升级视频通信服务器(VCS)/Expressway X14.x

简介

本文档介绍Expressway升级过程，旨在指导您回答最常见的问题。

要求

有关升级到X14.2的重要说明：

1. Expressway X14.2仅支持智能许可。思科漏洞ID CSCwe09378可能导致在X14.2.5中修复的智能许可服务器（直接/代理模式）之间发生SSL协商故障。
2. Expressway X14.2限制为向终端发送2500个加密信令会话，并包括与思科漏洞ID CSCwc69661相关的流量服务器行为更改，这些更改可能导致MRA故障-升级到X14.2之前，请阅读发行说明和管理指南。另请参阅本文档的升级前操作部分中的注释4以获取详细信息。
3. 如果您在Expressway上配置了自定义MTU大小，则升级后会更改为默认值1500，这会导致连接和媒体出现问题。这在Cisco Bug ID CSCwc74590下跟踪。升级后，您必须将MTU大小更改回升级前配置的上一个MTU大小。

背景信息

本文档中的信息适用于Expressway和视频通信服务器(VCS)。本文档引用Expressway，但可以与VCS进行互换。

注意：虽然本文档旨在帮助进行升级，但它不会取代Expressway版本说明。在继续升级之前，请始终参阅目标版本的发行版本注释。

所有部署的重要信息

1. 有关升级步骤，请参阅适用于独立系统和集群系统的发行版本注释。
2. 您可以从X8.11.4版本及更高版本直接升级到X14.x。不需要中间版本。从X8.11.4之前的任何版本升级都需要中间升级到X8.11.4。
3. 将Expressway升级到X12.5.4或更高版本不需要版本密钥。但是，Cisco VCS系统需要此功能。
4. 如果是集群，首先在集群中的“主”服务器上启动升级。升级“主要”节点后，一次升级“从属”节点。这避免了配置数据丢失的风险，并保持了服务连续性。
   

   注意：在System > Clustering菜单上查找“Primary”。“Configuration primary”编号指向同一页面中对等体列表中的“Primary peer”。

1. 同时升级Expressway E和Expressway C“主要”。或者先升级Expressway E集群（“主要”，然后升级“从属”），然后升级Expressway C集群（“主要”，然后升级“从属”）。在升级窗口结束时，所有服务器（Expressway-C和Expressway-E）都处于同一版本。
2. 如果使用Cisco Meeting Server (CMS) WebRTC Proxy over Expressway功能和Expressway E作为TURN服务器，请运行CMS版本2.8.4或2.9.3及更高版本，以便WebRTC在升级后继续运行。由于与思科漏洞ID CSCvv01243相关的TURN服务不兼容，CMS的早期版本无法正常工作。
3. 如果为移动和远程访问(MRA)启用了推送通知，请在升级Expressway之前至少运行Cisco Unified Communications Manager (CUCM)/即时消息和在线状态(IMP)版本11.5.1.18900-97或12.5.1.13900-152或14.0.1.10000-20或更高版本。

注意：从CUCM > Advanced features > Cisco Cloud Onboarding检查推送通知是否已启用，并查看Enable push notifications是否已选中（启用）。

升级前的操作

1. 为使MRA功能在升级后继续运行，请将签署Expessway-C证书的根证书和中间证书作为“tomcat-trust”和“callmanager-trust”上传到CUCM发布服务器。

证书上传后，在所有相关CUCM节点上重新启动“Cisco Tomcat”服务、“Cisco callmanager”服务和“Cisco TFTP”服务（Cisco HAProxy服务随Tomcat服务重新启动自动重新启动）。

由于对Cisco Bug ID CSCvz20720（仅限注册用户）进行了更改，因此需要。如果您使用非安全电话配置文件，并且在Expressway-C上添加的CUCM集群禁用了“TLS验证模式”，则需要执行此操作。

有关实现这一操作所需的确切步骤的详细信息，请参阅文档将Expressway-Core的根证书和中间证书上传到CUCM。 

注意：从命令行重新启动“Cisco Tomcat”服务的唯一方法是使用utils service restart Cisco Tomcat命令。

2. 从X14.2开始，即使统一通信服务器（CUCM、IM&P、CUC和CMS）上的TLS验证设置为关闭，也必须将这些服务器的CA证书（根证书和任何中间CA）添加到Expressway-C信任存储中。如果不这样做，则会在升级到X14.2或更高版本后导致MRA登录问题。

