소개
이 문서에서는 Azure 가상 머신을 사용하여 Cisco ISE IOS 인스턴스를 설치하는 방법에 대해 설명합니다. Cisco ISE IOS는 Azure 클라우드 서비스에서 사용할 수 있습니다.
사전 요구 사항
요구 사항
서브스크립션 및 리소스 그룹에 대한 지식이 있는 것이 좋습니다.
사용된 구성 요소
이 문서의 내용은 이러한 소프트웨어 및 클라우드 서비스를 기반으로 합니다.
- Cisco ISE 버전 3.2.
- Microsoft Azure 클라우드 서비스
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
절차
All Services(모든 서비스) > Subscriptions(서브스크립션)로 이동합니다. 활성 구독을 사용하는 Azure 계정 및 Microsoft와의 엔터프라이즈 계약이 있는지 확인합니다. 공간을 예약하는 명령을 실행하려면 Microsoft PowerShell Azure 모듈 CLI를 사용하십시오. (Power Shell 및 관련 패키지를 설치하기 위한 Azure PowerShell 설치 방법을 참조하십시오.)
참고: 테넌트 ID를 실제 테넌트 ID로 교체합니다.
전제 조건:Azure VMware 솔루션에 대한 호스트 할당량 요청 자세히 알아보십시오.
오른쪽 서브스크립션 후 리소스 그룹을 만들고 All Services(모든 서비스) > Resource groups(리소스 그룹)로 이동합니다. Add(추가)를 클릭합니다. 리소스 그룹 이름을 입력합니다.
가상 네트워크 및 보안 그룹
인터넷 연결이 필요한 서브넷에는 다음 홉을 인터넷으로 사용하도록 경로 테이블이 구성되어 있어야 합니다. 공용 및 사설 서브네트워크의 예를 참조하십시오. 공용 IP를 사용하는 PAN은 오프라인 피드 업데이트와 온라인 피드 업데이트가 모두 작동하지만 사설 IP를 사용하는 PAN은 오프라인 피드 업데이트를 사용해야 합니다.
SSH 키 쌍 생성
a. Azure Web Portal 홈 페이지의 검색 표시줄을 사용하여 SSH 키를 검색합니다.
b. 다음 창에서 생성을 클릭합니다.
c. 다음 창에서 자원 그룹과 키 이름을 선택합니다. 그런 다음 Review + Create를 클릭합니다.
d. 그런 다음 Create and download Private Key를 클릭합니다.
Cisco ISE에서 지원되는 Azure VM 크기
- Fsv2-series Azure VM 크기는 컴퓨팅에 최적화되어 있으며 컴퓨팅 집약적인 작업 및 애플리케이션을 위한 PSN으로 사용하기에 가장 적합합니다.
- Dsv4 시리즈는 PAN 또는 MnT 노드 또는 둘 다로 사용하기에 가장 적합한 범용 Azure VM 크기이며 데이터 처리 작업 및 데이터베이스 작업에 사용됩니다.
범용 인스턴스를 PSN으로 사용하는 경우 성능 수치가 컴퓨팅 최적화 인스턴스의 성능을 PSN으로 사용하는 것보다 낮습니다. Standard_D8s_v4 VM 크기는 초소형 PSN으로만 사용해야 합니다.
참고: 기존 Azure 클라우드 이미지를 복제하여 Cisco ISE 인스턴스를 만들지 마십시오. 이렇게 하면 생성된 ISE 시스템에서 무작위로 예기치 않은 오작동을 일으킬 수 있습니다.
Microsoft Azure 클라우드 서비스의 Cisco ISE 제한 사항
-
Azure 가상 컴퓨터를 사용하여 Cisco ISE를 만드는 경우, 기본적으로 Microsoft Azure는 DHCP 서버를 통해 VM에 사설 IP 주소를 할당합니다. Microsoft Azure에서 Cisco ISE 배포를 만들기 전에 Microsoft Azure에서 할당한 IP 주소로 정방향 및 역방향 DNS 항목을 업데이트해야 합니다.
또는 Cisco ISE를 설치한 후 Microsoft Azure에서 네트워크 인터페이스 개체를 업데이트하여 VM에 고정 IP 주소를 할당합니다.
