Conscias seniora nätverkskonsult William Lindberg bloggar om hur du enklast gör för att uppgradera Cisco ISE från version 2.7 till version 3.1
Jag uppgraderade nyligen ett 8-nods ISE-enhetskluster (eller ”cube” som Cisco kallar det) från 2.7 till 3.1. Nedan följer en steg-för-steg-guide för att uppgradera ISE. Observera att det här bör vara bästa praxis för alla versioner – oavsett om det är en VM (virtuell dator) eller en enhet.
Sammanfattning
Implementation
Ny licensmodell
Licensmodellen i 3.x går från:
- Base
- Plus
- Apex
Till:
- Essential
- Advantage
- Premier
Fördelen är att du bara behöver använda antingen Essential-, Advantage- eller Premierlicens vid varje session, istället för upp till 3 licenser, som i den gamla modellen.
Nackdelen är att SGT-provisionering har flyttat till Advantage Level, när det tidigare bara krävdes baslicens. För mer information om hur du migrerar licenser, eller byter till smart licensiering, följ länken under bilden ovan.
Obs: Jag kommer att göra ett separat inlägg om att registrera ISE hos Cisco Smart Software Manager On-Prem senare.
Förberedelser inför att uppgradera ISE
Detta kommer att behandlas mer detaljerat längre ner i inlägget:
- Skapa backup på ISE-konfigurationen och driftsdata
- Skapa backup på systemloggarna
- Inaktivera schemalagda säkerhetskopieringar
- Konfigurera om backup-schemat när uppgraderingen av implemeteringen är klar
- Exportera certifikaten och privata nycklar
- Konfigurera ett repository
- Ladda ner uppgraderingspaketet och placera det i repository
- Om tillämpligt: anteckna Active Directory-anslutningsuppgifter och RSA SecurID-nodhemlighet. Du kan behöva denna information för att ansluta till Active Directory eller RSA SecurID-server efter uppgradering.
- Notera DNS-, NTP- och AD-inställningar
- Förbättra uppgraderingsprestanda genom att rensa operativa data
- Kör URT = Upgrade Readiness Test
Kontrollera att din nuvarande version är kompatibel med ISE 3.1 i ISE 3.1 release notes och se till att du har tillgång till någon form av konsolåtkomst till ISE-noderna. Det kan antingen vara via KVM-terminal eller Serial over LAN.
Välj sekvens för att uppgradera ISE
- Standardinställningen är att Secondary Administration Node listas först i uppgraderingssekvensen. Det här blir ny Primary Administration Node i den nya implementeringen.
- The Primary Monitoring Node är näst på tur att uppgraderas till den nya implementeringen.
- Välj Policy Service Nodes och flytta dem till den nya implementeringen. Du kan ändra sekvensen i vilken Policy Service Nodes uppgraderas. Policy Service Nodes kan antingen uppgraderas i sekvens eller parallellt. Du kan välja ett par Policy Service Nodes och uppgradera dem parallellt.
- Välj Secondary Monitoring Node och flytta den till den nya implmenteringen.
- Välj slutligen Primary Administration Node och flytta den till den nya implementeringen.
Att uppgradera ISE: steg för steg förberedelser
Kontrollera ISE 3.1 release notes
Kompatibel hårdvara, uppgraderingsinformation och kända begränsingar och lösningar är vital information.
Kompatibel hårdvara (Supported Hardware)
Cisco ISE 3.1 kan installeras på följande plattformar:
- SNS-3595-K9
- SNS-3615-K9
- SNS-3655-K9
- SNS-3695-K9
Information för att uppgradera ISE (Upgrade Information)
Du kan uppgradera ISE direkt till version 3.1 från följande Cisco ISE versioner:
2.6, 2.7 eller 3.0
Om du använder en tidigare version än Cisco ISE version 2.6 måste du först uppgradera ISE till en av utgåvorna ovan innan du uppgraderar till Release 3.1.
Så här skriver Cisco: ”Vi rekommenderar att du uppgraderar till den senaste patchen i den befintliga versionen innan du börjar uppgradera ISE.
Begränsningar och lösningar (Known Limitations and Workarounds)
Här får du information om diverse kända begränsningar och lösningar.
