안녕하세요.

 

Cisco ISE high Availabilty에 대해서 알아보겠습니다. 

 

Cisco ISE 노드를 설치하면 독립 형태로 관리, 정책에서 제공하는 모든 기본 서비스가 서비스 및 모니터링 Persona가 실행됩니다.  Cisco ISE 노드의 관리 포털에 로그인하여 구성하고 기본적으로 독립형 Cisco ISE 노드의 서비스입니다. 하지만 HA를 설정하면 ISE 노드별로 PAN, PSN, MnT등을 동작 시킬수 있습니다. 

HA 설정하기 전에 아래처럼 요구 사항을 확인 합니다.

1. Cisco ISE 노드는 Version, Patch Number는 동일해야 합니다. 

2. The Primary ISE는 Standardalone으로 동작하면 않됩니다. 기본적으로 ISE설치하면 Standardalone으로 동작 합니다. 

3. 모든 ISE에 admin 계정을 알아야 합니다. 

4. 모든 ISE에 hostname은 DNS에 등록 되어야 하고 서로간에 DNS에 통신이 되어야 합니다.

5. ISE01노드는 system certificate 

 

기본 정보는 아래와 같습니다. 

ISE01 FQDN - ise01.test.local

ISE02 FQDN - ise02.test.local

ISE01 IP: 192.168.10.191

ISE02 IP: 192.168.10.192

ISE01 and ISE02 username/password  -  admin/xxxxxx

ISE01 - Primary

ISE02 - Secondary 

 

 

1. ISE01 version 및 Patch 확인

 

2. Cisco ISE02 version 및 patch

 

3. Cisco ISE Priarmy를 Standardalone으로 동작중인데, 이것을 수정합니다

 

현재 Standard alone으로 동작중입니다. 아래 Make Primary를 클릭 합니다. 

 

Role - Primary로 변경 되었습니다. 그리고 SAVE버튼을 클릭 합니다. 

 

4. DNS 정보를 확인합니다. 이전글에서 DNS Server에서 A레코드를 생성 하였습니다. 

 

ISE01 CLI 접속합니다.

ise01/admin#ping ise02.test.local
PING ise02.test.local (192.168.10.192) 56(84) bytes of data.
64 bytes from 192.168.10.192: icmp_seq=1 ttl=64 time=0.323 ms
64 bytes from 192.168.10.192: icmp_seq=2 ttl=64 time=0.370 ms
64 bytes from 192.168.10.192: icmp_seq=3 ttl=64 time=0.459 ms
64 bytes from 192.168.10.192: icmp_seq=4 ttl=64 time=0.448 ms

--- ise02.test.local ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3050ms
rtt min/avg/max/mdev = 0.323/0.400/0.459/0.056 ms

ise01/admin#

 

ISE02 CLI접속합니다

ise02/admin#ping ise01.test.local
PING ise01.test.local (192.168.10.191) 56(84) bytes of data.
64 bytes from 192.168.10.191: icmp_seq=1 ttl=64 time=0.422 ms
64 bytes from 192.168.10.191: icmp_seq=2 ttl=64 time=0.349 ms
64 bytes from 192.168.10.191: icmp_seq=3 ttl=64 time=0.364 ms
64 bytes from 192.168.10.191: icmp_seq=4 ttl=64 time=0.231 ms

--- ise01.test.local ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3083ms
rtt min/avg/max/mdev = 0.231/0.341/0.422/0.071 ms

ise02/admin#

 

5. System Certificate

 

지금부터 Cisco ISE HA설정 하겠습니다.

 

1.  Register 버튼을 클릭 합니다. 

 

2. 아래처럼 입력 합니다. 

host FQDN : ise02.test.local

username: admin

password: xxxxx

 

3. Submit버튼을 클릭 합니다.

 

HA 구성중입니다. 기다립니다.

현재 동기화중이라서 저렇게 Node Status에 표시 됩니다. 10분 정도 기다리고 다시 확인 합니다. 

 

ISE02에 접속하면 Standby 동작하기 떄문에, 설정이 제한적입니다.

 

 

 

지금까지 [2025][CISCO ISE#24] - High Availability  글을 읽어주셔서 감사합니다. 

안녕하세요.

 

이번에는 ISE Deployment Model에 대해서 알아보겠습니다.

 

Cisco에서는 지원되는 몇 가지 배포 모델을 규정했습니다. 소형, 중형 및 크기가 큰. 이름에서 짐작할 수 있듯이 환경의 규모 요구 사항은 다음과 같습니다. 어떤 Cisco ISE 배포 모델이 귀하에게 가장 적합한지 결정할 때 가장 중요한 요소입니다.
단일 Cisco ISE 노드가 있는 배포를 독립형 배포라고 합니다. 이 노드관리, 정책 서비스 및 모니터링 페르소나를 실행합니다. 더 많은 기능을 갖춘 배포 두 개 이상의 Cisco ISE 노드를 분산 구축이라고 합니다. 장애 조치 지원 및 개선 성능을 향상하려면 분산 환경에서 여러 Cisco ISE 노드로 구축을 설정할 수 있습니다.

 

Standalone Minimum 1 – Maximum 1 20,000

Small Minimum 1 - Maximum 2 20,000

Medium Minimum 3 - Maximum 7 20,000

Large Minimum 5 - Maximum 54 500,000

 

1. Standardalone 

독립형 배포는 하나의 ISE 노드에 구축됩니다. 독립형 모드는 단일 노드라고도 합니다. cisco ISE 단일 물리적 또는 가상 ISE 장치에서 사용할 수 있습니다. 단일 Cisco ISE 모든 기능을 수행합니다. 독립 실행형 배포 방법은 중복성을 사용할 수 없습니다. ISE의 경우 네트워크 연결이 끊어지면 인증/권한 부여가 작동하지 않습니다. ISE 장치의 전원이 꺼지는 경우 연결 인증/권한 부여가 작동하지 않습니다. 

 

PSN, PAN, MnT, pxGrid Controller를 모두 수행 합니다.

 

2. Small Deployment

가장 작은 분산 ISE 배포는 2개의 Cisco ISE 노드로 구성됩니다. 두 노드 모두 모든 기능을 실행합니다.
3개의 필수 ISE Persona 중 하나가 기본 노드로 작동합니다. 기본 노드 모든 구성, 인증, 정책 기능과 보조 노드를 제공합니다. 백업 역할을 합니다. 연결이 끊어진 경우 보조는 기본을 지원합니다. 네트워크 장치와 기본 장치 사이. 즉, 동일한 데이터 센터에 있는 2개의 노드는 모두 노드는 모든 페르소나를 실행하고 모든 노드는 모든 서비스를 실행합니다. 소규모 LAN 또는 낮은 대기 시간을 위해 설계됨 핏기 없는. 일반적인 권장 사항은 노드 간 왕복 대기 시간이 300ms를 넘지 않는 것입니다. 소규모 네트워크 분할 배포 동일하지만 두 노드가 다른 데이터 센터에 있습니다. 이 유형의 배포에서는 모든 Persona가 독립형처럼 동일한 노드에서 실행됩니다. 배포 유형. 독립 실행형 배포와 다른 점은 Persona가 노드라는 점입니다. 두 개의 노드에서 실행 중입니다. 즉, Pri PAN, Pri MnT, PSN 및/또는 pxGrid는 노드 1에서 실행되고 Sec는 노드 1에서 실행됩니다. PAN, Sec MnT, PSN 및/또는 pxGrid는 노드 2에서 실행됩니다. 기본 및 보조 관리자와 MnT Persona의 역할은 혼합될 수 있습니다.

