Migrera ISE från 2.4 till 3.1
Nyligen har det kommit många förfrågningar om att uppgradera Cisco ISE till 3.x. Här är 3.1 det generella rådet, eftersom det är Ciscos rekommendation. Jag har precis hjälpt en kund med uppgraderingen från 2.4 till 3.1 och delar gärna den erfarenheten.
Jag kommer inom kort skriva om uppgradering från ISE från 2.7 till 3.X, så du kan se det här som en teaser om vad som är på väg. Några av tipsen kanske är användbara för den uppgraderingen också.
Steg 1: Uppgradering från 2.4 till 3.0 och importkonfiguration
Enligt Cisco Release Notes krävs minst ISE 2.6 för att uppgradera direkt till 3.1. Därför måste du först antingen uppgradera till 2.6, 2.7 eller 3.0. Om du har en virtuell ISE-dator och virtuella resurser tillgängliga kan du skapa en ny installation av ISE 3.0 med den senaste korrigeringen för att därefter migrera till konfigurationen från ISE 2.4-noden.
Här är fördelen det snabba och enkla återställningsalternativet. (Stäng bara av den nya 3.1-noden och starta sedan 2.4-noden igen). Nackdelen är att det kan ta lite längre tid att utföra uppgraderingen. Det finns redan en bra blogg om hur du går tillväga, så jag behöver inte uppfinna hjulet igen: https://www.lookingpoint.com/blog/cisco-ise-3.0-major-upgrade
Notera: Ciscos versionsnoder anger inte om du kan importera konfigurationen direkt till ISE 3.1 från 2.4, bara att uppgradering från 2.4 till 3.1 inte stöds. Jag har dock hört från kollegor att databaser kan bli stökiga med många buggar, så jag skulle inte rekommendera det.
ISE-distributionen
Just den här kunden hade bara en enda virtualiserad ISE-multifunktionsnod. Redundans är inom virtualiseringsplattformen. Jag skulle ändå rekommendera minst 2 noder, eftersom underhållsarbete (såsom uppgradering av ISE-versionen) utan att orsaka för mycket driftstopp är svårt med bara en nod. Med 2 noder kan du spegla den sekundära nodens konfiguration, medan den primära noden hanterar autentiseringarna.
När du importerar konfigurationen till ett kluster med en nod på det här sättet vill du kanske inte inkludera konfigurationsliknande IP-adresser, eftersom det kan innebära konflikt med den befintliga noden. Det finns 2 sätt att importera config; med eller utan ADE-OS-konfiguration. ADE-OS-config är de parametrar du anger när du installerar en ny ISE-nod, till exempel IP, GW, DNS-servrar och NTP.
Importera konfigurationsdata:
restore ISE_ConfigBackup_20220802 repository REPOSITORY-NAME encryption-key plain Password8 |
Importera konfigurationsdata med ADE-OS-config (inledande konfiguration såsom IP och DNS):
restore ISE_ConfigBackup_20220802 repository REPOSITORY-NAME encryption-key plain Password8 include-adeos |
Brasklappar efter konfigurationsimport på den nya 3.0-noden
När kunden migrerat config till den nya ISE-noden blev det grafiska användargränssnittet otillgängligt. Webbrowser sa ”Oj, något gick fel, åtkomst-ID nekas, pls kontakta din administratör.” Det visar sig att det här orsakades av mer än bara en sak. Tydligen var säkerhetsnivån i 2.4 inte lika hög som i senare versioner.
En workaround för att kunna nå det grafiska gränssnittet är att starta felsäkert läge genom att köra följande kommandon i CLI:
application stop ise |
application start ise safe |
Brasklapp #1: Åtkomstbegränsning började plötsligt fungera
I ISE 2.4 (patchversion är inte känd) var åtkomstbegränsningen konfigurerbar, men fungerade inte. I ISE 3.0 fungerar det. Och för den här kunden var det felkonfigurerat.
Bild från https://community.cisco.com/t5/network-access-control/cannot-access-ise-gui/td-p/3220198
Brasklapp #2: Administratörscertifikatets CN eller SAN matchar inte FQDN
Administratörscertifikaten Common Name eller SAN=Subject Alternative Name matchade inte med FQDN. Jag är förvånad över att detta ens var tillåtet i 2.4.
Brasklapp #3: Det konfigurerade domännamnet matchade inte DNS-namnet
Kunden hade ett matchningsfel i det konfigurerade DNS-namnet. Det var ungefär så här:
ip domain-name example.com |
men borde ha varit:
ip domain-name example1.com |
Det är också förvånande att det fungerade bra i 2.4.
Steg 2: Uppgradera från ISE 3.0 till ISE 3.1
Uppgraderingen från 3.0:s senaste patch till 3.1 gick smidigt. Det finns bara en sak som kan hända om du har inaktiverat IPv6:
Caveats vid uppgradering till ISE 3.1
Caveat #1: GUI är inte nåbart om inte IPv6 är aktiverat
Kunden råkade inte ut för den här buggen eftersom IPv6 var aktiverat, vilket jag fick reda på under felsökningen. Om du inte har patchat ISE 3.1-systemet, skulle du ha råkat ut för den här buggen om IPv6 inte var aktiverat:
https://bst.cisco.com/bugsearch/bug/CSCwa08018
Bug, or a feature? |
Slutord – Att migrera ISE
Här ville jag dela några varningar om vad som kan hända under uppgradering. Nästa text blir en guide med steg-för-steg-instruktioner om vad du ska göra före, under och efter uppgraderingen.
William Lindberg