。

    vmanage# vshell
    vmanage:~$ df -kh | grep boot
    /dev/sda1       5.0G  4.7G  343M  94% /boot
    vmanage:~$

    此示例显示/boot disk为5.0G。 

    warning-icon

    告:如果vManage启动磁盘小于2.5G,则必须执行逐步升级至版本20.1

    在版本18.4和19.x上升级vManage

    执行升级 — vManage Standalone

    如果引导磁盘的大小小于2.5G,则必须将vManage升级到版本20.1,然后继续。

    • 从https://software.cisco.com/download/home/286320995/type/286321394/release/20.1.3.1下载20.1.3.1映
    • 执行升级控制器中的步骤以完成升级

    如果磁盘大小为2.5G或更高,您可以直接升级到20.3.7.1。

    • 从https://software.cisco.com/download/home/286320995/type/286321394/release/20.3.7.1下载20.3.7.1映
    • 执行升级控制器中的步骤以完成升级

    执行升级 — vManage集群

    如果磁盘大小小于2.5G,则必须将vManage升级到版本20.1.3.1,然后继续。

    warning-icon

    STOP:打开TAC SR以获得帮助,逐步升级vManage群集。

    如果磁盘大小为2.5G或更高,您可以直接升级到20.3.7.1。

    • 从https://software.cisco.com/download/home/286320995/type/286321394/release/20.3.7.1下载20.3.7.1映
    • 执行升级控制器中的步骤以完成升级

    升级vManage 20.1.x

    执行升级 — vManage独立或集群

    • 从https://software.cisco.com/download/home/286320995/type/286321394/release/20.3.7.1下载20.3.7.1映
    • 执行升级控制器中的步骤以完成升级

    将vSmart和vBond从18.4、19.x或20.1升级到20.3.7.1

    vSmarts和vBonds可以直接从所有版本升级到20.3.7.1。

    • 从https://software.cisco.com/download/home/286320995/type/286321394/release/20.3.7.1下载20.3.7.1映
    • 执行升级vSmart部分中的步骤以完成升级
    • 执行升级vBond部分中的步骤以完成升级

    将vEdge从18.4、19.x或20.1升级到20.3.7.1

    vSmarts、vBonds和vEdge设备可以直接从所有版本升级到20.3.7.1。

    • 从https://software.cisco.com/download/home/286320990/type/286321106/release/20.3.7.1下载20.3.7.1映
    • 执行升级vEdge部分中的步骤以完成升级

    升级后的注意事项

    如果在升级之前更改了配置以增加平滑重启计时器和IPSec重新生成密钥计时器,则建议将配置回滚到升级之前已设置的设置,以避免潜在的不必要影响。  

    特别建议

    将控制器升级到早于20.3.7.1版本并正在升级其vEdge的客户可以联系TAC以访问相应的vEdge映像

    关于Cisco Bug ID CSCwd46600的建议

    本文档的早期版本建议客户升级到多个版本的20.3.x(20.3.3.2、20.3.5.1、20.3.4.3、20.3.7.1)。

    思科建议运行映像20.3.x的客户将其控制器和vEdge升级到映像20.3.7.1。

    在升级后,运行早于20.3.7.1、20.4和20.6x版本(早于20.6.5.1)的19.x和20.3.x版本的设备可能会遇到思科漏洞ID CSCwd46600。要暂时解决此问题,请运行以下任一命令:

    request security ipsec-rekey

    或 

    request port-hop color

    但是,强烈建议客户将其控制器和vEdge设备升级到20.3.7.1或20.6.5.1。

    如果客户已根据之前的指南将所有vEdge设备完全升级到20.3.7.1、20.3.4.3之前的20.3.x版本,或20.6.5.1之前的20.6.x版本,则如果他们没有受到该漏洞的影响,可以选择继续使用此版本。建议以后在计划的维护时段升级到20.3.7.1或20.6.5.1。

    20.6.x版本系列建议(修订日期:5月15日,0800 UTC)

    本文档的早期版本建议客户升级到几个版本的20.6.x(20.6.3.2、20.6.4.1、20.6.5.2)。 

    Cisco建议运行映像20.6.x并在接口上配置跟踪器的客户将其控制器和vEdge升级到映像20.6.5.2。

    在升级过程中,配置了跟踪器的设备可能会遇到Cisco Bug ID CSCvz44093。  为了避免此Bug的影响,您可以在升级之前删除跟踪器配置。 

    强烈建议客户将其控制器和vEdge设备升级到20.6.5.2。

    如果客户已经根据之前的指导将所有vEdge设备完全升级到20.6.3.2和20.6.4.1,那么如果他们没有受到漏洞的影响,可以选择继续使用本版本。

    修订历史记录

    版本 发布日期 备注
    29.0
    24-May-2023
    对特别咨询科的更新
    28.0
    19-May-2023
    对背景信息的次要更新
    27.0
    18-May-2023
    向背景信息添加其他详细信息
    24.0
    16-May-2023
    将100WM系列添加到受影响型号声明中。
    23.0
    15-May-2023
    20.6.x版本系列的特别建议
    22.0
    14-May-2023
    添加了使用TAC案例释放磁盘空间的说明
    21.0
    14-May-2023
    次要兼容性更改
    20.0
    13-May-2023
    首选映像的兼容性矩阵更新
    19.0
    13-May-2023
    更新后的注意事项以提及未受影响的其他平台。针对客户的工程特别计划、 20.10/20.11没有vEdge映像
    18.0
    13-May-2023
    删除了20.5.x的多个升级选项。20.6.5.2是20.5.x软件的推荐升级路径
    17.0
    12-May-2023
    16/17指南,更新的20.1配置数据库检查
    16.0
    12-May-2023
    20.3.x代码中建议的更改的修订建议更新。
    15.0
    12-May-2023
    20.3.x代码中建议更改的修订建议更新
    14.0
    12-May-2023
    升级后注意事项,20.3计算资源
    13.0
    11-May-2023
    18.x/19.x升级指南,硬件兼容性
    12.0
    11-May-2023
    SUDI未受影响,企业认证指南,特别顾问部分,更新的20.3.x升级指南
    11.0
    11-May-2023
    18.x/19.x的更新路径,混合环境指南,试运行
    10.0
    11-May-2023
    已更新20.10.1.1的链接
    9.0
    11-May-2023
    已更新20.3.3.2的链接
    8.0
    11-May-2023
    更新日期:东部时间5月10日晚上10点
    6.0
    10-May-2023
    更新日期:东部时间5月10日晚上7点30分
    5.0
    10-May-2023
    更新日期:东部时间5月10日下午5:30
    4.0
    10-May-2023
    更新日期:东部时间5月10日下午3:30
    3.0
    10-May-2023
    应急方案更新5/9 10PM PT
    2.0
    10-May-2023
    缓解更新
    1.0
    09-May-2023
    初始版本
    TAC Authored

    由思科工程师提供

    • 阿曼达·纳瓦·萨拉特
      思科TAC技术主管
    • 肯德拉·多德森
      思科TAC技术主管
    • 瑞安·拉特利夫
      思科TAC管理器

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品