Guide:
Att uppgradera ISE

från 2.7 till 3.1

Conscias seniora nätverkskonsult ​​William Lindberg bloggar om hur du enklast gör för att uppgradera Cisco ISE från version 2.7 till version 3.1

Jag uppgraderade nyligen ett 8-nods ISE-enhetskluster (eller ”cube” som Cisco kallar det) från 2.7 till 3.1. Nedan följer en steg-för-steg-guide för att uppgradera ISE. Observera att det här bör vara bästa praxis för alla versioner – oavsett om det är en VM (virtuell dator) eller en enhet.

Sammanfattning

Implementation

 

Guide: Att uppgradera Cisco ISE från 2.7 till 3.1. Av William Lindberg, Conscia

Ny licensmodell

Licensmodellen i 3.x går från:

  • Base
  • Plus
  • Apex

Till:

  • Essential
  • Advantage
  • Premier

Fördelen är att du bara behöver använda antingen Essential-, Advantage- eller Premierlicens vid varje session, istället för upp till 3 licenser, som i den gamla modellen.

Ny licensmodell från Cisco när man skall uppgradera ISE, av William Lindberg, Conscia
Bild från https://www.cisco.com/c/en/us/products/collateral/security/identity-services-engine/ise-licensing-guide-og.html#1MigratefromClassicLicensestoTierLicenses

Nackdelen är att SGT-provisionering har flyttat till Advantage Level, när det tidigare bara krävdes baslicens. För mer information om hur du migrerar licenser, eller byter till smart licensiering, följ länken under bilden ovan.

Obs: Jag kommer att göra ett separat inlägg om att registrera ISE hos Cisco Smart Software Manager On-Prem senare.

Förberedelser inför att uppgradera ISE

Detta kommer att behandlas mer detaljerat längre ner i inlägget:

  • Skapa backup på ISE-konfigurationen och driftsdata
  • Skapa backup på systemloggarna
  • Inaktivera schemalagda säkerhetskopieringar
  • Konfigurera om backup-schemat när uppgraderingen av implemeteringen är klar
  • Exportera certifikaten och privata nycklar
  • Konfigurera ett repository
  • Ladda ner uppgraderingspaketet och placera det i repository
  • Om tillämpligt: anteckna Active Directory-anslutningsuppgifter och RSA SecurID-nodhemlighet. Du kan behöva denna information för att ansluta till Active Directory eller RSA SecurID-server efter uppgradering.
  • Notera DNS-, NTP- och AD-inställningar
  • Förbättra uppgraderingsprestanda genom att rensa operativa data
  • Kör URT = Upgrade Readiness Test

Från https://www.cisco.com/c/en/us/td/docs/security/ise/2-4/upgrade_guide/b_ise_upgrade_guide_24/b_ise_upgrade_guide_24_chapter_010.html#id_15402

Kontrollera att din nuvarande version är kompatibel med ISE 3.1 i ISE 3.1 release notes och se till att du har tillgång till någon form av konsolåtkomst till ISE-noderna. Det kan antingen vara via KVM-terminal eller Serial over LAN.

Välj sekvens för att uppgradera ISE

  1. Standardinställningen är att Secondary Administration Node listas först i uppgraderingssekvensen. Det här blir ny Primary Administration Node i den nya implementeringen.
  2. The Primary Monitoring Node är näst på tur att uppgraderas till den nya implementeringen.
  3. Välj Policy Service Nodes och flytta dem till den nya implementeringen. Du kan ändra sekvensen i vilken Policy Service Nodes uppgraderas. Policy Service Nodes kan antingen  uppgraderas  i sekvens eller parallellt. Du kan välja ett par Policy Service Nodes och uppgradera dem parallellt.
  4.  Välj Secondary Monitoring Node och flytta den till den nya implmenteringen.
  5.   Välj slutligen Primary Administration Node och flytta den till den nya implementeringen.

Från https://www.cisco.com/c/en/us/td/docs/security/ise/2-4/upgrade_guide/b_ise_upgrade_guide_24/b_ise_upgrade_guide_24_chapter_010.html#id_15492

Att uppgradera ISE: steg för steg förberedelser

Kontrollera ISE 3.1 release notes

Kompatibel hårdvara, uppgraderingsinformation och kända begränsingar och lösningar är vital information.

Kompatibel hårdvara (Supported Hardware)

Cisco ISE 3.1 kan installeras på följande plattformar:

  • SNS-3595-K9
  • SNS-3615-K9
  • SNS-3655-K9
  • SNS-3695-K9

Information för att uppgradera ISE (Upgrade Information)

Du kan uppgradera ISE direkt till version 3.1 från följande Cisco ISE versioner:

2.6, 2.7 eller 3.0

Om du använder en tidigare version än Cisco ISE version 2.6 måste du först uppgradera ISE till en av utgåvorna ovan innan du uppgraderar till Release 3.1.