Autentisering kan misslyckas för SNMP-användare efter uppgradering på grund av fel hashvärde
Om du vill uppgradera ISE från Cisco ISE 2.7 eller tidigare versioner till Cisco ISE 3.1, måste du konfigurera om inställningarna för SNMP-användare efter uppgraderingen. Använd följande kommandon för att konfigurera om inställningarna för SNMPv3-användare:
no snmp-server user <snmp user> <snmp version> <auth password> <priv password>
snmp-server user <snmp user> <snmp version> <auth password> <priv password>
https://www.cisco.com/c/en/us/td/docs/security/ise/3-1/release_notes/b_ise_31_RN.html
Konfigurera ett SFTP Linux Repository
ISE-konfiguration
Från ISE GUI:
Steg 1: Navigera till Administration > System > Maintenance > Repository
Steg 2: Skapa ett nytt SFTP Repository
Repository Name: Example-Repo Protocol: SFTP Server Name: example-repo.com Path: /full/path/to/sftp-dir Enable PKI authentication: No User Name: myusername Password: ************
Observera: Ditt skapade repository kommer att visas i running-configuration på alla ISE noder:
repository Example-Repo url sftp://example-repo.com/path/to/sftp-dir user myusername password hash **********
Detta tyder på att det skulle vara möjligt att konfigurera från CLI också. Men det innebär att du måste addera ditt repository manuellt till alla noder och det kommer inte att vara synligt i GUI. Det rekommenderas därför inte.
Steg 3: Skapa ett nyckelpar
Klicka på Generate Key pairs. Därefter kan du klicka på Export Public Key. Den nyckeln kommer att användas i ditt repository under Authorized_Keys
Observera: Du kan generera nyckelpar och exportera nycklar från CLI men du måste ange ett repository för att göra det. Jag inser att det ser ut som ett catch-22-problem om det är ditt första repository.
Steg 4: Addera Linux Repository host key på ISE-noderna.
Från CLI, på alla ISE-noder adderar du host_key för linux Repository DNS and eventuellt en IP:
crypto host_key add host example-repo.com crypto host_key add host 2001:DB8:1234:ABCD::50 copy running-config startup-config
Linux Repository-konfiguration
Steg 1: Ta bort hashtags (#) från raderna i den här filen:
sudo nano /etc/ssh/sshd_config
AuthorizedKeysFile .ssh/authorized_keys
PubkeyAuthentication yes
RSAAuthentication yes # if it exists
sudo service sshd restart
Steg 2: Redigera Authorized Keys i din hemkatalog. Infoga den exporterade nyckeln från ISE och kopiera den för varje nod.
sudo nano ~/.ssh/authorized_keys
ssh-rsa ******************** SECRET KEY WITH ALOT OF RANDOM LETTERS ********************$ root@ise-pan01 <— Hostname of the ISE nodessh-rsa ******************** SECRET KEY WITH ALOT OF RANDOM LETTERS ********************$ root@ise-mnt01ssh-rsa ******************** SECRET KEY WITH ALOT OF RANDOM LETTERS ********************$ root@ise-psn01ssh-rsa ******************** SECRET KEY WITH ALOT OF RANDOM LETTERS ********************$ root@ise-psn02ssh-rsa ******************** SECRET KEY WITH ALOT OF RANDOM LETTERS ********************$ root@ise-psn03ssh-rsa ******************** SECRET KEY WITH ALOT OF RANDOM LETTERS ********************$ root@ise-psn04ssh-rsa ******************** SECRET KEY WITH ALOT OF RANDOM LETTERS ********************$ root@ise-pan02ssh-rsa ******************** SECRET KEY WITH ALOT OF RANDOM LETTERS ********************$ root@ise-mnt02
Backup & Restore
Backup
Backup-data behövs bara om något inträffar under uppgraderingen. Om du har tur behöver du den inte senare.
Från PAN-noden:
Först sparar du den pågående konfigurationen
copy running-configuration startup-configuration
Backup av konfigurationsdata
backup ISE_ConfigBackup_20221213 repository Example-Repo ise-config encryption-key plain XXXXXXXX
Från M&T-noden:
Backup av driftsdata
backup ISE_OperationalBackup_20221213 repository Example-Repo ise-operational encryption-key plain XXXXXXXX
På alla noder:
Backup System Logs
backup-logs ISE_Logs20221213_ise-pan01 repository Example-Repo encryption-key plain XXXXXXXX
Backup av Certifikat
- Från GUI gå till Administration > System > Certificates. Välj de certifikat du vill säkerhetskopiera och klicka på Export.
