为升级做好准备
开始升级之前,请确保要执行以下任务:
此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
思科可能会在某些地方提供本内容的当地语言翻译版本。请注意,翻译版本仅供参考,如有任何不一致之处,以本内容的英文版本为准。
开始升级之前,请确保要执行以下任务:
确保在升级过程之前对思科 ISE 部署运行运行状况检查,以便识别和解决可能导致升级停机的任何关键问题。有关详细信息,请参阅 思科 ISE 管理员指南中 “ 故障排除 ” 一章中的 运行状况检查 部分。
以下准则可帮助您解决在升级过程中可能遇到的当前部署问题。因此,减少了整体升级停机时间,同时提高了效率。
在开始升级之前,先在现有版本中升级到最新的补丁。
注 |
如果您从思科 ISE 版本 2.6 补丁 10 及更高版本 或 2.7 补丁 4 及更高版本 升级,并配置了 SSM 本地部署服务器,则必须在开始升级过程之前断开 SSM 本地部署服务器。 |
我们建议您在模拟环境下测试升级,以便在升级生产网络之前发现并修复任何升级问题。
思科 ISE 部署中的所有节点都应处于同一补丁级别,以便交换数据。
注 |
如果部署中的所有节点都不是同一思科 ISE 版本和补丁版本,您将收到一条警告消息: Upgrade cannot begin 。此消息表明升级处于受阻状态中。请在开始升级之前确保部署中的所有节点的版本(包括补丁版本,如果有)相同。 |
根据部署中的 PSN 数量和人员可用性,您可以安装需要升级到的思科 ISE 的最终版本,应用最新的补丁并使其保持就绪状态。
如果要恢复 MnT 日志,请对 MnT 节点执行上述任务,并将新部署作为 MnT 节点加入。但是,如果您不需要保留操作日志,可以通过重新映像 MnT 节点来跳过此步骤。
如果您有多节点部署,则可以并行完成思科 ISE 安装,而不影响生产部署。并行安装 ISE 服务器可节省时间,尤其是在使用先前版本的备份和恢复时。
可以将 PSN 添加到新部署,以便在注册过程中从 PAN 下载现有策略。使用 ISE 延迟和带宽计算器 了解思科 ISE 部署中的延迟和带宽要求。
最佳做法是存档旧日志,而不将其传输到新部署。这是因为,如果您稍后更改 MnT 角色,在 MnT 中恢复的操作日志不会同步到不同的节点。
如果您有两个完全分布式部署的数据中心 (DC),请先升级备份 DC 并测试使用案例,然后再升级主 DC。
升级前先将升级软件下载并存储在本地存储库中,以加快升级速度。
如果您当前正在升级到思科 ISE 版本 3.0 或更高版本,则可以在启动升级过程之前使用运行状况检查或升级就绪工具 (URT) 运行系统诊断。
在开始升级过程之前,使用升级就绪性工具 (URT) 来检测和修复任何配置数据升级问题。大多数升级失败的原因是存在配置数据升级问题。在升级之前使用 URT 验证数据,以便尽可能发现、报告或修复问题。URT 可作为单独的可下载捆绑包下载,可在辅助策略管理节点或独立节点上运行。运行此工具不会造成停机时间。以下视频解释了如何使用 URT: https://www.cisco.com/c/en/us/td/docs/security/ise/videos/urt/v1-0/cisco-urt.html
警告 |
请勿在主策略管理节点上运行 URT。URT 工具不会模拟 MnT 运营数据升级。 |
使用 GUI 升级思科 ISE 时,请注意每个节点的进程超时时间为 4 小时。如果该过程超过四个小时,则升级失败。如果使用升级就绪工具 (URT) 进行升级需要四个多小时,思科建议您使用 CLI 执行此过程。
在更改配置之前备份负载均衡器。您可以在升级过程中将 PSN 从负载均衡器中删除,然后在升级完成后进行重新添加。
在升级过程中禁用 PAN 自动故障切换(如果已配置)并禁用 PAN 之间的检测信号。
检查现有的策略和规则并删除过时、冗余和过期的策略和规则。
删除不必要的监控日志和终端数据。