 

Option1

Cisco ISE Node 1 Primary PAN, Primary MnT, PSN and PxGrid

Cisco ISE Node 2 Secondary PAN, Secondary MnT, PSN and PxGrid

 

Option2

Cisco ISE Node 1 Primary PAN, Secondary MnT, PSN, and PxGrid

Cisco ISE Node 2 Secondary PAN, Primary MnT, PSN, and PxGrid

 

3. Medium Deployment 

중간 규모 배포에서는 총 7개의 ISE 노드가 있을 수 있습니다. 두 개의 노드가 PAN과 MnT Persona 최대 5개의 노드가 전용 PSN Persona 실행됩니다. PAN/MnT 노드는 데이터 센터 위치에 배치될 가능성이 높습니다. 이 모델에서 우리는 PSN이 어느 위치에나 상주할 수 있도록 했습니다. 선택한 네트워크 위치. 일부 PSN은 PAN/MnT와 함께 배치될 수 있습니다. 데이터 센터, 일부는 중요한 캠퍼스/지사 위치에 배치될 수 있습니다. 이것은 다음과 같은 상황에서도 중요한 캠퍼스/지사 위치 인증이 유지되도록 허용합니다. WAN 장애. 네트워크 규모가 커지거나 ISE 토폴로지를 확장하려는 경우 더 많은 노드를 추가해야 하며 중간 규모 배포에서는 전용 노드를 시작해야 합니다. 로깅 및 관리에 사용됩니다. 중간 규모 배포는 기본 및 보조로 구성됩니다. 별도의 정책과 함께 관리 노드와 기본 및 보조 모니터링 노드 서비스 노드.

 

Option1

Cisco ISE Node 1 Primary PAN and Primary MnT

Cisco ISE Node 2 Secondary PAN and Secondary MnT

Cisco ISE Node 3, 4, 5, 6, 7 PSN1, PSN2, PSN3, PSN4, and PSN5

 

Option2

Cisco ISE Node 1 Primary PAN and Secondary MnT

Cisco ISE Node 2 Secondary PAN and Primary MnT

Cisco ISE Node 3, 4, 5, 6, 7 PSN1, PSN2, PSN3, PSN4, and PSN5

 

4. Large Deployment 

대규모 배포에서는 총 54개의 ISE 노드가 있을 수 있습니다. 두 개의 노드가 PAN Persona 실행합니다. 2 노드는 MnT Persona를 실행하며, 최대 50개의 노드가 전용 PSN Persona로 실행됩니다. 그만큼 PAN/MnT 노드는 데이터 센터 위치에 배치될 가능성이 높습니다. 이 모델에서 우리는 PSN은 귀하가 선택한 네트워크 위치에 상주하고 배포의 규모/유연성. 일부 PSN은 PAN/MnT와 함께 배치될 수 있습니다. 데이터 센터는 로드 밸런서가 있는 풀 프런트 엔드로, 일부는 중요한 위치에 배치될 수 있습니다. 캠퍼스/지사 위치. 이는 중요한 캠퍼스/지사 사무실을 허용할 것입니다. WAN 장애가 발생하는 경우 위치 인증이 유지됩니다. 로드 밸런서 사용, 그러나 필수는 아니지만 단순화된 네트워크를 유지하면서 더 큰 규모를 달성할 수 있습니다. 각 네트워크 장치가 두 개의 로드 밸런서 VIP를 RADIUS로 가리킬 수 있으므로 장치 구성 로드 밸런서 뒤에는 훨씬 더 많은 ISE 정책 서비스 노드가 상주합니다. 와 함께 대규모 네트워크 배포의 경우 각 노드를 별도의 Persona에 지정합니다. 그래서 별도의 관리, 모니터링, 정책 서비스를 위한 노드입니다. 로드 사용도 고려해야 합니다.

 

자세한 내용은 cisco 공식 홈페이지를 참고 부탁드립니다.

 

https://www.cisco.com/c/en/us/td/docs/security/ise/3-0/install_guide/b_ise_InstallationGuide30/b_ise_InstallationGuide30_chapter_1.html

 

Cisco Identity Services Engine Installation Guide, Release 3.0 - Network Deployments in Cisco ISE [Cisco Identity Services Engin

This chapter deals with various network deployments in Cisco ISE.

www.cisco.com

 

지금까지 [2025][CISCO ISE#23] - ISE Deployment Model 글을 읽어주셔서 감사합니다.

안녕하세요.

 

이번에는 cisco ise에서 identity source sequence에 대해서 알아보겠습니다.

 

Administration -> Identity Management -> Identity Source Sequences에서 All_User_ID_Stores를 체크 하고 Edit버튼을 클릭 합니다. 

 

아래처럼 Authentication을 순서가 아래처럼 정의 되어져 있습니다. 

 

저희는 새로운 Identity source Sequences를 생성 하겠습니다. 

 

Name: AD_Internal_Store

Authentication은 아래처럼 선택합니다. 

그리고 맨아래  Treat as if the user was not found and proceed to the next store in the sequence. 

이 부분이 체크가 되어야지 다음으로 넘어가서 authentication를 체크 합니다. 

 

아래처럼 AD_Internal_Store를 생성 하였습니다. 

지금까지 [2025][CISCO ISE#23] - Identity Source Sequence 글을 읽어주셔서 감사합니다.

 

안녕하세요.

 

오늘은 Cisco ISE에 Active Directory를 연동해 보겠습니다.

 

Cisco ISE는 Internal Database로 user 또는 End device를 인증 할수 있지만, 외부에 Active Direcotry로도 인증이 가능 합니다. 

 

1. Windows Server에서 Active Directory를 구축합니다.  - 이전 글에서 구축 완료 하였습니다. 

   도메인은 test.local 입니다

2. cisco ISE NTP서버를 windows server로 설정 합니다. 

 Administration -> System -> Setting -> System time 클릭 합니다.

NTP Server 1에 192.168.10.193 입력 합니다.

 

Timezone은 GUI변경이 불가능 합니다.