Så här skriver Cisco: ”Vi rekommenderar att du uppgraderar till den senaste patchen i den befintliga versionen innan du börjar uppgradera ISE.

Begränsningar och lösningar (Known Limitations and Workarounds)

Här får du information om diverse kända begränsningar och lösningar.

Autentisering kan misslyckas för SNMP-användare efter uppgradering på grund av fel hashvärde

Om du vill uppgradera ISE från Cisco ISE 2.7 eller tidigare versioner till Cisco ISE 3.1, måste du konfigurera om inställningarna för SNMP-användare efter uppgraderingen. Använd följande kommandon för att konfigurera om inställningarna för SNMPv3-användare:

no snmp-server user <snmp user> <snmp version> <auth password> <priv password>
snmp-server user <snmp user> <snmp version> <auth password> <priv password>

https://www.cisco.com/c/en/us/td/docs/security/ise/3-1/release_notes/b_ise_31_RN.html

Konfigurera ett SFTP Linux Repository

ISE-konfiguration

Från ISE GUI:

Steg 1: Navigera till Administration > System > Maintenance > Repository

Steg 2: Skapa ett nytt SFTP Repository

Repository Name: Example-Repo
Protocol: SFTP
Server Name: example-repo.com
Path: /full/path/to/sftp-dir
Enable PKI authentication: No
User Name: myusername
Password: ************

Observera: Ditt skapade repository kommer att visas i running-configuration på alla ISE noder:

repository Example-Repo
url sftp://example-repo.com/path/to/sftp-dir
user myusername password hash **********

Detta tyder på att det skulle vara möjligt att konfigurera från CLI också. Men det innebär att du måste addera ditt repository manuellt till alla noder och det kommer inte att vara synligt i GUI. Det rekommenderas därför inte.

Steg 3: Skapa ett nyckelpar

Klicka på Generate Key pairs. Därefter kan du klicka på Export Public Key. Den nyckeln kommer att användas i ditt repository under Authorized_Keys

Observera: Du kan generera nyckelpar och exportera nycklar från CLI men du måste ange ett repository för att göra det. Jag inser att det ser ut som ett catch-22-problem om det är ditt första repository.

Steg 4: Addera Linux Repository host key på ISE-noderna.

Från CLI, på alla ISE-noder adderar du host_key för linux Repository DNS and eventuellt en IP:

crypto host_key add host example-repo.com
crypto host_key add host 2001:DB8:1234:ABCD::50
copy running-config startup-config

Linux Repository-konfiguration

Steg 1: Ta bort hashtags (#) från raderna i den här filen:

sudo nano /etc/ssh/sshd_config
AuthorizedKeysFile      .ssh/authorized_keys
PubkeyAuthentication yes
RSAAuthentication yes # if it exists
sudo service sshd restart

Steg 2: Redigera Authorized Keys i din hemkatalog. Infoga den exporterade nyckeln från ISE och kopiera den för varje nod.

sudo nano ~/.ssh/authorized_keys

ssh-rsa

******************** SECRET KEY WITH ALOT OF RANDOM LETTERS ********************$

root@ise-pan01 <— Hostname of the ISE nodessh-rsa

******************** SECRET KEY WITH ALOT OF RANDOM LETTERS ********************$

root@ise-mnt01ssh-rsa

******************** SECRET KEY WITH ALOT OF RANDOM LETTERS ********************$

root@ise-psn01ssh-rsa

******************** SECRET KEY WITH ALOT OF RANDOM LETTERS ********************$

root@ise-psn02ssh-rsa

******************** SECRET KEY WITH ALOT OF RANDOM LETTERS ********************$

root@ise-psn03ssh-rsa

******************** SECRET KEY WITH ALOT OF RANDOM LETTERS ********************$

root@ise-psn04ssh-rsa

******************** SECRET KEY WITH ALOT OF RANDOM LETTERS ********************$

root@ise-pan02ssh-rsa

******************** SECRET KEY WITH ALOT OF RANDOM LETTERS ********************$

root@ise-mnt02

Backup & Restore

Backup

Backup-data behövs bara om något inträffar under uppgraderingen. Om du har tur behöver du den inte senare.