-
VM을 중지합니다.
-
VM의 Private IP address settings(프라이빗 IP 주소 설정) 영역의 Assignment(할당) 영역에서 Static(고정)을 클릭합니다.
-
VM을 다시 시작합니다.
-
Cisco ISE 직렬 콘솔에서 IP 주소를 Gi0로 할당합니다.
-
Cisco ISE 애플리케이션 서버를 다시 시작합니다.
-
이중 NIC는 2개의 NIC(기가비트 이더넷 0 및 기가비트 이더넷 1)에서만 지원됩니다. Cisco ISE 인스턴스에서 보조 NIC를 구성하려면 먼저 Azure에서 네트워크 인터페이스 개체를 만들고 Cisco ISE 인스턴스의 전원을 끈 다음 이 네트워크 인터페이스 개체를 Cisco ISE에 연결해야 합니다. Azure에서 Cisco ISE를 설치하고 시작한 후 Cisco ISE CLI를 사용하여 네트워크 인터페이스 개체의 IP 주소를 보조 NIC로 수동으로 구성합니다.
- Cisco ISE 업그레이드 워크플로는 Microsoft Azure의 Cisco ISE에서 사용할 수 없습니다. 신규 설치만 지원됩니다. 그러나 컨피그레이션 데이터의 백업 및 복원을 수행할 수 있습니다.
- 퍼블릭 클라우드는 레이어 3 기능만 지원합니다. Microsoft Azure의 Cisco ISE 노드는 레이어 2 기능에 의존하는 Cisco ISE 기능을 지원하지 않습니다. 예를 들어, Cisco ISE CLI를 통해 DHCP SPAN 프로 파 일러 프로브 및 CDP 프로토콜 기능을 사용 하는 기능은 현재 지원 되지 않습니다.
- 컨피그레이션 데이터의 복원 및 백업 기능을 수행할 때 백업 작업이 완료된 후 먼저 CLI를 통해 Cisco ISE를 다시 시작합니다. 그런 다음 Cisco ISE GUI에서 복원 작업을 시작합니다.
- 비밀번호 기반 인증을 사용하는 Cisco ISE CLI에 대한 SSH 액세스는 Azure에서 지원되지 않습니다. 키 쌍을 통해서만 Cisco ISE CLI에 액세스할 수 있으며 이 키 쌍은 안전하게 저장해야 합니다. 개인 키 (또는 PEM) 파일을 사용 하는 경우 파일을 잃어 버리면 Cisco ISE CLI에 액세스 할 수 없습니다. Cisco ISE CLI에 액세스하기 위해 비밀번호 기반 인증 방법을 사용하는 통합은 지원되지 않습니다(예: Cisco DNA Center Release 2.1.2 이하).
-
Azure에서 Cisco ISE IOS를 구축하는 경우 일반적으로 DMVPN(Dynamic Multipoint Virtual Private Network) 및 SD-WAN(Software-Defined Wide Area Network)과 같은 VPN 솔루션을 활용합니다. 여기서 IPSec 터널 오버헤드는 MTU 및 프래그먼트화 문제를 일으킬 수 있습니다. 이러한 시나리오에서 Cisco ISE IOS는 전체 RADIUS 패킷을 수신하지 않으며, 실패 오류 로그를 트리거하지 않고 인증 실패가 발생합니다.
가능한 해결 방법은 Azure에서 잘못된 조각이 삭제되는 대신 대상에 전달되도록 허용할 수 있는 솔루션을 탐색하기 위해 Microsoft 기술 지원을 찾는 것입니다.
- CLI 관리자 사용자는 'iseadmin'이어야 합니다.
구성
Azure 클라우드에 연결된 ISE 구축의 예
설정
- 1단계. Azure 포털로 이동하여 Microsoft Azure 계정에 로그인합니다.
- 2단계. Marketplace를 검색하려면 창 상단의 검색 필드를 사용합니다.
- 3단계. Cisco ISE(Identity Services Engine)를 검색하려면 Search the Marketplace 검색 필드를 사용하십시오.
- 4단계. Virtual Machine(가상 머신)을 클릭합니다.
- 5단계. 표시되는 새 창에서 생성을 클릭합니다.