만약 TimeZone이 다르면, 아래처럼 putty를 통해서 SSH 접속 합니다.

clock timezone Asia/Singapore

ise02/admin(config)#clock timezone Asia/Singapore

  % On ise distributed deployments, it is recommended all nodes be
% configured with the same time zone.
% Changing the time zone may result in undesired side effects
% Recommended to reimage the node after changing the time zone
Are you sure you want to change the time zone?
You must restart ISE for change to take effect.Do you want to restart ISE now?
Proceed? [yes,no] yes
Stopping ISE Monitoring & Troubleshooting Log Processor...
PassiveID WMI Service is disabled
PassiveID Syslog Service is disabled
PassiveID API Service is disabled
PassiveID Agent Service is disabled
PassiveID Endpoint Service is disabled
PassiveID SPAN Service is disabled
Stopping ISE Application Server...
Stopping ISE Process Monitoring Service...
Stopping ISE Certificate Authority Service...
Stopping ISE EST Service...
ISE Sxp Engine Service is disabled
Stopping TC-NAC Service ...
VA Service is not running
ISE VA Database is not running
Segmentation Policy Service is disabled
REST Auth Service is disabled
Stopping ISE Messaging Service...
Stopping ISE API Gateway Service...
Stopping edda-url-fetcher-service Service...
Stopping ISE API Gateway Database Service...
Stopping ISE Profiler Database...
Stopping ISE Indexing Engine...
Stopping ISE Monitoring & Troubleshooting Session Database...
Stopping ISE AD Connector...
Stopping ISE Database processes...
Stopping ISE Node Exporter...
Stopping ISE Prometheus Service...
Stopping ISE Grafana Service...
ISE MNT LogAnalytics Elasticsearch Service is not running.
ISE Logstash Service is not running.
ISE Kibana service is not running.
ISE Database processes already running, PID: 1360649
Starting ISE Messaging Service...
Starting ISE API Gateway Database Service...
Starting ISE Profiler Database...
Starting ISE API Gateway Service...
Starting ISE Monitoring & Troubleshooting Session Database...
Starting edda-url-fetcher-service Service...
Starting ISE Process Monitoring Service...
Starting ISE Application Server...
Starting ISE Monitoring & Troubleshooting Log Processor...
Starting ISE Indexing Engine...
Starting ISE Certificate Authority Service...
NSS database for CA Service is ready
ISE EST service is already running, PID: 1372490
Starting ISE AD Connector...
Starting ISE Node Exporter...
Starting ISE Prometheus Service...
Starting ISE Grafana Service...
ISE MNT LogAnalytics Elasticsearch Service is disabled
ISE Logstash Service is disabled
ISE Kibana Service is disabled
Note: ISE Processes are initializing. Use 'show application status ise'
      CLI to verify all processes are in running state.
ise02/admin(config)#end

 

3. name-server가 윈도우 DNS server인지 확인 합니다.

name server 8.8.8.8를 지우고 192.168.10.193를 추가 합니다. 

ise02/admin#show running-config | include name
hostname ise02
ip domain-name test.local
ip name-server 8.8.8.8
 no-username
username admin password hash $6$0P59A.G83wyCrKZk$xfb3NrZMfr9C56ncY/0YrMn4KfMmcDolLQRrcpjz14Jycm63VxZ.lQMfG74NqSt2ABgIB9joecTd91Y3V8.t6. role admin
ise02/admin#


ise02/admin#configure t
Entering configuration mode terminal
ise02/admin(config)#ip name-server 192.168.10.193
  DNS Server was modified. If you modified this setting for AD connectivity, you must restart ISE
for the change to take effect. Also note for ISE connectivity to AD, ensure all configured DNS
servers can resolve all relevant AD DNS records. If this is not the case and current AD join
points may not resolve under new DNS settings then it is recommended to manually perform leave and
rejoin.
Do you want to restart ISE now?
Proceed? [yes,no] yes
Stopping ISE Monitoring & Troubleshooting Log Processor...
PassiveID WMI Service is disabled
PassiveID Syslog Service is disabled
PassiveID API Service is disabled
PassiveID Agent Service is disabled
PassiveID Endpoint Service is disabled
PassiveID SPAN Service is disabled
Stopping ISE Application Server...
Stopping ISE Process Monitoring Service...
Stopping ISE Certificate Authority Service...
Stopping ISE EST Service...
ISE Sxp Engine Service is disabled
Stopping TC-NAC Service ...
VA Service is not running
ISE VA Database is not running
Segmentation Policy Service is disabled
REST Auth Service is disabled
Stopping ISE Messaging Service...
Stopping ISE API Gateway Service...
Stopping edda-url-fetcher-service Service...
Stopping ISE API Gateway Database Service...
Stopping ISE Profiler Database...
Stopping ISE Indexing Engine...
Stopping ISE Monitoring & Troubleshooting Session Database...
Stopping ISE AD Connector...
Stopping ISE Database processes...
Stopping ISE Node Exporter...
Stopping ISE Prometheus Service...
Stopping ISE Grafana Service...
ISE MNT LogAnalytics Elasticsearch Service is not running.
ISE Logstash Service is not running.
ISE Kibana service is not running.
ISE Database processes already running, PID: 1428135
Starting ISE Messaging Service...
Starting ISE API Gateway Database Service...
Starting ISE Profiler Database...
Starting ISE API Gateway Service...
Starting ISE Monitoring & Troubleshooting Session Database...
Starting edda-url-fetcher-service Service...
Starting ISE Process Monitoring Service...
Starting ISE Application Server...
Starting ISE Monitoring & Troubleshooting Log Processor...
Starting ISE Indexing Engine...
Starting ISE Certificate Authority Service...
NSS database for CA Service is ready
ISE EST service is already running, PID: 1439913
Starting ISE AD Connector...
Starting ISE Node Exporter...
Starting ISE Prometheus Service...
Starting ISE Grafana Service...
ISE MNT LogAnalytics Elasticsearch Service is disabled
ISE Logstash Service is disabled
ISE Kibana Service is disabled
Note: ISE Processes are initializing. Use 'show application status ise'
      CLI to verify all processes are in running state.
ise02/admin(config)#end
ise02/admin#show application status ise

 

4. Windows Server에 Ping 되는지 확인 합니다.

ise02/admin#ping 192.168.10.193
PING 192.168.10.193 (192.168.10.193) 56(84) bytes of data.
64 bytes from 192.168.10.193: icmp_seq=1 ttl=128 time=0.662 ms
64 bytes from 192.168.10.193: icmp_seq=2 ttl=128 time=0.576 ms
64 bytes from 192.168.10.193: icmp_seq=3 ttl=128 time=0.749 ms
64 bytes from 192.168.10.193: icmp_seq=4 ttl=128 time=0.572 ms

--- 192.168.10.193 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3075ms
rtt min/avg/max/mdev = 0.572/0.639/0.749/0.078 ms

ise02/admin#

 

5. DNS으로 Ping 되는지 확인 합니다.

ise01.test.local - 첫번째 ISE01 서버

ise02.test.local - 두번째 ISE02 서버

first.test.local  - windows server - NTP, AD, DNS, DHCP, CA and Etc

ise02/admin#ping ise01.test.local
PING ise01.test.local (192.168.10.191) 56(84) bytes of data.
64 bytes from 192.168.10.191: icmp_seq=1 ttl=64 time=0.710 ms
64 bytes from 192.168.10.191: icmp_seq=2 ttl=64 time=0.363 ms
64 bytes from 192.168.10.191: icmp_seq=3 ttl=64 time=0.341 ms
64 bytes from 192.168.10.191: icmp_seq=4 ttl=64 time=0.409 ms

--- ise01.test.local ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3088ms
rtt min/avg/max/mdev = 0.341/0.455/0.710/0.151 ms

ise02/admin#ping first.test.local
PING first.test.local (192.168.10.193) 56(84) bytes of data.
64 bytes from 192.168.10.193: icmp_seq=1 ttl=128 time=0.424 ms
64 bytes from 192.168.10.193: icmp_seq=2 ttl=128 time=0.588 ms
64 bytes from 192.168.10.193: icmp_seq=3 ttl=128 time=0.651 ms
64 bytes from 192.168.10.193: icmp_seq=4 ttl=128 time=0.556 ms

--- first.test.local ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3086ms
rtt min/avg/max/mdev = 0.424/0.554/0.651/0.087 ms

ise02/admin#

 

현재까지 cisco ISE를 Active Directory 연동하기 위해 기본 설정들을 하였습니다.

