Cisco ISE 노드를 설치하면 독립 형태로 관리, 정책에서 제공하는 모든 기본 서비스가 서비스 및 모니터링 Persona가 실행됩니다. Cisco ISE 노드의 관리 포털에 로그인하여 구성하고 기본적으로 독립형 Cisco ISE 노드의 서비스입니다. 하지만 HA를 설정하면 ISE 노드별로 PAN, PSN, MnT등을 동작 시킬수 있습니다.
HA 설정하기 전에 아래처럼 요구 사항을 확인 합니다.
1. Cisco ISE 노드는 Version, Patch Number는 동일해야 합니다.
2. The Primary ISE는 Standardalone으로 동작하면 않됩니다. 기본적으로 ISE설치하면 Standardalone으로 동작 합니다.
3. 모든 ISE에 admin 계정을 알아야 합니다.
4. 모든 ISE에 hostname은 DNS에 등록 되어야 하고 서로간에 DNS에 통신이 되어야 합니다.
5. ISE01노드는 system certificate
기본 정보는 아래와 같습니다.
ISE01 FQDN - ise01.test.local
ISE02 FQDN - ise02.test.local
ISE01 IP: 192.168.10.191
ISE02 IP: 192.168.10.192
ISE01 and ISE02 username/password - admin/xxxxxx
ISE01 - Primary
ISE02 - Secondary
1. ISE01 version 및 Patch 확인
2. Cisco ISE02 version 및 patch
3. Cisco ISE Priarmy를 Standardalone으로 동작중인데, 이것을 수정합니다
현재 Standard alone으로 동작중입니다. 아래 Make Primary를 클릭 합니다.
Role - Primary로 변경 되었습니다. 그리고 SAVE버튼을 클릭 합니다.
4. DNS 정보를 확인합니다. 이전글에서 DNS Server에서 A레코드를 생성 하였습니다.
ISE01 CLI 접속합니다.
ise01/admin#ping ise02.test.local PING ise02.test.local (192.168.10.192) 56(84) bytes of data. 64 bytes from 192.168.10.192: icmp_seq=1 ttl=64 time=0.323 ms 64 bytes from 192.168.10.192: icmp_seq=2 ttl=64 time=0.370 ms 64 bytes from 192.168.10.192: icmp_seq=3 ttl=64 time=0.459 ms 64 bytes from 192.168.10.192: icmp_seq=4 ttl=64 time=0.448 ms
--- ise02.test.local ping statistics --- 4 packets transmitted, 4 received, 0% packet loss, time 3050ms rtt min/avg/max/mdev = 0.323/0.400/0.459/0.056 ms
ise01/admin#
ISE02 CLI접속합니다
ise02/admin#ping ise01.test.local PING ise01.test.local (192.168.10.191) 56(84) bytes of data. 64 bytes from 192.168.10.191: icmp_seq=1 ttl=64 time=0.422 ms 64 bytes from 192.168.10.191: icmp_seq=2 ttl=64 time=0.349 ms 64 bytes from 192.168.10.191: icmp_seq=3 ttl=64 time=0.364 ms 64 bytes from 192.168.10.191: icmp_seq=4 ttl=64 time=0.231 ms
--- ise01.test.local ping statistics --- 4 packets transmitted, 4 received, 0% packet loss, time 3083ms rtt min/avg/max/mdev = 0.231/0.341/0.422/0.071 ms
ise02/admin#
5. System Certificate
지금부터 Cisco ISE HA설정 하겠습니다.
1. Register 버튼을 클릭 합니다.
2. 아래처럼 입력 합니다.
host FQDN : ise02.test.local
username: admin
password: xxxxx
3. Submit버튼을 클릭 합니다.
HA 구성중입니다. 기다립니다.
현재 동기화중이라서 저렇게 Node Status에 표시 됩니다. 10분 정도 기다리고 다시 확인 합니다.
ISE02에 접속하면 Standby 동작하기 떄문에, 설정이 제한적입니다.
지금까지 [2025][CISCO ISE#24] - High Availability 글을 읽어주셔서 감사합니다.
Cisco에서는 지원되는 몇 가지 배포 모델을 규정했습니다. 소형, 중형 및 크기가 큰. 이름에서 짐작할 수 있듯이 환경의 규모 요구 사항은 다음과 같습니다. 어떤 Cisco ISE 배포 모델이 귀하에게 가장 적합한지 결정할 때 가장 중요한 요소입니다. 단일 Cisco ISE 노드가 있는 배포를 독립형 배포라고 합니다. 이 노드관리, 정책 서비스 및 모니터링 페르소나를 실행합니다. 더 많은 기능을 갖춘 배포 두 개 이상의 Cisco ISE 노드를 분산 구축이라고 합니다. 장애 조치 지원 및 개선 성능을 향상하려면 분산 환경에서 여러 Cisco ISE 노드로 구축을 설정할 수 있습니다.
