確定vEdge證書已於2023年5月9日到期

已更新: 2023 年 5 月 24 日
文件 ID:220448

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本文檔介紹如何識別具有過期證書的vEdge,該證書可能會影響控制連線、資料平面連線以及導致服務丟失。

    背景資訊

    此問題影響vEdge 100M、vEdge 100WM、vEdge 100B、vEdge 1000和vEdge 2000平台。  這是由於公共根證書在2023年5月9日UTC早上6:57到期造成的。

    note-icon

    :此事件不會影響以下平台:

    1.運行Viptela OS的vEdge Cloud、vEdge 5000和ISR 1100

    2.運行XE SD-WAN軟體的思科路由平台(物理和虛擬)

    vEdge# show control local-properties
    personality                       vedge
    sp-organization-name              CALO - 100589
    organization-name                 CALO - 100589
    root-ca-chain-status              Installed
    certificate-status                Installed
    certificate-validity              Not Valid -  certificate has expired    <<<<<<<<<<<<<<<<<<<<
    certificate-not-valid-before      May 12 17:11:21 2013 GMT
    certificate-not-valid-after       Jan 19 03:14:07 2038 GMT

    如果裝置在「小時X」之後重新載入(即2023年5月9日UTC上午6:57),還會出現以下情況:

    serial-num BOARD-ID-NOT-INITIALISED
    caution-icon

    注意:當在vManage中將硬體WAN邊緣證書授權設定為Enterprise Certificates或Onbox Certificates時,此問題適用。

    這些情況可能會影響vEdge:

    1. 失去與vSmart的連線
    2. 失去與vManage的連線
    3. Port-Hop 
    4. 控制策略更改,例如網路中的拓撲更改
    5. 清除控制連線
    6. 介面翻動
    7. 裝置重新載入
    note-icon

    注意:在控制連線建立期間,在所有情況下,Onbox證書都由控制器進行驗證。使用企業證書時,會驗證Onbox證書和企業證書。

    注意:有關此行為的更多資訊,請參考思科錯誤ID CSCwf28118

    避免服務中斷的預防措施

    為了防止服務完全丟失,請避免本節中的這些操作。

    1. 重新載入裝置
    2. 更新策略
    3. 模板推送

    注意:裝置重新載入將導致平滑重啟計時器重置,並且路由器無法重新連線到交換矩陣。如果沒有重新載入,即使控制連線關閉,資料平面(BFD)會話仍會保持開啟狀態,流量也能夠通過,直到平滑重啟計時器過期。

    補救流程

    思科已發佈軟體的升級版本以永久解決此問題。在採取任何操作之前,請仔細閱讀整個過程。 

    解決此問題的高級流程是:

    1. 執行預檢查以便為控制器的升級做準備
    2. 將SD-WAN控制器升級到固定版本
    3. 在vEdge和控制器之間恢復控制和BFD連線 
    4. 執行預檢查以準備升級vEdge軟體
    5. 將vEdge軟體升級到固定版本
    6. 升級後注意事項

    此處引用了三種方案。補救步驟因適用於網路中每個vEdge的場景而異。

    場景1:vEdge控制連線已啟動,但未重新啟動vEdge。

    場景2:vEdge控制連線已關閉,且尚未重新啟動vEdge。

    場景3:vEdge控制連線已關閉,並且vEdge已重新啟動。 

    固定軟體版本

    思科將繼續努力儘快構建和驗證固定軟體版本。新版本通過驗證並發佈到Cisco.com後,將更新此頁面。 

    tip-icon

    提示:使用Cisco.com上「軟體下載」頁面上的「我的通知」功能,當您感興趣的任何思科產品有新軟體時,您就可以收到通知。

    使用所示的表根據當前版本確定可升級到的版本。可能支援多個升級路徑。

    當版本可用時,會新增更多版本。如果您的版本未列在Current Version列中,則此時沒有可用的升級路徑。

    tip-icon

    提示:建議在計畫的維護時段之前存放軟體映像。 使用安裝在視窗出現之前暫存映像。 請勿在此過程中勾選「Activate and Reboot」覈取方塊,否則裝置將在安裝完成後立即完成升級。 這可確保縮短維護時間。

    note-icon

    注意:為了確保思科映像的完整性,客戶可以採用常見的最佳實踐來使用為映像提供的SHA校驗和對其進行驗證。 思科提供批次雜湊檔案,作為客戶從思科軟體下載頁面重新驗證下載映像的有用工具。有關更多詳細資訊,請訪問https://www.cisco.com/c/en/us/about/trust-center/downloads.html