 

그럼 cisco ISE를 Active Directory에 연동 해보겠습니다.

1. Administration  - Identity Management -> External Identity Sources를 클릭 합니다. 

 

2. 아래처럼 설정 합니다.

join point name - 아무 이름이나 상관없습니다

active directory - 실제 윈도우 서버 AD domain를 입력 합니다. 

 

3. Yes버튼을 클릭 합니다.

 

4. administrator계정과 Password를 입력 합니다.

 

5. 정상적으로 등록 되었습니다. 

 

6. 아래 처럼 정상적으로 등록 되었습니다.

아래 처럼 정보들을 확인 가능 합니다. 그리고 status에서 상태가 Operational입니다. 

 

똑같은 방식으로 Cisco ISE01에서 Active Directory를 등록 합니다. 

 

7. windows server AD group를 불러오겠습니다.

저번글에서 설정했던 ise OU에 있는 user와 그룹을 불러옵니다. 

 

 

select group from directory를 선택 합니다. 

 

Retrieve Groups 버튼을 클릭후 저번에 생성한 그룹을 선택 합니다. 

 

추가적으로 아래로 선택하고 OK버튼을 클릭 합니다. 

 

마지막으로 Save버튼을 클릭 합니다.

 

지금까지 [2025][CISCO ISE#22] - Integration with active directory 글을 읽어주셔서 감사합니다. 

안녕하세요.

 

오늘은 cisco ise certificate warming message에 대해서 알아보겠습니다.

 

인증서는 외부에서 이미 인증 받은 인증서가 있습니다.

대부분에 사이트는 HTTPS 입니다. 윈도우 설치하면 기본적으로 많은 인증서가 설치되어져 있어서 google.com등 외부 https사이트에 접속해도 인증서 경고창이 나타나지 않습니다.

 

현재 저희는 테스트를 위해서 아래 처럼 cisco ise 2대를 설치 했습니다.

 

ISE01 - 192.168.10.191

ISE02 - 192.168.10.192

 

https://192.168.10.192 접속하면 아래처럼 인증서 경고 메시지가 발생 합니다.

 

PC에서 인증서를 확인해보면 

 

인증서 경고창 무시하고 접속 가능 합니다.

 

이 경고창을 제거해 보겠습니다. 

 

1. 윈도우 CA서버에 접속 합니다.

 http://192.168.10.193/certsrv

 

Download a CA certificate, Certificate chain or CRL 클릭 합니다. 

2. Base 64를 선택하고 Download CA certificate를 클릭 합니다. 

아래처럼 Certnew가 다운로드 받았습니다. 

 

이름을 아래처럼 수정 합니다. CA-Root

 

Cisco ISE01 - 192.168.10.192에 Certificate를 설정해 보겠습니다.

 

3. Administration -> System -> Certificates 클릭 합니다. 

 

4. Trusted Certificates -> Import 버튼을 클릭 합니다.

 

5. Choose File 버튼을 클릭 합니다. 

 

6. 아래처럼 설정하고 Submit 버튼을 클릭 합니다. 

 

 

Trust for authentication within ISE - This will all you to add new ISE nodes as long as they have the same trsuted CA certiicate loaded to their Trusted Certificate Store.

 

Turst for client authentication and syslog: you would check this box if you want to use this certificate to authenticte endpoints that connect to ISE using EAP and/or turst a secure syslog server

 

Trust for authentication of Cisco Services: you only need to check this if you want this certificate to be trusted for external cisco services such as a feed service

 

7. Windows CA서버가 등록 되었습니다.

 

8. Request Signing Certificate - 아래 사진처럼 Generate Certificate Sining request (CSR) 버튼을 클릭 합니다. 

 

9. 아래처럼 정보를 입력 합니다.

Certificate은 여러 인증을 사용 할 예정이기때문에 Multi-Use로 설정하고. ise02 체크합니다. 

 

아래처럼 입력하고 Generate버튼을 클릭 합니다. 

 

Windows Server DNS에서 설정값이 맞는지 확인 합니다.

 

 

10. Warning메시지는 나타납니다.  Yes눌러서 에러 메시지가 발생하면서 인증서 발급이 실패 합니다. 

 

cisco ise domain 확인합니다.

 

domain 주소가 local으로되어져 있습니다. 

 

test.local이어야 하는데 잘 못 입력 되었습니다.

 

CLI접속 합니다.

ise01/admin#configure t
Entering configuration mode terminal
ise01/admin(config)#end
ise01/admin#show run
interface GigabitEthernet 0
 ip address 192.168.10.191 255.255.255.0
 ipv6 enable
 ipv6 address autoconfig
!
ntp server time.nist.gov
hostname ise01
icmp echo on
ip domain-name local

 

아래처럼 수정 합니다. 

ise01/admin#
ise01/admin#configure t
Entering configuration mode terminal
ise01/admin(config)#i
Possible completions:
  icmp             Configure icmp echo requests
  identity-store   Configure identity store for CLI users
  interface        Configure interface
  ip               Configure IP features
  ipv6             Configure IPv6 features
ise01/admin(config)#ip domain-name test.local
  % Warning: Updating the domain name will cause any certificate using the old
% domain name to become invalid. Therefore, a new self-signed
% certificate using the new domain name will be generated now for
% use with HTTPs/EAP. If CA-signed certs were used on this node,
% please import them with the correct domain name. If Internal-CA
% signed certs are being used, please regenerate ISE Root CA certificate.
% In addition, if this ISE node will be joining a new Active Directory
% domain, please leave your current Active Directory domain before
% proceeding.
% Changing the IP domain-name will cause ise services to restart
Proceed? [yes,no] yes

 

서비스가 재시작 됩니다.

시간이 꽤 오래 걸립니다. 약 15분 정도를 기다립니다. 