Standalone Minimum 1 – Maximum 1 20,000
Small Minimum 1 - Maximum 2 20,000
Medium Minimum 3 - Maximum 7 20,000
Large Minimum 5 - Maximum 54 500,000
1. Standardalone
독립형 배포는 하나의 ISE 노드에 구축됩니다. 독립형 모드는 단일 노드라고도 합니다. cisco ISE 단일 물리적 또는 가상 ISE 장치에서 사용할 수 있습니다. 단일 Cisco ISE 모든 기능을 수행합니다. 독립 실행형 배포 방법은 중복성을 사용할 수 없습니다. ISE의 경우 네트워크 연결이 끊어지면 인증/권한 부여가 작동하지 않습니다. ISE 장치의 전원이 꺼지는 경우 연결 인증/권한 부여가 작동하지 않습니다.
PSN, PAN, MnT, pxGrid Controller를 모두 수행 합니다.
2. Small Deployment
가장 작은 분산 ISE 배포는 2개의 Cisco ISE 노드로 구성됩니다. 두 노드 모두 모든 기능을 실행합니다. 3개의 필수 ISE Persona 중 하나가 기본 노드로 작동합니다. 기본 노드 모든 구성, 인증, 정책 기능과 보조 노드를 제공합니다. 백업 역할을 합니다. 연결이 끊어진 경우 보조는 기본을 지원합니다. 네트워크 장치와 기본 장치 사이. 즉, 동일한 데이터 센터에 있는 2개의 노드는 모두 노드는 모든 페르소나를 실행하고 모든 노드는 모든 서비스를 실행합니다. 소규모 LAN 또는 낮은 대기 시간을 위해 설계됨 핏기 없는. 일반적인 권장 사항은 노드 간 왕복 대기 시간이 300ms를 넘지 않는 것입니다. 소규모 네트워크 분할 배포 동일하지만 두 노드가 다른 데이터 센터에 있습니다. 이 유형의 배포에서는 모든 Persona가 독립형처럼 동일한 노드에서 실행됩니다. 배포 유형. 독립 실행형 배포와 다른 점은 Persona가 노드라는 점입니다. 두 개의 노드에서 실행 중입니다. 즉, Pri PAN, Pri MnT, PSN 및/또는 pxGrid는 노드 1에서 실행되고 Sec는 노드 1에서 실행됩니다. PAN, Sec MnT, PSN 및/또는 pxGrid는 노드 2에서 실행됩니다. 기본 및 보조 관리자와 MnT Persona의 역할은 혼합될 수 있습니다.
Option1
Cisco ISE Node 1 Primary PAN, Primary MnT, PSN and PxGrid
Cisco ISE Node 2 Secondary PAN, Secondary MnT, PSN and PxGrid
Option2
Cisco ISE Node 1 Primary PAN, Secondary MnT, PSN, and PxGrid
Cisco ISE Node 2 Secondary PAN, Primary MnT, PSN, and PxGrid
3. Medium Deployment
중간 규모 배포에서는 총 7개의 ISE 노드가 있을 수 있습니다. 두 개의 노드가 PAN과 MnT Persona 최대 5개의 노드가 전용 PSN Persona 실행됩니다. PAN/MnT 노드는 데이터 센터 위치에 배치될 가능성이 높습니다. 이 모델에서 우리는 PSN이 어느 위치에나 상주할 수 있도록 했습니다. 선택한 네트워크 위치. 일부 PSN은 PAN/MnT와 함께 배치될 수 있습니다. 데이터 센터, 일부는 중요한 캠퍼스/지사 위치에 배치될 수 있습니다. 이것은 다음과 같은 상황에서도 중요한 캠퍼스/지사 위치 인증이 유지되도록 허용합니다. WAN 장애. 네트워크 규모가 커지거나 ISE 토폴로지를 확장하려는 경우 더 많은 노드를 추가해야 하며 중간 규모 배포에서는 전용 노드를 시작해야 합니다. 로깅 및 관리에 사용됩니다. 중간 규모 배포는 기본 및 보조로 구성됩니다. 별도의 정책과 함께 관리 노드와 기본 및 보조 모니터링 노드 서비스 노드.
Option1
Cisco ISE Node 1 Primary PAN and Primary MnT
Cisco ISE Node 2 Secondary PAN and Secondary MnT
Cisco ISE Node 3, 4, 5, 6, 7 PSN1, PSN2, PSN3, PSN4, and PSN5
Option2
Cisco ISE Node 1 Primary PAN and Secondary MnT
Cisco ISE Node 2 Secondary PAN and Primary MnT
Cisco ISE Node 3, 4, 5, 6, 7 PSN1, PSN2, PSN3, PSN4, and PSN5
4. Large Deployment
대규모 배포에서는 총 54개의 ISE 노드가 있을 수 있습니다. 두 개의 노드가 PAN Persona 실행합니다. 2 노드는 MnT Persona를 실행하며, 최대 50개의 노드가 전용 PSN Persona로 실행됩니다. 그만큼 PAN/MnT 노드는 데이터 센터 위치에 배치될 가능성이 높습니다. 이 모델에서 우리는 PSN은 귀하가 선택한 네트워크 위치에 상주하고 배포의 규모/유연성. 일부 PSN은 PAN/MnT와 함께 배치될 수 있습니다. 데이터 센터는 로드 밸런서가 있는 풀 프런트 엔드로, 일부는 중요한 위치에 배치될 수 있습니다. 캠퍼스/지사 위치. 이는 중요한 캠퍼스/지사 사무실을 허용할 것입니다. WAN 장애가 발생하는 경우 위치 인증이 유지됩니다. 로드 밸런서 사용, 그러나 필수는 아니지만 단순화된 네트워크를 유지하면서 더 큰 규모를 달성할 수 있습니다. 각 네트워크 장치가 두 개의 로드 밸런서 VIP를 RADIUS로 가리킬 수 있으므로 장치 구성 로드 밸런서 뒤에는 훨씬 더 많은 ISE 정책 서비스 노드가 상주합니다. 와 함께 대규모 네트워크 배포의 경우 각 노드를 별도의 Persona에 지정합니다. 그래서 별도의 관리, 모니터링, 정책 서비스를 위한 노드입니다. 로드 사용도 고려해야 합니다.
