IT BLOG(KR)

안녕하세요.

오늘은 EVE-NG에 PaloAlto Firewall를 설치해보겠습니다.

1. 공식사이트 링크는 아래와 같습니다.

2. PaloAlto 방화벽 폴더 이름 이미지 파일 이름 및 확장자 정보입니다.

Qemu folder name EVE Vendor Qemu image. qcow2 name

a10-	A10-vthunder	hda
acs-	ACS	hda
asa-	ASA ported	hda
asav-	ASAv	virtioa
ampcloud-	Ampcloud Private	hda, hdb, hdc
alteon-	Radware	virtioa
barracuda-	Barracuda FW	hda
bigip-	F5	virtioa, virtiob
brocadevadx-	Brocade	virtioa
cda-	Cisco CDA	hda
cips-	Cisco IPS	hda, hdb
clearpass-	Aruba ClearPass	hda, hdb
aruba-	Aruba Virtual Mobility Controller	hda, hdb
arubacx-	Aruba CX Switch	virtioa
coeus-	Cisco WSA coeus	virtioa
phoebe-	Cisco ESA	virtioa
cpsg-	Checkpoint	hda
csr1000v-	Cisco CSR v1000 3.x	virtioa
csr1000vng-	Cisco CSR v1000 16.x, 17.x	virtioa
csr1000vng-	Cisco CSR v1000 16.x SD-WAN	virtioa
prime-	Cisco Prime Infra	virtioa
cucm-	Cisco CUCM	virtioa
cumulus-	Cumulus	virtioa
extremexos-	ExtremeOS	sataa
extremevoss-	Extreme VOSS SW	hda
esxi-	VM Ware ESXi	hda, hdb, hdc…
firepower-	Cisco FirePower 5.4 NGIPS	scsia
firepower-	Cisco FirePower 5.4 FMC	scsia
firepower6-	Cisco FirePower 6.x NGIPS	sataa
firepower6-	Cisco FirePower 6.x FMC	virtioa
firepower6-	Cisco FirePower 6.x FTD	virtioa
ftd7-	Cisco Firepower 7 FTD	virtioa
fmc7-	Cisco Forepower 7 FMC	virtioa
fortinet-	Fortinet FW	virtioa
fortinet-	Fortinet SGT	virtioa
fortinet-	Fortinet mail	virtioa, virtiob
fortinet-	Fortinet manager	virtioa
fpfw-	Forcepoint NGFW	hda
fpsmc-	Forcepoint Security Manager	hda
hpvsr-	HP virt router	hda
huaweiar1k-	Huawei AR1000v	virtioa
huaweiusg6kv-	Huawei USG6000v	hda
ise-	ISE 1.x cisco	hda
ise-	ISE 2.x cisco	virtioa
jspace-	Junos Space	virtioa
infoblox-	Infoblox	virtioa
junipervrr-	Juniper vRR	virtioa
kerio-	Kerio Control Firewall	sataa
linux-	any linux	virtioa
mikrotik-	Mikrotik router	hda
nsvpx-	Citrix Netscaler	virtioa
nsx-	VM Ware NSX	hda
nxosv9k-	NX9K Cisco Nexus ( SATA best perf)	sataa
olive-	Juniper	hda
ostinato-	Ostinato traffic generator	hda
osx-	Apple OSX	hda + kernel.img
paloalto-	PaloAlto FW	virtioa
panorama-	PaloAlto Panorama	virtioa, virtiob
pfsense-	pFsense FW	virtioa
prime-	Cisco Prime Infra	virtioa
pulse-	Pulse Secure	virtioa
riverbed-	vRiverbed	virtioa, virtiob
scrutinizer-	Plixer Scrutinizer Netflow	virtioa
silveredge-	Silver Peak Edge	hda
silverorch-	Silver Peak Orchestrator	hda
sonicwall-	FW Sonicwall	sataa
sourcefire-	Sourcefire NGIPS	scsia
sterra-	S-terra VPN	hda
sterra-	S-terra Gate	virtioa
stealth-	Cisco StealthWatch	hda
timos-	Alcatel Lucent Timos	hda
timoscpm-	Nokia Timos 19	virtidea
timosiom-	Nokia Timos 19	virtidea
titanium-	NXOS Titanium Cisco	virtioa
vcenter-	VMWare vCenter	sataa ( 12G ) satab ( 1.8G ) satac ( 15G ) satad ( 25G ) satae ( 25G ) sataf ( 10G ) satag ( 10G ) satah ( 15G ) satai ( 10G ) sataj ( 1.0G ) satak ( 10G ) satal ( 10G ) satam ( 100G )
veos-	Arista SW	hda, cdrom.iso
veloedge-	Velocloud Edge	virtioa
velogw-	Velocloud Gateway	virtioa
veloorch-	Velocloud Orchestrator	virtioa, virtiob, virtioc
versaana-	Versa Networks Analayzer	virtioa
versadir-	Versa Networks Director	virtioa
versavnf-	Versa Networks FlexVNF Edge	virtioa
vios-	L3 vIOS Cisco Router	virtioa
viosl2-	L2 vIOS Cisco SW	virtioa
vtbond-	Viptela vBond	virtioa
vtedge-	Viptela vEdge	virtioa
vtsmart-	Viptela vSmart	virtioa
vtmgmt-	Viptela vManage	virtioa, virtiob
vmx-	Juniper vMX router	hda
vmxvcp-	Juniper vMX-VCP	virtioa, virtiob, virtioc
vmxvfp-	Juniper vMX-VFP	virtioa
vnam-	Cisco VNAM	hda
vqfxpfe-	Juniper vQFX-PFE	hda
vqfxre-	Juniper vQFX-RE	hda
vsrx-	vSRX 12.1 Juniper FW/router	virtioa
vsrxng-	vSRX v15.x Juniper FW/router	virtioa
vwaas-	Cisco WAAS	virtioa,virtiob,virtioc
vwlc-	vWLC Cisco WiFi controller	megasasa
vyos-	VYOS	virtioa
win-	Windows Hosts (Not Server Editions)	hda or virtioa(using driver)
winserver-	Windows Server Editions	hda or virtioa(using driver)
xrv-	XRv Cisco router	hda
xrv9k-	XRv 9000 Cisco router	virtioa
zabbix-	Zabbix Monitoring	virtioa

아래 사진처럼 폴더이름은 paloalto- 으로 시작해야 하고 파일 이름은 virtioa이고 확장자는 qcow2입니다.

3. 아래 사진처럼 paloalto 폴더를 준비 합니다. 위에 표에 있는 이미지 말고 다른 이미지 버전도 지원하고 참고 부탁드립니다.

4. paloalto-11.0.0 폴더를 클릭해서 파일이름과 확장자를 확인합니다.

5. winscp를 이용해서 EVE-NG에 접속 합니다.

6. 폴더 위치.

/opt/unetlab/addons/qemu/

여기를 클릭후 위에 팔로알토 폴더를 이동 합니다

7. putty를 이용해서 EVE-NG 접속 합니다.

/opt/unetlab/wrappers/unl_wrapper -a fixpermissions

*** System restart required ***
Last login: Mon Dec 23 04:56:18 2024 from 172.16.10.19
root@eve-ng:~# /opt/unetlab/wrappers/unl_wrapper -a fixpermissions

root@eve-ng:~#
root@eve-ng:~#

8. EVE-NG GUI 접속 합니다.

9. 아래처럼 3개 버전을 Node를 생성하고 MGMT Interface에 연결 합니다.