아래 Application Server가 running 될때까지 기다립니다. 

ise02/admin#show application status ise

ISE PROCESS NAME                       STATE            PROCESS ID
--------------------------------------------------------------------
Database Listener                      running          838346
Database Server                        running          89 PROCESSES
Application Server                     initializing
Profiler Database                      running          848506
ISE Indexing Engine                    running          859072
AD Connector                           running          860543
M&T Session Database                   running          854482
M&T Log Processor                      running          858109
Certificate Authority Service          running          860385
EST Service                            running          868581
SXP Engine Service                     disabled
TC-NAC Service                         disabled
PassiveID WMI Service                  disabled
PassiveID Syslog Service               disabled
PassiveID API Service                  disabled
PassiveID Agent Service                disabled
PassiveID Endpoint Service             disabled
PassiveID SPAN Service                 disabled
DHCP Server (dhcpd)                    disabled
DNS Server (named)                     disabled
ISE Messaging Service                  running          845235
ISE API Gateway Database Service       running          847493
ISE API Gateway Service                running          853220
ISE pxGrid Direct Service              running          886548
Segmentation Policy Service            disabled
REST Auth Service                      disabled
SSE Connector                          disabled
Hermes (pxGrid Cloud Agent)            disabled
McTrust (Meraki Sync Service)          disabled
ISE Node Exporter                      running          861123
ISE Prometheus Service                 running          862365
ISE Grafana Service                    running          864153
ISE MNT LogAnalytics Elasticsearch     disabled
ISE Logstash Service                   disabled
ISE Kibana Service                     disabled
% WARNING: ISE DISK SIZE NOT LARGE ENOUGH FOR PRODUCTION USE
% RECOMMENDED DISK SIZE: 200 GB, CURRENT DISK SIZE: 100 GB

ise02/admin#show application status ise

ISE PROCESS NAME                       STATE            PROCESS ID
--------------------------------------------------------------------
Database Listener                      running          838346
Database Server                        running          93 PROCESSES
Application Server                     running          857882
Profiler Database                      running          848506
ISE Indexing Engine                    running          859072
AD Connector                           running          860543
M&T Session Database                   running          854482
M&T Log Processor                      running          858109
Certificate Authority Service          running          860385
EST Service                            running          868581
SXP Engine Service                     disabled
TC-NAC Service                         disabled
PassiveID WMI Service                  disabled
PassiveID Syslog Service               disabled
PassiveID API Service                  disabled
PassiveID Agent Service                disabled
PassiveID Endpoint Service             disabled
PassiveID SPAN Service                 disabled
DHCP Server (dhcpd)                    disabled
DNS Server (named)                     disabled
ISE Messaging Service                  running          845235
ISE API Gateway Database Service       running          847493
ISE API Gateway Service                running          853220
ISE pxGrid Direct Service              running          886548
Segmentation Policy Service            disabled
REST Auth Service                      disabled
SSE Connector                          disabled
Hermes (pxGrid Cloud Agent)            disabled
McTrust (Meraki Sync Service)          disabled
ISE Node Exporter                      running          861123
ISE Prometheus Service                 running          862365
ISE Grafana Service                    running          864153
ISE MNT LogAnalytics Elasticsearch     disabled
ISE Logstash Service                   disabled
ISE Kibana Service                     disabled
% WARNING: ISE DISK SIZE NOT LARGE ENOUGH FOR PRODUCTION USE
% RECOMMENDED DISK SIZE: 200 GB, CURRENT DISK SIZE: 100 GB


ise02/admin#

 

https://192.168.10.192 접속해서 인증서 CN를 확인 합니다.

정삭적으로 변경 되었습니다.

 

ISE01도 똑같이 수정 합니다.

 

11.  다시 시도 합니다. Yes버튼을 클릭 합니다. 

 

12. Export를 클릭 합니다. 

 

아래처럼 이름을 수정 합니다.

 

13. 윈도우서버에 다시 접속 합니다.

Request a certificate를 클릭 합니다. 

 

14. Advabce Certificate request를 클릭 합니다. 

 

15. 파일을 오픈해서 Private Key를 복사 붙여넣기 하고 Submit 버튼을 클릭 합니다. 

 

16. Base64 encoded 선택하고 Download Certificate를 선택 합니다. 

 

아래처럼 이름을 수정 합니다. 

 

17. 다시 cisco ISE02에 접속 합니다.

 

아래처럼 설정하고 submit 버튼을 클릭 합니다. 

 

 

 

 

CLI 접속해서 show application status ise 입력합니다

Application Server가 running으로 변경 될때까지 기다립니다. 

ise02/admin#show application status ise

ISE PROCESS NAME                       STATE            PROCESS ID
--------------------------------------------------------------------
Database Listener                      running          838346
Database Server                        running          87 PROCESSES
Application Server                     not running
Profiler Database                      running          848506
ISE Indexing Engine                    running          859072
AD Connector                           running          860543
M&T Session Database                   running          854482
M&T Log Processor                      running          858109
Certificate Authority Service          running          860385
EST Service                            running          868581
SXP Engine Service                     disabled
TC-NAC Service                         disabled
PassiveID WMI Service                  disabled
PassiveID Syslog Service               disabled
PassiveID API Service                  disabled
PassiveID Agent Service                disabled
PassiveID Endpoint Service             disabled
PassiveID SPAN Service                 disabled
DHCP Server (dhcpd)                    disabled
DNS Server (named)                     disabled
ISE Messaging Service                  running          845235
ISE API Gateway Database Service       running          847493
ISE API Gateway Service                running          853220
ISE pxGrid Direct Service              running          886548
Segmentation Policy Service            disabled
REST Auth Service                      disabled
SSE Connector                          disabled
Hermes (pxGrid Cloud Agent)            disabled
McTrust (Meraki Sync Service)          disabled
ISE Node Exporter                      running          861123
ISE Prometheus Service                 running          862365
ISE Grafana Service                    running          864153
ISE MNT LogAnalytics Elasticsearch     disabled
ISE Logstash Service                   disabled
ISE Kibana Service                     disabled
% WARNING: ISE DISK SIZE NOT LARGE ENOUGH FOR PRODUCTION USE
% RECOMMENDED DISK SIZE: 200 GB, CURRENT DISK SIZE: 100 GB


ise02/admin#

ise02/admin#show application status ise

ISE PROCESS NAME                       STATE            PROCESS ID
--------------------------------------------------------------------
Database Listener                      running          838346
Database Server                        running          93 PROCESSES
Application Server                     running          972882
Profiler Database                      running          848506
ISE Indexing Engine                    running          978221
AD Connector                           running          860543
M&T Session Database                   running          854482
M&T Log Processor                      running          858109
Certificate Authority Service          running          860385
EST Service                            running          868581
SXP Engine Service                     disabled
TC-NAC Service                         disabled
PassiveID WMI Service                  disabled
PassiveID Syslog Service               disabled
PassiveID API Service                  disabled
PassiveID Agent Service                disabled
PassiveID Endpoint Service             disabled
PassiveID SPAN Service                 disabled
DHCP Server (dhcpd)                    disabled
DNS Server (named)                     disabled
ISE Messaging Service                  running          845235
ISE API Gateway Database Service       running          847493
ISE API Gateway Service                running          1028398
ISE pxGrid Direct Service              running          1007569
Segmentation Policy Service            disabled
REST Auth Service                      disabled
SSE Connector                          disabled
Hermes (pxGrid Cloud Agent)            disabled
McTrust (Meraki Sync Service)          disabled
ISE Node Exporter                      running          861123
ISE Prometheus Service                 running          862365
ISE Grafana Service                    running          864153
ISE MNT LogAnalytics Elasticsearch     disabled
ISE Logstash Service                   disabled
ISE Kibana Service                     disabled
% WARNING: ISE DISK SIZE NOT LARGE ENOUGH FOR PRODUCTION USE
% RECOMMENDED DISK SIZE: 200 GB, CURRENT DISK SIZE: 100 GB


ise02/admin#

 

정상적으로 Multi-use Certificate를 발급 하였습니다.