Cisco ISE는 Internal Database로 user 또는 End device를 인증 할수 있지만, 외부에 Active Direcotry로도 인증이 가능 합니다.
1. Windows Server에서 Active Directory를 구축합니다. - 이전 글에서 구축 완료 하였습니다.
도메인은 test.local 입니다
2. cisco ISE NTP서버를 windows server로 설정 합니다.
Administration -> System -> Setting -> System time 클릭 합니다.
NTP Server 1에 192.168.10.193 입력 합니다.
Timezone은 GUI변경이 불가능 합니다.
만약 TimeZone이 다르면, 아래처럼 putty를 통해서 SSH 접속 합니다.
clock timezone Asia/Singapore
ise02/admin(config)#clock timezone Asia/Singapore
% On ise distributed deployments, it is recommended all nodes be % configured with the same time zone. % Changing the time zone may result in undesired side effects % Recommended to reimage the node after changing the time zone Are you sure you want to change the time zone? You must restart ISE for change to take effect.Do you want to restart ISE now? Proceed? [yes,no] yes Stopping ISE Monitoring & Troubleshooting Log Processor... PassiveID WMI Service is disabled PassiveID Syslog Service is disabled PassiveID API Service is disabled PassiveID Agent Service is disabled PassiveID Endpoint Service is disabled PassiveID SPAN Service is disabled Stopping ISE Application Server... Stopping ISE Process Monitoring Service... Stopping ISE Certificate Authority Service... Stopping ISE EST Service... ISE Sxp Engine Service is disabled Stopping TC-NAC Service ... VA Service is not running ISE VA Database is not running Segmentation Policy Service is disabled REST Auth Service is disabled Stopping ISE Messaging Service... Stopping ISE API Gateway Service... Stopping edda-url-fetcher-service Service... Stopping ISE API Gateway Database Service... Stopping ISE Profiler Database... Stopping ISE Indexing Engine... Stopping ISE Monitoring & Troubleshooting Session Database... Stopping ISE AD Connector... Stopping ISE Database processes... Stopping ISE Node Exporter... Stopping ISE Prometheus Service... Stopping ISE Grafana Service... ISE MNT LogAnalytics Elasticsearch Service is not running. ISE Logstash Service is not running. ISE Kibana service is not running. ISE Database processes already running, PID: 1360649 Starting ISE Messaging Service... Starting ISE API Gateway Database Service... Starting ISE Profiler Database... Starting ISE API Gateway Service... Starting ISE Monitoring & Troubleshooting Session Database... Starting edda-url-fetcher-service Service... Starting ISE Process Monitoring Service... Starting ISE Application Server... Starting ISE Monitoring & Troubleshooting Log Processor... Starting ISE Indexing Engine... Starting ISE Certificate Authority Service... NSS database for CA Service is ready ISE EST service is already running, PID: 1372490 Starting ISE AD Connector... Starting ISE Node Exporter... Starting ISE Prometheus Service... Starting ISE Grafana Service... ISE MNT LogAnalytics Elasticsearch Service is disabled ISE Logstash Service is disabled ISE Kibana Service is disabled Note: ISE Processes are initializing. Use 'show application status ise' CLI to verify all processes are in running state. ise02/admin(config)#end
3. name-server가 윈도우 DNS server인지 확인 합니다.
name server 8.8.8.8를 지우고 192.168.10.193를 추가 합니다.