- 6단계. Basics(기본) 탭에서 다음을 수행합니다.
a. Project details(프로젝트 세부 정보) 영역의 Subscription(서브스크립션) 및 Resourcegroup(리소스 그룹) 드롭다운 목록에서 필요한 값을 선택합니다
b. Instance details(인스턴스 세부 정보) 영역의 Virtual Machine name(가상 머신 이름) 필드에 값을 입력합니다.
c. Image 드롭다운 목록에서 Cisco ISE 이미지를 선택합니다.
d. Size 드롭다운 목록에서 Cisco ISE를 설치할 인스턴스 크기를 선택합니다. Azure Cloud라는 제목의 표에 나열된 대로 Cisco ISE에서 지원하는 인스턴스를 선택합니다.
Cisco ISE에서 지원하는 인스턴스는 Azure Cloud의 Cisco ISE 섹션에 있습니다.
e. Administrator account(관리자 계정) > Authentication type(인증 유형) 영역에서 SSH Public Key(SSH 공개 키) 라디오 버튼을 클릭합니다.
f. Username(사용자 이름) 필드에 iseadmin을 입력합니다.
g. SSH 공개 키 소스 드롭다운 목록에서 Azure에 저장된 기존 키 사용을 선택합니다.
h. Stored keys 드롭다운 목록에서 이 작업의 전제 조건으로 생성한 키 쌍을 선택합니다.
j. Inbound port rules(인바운드 포트 규칙) 영역에서 Allow selected ports(선택한 포트 허용) 라디오 버튼을 클릭합니다.
k. Licensing(라이센싱) 영역의 Licensing type(라이센싱 유형) 드롭다운 목록에서 Other(기타)를 선택합니다.
가상 컴퓨터 만들기
- 7단계. Next(다음): Disks(디스크)를 클릭합니다.
- 8단계. Disks(디스크) 탭에서 필수 필드의 기본값을 유지하고 Next(다음): Networking(네트워킹)을 클릭합니다.
참고: The Disk Type(디스크 유형)에는 드롭다운 목록에서 선택할 수 있는 옵션이 더 있습니다. 고객의 요구 사항에 부합하는 제품을 선택할 수 있습니다. 프로덕션 및 성능에 민감한 워크로드에는 프리미엄 SSD를 사용하는 것이 좋습니다.
- 9단계. Network Interface(네트워크 인터페이스) 영역의 Virtual network, Subnet(가상 네트워크) 및 Configure Network Security Group(네트워크 보안 그룹 구성) 드롭다운 목록에서 생성한 가상 네트워크 및 서브넷을 선택합니다.
참고: 공용 IP 주소의 서브넷은 온라인 및 오프라인 상태 피드 업데이트를 수신하는 반면, 사설 IP 주소의 서브넷은 오프라인 상태 피드 업데이트만 수신합니다.
- 10단계. Next(다음): Management(관리)를 클릭합니다.
- 11단계. Management(관리) 탭에서 필수 필드의 기본값을 유지하고 Next(다음): Advanced(고급)를 클릭합니다.
- 12단계. User data(사용자 데이터) 영역에서 Enable user data(사용자 데이터 활성화) 확인란을 선택합니다.
User data(사용자 데이터) 필드에 다음 정보를 입력합니다.
hostname=<Cisco ISE의 호스트 이름>
primarynameserver=<IPv4 주소>
dnsdomain=<도메인 이름>
ntpserver=<IPv4 주소 또는 NTP 서버의 FQDN>
timezone=<timezone>
password=<password>
ersapi=<yes/no>
openapi=<yes/no>
pxGrid=<yes/no>
pxgrid_cloud=<yes/no>
참고: 사용자 데이터 항목을 통해 구성하는 각 필드에 대해 올바른 구문을 사용해야 합니다. User data 필드에 입력하는 정보는 입력 시 검증되지 않습니다. 잘못된 구문을 사용하는 경우 이미지를 시작할 때 Cisco ISE 서비스가 나타나지 않습니다.