 

제 PC에서도 certificate설치해서 더이상 warning message가 발생하지 않도록 합니다.

 

CA-Root를 더블클릭 합니다. 

 

 

 

 

테스트 하기 위해서 192.168.10.192접속 합니다.

더 이상 warning message가 없습니다. 

인증서를 확인 합니다.

 

지금까지 [2025][CISCO ISE#21] - Certificate Issue 글을 읽어주셔서 감사합니다. 

안녕하세요.

 

오늘은 Cisco ISE Certificate에 대해서 알아보겠습니다.

 

Certificate:

인증서는 신원을 나타내는 서명된 문서입니다. 증명서는 여권, 운전면허증, 기타 개인 신분증과 같습니다. 그 신분증은 귀하를 대표하고 귀하가 누구인지 증명하기 위한 것입니다. 해당 인증서에는 해당 엔터티의 공개 키도 포함되어 있으므로 공개 인증서가 있는 사람은 누구나 인증서 소유자만 해독할 수 있는 데이터를 암호화할 수 있습니다. 인증서는 보안 액세스를 구현하는 네트워크에서 자주 사용됩니다. 인증서는 엔드포인트에 대한 ISE(Identity Services Engine)를 식별하고 해당 엔드포인트와 ISE 노드 간의 통신을 보호하는 데 사용됩니다. 인증서는 EAP(확장 가능 인증 프로토콜) 통신은 물론 모든 HTTPS 통신에 사용됩니다.

 

Admin Certificate:

관리자 인증서는 노드 간 통신 및 관리자 포털 인증에 사용됩니다. 관리자 인증서는 ISE와의 통신을 인증하거나 보안하는 데 사용되는 서버 인증서입니다. 또한 다중 노드 구축에서 ISE 노드 간의 신뢰 관계를 설정하고 통신을 보안하는 데에도 사용됩니다. 다른 HTTPS 서버와 마찬가지로 엔드포인트에서 ISE GUI를 탐색할 때마다 ISE는 해당 인증서를 클라이언트 브라우저에 제공하고 클라이언트가 인증서를 신뢰하는 경우 TLS/SSL 터널이 형성됩니다. 그런 다음 클라이언트는 설정된 터널을 통해 필요한 로그인 자격 증명과 추가 요청/응답을 보냅니다. 클라이언트가 인증서를 신뢰하지 않은 경우 브라우저에 경고가 표시되며 대부분의 경우 사용자에게 위험을 수락하고 서버와의 통신 설정을 진행할 수 있는 권한이 제공됩니다. 그러나 클라이언트가 인증서를 신뢰하지 않고 위험을 감수할 의사가 없는 경우 ISE에 대한 HTTPS 연결이 종료됩니다.

 

Example)

cisco ise GUI로 접속하면 cisco ise 발급한 인증서는 자체 인증서이기때문에, 제 컴퓨터 trusted certificate 폴더에 cisco ise 인증서가 없습니다.

그래서 신뢰 하지 않는 인증서라고 표시가 됩니다. 

 

EAP Authentication Certificate:

 

Client(Supplicant)  <---------------------> NAD <--------------------------> ISE

인증서는 가능한 거의 모든 EAP 방법인 EAP-TLS, PEAP 및 EAP-FAST와 함께 사용됩니다. PEAP 및 FAST와 같은 터널링된 EAP 방법에서는 TLS(전송 계층 보안)를 사용하여 자격 증명 교환을 보호합니다. HTTPS 웹 사이트로 이동하는 것과 마찬가지로 클라이언트는 서버에 대한 연결을 설정하고 서버는 해당 인증서를 클라이언트에 제공합니다. 클라이언트가 인증서를 신뢰하면 TLS 터널이 형성됩니다. 클라이언트의 자격 증명은 이 터널이 설정될 때까지 서버로 전송되지 않으므로 보안 교환이 보장됩니다. 보안 액세스 구축에서 클라이언트는 신청자이고 서버는 ISE 정책 서비스 노드입니다. 클라이언트는 서버를 신뢰해야 하며 인증서 내의 키는 통신을 암호화하고 해독하는 데 사용됩니다.

 

Wildcard Certificates:

와일드카드 인증서는 와일드카드 표기법(도메인 이름 앞에 별표와 마침표)을 사용하고 조직의 여러 호스트에서 인증서를 공유할 수 있도록 하는 인증서입니다. 와일드카드 인증서의 주체 이름에 대한 CN 값의 예는 *.test.local과 같습니다. *.test.local을 사용하도록 와일드카드 인증서를 구성하는 경우 동일한 인증서를 사용하여 DNS 이름이 ".test.local"로 끝나는 모든 호스트(예: aaa.test.local, psn.test.local)를 보호할 수 있습니다. 

 

System Certificate:

개별 ISE 노드에 연결된 인증서입니다. 이는 클라이언트 애플리케이션에 대해 Cisco ISE 노드를 식별하는 서버 인증서입니다. 모든 Cisco ISE 노드에는 자체 시스템 인증서가 있으며, 각 인증서는 해당 개인 키와 함께 노드에 저장됩니다.

 

Trusted Certificate:

인증 기관 ISE는 신뢰합니다. 이는 사용자 및 장치로부터 받은 공개 키에 대한 신뢰를 설정하는 데 사용되는 인증 기관(CA) 인증서입니다. 신뢰할 수 있는 인증서 저장소의 인증서는 PAN(기본 관리 노드)에서 관리되며 Cisco ISE 구축의 다른 모든 노드에 자동으로 복제됩니다.

 

Certificate Signing Requests:

CA를 통한 서명 요청을 생성하기 위한 템플릿입니다. 인증 기관(CA)이 서명된 인증서를 발급하려면 CSR(인증서 서명 요청)을 생성하여 CA에 제출해야 합니다. CA(인증 기관)에서 서명을 얻으려면 CSR을 내보낸 다음 CA에 인증서를 보내야 합니다. CA는 인증서에 서명하고 반환합니다.

 

Certificate Authority:

ISE를 CA 서버로 전환하기 위한 설정입니다. Cisco ISE CA(내부 인증 기관)는 직원이 회사 네트워크에서 개인 장치를 사용할 수 있도록 중앙 콘솔에서 엔드포인트에 대한 디지털 인증서를 발급하고 관리합니다.

 

지금까지 [2025][CISCO ISE#20] - Certificate 글을 읽어주셔서 감사합니다.

 

 

안녕하세요.

 

오늘은 Cisco ISE license를 등록 하는 방법에 대해서 알아보겠습니다.

 

Cisco ISE license를 구매할때 아래 정보를 꼭 확인 합니다.