Default login

admin/admin

10. 아래처럼 MGMT IP를 설정 합니다.

PA01 - 192.168.10.161/24 - 9.0.4 version

PA02 - 192.168.10.162/24 - 10.1.0 version

PA03 - 192.168.10.163/24 - 11.0.0 version

login : admin
Password: admin
Enter old password : admin
Enter new password:
confirm password:

admin@PA-VM> cpmfogire
admin@PA-VM# set deviceconfig system type static
admin@PA-VM# set deviceconfig system ip-address 192.168.10.161 netmask 255.255.255.0 default-gateway 192.168.10.253
admin@PA-VM# commit

PC에서 ping를 시도 합니다.

ping 192.168.10.161

위와 같이 다른 version에 paloalto도 MGMT 설정 합니다.

11. 아래 처럼 GUI로 접속 합니다.

정상적으로 동작 합니다. 다른 버전들도 이렇게 확인 가능 합니다.

지금까지 [2024][EVE-NG #19] PaloAlto 설치하기 글을 읽어주셔서 감사합니다.

저작자표시 (새창열림)

'EVE-NG' 카테고리의 다른 글

[2024][EVE-NG #18] Virtual PC(VPCS) (0)	2024.11.06
[2024][EVE-NG #18] EVE-NG에 C9800CL Install (2)	2024.10.07
[2024][EVE-NG #17] Upgrade EVE-NG version (0)	2024.07.18
[2024][EVE-NG #16] Juniper QFX 스위치 설치하기 (0)	2024.07.12
[2024][EVE-NG #15] Juniper MX 라우터 설치하기 (0)	2024.07.11

안녕하세요.

오늘은 기본 기능은 IP Scan에 대해서 알아보겠습니다.

EX) 192.168.10.0/24 서브넷을 입력하고 scan를 버튼을 누르면 Ping으로 응답하는 기기들은 모두 찾아서 표시해 줍니다.

1. Subnets를 클릭후 All suctions를 클릭 합니다.

2. 기본적으로 2개에 sections이 있습니다.

IPv6는 사용하지 않습니다. 그래서 삭제를 하겠습니다.

Delete section를 클릭 합니다.

Edit Section를 클릭 합니다.

이름을 customer에서 원하는 이름으로 수정 합니다.

저는 LAB으로 설정 하겠습니다.

LAB를 클릭 합니다.

My Folder를 클릭 합니다.

아래처럼 Nest subnet를 클릭 합니다.

아러채럼 설정하고 Add버튼을 클릭 합니다.

LOCAL_SUBNET02를 클릭 합니다.

Scan 버튼을 클릭 합니다.

Scan에 종류는 다양합니다.

아래처럼 Ping scan를 선택하고 scan버튼을 클릭합니다.

단말기기에서 ICMP패킷이 방화벽때문에 막혀있으면 PHPIPAM이 찾을수가 없습니다.

이때는 ARP또는 MAC으로 SCAN하면 됩니다.

아래처럼 사용하고 있는 IP주소를 찾았습니다.
Description 또는 hostname을 추가 가능 합니다.

저는 그냥 add discovers hosts버튼을 클릭 합니다.

아래처럼 등록이 완료 되었습니다

IP주소 오른쪽에 이 버튼을 클릭하면 수정 가능 합니다.

지금까지 [phpIPAM][#8]- scan IP 글을 읽어 주셔서 감사합니다.

저작자표시 (새창열림)

'IPAM Tools > phpIPAM' 카테고리의 다른 글

[phpIPAM][#8]- User 생성 (0)	2024.12.22
[phpIPAM][#7]- basic administration Setting (0)	2024.12.22
[phpIPAM][#6]-fping and snmp install for scan (0)	2024.12.22
[phpIPAM][#5]-phpIPAM install (1)	2024.12.22
[phpIPAM][#4]-ssh server install (0)	2024.12.22

안녕하세요..

이번에는 Juniper SRX Upgrade Path에 대해서 알아보도록 하겠습니다.

Juniper SRX Firmware Upgrade Path 입니다.

Upgrade table

To make it easy to lookup for each Junos release for SRX from which earlier releases it is supported to directly upgrade to it, please see the below table.

Before performing the upgrade, please make sure to check the Notes section below for possible caveats and limitations which may apply.

Target Junos releaseDirect upgrade supported from

24.2	23.4, 23.2, 22.4
23.4	23.2, 22.4, 22.3
23.2	22.4, 22.3, 22.2
22.4	22.3, 22.2, 22.1, 21.4
22.3	22.2, 22.1, 21.4
22.2	22.1, 21.4, 21.3, 21.2
22.1	21.4, 21.3, 21.2
21.4	21.3, 21.2, 21.1, 20.4
21.3	21.2, 21.1, 20.4
21.2	21.1, 20.4, 20.3, 20.2
21.1	20.4, 20.3, 20.2
20.4	20.3, 20.2, 20.1, 19.4
20.3	20.2, 20.1, 19.4
20.2	20.1, 19.4, 19.3, 19.2
20.1	19.4, 19.3, 19.2
19.4	19.3, 19.2, 19.1, 18.4, 15.1X49
19.3	19.2, 19.1, 18.4
19.2	19.1, 18.4, 18.3, 18.2
19.1	18.4, 18.3, 18.2
18.4	18.3, 18.2, 18.1, 17.4, 15.1X49
18.3	18.2, 18.1, 17.4
18.2	18.1, 17.4, 17.3
18.1	17.4, 17.3
17.4	17.3, 15.1X49
17.3	15.1X49
15.1X49	12.3X48

https://supportportal.juniper.net/s/article/Junos-upgrade-paths-for-SRX-platforms?language=en_US

[SRX] Junos upgrade paths for SRX platforms

×Sorry to interrupt This page has an error. You might just need to refresh it. [LWC component's @wire target property or method threw an error during value provisioning. Original error: [Cannot read properties of undefined (reading 'ContentDocumentId')]]

supportportal.juniper.net

Examples of upgrade paths

To upgrade your SRX device from Junos 21.4R3 to 24.2R1
Path: 21.4R3 --> 22.4R3 --> 24.2R1

To upgrade your SRX device from Junos 21.4R3 to 23.4R2-S3
Path: 21.4R3 --> 22.4R3 --> 23.4R2-S3

To upgrade your SRX device from Junos 19.4R3 to 22.2R1
Path: 19.4R3 --> 20.4R3 --> 21.4R2 --> 22.2R1 (*2,3)

To upgrade your SRX device from Junos 18.2R3 to 20.4R1
Path: 18.2R3 --> 18.4R3 --> 19.4R3 --> 20.4R1

To upgrade your SRX device from Junos 17.4R3 to 19.4R3-S2
Path: 17.4R3 --> 18.2R3 --> 18.4R3 --> 19.4R3-S2

To upgrade your SRX device from Junos 15.1X49-D170 to 20.4R1
Path: 15.1X49-D170 --> 19.4R3 --> 20.4R1

지금까지 [2024][Juniper SRX #17] Firmware Upgrade path 글을 읽어주셔서 감사합니다.

저작자표시 (새창열림)

'JUNIPER > SRX 방화벽' 카테고리의 다른 글

[2024][Juniper SRX #19] J-Web (0)	2025.02.05
[2024][Juniper SRX #18] Firmware recommendation (0)	2025.01.11
[2024][Juniper SRX #16] password recovery (0)	2024.07.28
[2024][Juniper SRX #15] commit and rollback (1)	2024.07.27
[2024][Juniper SRX #14] firewall policy 순서 변경 (0)	2024.07.26

안녕하세요.

