Upgrade ISE

DP WORLD

diciembre 30, 2020, v1.0

Datos del Proyecto

Nombre del Documento Informe final

Cliente DP World

Proyecto Upgrade ISE

Referencia del proyecto

Versiones

Fecha Versión Autor Cambio

10/11/2020 1.0 Jhonny Estrella versión inicial

Estado del documento

 Fecha Versión Autor Estado
10/11/2020 1.0 Jhonny Estrella Original
Tabla de contenido

1. Introducción----------------------------------------------------------------------------------------------------------4
1.1. Resumen--------------------------------------------------------------------------------------------------------4
1.2. Audiencia-------------------------------------------------------------------------------------------------------4
2. Levantamiento de Informacion----------------------------------------------------------------------------------5
2.1. Informacion Actual-------------------------------------------------------------------------------------------5
2.2. Análisis de Compatibilidad---------------------------------------------------------------------------------9
3. Proceso de Upgrade----------------------------------------------------------------------------------------------10
4. Anexo-----------------------------------------------------------------------------------------------------------------11
5. ATP--------------------------------------------------------------------------------------------------------------------19
Upgrade ISE DP World

1. Introducció n
1.1. Resumen

El presente documento describe el procedimiento de Upgrade de la plataforma de Control de

Acceso ISE de la versión 2.2 patch 10 to 2.7 Patch 2.

1.2. Audiencia

El presente documento está destinado al equipo de Ingenieria de DP World , así como al

equipo de Nirqa que formaron parte de la implementación del proyecto.

4
NIRQA Propietary and confidential
Upgrade ISE DP World

2. Levantamiento de Informacion
2.1. Informacion Actual

A continuación, se muestra el levantamiento de informacion de los Networks Devices

actualmente integrados a la plataforma ISE.

a. Network Devices:

DPW Callao
Hostname Model SW Version SW Image
Stack-Telecom-1 WS-C2960X-24PD-L 15.2(4)E8 C2960X-UNIVERSALK9-M
Stack-Telecom-II WS-C2960X-24PD-L 15.2(4)E8 C2960X-UNIVERSALK9-M
Stack-Telecom-3 WS-C2960X-24PD-L 15.2(4)E8 C2960X-UNIVERSALK9-M
Stack-Telecom-4 WS-C2960X-24PD-L 15.2(4)E8 C2960X-UNIVERSALK9-M
Stack-Telecom-WS WS-C2960X-24PD-L 15.2(4)E8 C2960X-UNIVERSALK9-M
SW-AMENIDADES WS-C2960X-24PS-L 15.2(2)E7 C2960X-UNIVERSALK9-M
SW-COMEDOR WS-C2960X-24PS-L 15.2(2)E7 C2960X-UNIVERSALK9-M
SW-NGATE-IN01 WS-C3560CX-12PC-S 15.2(4)E2 C3560CX-UNIVERSALK9-M
SW-NGATE-IN02 WS-C3560CX-12PC-S 15.2(4)E2 C3560CX-UNIVERSALK9-M
SW-NGATE-IN03 WS-C3560CX-12PC-S 15.2(4)E2 C3560CX-UNIVERSALK9-M
SW-NGATE-IN04 WS-C3560CX-12PC-S 15.2(4)E3 C3560CX-UNIVERSALK9-M
SW-NGATE-IN05 WS-C3560CX-12PC-S 15.2(4)E3 C3560CX-UNIVERSALK9-M
SW-NGATE-IN06 WS-C3560CX-12PC-S 15.2(4)E3 C3560CX-UNIVERSALK9-M
SW-NGATE-IN07 WS-C3560CX-12PC-S 15.2(4)E3 C3560CX-UNIVERSALK9-M
SW-NGATE-IN08 WS-C3560CX-12PC-S 15.2(4)E3 C3560CX-UNIVERSALK9-M
SW-NGATE-OUT09 WS-C3560CX-12PC-S 15.2(4)E3 C3560CX-UNIVERSALK9-M
SW-NGATE-OUT10 WS-C3560CX-12PC-S 15.2(4)E3 C3560CX-UNIVERSALK9-M
SW-NGATE-OUT11 WS-C3560CX-12PC-S 15.2(4)E3 C3560CX-UNIVERSALK9-M
SW-NGATE-OUT12 WS-C3560CX-12PC-S 15.2(4)E3 C3560CX-UNIVERSALK9-M
SW-AFORO-PATIO WS-C2960X-24PS-L 15.0(2a)EX5 C2960X-UNIVERSALK9-M
SW-FACILITIES-PNTA IE-2000-8TC-G-L 15.2(4)EA5 IE2000-UNIVERSALK9-M
LAB GRUAS WS-C2960X-24PS-L 15.0(2a)EX5 C2960X-UNIVERSALK9-M