사용자 데이터 필드를 통해 제출해야 하는 구성에 대한 지침을 참조하십시오.
a. hostname: 영숫자와 하이픈(-)만 포함된 호스트 이름을 입력합니다. 호스트 이름의 길이는 19자를 초과할 수 없으며 밑줄(_)을 포함할 수 없습니다.
b. 주 이름 서버: 주 이름 서버의 IP 주소를 입력합니다. IPv4 주소만 지원됩니다.
이 단계에서는 DNS 서버를 하나만 추가할 수 있습니다. 설치 후 Cisco ISE CLI를 통해 추가 DNS 서버를 추가 할 수 있습니다.
c. dnsdomain: DNS 도메인의 FQDN을 입력합니다. 항목은 ASCII 문자, 숫자, 하이픈(-) 및 마침표(.)를 포함할 수 있습니다.
d. ntpserver: 동기화에 사용해야 하는 NTP 서버의 IPv4 주소 또는 FQDN을 입력합니다.
이 단계에서는 NTP 서버를 하나만 추가할 수 있습니다. 설치 후 Cisco ISE CLI를 통해 추가 NTP 서버를 추가 할 수 있습니다. ISE 작업에 필요하므로 유효하고 연결 가능한 NTP 서버를 사용합니다.
e. 표준 시간대: 표준 시간대(예: Etc/UTC)를 입력합니다. 모든 Cisco ISE 노드를 UTC(Coordinated Universal Time) 표준 시간대로 설정하는 것이 좋습니다. 특히 Cisco ISE 노드가 분산 형 구축에 설치되어 있는 경우에는 더욱 그렇습니다. 이 절차를 수행하면 구축의 다양한 노드에서 보고서 및 로그의 타임스탬프가 항상 동기화됩니다.
f. password: Cisco ISE에 대한 GUI 기반 로그인을 위한 비밀번호를 구성합니다. 입력하는 비밀번호는 Cisco ISE 비밀번호 정책을 준수해야 합니다. 비밀번호는 6-25자여야 하며 숫자, 대문자 및 소문자를 각각 하나 이상 포함해야 합니다. 비밀번호는 사용자 이름 또는 그 역방향(iseadmin 또는 nimdaesi), cisco 또는 ocsic과 같을 수 없습니다. 허용되는 특수 문자는 @~*!,+=_-입니다. 릴리스에 대한 Cisco ISE 관리자 가이드의 '기본 설정' 장에서 '사용자 비밀번호 정책' 섹션을 참조하십시오.
g. ersapi: ERS를 활성화하려면 yes를 입력하고 ERS를 허용하지 않으려면 no를 입력합니다.
h. openapi: OpenAPI를 활성화하려면 yes를 입력하고 OpenAPI를 허용하지 않으려면 no를 입력합니다.
i. pxGrid: pxGrid를 활성화하려면 yes를 입력하고 pxGrid를 허용하지 않으려면 no를 입력합니다.
j. pxgrid_cloud: pxGrid Cloud를 활성화하려면 yes를 입력하고 pxGrid Cloud를 허용하지 않으려면 no를 입력합니다. pxGrid 클라우드를 활성화하려면 pxGrid를 활성화해야 합니다. pxGrid를 허용하지 않지만 pxGrid Cloud를 활성화한 경우, pxGrid Cloud 서비스는 실행 시 활성화되지 않습니다.
사용자 데이터 섹션
- 13단계. Next(다음): Tags(태그)를 클릭합니다.
- 14단계. 자원을 분류하고 여러 자원과 자원 그룹을 통합할 수 있는 이름-값 쌍을 생성하려면 이름 및 값 필드에 값을 입력합니다.
- 15단계. Next(다음): Review(검토) + Create(생성)를 클릭합니다.
- 16단계. 지금까지 제공한 정보를 검토하고 Create(생성)를 클릭합니다.
Deployment is in progress 창이 표시됩니다. Cisco ISE 인스턴스를 생성하고 사용할 수 있는 데 약 30분 정도 소요됩니다. Cisco ISE VM 인스턴스가 가상 시스템 창(창을 찾으려면 기본 검색 필드를 사용합니다.)
향후 작업
Microsoft Azure 기본 설정 때문에 생성한 Cisco ISE VM은 300GB 디스크 크기로만 구성됩니다. Cisco ISE 노드는 일반적으로 300GB 이상의 디스크 크기가 필요합니다. Microsoft Azure에서 Cisco ISE를 처음 시작할 때 Insufficient Virtual Memory(가상 메모리 부족) 경보를 볼 수 있습니다.