오늘은 cisco ISE patch update에 대해서 알아보겠습니다.

Patch는 bug fixed, Security fixed 등이 포함되어져 있습니다.

patch 1,2,3,4,5,6 있다고 가정하면 꼭 순서데로 설치 할 필요는 없습니다.

patch 6를 설치하면 그전에 버그 fixed 버전이 다 포함되어져 있습니다.

현재 cisco ise 설치 버전은 3.2 입니다. Patch 버전을 확인 합니다.

만약에 Cisco ISE HA로 구성되어져 있다면 아래의 방식으로 Patch가 업데이트 됩니다.

1. Primary Administration Node

2. Secondary Administration Node

3. Primary Monitoring Node

4. Secondary Monitoring Node

5. Policy Service Nodes

1. 현재 cisco ise patch 정보를 확인 합니다.

CLI에서도 확인 가능 합니다.

ise01/admin#show version

Cisco Application Deployment Engine OS Release: 3.2
ADE-OS Build Version: 3.2.0.401
ADE-OS System Architecture: x86_64

Copyright (c) 2005-2022 by Cisco Systems, Inc.
All rights reserved.
Hostname: ise01

Version information of installed applications
---------------------------------------------

Cisco Identity Services Engine
---------------------------------------------
Version : 3.2.0.542
Build Date : Thu Oct 20 00:27:24 2022
Install Date : Tue Dec 31 12:37:28 2024

ise01/admin#

cisoc ise patch가 install되면 patch정보가 아래에 표시 됩니다.

2. 최신 Patch는 7입니다. 다운로드 받습니다.

3. GUI에서 Patch를 업데이트 하는 방법

다운로드 받은 patch를 선택하고 install버튼을 클릭 합니다.

4. CLI에서 Patch를 업데이트 하는 방법

Download 받은 Patch를 Windows FTP를 이용해서 업로드 합니다.

도스창에서 FTP를 이용해서 업로드 해도 되고 따로 FTP Clinet 프로그램을 설치 해서 업로드 가능 합니다.

5. CLI에서 FTP-Repo 확인 합니다

ise01/admin#show repository FTP-Repo
ise-patchbundle-3.2.0.542-Patch7-24100105.SPA.x86_64.tar.gz
test.txt

6. CLI모드에서 Patch를 업데이트 해보겠습니다.

ise01/admin#patch install ise-patchbundle-3.2.0.542-Patch7-24100105.SPA.x86_64.tar.gz FTP-Repo
% Warning: Patch will be installed only on this node. Install using Primary Administration node GUI to install on all nodes in deployment. Continue? (yes/no) [yes] ? yes
Initiating Application Patch installation...

Getting bundle to local machine...

업데이트가 완료 될때까지 기다립니다.

지금까지 [2025][CISCO ISE#26] - Patch Update 글을 읽어주셔서 감사합니다.

저작자표시 (새창열림)

'CISCO > CISCO ISE' 카테고리의 다른 글

[2025][CISCO ISE#28] - configuration backup (0)	2025.01.12
[2025][CISCO ISE#27] - Backup and Restore (0)	2025.01.12
[2025][CISCO ISE#25] - Repository (0)	2025.01.07
[2025][CISCO ISE#24] - High Availability (0)	2025.01.07
[2025][CISCO ISE#23] - ISE Deployment Model (0)	2025.01.07

안녕하세요.

오늘은 cisco ise Repository에 대해서 알아보겠습니다.

1. ISE Repository는 GUI또는 CLI에서 설정 가능 합니다.

2. Repository는 Backup또는 REstore 할때 사용 됩니다.

3. 또는 cisco ISE upgrade 또는 Patch Update할떄 사용 됩니다.

4. Repository는 아래 처럼 생성 가능 합니다.

4-1 Disk

4-2 FTP

4-3 SFTP

4-4 TFTP

4-5 NFS

4-6 CDROM

4-7 HTTP

4-8 HTTPS

저희는 윈도우서버에 FTP를 설정 했기때문에, 이번 테스트는 FTP를 이용해서 백업및 복구를 실행해보겠습니다.

1. Administration - System -Maintenance - Repository

Add버튼을 클릭 합니다.

2. 아래처럼 설정 합니다.

FTP가 제대로 동작하는지 확인 합니다.

위에 처럼 정상적으로 동작 합니다.

CLI에서 확인 하는 방법

ise01/admin#show repository FTP-Repo
test.txt
ise01/admin#

CLI에서 Repository 설정 방법

ise01/admin# config t
ise01/admin# repository FTP-Repo
ise01/admin repository# url ftp://192.168.10.193/
ise01/admin repository# user administrator password plain xxxxxxx
ise01/admin repository# exit

ise01/admin# show repository FTP-Repo

지금까지 [2025][CISCO ISE#25] - Repository 글을 읽어주셔서 감사합니다.

백업이랑 복구하는 방법은 다음글에서 다루겠습니다.

저작자표시 (새창열림)

'CISCO > CISCO ISE' 카테고리의 다른 글

[2025][CISCO ISE#27] - Backup and Restore (0)	2025.01.12
[2025][CISCO ISE#26] - Patch Update (0)	2025.01.07
[2025][CISCO ISE#24] - High Availability (0)	2025.01.07
[2025][CISCO ISE#23] - ISE Deployment Model (0)	2025.01.07
[2025][CISCO ISE#23] - Identity Source Sequence (0)	2025.01.07

안녕하세요.

Cisco ISE high Availabilty에 대해서 알아보겠습니다.

Cisco ISE 노드를 설치하면 독립 형태로 관리, 정책에서 제공하는 모든 기본 서비스가 서비스 및 모니터링 Persona가 실행됩니다. Cisco ISE 노드의 관리 포털에 로그인하여 구성하고 기본적으로 독립형 Cisco ISE 노드의 서비스입니다. 하지만 HA를 설정하면 ISE 노드별로 PAN, PSN, MnT등을 동작 시킬수 있습니다.

HA 설정하기 전에 아래처럼 요구 사항을 확인 합니다.

1. Cisco ISE 노드는 Version, Patch Number는 동일해야 합니다.

2. The Primary ISE는 Standardalone으로 동작하면 않됩니다. 기본적으로 ISE설치하면 Standardalone으로 동작 합니다.

3. 모든 ISE에 admin 계정을 알아야 합니다.

4. 모든 ISE에 hostname은 DNS에 등록 되어야 하고 서로간에 DNS에 통신이 되어야 합니다.

5. ISE01노드는 system certificate

기본 정보는 아래와 같습니다.

ISE01 FQDN - ise01.test.local

ISE02 FQDN - ise02.test.local

ISE01 IP: 192.168.10.191

ISE02 IP: 192.168.10.192

ISE01 and ISE02 username/password - admin/xxxxxx

ISE01 - Primary

ISE02 - Secondary

1. ISE01 version 및 Patch 확인

2. Cisco ISE02 version 및 patch

3. Cisco ISE Priarmy를 Standardalone으로 동작중인데, 이것을 수정합니다

현재 Standard alone으로 동작중입니다. 아래 Make Primary를 클릭 합니다.

Role - Primary로 변경 되었습니다. 그리고 SAVE버튼을 클릭 합니다.