DPW Logistics Callao

Hostname Model SW Version SW Image

5
NIRQA Propietary and confidential
Upgrade ISE DP World

SW1-ALM6-GAB1 WS-C2960X-24TS-L 15.0(2)EX5 C2960X-UNIVERSALK9-M

SW2-ALM6-GAB2 WS-C2960-24PC-L 12.2(46)SE C2960-LANBASEK9-M
ALM6-PUERTA2 WS-C2960-8TC-L 12.2(50)SE5 C2960-LANBASEK9-M
SW-BAL1-ING-ARG WS-C3560CX-12PC-S 15.2(4)E6 C3560CX-UNIVE
SW-OF-DISTRIBUCION WS-C2960G-8TC-L 12.2(55)SE5 C2960-LANBASEK9-M
SW3-OF-TI WS-C2960X-48TS-L 15.2(5b)E C2960X-UNIVERSALK9-M
SW2-OF-TI WS-C2960X-24PSQ-L 15.2(5b)E C2960X-UNIVERSALK9-M
SW-BORDE-CL WS-C2960X-24PD-L 15.2(2)E5 C2960X-UNIVERSALK9-M
SW1-P2-CUBO WS-C2960-24PC-L 12.2(55)SE12 C2960-LANBASEK9-M
BALANZA-FWD WS-C2960X-24PS-L 15.0(2a)EX5 C2960X-UNIVERSALK9-M
SW-OF-FWD WS-C2950T-24 12.1(22)EA8a C2950-I6K2L2Q4-M
SW-ALM.8 WS-C2960CX-8PC-L 15.2(3)E3 C2960CX-UNIVE
SW-BALANZA8 WS-C3560CX-12PC-S 15.2(4)E6 C3560CX-UNIVE
VILLE-SW-BAL-8 WS-C2960C-8TC-L 15.0(2)SE5 C2960c405-UNIVERSALK9-M
SWD-VILLE-OF-NAVIS WS-C3750G-12S 12.2(55)SE10 C3750-IPBASEK9-M
SWA-VILLE-RTG WS-C3560-8PC 12.2(50)SE C3560-IPBASEK9-M
SW-VILLE-OPER WS-C2960S-48TS-L 12.2(55)SE7 C2960S-UNIVERSALK9-M
VILLE-SW-LLEND2 WS-C2960G-8TC-L 12.2(55)SE5 C2960-LANBASEK9-M
VILLE-SW-A-1 WS-C2960X-24TS-L 15.0(2)EX5 C2960X-UNIVERSALK9-M
SW-ALM7-FWD WS-C2960S-24TS-L 12.2(55)SE3 C2960S-UNIVERSALK9-M
SW-EDELNOR WS-C2960-24TT-L 12.2(46)SE C2960-LANBASEK9-M
VILLE-SW-A-1 WS-C2960X-24TS-L 15.0(2)EX5 C2960X-UNIVERSALK9-M
DESPACHO-FWD WS-C2960G-8TC-L 12.2(55)SE11 C2960-LANBASEK9-M

DPWL Gambeta 1
Hostname Model SW Version SW Image
SW-PERNOT-PAMOLSA WS-C3560CX-8PC-S 15.2(3)E1 C3560CX-UNIVE
SW-GDH-SOMA WS-C2960-24PC-L 12.2(58)SE2 C2960-LANBASEK9-M
SW-PERNOT-PAMOLSA WS-C3560CX-8PC-S 15.2(3)E1 C3560CX-UNIVERSALK9-M
SW-COMEDOR-P3 WS-C2960-24PC-L 12.2(46)SE C2960-LANBASEK9-M
SW-MAESTRANZA-VENT WS-C2960S-F24TS-L 15.0(2)SE5 C2960S-UNIVERSALK9-M
SW-PRINC-PAMOLSA WS-C2960G-8TC-L 12.2(55)SE5 C2960-LANBASEK9-M
SW-BAL-LLENOS WS-C2960X-24PS-L 15.2(2)E6 C2960X-UNIVERSALK9-M
Stack-Telecom-WS WS-C2960X-24TS-L 15.0(2a)EX5 C2960X-UNIVERSALK9-M