    升級建議表

    根據到期證書問題的修復程式,建議使用下表中的軟體版本。此問題範圍之外的升級必須僅按照產品文檔中的說明以及基於您升級到的版本的Cisco SD-WAN發行說明進行。

    note-icon

    意:思科強烈建議您留在當前的版本系列中,以減輕認證過期問題對生產的影響。例如,如果您目前使用的是20.3.2,請升級到20.3.7.1。

    由於思科錯誤ID CSCwf28118不會影響vEdge 5000、vEdge Cloud和ISR 1100,因此目前無需升級。

    當前版本

    升級版本

    下載連結

    18.4之前的所有版本

    20.3.7.1

    呼叫TAC以開啟服務請求。 

    18.4

    19.x

    20.1.x

    20.3.7.1

    已閱讀18.4、19.x和20.1的升級程式

    20.3.x

     20.3.7.1

    Vedge軟體

    https://software.cisco.com/download/home/286320990/type/286321106/release/20.3.7.1

    SD-WAN軟體更新 

    https://software.cisco.com/download/home/286320995/type/286321394/release/20.3.7.1

    有關先前推薦的版本,請閱讀本特別建議。

    20.4.1 

    20.4.1.1 

    20.4.1.2 
    20.4.2 

    20.4.2.3 

    Vedge軟體

    https://software.cisco.com/download/home/286320990/type/286321106/release/20.4.2.3

    SD-WAN軟體更新 

    https://software.cisco.com/download/home/286320995/type/286321394/release/20.4.2.3

    升級之前請閱讀本特殊建議。

    20.6.1.1 

    20.6.1.2 

    vEdge軟體 

    https://software.cisco.com/download/home/286320990/type/286321106/release/20.6.1.2

    SD-WAN軟體更新

    https://software.cisco.com/download/home/286320995/type/286321394/release/20.6.1.2

    20.6.2

    20.6.3.1

    20.6.3.2

    vEdge軟體:

    https://software.cisco.com/download/home/286320990/type/286321106/release/20.6.3.2

    SD-WAN軟體更新:

    https://software.cisco.com/download/home/286320995/type/286321394/release/20.6.3.2

    升級之前請閱讀本特殊建議。

    20.6.4 

    20.6.4.1 

    vEdge軟體
    https://software.cisco.com/download/home/286320990/type/286321106/release/20.6.4.1

    SD-WAN軟體更新
    https://software.cisco.com/download/home/286320995/type/286321394/release/20.6.4.1

    升級之前請閱讀本特殊建議。

    20.5.x
    20.6.5 

    20.6.5.2 

    vEdge軟體
    https://software.cisco.com/download/home/286320990/type/286321106/release/20.6.5.2

    SD-WAN軟體更新
    https://software.cisco.com/download/home/286320995/type/286321394/release/20.6.5.2

    20.7.x 

    20.8.x 

    20.9.x 

    20.9.3.1 

    vEdge軟體
    https://software.cisco.com/download/home/286320990/type/286321106/release/20.9.3.1

    有關vEdge硬體與此版本的相容性,請閱讀此說明

    SD-WAN軟體更新
    https://software.cisco.com/download/home/286320995/type/286321394/release/20.9.3.1

    20.10

    20.10.1.1

    SD-WAN軟體更新

    https://software.cisco.com/download/home/286320995/type/286321394/release/20.10.1.1

    檢查相容性表以選擇vEdge軟體版本。

    20.11.1 

    20.11.1.1 

    SD-WAN軟體更新

    https://software.cisco.com/download/home/286320995/type/286321394/release/20.11.1.1