此外，Expressway-C连接的统一通信服务器的FQDN需要位于这些服务器的证书的SAN列表中。

此更改是Expressway安全增强功能的一部分，在思科漏洞ID CSCwc69661中进行了跟踪。有关详细信息，请参阅X14.2发行版本注释。

请参阅文档对CSCwc69661引入的MRA服务的Expressway流量服务器证书验证进行故障排除。

3. 从X14.2开始，智能许可是唯一可用于Expressway的许可证模式，基于传统PAK（选项密钥）的许可证型号已删除。

通常，如果仅在用于MRA的Expressway中使用，则不需要许可证，并且此更改不会影响您的系统。但是，如果使用B2B呼叫或注册终端访问Expressway（或其他需要许可证的功能），请确保Expressway-C和Expressway-C可以直接或通过代理访问云上的思科智能软件管理器，或者连接到本地思科智能软件管理器。

升级到X14.2后，默认启用智能许可，但请确保成功连接到CSSM（云或内部部署）。

4.从X14.2开始，Expressway限制为2500个加密会话（这里的2500个会话是所有MRA会话+呼叫+终端注册到Expressway的总和）。具有一个客户端的单个MRA会话可能会占用两个或更多加密会话。与双注册终端（H.323和SIP）相同。其中每个终端将占用两个加密会话。

通常，这不会影响仅用于MRA的小型Expressway；但会影响用于MRA的中型或大型Expressway。

在X14.2之前，大型Expressway通常可处理多达3500个MRA会话，但是在X14.2版本中，该数量限制为2500个。

这意味着Expressway的容量可能会减半。例如，对于2500名Jabber用户（使用电话和IM&P服务），升级到X14.2后，Expressway会将其视为5000个加密信号会话，超过2500个标记的会话会被拒绝，这会影响MRA呼叫和注册。

在X14.2中无法删除此限制。

有关此问题的详细信息，请参阅X14.2发行版本注释。

5. 如果存在Expressway集群，请确保没有集群警报(从状态>警报)。

注意：如果存在关于“集群TLS允许-集群TLS验证模式允许无效证书”的警报编号“40049”，请忽略此警报并继续升级，但任何其他集群警报都需要在升级前处理。

6.如果存在Expressway集群，请通过SSH连接到需要升级的Expressway服务器，并使用“root”用户运行命令：
cd / && ./sbin/verify-syskey

注意：此命令不得提供任何输出。如果由于此命令而收到“error”，请打开TAC案例以修复错误，然后再继续升级。

7. 最后，在升级前进行备份(从维护>备份和恢复)。在每台服务器上执行此操作。

升级说明

1. 从Expressway软件下载(例如，下载适用于X14.0.6的“s42700x14_0_6.tar.gz”)下载升级文件（名称以“.tar.gz”结尾）。
2. 将升级文件(例如“s42700x14_0_6.tar.gz”)上传到Expressway(从维护>升级，然后点击浏览在PC上查找升级文件，最后点击升级)。

注意：点击升级时，升级文件将上传到Expressway。上传完成后，请按继续继续升级。服务器安装该软件并请求Reboot以切换到新软件。

升级后的操作

在Expressway升级后，从主Expressway-C服务器刷新统一通信节点：

- 导航到配置>统一通信> Unified CM服务器。  选择所有CUCM群集并选择刷新。

- 导航到配置>统一通信> IM和在线状态服务节点。选择所有IM&P集群，然后选择刷新。

- 导航到配置>统一通信> Unity Connection服务器。选择所有CUC群集并选择Refresh。

常见问题

许可证

1. 是否需要发行密钥才能升级？

将Expressway升级到版本X12.5.4或更高版本时无需版本密钥（版本密钥仍用于思科VCS系统）。

2. 是否需要迁移许可证？

升级前在Expressway上安装的许可证将自动迁移至新版本。

3. 我需要升级哪些许可证？

如果计划在同一台服务器上从X8.11.4或更高版本升级到更高版本，则无需其他许可证，当前许可证将自动迁移至新版本（VCS系统仍需要版本密钥）。

从X12.5.4版开始，这些许可证不再需要：

LIC-SW-EXP-K9发行密钥（从X12.5.4开始），默认情况下在Expressway系统升级时提供。对于VCS系统，仍然需要该设置。)