DPWL Paita
Hostname Model SW Version SW Image
DC13 WS-C2960X-48TS-L 15.2(4)E2 C2960X-UNIVERSALK9-M

6
NIRQA Propietary and confidential
Upgrade ISE DP World

DC14 WS-C2960X-48TS-L 15.2(4)E2 C2960X-UNIVERSALK9-

DPW Callao
Hostname Model SW Version SW Image
Stack-Telecom-1 WS-C2960X-24PD-L 15.2(4)E8 C2960X-UNIVERSALK9-M
Stack-Telecom-II WS-C2960X-24PD-L 15.2(4)E8 C2960X-UNIVERSALK9-M
Stack-Telecom-3 WS-C2960X-24PD-L 15.2(4)E8 C2960X-UNIVERSALK9-M
Stack-Telecom-4 WS-C2960X-24PD-L 15.2(4)E8 C2960X-UNIVERSALK9-M

Hostname Version IP Add Model

DPWORLD_WLC_01 8.5.151.0 10.208.21.181/24 2504
DPWORLD_WLC_01 8.5.151.0 10.208.21.182/24 2504

Hostname Version IP Add Model

ASA

b. Authentication Server

ISE:

Hostname Version IP Add Domain DNS

SV1PNA-APISE1 2.2.0.470 P2 10.208.21.10/24 dpwc.local 10.208.10.11/10.208.10.181
SV2PNA-APISE2 2.2.0.470 P2 10.208.21.11/24 dpwc.local 10.208.10.11/10.208.10.181

Hostname CPU DISK RAM NIC

SV1PNA-APISE1 8vCPU 700GB 16GB 1 vNIC
SV2PNA-APISE2 8vCPU 700GB 16GB 1 vNIC

c. Endpoints

SO Version IP Add Domain DNS

7
NIRQA Propietary and confidential
Upgrade ISE DP World

Windows 10 dpwc.local 10.208.10.11/10.208.10.181

d. External Identities

SO Version IP Add Domain DNS

Windows Server 10.208.10.11 dpwc.local 10.208.10.11/10.208.10.181

e. Features configurados

Features Descripcion Status

802.1X WIRED Authentication Wired Enabled
802.1X WIFI Authentication Wifi Enabled
Auth Machine Authenticacion mediante Disabled
802.1X credenciales de Maquina
MAB Mac Address Bypass Enabled
Auth User 802.1X Authenticacion mediante Enabled
credenciales de Usuario
Profiling Profiling de dispositivos Disabled
Posture Postura y Remediacion Disabled
Guest Services Portal de Invitados Disabled
VPN Autenticacion de Usuarios Enabled
mediante VPN

f. Licencias

Tipo Cantidad
BASE 2500
PLUS 500
APEX 200

8
NIRQA Propietary and confidential
Upgrade ISE DP World

2.2. Análisis de Compatibilidad

Luego de levantar la informacion del ISE, se ha revisado la documentación del fabricante

para analizar la compatibilidad de los dispositivos con la nueva versión de ISE.
A continuación, se muestra los resultados del análisis:

a. Se recomienda la actualizacion de IOS de los siguiente switches a una versión

recomendaba por el fabricante, el resto de switches no tendrán problema.
1. SW2-ALM6-GAB2: upgrade IOS: 12.2(55)SE5 o 12.2(55)SE10
2. ALM6-PUERTA2 : upgrade IOS: 12.2(55)SE5 o 12.2(55)SE10
3. VILLE-SW-BAL-8 : upgrade IOS: 15.2(2)E4
4. SW-EDELNOR : upgrade IOS: 12.2(55)SE5 o 12.2(55)SE10
5. SW-COMEDOR-P3: upgrade IOS 12.2(55)SE5 o 12.2(55)SE10
6. SW-MAESTRANZA-VENT: upgrade IOS: 15.0(2)SE11 o Superior
b. Los siguientes switches no están soportados por la versión actual o la versión
futura.
1. SW-OF-FWD No soportado.
2. SWA-VILLE-RTG No soportado.
c. El ASA y WLC son compatibles con la versión 2.7
d. Es posible realizar el upgrade de los nodos ISE directamente de la versión 2.2 hacia
la 2.7.