    檢查相容性表以選擇vEdge軟體版本。
    note-icon

    注意:對於混合版本環境,請根據裝置當前運行的映像按照下表中的建議執行軟體升級。

    檢查相容性矩陣以確定任何可能的控制器/邊緣相容性問題,並在出現任何疑慮時開啟TAC SR以尋求支援。

    note-icon

    注意:工程特殊(ES)映像的客戶(尚未升級到具有修復程式的映像)需要開啟TAC SR,以獲得進一步指導。

    vEdge-2000相容性

    vEdge-2000支援的最後一個軟體映像系列是20.9.x。

    vEdge-100B、vEdge-100M、vEdge-1000相容性

    vEdge-100B、vEdge-100M和vEdge-1000支援的最後一個軟體映像系列是20.6.x。使用中的當前版本和軟體映像來識別建議的目標版本。

    如果vEdge-100B、vEdge-100M和vEdge-1000恰好已經在20.7.x及更高版本上,請向TAC SR打開指南。

    caution-icon

    注意:由於可能對生產造成影響,我們建議客戶僅在維護時段執行升級。在生產環境發生任何其它變更之前,確保並確認網路穩定性。

    SD-WAN控制器和vEdge軟體相容性表

    note-icon

    意:思科強烈建議您留在當前的版本系列中,以減輕認證過期問題對生產的影響。

    例如,如果您目前使用的是20.3.2,請升級到20.3.7.1。

    升級後證書修復程式,如果您選擇從一個版本系列升級到另一個主要版本系列,思科建議您升級到該版本系列中的首選版本。

    例如,對於認證後修復:如果您當前使用的是20.3.7.1,並計畫升級到20.6版本系列,思科建議您升級到首選的20.6.5.2版本。

    SD-WAN控制器

    vEdge 100M、vEdge 100B、vEdge 1000

    vEdge 2000

    20.3.3.21

    20.3.3.21

    20.3.3.21

    20.3.4.31

    20.3.3.21、20.3.4.31

    20.3.3.21、20.3.4.31

    20.3.5.11

    20.3.3.21、20.3.4.31、20.3.5.11

    20.3.3.21、20.3.4.31、20.3.5.11

    20.3.7.12

    20.3.3.21、20.3.4.31、20.3.5.11、20.3.7.12

    20.3.3.21、20.3.4.31、20.3.5.11、20.3.7.12

    20.4.2.3

    20.3.3.2120.3.7.1、20.4.2.3

    20.3.3.2120.3.7.1、20.4.2.3

    20.6.1.2

    20.6.1.2

    20.6.1.2

    20.6.3.2

    20.3.3.21、20.3.4.31、20.3.5.1120.3.7.12、20.4.2.3、20.6.1.2、20.6.3.2

    20.3.3.21、20.3.4.31、20.3.5.1120.3.7.12、20.4.2.3、20.6.1.2、20.6.3.2

    20.6.4.1

    20.3.3.21、20.3.4.31、20.3.5.11、20.4.2.3、20.6.1.2、20.6.3.2、20.6.4.1

    20.3.3.21、20.3.4.31、20.3.5.11、20.4.2.3、20.6.1.2、20.6.3.2、20.6.4.1

    20.6.5.22

    20.3.3.21、20.3.4.31、20.3.5.1120.3.7.12、20.4.2.3、20.6.1.2、20.6.3.2、20.6.4.1、20.6.5.22

    20.3.3.21、20.3.4.31、20.3.5.1120.3.7.12、20.4.2.3、20.6.1.2、20.6.3.2、20.6.4.1、20.6.5.22

    20.9.3.12

    20.3.3.21、20.3.4.31、20.3.5.1120.3.7.12、20.4.2.3、20.6.1.2、20.6.3.2、20.6.4.1、20.6.5.22

    20.3.3.21、20.3.4.31、20.3.5.11、20.3.7.12、20.4.2.3、20.6.1.2、20.6.3.2、20.6.4.1、20.6.5.2220.9.3.12

    20.10.1.1

    20.6.1.2、20.6.3.2、20.6.4.1

    20.6.1.2、20.6.3.2、20.6.4.1

    20.11.1.1

    20.6.1.2、20.6.3.2、20.6.4.1、20.6.5.22

    20.6.1.2、20.6.3.2、20.6.4.1、20.6.5.2220.9.3.12

    1此映像不再提供下載。對於已經部署了這些服務的客戶,這些服務都進行了記錄。

    2表示包含憑證修復程式的首選版本。 

    在控制器升級之前要執行的預檢查

    備份控制器

    • 如果雲託管,請確認已完成最新備份,或啟動下一步中提到的config db備份。
      • 您可以檢視當前備份並從SSP門戶觸發按需快照。  在此處查詢更多指導
    • 如果是本地,請獲取控制器的config-db備份和VM快照。
    vManage# request nms configuration-db backup path /home/admin/db_backup
    successfully saved the database to /home/admin/db_backup.tar.gz
    • 如果是本地,請收集show running-config並將其儲存在本地。
    • 如果為內部版本,請確保您知道neo4j密碼,並記下準確的最新版本。 

    運行AURA檢查

    確保傳送到控制器/傳送到vBond已完成

    檢查vManage Statistics收集間隔

    思科建議Administration > Settings中的Statistics Collection Interval設定為預設計時器30分鐘。

    note-icon

    注意:思科建議在升級之前將vSmarts和vBonds附加到vManage模板。

    驗證vSmart和vBond上的磁碟空間

    使用命令df -kh | grep boot from vShell以確定磁碟的大小。

    controller:~$ df -kh | grep boot
/dev/sda1       2.5G  232M  2.3G  10% /boot
controller:~$