LIC-EXP-TURN TURN中继许可证（默认提供）

LIC-EXP-GW互通网关（默认提供）

LIC-EXP-AN高级网络（默认提供）

从X12.6版开始，这些许可证不再需要：

LIC-EXP-SERIES Expressway系列(现在您可以通过UI中的服务设置向导，通过状态>概述进行更改)

LIC-EXP-E遍历服务器许可证(现在您可以通过状态>概述中的服务设置向导从UI中进行更改)

4. 是否需要启用智能许可？

从X14.2开始，智能许可是强制性的。任何低于X14.2的版本仍可使用选项密钥许可证型号。

升级到X14.2后，默认启用智能许可，但您必须确保成功连接到CSSM（云或内部部署）。

兼容性

1. 是否可以直接升级到X14.x？

直接从X8.11.4及更高版本升级到X14.x（或X12.x） Expressway版本。任何低于X8.11.4的版本都需要两阶段升级。有关详细信息，请参阅版本说明。

2. 哪些Cisco Unified Communications Manager和IM&Presence版本与Expressway兼容？

如果使用通过MRA的Jabber的推送通知，最低版本为11.5.1.18900-97、12.5.1.13900-152或14.0.1.10000-20。

检查推送通知是否已在CUCM管理员页面Advanced features > Cisco Cloud Onboarding下启用。验证是否已选中（启用）Enable push notifications。

3. 哪个CMS版本与Expressway 12.X和14.X兼容？

如果在Expressway上使用CMS WebRTC代理，请运行CMS版本2.8.4、2.9.3或更高版本。
由于与Cisco Bug ID CSCvv01243相关的TURN服务不兼容，早期版本不起作用

升级后

1. 升级后是否需要执行任何其他任务？

统一通信节点必须从Expressway-C主要对等体刷新：

- 导航到配置>统一通信> Unified CM服务器。  选择所有CUCM群集并选择Refresh。

- 导航到配置>统一通信> IM和在线状态服务节点。选择所有IM&P集群并选择Refresh。

- 导航到配置>统一通信> Unity Connection服务器。选择所有CUC群集并选择Refresh。

2. 如何验证升级是否成功？

可以检查以下几点：

- 检查集群是否稳定(从System > Clustering中)，并确认没有集群警报Status > Alarms。

- 确保对于Expressway-C和Expressway-E上的“SIP状态”，类型为“统一通信遍历”的区域显示为“活动”。将自动创建的CE(tcp/tls/OAuth)区域(通过Configuration > Zones)显示为“地址可解析”而不是“活动”是正常的。 

- 通过MRA登录、测试呼叫等执行实时测试。

3. 升级成功后，我在我的虚拟Expressway服务器上看到有关“硬件不受支持”或“硬件警告不合适”的新警报？

Expressway版本X14.x现在可验证虚拟机(VM) CPU时钟速度，并确保其与Expressway虚拟化指南中提及的相同大小的VM所需的时钟速度相匹配。确切的警报显示为：“不适当的硬件警告-您当前的硬件不符合此版本Expressway支持的VM配置要求”。

如果出现此警报，请验证VM资源是否与Expressway虚拟化指南中提及的资源匹配。如果低于本指南中提及的大小，请重建服务器以满足所选大小的最低要求，然后恢复备份。

移动远程访问(MRA)

1. 升级是否需要更改Cisco Unified Communications Manager (CUCM)上的配置？

如果使用MRA，由于安全增强导致思科漏洞ID为CSCvz20720，则签署Expressway-C证书的证书颁发机构的根证书和中间证书必须作为“tomcat-trust”和“callmanager-trust”上传到CUCM发布服务器中（然后将其复制到用户）。即使您使用非安全电话配置文件，并且已对Expressway-C上添加的CUCM集群禁用“TLS验证模式”，也需要此验证。重新启动每台服务器上的“Cisco Tomcat”、“Cisco CallManager”和“Cisco TFTP”服务，以使更改生效。

