降级的准则和限制
降级前请参阅以下准则:
-
没有对集群的官方零停机降级支持- 但是,在某些情况下,零停机降级将起作用。关于降级,请参阅以下已知问题;请注意,可能会有其他需要您重新加载集群设备的问题,这会导致停机。
-
降级到具有集群功能的 9.9(1) 以前版本- 9.9(1) 及更高版本包含备份分发方面的改进。如果您的集群中有 3 个或更多个设备,您必须执行以下步骤:
-
从集群中删除所有辅助设备(使得集群仅包含主设备)。
-
将 1 个辅助设备降级,然后重新加入集群。
-
禁用主设备上的集群功能;将其降级,然后重新加入集群。
-
一次一个,将剩余的辅助设备降级,然后重新加入集群。
-
-
在启用集群站点冗余时降级到 9.9(1) 以前的版本- 如果您想要降级(或如果您想要将 9.9(1) 以前版本的设备添加到集群),您应该禁用站点冗余。否则,您会看到副作用,例如运行旧版本的设备上出现虚拟转发数据流。
-
在集群和加密映射的情况下从 9.8(1) 降级- 如果配置了加密映射,则在从 9.8(1) 降级时,将没有零停机时间降级支持。应在降级之前清除加密映射配置,在降级之后再重新应用该配置。
-
在将群集设备运行状态检查设置为 0.3 到 0.7 秒的情况下从 9.8(1) 降级- 如果在将保持时间 (health-check holdtime ) 设置为 0.3 - 0.7 秒后降级 ASA 软件,则此设置将恢复为 3 秒的默认值,因为不支持新设置。
-
在集群的情况下从 9.5(2) 或更高版本降级到 9.5(1) 或早期版本 (CSCuv82933)-在从 9.5(2) 降级时,将没有零停机时间降级支持。您必须大致在同一时间重新加载所有设备,这样当设备恢复在线时可形成新的集群。如果您等待所有设备按顺序重新加载完,则无法形成集群。
-
在集群的情况下从 9.2(1) 或更高版本降级到 9.1 或早期版本- 不支持零停机时间降级。
-
-
从 9.18 或更高版本降级问题- 9.18 中的行为发生变化,其中 访问组 命令将在其 访问组 命令之前列出。如果降级, 访问组 命令将被拒绝,因为它尚未加载 访问组 命令。即使您之前已启用 forward-reference enable 命令,也会出现此结果,因为该命令现在已被删除。在降级之前,请确保手动复制所有 访问组 命令,然后在降级后重新输入这些命令。
-
在平台模式下将 Firepower 2100 的降级问题从 9.13/9.14 降级到 9.12 或更早版本 - 对于全新安装的 9.13 或 9.14 转换为平台模式的 Firepower 2100:如果降级到 9.12 或更早版本,您将无法配置新接口或编辑 FXOS 中的现有接口(请注意,9.12 及更早版本仅支持平台模式)。您需要将版本恢复到9.13或更高版本,或者需要使用FXOS擦除配置命令清除配置。如果您最初从较早版本升级到9.13或9.14,则不会发生此问题;仅新安装的设备会受到影响,例如新设备或重新映像的设备。(CSCvr19755)
-
从9.10(1)降级以进行智能许可-由于智能代理中的更改,如果您进行降级,则必须将设备重新注册到思科智能软件管理器。新的智能代理使用加密文件,因此您需要重新注册才能使用旧智能代理所需的未加密文件。
-
使用 PBKDF2(基于密码的密钥派生功能 2)散列处理,利用密码降级到 9.5 和早期版本- 9.6 以前的版本不支持 PBKDF2 散列处理。在 9.6(1) 中,长度超过 32 个字符的 enable 和 username 密码使用 PBKDF2 散列处理。在 9.7(1) 中,所有长度的新密码都将使用 PBKDF2 散列处理(现有密码继续使用 MD5 散列处理)。如果降级,则 enable 密码将恢复为默认值(空白)。用户名不会正确解析,并将删除 username 命令。必须重新创建本地用户。
-
对于 ASA 虚拟从版本 9.5(2.200) 降级- ASA 虚拟 不会保留许可注册状态。您需使用 license smart register idtoken id_token force 命令重新注册(对于 ASDM:请参阅 Configuration > Device Management > Licensing > Smart Licensing 页面,并使用 Force registration 选);从智能软件管理器中获取 ID 令牌。
-
即使备用设备运行的软件版本不支持原始隧道协商的密码套件,也会将 VPN 隧道复制到备用设备 - 此情景在降级时出现。在此情况下,请断开 VPN 连接,然后再重新连接。
反馈