4. DNS 정보를 확인합니다. 이전글에서 DNS Server에서 A레코드를 생성 하였습니다.

ISE01 CLI 접속합니다.

ise01/admin#ping ise02.test.local
PING ise02.test.local (192.168.10.192) 56(84) bytes of data.
64 bytes from 192.168.10.192: icmp_seq=1 ttl=64 time=0.323 ms
64 bytes from 192.168.10.192: icmp_seq=2 ttl=64 time=0.370 ms
64 bytes from 192.168.10.192: icmp_seq=3 ttl=64 time=0.459 ms
64 bytes from 192.168.10.192: icmp_seq=4 ttl=64 time=0.448 ms

--- ise02.test.local ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3050ms
rtt min/avg/max/mdev = 0.323/0.400/0.459/0.056 ms

ise01/admin#

ISE02 CLI접속합니다

ise02/admin#ping ise01.test.local
PING ise01.test.local (192.168.10.191) 56(84) bytes of data.
64 bytes from 192.168.10.191: icmp_seq=1 ttl=64 time=0.422 ms
64 bytes from 192.168.10.191: icmp_seq=2 ttl=64 time=0.349 ms
64 bytes from 192.168.10.191: icmp_seq=3 ttl=64 time=0.364 ms
64 bytes from 192.168.10.191: icmp_seq=4 ttl=64 time=0.231 ms

--- ise01.test.local ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3083ms
rtt min/avg/max/mdev = 0.231/0.341/0.422/0.071 ms

ise02/admin#

5. System Certificate

지금부터 Cisco ISE HA설정 하겠습니다.

1. Register 버튼을 클릭 합니다.

2. 아래처럼 입력 합니다.

host FQDN : ise02.test.local

username: admin

password: xxxxx

3. Submit버튼을 클릭 합니다.

HA 구성중입니다. 기다립니다.

현재 동기화중이라서 저렇게 Node Status에 표시 됩니다. 10분 정도 기다리고 다시 확인 합니다.

ISE02에 접속하면 Standby 동작하기 떄문에, 설정이 제한적입니다.

지금까지 [2025][CISCO ISE#24] - High Availability 글을 읽어주셔서 감사합니다.

저작자표시 (새창열림)

'CISCO > CISCO ISE' 카테고리의 다른 글

[2025][CISCO ISE#26] - Patch Update (0)	2025.01.07
[2025][CISCO ISE#25] - Repository (0)	2025.01.07
[2025][CISCO ISE#23] - ISE Deployment Model (0)	2025.01.07
[2025][CISCO ISE#23] - Identity Source Sequence (0)	2025.01.07
[2025][CISCO ISE#22] - Integration with active directory (0)	2025.01.06

안녕하세요.

이번에는 ISE Deployment Model에 대해서 알아보겠습니다.

Cisco에서는 지원되는 몇 가지 배포 모델을 규정했습니다. 소형, 중형 및 크기가 큰. 이름에서 짐작할 수 있듯이 환경의 규모 요구 사항은 다음과 같습니다. 어떤 Cisco ISE 배포 모델이 귀하에게 가장 적합한지 결정할 때 가장 중요한 요소입니다.
단일 Cisco ISE 노드가 있는 배포를 독립형 배포라고 합니다. 이 노드관리, 정책 서비스 및 모니터링 페르소나를 실행합니다. 더 많은 기능을 갖춘 배포 두 개 이상의 Cisco ISE 노드를 분산 구축이라고 합니다. 장애 조치 지원 및 개선 성능을 향상하려면 분산 환경에서 여러 Cisco ISE 노드로 구축을 설정할 수 있습니다.

Standalone Minimum 1 – Maximum 1 20,000

Small Minimum 1 - Maximum 2 20,000

Medium Minimum 3 - Maximum 7 20,000

Large Minimum 5 - Maximum 54 500,000

1. Standardalone

독립형 배포는 하나의 ISE 노드에 구축됩니다. 독립형 모드는 단일 노드라고도 합니다. cisco ISE 단일 물리적 또는 가상 ISE 장치에서 사용할 수 있습니다. 단일 Cisco ISE 모든 기능을 수행합니다. 독립 실행형 배포 방법은 중복성을 사용할 수 없습니다. ISE의 경우 네트워크 연결이 끊어지면 인증/권한 부여가 작동하지 않습니다. ISE 장치의 전원이 꺼지는 경우 연결 인증/권한 부여가 작동하지 않습니다.

PSN, PAN, MnT, pxGrid Controller를 모두 수행 합니다.

2. Small Deployment

가장 작은 분산 ISE 배포는 2개의 Cisco ISE 노드로 구성됩니다. 두 노드 모두 모든 기능을 실행합니다.
3개의 필수 ISE Persona 중 하나가 기본 노드로 작동합니다. 기본 노드 모든 구성, 인증, 정책 기능과 보조 노드를 제공합니다. 백업 역할을 합니다. 연결이 끊어진 경우 보조는 기본을 지원합니다. 네트워크 장치와 기본 장치 사이. 즉, 동일한 데이터 센터에 있는 2개의 노드는 모두 노드는 모든 페르소나를 실행하고 모든 노드는 모든 서비스를 실행합니다. 소규모 LAN 또는 낮은 대기 시간을 위해 설계됨 핏기 없는. 일반적인 권장 사항은 노드 간 왕복 대기 시간이 300ms를 넘지 않는 것입니다. 소규모 네트워크 분할 배포 동일하지만 두 노드가 다른 데이터 센터에 있습니다. 이 유형의 배포에서는 모든 Persona가 독립형처럼 동일한 노드에서 실행됩니다. 배포 유형. 독립 실행형 배포와 다른 점은 Persona가 노드라는 점입니다. 두 개의 노드에서 실행 중입니다. 즉, Pri PAN, Pri MnT, PSN 및/또는 pxGrid는 노드 1에서 실행되고 Sec는 노드 1에서 실행됩니다. PAN, Sec MnT, PSN 및/또는 pxGrid는 노드 2에서 실행됩니다. 기본 및 보조 관리자와 MnT Persona의 역할은 혼합될 수 있습니다.

Option1

Cisco ISE Node 1 Primary PAN, Primary MnT, PSN and PxGrid

Cisco ISE Node 2 Secondary PAN, Secondary MnT, PSN and PxGrid

Option2

Cisco ISE Node 1 Primary PAN, Secondary MnT, PSN, and PxGrid

Cisco ISE Node 2 Secondary PAN, Primary MnT, PSN, and PxGrid

3. Medium Deployment

중간 규모 배포에서는 총 7개의 ISE 노드가 있을 수 있습니다. 두 개의 노드가 PAN과 MnT Persona 최대 5개의 노드가 전용 PSN Persona 실행됩니다. PAN/MnT 노드는 데이터 센터 위치에 배치될 가능성이 높습니다. 이 모델에서 우리는 PSN이 어느 위치에나 상주할 수 있도록 했습니다. 선택한 네트워크 위치. 일부 PSN은 PAN/MnT와 함께 배치될 수 있습니다. 데이터 센터, 일부는 중요한 캠퍼스/지사 위치에 배치될 수 있습니다. 이것은 다음과 같은 상황에서도 중요한 캠퍼스/지사 위치 인증이 유지되도록 허용합니다. WAN 장애. 네트워크 규모가 커지거나 ISE 토폴로지를 확장하려는 경우 더 많은 노드를 추가해야 하며 중간 규모 배포에서는 전용 노드를 시작해야 합니다. 로깅 및 관리에 사용됩니다. 중간 규모 배포는 기본 및 보조로 구성됩니다. 별도의 정책과 함께 관리 노드와 기본 및 보조 모니터링 노드 서비스 노드.

