瞭解思科ISE上的新拆分升級

已更新: 2023 年 8 月 29 日

文件 ID:220857

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的，無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言，或引用第三方產品的語言，因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件，讓全世界的使用者能夠以自己的語言理解支援內容。請注意，即使是最佳機器翻譯，也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責，並建議一律查看原始英文文件（提供連結）。

簡介

本文介紹了3.2 P3中引入的增強型拆分升級功能，與傳統的拆分升級方法相比。

必要條件

需求

思科建議您瞭解以下主題：

思科身份服務引擎基礎知識

採用元件

本文件所述內容不限於特定軟體和硬體版本。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

GUI升級方法

拆分
- 在服務可用時升級部署的多步驟順序流程。

Old split upgrade 舊拆分升級

完整版
- 兩步過程，在出現服務中斷時並行升級所有節點。
- 比拆分升級需要更少的時間。

Full upgrade 完全升級

新拆分
- 批次升級
- 提高穩定性並減少停機時間。
- 比舊拆分升級更短的時間。
- 預檢查。
- 沒有URT。

New split upgrade 新拆分升級

升級路徑

2.6、2.7、3.0 >拆分/完全> 3.1
2、7、3.0、3.1 >拆分/完全> 3.2
3.0、3.1、3.2 >拆分/完全> 3.3
- 從3.2 P3開始，新的剝離升級取代了舊剝離升級，只留下兩個選項：完全升級和新剝離。

新舊拆分升級

舊的拆分升級過程

joncasil_0-1692908130909 舊拆分升級步驟

1. SPAN：註銷，配置資料升級，提升到PAN。

2. pMnT: Deregister、Register in new deployment、Download and Import運算元據升級。

3. PSN1:取消註冊、在新部署中註冊、下載和匯入資料。

4. PSN2:註銷、在新部署中註冊、下載和匯入資料。

5. sMnT:註銷、在新部署中註冊、下載和匯入運算元據升級。

6. PPAN:註冊、下載和匯入資料，升級SPAN以便進行與升級前相同的部署。

joncasil_1-1693329658995 舊拆分與新拆分

新拆分升級 — 嚮導

joncasil_2-1692908558719 步驟1

joncasil_3-1692908577273 步驟2.核對表

joncasil_4-1692908609320 步驟3.選擇節點

joncasil_5-1692908643516 步驟4.準備升級

joncasil_6-1692908929538 步驟5.升級暫存

joncasil_7-1692908960216 步驟6.升級節點

joncasil_8-1692908973592 摘要頁面

註：每次迭代都會重複相同的步驟。

詳細步驟

第3步選擇迭代的節點

可以為同一部署選擇不同的迭代。

joncasil_1-1692910405947 迭代選項

對於2個迭代，第3步開始選擇節點。

joncasil_5-1692911080638 迭代1節點選擇

步驟4.準備升級

joncasil_6-1692911388355 節點選擇

Pre joncasil_7-1692911526921 預檢查

儲存庫驗證檢查是否為所有節點配置了儲存庫
套件組合下載幫助下載。
記憶體檢查檢查PAN節點上是否有25%的可用記憶體空間，其他節點上是否有1GB的可用記憶體空間。
修補程式包下載幫助下載所選節點的修補程式包。
PAN故障切換驗證檢查檢查是否啟用了PAN高可用性。如果啟用PAN故障切換，WI將收到其將被禁用的通知。
定時備份檢查是否啟用了定時備份。 — 非必填。
Config Backup檢查檢查配置備份最近是否完成。升級過程僅在備份完成後運行。
配置資料升級在配置資料庫克隆上運行配置資料升級，並建立升級資料轉儲。下載套件組合後開始此檢查。
服務或進程故障指示服務或應用程式的狀態（是正在運行還是處於故障狀態）
平台支援檢查檢查部署中支援的平台。它檢查系統是否至少具有12個核心CPU、300 GB硬碟和16 GB記憶體。它還會檢查ESXi版本是否為6.5或更高版本。
部署驗證檢查部署節點的狀態（無論它處於同步還是正在進行中）
DNS可解析性檢查主機名和IP地址的正向和反向查詢。
信任儲存證書驗證檢查信任儲存證書是否有效或已過期。
系統證書驗證檢查每個節點的系統證書驗證。
磁碟空間檢查檢查硬碟是否有足夠的可用空間來繼續升級過程。
NTP驗證檢查系統中配置的NTP以及時間源是否來自NTP伺服器。
平均負載檢查檢查特定時間間隔內的系統負載。頻率可以是1、5或15分鐘。

注意：並非所有預檢查都適用於所有節點，其中一些預檢查僅在PAN中運行。

所有節點
- 儲存庫驗證
- 捆綁下載
- 記憶體檢查
- 修補程式包下載
- 服務或進程故障
- 平台支援檢查
- DNS可解析性
- 磁碟空間檢查
- NTP驗證
- 平均負荷檢查。
僅在PAN上
- PAN故障轉移驗證檢查
- 計畫備份檢查
- 配置備份檢查
- 配置資料升級
- 部署驗證
- 信任儲存證書驗證
- 系統證書驗證

所有預檢查的狀態可以是：

成功
警告
失敗

修復後，可以重估帶有Warnings and Failures的預檢查。

joncasil_0-1692913633819 預檢查狀態

注意：執行預檢查時，ISE服務將繼續運行。該報告的有效期為12小時，在此期間可觸發升級。

注意：捆綁包下載、修補程式捆綁包下載、平台檢查、配置資料升級和磁碟空間檢查有效期為12小時。其他預檢查將在3小時後過期，並且可以使用刷新失敗檢查按鈕或單獨的刷新按鈕重新驗證。

步驟5.預備

在成功通過下一步轉移的所有預檢查後，PAN會將之前步驟中準備的配置資料庫轉儲複製到迭代中的其餘節點。

伊特爾 joncasil_1-1692914094145 預備

注意：繼續升級暫存（通過按一下啟動暫存）步驟不會導致任何ISE服務暫停。即使ISE UI已關閉，預檢查仍將在後台繼續執行。

步驟6.升級

迭代中的所有節點並行升級，因此服務被中斷。
每個節點都有自己的進度條，並且還有一個進度條用於迭代的整體進度。
升級進度會透過PPAN監控。

joncasil_3-1692914377225 升級

迭代2

應用相同的預檢查。
在暫存期間，配置資料庫轉儲（不是升級捆綁包）從3.3中的「新」 PPAN從迭代1複製。

joncasil_4-1692914765745 迭代2，暫存

節點升級並通過新的PPAN(3.3)監控狀態

joncasil_0-1693329135755 迭代2，升級

疑難排解

預檢查失敗

請參閱ADE.log和ise-psc.log檔案。

show logging system ade/ADE.log
show logging application ise-psc.log

配置資料升級檢查

請參考輔助管理節點上的ADE.log、configdb-upgrade-[timestamp].log和dbupgrade-data-global-[timestamp].log。

show logging system ade/ADE.log
show logging application configdb-upgrade-[timestamp].log
show logging application dbupgrade-data-global-[timestamp].log

注意：收集支援捆綁包時，請確保啟用完整配置資料庫檢查以包括configdb-upgrade日誌。

升級問題，日誌收集

升級其中一個節點失敗，無法繼續部署其餘部分。

請參閱：

ADE.log
ise-psc.log

show logging system ade/ADE.log
show logging application ise-psc.log

其他日誌：

monit.log

升級問題，修復它

joncasil_0-1693332346491 故障排除操作