您可以备份配置和运行日志并将其存储在未联网的临时服务器上。您可以在升级过程中使用远程日志记录目标。
您可以在升级后使用以下选项,以减少发送至 MnT 节点的日志数量并提高性能:
使用 MnT 收集筛选器(要查看此处窗口,请单击菜单 图标 (),然后选择 )筛选进入的日志,避免 AAA 日志中出现重复的条目。
您可以创建远程日志记录目标(要查看此处窗口,请单击菜单 图标 (),然后选择 )并将各个日志记录类别路由到特定的日志记录目标(要查看此处窗口,请单击菜单 图标 (),然后选择 。
启用 忽略重复更新 选项。要查看此处窗口,请单击菜单 图标 (),然后选择 管理 > 系统 > 设置 > 协议 > RADIUS 窗口以避免重复更新。
下载并使用最新的升级捆绑包进行升级。在漏洞搜索工具中使用以下查询,找到未解决和已修复的升级相关缺陷: http://cs.co/ise-upgrade-bugsearch
使用较少的用户测试新部署的所有使用案例,以确保服务连续性。
在开始升级过程之前,您可以运行思科 ISE 提供的升级就绪工具 (URT) 检测和修复任何数据升级问题。
大多数升级失败的原因是存在数据升级问题。URT 旨在在升级之前验证数据,以便在任何可能的情况下识别,以及报告或修复问题。
URT 可作为单独的可下载捆绑包下载,它可在辅助管理节点上运行以获得高可用性并通过多个节点进行其他部署,也可在独立节点上运行以实现单节点部署。运行此工具时不会造成停机。
警告 |
在多节点部署中,请勿在主策略管理节点上运行 URT。 |
您可以通过思科 ISE 节点的命令行界面运行 URT。URT 执行以下操作:
检查 URT 是否运行受支持的思科 ISE 版本。支持的版本包括版本版本 2.4、2.6 和 2.7。
验证 URT 是在思科 ISE 独立节点上运行,还是在辅助策略管理节点(辅助 PAN)上运行
检查 URT 捆绑包是不是在 45 内生成的 - 执行这项检查是为了确保您使用的 URT 捆绑包是最新的
检查是否满足所有必备条件。
URT 会检查以下必备条件:
版本兼容性
角色检查
磁盘空间
注 |
使用磁盘要求大小 (Disk Requirement Size) 来验证可用磁盘大小。如果需要增加磁盘大小,请重新安装 ISE 并恢复配置备份。 |
NTP 服务器
内存
系统和受信任的证书验证
克隆配置数据库
将最新升级文件复制到升级捆绑包
注 |
如果 URT 捆绑包中没有补丁,则输出将返回: 不可用 (N/A) . 这是安装热补丁时的预期行为。
|
在克隆数据库上执行架构和数据升级
(如果克隆数据库升级成功)提供完成升级所需的时间预估。
(如果升级成功)删除克隆的数据库。
(如果克隆数据库升级失败)收集所需的日志,提示加密码密码,生成日志捆绑包并将其存储在本地磁盘上。
升级就绪性工具 (URT) 会在您实际运行升级之前验证配置数据,以确定可能会导致升级失败的任何问题。
运行 URT 时,确保不要同时:
备份或恢复数据
执行任何角色更改
步骤 1 | |
步骤 2 |
创建存储库并复制 URT 捆绑包。有关如何创建存储库的信息,请参阅《思科 ISE 管理员指南》中“维护和监控”一章中的“创建存储库”。
我们建议您使用 FTP,以实现更好的性能和可靠性。请勿使用低速 WAN 链路上的存储库。我们建议您使用离节点更近的本地存储库。
确保您与存储库有良好的带宽连接。
步骤 1 |
从 Cisco.com (ise-urtbundle-3.1.xxx-1.0.0.SPA.x86_64.tar.gz) 下载 URT 捆绑包。 |
步骤 2 |
(可选)为了节省时间,请使用以下命令将 URT 捆绑包复制到思科 ISE 节点上的本地磁盘:
例如,如果您想要使用 SFTP 复制升级捆绑包,可以执行以下操作:
aaa.bbb.ccc.ddd 是 SFTP 服务器的 IP 地址或主机名,而 ise-urtbundle-3.1.xxx-1.0.0.SPA.x86_64.tar.gz 是 URT 捆绑包的名称。 |