- Exportera både Certificate och Private Key och sätt ett lösenord.
Observera: De intressanta certifikaten är de som utfärdas från en intern eller offentlig CA. Självsignerade certifikat kan bara ersättas av nya certifikat.
Observera: URT kan misslyckas om implementeringen har utgångna certifikat på den plats där certifikaten lagras. Jag rekommenderar att du städar upp utgångna certifikat före exportering.
Backup av CA-lager
Från PAN-noden:
application configure ise Selection configuration option [1]Reset M&T Session Database [2]Rebuild M&T Unusable Indexes [3]Purge M&T Operational Data [4]Reset M&T Database [5]Refresh Database Statistics [6]Display Profiler Statistics [7]Export Internal CA Store <— [8]Import Internal CA Store … [0]Exit 7 Export Repository Name: Example-Repo Enter encryption-key for export:
För import av CA-lager, välj 8 istället.
Restore
Den här delen borde inte vara nödvändig om uppgraderingen fungerar bra. Men om du verkligen har otur och du behöver göra om hela implementeringen från början:
Importera konfigurationsdata
restore ISE_ConfigBackup_20221213 repository Example-Repo encryption-key plain XXXXXXXX
Importera konfigurationsdata med ADE-OS config (initial konfiguration såsom IP och DNS)
restore ISE_ConfigBackup_20221213 repository Example-Repo encryption-key plain XXXXXXXX include-adeos
Importera driftdata (samma kommando som konfiguration)
restore ISE_OperationalBackup_20221213 repository Example-Repo encryption-key plain XXXXXXXX
Obs! Om du har Primary Administration Node (PAN) auto-failover konfigurationen aktiverad i din implementering ska du inaktivera den konfigurationen innan du återställer en säkerhetskopia. Du kan aktivera PAN auto-failover-konfigurationen när återställningen är klar.
Inaktivera schemalagda säkerhetskopior
Från GUI:
Administration > System > Backup & Restore > Ställ in schemastatus för konfigurations- och driftsdata till disabled.
Rensa operativ data
På M&T-noder:
application configure ise Selection configuration option [1]Reset M&T Session Database [2]Rebuild M&T Unusable Indexes [3]Purge M&T Operational Data <— [4]Reset M&T Database … [0]Exit 3 Enter number of days to be retained in purging MnT Operational data [between 1 to 90 days] For instance, Entering 20 will purge MnT Operational data older than 20 days Enter ‘exit’ to return to the main menu without purging Enter days to be retained: 1 You are about to purge M&T data older than 1 from your database. Are you sure you want to proceed? y/n [n]: y M&T Operational data older than 1 is getting removed from database
Inaktivera PAN auto-failover
Administration > System >Deployment > PAN Failover > Avmarkera PAN auto failover
Om lämpligt notera Active Directory anslutningsuppgifter och RSA SecurID node secret
Du kanske behöver den här informationen för att ansluta till Active Directory eller RSA SecurID-server efter uppgraderingen. Oftast är är återanslutningen efter uppgraderingen problemfri.
Anteckna DNS-, NTP- & AD-inställningar
Du hittar dessa inställningar med en ”show running-config” från CLI.
Kör Upgrade Readiness Test
Steg 1: Gå till Ciscos webbplats eller sök efter ISE 3.1-nedladdning och ladda ner upgrade readiness-verktyget. Scrolla till botten av sidan där du kan ladda ner ISE 3.1:
Steg 2: Addera URT till Repository
Steg 3: Kör URT-kommandot från CLI på Secondary PAN-noden
application remove urt <– Cleans up old URT config.
application install ise-urtbundle-3.1.0.518-1.0.0.SPA.x86_64.tar.gz Example-Repo
Uppgraderingsprocedur
När URT checkar ut OK kan du fortsätta med uppgraderingen. Du kan uppgradera från både GUI och CLI. Men enligt min erfarenhet är uppgradering från CLI mer stabil.