 

SLR방식애 대해서 알아보겠습니다. - 고객사가 보안 차원에서 cisco ise가 인터넷이 불가능 합니다. 

 

1. 고객사에 필요한 라이센스를 구매합니다. 

2. cisco CSSM SA/VA에 라이센스가 있는지 확인 합니다. 

3. cisco ise에서 reservation code를 생성 합니다.

 

4. CSSM을 통해서 라이센스를 다운로드 받습니다.

 

Cisco ISE에서 생성한 reservation code를 입력 합니다. 

 

 

5. cisco ISE에서 라이센스를 등록 합니다. 

6. 라이센스가 제대로 등ㄹ록 되었는지 확인 합니다. 

 

Smart Account를 사용해서 Key를 등록하면 인터넷이 가능하면 자동으로 라이센스 등록도 가능 합니다.

 

지금까지 [2025][CISCO ISE#19] - License Register 글을 읽어주셔서 감사합니다. 

안녕하세요.

 

오늘은 Cisco ISE License에 대해서 알아보겠습니다. 

 

cisco ISE 2.7에서는 영구 라이센스, 구독형 라이센스를 동시에 제공 하였으나, 이후 버전에서는 구독형 라이센스만 제공합니다. 즉 1/3/5 마다 라이센스를 갱신해야 합니다. 

 

고객사 입장에서는 cisco ISE 2.7 downgrade하고 사용 하면 영구적으로 라이센스를 사용 할수 있습니다.

하지만 cisco ISE 2.7 EOS, EOL, EOS되면 TAC엔지니어 support도 받을수 없습니다. 그래도 보안 차원에서 권장 하지 않습니다.

 

** 결국 cisco ISE 라이센스는 구동형입니다. **

 

ISE Subscription Licenses

구독 라이선스는 ISE를 사용하여 네트워크 내에서 관리하고 보호하려는 활성 엔드포인트 수를 기반으로 하는 라이선스를 의미합니다. 이러한 라이선스는 ISE에서 인증, 권한 부여, 모니터링 또는 보호할 수 있는 활성 엔드포인트 수를 결정하므로 ISE 배포의 중요한 부분입니다.

 

ISE Essentials:

ISE Essential은 기본적인 ID 및 액세스 관리 기능을 제공하는 기본 라이선싱 계층입니다. 여기에는 802.1X 기반 네트워크 액세스, 게스트 액세스 관리, 상태 평가, 기본 프로파일링 기능과 같은 기능이 포함되어 있습니다. 이 계층은 네트워크 리소스에 대한 액세스를 제어하기 위해 필수적인 보안 기능을 찾는 조직에 적합합니다.

 

ISE Advantage:

ISE Advantage는 Essential 계층에서 제공되는 기능을 기반으로 구축된 중간 계층 라이선싱 옵션입니다. Essential에서 제공되는 기능 외에도 Advantage에는 프로파일링, BYOD, Cisco pxGrid 통합, TrustSec SGT(보안 그룹 태깅) 시행과 같은 고급 기능이 포함되어 있습니다. 이 계층은 보다 광범위한 정책 시행과 고급 네트워크 액세스 제어 기능이 필요한 조직에 적합합니다.

 

ISE Premier:

Cisco ISE Premier는 Cisco ISE에 사용할 수 있는 가장 높은 라이선싱 계층입니다. 이는 Essential 및 Advantage 계층에서 제공되는 모든 기능을 포함하며 엔드포인트 규정 준수, MDM 및 Posture와 같은 보안 자동화 통합, 고급 위협 억제 및 가시성 기능 TC-NAC와 같은 향상된 기능을 추가합니다. 이 계층은 복잡한 네트워크 환경과 고급 보안 요구 사항이 있는 조직에 적합합니다.

 

 

Table 2.           ISE licensing consumption

Feature License tier Dictionary/attribute Trigger of license consumption When license is released
AAA and 802.1X Essentials   An endpoint establishes a RADIUS session RADIUS session ends
Guest Essentials   An endpoint with RADIUS session uses any Guest authorization RADIUS session ends
Easy Connect (PassiveID) Essentials   An endpoint with a RADIUS session uses any Easy Connect functionality RADIUS session ends
Profiling Advantage EndPoints.EndPointPolicy
EndPoints.LogicalProfile
An endpoint with a RADIUS session uses profiling classification in an authorization policy RADIUS session ends
BYOD
(+CA, MDP)
Advantage EndPoints.BYODRegistration An endpoint with a RADIUS session uses its registration status in an authorization policy RADIUS session ends
pxGrid, pxGrid Cloud, and pxGrid Direct (Context In or Out with Cisco and external third-party products) Advantage   An endpoint with a RADIUS session connects over pxGrid RADIUS session ends
Integrations
(non-pxGrid)
Advantage   An endpoint establishes a RADIUS session RADIUS session ends
Group-Based Policy (Cisco TrustSec®) Advantage    An endpoint establishes a RADIUS session RADIUS session ends
Endpoint Analytics Visibility/ Enforcement Advantage CMDB_MODELCATEGORY
CMDB_SERIAL_NUMBER
CONCURRENT_MAC_ADDRESS
EA_DEVICE_TYPE
EA_HIERARCHY
EA_MANUFACTURER
EA_HW_MODEL
CHANGE_IN_MFC_RESULT
NAT_DETECTION_RESULT
EA_OS
When you use these conditions, it’s going to be under Enforcement. If not, it’s just for visibility.  
Cisco AnyConnect® with Agent Premier Session.PostureStatus An endpoint with a RADIUS session receives an authorization based on a posture status other than “Not applicable” RADIUS session ends
Mobile device management (MDM) Premier MDM.DevicelsRegistered
MDM.DeviceCompliantStatus
An endpoint uses an MDM attribute in an authorization policy RADIUS session ends
Threat-Centric Network Admission Control (TC-NAC) Premier   An endpoint uses or triggers threat-based information or action as part of the authorization policy RADIUS session ends
RTC (ANC) Advantage Session:ANCPolicy An endpoint with a RADIUS session uses Adaptive Network Control (ANC) policy in an authorization policy RADIUS session ends
User Defined Network Advantage UDN:Private-group-id
UDN:Private-group-name
UDN:Private-group-owner
An endpoint with RADIUS uses a UDN attribute in an authorization policy RADIUS sessions ends

 

Reference - 자세한 내용은 Cisco 공식 홈페이지에서 참고 부탁드립니다.

https://www.cisco.com/c/en/us/products/collateral/security/identity-services-engine/ise-licensing-guide-og.html

 

Cisco Identity Services Engine - Cisco ISE Licensing Guide

Comprehensive guide for CISCO ISE Licensing provides information related to new ISE releases, Ordering and migrating of ISE licenses, and FAQs.

www.cisco.com

 

아래처럼 Licensing 클릭 하면 정보를 확인 가능 합니다. 

 

Device Admin 

TACACS+기능을 의미 합니다. 장비에 AAA를 설정해서 Authentication, Authorization, Audit 기능을 제공합니다.

