使用完整升级方法升级ISE

简介

本文档介绍如何使用完全升级方法将现有ISE部署从版本2.7升级到3.1。 

先决条件

要求

 

Cisco 建议您了解以下主题： 

• 身份服务引擎 (ISE) 
• 了解用于描述不同类型ISE部署的术语 

  

使用的组件 

 

本文档中的信息基于以下软件和硬件版本： 

• ISE版本2.7，补丁4
• ISE版本3.1

 

本文档中的信息都是基于特定实验室环境中的设备编写的。 本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

注意：此过程与其他ISE版本类似或相同。除非另有说明，否则这些步骤可在2.6中用于升级到3.1和ISE软件版本。

背景信息

还包括如何使用运行状况检查功能检测和修复任何潜在的部署问题。传统升级方法现在称为拆分升级，如果并非首选完全升级方法，则可以作为备用选项使用。

支持的路径

支持从ASA完全升级到ISE 3.1

• ISE 2.6补丁10及更高版本
• ISE 2.7补丁4及更高版本
• ISE 3.0补丁3及更高版本

从ISE 2.6及更高版本支持向ISE 3.1进行拆分升级，带或不带任何补丁。

 

完全升级与拆分升级方法的比较

分布式部署中采用拆分升级方法的节点升级顺序

完全分布式部署至少需要5个步骤才能升级到新版本。

考虑到每个步骤大约需要240分钟，此处的总升级过程将需要240*5分钟= 20小时。

分布式部署中采用完全升级方法的节点升级顺序

完全分布式部署只需两个步骤即可升级到新版本。

同样，考虑到每个步骤大约需要240分钟，现在整个升级过程减少到240*2分钟= 8小时。

完全升级相对于拆分升级方法的优势

• 完全升级方法会减少整体活动所需的时间，因为节点是并行升级的，而拆分升级方法需要精心规划，且维护窗口持续时间更长。
• 从升级顺序来看，完全升级方法没有问题，因为只需两个步骤。“拆分升级”方法要求在开始升级过程之前对节点进行适当的排序。
• 完全升级方法保留升级前的角色和角色。Split Upgrade方法可切换已升级版本中的主要和辅助管理员角色。
• 在完全升级方法中，通过消除升级过程中与部署相关的更改的API依赖性，减少了故障点。
• 完全升级方法允许在主管理节点关闭以进行升级时，从辅助管理节点跟踪升级状态。在拆分升级方法中无法实现此功能。
• 升级后补丁安装是自动进行的，并作为完整升级方法中的一个选项提供。

注意：完全升级需要完全停机，因为所有PSN会同时关闭以进行升级。确保在计划的维护时段内计划活动。

完整升级流程

本文档演示了4节点部署的升级流程。对于双节点或其他多节点部署，整个流程保持不变。

升级UI

导航到管理>系统>升级以开始如图所示的活动。

注意：ISE 2.6补丁9及更低版本、ISE 2.7补丁3及更低版本以及ISE 3.0补丁2及更低版本仅支持拆分升级方法。默认情况下，会为这些版本启动Split Upgrade窗口。可以从此处引用剥离升级过程。选择Full Upgrade单选按钮，然后单击Start Upgrade。

欢迎页面

在欢迎页向导中，单击下一步以继续进行。

核对清单

检查核对表，确保在继续之前完成任务。

勾选表示我审阅了核对表的复选框，然后点击下一步。

准备升级

在升级前对整个部署运行预检查，结果显示在此页面上。除检查外，在此步骤中，升级捆绑包在所有节点上下载，离线数据升级(ODU)在辅助管理节点上运行(这类似于升级就绪工具(URT)模拟拆分升级方法)，最后，还显示活动的估计时间。

要从Cisco软件下载页面下载升级捆绑包。

要运行升级前检查，请选择放置升级捆绑包的存储库名称。从“捆绑包”下拉框中选择升级捆绑包文件名。

注意：完全升级方法还引入了升级后自动补丁安装。修补程序文件将与升级捆绑包一起置于同一存储库中，如果需要自动安装修补程序，可从下拉菜单中选择修补程序文件名。

单击Start Preparation以开始运行预检查。启动系统验证4小时后，除捆绑包下载和配置数据升级检查外，所有预检查均自动到期。配置数据升级（仅适用于ODU）将在12小时后过期。

注意：在升级活动之前禁用PAN故障切换设置。如果不手动完成，在触发升级后，它将自动禁用。

注意：ISE 3.0和所列版本强制使用智能许可。它不支持传统许可。如果在升级前未启用或注册智能许可，默认情况下，ISE会在升级后进入智能许可评估期。许可证迁移参考链接：产品- ISE许可迁移指南-思科 当您将ISE从2. x升级到3.x时，它涉及许可层更改。

注意：一旦触发配置数据升级，应避免ISE上的所有类型的配置更改。升级后所做的任何更改都将丢失。

如果任何组件预检查失败，则根据关键程度以红色或橙色显示。以红色突出显示的故障需要强制纠正，然后才能继续。以橙色突出显示的警告无法停止升级过程，但是，最好将其修复为最佳实践，并避免影响未来的部署特性和功能。

更正错误后，单击“Start Staging（开始暂存）”继续操作。

升级试运行

在升级试运行期间，升级的数据库文件将复制到部署中的所有节点，配置文件将在部署的所有节点上备份。

作为ODU的一部分，转储文件已存在于辅助管理节点上。因此，在此步骤中，辅助管理节点仅创建CA NSS DB、智能许可和DHCP/DNS配置的备份文件。所有其他节点也会创建这些文件，但还需要从辅助管理节点复制转储文件。

当所有节点的转移完成时，单击Next。

升级节点

单击Start 以触发升级。

弹出消息确认升级已触发，并且所有节点都显示在队列中并显示升级状态。由于升级首先在主要管理节点上启动，因此系统注销此节点，现在可以从辅助管理节点的GUI监控升级状态。在辅助管理节点的GUI上导航到管理>系统>升级以继续查看状态。

升级主管理节点并启动服务后，系统会从辅助管理节点的GUI中注销。现在，用户可以从主管理节点的GUI切换回监控状态，而部署的所有其他节点同时停止升级。

成功升级所有节点后，状态变为绿色。

如果存在任何故障节点，则会显示一个包含有关故障节点信息的弹出窗口。在弹出窗口中点击确定，从部署中取消注册故障节点。这些映像必须单独升级/重新映像，并连接回部署（如果有）。

单击Next以查看总体升级摘要报告。

摘要