使用utils service restart Cisco Tomcat命令，只能从命令行重新启动“Cisco Tomcat”服务。

有关实现这一操作所需的确切步骤的详细信息，请参阅文档将Expressway-Core的根证书和中间证书上传到CUCM。

2. 是否需要更改Expressway-C证书才能升级？

如果Expressway-C证书仍然有效，则无需更改。但是，签署Expressway-C证书的证书颁发机构的根证书和中间证书必须作为“tomcat-trust”和“callmanager-trust”上传到CUCM发布服务器。有关详细信息，请参阅升级前操作部分中的点1。

升级前

1. 在升级之前必须检查什么？

集群Expressway系统必须确认在状态>警报中没有集群警报。

另外，请通过根用户从命令行运行命令cd / && ./sbin/verify-syskey。此命令不得提供任何输出。如果是，请创建TAC案例以调查并纠正此问题。

升级过程

1. 集群系统中的升级顺序是什么？

从集群中的“主配置”对等设备开始升级。选中菜单System > Clustering下。“Configuration primary”编号显示它在对等体中的编号。
主要对等体的升级完成后，继续从属对等体（一次一个）。

2. 是否可以同时升级Expressway-C和Expressway-E？

是；但建议先升级Expressway E服务器，然后升级Expressway C服务器，以便首先在E服务器上正确设置遍历区域。如果有集群，请启动“主”服务器的升级。在“主”上完成升级后，请升级“从属”对等体。

3. 在哪里可以下载Expressway升级映像？

在此链接中查找所有Expressway升级映像。下载扩展名为“tar.gz”的文件作为升级版本：

https://software.cisco.com/download/home/286255326/type/280886992/

4. 如何开始升级？

导航到维护>升级>浏览，选择升级文件并单击“升级”。首先传输文件。之后，单击Continue按钮启动实际的升级过程。

5. 升级过程需要多长时间？

大多数情况下，升级过程最多需要10分钟，这段时间是在升级文件传输到系统并选择“继续”之后。
但是，强烈建议为升级后测试安排一个4到48小时的维护窗口。

6. 执行升级需要什么访问权限？

升级通过Web界面执行。但是，如果升级后出现任何问题，则可能需要控制台访问。
在升级之前最好检查VMware或CIMC控制台访问是否可用。

备份和恢复

1. 升级前是否需要备份？

建议在升级Expressway之前进行备份。如果是集群，则从所有服务器进行备份。
通过维护>备份和恢复对每个服务器执行此操作。

2. 升级前能否拍摄Expressway快照？

Expressway不支持VMware快照。

3. 我能否回滚/恢复到升级之前使用的系统？

升级后，Expressway保留两组分区。一个是升级版本，一个是以前的版本。 
使用命令selectsw <1或2> from root user shell在这些分区之间切换。
使用命令selectsw验证当前的活动分区。
例如，如果在运行selectsw命令后收到“1”，则活动版本为“1”，非活动版本为“2”。要切换到非活动分区，请执行命令“selectsw 2”。需要重新启动才能从新选择的分区系统启动。

物理设备服务器

1. 我可以在我的物理设备服务器上升级到此版本吗？

对于所有物理设备服务器(CE500、CE1000、CE1100、CE1200)，请参阅发行版本注释“支持的平台”部分中的“表2”，了解目标版本，以验证是否升级到目标版本。

2. 我有一台CE1100，能否将其升级到X14.0.x和X14.2.x？

对于物理设备服务器CE1100，您可以升级到X14.0.x和X14.2.x以减少漏洞，并且可以忽略“不支持的硬件”警报。X14.0.6发行版本注释中提到了相关信息。根据最后支持日期，思科已将具有有效服务合同的客户的漏洞/安全支持终止日期从2021年11月14日(根据原始生命周期终止公告)延长至2023年11月30日。

虚拟服务器和ESXi

1. 此Expressway版本支持哪个ESXi版本？

有关您的Expressway目标版本的ESXi支持信息，请参阅安装指南(位于系统要求> ESXi要求下)。