Uppgradera UCS Firmware: Conscias seniora nätverkskonsult William Lindberg slutför bloggserien som tar dig steg för steg genom uppgraderingen av ISE på UCS Firmware. 

Låt oss slutföra de sista uppgifterna och avsluta den här ISE-uppgraderingshistorien, tidigare delar är här: Uppgradera ISE från 2.4 -> 3.x  och här Uppgradera från 2.7 till 3.1

Uppgradera UCS Firmware 3595-enhet och BIOS 

På nyare Cisco UCS-enheter, som de som används för APIC eller DNAC, skulle du ha laddat ner en .iso-fil och installerat den via KVM-gränssnittet. På 3595-enheten som används för Identity Services Engine (Cisco ISE) är det mycket enklare:

Steg 0: Ladda ner Cisco ISE 35xx firmware och BIOS.

Steg 1: Logga in på CIMC = Cisco Integrated Management Controller-gränssnittet.

Steg 2: Gå till Admin > Firmware Management

Steg 3: Kontrollera BMC, klicka på Update och ladda upp firmware-filen. När filen är installerad upprepar du samma steg för BIOS.

När UCS Firmware och BIOS har installerats framgångsrikt kommer de listas som den tillgängliga backupversion:

Firmware 4.0(2n) är den senaste versionen sedan 2020.

Steg 4: Fortsätt med aktivering av firmware och BIOS.

• Aktivering av firmware kommer att starta om enheten
• Aktivering av BIOS kräver en powercycle från ISE-värden. Det kan du göra från Host Power > Power Cycle.

Observera: Om det är ett stort gap mellan versionerna, till exempel från version 2 -> 4, krävs ett mellansteg till version 3. Läs releasenotes och installationsinstruktioner för information om vilka versioner som stöds vid upp- och nedgraderingar.

Uppgradera UCS Firmware:

Migrering till Cisco Smart Licensing

Om du vill gå hela vägen från de gamla PAK-licenserna för version 2.x upp till smarta licenser för version 3.x är det några steg på vägen:

1. Konvertera gamla PAK-licenser till Smart Licenses
2. Konvertera version 2.x smart licenses till den nya 3.x licensmodellen
3. Registrera ISE med CSSM = Cisco Smart Software Manager (internetanslutning krävs) eller CSSM On-Premise (lokalt hostad).

Ciscos egen dokumentation för att gå igenom steg 1 och 2 är så bra att jag inte behöver gå in på detaljer här. Steg 3 (CSSM On-Prem specifikt) är dock inte så väldokumenterat.

Konvertera PAK till Smart License

Läs instruktionerna på följande länkar:

• Verifiera att en PAK är tilldelad ett smart account: https://www.cisco.com/c/en/us/support/docs/licensing/common-licensing-issues/how-to/lic216997-how-to-verify -that-a-product-activation.html
• Konvertera PAK till smart licenses: https://www.cisco.com/c/en/us/support/docs/licensing/security/identity-services-engine/lic217004-how-to-convert-a-fulfilled-product- activ.html

Konvertera ISE classic licenses (v2) till Tier Licenses (v3)

Licensmodellen i 3.x ändras från:

• Base / Plus / Apex

Till:

• Essential / Advantage / Premier

Fördelen är att du bara kommer att använda antingen en Essential-, Advantage- eller Premier-licens per session, istället för upp till 3 licenser, som i den gamla modellen.

Bild från https://www.cisco.com/c/en/us/products/collateral/security/identity-services-engine/ise-licensing-guide-og.html#1MigratefromClassicLicensestoTierLicenses

Nackdelen är att de flyttat SGT-provisionering till Advantage Level, när det tidigare bara krävdes en baslicens.

För att migrera till den nya modellen måste du öppna ett supportärende hos Cisco. Följ länken och läs avsnittet “Migrate from Classic Licenses to Tier Licenses” här:

https://www.cisco.com/c/en/us/products/collateral/security/identity-services-engine/ise-licensing-guide-og.html#1MigratefromClassicLicensetoTierLicenses

Registrering med en CSSM On-Prem server

Det här avsnittet täcker endast det som är nödvändigt för att ISE ska registrera sig hos CSSM On-Prem. Installationen av CSSM On-Prem-server kommer att behandlas i ett separat blogginlägg.

CSSM On-Prem-konfiguration 

ISE kräver att CSSM On-Prem-servern har ett giltigt webbservercertifikat för registrering. Det kan konfigureras under Admin Workspace > Security > Certificates.

Observera: ISE har som standard strikt SSL-kontroll aktiverat. Se till att det konfigurerade Common Name och Subject Alternative Name matchar informationen lagrad i SSL-certifikatet.

I Licensing workspace, gå till Inventory och klicka på New Token… och skapa en token för enhetsregistrering.

ISE-konfiguration på UCS firmware 

Se till att DNS är uppslagsbar och att certifikatkedjan för On-Prem-servern är placerad i Trusted Certificates innan du fortsätter:

Step 1: Gå till System > Licensing

Step 2: Ange följande inställningar och klicka sedan på register: 

• License Type: Smart License Registration
• Registration Token: { Token created in the CSSM On-Prem Server }
• Connection Method: SSM On-Prem
• SSM On-Prem server Host: { FQDN of the CSSM On-Prem, i.e. ise.example.com }
• Du behöver inte röra något annat

Allt borde fungera bra nu, men om det inte gör det kommer du att få ett generiskt ”Connection error to the server” -meddelande. Kontrollera följande:

• Port 443 är öppen mellan ISE och CSSM On-Prem
• Se till att CN och SAN är korrekt konfigurerade på CSSM On-Prem, som bekrivet i avsnittet ovan.

Kontakta oss!

Vill du ha fler tips om att uppgradera? Välkommen att prata direkt med oss på Conscia!

Kontakt