Presentación del webinar Community Live

Con la colaboración de Iván Villegas, Ricardo Vera y Michel Lepicard.
¿Qué método se debe usar para hacer upgrade de Cisco ISE? ¿Cuál es la mejor manera de hacer un upgrade en un Cisco FTD? ¿Qué herramienta se tiene que usar antes de correr un upgrade en ISE? Asista a este webinar Community Live, o revise la documentación y el video después del evento. ¡Nuestros expertos le explican los detalles más importantes y le comparten sus TAC Tips!

En esta sesión, explore las consideraciones clave para realizar actualizaciones exitosas en Cisco Identity Services Engine (ISE) y los Firewall (NGFW) de Cisco. Compartimos con todos ustedes las mejores prácticas, los desafíos más comunes y las estrategias recomendadas para planificar y ejecutar actualizaciones de una manera efectiva. Consideramos desde la evaluación de requisitos de hardware y software, hasta la gestión de compatibilidad y la mitigación de riesgos para explicar a fondo cada paso. Estamos seguros de que esta sesión le proporcionará información valiosa que le permita garantizar una transición fluida y segura a las versiones más recientes de Cisco ISE y NGFW. Como siempre, ¡le agradecemos su asistencia y participación en nuestros eventos!

Recuerde que la presentación está disponible en pdf para su comodidad. Si este documento le ha resultado útil, no olvide calificar esta publicación con un voto de utilidad para validar su relevancia. ¡Muchas gracias! 

¿Cómo enviar una pregunta?

Ponemos a su disposición nuestro evento Ask Me Anything (AMA) en cuyo foro podrán externar dudas y solicitar apoyo de nuestros expertos en casos específicos de los temas abordados. ¡Esperamos sus preguntas!

Ir al foro de Discusión
 

Lista de las Q&A del webinar Community Live

Encuentre la lista de preguntas formuladas durante el seminario web Community Live de nuestro evento. Cualquier duda que no haya sido respondida durante la sesión será resuelta posteriormente aquí o en el foro de "Preguntas".

Lista de Preguntas y Respuestas (Q&A)

• Pregunta: ¿Me ahorra tiempo subir los archivos de actualización manualmente en c/u de los nodos antes de mi ventana de actualización, o es indistinto? – Sergio M. (min.18)
• Pregunta: En el modo Legacy Split Upgrade si se daña algún nodo durante la actualización por cualquier situación, me lo indica el proceso de actualización y se interrumpe o continúa actualizando y en paralelo podría hacer el cambio físico del equipo?...
• Pregunta: Disculpa no tenía bien mi audio pero: ¿Para actualizar de 3.1 a 3.2 se debe utilizar URT? – Marco T. (min.25)
• Pregunta: Hola, ¿el bundle se transfiere del nodo principal a los secundarios, o cada nodo lo toma directamente del repositorio? – Sonia P. G. (min.28)
• Pregunta: Al actualizar ISE 2.7 a 3.3 el esquema de licenciamiento cambia, ¿qué se debe tomar en cuenta para migrar las licencias? – Sonia P. G. (min.46)
• Pregunta: ¿Habría algún problema de incompatibilidad si la versión nueva del FMC no soporta la versión más antigua de los FTDs? – Jesús S. (min.54)
• Pregunta: Buenos días, ¿cuál es la versión más estable para actualizar la FMC y el FTD? – John B. (min.55)
• Pregunta: ¿Primero toca actualizar la FMC y después los FTD? – John B. (min.58)
• Pregunta:Si los FTD's están en HA, ¿se realiza la actualización primero a uno y después otro? ¿Habría una afectación total del servicio?
• Pregunta: ¿Es necesario realizar el upgrade del fxos en caso de los 4100 y 9100 antes de realizar el upgrade del software ftd, o el archivo de upgrade en la nuevas versiones ya lo trae incorporado? – Guido. (min.64)
• Pregunta: Si los FTD's están en HA, ¿se realiza la actualización primero a uno y después otro? ¿Habría una afectación total del servicio? – Jesús S. (min.65)
• Pregunta: Buenos días a todos, duda ¿tendrán alguna tabla donde diga hasta cuándo vence el soporte de las versiones de cisco ISE? – Francisco L. R. (min.68)
• Pregunta: En mi caso recientemente he actualizado 2 veces un FTD 4100 y este no ha reiniciado, ¿repercute en algo? – David R. (min.70)
• Pregunta: Para los equipos ISE, ¿es posible realizar Rollback a la versión anterior, o es necesario aplicar reimagen? – David R. (min.75)
• Pregunta del Chat: Para la integración de ISE con FMC, ¿se requiere algún tipo de Licenciamiento? – Luis H. (min.43)
• Pregunta del Chat: ¿Se debe actualizar primero el FMC y luego los FTDs? – Jesús S. (min.50)
• Pregunta del Chat: ¿Habría algún problema de incompatibilidad si la versión nueva del FMC no soporta la versión más antigua de los FTDs? – Jesús S. (min.51)
• Pregunta del Chat: Si tenemos el FTD en HA o cluster. ¿El downgrade/revert del FTD es con corte de servicio? – David. (min.69)
• Pregunta del Chat: Hola, en la opción update hay un botón que dice Download Updates. ¿Eso quiere decir que se puede descargar la actualización? – Alejandro R. (min.69)
• Pregunta PQ1: ¿Qué herramienta se tiene que usar antes de actualizar ISE?
• Pregunta PQ2: ¿Cuál de estos métodos se pueden usar para hacer upgrade de Cisco ISE?
• Pregunta PQ3: ¿Cuál es la mejor manera de hacer un upgrade en un Cisco FTD?