이 부분은 구독형 라이센스가 아니라 영구 라이센스 방식 입니다. 

 

2. 라이센스 등록 방법. 

2-1 License 구매

2-2 구매한 곳에서 License를 CSSM SA/VA 계정에 옮깁니다. 

2-3 cisco ise가 인터넷이 가능 하면 CSSM을 통해서 라이센스 관리 하도록 설정

2-4 cisco ise가 인터넷이 불가능 하면 SLR방식으로 라이센스를 수동으로 cisco ISE등록 합니다. 

 

 

지금까지 [2025][CISCO ISE#18] - License 글을 읽어주 셔서 감사합니다.

안녕하세요.

 

오늘은 cisco ise persona에 대해서 좀 더 상세히 알아보겠습니다.

 

저번 글에서 cisco ise persona는 4가지가 있다고 설명 하였습니다. 

 

Policy Services Node(PSN) - Makes policy decisions, RADIUS/TACACS+ Servers 

Policy Administration Node(PAN) - Single Plane of glass for ISE admin, Replication hg for all database config changes

Monitoring and Troubleshooting Node (MnT) - Reporting and logging node, syslog collector from ISE nodes

pxGrid Contoller - Facilitates sharing of conext 

 

** PAN **

1. GUI로 기능들을 설정 할수 있습니다.

2. PAN은 다른 NODE를 SYN 합니다. 

3. PAN HA - 최대 2개 Node만 지원합니다. 그리거 Active/Standby 기능만 지원 합니다. 

4. GUI 설정/수정/삭제 등을 하면 PAN은 설정값을 PSN으로 Push합니다. 

 

** PSN **

1. 인증,권한 등을 처리 합니다.

2. PSN HA, 최대 50개 까지 가능합니다. Active/Active로 동작 합니다. 

3. PSN은 Network Access, Posture, Guest access, Client provisioning * Profiling 서비스를 제공합니다. 

4. Radius/Tacacs기능을 수행합니다.

5. COA, Posturing and Profileling Service를 기능을 수행합니다. 

6. Bulit-in CA기능도 수행합니다.

7. Authentication request 받고 인증된 사용자 또는 단말기인지를 확인 합니다. 

8. PSN은 직접 External identity store 통신합니다. 

 

** MnT  **

1. Log를 수집하는 역활을 하고 Log 관련 정보를 확인 가능 합니다.

2. Log는 cisco ISE 자체 storage에 저장 됩니다. 

3. Troubleshoot에 필요한 Tools도 제공합니다.

4. MnT HA Node는 최대 2개입니다. - Active/Standby만 지원

5. Active/Standby node 모두다 Log를 저장합니다. 

6. Report를 생성 할 수 있습니다. 

7. MnT는 PAn, PSN, RADIUS & TACACS 등에 로그들 수집합니다. 

 

**pxGrid **

1. 외부 Third pard vendor랑 연동 할때 사용 합니다. 

 

 

아래 사진에 보시면 Operations이 MnT에 해당 됩니다. 

 

1. Administration -> system -> Deployment 클릭 합니다. 

 

2. ise01를 클릭 합니다. 

 

 

위에 사진처럼 현재 어떤 Persona가 Enable되어져 있고 동작중인지 확인 가능 합니다. 

위에 사진에 pxGrid를 Enable하면, 현재 cisco ISE standalone으로 동작중이고 아래처럼 4가지 Persona기능을 하고 있습니다.

 

만약에 HA로 구성하면 어떤 ISE Node가 어떤 Persona기능을 할지 선택 가능 합니다.

 

지금 까지 [2025][CISCO ISE#17] - Personas 글을 읽어주셔서 감사합니다. 

안녕하세요.

 

이번에는 Cisco ISE Deployment Terminology에 대해서 알아보겠습니다.

 

기본적으로 아래 용어를 많이 사용 합니다.

 

Service: 서비스는 네트워크 액세스, 프로파일러, 상태, 보안 그룹 액세스, 모니터링 및 문제 해결 등과 같이 페르소나가 제공하는 특정 기능입니다.

 

Node: 노드는 Cisco ISE 소프트웨어를 실행하는 개별 인스턴스입니다. Cisco ISE는 어플라이언스로 사용할 수 있을 뿐만 아니라 VMware에서 실행할 수 있는 소프트웨어로도 사용할 수 있습니다. Cisco ISE 소프트웨어를 실행하는 각 인스턴스(어플라이언스 또는 VMware)를 노드라고 합니다.

 

Persona: 노드의 Persona는 노드가 제공하는 서비스를 결정합니다. Cisco ISE 노드는 관리, 정책 서비스, 모니터링, pxGrid 등의 Persona 는 관리 포털을 통해 사용할 수 있는 메뉴 옵션은 Cisco ISE 노드가 맡은 역할과 Persona에 따라 다릅니다.

 

Deployment Model: Standalone 또는 High Availability 등으로 구성 가능 합니다. 

 

여기에서 Persona에 대해서 더 알아보도록 하겠습니다. 

 

Policy Services Node(PSN) - Makes policy decisions, RADIUS/TACACS+ Servers 

Policy Administration Node(PAN) - Single Plane of glass for ISE admin, Replication hg for all database config changes

Monitoring and Troubleshooting Node (MnT) - Reporting and logging node, syslog collector from ISE nodes

pxGrid Contoller - Facilitates sharing of conext 

 

 

Standard-alone일때 동작 방식은 아래와 같습니다. 

 

High Availablity 

PAN - Active/Standby 역활만 가능 합니다. Active/Active 지원하지 않습니다.

PSN - Active/Active 역활만 가능 합니다.

MnT - Active/Standby 역활만 가능 합니다.  Active/Active 지원하지 않습니다.

pxGrid - Active/Active 역활만 가능 합니다. 

 

 

Reference: 자세한 내용은 Cisco 홈페이지를 확인 부탁드립니다.  

 

https://www.cisco.com/c/en/us/td/docs/security/ise/3-0/admin_guide/b_ISE_admin_3_0/b_ISE_admin_30_deployment.html

 

Cisco Identity Services Engine Administrator Guide, Release 3.0 - Deployment of Cisco ISE [Cisco Identity Services Engine 3.0]

Deployment of Cisco ISE

www.cisco.com

 

cisco ISE design guide 

https://www.cisco.com/c/en/us/td/docs/security/ise/performance_and_scalability/b_ise_perf_and_scale.html

 

Performance and Scalability Guide for Cisco Identity Services Engine

This document lists the performance and scalability metrics for Cisco ISE.

www.cisco.com

 

지금까지 [2025][CISCO ISE#16] - Deployment Terminology 글을 읽어주셔서 감사합니다. 

'CISCO > CISCO ISE' 카테고리의 다른 글

[2025][CISCO ISE#18] - License  (0) 2025.01.06
[2025][CISCO ISE#17] - Personas  (0) 2025.01.06
[2025][CISCO ISE#15] - Dashboard  (0) 2025.01.06
[2025][CISCO ISE#14] - WLC configuration  (0) 2025.01.05
[2025][CISCO ISE#13] - File Server  (0) 2025.01.05

+ Recent posts