ise02/admin#show running-config | include name hostname ise02 ip domain-name test.local ip name-server 8.8.8.8 no-username username admin password hash $6$0P59A.G83wyCrKZk$xfb3NrZMfr9C56ncY/0YrMn4KfMmcDolLQRrcpjz14Jycm63VxZ.lQMfG74NqSt2ABgIB9joecTd91Y3V8.t6. role admin ise02/admin#
ise02/admin#configure t Entering configuration mode terminal ise02/admin(config)#ip name-server 192.168.10.193 DNS Server was modified. If you modified this setting for AD connectivity, you must restart ISE for the change to take effect. Also note for ISE connectivity to AD, ensure all configured DNS servers can resolve all relevant AD DNS records. If this is not the case and current AD join points may not resolve under new DNS settings then it is recommended to manually perform leave and rejoin. Do you want to restart ISE now? Proceed? [yes,no] yes Stopping ISE Monitoring & Troubleshooting Log Processor... PassiveID WMI Service is disabled PassiveID Syslog Service is disabled PassiveID API Service is disabled PassiveID Agent Service is disabled PassiveID Endpoint Service is disabled PassiveID SPAN Service is disabled Stopping ISE Application Server... Stopping ISE Process Monitoring Service... Stopping ISE Certificate Authority Service... Stopping ISE EST Service... ISE Sxp Engine Service is disabled Stopping TC-NAC Service ... VA Service is not running ISE VA Database is not running Segmentation Policy Service is disabled REST Auth Service is disabled Stopping ISE Messaging Service... Stopping ISE API Gateway Service... Stopping edda-url-fetcher-service Service... Stopping ISE API Gateway Database Service... Stopping ISE Profiler Database... Stopping ISE Indexing Engine... Stopping ISE Monitoring & Troubleshooting Session Database... Stopping ISE AD Connector... Stopping ISE Database processes... Stopping ISE Node Exporter... Stopping ISE Prometheus Service... Stopping ISE Grafana Service... ISE MNT LogAnalytics Elasticsearch Service is not running. ISE Logstash Service is not running. ISE Kibana service is not running. ISE Database processes already running, PID: 1428135 Starting ISE Messaging Service... Starting ISE API Gateway Database Service... Starting ISE Profiler Database... Starting ISE API Gateway Service... Starting ISE Monitoring & Troubleshooting Session Database... Starting edda-url-fetcher-service Service... Starting ISE Process Monitoring Service... Starting ISE Application Server... Starting ISE Monitoring & Troubleshooting Log Processor... Starting ISE Indexing Engine... Starting ISE Certificate Authority Service... NSS database for CA Service is ready ISE EST service is already running, PID: 1439913 Starting ISE AD Connector... Starting ISE Node Exporter... Starting ISE Prometheus Service... Starting ISE Grafana Service... ISE MNT LogAnalytics Elasticsearch Service is disabled ISE Logstash Service is disabled ISE Kibana Service is disabled Note: ISE Processes are initializing. Use 'show application status ise' CLI to verify all processes are in running state. ise02/admin(config)#end ise02/admin#show application status ise
4. Windows Server에 Ping 되는지 확인 합니다.
ise02/admin#ping 192.168.10.193 PING 192.168.10.193 (192.168.10.193) 56(84) bytes of data. 64 bytes from 192.168.10.193: icmp_seq=1 ttl=128 time=0.662 ms 64 bytes from 192.168.10.193: icmp_seq=2 ttl=128 time=0.576 ms 64 bytes from 192.168.10.193: icmp_seq=3 ttl=128 time=0.749 ms 64 bytes from 192.168.10.193: icmp_seq=4 ttl=128 time=0.572 ms
--- 192.168.10.193 ping statistics --- 4 packets transmitted, 4 received, 0% packet loss, time 3075ms rtt min/avg/max/mdev = 0.572/0.639/0.749/0.078 ms
ise02/admin#
5. DNS으로 Ping 되는지 확인 합니다.
ise01.test.local - 첫번째 ISE01 서버
ise02.test.local - 두번째 ISE02 서버
first.test.local - windows server - NTP, AD, DNS, DHCP, CA and Etc
ise02/admin#ping ise01.test.local PING ise01.test.local (192.168.10.191) 56(84) bytes of data. 64 bytes from 192.168.10.191: icmp_seq=1 ttl=64 time=0.710 ms 64 bytes from 192.168.10.191: icmp_seq=2 ttl=64 time=0.363 ms 64 bytes from 192.168.10.191: icmp_seq=3 ttl=64 time=0.341 ms 64 bytes from 192.168.10.191: icmp_seq=4 ttl=64 time=0.409 ms
--- ise01.test.local ping statistics --- 4 packets transmitted, 4 received, 0% packet loss, time 3088ms rtt min/avg/max/mdev = 0.341/0.455/0.710/0.151 ms
ise02/admin#ping first.test.local PING first.test.local (192.168.10.193) 56(84) bytes of data. 64 bytes from 192.168.10.193: icmp_seq=1 ttl=128 time=0.424 ms 64 bytes from 192.168.10.193: icmp_seq=2 ttl=128 time=0.588 ms 64 bytes from 192.168.10.193: icmp_seq=3 ttl=128 time=0.651 ms 64 bytes from 192.168.10.193: icmp_seq=4 ttl=128 time=0.556 ms
--- first.test.local ping statistics --- 4 packets transmitted, 4 received, 0% packet loss, time 3086ms rtt min/avg/max/mdev = 0.424/0.554/0.651/0.087 ms
ise02/admin#
현재까지 cisco ISE를 Active Directory 연동하기 위해 기본 설정들을 하였습니다.
3. Administration -> System -> Certificates 클릭 합니다.
4. Trusted Certificates -> Import 버튼을 클릭 합니다.
5. Choose File 버튼을 클릭 합니다.
6. 아래처럼 설정하고 Submit 버튼을 클릭 합니다.