    如果大小大於200 MB,請繼續升級控制器。 

    如果大小小於200 MB,請執行以下步驟:

    1.驗證當前版本是否為show software命令下列出的唯一版本。

    VERSION    ACTIVE   DEFAULT PREVIOUS  CONFIRMED TIMESTAMP 
    ------------------------------------------------------------------------------
    20.11.1     true    true    false    auto     2023-05-02T16:48:45-00:00 
    20.9.1      false   false   true     user     2023-05-02T19:16:09-00:00 
    20.8.1      false   false   false    user     2023-05-10T10:57:31-00:00

    2.驗證是否在show software version指令下將目前版本設定為預設版本。

    controller# request software set-default 20.11.1
    status mkdefault 20.11.1: successful
    controller#

    3.如果列出更多版本,請使用request software remove <version>命令刪除所有未處於活動狀態的版本。這將增加可用於繼續升級的空間。 

    controller# request software remove 20.9.1
    status remove 20.9.1: successful
    vedge-1# show software
    VERSION   ACTIVE DEFAULT PREVIOUS CONFIRMED TIMESTAMP 
    ------------------------------------------------------------------------------
    20.11.1   true   true    false    auto      2023-05-02T16:48:45-00:00 
    controller#

    4.檢查磁碟空間以確保大於200 MB。如果不是,請開啟TAC SR。 

    升級控制器

    這是針對每個客戶執行的後續步驟的摘要。

    caution-icon

    注意:確認已按照上一節所述完成所有預檢查和備份。

    • 將新軟體版本上傳到升級儲存庫。
    • 確保選擇了具有此問題修復程式的控制器映像。
    • 使用以下順序中的映像修復升級控制器。
      1. vManage
      2. vBond
      3. vSmart

    注意:如果通過CLI繼續控制器升級,請記住執行「request software upgrade-confirm」。

    vManage獨立升級

    對於獨立vManage,必須執行以下步驟:

    1. 將映像複製到vManage Maintenance > Software repository
    2. 使用vManage Maintenance>軟體升級進行升級
    3. 按一下「Upgrade」,然後等待升級完成
    4. 導航回同一頁,按一下vManage,然後按一下Activate
    note-icon

    :vManage升級對資料網路沒有影響。

    vManage群集升級

    在集群升級的情況下,必須執行Cisco SD-WAN入門指南 — 集群管理[Cisco SD-WAN] — 思科指南中提到的步驟。 

    note-icon

    :vManage群集升級對資料網路沒有影響。

    caution-icon

    注意:如果在升級集群時遇到任何問題或問題,請在繼續之前聯絡TAC。

    vBond升級

    vBond升級使用與vManage升級相同的過程。

    warning-icon

    警告:vBonds必須按順序升級。在進入下一版本之前,驗證每個vBond上的升級是否已完成。

    1. 將映像複製到vManage Maintenance > Software repository
    2. 使用vManage Maintenance > Software upgrade升級
    3. 按一下「Upgrade」,然後等待升級完成
    4. 導航回同一頁,按一下vManage,然後按一下Activate
    5. 在vBond上使用show orchestrator connections命令進行驗證
    6. 在vManage上使用show control connections命令進行驗證

    vSmart升級

    vSmart升級使用與vManage升級相同的流程。

    warning-icon

    警告:vSmarts必須按順序升級。在進入下一版本之前,驗證每個vSmart上的升級是否已完成。

    1. 將映像複製到vManage Maintenance > Software repository
    2. vManage UI Maintenance > Software upgrade升級vSmart
    3. 按一下「Upgrade」,等待升級完成
    4. 導航回同一頁。選擇vSmart,然後按一下Activate
    5. 使用vSmart上的show control connections命令驗證升級後會話是否已恢復
    note-icon

    注意:在軟體升級期間,vSmart重新啟動時,裝置會順利重新啟動,而不會對網路造成影響。

    驗證所有控制器升級後是否已建立控制連線

    在控制器升級後,對於方案1方案2中的所有vEdge,必須恢復控制和BFD連線。

    升級vEdge

    warning-icon

    意:vEdge升級是完全防止vEdge路由器電源重啟的步驟的最後一步,如案例3所述

    note-icon

    注意:建議在計畫的「Maintenance Window(維護視窗)」之前暫存vEdge軟體映像。 使用安裝在視窗出現之前暫存映像。 請勿在此過程中勾選「Activate and Reboot」覈取方塊,否則裝置將在安裝完成後立即完成升級。 這可確保縮短維護時間。