Option1

Cisco ISE Node 1 Primary PAN and Primary MnT

Cisco ISE Node 2 Secondary PAN and Secondary MnT

Cisco ISE Node 3, 4, 5, 6, 7 PSN1, PSN2, PSN3, PSN4, and PSN5

Option2

Cisco ISE Node 1 Primary PAN and Secondary MnT

Cisco ISE Node 2 Secondary PAN and Primary MnT

Cisco ISE Node 3, 4, 5, 6, 7 PSN1, PSN2, PSN3, PSN4, and PSN5

4. Large Deployment

대규모 배포에서는 총 54개의 ISE 노드가 있을 수 있습니다. 두 개의 노드가 PAN Persona 실행합니다. 2 노드는 MnT Persona를 실행하며, 최대 50개의 노드가 전용 PSN Persona로 실행됩니다. 그만큼 PAN/MnT 노드는 데이터 센터 위치에 배치될 가능성이 높습니다. 이 모델에서 우리는 PSN은 귀하가 선택한 네트워크 위치에 상주하고 배포의 규모/유연성. 일부 PSN은 PAN/MnT와 함께 배치될 수 있습니다. 데이터 센터는 로드 밸런서가 있는 풀 프런트 엔드로, 일부는 중요한 위치에 배치될 수 있습니다. 캠퍼스/지사 위치. 이는 중요한 캠퍼스/지사 사무실을 허용할 것입니다. WAN 장애가 발생하는 경우 위치 인증이 유지됩니다. 로드 밸런서 사용, 그러나 필수는 아니지만 단순화된 네트워크를 유지하면서 더 큰 규모를 달성할 수 있습니다. 각 네트워크 장치가 두 개의 로드 밸런서 VIP를 RADIUS로 가리킬 수 있으므로 장치 구성 로드 밸런서 뒤에는 훨씬 더 많은 ISE 정책 서비스 노드가 상주합니다. 와 함께 대규모 네트워크 배포의 경우 각 노드를 별도의 Persona에 지정합니다. 그래서 별도의 관리, 모니터링, 정책 서비스를 위한 노드입니다. 로드 사용도 고려해야 합니다.

자세한 내용은 cisco 공식 홈페이지를 참고 부탁드립니다.

https://www.cisco.com/c/en/us/td/docs/security/ise/3-0/install_guide/b_ise_InstallationGuide30/b_ise_InstallationGuide30_chapter_1.html

Cisco Identity Services Engine Installation Guide, Release 3.0 - Network Deployments in Cisco ISE [Cisco Identity Services Engin

This chapter deals with various network deployments in Cisco ISE.

www.cisco.com

지금까지 [2025][CISCO ISE#23] - ISE Deployment Model 글을 읽어주셔서 감사합니다.

저작자표시 (새창열림)

'CISCO > CISCO ISE' 카테고리의 다른 글

[2025][CISCO ISE#25] - Repository (0)	2025.01.07
[2025][CISCO ISE#24] - High Availability (0)	2025.01.07
[2025][CISCO ISE#23] - Identity Source Sequence (0)	2025.01.07
[2025][CISCO ISE#22] - Integration with active directory (0)	2025.01.06
[2025][CISCO ISE#21] - Certificate Issue (0)	2025.01.06

안녕하세요.

이번에는 cisco ise에서 identity source sequence에 대해서 알아보겠습니다.

Administration -> Identity Management -> Identity Source Sequences에서 All_User_ID_Stores를 체크 하고 Edit버튼을 클릭 합니다.

아래처럼 Authentication을 순서가 아래처럼 정의 되어져 있습니다.

저희는 새로운 Identity source Sequences를 생성 하겠습니다.

Name: AD_Internal_Store

Authentication은 아래처럼 선택합니다.

그리고 맨아래 Treat as if the user was not found and proceed to the next store in the sequence.

이 부분이 체크가 되어야지 다음으로 넘어가서 authentication를 체크 합니다.

아래처럼 AD_Internal_Store를 생성 하였습니다.

지금까지 [2025][CISCO ISE#23] - Identity Source Sequence 글을 읽어주셔서 감사합니다.

저작자표시 (새창열림)

'CISCO > CISCO ISE' 카테고리의 다른 글

[2025][CISCO ISE#24] - High Availability (0)	2025.01.07
[2025][CISCO ISE#23] - ISE Deployment Model (0)	2025.01.07
[2025][CISCO ISE#22] - Integration with active directory (0)	2025.01.06
[2025][CISCO ISE#21] - Certificate Issue (0)	2025.01.06
[2025][CISCO ISE#20] - Certificate (0)	2025.01.06

안녕하세요.

오늘은 Cisco ISE에 Active Directory를 연동해 보겠습니다.

Cisco ISE는 Internal Database로 user 또는 End device를 인증 할수 있지만, 외부에 Active Direcotry로도 인증이 가능 합니다.

1. Windows Server에서 Active Directory를 구축합니다. - 이전 글에서 구축 완료 하였습니다.

도메인은 test.local 입니다

2. cisco ISE NTP서버를 windows server로 설정 합니다.

Administration -> System -> Setting -> System time 클릭 합니다.

NTP Server 1에 192.168.10.193 입력 합니다.

Timezone은 GUI변경이 불가능 합니다.

만약 TimeZone이 다르면, 아래처럼 putty를 통해서 SSH 접속 합니다.

clock timezone Asia/Singapore

ise02/admin(config)#clock timezone Asia/Singapore

% On ise distributed deployments, it is recommended all nodes be
% configured with the same time zone.
% Changing the time zone may result in undesired side effects
% Recommended to reimage the node after changing the time zone
Are you sure you want to change the time zone?
You must restart ISE for change to take effect.Do you want to restart ISE now?
Proceed? [yes,no] yes
Stopping ISE Monitoring & Troubleshooting Log Processor...
PassiveID WMI Service is disabled
PassiveID Syslog Service is disabled
PassiveID API Service is disabled
PassiveID Agent Service is disabled
PassiveID Endpoint Service is disabled
PassiveID SPAN Service is disabled
Stopping ISE Application Server...
Stopping ISE Process Monitoring Service...
Stopping ISE Certificate Authority Service...
Stopping ISE EST Service...
ISE Sxp Engine Service is disabled
Stopping TC-NAC Service ...
VA Service is not running
ISE VA Database is not running
Segmentation Policy Service is disabled
REST Auth Service is disabled
Stopping ISE Messaging Service...
Stopping ISE API Gateway Service...
Stopping edda-url-fetcher-service Service...
Stopping ISE API Gateway Database Service...
Stopping ISE Profiler Database...
Stopping ISE Indexing Engine...
Stopping ISE Monitoring & Troubleshooting Session Database...
Stopping ISE AD Connector...
Stopping ISE Database processes...
Stopping ISE Node Exporter...
Stopping ISE Prometheus Service...
Stopping ISE Grafana Service...
ISE MNT LogAnalytics Elasticsearch Service is not running.
ISE Logstash Service is not running.
ISE Kibana service is not running.
ISE Database processes already running, PID: 1360649
Starting ISE Messaging Service...
Starting ISE API Gateway Database Service...
Starting ISE Profiler Database...
Starting ISE API Gateway Service...
Starting ISE Monitoring & Troubleshooting Session Database...
Starting edda-url-fetcher-service Service...
Starting ISE Process Monitoring Service...
Starting ISE Application Server...
Starting ISE Monitoring & Troubleshooting Log Processor...
Starting ISE Indexing Engine...
Starting ISE Certificate Authority Service...
NSS database for CA Service is ready
ISE EST service is already running, PID: 1372490
Starting ISE AD Connector...
Starting ISE Node Exporter...
Starting ISE Prometheus Service...
Starting ISE Grafana Service...
ISE MNT LogAnalytics Elasticsearch Service is disabled
ISE Logstash Service is disabled
ISE Kibana Service is disabled
Note: ISE Processes are initializing. Use 'show application status ise'
CLI to verify all processes are in running state.
ise02/admin(config)#end