Pregunta: ¿Me ahorra tiempo subir los archivos de actualización manualmente en c/u de los nodos antes de mi ventana de actualización, o es indistinto? – Sergio M. (min.18)

Respuesta (Glen J. O.): En cuanto a tiempo la mejora no es significativa pero es un buen paso para volver el proceso de actualización resiliente contra problemas de comunicación.

Pregunta: En el modo Legacy Split Upgrade si se daña algún nodo durante la actualización por cualquier situación, me lo indica el proceso de actualización y se interrumpe o continúa actualizando y en paralelo podría hacer el cambio físico del equipo? – Sergio M. (min.24)

Respuesta (Glen J. O.): Dependiendo del tipo de falla es posible que el nodo te indique que hubo un problema y que regrese a la versión original. En algunos casos podría quedarse atascado sin mandar error. En estos casos es posible quitar al nodo del despliegue y en el nodo que falló instalar la nueva versión de ISE para posteriormente unirlo al Nodo primario ya actualizado.

Pregunta: Disculpa no tenía bien mi audio pero: ¿Para actualizar de 3.1 a 3.2 se debe utilizar URT? – Marco T. (min.25)

Respuesta (Jonathan Daniel C. G.): El URT no es necesario si utilizas el nuevo split upgrade a partir de 3.2P3

Pregunta: Hola, ¿el bundle se transfiere del nodo principal a los secundarios, o cada nodo lo toma directamente del repositorio? – Sonia P. G. (min.28)

Respuesta (Jonathan Daniel C. G.): Directamente del repositorio ya sea por CLI o por GUI.
Respuesta (César B.): Esta pregunta fue respondida en vivo (ver el video al final de la sesión).

Pregunta: Al actualizar ISE 2.7 a 3.3 el esquema de licenciamiento cambia, ¿qué se debe tomar en cuenta para migrar las licencias? – Sonia P. G. (min.46)

Respuesta (Jonathan Daniel C. G.): Puntos a tomar en cuenta:
1. El hardware esta soportado si es que se usa appliance
2. Migrar las licencias antes del upgrade con el Migration Offer o con EA, como se menciona en el siguiente documento 
https://www.cisco.com/c/en/us/products/collateral/security/identity-services-engine/ise-licensing-guide-og.html#7CiscoISElicensemigration
3- Realizar el upgrade.

Pregunta: ¿Habría algún problema de incompatibilidad si la versión nueva del FMC no soporta la versión más antigua de los FTDs? – Jesús S. (min.54)

Respuesta (César L. Z.): Sí, es importante primero revisar la versión mínima en el siguiente link. Si es una versión menor, hay que actualizar el FTD primero a una versión soportada.
https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/compatibility/threat-defense-compatibility.html#Cisco_Reference.dita_78462dbc-06a1-4c7f-92b4-e9cdefc0825d 

Pregunta: Buenos días, ¿cuál es la versión más estable para actualizar la FMC y el FTD? – John B. (min.55)

Respuesta (César L. Z.): La versión recomendada por Cisco (estrella dorada) por estabilidad en estos momentos es 7.2.5.2.

Pregunta: ¿Primero toca actualizar la FMC y después los FTD? – John B. (min.58)

Respuesta (César L. Z.): Si van a la misma versión sí. Solo en casos en donde el FTD sea una versión no soportada (se puede ver la tabla compartida hace un momento en este Q&A), tendrías que actualizar el FTD primero a una versión soportada.

Pregunta: Si los FTD's están en HA, ¿se realiza la actualización primero a uno y después otro? ¿Habría una afectación total del servicio?

Respuesta (César L. Z.): Si están en HA, la actualización se envía a ambos pero primero se va a hacer la actualización del standby y posteriormente del activo hasta que el standby esté disponible. Entonces no hay afectación del servicio.

Pregunta: ¿Es necesario realizar el upgrade del fxos en caso de los 4100 y 9100 antes de realizar el upgrade del software ftd, o el archivo de upgrade en la nuevas versiones ya lo trae incorporado? – Guido. (min.64)

Respuesta (César B.): Todo depende de la versión de FTD a la que se le haga upgrade. Para eso siempre es recomendable revisar la guía de compatibilidad del FXOS.
https://www.cisco.com/c/en/us/td/docs/security/firepower/fxos/compatibility/fxos-compatibility.html 

Pregunta: Si los FTD's están en HA, ¿se realiza la actualización primero a uno y después otro? ¿Habría una afectación total del servicio? – Jesús S. (min.65)

Respuesta (César L. Z.): Si están en HA, la actualización se envía a ambos pero primero se va a hacer la actualización del standby y posteriormente del activo hasta que el standby esté disponible. Entonces no hay afectación del servicio.

