AWS에서 ISE(Identity Services Engine) 버전 3.4 배포

소개

이 문서에서는 CFT(CloudFormation Template) 및 AMI(Amazon Machine Image)를 사용하여 AWS에서 Cisco ISE를 구성하는 방법에 대해 설명합니다.

사전 요구 사항

요구 사항

Cisco에서는 이 구축을 진행하기 전에 다음 항목에 대해 미리 알고 있는 것이 좋습니다.

• Cisco ISE(Identity Services Engine)
• AWS EC2 인스턴스 관리 및 네트워킹
• SSH 키 쌍 생성 및 사용
• AWS의 VPC, 보안 그룹 및 DNS/NTP 구성에 대한 기본 이해

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• Identity Services Engine(ISE) 
• Amazon Web Services(AWS) 클라우드 콘솔

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

구성

1부: SSH 키 쌍 생성

1. 이 구축에서는 기존 키 쌍을 사용하거나 새 키 쌍을 생성할 수 있습니다.

2. 새 쌍을 생성하려면 EC2 > Network and Security > Key Pairs로 이동하고 Create key pair를 클릭합니다.

3. 키 쌍 이름을 입력하고 키 쌍 생성을 클릭합니다.

키 쌍 파일(.pem)이 로컬 시스템에 다운로드됩니다. EC2 인스턴스를 시작한 후에는 이 방법만이 EC2 인스턴스에 액세스할 수 있으므로 이 파일을 안전하게 유지해야 합니다.

2부: CFT(CloudFormation Template)를 사용하여 ISE 구성

1. AWS Management Console에 로그인하여 AWS Marketplace 서브스크립션을 검색합니다.

2. 검색 표시줄에서 cisco ise를 입력하고 결과에서 Cisco ISE(Identity Services Engine)를 클릭합니다. 가입을 클릭합니다.

3. 가입 후 Launch Your Software(소프트웨어 시작)를 클릭합니다.

4. Fulfillment 옵션에서 CloudFormation 템플릿을 선택합니다. 인스턴스를 구축할 소프트웨어 버전(ISE 버전) 및 지역을 선택합니다. Continue(계속)를 클릭하여 시작합니다.

5. 다음 페이지에서 작업으로 CloudFormation 실행을 선택하고 실행을 클릭합니다.

6. 스택 설정에서 기본 설정을 유지하고 다음을 클릭합니다.

7. 필수 매개변수를 입력합니다.

• 스택 이름: 스택의 고유한 이름을 제공합니다.
• 호스트 이름: ISE 노드의 호스트 이름을 할당합니다.
• 키 쌍: 나중에 EC2 인스턴스에 액세스하기 위해 생성되었거나 이미 존재하는 키 쌍을 선택합니다.
• 관리 보안 그룹: 

  • 기본 보안 그룹(표시된 대로)을 사용하거나 EC2 대시보드를 통해 사용자 지정 보안 그룹을 생성합니다.

  • 새 보안 그룹을 생성하려면 EC2 Dashboard(EC2 대시보드)로 이동하고 Network and Security(네트워크 및 보안) > Security Groups(보안 그룹)로 이동하여 새 보안 그룹을 생성합니다.
  • 보안 그룹 생성을 클릭하고 필요한 세부사항을 입력합니다.

  • 필요한 인바운드 및 아웃바운드 트래픽을 허용하도록 보안 그룹이 구성되었는지 확인합니다. 예를 들어 CLI 액세스를 위해 IP 주소에서 SSH(포트 22) 액세스를 활성화합니다.
    
    
    
    
    

  • SSH 액세스가 제대로 구성되지 않은 경우 SSH를 통해 연결을 시도할 때 "작업 시간 초과" 오류가 발생할 수 있습니다.
    
    
    
    
    

  • HTTP/HTTPS 액세스가 구성되지 않은 경우 GUI 액세스를 시도할 때 "이 사이트에 연결할 수 없습니다." 오류가 표시될 수 있습니다.
    
    
    
    
    

• 관리 네트워크: 기존 서브넷 중 하나가 선택됩니다.

설계에 AWS에서 호스팅하는 일부 노드와 온프레미스에서 호스팅하는 다른 노드를 사용하여 분산 배포해야 하는 경우 프라이빗 서브넷을 사용하여 전용 VPC를 구성하고 온프레미스 VPN 헤드엔드 디바이스에 대한 VPN 터널을 설정하여 AWS 호스팅 노드와 온프레미스 ISE 노드 간의 연결을 활성화합니다.

VPN 헤드엔드 디바이스 구성에 대한 자세한 단계는 이 가이드를 참조하십시오.

8. EBS 암호화

• 아래로 스크롤하여 EBS 암호화 설정을 찾습니다.
• 특정 암호화가 필요하지 않은 경우 EBS 암호화를 False로 설정합니다.
  
  

9. 네트워크 구성 

• 아래로 스크롤하여 DNS 도메인, 기본 이름 서버, 기본 NTP 서버와 같은 네트워크 설정 구성을 위한 옵션에 액세스합니다. 

  이러한 값을 정확하게 입력해야 합니다.

  

  참고: 여기에 잘못된 구문이 있으면 구축 후 ISE 서비스가 제대로 시작되지 않을 수 있습니다.