3. name-server가 윈도우 DNS server인지 확인 합니다.

name server 8.8.8.8를 지우고 192.168.10.193를 추가 합니다.

ise02/admin#show running-config | include name
hostname ise02
ip domain-name test.local
ip name-server 8.8.8.8
no-username
username admin password hash $6$0P59A.G83wyCrKZk$xfb3NrZMfr9C56ncY/0YrMn4KfMmcDolLQRrcpjz14Jycm63VxZ.lQMfG74NqSt2ABgIB9joecTd91Y3V8.t6. role admin
ise02/admin#

ise02/admin#configure t
Entering configuration mode terminal
ise02/admin(config)#ip name-server 192.168.10.193
DNS Server was modified. If you modified this setting for AD connectivity, you must restart ISE
for the change to take effect. Also note for ISE connectivity to AD, ensure all configured DNS
servers can resolve all relevant AD DNS records. If this is not the case and current AD join
points may not resolve under new DNS settings then it is recommended to manually perform leave and
rejoin.
Do you want to restart ISE now?
Proceed? [yes,no] yes
Stopping ISE Monitoring & Troubleshooting Log Processor...
PassiveID WMI Service is disabled
PassiveID Syslog Service is disabled
PassiveID API Service is disabled
PassiveID Agent Service is disabled
PassiveID Endpoint Service is disabled
PassiveID SPAN Service is disabled
Stopping ISE Application Server...
Stopping ISE Process Monitoring Service...
Stopping ISE Certificate Authority Service...
Stopping ISE EST Service...
ISE Sxp Engine Service is disabled
Stopping TC-NAC Service ...
VA Service is not running
ISE VA Database is not running
Segmentation Policy Service is disabled
REST Auth Service is disabled
Stopping ISE Messaging Service...
Stopping ISE API Gateway Service...
Stopping edda-url-fetcher-service Service...
Stopping ISE API Gateway Database Service...
Stopping ISE Profiler Database...
Stopping ISE Indexing Engine...
Stopping ISE Monitoring & Troubleshooting Session Database...
Stopping ISE AD Connector...
Stopping ISE Database processes...
Stopping ISE Node Exporter...
Stopping ISE Prometheus Service...
Stopping ISE Grafana Service...
ISE MNT LogAnalytics Elasticsearch Service is not running.
ISE Logstash Service is not running.
ISE Kibana service is not running.
ISE Database processes already running, PID: 1428135
Starting ISE Messaging Service...
Starting ISE API Gateway Database Service...
Starting ISE Profiler Database...
Starting ISE API Gateway Service...
Starting ISE Monitoring & Troubleshooting Session Database...
Starting edda-url-fetcher-service Service...
Starting ISE Process Monitoring Service...
Starting ISE Application Server...
Starting ISE Monitoring & Troubleshooting Log Processor...
Starting ISE Indexing Engine...
Starting ISE Certificate Authority Service...
NSS database for CA Service is ready
ISE EST service is already running, PID: 1439913
Starting ISE AD Connector...
Starting ISE Node Exporter...
Starting ISE Prometheus Service...
Starting ISE Grafana Service...
ISE MNT LogAnalytics Elasticsearch Service is disabled
ISE Logstash Service is disabled
ISE Kibana Service is disabled
Note: ISE Processes are initializing. Use 'show application status ise'
CLI to verify all processes are in running state.
ise02/admin(config)#end
ise02/admin#show application status ise

4. Windows Server에 Ping 되는지 확인 합니다.

ise02/admin#ping 192.168.10.193
PING 192.168.10.193 (192.168.10.193) 56(84) bytes of data.
64 bytes from 192.168.10.193: icmp_seq=1 ttl=128 time=0.662 ms
64 bytes from 192.168.10.193: icmp_seq=2 ttl=128 time=0.576 ms
64 bytes from 192.168.10.193: icmp_seq=3 ttl=128 time=0.749 ms
64 bytes from 192.168.10.193: icmp_seq=4 ttl=128 time=0.572 ms

--- 192.168.10.193 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3075ms
rtt min/avg/max/mdev = 0.572/0.639/0.749/0.078 ms

ise02/admin#

5. DNS으로 Ping 되는지 확인 합니다.

ise01.test.local - 첫번째 ISE01 서버

ise02.test.local - 두번째 ISE02 서버

first.test.local - windows server - NTP, AD, DNS, DHCP, CA and Etc

ise02/admin#ping ise01.test.local
PING ise01.test.local (192.168.10.191) 56(84) bytes of data.
64 bytes from 192.168.10.191: icmp_seq=1 ttl=64 time=0.710 ms
64 bytes from 192.168.10.191: icmp_seq=2 ttl=64 time=0.363 ms
64 bytes from 192.168.10.191: icmp_seq=3 ttl=64 time=0.341 ms
64 bytes from 192.168.10.191: icmp_seq=4 ttl=64 time=0.409 ms

--- ise01.test.local ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3088ms
rtt min/avg/max/mdev = 0.341/0.455/0.710/0.151 ms

ise02/admin#ping first.test.local
PING first.test.local (192.168.10.193) 56(84) bytes of data.
64 bytes from 192.168.10.193: icmp_seq=1 ttl=128 time=0.424 ms
64 bytes from 192.168.10.193: icmp_seq=2 ttl=128 time=0.588 ms
64 bytes from 192.168.10.193: icmp_seq=3 ttl=128 time=0.651 ms
64 bytes from 192.168.10.193: icmp_seq=4 ttl=128 time=0.556 ms

--- first.test.local ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3086ms
rtt min/avg/max/mdev = 0.424/0.554/0.651/0.087 ms

ise02/admin#

현재까지 cisco ISE를 Active Directory 연동하기 위해 기본 설정들을 하였습니다.

그럼 cisco ISE를 Active Directory에 연동 해보겠습니다.

1. Administration - Identity Management -> External Identity Sources를 클릭 합니다.

2. 아래처럼 설정 합니다.

join point name - 아무 이름이나 상관없습니다

active directory - 실제 윈도우 서버 AD domain를 입력 합니다.

3. Yes버튼을 클릭 합니다.

4. administrator계정과 Password를 입력 합니다.

5. 정상적으로 등록 되었습니다.

6. 아래 처럼 정상적으로 등록 되었습니다.

아래 처럼 정보들을 확인 가능 합니다. 그리고 status에서 상태가 Operational입니다.

똑같은 방식으로 Cisco ISE01에서 Active Directory를 등록 합니다.

7. windows server AD group를 불러오겠습니다.

저번글에서 설정했던 ise OU에 있는 user와 그룹을 불러옵니다.

select group from directory를 선택 합니다.

Retrieve Groups 버튼을 클릭후 저번에 생성한 그룹을 선택 합니다.

추가적으로 아래로 선택하고 OK버튼을 클릭 합니다.

마지막으로 Save버튼을 클릭 합니다.