Pregunta: Buenos días a todos, duda ¿tendrán alguna tabla donde diga hasta cuándo vence el soporte de las versiones de cisco ISE? – Francisco L. R. (min.68)

Respuesta (Glen J. O.): Puedes encontrar los end of life announcements en el siguiente link: https://www.cisco.com/c/en/us/products/security/identity-services-engine/eos-eol-notice-listing.html 

Pregunta: En mi caso recientemente he actualizado 2 veces un FTD 4100 y este no ha reiniciado, ¿repercute en algo? – David R. (min.70)

Respuesta (César B.): Esta pregunta fue respondida en vivo (ver el video al final de la sesión).

Pregunta: Para los equipos ISE, ¿es posible realizar Rollback a la versión anterior, o es necesario aplicar reimagen? – David R. (min.75)

Respuesta (César B.): Esta pregunta fue respondida en vivo (ver el video al final de la sesión).

Pregunta del Chat: Para la integración de ISE con FMC, ¿se requiere algún tipo de Licenciamiento? – Luis H. (min.43)

Respuesta (César L. Z.): Hola Luis. Si ya tienes tu licencia de ISE y de FMC, no es necesario una licencia adicional.

Pregunta del Chat: ¿Se debe actualizar primero el FMC y luego los FTDs? – Jesús S. (min.50)

Respuesta (César L. Z.): Hola Jesús. En caso de que necesites actualizar ambos (FMC y FTD), es recomendado actualizar primero el FMC y luego el FTD.

Pregunta del Chat: ¿Habría algún problema de incompatibilidad si la versión nueva del FMC no soporta la versión más antigua de los FTDs? – Jesús S. (min.51)

Respuesta (Jonathan Daniel C. G.): La última versión que se publicó para End Of Support es 3.0 https://www.cisco.com/c/en/us/products/security/identity-services-engine/eos-eol-notice-listing.html 

Pregunta del Chat: Si tenemos el FTD en HA o cluster. ¿El downgrade/revert del FTD es con corte de servicio? – David. (min.69)

Respuesta (César B.): Esta pregunta fue respondida en vivo (ver el video al final de la sesión).

Pregunta del Chat: Hola, en la opción update hay un botón que dice Download Updates. ¿Eso quiere decir que se puede descargar la actualización? – Alejandro R. (min.69)

Respuesta (César B.): Esta pregunta fue respondida en vivo (ver el video al final de la sesión).

Pregunta PQ1: ¿Qué herramienta se tiene que usar antes de actualizar ISE?

Opciones de respuesta: a) Health check desde la Interfaz Gráfica de ISE b) Solo el URT en el nodo Secundario de Administración c) URT y Health Checks en versiones anteriores a 3.2 parche 3 // Respuesta Correcta: c) URT y Health Checks en versiones anteriores a 3.2 parche 3

Pregunta PQ2: ¿Cuál de estos métodos se pueden usar para hacer upgrade de Cisco ISE?

Opciones de respuesta: a) Split Upgrade, Full upgrade, backup and restore b) Split upgrade, schedule upgrade, reimage c) Split upgrade, isolated upgrade, full upgrade // Respuesta Correcta: a) Split Upgrade, Full upgrade, backup and restore

Pregunta PQ3: ¿Cuál es la mejor manera de hacer un upgrade en un Cisco FTD?

Opciones de respuesta: a) Realizar backup, agendar ventana de mantenimiento, correr readiness check, instalar upgrade b) Correr readiness check, realizar backup, agendar ventana de mantenimiento, instalar upgrade c) Agendar ventana de mantenimiento, correr readiness check, Instalar upgrade y realizar backup // Respuesta Correcta: b) Correr readiness check, realizar backup, agendar ventana de mantenimiento, instalar upgrade

Nuestros expertos

Iván Villegas es Ingeniero en Telemática egresado del Instituto Politécnico Nacional (IPN). Actualmente cuenta con cinco años de experiencia formando parte del equipo del Centro de Asistencia Técnica (TAC) global de Cisco, principalmente en la tecnología de AAA/ISE. Iván se desempeña como Team Captain enfocado en apoyar a su equipo en soporte técnico y manejo de clientes. Cuenta con las certificaciones de CCNP Enterprise y Security, CCNA y DevNet.

Ricardo Vera se incorporó a Cisco en 2021 con el rol de Technical Consulting Engineer en el equipo de Next Generation Firewall. A lo largo de su carrera profesional se especializó como experto certificado en su tecnología y actualmente se encuentra desempeñando el rol de Escalation Engineer en México, asistiendo a clientes en situaciones complejas alrededor del mundo en colaboración con los equipos de Technical Leaders e Ingeniería.

Michel Lepicard se unió a Cisco en 2020 certificándose como experto en el área de networking y desarrollador de aplicaciones. Posteriormente se incorporó al equipo de Next Generation Firewall volviéndose rápidamente en uno de los mejores miembros del equipo. Actualmente apoya al equipo de BETA poniendo a prueba las nuevas características de los productos para encontrar defectos en el software o desarrollar nuevas áreas de oportunidad.