    您可以通過以下方式從vManage一次將影象載入到多個vEdge:

    1.導航至vManage UI。導航到維護>軟體儲存庫。載入vEdge影象。選擇需要升級的裝置後,您可以導覽至Maintenance > Software Upgrade,然後按一下Upgrade

    2.導航至vManage UI。導航到維護>軟體儲存庫。按一下「Add new software」。按一下Remote server。輸入控制器版本、vEdge版本和儲存映像的FTP/HTTP URL的完整路徑。例如,ftp://<username>:<password>@<FTP server>/<path>/<image name>。選擇需要使用Remote server選項進行升級的裝置後,可以導航到Maintenance > Software Upgrade,然後按一下Upgrade

    note-icon

    :根據頻寬按批選擇vEdge以推送影象。

    vEdge升級前的預檢查 

    caution-icon

    注意:如果跳過這些預檢查,vEdge升級可能會因磁碟空間不足而失敗。

    1.驗證當前版本是否為show software命令下列出的唯一版本。

    VERSION    ACTIVE   DEFAULT PREVIOUS  CONFIRMED TIMESTAMP 
    ------------------------------------------------------------------------------
    20.11.1     true    true    false    auto     2023-05-02T16:48:45-00:00 
    20.9.1      false   false   true     user     2023-05-02T19:16:09-00:00 
    20.8.1      false   false   false    user     2023-05-10T10:57:31-00:00

    2.驗證是否在show software version指令下將目前版本設定為預設版本。

    vedge-1# request software set-default 20.11.1
    status mkdefault 20.11.1: successful
    vedge-1#

    3.如果列出更多版本,請使用request software remove <version>命令刪除所有未處於活動狀態的版本。這將增加可用於繼續升級的空間。 

    vedge-1# request software remove 20.9.1
    status remove 20.9.1: successful
    vedge-1# show software
    VERSION   ACTIVE DEFAULT PREVIOUS CONFIRMED TIMESTAMP 
    ------------------------------------------------------------------------------
    20.11.1   true   true    false    auto      2023-05-02T16:48:45-00:00 
    vedge-1#

    4.使用vShell和命令df -h以確認有足夠的可用磁碟空間來執行升級。

    VEDGE-1000-AC-K9# vshel
    VEDGE-1000-AC-K9:~$ df -h
    Filesystem      Size  Used Avail Use% Mounted on
    none            1.4G  8.0K  1.4G   1% /dev
    /dev/sda1      1013M  518M  445M  54% /boot
    /dev/loop0       78M   78M     0 100% /rootfs.ro
    /dev/sda2       6.0G  178M  5.5G   4% /rootfs.rw
    aufs            6.0G  178M  5.5G   4% /
    tmpfs           1.4G  300K  1.4G   1% /run
    shm             1.4G   48K  1.4G   1% /dev/shm
    tmp             600M   84K  600M   1% /tmp
    tmplog          120M   37M   84M  31% /var/volatile/log/tmplog
    svtmp           1.0M  312K  712K  31% /etc/sv

    5.如果/tmp已滿,請開啟TAC SR,以獲得在升級之前清除/tmp/tmp目錄中的空間的幫助。

    vEdge Upgrade Scenario 1:控制連線已啟動,且尚未重新啟動vEdge

    將控制器升級為具有此修復程式的版本後,尚未重新引導的vEdge裝置將自動重新建立連線。

    重要資訊:此狀態下的vEdge裝置需要升級。必須儘快予以優先重視和規劃。如果需要,請儘快在非工作時間執行。 規劃裝置的升級,以避免由於裝置的任何重新啟動或電源重啟而影響控制和資料平面。升級前不得重新啟動裝置。

    要升級vEdge,請按照下列步驟操作:

    1. 通過維護>軟體儲存庫將新vEdge軟體複製到vManage
    2. vManage Maintenance > Software upgrade升級vEdge
    3. 按一下升級,然後等待升級完成
    4. 導航回同一頁。選擇vEdge,然後按一下「啟用」(Activate)

    升級後驗證

    • 驗證控制連線和BFD會話
    • 驗證OMP路由和服務VPN路由 — 在vEdge和集線器/其他節點之間的每個服務VPN段上測試端到端的ping
    • 檢查升級後注意事項

    vEdge升級場景2:控制連線已關閉,並且vEdge未重新啟動

    將控制器升級為具有此修復程式的版本後,尚未重新引導的vEdge裝置將自動重新建立連線。

    重要資訊:此狀態下的vEdge裝置需要升級。必須儘快予以優先重視和規劃。如果需要,請儘快在非工作時間執行。  規劃裝置的升級,以避免由於裝置的任何重新啟動或電源重啟而造成控制和資料平面影響。升級前不得重新啟動裝置。