Trust for authentication within ISE - This will all you to add new ISE nodes as long as they have the same trsuted CA certiicate loaded to their Trusted Certificate Store.
Turst for client authentication and syslog: you would check this box if you want to use this certificate to authenticte endpoints that connect to ISE using EAP and/or turst a secure syslog server
Trust for authentication of Cisco Services: you only need to check this if you want this certificate to be trusted for external cisco services such as a feed service
7. Windows CA서버가 등록 되었습니다.
8. Request Signing Certificate - 아래 사진처럼 Generate Certificate Sining request (CSR) 버튼을 클릭 합니다.
9. 아래처럼 정보를 입력 합니다.
Certificate은 여러 인증을 사용 할 예정이기때문에 Multi-Use로 설정하고. ise02 체크합니다.
ise01/admin#configure t Entering configuration mode terminal ise01/admin(config)#end ise01/admin#show run interface GigabitEthernet 0 ip address 192.168.10.191 255.255.255.0 ipv6 enable ipv6 address autoconfig ! ntp server time.nist.gov hostname ise01 icmp echo on ip domain-name local
아래처럼 수정 합니다.
ise01/admin# ise01/admin#configure t Entering configuration mode terminal ise01/admin(config)#i Possible completions: icmp Configure icmp echo requests identity-store Configure identity store for CLI users interface Configure interface ip Configure IP features ipv6 Configure IPv6 features ise01/admin(config)#ip domain-name test.local % Warning: Updating the domain name will cause any certificate using the old % domain name to become invalid. Therefore, a new self-signed % certificate using the new domain name will be generated now for % use with HTTPs/EAP. If CA-signed certs were used on this node, % please import them with the correct domain name. If Internal-CA % signed certs are being used, please regenerate ISE Root CA certificate. % In addition, if this ISE node will be joining a new Active Directory % domain, please leave your current Active Directory domain before % proceeding. % Changing the IP domain-name will cause ise services to restart Proceed? [yes,no] yes
서비스가 재시작 됩니다.
시간이 꽤 오래 걸립니다. 약 15분 정도를 기다립니다.
아래 Application Server가 running 될때까지 기다립니다.
ise02/admin#show application status ise
ISE PROCESS NAME STATE PROCESS ID -------------------------------------------------------------------- Database Listener running 838346 Database Server running 89 PROCESSES Application Server initializing Profiler Database running 848506 ISE Indexing Engine running 859072 AD Connector running 860543 M&T Session Database running 854482 M&T Log Processor running 858109 Certificate Authority Service running 860385 EST Service running 868581 SXP Engine Service disabled TC-NAC Service disabled PassiveID WMI Service disabled PassiveID Syslog Service disabled PassiveID API Service disabled PassiveID Agent Service disabled PassiveID Endpoint Service disabled PassiveID SPAN Service disabled DHCP Server (dhcpd) disabled DNS Server (named) disabled ISE Messaging Service running 845235 ISE API Gateway Database Service running 847493 ISE API Gateway Service running 853220 ISE pxGrid Direct Service running 886548 Segmentation Policy Service disabled REST Auth Service disabled SSE Connector disabled Hermes (pxGrid Cloud Agent) disabled McTrust (Meraki Sync Service) disabled ISE Node Exporter running 861123 ISE Prometheus Service running 862365 ISE Grafana Service running 864153 ISE MNT LogAnalytics Elasticsearch disabled ISE Logstash Service disabled ISE Kibana Service disabled % WARNING: ISE DISK SIZE NOT LARGE ENOUGH FOR PRODUCTION USE % RECOMMENDED DISK SIZE: 200 GB, CURRENT DISK SIZE: 100 GB
ise02/admin#show application status ise
ISE PROCESS NAME STATE PROCESS ID -------------------------------------------------------------------- Database Listener running 838346 Database Server running 93 PROCESSES Application Server running 857882 Profiler Database running 848506 ISE Indexing Engine running 859072 AD Connector running 860543 M&T Session Database running 854482 M&T Log Processor running 858109 Certificate Authority Service running 860385 EST Service running 868581 SXP Engine Service disabled TC-NAC Service disabled PassiveID WMI Service disabled PassiveID Syslog Service disabled PassiveID API Service disabled PassiveID Agent Service disabled PassiveID Endpoint Service disabled PassiveID SPAN Service disabled DHCP Server (dhcpd) disabled DNS Server (named) disabled ISE Messaging Service running 845235 ISE API Gateway Database Service running 847493 ISE API Gateway Service running 853220 ISE pxGrid Direct Service running 886548 Segmentation Policy Service disabled REST Auth Service disabled SSE Connector disabled Hermes (pxGrid Cloud Agent) disabled McTrust (Meraki Sync Service) disabled ISE Node Exporter running 861123 ISE Prometheus Service running 862365 ISE Grafana Service running 864153 ISE MNT LogAnalytics Elasticsearch disabled ISE Logstash Service disabled ISE Kibana Service disabled % WARNING: ISE DISK SIZE NOT LARGE ENOUGH FOR PRODUCTION USE % RECOMMENDED DISK SIZE: 200 GB, CURRENT DISK SIZE: 100 GB
ise02/admin#
https://192.168.10.192 접속해서 인증서 CN를 확인 합니다.