升级就绪工具可以识别可能会导致升级失败的数据问题,并在任何可能的情况下报告或修复问题。要运行 URT,请执行以下操作:
将 URT 捆绑包复制到本地磁盘可以节省时间。
输入 application install 命令以安装 URT:
如果在上述执行期间未成功安装应用,则 URT 会返回升级失败的原因。您需要修复问题并重新运行 URT。 |
思科 ISE 具有多个预定义的授权复合条件。如果旧部署中的授权简单条件(用户定义)的名称与预定义授权复合条件的名称相同,升级过程会失败。在升级之前,请确保重命名具有以下任意预定义授权复合条件名称的授权简单条件:
Compliance_Unknown_Devices
Non_Compliant_Devices
Compliant_Devices
Non_Cisco_Profiled_Phones
Switch_Local_Web_Authentication
Catalyst_Switch_Local_Web_Authentication
Wireless_Access
BYOD_is_Registered
EAP-MSCHAPv2
EAP-TLS
Guest_Flow
MAC_in_SAN
Network_Access_Authentication_Passed
如果要在虚拟机上升级思科 ISE 节点,请确保将访客操作系统更改为支持的 Red Hat Enterprise Linux (RHEL) 版本。要执行此操作,必须关闭虚拟机,更新访客操作系统,并在更改完之后再打开虚拟机。
RHEL 7 仅支持 E1000 和 VMXNET3 网络适配器。请务必在升级之前更改网络适配器类型。
在版本 2.2 之前的版本中,如果您使用非 ASCII 字符创建发起人组,则在升级之前,请务必重命名发起人组,仅使用 ASCII 字符。
思科 ISE 版本 2.2 及更高版本不支持发起人组名称中包含非 ASCII 字符。
如果您在主管理节点与任何其他节点之间部署了防火墙,则升级前必须开放以下端口:
TCP 1521 - 用于主管理节点与监控节点之间的通信。
TCP 443 - 用于主管理节点与所有其他辅助节点之间的通信。
TCP 12001 - 用于全局群集复制。
TCP 7800 和 7802 -(仅在节点组中包含策略服务节点时适用)用于 PSN 组群集。
如需 Cisco ISE 所使用端口的完整列表,请参阅思科身份服务引擎硬件安装指南。
如需思科 ISE 所使用端口的完整列表,请参阅《思科 ISE 端口参考》。
从命令行界面 (CLI) 或 GUI 获取思科 ISE 配置和运行数据的备份。CLI 命令为:
backup backup-name repository repository-name {ise-config | ise-operational} encryption-key {hash | plain} encryption-keyname
注 |
当思科 ISE 在 VMware 上运行时,不支持用 VMware 快照备份 ISE 数据。 VMware 快照在特定时间保存 VM 的状态。在多节点思科 ISE 部署中,所有节点中的数据都与当前数据库信息保持同步。恢复快照可能会导致数据库复制和同步问题。建议您使用思科 ISE 中包含的备份功能来存档和恢复数据。 使用 VMware 快照备份 ISE 数据将导致停止思科 ISE 服务。需要重启才能激活 ISE 节点。 |
您还可以从思科 ISE 管理门户获取思科 ISE 配置和运行数据的备份。确保您已创建存储备份文件的存储库。不要使用本地存储库进行备份。您无法在远程监控节点的本地存储库中备份监控数据。系统不支持以下存储库类型:CD-ROM、HTTP、HTTPS 或 TFTP。这是因为,这些存储库类型为全部只读或者其协议均不支持文件列表。
选择管理 (Administration) > 维护 (Maintenance) > 备份和恢复 (Backup and Restore)。
在思科 ISE GUI 中,单击菜单 图标 (),然后选择 。