Uppgradera ISE från GUI
- Fördelar: Automatisk uppgradering i en användardefinierad sekvens
- Nackdelar: Ibland fungerar det inte
Uppgradering från CLI:
- Fördelar: Mer kontrollerat och mer stabilt
- Nackdelar: Du måste starta uppgraderingen manuellt på varje nod
Uppgradera ISE från CLI
På varje nod:
Om något gick fel och du måste försöka igen:
application upgrade cleanup
Uppgraderingskommandon:
application upgrade prepare ise-upgradebundle-2.6.x-3.0.x-to-3.1.0.518b.SPA.x86_64.tar.gz Example-Repo
application upgrade proceed
Obs: Rekommendationen är att dessa kommandon anges från en konsolanslutning
Beroende på vilken typ av persona den kör är min erfarenhet att uppgraderingen av en nod tar mellan 1-2 timmar.
Uppgradering av Secondary PAN- och Primary PAN-noder
Oftast börjar du med att uppgradera Secondary PAN-noden, som blir Primary PAN-nod i den nya implementeringen. Den blir ogckså primary M&T-nod i den nye implementeringen, i väntan på att den primära M&T-noden uppgradera
När den primära M&T-noden har uppgraderats kan du inaktivera M&T-personan på den uppgraderade PAN-noden
Uppgradering av PSN-noder
När den nya implementeringen har minst en PAN-nod och en M&T-nod kan PSN-noder adderas. Om du inte har så mycket belastning på nätverket kan du spara tid genom att uppgradera hälften av noderna samtidigt.
Obs: De nya PSN-noderna kommer att börja autentisera för den nya distributionen. Se till att den första batchen av PSN-noder kan autentisera användare och enheter innan du fortsätter med nästa batch.
Uppgradering av Secondary M&T-noden och Primary PAN-noden
När det bara är den sekundära M&T-noden och den Primary PAN-noden kvar, kan uppgraderingen inte fortsätta på M&T-noden eftersom det vill inte finns någon M&T-nod kvar i den gamla implementeringen. Därför måste du aktivera M&T-personan på Primary PAN:
Administration > System > Deployment. Klicka på PAN-noden och aktivera Monitoring
Därefter kan du fortsätta med att uppgradera Secondary M&T-noden och avsluta med den primära PAN-noden.
Patchning via CLI
Jag försökte faktiskt först patcha via GUI, men fick felmeddelande. Så min hållning är fortfarande att CLI är bästa valet. Som tur är går patchning mycket snabbare än uppgradering och du kan patcha många noder parallellt.
patch install ise-patchbundle-3.1.0.518-Patch4-22091704.SPA.x86_64.tar.gz Example-Repo
Patchning turordning
Patchning turordning skiljer sig lite från uppgradering, även om jag inte vet om det spelar någon större roll. Min föredragna ordning är:
- Primary PAN-nod (som är den ursprungliga Secondary PAN, om du inte redan har ändrat tillbaka)
- Primary M&T-nod och den första batchen av PSN-noderna
- Den andra batchen av PSN-noderna, den Secondary M&T-noden och den Secondary PAN-nod
Städning
När allt är klart, kom ihåg att:
- Aktivera PAN Auto-Failover
- Aktivera Scheduled Backups
- Aktivera Primary PAN-noden
Manuell lyftning av Secondary PAN till Primary
Steg 1: Logga in på secondary PAN GUI.
Steg 2: Gå till Administration > System > Deployment.
Steg 3: I Edit Node-fönstret, klicka Promote to Primary.
Steg 4: Klicka på Save.
Nästa steg…
Migrera till en ny licensmodell
Inom de närmaste 90 dagarna måste vi migrera för att använda de nya 3.x-licenserna. På den här länken från Cisco finns instruktioner om hur du gör det.
Uppgradera CIMC
Eftersom uppgraderingen skedde på hårdvaruenheter är rekommendationen att firmware och BIOS också uppgraderas på gränssnittet CIMC = Cisco Integrated Management Controller. Jag kommer att skriva en ny blogg om hur det går till.
Kontakta oss!
Vill du ha fler tips och råd? Välkommen att prata direkt med oss på Conscia!