지금까지 [2025][CISCO ISE#22] - Integration with active directory 글을 읽어주셔서 감사합니다.

저작자표시 (새창열림)

'CISCO > CISCO ISE' 카테고리의 다른 글

[2025][CISCO ISE#23] - ISE Deployment Model (0)	2025.01.07
[2025][CISCO ISE#23] - Identity Source Sequence (0)	2025.01.07
[2025][CISCO ISE#21] - Certificate Issue (0)	2025.01.06
[2025][CISCO ISE#20] - Certificate (0)	2025.01.06
[2025][CISCO ISE#19] - License Register (0)	2025.01.06

안녕하세요.

오늘은 cisco ise certificate warming message에 대해서 알아보겠습니다.

인증서는 외부에서 이미 인증 받은 인증서가 있습니다.

대부분에 사이트는 HTTPS 입니다. 윈도우 설치하면 기본적으로 많은 인증서가 설치되어져 있어서 google.com등 외부 https사이트에 접속해도 인증서 경고창이 나타나지 않습니다.

현재 저희는 테스트를 위해서 아래 처럼 cisco ise 2대를 설치 했습니다.

ISE01 - 192.168.10.191

ISE02 - 192.168.10.192

https://192.168.10.192 접속하면 아래처럼 인증서 경고 메시지가 발생 합니다.

PC에서 인증서를 확인해보면

인증서 경고창 무시하고 접속 가능 합니다.

이 경고창을 제거해 보겠습니다.

1. 윈도우 CA서버에 접속 합니다.

http://192.168.10.193/certsrv

Download a CA certificate, Certificate chain or CRL 클릭 합니다.

2. Base 64를 선택하고 Download CA certificate를 클릭 합니다.

아래처럼 Certnew가 다운로드 받았습니다.

이름을 아래처럼 수정 합니다. CA-Root

Cisco ISE01 - 192.168.10.192에 Certificate를 설정해 보겠습니다.

3. Administration -> System -> Certificates 클릭 합니다.

4. Trusted Certificates -> Import 버튼을 클릭 합니다.

5. Choose File 버튼을 클릭 합니다.

6. 아래처럼 설정하고 Submit 버튼을 클릭 합니다.

Trust for authentication within ISE - This will all you to add new ISE nodes as long as they have the same trsuted CA certiicate loaded to their Trusted Certificate Store.

Turst for client authentication and syslog: you would check this box if you want to use this certificate to authenticte endpoints that connect to ISE using EAP and/or turst a secure syslog server

Trust for authentication of Cisco Services: you only need to check this if you want this certificate to be trusted for external cisco services such as a feed service

7. Windows CA서버가 등록 되었습니다.

8. Request Signing Certificate - 아래 사진처럼 Generate Certificate Sining request (CSR) 버튼을 클릭 합니다.

9. 아래처럼 정보를 입력 합니다.

Certificate은 여러 인증을 사용 할 예정이기때문에 Multi-Use로 설정하고. ise02 체크합니다.

아래처럼 입력하고 Generate버튼을 클릭 합니다.

Windows Server DNS에서 설정값이 맞는지 확인 합니다.

10. Warning메시지는 나타납니다. Yes눌러서 에러 메시지가 발생하면서 인증서 발급이 실패 합니다.

cisco ise domain 확인합니다.

domain 주소가 local으로되어져 있습니다.

test.local이어야 하는데 잘 못 입력 되었습니다.

CLI접속 합니다.

ise01/admin#configure t
Entering configuration mode terminal
ise01/admin(config)#end
ise01/admin#show run
interface GigabitEthernet 0
ip address 192.168.10.191 255.255.255.0
ipv6 enable
ipv6 address autoconfig
!
ntp server time.nist.gov
hostname ise01
icmp echo on
ip domain-name local

아래처럼 수정 합니다.

ise01/admin#
ise01/admin#configure t
Entering configuration mode terminal
ise01/admin(config)#i
Possible completions:
  icmp             Configure icmp echo requests
  identity-store   Configure identity store for CLI users
  interface        Configure interface
  ip               Configure IP features
  ipv6             Configure IPv6 features
ise01/admin(config)#ip domain-name test.local
  % Warning: Updating the domain name will cause any certificate using the old
% domain name to become invalid. Therefore, a new self-signed
% certificate using the new domain name will be generated now for
% use with HTTPs/EAP. If CA-signed certs were used on this node,
% please import them with the correct domain name. If Internal-CA
% signed certs are being used, please regenerate ISE Root CA certificate.
% In addition, if this ISE node will be joining a new Active Directory
% domain, please leave your current Active Directory domain before
% proceeding.
% Changing the IP domain-name will cause ise services to restart
Proceed? [yes,no] yes

서비스가 재시작 됩니다.

시간이 꽤 오래 걸립니다. 약 15분 정도를 기다립니다.

아래 Application Server가 running 될때까지 기다립니다.

ise02/admin#show application status ise

ISE PROCESS NAME                       STATE            PROCESS ID
--------------------------------------------------------------------
Database Listener                      running          838346
Database Server                        running          89 PROCESSES
Application Server                     initializing
Profiler Database                      running          848506
ISE Indexing Engine                    running          859072
AD Connector                           running          860543
M&T Session Database                   running          854482
M&T Log Processor                      running          858109
Certificate Authority Service          running          860385
EST Service                            running          868581
SXP Engine Service                     disabled
TC-NAC Service                         disabled
PassiveID WMI Service                  disabled
PassiveID Syslog Service               disabled
PassiveID API Service                  disabled
PassiveID Agent Service                disabled
PassiveID Endpoint Service             disabled
PassiveID SPAN Service                 disabled
DHCP Server (dhcpd)                    disabled
DNS Server (named)                     disabled
ISE Messaging Service                  running          845235
ISE API Gateway Database Service       running          847493
ISE API Gateway Service                running          853220
ISE pxGrid Direct Service              running          886548
Segmentation Policy Service            disabled
REST Auth Service                      disabled
SSE Connector                          disabled
Hermes (pxGrid Cloud Agent)            disabled
McTrust (Meraki Sync Service)          disabled
ISE Node Exporter                      running          861123
ISE Prometheus Service                 running          862365
ISE Grafana Service                    running          864153
ISE MNT LogAnalytics Elasticsearch     disabled
ISE Logstash Service                   disabled
ISE Kibana Service                     disabled
% WARNING: ISE DISK SIZE NOT LARGE ENOUGH FOR PRODUCTION USE
% RECOMMENDED DISK SIZE: 200 GB, CURRENT DISK SIZE: 100 GB

ise02/admin#show application status ise

ISE PROCESS NAME                       STATE            PROCESS ID
--------------------------------------------------------------------
Database Listener                      running          838346
Database Server                        running          93 PROCESSES
Application Server                     running          857882
Profiler Database                      running          848506
ISE Indexing Engine                    running          859072
AD Connector                           running          860543
M&T Session Database                   running          854482
M&T Log Processor                      running          858109
Certificate Authority Service          running          860385
EST Service                            running          868581
SXP Engine Service                     disabled
TC-NAC Service                         disabled
PassiveID WMI Service                  disabled
PassiveID Syslog Service               disabled
PassiveID API Service                  disabled
PassiveID Agent Service                disabled
PassiveID Endpoint Service             disabled
PassiveID SPAN Service                 disabled
DHCP Server (dhcpd)                    disabled
DNS Server (named)                     disabled
ISE Messaging Service                  running          845235
ISE API Gateway Database Service       running          847493
ISE API Gateway Service                running          853220
ISE pxGrid Direct Service              running          886548
Segmentation Policy Service            disabled
REST Auth Service                      disabled
SSE Connector                          disabled
Hermes (pxGrid Cloud Agent)            disabled
McTrust (Meraki Sync Service)          disabled
ISE Node Exporter                      running          861123
ISE Prometheus Service                 running          862365
ISE Grafana Service                    running          864153
ISE MNT LogAnalytics Elasticsearch     disabled
ISE Logstash Service                   disabled
ISE Kibana Service                     disabled
% WARNING: ISE DISK SIZE NOT LARGE ENOUGH FOR PRODUCTION USE
% RECOMMENDED DISK SIZE: 200 GB, CURRENT DISK SIZE: 100 GB

ise02/admin#

https://192.168.10.192 접속해서 인증서 CN를 확인 합니다.