单击立即备份 (Backup Now)。
根据需要输入值以执行备份。
单击确定 (OK)。
验证备份是否成功完成。
在分布式部署中,不要在备份运行时更改节点角色或升级节点。如果并发运行备份,则更改节点角色会关闭所有进程,并可能导致数据不一致。在进行任何节点角色更改之前,请等待备份完成。
思科 ISE 在备份文件名中附加时间戳并将文件存储在指定存储库中。除了时间戳外,思科 ISE 会为配置备份添加 CFG 标签,为运行备份添加 OPS 标签。确保备份文件位于指定的存储库中。
注 |
利用思科 ISE,您可以从 ISE 节点 (A) 获取备份并将其恢复到另一个 ISE 节点 (B) 上,这两个节点有相同的主机名(但 IP 地址不同)。但是,当您在节点 B 上恢复备份后,不会更改节点 B 的主机名,因为这样做可能会导致证书和门户组标记出现问题。 |
从命令行界面 (CLI) 获取主管理节点系统日志的备份。CLI 命令为:
backup-logs backup-name repository repository-name encryption-key { hash | plain} encryption-key name
在升级到思科 ISE 3.1之前,请确保内部 CA 证书链有效。
在思科 ISE GUI 中,单击菜单 图标 (),然后选择
对于部署中的每个节点,请选择 友好名称 列中包含 证书服务终端从属 CA
的证书。点击 查看 并检查是否显示 证书状态良好
消息。
如果任何证书链已损坏,您必须在升级思科 ISE 之前修复该问题。要查看此处窗口,请单击菜单 图标 (),然后选择
如果思科 ISE 受信任证书或系统证书库中的任何证书已过期,升级过程会失败。在受信任的证书 (Trusted Certificates) 和系统证书 (System Certificates) 的到期日期 (Expiration Date) 字段中(要查看此处窗口,请单击菜单 图标 (),然后选择管理 (Administration) > 系统 (System) > 证书 (Certificates) > 证书管理 (Certificate Management))检查有消息,如有必要,则在升级前进行续订。
此外,请在 CA 证书 (CA Certificates) 窗口中的证书到期日期 (Expiration Date) 字段中(要查看此处窗口,请单击菜单 图标 (),然后选择管理 (Administration) > 系统 (System) > 证书 (Certificates) > 证书颁发机构 (Certificate Authority) > 证书颁发机构证书 (Certificate Authority Certificates))检查有效性,如有必要,则在升级前进行续订。
要删除过期的证书,请执行以下步骤:
步骤 1 |
在思科 ISE GUI 中,单击菜单 图标 (),然后选择 。 |
步骤 2 |
选择过期的证书。 |
步骤 3 |
单击删除 (Delete)。 |
步骤 4 |
在思科 ISE GUI 中,单击菜单 图标 (),然后选择 管理 > 系统 > 证书 > 证书管理 > 受信任证书。 |
步骤 5 |
选择过期的证书。 |
步骤 6 |
单击删除 (Delete)。 |
步骤 7 |
选择管理 (Administration) > 系统 (System) > 证书 (Certificates) > 证书颁发机构 (Certificate Authority) > 证书颁发机构证书 (Certificate Authority Certificates)。 |
步骤 8 |
选择过期的证书。 |
步骤 9 |
点击删除。 |
我们建议您:
从部署的所有节点将全部本地证书及其私钥导出到安全的位置。记录证书的配置(该证书用于何种服务)。
步骤 1 |
在思科 ISE GUI 中,单击菜单 图标 (),然后选择管理 > 系统 > 证书 > 证书管理 > 系统证书 |
步骤 2 |
选择的证书,并单击 Export。 |