Från PAN-noden:

Först sparar du den pågående konfigurationen 
copy running-configuration startup-configuration

Backup av konfigurationsdata 
backup ISE_ConfigBackup_20221213 repository Example-Repo ise-config encryption-key plain XXXXXXXX

Från M&T-noden:

Backup av driftsdata 
backup ISE_OperationalBackup_20221213 repository Example-Repo ise-operational encryption-key plain XXXXXXXX

På alla noder:

Backup System Logs
backup-logs ISE_Logs20221213_ise-pan01 repository Example-Repo encryption-key plain XXXXXXXX

Backup av Certifikat

  1. Från GUI gå till Administration > System > Certificates. Välj de certifikat du vill säkerhetskopiera och klicka på Export.
  2. Exportera både Certificate och Private Key och sätt ett lösenord.

Observera: De intressanta certifikaten är de som utfärdas från en intern eller offentlig CA. Självsignerade certifikat kan bara ersättas av nya certifikat.

Observera: URT kan misslyckas om implementeringen har utgångna certifikat på den plats där certifikaten lagras. Jag rekommenderar att du städar upp utgångna certifikat före exportering.

Backup av CA-lager

Från PAN-noden:

application configure ise

Selection configuration option
[1]Reset M&T Session Database
[2]Rebuild M&T Unusable Indexes
[3]Purge M&T Operational Data
[4]Reset M&T Database
[5]Refresh Database Statistics
[6]Display Profiler Statistics
[7]Export Internal CA Store <—
[8]Import Internal CA Store
…
[0]Exit

7
Export Repository Name: Example-Repo
Enter encryption-key for export:

För import av CA-lager, välj 8 istället.

Restore

Den här delen borde inte vara nödvändig om uppgraderingen fungerar bra. Men om du verkligen har otur och du behöver göra om hela implementeringen från början:

Importera konfigurationsdata
restore ISE_ConfigBackup_20221213 repository Example-Repo encryption-key plain XXXXXXXX

Importera konfigurationsdata med ADE-OS config (initial konfiguration såsom IP och DNS)
restore ISE_ConfigBackup_20221213 repository Example-Repo encryption-key plain XXXXXXXX include-adeos

Importera driftdata (samma kommando som konfiguration)
restore ISE_OperationalBackup_20221213 repository Example-Repo encryption-key plain XXXXXXXX

Obs! Om du har Primary Administration Node (PAN) auto-failover konfigurationen aktiverad i din implementering ska du inaktivera den konfigurationen innan du återställer en säkerhetskopia. Du kan aktivera PAN auto-failover-konfigurationen när återställningen är klar.

Inaktivera schemalagda säkerhetskopior

Från GUI:

Administration > System > Backup & Restore > Ställ in schemastatus för konfigurations- och driftsdata till disabled.

Rensa operativ data

På M&T-noder:

application configure ise

Selection configuration option
[1]Reset M&T Session Database
[2]Rebuild M&T Unusable Indexes
[3]Purge M&T Operational Data <—
[4]Reset M&T Database
…
[0]Exit

3

Enter number of days to be retained in purging MnT Operational data [between 1 to 90 days]
For instance, Entering 20 will purge MnT Operational data older than 20 days
Enter ‘exit’ to return to the main menu without purging
Enter days to be retained: 1
You are about to purge M&T data older than 1 from your database.
Are you sure you want to proceed? y/n [n]: y
M&T Operational data older than 1 is getting removed from database

Inaktivera PAN auto-failover

Administration > System >Deployment > PAN Failover > Avmarkera PAN auto failover

Om lämpligt notera Active Directory anslutningsuppgifter och RSA SecurID node secret

Du kanske behöver den här informationen för att ansluta till Active Directory eller RSA SecurID-server efter uppgraderingen. Oftast är är återanslutningen efter uppgraderingen problemfri.

Anteckna DNS-, NTP- & AD-inställningar

Du hittar dessa inställningar med en ”show running-config” från CLI.

Kör Upgrade Readiness Test

Steg 1: Gå till Ciscos webbplats eller sök efter ISE 3.1-nedladdning och ladda ner upgrade readiness-verktyget. Scrolla till botten av sidan där du kan ladda ner ISE 3.1:

Upgrade Readiness Test när man skall uppgradera Cisco ISE, av William Lindberg, Conscia

Steg 2: Addera URT till Repository

Steg 3: Kör URT-kommandot från CLI på Secondary PAN-noden

application remove urt <– Cleans up old URT config.
application install ise-urtbundle-3.1.0.518-1.0.0.SPA.x86_64.tar.gz Example-Repo

Uppgraderingsprocedur

När URT checkar ut OK kan du fortsätta med uppgraderingen. Du kan uppgradera från både GUI och CLI. Men enligt min erfarenhet är uppgradering från CLI mer stabil.