    要升級vEdge,請按照下列步驟操作:

    1. 通過維護>軟體儲存庫將新vEdge軟體複製到vManage
    2. vManage Maintenance > Software upgrade升級vEdge
    3. 按一下升級,然後等待升級完成
    4. 導航回同一頁。選擇vEdge,然後按一下「啟用」(Activate)

    升級後驗證

    • 驗證控制連線和BFD會話
    • 驗證OMP路由和服務VPN路由 — 在vEdge和集線器/其他節點之間的每個服務VPN段上測試端到端的ping
    • 檢查升級後注意事項

    場景3:vEdge,控制連線關閉,裝置重新啟動/重新通電

    caution-icon

    注意:要恢復這些裝置,需要進行帶外訪問。 

    此輸出顯示在證書過期後重新啟動的vEdge裝置。使用命令show control local-properties | inc serial and confirm the output shown BOARD-ID-NOT-INITIALIZED。

    vedge# show control local-properties | inc serial
    serial-num                        BOARD-ID-NOT-INITIALISED
    subject-serial-num                N/A
    enterprise-serial-num             No certificate installed
    vedge#

    更改vEdge上的日期/時間以恢復控制連線

    這些步驟要求對vEdge裝置(如控制檯或直接SSH)進行帶外訪問。

    在控制連線關閉的vEdge上,將時鐘回滾到2023年5月5日(例如#clock set date 2023-05-05 time 15:49:00.000)。

    vedge# clock set date 2023-05-05 time 10:23:00
    vedge# show clock
    Mon May 5 10:23:37 UTC 2023
    vedge#

    等待2-3分鐘,等待board-id初始化。選中show control local-properties以確保裝置現在具有輸出中顯示的編號。 

    vedge# show control local-properties | inc serial
    serial-num                        10024640
    subject-serial-num                N/A
    enterprise-serial-num             No certificate installed
    vedge#

    (可選)如果board-id初始化在2-3分鐘內沒有發生,請重新載入vEdge並檢查show control local-properties輸出,以確保裝置現在在輸出中列出了其序列號

    board-id初始化後,使用show certificate validity 指令驗證憑證

    vedge# show certificate validity 
    The certificate issued by c33d2cf4-e586-4df4-ac72-298422644ba3 is valid from Sep 7 02:50:16 2021 GMT (Current date is Mon May 1 10:25:03 GMT 2023) & valid until Sep 5 02:50:16 2031 GMT
    vedge#

    成功恢復控制連線後,使用YYYY-MM-DD格式和HH:MM::SS格式將時鐘更正為當前時間(日期和時間)。

    此範例僅作說明之用。始終將日期和時間設定為當前時間。

    vedge# clock set date YYYY-MM-DD time HH:MM::SS
    vedge# show clock
    Wed May 10 10:23:37 UTC 2023
    vedge#

    使用show control connections命令驗證控制連線是否處於開啟狀態。

    vedge# show control connections
                                                                                           PEER                                          PEER                                          CONTROLLER
    PEER    PEER PEER            SITE       DOMAIN PEER                                    PRIV  PEER                                    PUB                                           GROUP
    TYPE    PROT SYSTEM IP       ID         ID     PRIVATE IP                              PORT  PUBLIC IP                               PORT  LOCAL COLOR     PROXY STATE UPTIME      ID
    ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
    vsmart  dtls 10.3.3.1       10         1      192.168.24.112                          12346 192.168.24.112                          12346 private1        No    up     0:14:33:46  0
    vsmart  dtls 10.3.3.1       10         1      192.168.24.112                          12346 192.168.24.112                          12346 private2        No    up     0:14:33:46  0
    vbond   dtls 0.0.0.0         0         0      192.168.28.122                          12346 192.168.28.122                          12346 private1        -     up     0:14:33:47  0
    vbond   dtls 0.0.0.0         0         0      192.168.28.122                          12346 192.168.28.122                          12346 private2        -     up     0:14:33:47  0
    vmanage dtls 10.1.1.1       10         0      192.168.25.209                          12346 192.168.25.209                          12346 private1        No    up     0:14:33:46  0

    注意:處於此狀態的vEdge裝置需要升級。必須儘快予以優先重視和規劃。如果需要,在非工作時間的「Maintenance Window(維護時段)」期間執行。 規劃裝置的升級,以避免由於裝置的任何重新引導或電源重啟而受到影響。升級前不得重新啟動裝置。

    要升級vEdge,請執行以下步驟:

    1. 通過Maintenance > Software repository將vEdge映像修復程式複製到vManage
    2. vManage UI Maintenance > Software upgrade升級vEdge
    3. 按一下「Upgrade」,然後等待升級完成
    4. 導航回同一頁。選擇vEdge,然後按一下Activate
      ·驗證控制連線和BFD會話是否為UP
      ·檢驗OMP路由和服務VPN路由 — 在vEdge和集線器/其他節點之間的每個服務VPN段上測試端到端的ping
    5. 檢查升級後注意事項

    18.4、19.x和20.1升級程式(2000年5月13日修訂,UTC) 

    從18.4、19.x和20.1.x版進行的所有升級都必須升級到20.3.7.1版。

    本節已修訂,說明使用小於2.5G的啟動磁碟將vManage升級到20.1.3.1而不是20.1.3。

    新的20.1.3.1 vManage軟體包括更新的證書,允許裝置在執行第二次升級到20.3.7.1時進行連線。

    caution-icon

    注意:在繼續操作之前,請仔細閱讀本節內容。可能需要多次升級。

    升級前檢查

    繼續進行任何升級之前,您必須完成所有預檢查以幫助確保升級成功。 

    這些升級前檢查將驗證資料庫大小、計算資源和啟動磁碟大小。

    通過CLI檢查資料庫大小

    使用命令request nms configuration-db diagnostic | i TotalStoreSize,獲取資料庫大小(以位元組為單位)。

    vshell執行命令expr <number of bytes> / 1024 / 1024 / 1024 以將此輸出轉換為以GB為單位的整數值。

    vmanage# request nms configuration-db diagnostics | i TotalStoreSize
    | "StoreSizes"     | "TotalStoreSize"                     | 3488298345                |
    vmanage1# vshell
    vmanage1:~$ expr 348829834 / 1024 / 1024 / 1024
    3

    此示例顯示資料庫大小為3 GB。

    warning-icon

    停止:如果您的資料庫大小為5GB或更高,請開啟TAC SR以獲得此升級的幫助。

    如果資料庫大小小於5GB,則繼續升級。

    驗證計算資源 

    確保計算資源符合20.3計算資源指南

    • 使用命令lscpu檢查vCPU | grep CPU\ MHz
    vmanage1:~$ lscpu | grep CPU\ MHz
CPU MHz:                         2999.658
vmanage1:~$
    • 使用free -g指令檢查記憶體 | grep Mem and free —giga | grep Mem
    vmanage1:~$ free -g | grep Mem
Mem:             31          21           7           0           2           9
vmanage1:~$ free --giga | grep Mem
Mem:             33          23           7           0           2           9
vmanage1:~$
    • 使用df -kh指令檢查第三個分割槽(/opt/data)大小
    vmanage1:~$ df -kh | grep "/opt/data"
/dev/sdb 108G 24G 79G 23% /opt/data
vmanage1:~$

    如果計算資源與20.3不一致,請在升級前增加計算資源。 

    使用CLI檢查引導磁碟空間

    使用命令df -kh | grep boot from vShell以確定磁碟的大小。

    vmanage# vshell
    vmanage:~$ df -kh | grep boot
    /dev/sda1       5.0G  4.7G  343M  94% /boot
    vmanage:~$