步骤 3 |
选择导出证书和私钥单选按钮。 |
步骤 4 |
输入私钥密码和确认密码。 |
步骤 5 |
单击 Export。 |
从主管理节点的受信任证书库导出全部证书。记录证书的配置(该证书用于何种服务)。
步骤 1 |
在思科 ISE GUI 中,单击菜单 图标 (),然后选择管理 > 系统 > 证书 > 证书管理 > 系统证书 |
步骤 2 |
选择的证书,并单击 Export。 |
步骤 3 |
单击保存文件以导出证书。 |
步骤 4 |
在思科 ISE GUI 中,单击菜单 图标 (),然后选择管理 > 系统 > 证书 > 证书颁发机构 > 证书颁发机构证书 |
步骤 5 |
选择的证书,并单击 Export。 |
步骤 6 |
选择导出证书和私钥单选按钮。 |
步骤 7 |
输入私钥密码和确认密码。 |
步骤 8 |
单击 Export。 |
步骤 9 |
单击保存文件以导出证书。 |
在思科 ISE 中运行备份时,无法执行部署更改。因此,为了确保自动配置不会影响升级过程,您必须将其禁用。确保在升级思科 ISE 前禁用了以下配置:
主管理节点自动故障切换 - 如果您已配置主管理节点进行自动故障切换,请确保在升级思科 ISE 前禁用自动故障切换选项。
计划备份 - 当计划部署升级时,请在升级后重新计划备份。您可以选择禁用备份计划,并在升级后重新创建这些计划。
计划运行一次的备份在思科 ISE 应用每次重启时都会触发。因此,如果您将备份计划配置为仅运行一次,请务必在升级前将其禁用。
升级过程中,思科 ISE 节点会重启、进行迁移并将数据从主管理节点复制到辅助管理节点。对于这些操作而言,网络中的 NTP 服务器配置正确且可以建立连接这一点非常重要。如果 NTP 服务器未设置正确或无法建立连接,升级过程会失败。
确保您的网络中的 NTP 服务器可以在升级过程中可建立连接、可响应且可同步。
思科 ISE 版本 2.7 及更高版本使用 chrony 而不是网络时间协议后台守护程序 (ntpd)。Ntpd 可与具有 10 秒以下根分散的服务器同步,而 chrony 可与具有 3 秒以下根分散的服务器同步。因此,我们建议您在升级到思科 ISE 2.7 或更高版本之前,使用根分散较低的 NTP 服务器,以避免 NTP 服务中断。有关详细信息,请参阅 Microsoft Windows 上的 ISE 和 NTP 服务器同步故障故障排除。
思科 ISE 软件必须与芯片和设备容量同步,以支持 UCS 硬件中可用的最新 CPU/内存容量。随着 ISE 版本的发展,对旧硬件的支持将被逐步淘汰,并引入更新的硬件。最好升级虚拟机 (VM) 容量以获得更好的性能。在规划 VM 升级时,我们强烈建议使用 OVA 文件安装 ISE 软件。每个 OVA 文件都是一个包,其中包含用于描述 VM 的文件,并在设备上保留思科 ISE 软件安装所需的硬件资源。
有关 VM 和硬件要求的详细信息,请参阅 思科身份服务引擎安装指南中的“硬件和虚拟设备要求”
思科 ISE VM 需要 VM 基础设施中的专用资源。ISE 需要足够数量的 CPU 核心,类似于硬件设备,以实现性能和扩展。发现资源共享会影响 CPU 的性能、用户身份验证延迟、注册、延迟和丢弃日志、报告、控制面板响应等。这会直接影响企业中的最终用户和管理员用户体验。
注 |
在升级期间,请务必使用预留的 CPU、内存和硬盘空间资源,而不是共享资源。 |
思科 ISE 版本 2.4 及更高版本要求虚拟机的最小磁盘大小为 300GB,因为本地磁盘分配已增加到 29GB。
如果您使用分析器服务,请确保为管理员门户中的每个策略服务节点记录分析器的配置(要查看此处窗口,请单击菜单 图标 (),然后选择 管理> 系统 > 部署 > <节点> > )。选择节点,然后单击 编辑节点。在 编辑节点 页面中,转到 分析配置 选项卡。您可以记录该配置信息或获取屏幕截图。