정삭적으로 변경 되었습니다.

ISE01도 똑같이 수정 합니다.

11. 다시 시도 합니다. Yes버튼을 클릭 합니다.

12. Export를 클릭 합니다.

아래처럼 이름을 수정 합니다.

13. 윈도우서버에 다시 접속 합니다.

Request a certificate를 클릭 합니다.

14. Advabce Certificate request를 클릭 합니다.

15. 파일을 오픈해서 Private Key를 복사 붙여넣기 하고 Submit 버튼을 클릭 합니다.

16. Base64 encoded 선택하고 Download Certificate를 선택 합니다.

아래처럼 이름을 수정 합니다.

17. 다시 cisco ISE02에 접속 합니다.

아래처럼 설정하고 submit 버튼을 클릭 합니다.

CLI 접속해서 show application status ise 입력합니다

Application Server가 running으로 변경 될때까지 기다립니다.

ise02/admin#show application status ise

ISE PROCESS NAME                       STATE            PROCESS ID
--------------------------------------------------------------------
Database Listener                      running          838346
Database Server                        running          87 PROCESSES
Application Server                     not running
Profiler Database                      running          848506
ISE Indexing Engine                    running          859072
AD Connector                           running          860543
M&T Session Database                   running          854482
M&T Log Processor                      running          858109
Certificate Authority Service          running          860385
EST Service                            running          868581
SXP Engine Service                     disabled
TC-NAC Service                         disabled
PassiveID WMI Service                  disabled
PassiveID Syslog Service               disabled
PassiveID API Service                  disabled
PassiveID Agent Service                disabled
PassiveID Endpoint Service             disabled
PassiveID SPAN Service                 disabled
DHCP Server (dhcpd)                    disabled
DNS Server (named)                     disabled
ISE Messaging Service                  running          845235
ISE API Gateway Database Service       running          847493
ISE API Gateway Service                running          853220
ISE pxGrid Direct Service              running          886548
Segmentation Policy Service            disabled
REST Auth Service                      disabled
SSE Connector                          disabled
Hermes (pxGrid Cloud Agent)            disabled
McTrust (Meraki Sync Service)          disabled
ISE Node Exporter                      running          861123
ISE Prometheus Service                 running          862365
ISE Grafana Service                    running          864153
ISE MNT LogAnalytics Elasticsearch     disabled
ISE Logstash Service                   disabled
ISE Kibana Service                     disabled
% WARNING: ISE DISK SIZE NOT LARGE ENOUGH FOR PRODUCTION USE
% RECOMMENDED DISK SIZE: 200 GB, CURRENT DISK SIZE: 100 GB

ise02/admin#

ise02/admin#show application status ise

ISE PROCESS NAME                       STATE            PROCESS ID
--------------------------------------------------------------------
Database Listener                      running          838346
Database Server                        running          93 PROCESSES
Application Server                     running          972882
Profiler Database                      running          848506
ISE Indexing Engine                    running          978221
AD Connector                           running          860543
M&T Session Database                   running          854482
M&T Log Processor                      running          858109
Certificate Authority Service          running          860385
EST Service                            running          868581
SXP Engine Service                     disabled
TC-NAC Service                         disabled
PassiveID WMI Service                  disabled
PassiveID Syslog Service               disabled
PassiveID API Service                  disabled
PassiveID Agent Service                disabled
PassiveID Endpoint Service             disabled
PassiveID SPAN Service                 disabled
DHCP Server (dhcpd)                    disabled
DNS Server (named)                     disabled
ISE Messaging Service                  running          845235
ISE API Gateway Database Service       running          847493
ISE API Gateway Service                running          1028398
ISE pxGrid Direct Service              running          1007569
Segmentation Policy Service            disabled
REST Auth Service                      disabled
SSE Connector                          disabled
Hermes (pxGrid Cloud Agent)            disabled
McTrust (Meraki Sync Service)          disabled
ISE Node Exporter                      running          861123
ISE Prometheus Service                 running          862365
ISE Grafana Service                    running          864153
ISE MNT LogAnalytics Elasticsearch     disabled
ISE Logstash Service                   disabled
ISE Kibana Service                     disabled
% WARNING: ISE DISK SIZE NOT LARGE ENOUGH FOR PRODUCTION USE
% RECOMMENDED DISK SIZE: 200 GB, CURRENT DISK SIZE: 100 GB

ise02/admin#

정상적으로 Multi-use Certificate를 발급 하였습니다.

제 PC에서도 certificate설치해서 더이상 warning message가 발생하지 않도록 합니다.

CA-Root를 더블클릭 합니다.

테스트 하기 위해서 192.168.10.192접속 합니다.

더 이상 warning message가 없습니다.

인증서를 확인 합니다.

지금까지 [2025][CISCO ISE#21] - Certificate Issue 글을 읽어주셔서 감사합니다.

저작자표시 (새창열림)

'CISCO > CISCO ISE' 카테고리의 다른 글

[2025][CISCO ISE#23] - Identity Source Sequence (0)	2025.01.07
[2025][CISCO ISE#22] - Integration with active directory (0)	2025.01.06
[2025][CISCO ISE#20] - Certificate (0)	2025.01.06
[2025][CISCO ISE#19] - License Register (0)	2025.01.06
[2025][CISCO ISE#18] - License (0)	2025.01.06

IT BLOG(KR)

전체 글

[2024][EVE-NG #19] PaloAlto 설치하기

'EVE-NG' 카테고리의 다른 글

[phpIPAM][#8]- IP scan

'IPAM Tools > phpIPAM' 카테고리의 다른 글

[2024][Juniper SRX #17] Firmware Upgrade path

Upgrade table

Examples of upgrade paths

'JUNIPER > SRX 방화벽' 카테고리의 다른 글

[2025][CISCO ISE#26] - Patch Update

'CISCO > CISCO ISE' 카테고리의 다른 글

[2025][CISCO ISE#25] - Repository

'CISCO > CISCO ISE' 카테고리의 다른 글

[2025][CISCO ISE#24] - High Availability

'CISCO > CISCO ISE' 카테고리의 다른 글

[2025][CISCO ISE#23] - ISE Deployment Model

'CISCO > CISCO ISE' 카테고리의 다른 글

[2025][CISCO ISE#23] - Identity Source Sequence

'CISCO > CISCO ISE' 카테고리의 다른 글

[2025][CISCO ISE#22] - Integration with active directory

'CISCO > CISCO ISE' 카테고리의 다른 글

[2025][CISCO ISE#21] - Certificate Issue

'CISCO > CISCO ISE' 카테고리의 다른 글

+ Recent posts

티스토리툴바