정삭적으로 변경 되었습니다.
ISE01도 똑같이 수정 합니다.
11. 다시 시도 합니다. Yes버튼을 클릭 합니다.
12. Export를 클릭 합니다.
아래처럼 이름을 수정 합니다.
13. 윈도우서버에 다시 접속 합니다.
Request a certificate를 클릭 합니다.
14. Advabce Certificate request를 클릭 합니다.
15. 파일을 오픈해서 Private Key를 복사 붙여넣기 하고 Submit 버튼을 클릭 합니다.
16. Base64 encoded 선택하고 Download Certificate를 선택 합니다.
아래처럼 이름을 수정 합니다.
17. 다시 cisco ISE02에 접속 합니다.
아래처럼 설정하고 submit 버튼을 클릭 합니다.
CLI 접속해서 show application status ise 입력합니다
Application Server가 running으로 변경 될때까지 기다립니다.
ise02/admin#show application status ise
ISE PROCESS NAME STATE PROCESS ID -------------------------------------------------------------------- Database Listener running 838346 Database Server running 87 PROCESSES Application Server not running Profiler Database running 848506 ISE Indexing Engine running 859072 AD Connector running 860543 M&T Session Database running 854482 M&T Log Processor running 858109 Certificate Authority Service running 860385 EST Service running 868581 SXP Engine Service disabled TC-NAC Service disabled PassiveID WMI Service disabled PassiveID Syslog Service disabled PassiveID API Service disabled PassiveID Agent Service disabled PassiveID Endpoint Service disabled PassiveID SPAN Service disabled DHCP Server (dhcpd) disabled DNS Server (named) disabled ISE Messaging Service running 845235 ISE API Gateway Database Service running 847493 ISE API Gateway Service running 853220 ISE pxGrid Direct Service running 886548 Segmentation Policy Service disabled REST Auth Service disabled SSE Connector disabled Hermes (pxGrid Cloud Agent) disabled McTrust (Meraki Sync Service) disabled ISE Node Exporter running 861123 ISE Prometheus Service running 862365 ISE Grafana Service running 864153 ISE MNT LogAnalytics Elasticsearch disabled ISE Logstash Service disabled ISE Kibana Service disabled % WARNING: ISE DISK SIZE NOT LARGE ENOUGH FOR PRODUCTION USE % RECOMMENDED DISK SIZE: 200 GB, CURRENT DISK SIZE: 100 GB
ise02/admin#
ise02/admin#show application status ise
ISE PROCESS NAME STATE PROCESS ID -------------------------------------------------------------------- Database Listener running 838346 Database Server running 93 PROCESSES Application Server running 972882 Profiler Database running 848506 ISE Indexing Engine running 978221 AD Connector running 860543 M&T Session Database running 854482 M&T Log Processor running 858109 Certificate Authority Service running 860385 EST Service running 868581 SXP Engine Service disabled TC-NAC Service disabled PassiveID WMI Service disabled PassiveID Syslog Service disabled PassiveID API Service disabled PassiveID Agent Service disabled PassiveID Endpoint Service disabled PassiveID SPAN Service disabled DHCP Server (dhcpd) disabled DNS Server (named) disabled ISE Messaging Service running 845235 ISE API Gateway Database Service running 847493 ISE API Gateway Service running 1028398 ISE pxGrid Direct Service running 1007569 Segmentation Policy Service disabled REST Auth Service disabled SSE Connector disabled Hermes (pxGrid Cloud Agent) disabled McTrust (Meraki Sync Service) disabled ISE Node Exporter running 861123 ISE Prometheus Service running 862365 ISE Grafana Service running 864153 ISE MNT LogAnalytics Elasticsearch disabled ISE Logstash Service disabled ISE Kibana Service disabled % WARNING: ISE DISK SIZE NOT LARGE ENOUGH FOR PRODUCTION USE % RECOMMENDED DISK SIZE: 200 GB, CURRENT DISK SIZE: 100 GB
ise02/admin#
정상적으로 Multi-use Certificate를 발급 하였습니다.
제 PC에서도 certificate설치해서 더이상 warning message가 발생하지 않도록 합니다.
CA-Root를 더블클릭 합니다.
테스트 하기 위해서 192.168.10.192접속 합니다.
더 이상 warning message가 없습니다.
인증서를 확인 합니다.
지금까지 [2025][CISCO ISE#21] - Certificate Issue 글을 읽어주셔서 감사합니다.
인증서는 신원을 나타내는 서명된 문서입니다. 증명서는 여권, 운전면허증, 기타 개인 신분증과 같습니다. 그 신분증은 귀하를 대표하고 귀하가 누구인지 증명하기 위한 것입니다. 해당 인증서에는 해당 엔터티의 공개 키도 포함되어 있으므로 공개 인증서가 있는 사람은 누구나 인증서 소유자만 해독할 수 있는 데이터를 암호화할 수 있습니다. 인증서는 보안 액세스를 구현하는 네트워크에서 자주 사용됩니다. 인증서는 엔드포인트에 대한 ISE(Identity Services Engine)를 식별하고 해당 엔드포인트와 ISE 노드 간의 통신을 보호하는 데 사용됩니다. 인증서는 EAP(확장 가능 인증 프로토콜) 통신은 물론 모든 HTTPS 통신에 사용됩니다.