OBS: Se requerirá realizar rehosting de Licencias:

9
NIRQA Propietary and confidential
 Upgrade ISE DP World

3. Proceso de Upgrade
A continuación, se enumeran los pasos necesarios para realizar el Upgrade de la 2.2 to 2.7.

Tareas Previas:

1. Realizar Backup de la Configuracion y Operacional desde el Nodo Principal.

2. Validar que los nodos estén operando correctamente (Autenticaciones/Autorizaciones),
conexión con el AD, NTP, resolución de DNS.

Instalacion:

3. Instalar 02 Nodos 2.7 en nuevas VM (tipo small 08vCPU, 16GB RAM, 600 DISK) en forma
paralela a la solución actual desde la consola de VMware, estas máquinas se deberán instalar
en una red aislada.
4. Realizar el Setup de los nodos con los parámetros de Red Actuales.
5. Instalar Parches: Patch2 a los 02 Nodos.
6. Realizar el restore de la configuración al Nodo 2.7 y revisar posibles issues.
7. Cargar las licencias rehosteadas en modo Tradicional.

Ventana de Mantenimiento:

8. Deshabilitar la interfaz de producción del ISE1 e ISE2 (2.2) y habilitar las interfaces del ISE 2.7
9. Realizar la conexión con el Directorio Activo
10. Integrar el nodo Secundario al despliegue distribuido.
11. Realizar la conexión con el Directorio Activo al nodo Secundario.
12. Realizar la sincronización de la configuración del nodo Primario to Secundario.

Validación y pruebas finales:

13. Test de autenticación y Autorizacion Wired, Wireless, VPN, MAB de los dispositivos de Red ( A
cargo del cliente).
14. Realizar pruebas de redundancia desactivando la interfaz del Nodo Primario o parando los
servicios y luego poniendo en halt a la VM.

10
NIRQA Propietary and confidential
 Upgrade ISE DP World

4. Anexo
A continuación de muestran algunos screenshot del proceso de Upgrade.

1. Proceso de Backup

2. Backup de certificados

11
NIRQA Propietary and confidential
Upgrade ISE DP World

3. Conexión con el AD

4. Instalacion Nodos 2.7

12
NIRQA Propietary and confidential
Upgrade ISE DP World

5. Restore de Configuracion

13
NIRQA Propietary and confidential
Upgrade ISE DP World

14
NIRQA Propietary and confidential
Upgrade ISE DP World

6. Carga de Certificado

15
NIRQA Propietary and confidential
Upgrade ISE DP World

16
NIRQA Propietary and confidential
Upgrade ISE DP World

7. Registro ISE Secundario

17
NIRQA Propietary and confidential
Upgrade ISE DP World

8. Radius Live Log posterior a la migración:

9. Carga de licencias

18
NIRQA Propietary and confidential
 Upgrade ISE DP World

5. ATP
A continuación, se enumera las pruebas de validación de servicio luego del Upgrade.

Nro Test Result

1 Test de Autenticacion Wired 802.1X Pass
2 Test de Autorizacion Wired 802.1X Pass
3 Test de Autenticacion Wifi 802.1X Pass
4 Test de Autorizacion Wifi 802.1X Pass
5 Test de Autenticacion MAB Pass
6 Test de Autorizacion MAB Pass
7 Test Autenticacion VPN Pass
8 Test Autorizacion VPN Pass
9 Test redundancy Autenticacion Pass
10 Validación de la licencia Pass
11 Validación la conectividad con el AD Pass
12 Validación de la conectividad con el DNS, NTP Pass
13 Validación parche instalado Pass

19
NIRQA Propietary and confidential