Uppgradera ISE från GUI

  • Fördelar: Automatisk uppgradering i en användardefinierad sekvens
  • Nackdelar: Ibland fungerar det inte

Uppgradering från CLI:

  • Fördelar: Mer kontrollerat och mer stabilt
  • Nackdelar: Du måste starta uppgraderingen manuellt på varje nod

Uppgradera ISE från CLI

På varje nod:

Om något gick fel och du måste försöka igen:

application upgrade cleanup

Uppgraderingskommandon:

application upgrade prepare ise-upgradebundle-2.6.x-3.0.x-to-3.1.0.518b.SPA.x86_64.tar.gz Example-Repo
application upgrade proceed

Obs: Rekommendationen är att dessa kommandon anges från en konsolanslutning

Beroende på vilken typ av persona den kör är min erfarenhet att uppgraderingen av en nod tar mellan 1-2 timmar.

Uppgradering av Secondary PAN- och Primary PAN-noder

Oftast börjar du med att uppgradera Secondary PAN-noden, som blir Primary PAN-nod i den nya implementeringen. Den blir ogckså primary M&T-nod i den nye implementeringen, i väntan på att den primära M&T-noden uppgradera

När den primära M&T-noden har uppgraderats kan du inaktivera M&T-personan på den uppgraderade PAN-noden

Uppgradering av Secondary PAN-noder när man vill uppgradera ISE, av William Lindberg, Conscia

Uppgradering av PSN-noder

När den nya implementeringen har minst en PAN-nod och en M&T-nod kan PSN-noder adderas. Om du inte har så mycket belastning på nätverket kan du spara tid genom att uppgradera hälften av noderna samtidigt.

Obs: De nya PSN-noderna kommer att börja autentisera för den nya distributionen. Se till att den första batchen av PSN-noder kan autentisera användare och enheter innan du fortsätter med nästa batch.

Uppgradering av Secondary M&T-noden och Primary PAN-noden

När det bara är den sekundära M&T-noden och den Primary PAN-noden kvar, kan uppgraderingen inte fortsätta på M&T-noden eftersom det vill inte finns någon M&T-nod kvar i den gamla implementeringen. Därför måste du aktivera M&T-personan på Primary PAN:

Administration > System > Deployment. Klicka på PAN-noden och aktivera Monitoring

Därefter kan du fortsätta med att uppgradera Secondary M&T-noden och avsluta med den primära PAN-noden.

Uppgradering av primär PAN-nod är man skall uppgradera ISE, av William Lindberg, Conscia

Patchning via CLI

Jag försökte faktiskt först patcha via GUI, men fick felmeddelande. Så min hållning är fortfarande att CLI är bästa valet. Som tur är går patchning mycket snabbare än uppgradering och du kan patcha många noder parallellt.

patch install ise-patchbundle-3.1.0.518-Patch4-22091704.SPA.x86_64.tar.gz Example-Repo

Patchning turordning

Patchning turordning skiljer sig lite från uppgradering, även om jag inte vet om det spelar någon större roll. Min föredragna ordning är:

  1. Primary PAN-nod (som är den ursprungliga Secondary PAN, om du inte redan har ändrat tillbaka)
  2. Primary M&T-nod och den första batchen av PSN-noderna
  3. Den andra batchen av PSN-noderna, den Secondary M&T-noden och den Secondary PAN-nod

Städning

När allt är klart, kom ihåg att:

  • Aktivera PAN Auto-Failover
  • Aktivera Scheduled Backups
  • Aktivera Primary PAN-noden

Manuell lyftning av Secondary PAN till Primary

Steg 1: Logga in på secondary PAN GUI.

Steg 2: Gå till Administration > System > Deployment.

Steg 3: I Edit Node-fönstret, klicka Promote to Primary.

Steg 4: Klicka på Save.

Från https://www.cisco.com/c/en/us/td/docs/security/ise/3-0/admin_guide/b_ISE_admin_3_0/b_ISE_admin_30_deployment.html#reference_4E8632DBFC474C7787EC3AE18A940677

Nästa steg…

Migrera till en ny licensmodell

Inom de närmaste 90 dagarna måste vi migrera för att använda de nya 3.x-licenserna. På den här länken från Cisco finns instruktioner om hur du gör det.

Uppgradera CIMC

Eftersom uppgraderingen skedde på hårdvaruenheter är rekommendationen att  firmware och BIOS också uppgraderas på gränssnittet CIMC = Cisco Integrated Management Controller. Jag kommer att skriva en ny blogg om hur det går till.

Kontakta oss!

Vill du ha fler tips och råd? Välkommen att prata direkt med oss på Conscia!

Kontakt 

 

Kontakta oss!
Svar inom 24h