Admin Certificate:
관리자 인증서는 노드 간 통신 및 관리자 포털 인증에 사용됩니다. 관리자 인증서는 ISE와의 통신을 인증하거나 보안하는 데 사용되는 서버 인증서입니다. 또한 다중 노드 구축에서 ISE 노드 간의 신뢰 관계를 설정하고 통신을 보안하는 데에도 사용됩니다. 다른 HTTPS 서버와 마찬가지로 엔드포인트에서 ISE GUI를 탐색할 때마다 ISE는 해당 인증서를 클라이언트 브라우저에 제공하고 클라이언트가 인증서를 신뢰하는 경우 TLS/SSL 터널이 형성됩니다. 그런 다음 클라이언트는 설정된 터널을 통해 필요한 로그인 자격 증명과 추가 요청/응답을 보냅니다. 클라이언트가 인증서를 신뢰하지 않은 경우 브라우저에 경고가 표시되며 대부분의 경우 사용자에게 위험을 수락하고 서버와의 통신 설정을 진행할 수 있는 권한이 제공됩니다. 그러나 클라이언트가 인증서를 신뢰하지 않고 위험을 감수할 의사가 없는 경우 ISE에 대한 HTTPS 연결이 종료됩니다.
Example)
cisco ise GUI로 접속하면 cisco ise 발급한 인증서는 자체 인증서이기때문에, 제 컴퓨터 trusted certificate 폴더에 cisco ise 인증서가 없습니다.
그래서 신뢰 하지 않는 인증서라고 표시가 됩니다.
EAP Authentication Certificate:
Client(Supplicant) <---------------------> NAD <--------------------------> ISE
인증서는 가능한 거의 모든 EAP 방법인 EAP-TLS, PEAP 및 EAP-FAST와 함께 사용됩니다. PEAP 및 FAST와 같은 터널링된 EAP 방법에서는 TLS(전송 계층 보안)를 사용하여 자격 증명 교환을 보호합니다. HTTPS 웹 사이트로 이동하는 것과 마찬가지로 클라이언트는 서버에 대한 연결을 설정하고 서버는 해당 인증서를 클라이언트에 제공합니다. 클라이언트가 인증서를 신뢰하면 TLS 터널이 형성됩니다. 클라이언트의 자격 증명은 이 터널이 설정될 때까지 서버로 전송되지 않으므로 보안 교환이 보장됩니다. 보안 액세스 구축에서 클라이언트는 신청자이고 서버는 ISE 정책 서비스 노드입니다. 클라이언트는 서버를 신뢰해야 하며 인증서 내의 키는 통신을 암호화하고 해독하는 데 사용됩니다.
Wildcard Certificates:
와일드카드 인증서는 와일드카드 표기법(도메인 이름 앞에 별표와 마침표)을 사용하고 조직의 여러 호스트에서 인증서를 공유할 수 있도록 하는 인증서입니다. 와일드카드 인증서의 주체 이름에 대한 CN 값의 예는 *.test.local과 같습니다. *.test.local을 사용하도록 와일드카드 인증서를 구성하는 경우 동일한 인증서를 사용하여 DNS 이름이 ".test.local"로 끝나는 모든 호스트(예: aaa.test.local, psn.test.local)를 보호할 수 있습니다.
System Certificate:
개별 ISE 노드에 연결된 인증서입니다. 이는 클라이언트 애플리케이션에 대해 Cisco ISE 노드를 식별하는 서버 인증서입니다. 모든 Cisco ISE 노드에는 자체 시스템 인증서가 있으며, 각 인증서는 해당 개인 키와 함께 노드에 저장됩니다.
Trusted Certificate:
인증 기관 ISE는 신뢰합니다. 이는 사용자 및 장치로부터 받은 공개 키에 대한 신뢰를 설정하는 데 사용되는 인증 기관(CA) 인증서입니다. 신뢰할 수 있는 인증서 저장소의 인증서는 PAN(기본 관리 노드)에서 관리되며 Cisco ISE 구축의 다른 모든 노드에 자동으로 복제됩니다.
Certificate Signing Requests:
CA를 통한 서명 요청을 생성하기 위한 템플릿입니다. 인증 기관(CA)이 서명된 인증서를 발급하려면 CSR(인증서 서명 요청)을 생성하여 CA에 제출해야 합니다. CA(인증 기관)에서 서명을 얻으려면 CSR을 내보낸 다음 CA에 인증서를 보내야 합니다. CA는 인증서에 서명하고 반환합니다.
Certificate Authority:
ISE를 CA 서버로 전환하기 위한 설정입니다. Cisco ISE CA(내부 인증 기관)는 직원이 회사 네트워크에서 개인 장치를 사용할 수 있도록 중앙 콘솔에서 엔드포인트에 대한 디지털 인증서를 발급하고 관리합니다.
