Guide:
Att migrera ISE

från 2.4 till 3.1

Conscias Senior Network Consultant William Lindberg har bloggat om hur du enklast gör för att migrera ISE (Cisco Identity Services Engine, Cisco ISE) från version 2.4 till version 3.X.

Migrera ISE från 2.4 till 3.1

Nyligen har det kommit många förfrågningar om att uppgradera Cisco ISE till 3.x. Här är 3.1 det generella rådet, eftersom det är Ciscos rekommendation. Jag har precis hjälpt en kund med uppgraderingen från 2.4 till 3.1 och delar gärna den erfarenheten.

Jag kommer inom kort skriva om uppgradering från ISE från 2.7 till 3.X, så du kan se det här som en teaser om vad som är på väg.  Några av tipsen kanske är användbara för den uppgraderingen också.

Steg 1: Uppgradering från 2.4 till 3.0 och importkonfiguration

Enligt Cisco Release Notes krävs minst ISE 2.6 för att uppgradera direkt till 3.1. Därför måste du först antingen uppgradera till 2.6, 2.7 eller 3.0. Om du har en virtuell ISE-dator och virtuella resurser tillgängliga kan du skapa en ny installation av ISE 3.0 med den senaste korrigeringen för att därefter migrera till konfigurationen från ISE 2.4-noden.

Här är fördelen det snabba och enkla återställningsalternativet. (Stäng bara av den nya 3.1-noden och starta sedan 2.4-noden igen). Nackdelen är att det kan ta lite längre tid att utföra uppgraderingen. Det finns redan en bra blogg om hur du går tillväga, så jag behöver inte uppfinna hjulet igen: https://www.lookingpoint.com/blog/cisco-ise-3.0-major-upgrade

Notera: Ciscos versionsnoder anger inte om du kan importera konfigurationen direkt till ISE 3.1 från 2.4, bara att uppgradering från 2.4 till 3.1 inte stöds. Jag har dock hört från kollegor att databaser kan bli stökiga med många buggar, så jag skulle inte rekommendera det.

ISE-distributionen

Just den här kunden hade bara en enda virtualiserad ISE-multifunktionsnod. Redundans är inom  virtualiseringsplattformen. Jag skulle ändå rekommendera minst 2 noder, eftersom underhållsarbete (såsom uppgradering av ISE-versionen) utan att orsaka för mycket driftstopp är svårt med bara en nod. Med 2 noder kan du spegla den sekundära nodens konfiguration, medan den primära noden hanterar autentiseringarna.

När du importerar konfigurationen till ett kluster med en nod på det här sättet vill du kanske inte inkludera konfigurationsliknande IP-adresser, eftersom det kan innebära konflikt med den befintliga noden. Det finns 2 sätt att importera config; med eller utan ADE-OS-konfiguration. ADE-OS-config är de parametrar du anger när du installerar en ny ISE-nod, till exempel IP, GW, DNS-servrar och NTP.

Importera konfigurationsdata:

restore ISE_ConfigBackup_20220802 repository REPOSITORY-NAME encryption-key plain Password8

Importera konfigurationsdata med ADE-OS-config (inledande konfiguration såsom IP och DNS): 

restore ISE_ConfigBackup_20220802 repository REPOSITORY-NAME encryption-key plain Password8 include-adeos

 

Brasklappar efter konfigurationsimport på den nya 3.0-noden

När kunden migrerat config till den nya ISE-noden blev det grafiska användargränssnittet otillgängligt. Webbrowser sa ”Oj, något gick fel, åtkomst-ID nekas, pls kontakta din administratör.” Det visar sig att det här orsakades av mer än bara en sak. Tydligen var säkerhetsnivån i 2.4 inte lika hög som i senare versioner.

En workaround för att kunna nå det grafiska gränssnittet är att starta felsäkert läge genom att köra följande kommandon i CLI:

application stop ise
application start ise safe

 

Brasklapp #1: Åtkomstbegränsning började plötsligt fungera

I ISE 2.4 (patchversion är inte känd) var åtkomstbegränsningen konfigurerbar, men fungerade inte. I ISE 3.0 fungerar det. Och för den här kunden var det felkonfigurerat.

Conscia Guide: Att migrera ISE från 2.4 till 3.1

Bild från https://community.cisco.com/t5/network-access-control/cannot-access-ise-gui/td-p/3220198

Brasklapp #2: Administratörscertifikatets CN eller SAN matchar inte FQDN

Administratörscertifikaten Common Name eller SAN=Subject Alternative Name matchade inte med FQDN. Jag är förvånad över att detta ens var tillåtet i 2.4.

Brasklapp #3: Det konfigurerade domännamnet matchade inte DNS-namnet

Kunden hade ett matchningsfel i det konfigurerade DNS-namnet. Det var ungefär så här:

ip domain-name example.com

 

men borde ha varit:

ip domain-name example1.com

 

Det är också förvånande att det fungerade bra i 2.4.

 

Steg 2: Uppgradera från ISE 3.0 till ISE 3.1

Uppgraderingen från 3.0:s senaste patch till 3.1 gick smidigt. Det finns bara en sak som kan hända om du har inaktiverat IPv6:

Caveats vid uppgradering till ISE 3.1

Caveat #1: GUI är inte nåbart om inte IPv6 är aktiverat

Kunden råkade inte ut för den här buggen eftersom IPv6 var aktiverat, vilket jag fick reda på under felsökningen. Om du inte har patchat ISE 3.1-systemet, skulle du ha råkat ut för den här buggen om IPv6 inte var aktiverat:

https://bst.cisco.com/bugsearch/bug/CSCwa08018

Bug, or a feature?

 

Slutord – Att migrera ISE

William Lindberg, Senior nätverkstekniker, Conscia NorgeHär ville jag dela några varningar om vad som kan hända under uppgradering. Nästa text blir en guide med steg-för-steg-instruktioner om vad du ska göra före, under och efter uppgraderingen.

William Lindberg

 

 

Frågor?

Kontakta oss

Kontakta oss!
Svar inom 24h