    此示例顯示/boot disk is 5.0G。 

    warning-icon

    告:如果vManage啟動磁碟小於2.5G,則必須執行逐步升級至版本20.1

    在18.4和19.x版上升級vManage

    執行升級 — vManage獨立

    如果啟動盤的大小小於2.5G,則必須將vManage升級到版本20.1,然後繼續。

    如果磁碟大小為2.5G或更高,可以直接升級到20.3.7.1。

    執行升級 — vManage Cluster

    如果磁碟大小小於2.5G,則必須將vManage升級到20.1.3.1版,然後才能繼續。

    warning-icon

    停止:開啟TAC SR以獲得幫助,以便在vManage群集上逐步升級。

    如果磁碟大小為2.5G或更高,可以直接升級到20.3.7.1。

    升級vManage 20.1.x

    執行升級 — vManage獨立或集群

    將vSmart和vBond從18.4、19.x或20.1升級到20.3.7.1

    vSmarts和vBonds可以直接從所有版本升級到20.3.7.1。

    將vEdge從18.4、19.x或20.1升級到20.3.7.1

    vSmarts、vBonds和vEdge裝置可以直接從所有版本升級到20.3.7.1。

    升級後注意事項

    如果在升級前更改配置以增加平滑重啟計時器和IPSec重新生成金鑰計時器,則建議將配置回滾到升級前已存在的設定,以避免潛在的不必要影響。  

    特別諮詢

    已將其控制器升級為低於20.3.7.1的版本並正在升級其vEdge的客戶可以聯絡TAC以訪問各個vEdge映

    有關思科錯誤ID CSCwd46600的建議

    本文檔的先前版本建議客戶升級到幾個版本的20.3.x(20.3.3.2、20.3.5.1、20.3.4.3、20.3.7.1)。

    思科建議執行映像20.3.x的客戶,將其控制器和vEdge升級為映像20.3.7.1。

    執行低於20.3.7.1、20.4和20.6x版本(低於20.6.5.1)的19.x和20.3.x版本的裝置在升級後可能會遇到思科錯誤ID CSCwd46600。若要暫時解決此問題,請運行以下任一命令:

    request security ipsec-rekey

    或 

    request port-hop color

    但是,強烈建議客戶將其控制器和vEdge裝置升級到20.3.7.1或20.6.5.1。

    根據先前指南將所有vEdge裝置完全升級為20.3.7.1、20.3.4.3之前的20.3.x版本或20.6.5.1之前的20.6.x版本的客戶,若未受到錯誤的影響,可以選擇繼續使用此版本。建議在稍後的計畫維護時段內升級到20.3.7.1或20.6.5.1。

    20.6.x版本系列建議(0800 UTC,5月15日修訂)

    本文檔的先前版本建議客戶升級到幾個版本的20.6.x(20.6.3.2、20.6.4.1、20.6.5.2)。 

    思科建議執行映像20.6.x並在介面上設定追蹤器的客戶將其控制器和vEdge升級為映像20.6.5.2。

    設定了追蹤器的裝置在升級過程中可能會遇到思科錯誤ID CSCvz44093。  為了避免此錯誤的影響,您可以在升級之前移除追蹤器組態。 

    強烈建議客戶將其控制器和vEdge裝置升級到20.6.5.2。

    根據先前指南將所有vEdge裝置完全升級為20.6.3.2和20.6.4.1的客戶,若未受到錯誤影響,可選擇維持此版本。

    修訂記錄

    修訂 發佈日期 意見
    29.0
    24-May-2023
    對特別諮詢科的更新
    28.0
    19-May-2023
    對背景資訊的次要更新
    27.0
    18-May-2023
    向背景資訊新增其他詳細資訊
    24.0
    16-May-2023
    將100WM系列新增到受影響型號宣告中。
    23.0
    15-May-2023
    20.6.x版本培訓特別建議
    22.0
    14-May-2023
    新增了使用TAC案例釋放磁碟空間的說明
    21.0
    14-May-2023
    次要相容性更改
    20.0
    13-May-2023
    首選映像的相容性矩陣更新
    19.0
    13-May-2023
    更新說明以提及未受影響的其他平台。針對客戶的工程特別計畫、 20.10/20.11沒有vEdge映像
    18.0
    13-May-2023
    已刪除20.5.x的多個升級選項。20.6.5.2是20.5.x軟體的推薦升級路徑
    17.0
    12-May-2023
    16/17指南,更新的20.1配置資料庫檢查
    16.0
    12-May-2023
    針對20.3.x代碼中建議的更改的修訂建議更新。
    15.0
    12-May-2023
    針對20.3.x代碼中建議更改的修訂建議更新
    14.0
    12-May-2023
    升級後注意事項,20.3計算資源
    13.0
    11-May-2023
    18.x/19.x升級指南,硬體相容性
    12.0
    11-May-2023
    SUDI未受影響,企業認證指南,特別諮詢部分,更新的20.3.x升級指南
    11.0
    11-May-2023
    18.x/19.x的更新路徑,混合環境指南,預備
    10.0
    11-May-2023
    已更新20.10.1.1的連結
    9.0
    11-May-2023
    已更新20.3.3.2的連結
    8.0
    11-May-2023
    東部時間5月10日晚上10點更新
    6.0
    10-May-2023
    東部時間5月10日晚上7點30分更新
    5.0
    10-May-2023
    東部時間5月10日下午5:30更新
    4.0
    10-May-2023
    東部時間5月10日下午3:30更新
    3.0
    10-May-2023
    因應措施更新5/9 10PM PT
    2.0
    10-May-2023
    緩解更新
    1.0
    09-May-2023
    初始版本
    TAC Authored

    由思科工程師貢獻

    • Amanda Nava Zarate
      Cisco TAC Technical Leader
    • Kendra J Dodson
      Cisco TAC Technical Leader
    • Ryan Ratliff
      Cisco TAC Manager

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品