지금까지 [2025][CISCO ISE#20] - Certificate 글을 읽어주셔서 감사합니다.
구독 라이선스는 ISE를 사용하여 네트워크 내에서 관리하고 보호하려는 활성 엔드포인트 수를 기반으로 하는 라이선스를 의미합니다. 이러한 라이선스는 ISE에서 인증, 권한 부여, 모니터링 또는 보호할 수 있는 활성 엔드포인트 수를 결정하므로 ISE 배포의 중요한 부분입니다.
ISE Essentials:
ISE Essential은 기본적인 ID 및 액세스 관리 기능을 제공하는 기본 라이선싱 계층입니다. 여기에는 802.1X 기반 네트워크 액세스, 게스트 액세스 관리, 상태 평가, 기본 프로파일링 기능과 같은 기능이 포함되어 있습니다. 이 계층은 네트워크 리소스에 대한 액세스를 제어하기 위해 필수적인 보안 기능을 찾는 조직에 적합합니다.
ISE Advantage:
ISE Advantage는 Essential 계층에서 제공되는 기능을 기반으로 구축된 중간 계층 라이선싱 옵션입니다. Essential에서 제공되는 기능 외에도 Advantage에는 프로파일링, BYOD, Cisco pxGrid 통합, TrustSec SGT(보안 그룹 태깅) 시행과 같은 고급 기능이 포함되어 있습니다. 이 계층은 보다 광범위한 정책 시행과 고급 네트워크 액세스 제어 기능이 필요한 조직에 적합합니다.
ISE Premier:
Cisco ISE Premier는 Cisco ISE에 사용할 수 있는 가장 높은 라이선싱 계층입니다. 이는 Essential 및 Advantage 계층에서 제공되는 모든 기능을 포함하며 엔드포인트 규정 준수, MDM 및 Posture와 같은 보안 자동화 통합, 고급 위협 억제 및 가시성 기능 TC-NAC와 같은 향상된 기능을 추가합니다. 이 계층은 복잡한 네트워크 환경과 고급 보안 요구 사항이 있는 조직에 적합합니다.
Table 2.ISE licensing consumption
Feature
License tier
Dictionary/attribute
Trigger of license consumption
When license is released
AAA and 802.1X
Essentials
An endpoint establishes a RADIUS session
RADIUS session ends
Guest
Essentials
An endpoint with RADIUS session uses any Guest authorization
RADIUS session ends
Easy Connect (PassiveID)
Essentials
An endpoint with a RADIUS session uses any Easy Connect functionality
RADIUS session ends
Profiling
Advantage
EndPoints.EndPointPolicy EndPoints.LogicalProfile
An endpoint with a RADIUS session uses profiling classification in an authorization policy
RADIUS session ends
BYOD (+CA, MDP)
Advantage
EndPoints.BYODRegistration
An endpoint with a RADIUS session uses its registration status in an authorization policy
RADIUS session ends
pxGrid, pxGrid Cloud, and pxGrid Direct (Context In or Out with Cisco and external third-party products)
Advantage
An endpoint with a RADIUS session connects over pxGrid
이번에는 Cisco ISE Deployment Terminology에 대해서 알아보겠습니다.
기본적으로 아래 용어를 많이 사용 합니다.
Service: 서비스는 네트워크 액세스, 프로파일러, 상태, 보안 그룹 액세스, 모니터링 및 문제 해결 등과 같이 페르소나가 제공하는 특정 기능입니다.
Node: 노드는 Cisco ISE 소프트웨어를 실행하는 개별 인스턴스입니다. Cisco ISE는 어플라이언스로 사용할 수 있을 뿐만 아니라 VMware에서 실행할 수 있는 소프트웨어로도 사용할 수 있습니다. Cisco ISE 소프트웨어를 실행하는 각 인스턴스(어플라이언스 또는 VMware)를 노드라고 합니다.
Persona: 노드의 Persona는 노드가 제공하는 서비스를 결정합니다. Cisco ISE 노드는 관리, 정책 서비스, 모니터링, pxGrid 등의 Persona 는 관리 포털을 통해 사용할 수 있는 메뉴 옵션은 Cisco ISE 노드가 맡은 역할과 Persona에 따라 다릅니다.
Deployment Model: Standalone 또는 High Availability 등으로 구성 가능 합니다.
여기에서 Persona에 대해서 더 알아보도록 하겠습니다.
Policy Services Node(PSN) - Makes policy decisions, RADIUS/TACACS+ Servers
Policy Administration Node(PAN) - Single Plane of glass for ISE admin, Replication hg for all database config changes
Monitoring and Troubleshooting Node (MnT) - Reporting and logging node, syslog collector from ISE nodes
pxGrid Contoller - Facilitates sharing of conext
Standard-alone일때 동작 방식은 아래와 같습니다.
High Availablity
PAN - Active/Standby 역활만 가능 합니다. Active/Active 지원하지 않습니다.
PSN - Active/Active 역활만 가능 합니다.
MnT - Active/Standby 역활만 가능 합니다. Active/Active 지원하지 않습니다.