如果您使用 Active Directory 作为外部身份源,请确保具有 Active Directory 凭证以及有效的内部管理员账户凭证。升级后,可能会丢失 Active Directory 连接。如果发生这种情况,您需要具有用于登录管理员门户的 ISE 内部管理员帐户,以及用于在 Active Directory 中加入 Cisco ISE 的 Active Directory 凭证。
如果您使用 MDM 功能,则应在升级前确保 MDM 供应商为激活状态。
如果授权策略中使用了 MDM 服务器的名称并且相应的 MDM 服务器处于禁用状态,升级过程会失败。可以执行以下操作之一,解决此问题:
在升级前启用 MDM 服务器。
将使用 MDM 服务器名称属性的条件从授权策略中删除。
创建存储库,以获取备份并复制升级捆绑包。有关如何创建存储库的信息,请参阅《思科 ISE 管理员指南》中“维护和监控”一章中的“创建存储库”。
我们建议您使用 FTP,以实现更好的性能和可靠性。请勿使用低速 WAN 链路上的存储库。我们建议您使用离节点更近的本地存储库。
确保到存储库的互联网连接正常。
注 |
当您将升级捆绑包从存储库下载到节点时,如果需要超过 35 分钟才能完成,则下载时间超时。出现这个问题的原因是互联网带宽连接不佳。 |
将升级捆绑包复制到本地磁盘可以节约升级过程的时间。或者,您可以使用 application upgrade prepare <upgrade bundle name> <repository name> 命令将升级捆绑包复制到本地磁盘并解压缩。
注 |
|
您可以从 Cisco.com 下载升级捆绑包。
要升级到版本 3.1,请使用以下升级捆绑包:ise-upgradebundle-2.x-to-3.1.0.xxx.SPA.x86_64.tar.gz
为进行升级,您可使用以下命令将升级捆绑包复制到思科 ISE 节点的本地磁盘:
copy repository_url/path/ise-upgradebundle-2.x-to-3.1.0.xxx.SPA.x86_64.tar.gz disk:/
例如,如果您想要使用 SFTP 复制升级捆绑包,可以执行以下操作:
(如果主机密钥不存在,请进行添加)crypto host_key add host mySftpserver
copy sftp://aaa.bbb.ccc.ddd/ise-upgradebundle-2.x-to-3.1.0.xxx.SPA.x86_64.tar.gz disk:/
aaa.bbb.ccc.ddd 是 SFTP 服务器的 IP 地址或主机名,而 ise-upgradebundle-2.x-to-3.1.0.xxx.SPA.x86_64.tar.gz 是升级捆绑包的名称。
确保已为虚拟机分配所需的磁盘空间。有关详细信息,请参阅 思科 ISE 安装指南 。如果需要增加磁盘大小,请重新安装 ISE 并恢复配置备份。
如果您在主管理节点 (PAN) 和策略服务节点 (PSN) 之间使用任何负载均衡器,请确保负载均衡器上配置的会话超时不会影响升级过程。如果会话超时设置为较低的值,它可能会影响负载均衡器后方的 PSN 上的升级过程。例如,如果在 PAN 到 PSN 的数据库转储期间出现会话超时,则 PSN 上的升级过程可能会失败。
升级不需要更改 MnT 磁盘容量。但是,如果您一直在填满日志并需要更大的硬件容量,则可以根据日志保留需求来规划 MnT 的硬盘大小。必须了解的是,日志保留容量已从思科 ISE 版本 2.2 增加了许多倍。
您还可以为来自不同设备的不必要的日志启用收集过滤器(要查看此处窗口,请单击菜单 图标 (),然后选择 ),这些日志可能会使思科 ISE MnT 不堪重负。
有关收集过滤器的详细信息,请参阅《思科身份服务引擎管理员指南》“维护和监控”一章中的“配置收集过滤器”部分
请参阅 思科 ISE 性能和可扩展性社区页面下的 ISE 存储要求。该表根据 RADIUS 的终端数量和 TACACS+ 的网络设备数量列出了日志保留时间。应单独为 TACACS+ 和/或 RADIUS 计算日志保留时间。