Cisco ISE VM 생성이 완료되면 Cisco ISE 관리 포털에 로그인하여 Cisco ISE가 설정되었는지 확인합니다. 그런 다음 Microsoft Azure 포털에서 디스크 크기를 편집하기 위해 가상 컴퓨터 창에서 다음 단계를 수행하고 완료합니다.
1. Cisco ISE 인스턴스를 중지합니다.
2. 왼쪽 창에서 디스크를 클릭하고 Cisco ISE와 함께 사용 중인 디스크를 클릭합니다.
3. 왼쪽 창에서 크기 + 성능을 클릭합니다.
4. Custom disk size(사용자 지정 디스크 크기) 필드에 원하는 디스크 크기를 GiB로 입력합니다.
설치 후 작업
Cisco ISE 인스턴스를 성공적으로 생성한 후 수행해야 하는 설치 후 작업에 대한 자세한 내용은 Cisco ISE 릴리스의 Cisco ISE 설치 가이드에서 '설치 확인 및 설치 후 작업' 장을 참조하십시오.
Azure 클라우드에서 암호 복구 및 재설정
Cisco ISE 가상 머신 비밀번호를 재설정하거나 복구하는 데 도움이 되는 작업을 완료합니다. 필요한 작업을 선택하고 세부 단계를 수행합니다.
1. 직렬 콘솔을 통해 Cisco ISE GUI 비밀번호 재설정
- 1단계. Azure Cloud에 로그인하고 Cisco ISE 가상 머신을 포함하는 리소스 그룹을 선택합니다.
- 2단계. 리소스 목록에서 비밀번호를 재설정하려는 Cisco ISE 인스턴스를 클릭합니다.
- 3단계. 왼쪽 메뉴에서 Support + Troubleshooting(지원 + 문제 해결) 섹션에서 Serial Console(직렬 콘솔)을 클릭합니다.
- 4단계. 여기에 오류 메시지가 표시되면 전체 단계를 수행하여 부팅 진단을 활성화해야 합니다.
a. 왼쪽 메뉴에서 Boot Diagnostics(진단 부팅)를 클릭합니다.
b. 사용자 지정 저장소 계정으로 활성화를 클릭합니다. 그런 다음 Save를 클릭합니다.
- 5단계. 왼쪽 메뉴에서 Support + Troubleshooting(지원 + 문제 해결) 섹션에서 Serial Console(직렬 콘솔)을 클릭합니다. Azure 클라우드 셸이 새 창에 표시됩니다. 화면이 검은색인 경우 로그인 프롬프트를 보려면 Enter를 누릅니다.
- 8단계. 직렬 콘솔에 로그인합니다. 직렬 콘솔에 로그인하려면 인스턴스 설치 시 구성된 원래 비밀번호를 사용해야 합니다.
- 9단계. iseadmin 계정에 대한 새 GUI 비밀번호를 구성하려면 application reset-passwd ise iseadmin 명령을 사용합니다.
2. SSH 액세스를 위한 새 공개 키 쌍 생성
이 작업을 통해 저장소에 키 쌍을 추가합니다. Cisco ISE 인스턴스 컨피그레이션 시 생성된 기존 키 쌍은 사용자가 생성한 새 공개 키로 대체되지 않습니다.
- 1단계. Azure Cloud에서 새 공개 키를 만듭니다.
Download private key(개인 키 다운로드)를 선택하고 SSH 키를 .pem 파일로 다운로드하는 리소스를 만들 수 있는 팝업 창이 나타납니다.
- 2단계. 공개 키를 저장할 새 리포지토리를 만들려면 Azure Repos 설명서를 참조하십시오. CLI를 통해 액세스할 수 있는 리포지토리가 이미 있는 경우 3단계로 건너뜁니다.
- 3단계. 새 공개 키를 가져오려면 crypto key import <public key filename> repository <repository name> 명령을 사용합니다.
- 4단계. 가져오기가 완료되면 새 공개 키를 사용하여 SSH를 통해 Cisco ISE에 로그인할 수 있습니다.