10. 서비스 및 이용자 현황

• 아래로 스크롤하여 ERS 및 pxGrid 서비스를 활성화하는 옵션을 찾습니다
• 예 또는 아니오를 선택하여 ERS 및 pxGrid 서비스를 활성화할지 여부를 선택합니다.
• User Details(사용자 세부사항)에서 기본 관리자 사용자의 비밀번호를 설정합니다.

• Next(다음)를 클릭합니다.

11. 스택 옵션을 구성합니다.

• 모든 기본 옵션을 그대로 두고 다음을 클릭합니다.

12. 템플리트를 검토하여 모든 구성이 정확한지 확인한 후 실행을 누릅니다. 템플릿이 빌드되면 아래 예와 유사합니다.

13. 스택 세부 정보에 액세스합니다.
CloudFormation > Stacks(스택)로 이동하여 구축된 스택을 찾습니다.

14. 출력 조회 탭:

스택을 선택하고 Outputs(출력) 탭을 엽니다. 여기에서 다음과 같은 구축 프로세스 중에 생성된 중요한 정보를 확인할 수 있습니다.

· 가용 영역: 리소스가 배포되는 지역입니다.

· 인스턴스 ID: 배포된 인스턴스의 고유 식별자입니다.

· DNS 이름: 원격 액세스에 사용할 수 있는 인스턴스의 비공개 DNS 이름입니다.

•IP 주소: 컨피그레이션에 따라 인스턴스의 퍼블릭 또는 프라이빗 IP 주소.

이 정보는 인스턴스에 연결하고 인스턴스의 가용성을 확인하는 데 도움이 됩니다. 출력 탭은 다음 예와 유사합니다.

3부: Amazon 머신 이미지(AMI)를 사용하여 ISE 구성

1. AWS Management Console에 로그인하고 AWS Marketplace 서브스크립션을 검색합니다.

2. 검색 표시줄에서 cisco ise를 입력하고 결과에서 Cisco ISE(Identity Services Engine)를 클릭합니다.
   
   AWS Markeplace의 ISE
   
   

3. View purchase options(구매 옵션 보기)를 클릭합니다.
   
   

4. 소프트웨어 시작을 클릭합니다.




5. Fulfillment 옵션에서 Amazon 머신 이미지를 선택합니다. 원하는 소프트웨어 버전과 지역을 선택합니다¶ Continue(계속)를 클릭하여 시작합니다.

6. 조치 선택 아래에서 EC2를 통해 실행을 선택합니다. 실행을 눌러 진행합니다.

7 . 인스턴스 설정을 구성하기 위해 EC2 Launch an Instance 페이지로 리디렉션됩니다.

8. 아래로 스크롤하여 인스턴스 유형 섹션으로 이동한 후 배치 요구 사항에 따라 적절한 인스턴스 유형을 선택합니다.

Key pair (login) 아래에서 이전에 생성된 키 쌍을 선택하거나 새 키 쌍을 생성합니다(이전에 제공된 키 쌍 생성 단계 참조).

Number of Instances(인스턴스 수)를 1로 설정합니다.

9. 네트워크 설정 섹션

• 필요에 따라 VPC 및 서브넷을 구성합니다.
• Security Group(보안 그룹)의 경우 기존 그룹을 선택하거나 (예시에 표시된 대로) 새 그룹을 생성합니다.
  
  

10. [스토리지 구성] 섹션에서 원하는 볼륨 크기를 구성합니다.

예: gp2 볼륨 유형을 사용하는 600GiB

11. Advanced Details(고급 세부 정보) 섹션에서 구축에 필요한 추가 설정(예: IAM 인스턴스 프로필, 사용자 데이터 또는 종료 동작)을 구성합니다.



12. 메타데이터 버전 섹션에서

• ISE 버전 3.4 이상에서는 V2 전용(토큰 필요)을 선택합니다. 이 옵션이 권장됩니다.
• 3.4 이전 ISE 버전의 경우 호환성을 보장하기 위해 V1 및 V2(토큰 선택 사항)를 선택합니다.

13. User data(사용자 데이터) 필드에서 호스트 이름, DNS, NTP 서버, 시간대, ERS 및 admin(관리자) ISE 자격 증명을 비롯한 ISE 인스턴스의 초기 컨피그레이션 매개변수를 제공합니다.

예:
hostname=varshahise2

primarynameserver=x.x.x

dnsdomain=varshah.local

ntpserver=x.x.x.x

timezone=아시아/콜카타

사용자 이름=admin

암호=Ise@123

ersEnabled=true

참고: 비밀번호가 Cisco ISE 비밀번호 정책을 준수하는지 확인합니다.

사용자 데이터를 입력하고 컨피그레이션을 완료한 후 Launch Instance(인스턴스 실행)를 클릭합니다.




14. 인스턴스가 시작된 후 다음과 같은 확인 메시지가 나타납니다. '인스턴스 <instance_name>의 시작을 시작했습니다.' 이는 시작 프로세스가 성공적으로 시작되었음을 나타냅니다.

다음을 확인합니다.

CFT를 사용하여 구축된 ISE 인스턴스 액세스

CloudFormation 스택에서 Resources(리소스) 탭으로 이동하고 Physical ID(물리적 ID)를 클릭합니다. 인스턴스를 볼 수 있는 EC2 대시보드로 리디렉션됩니다.

AMI를 사용하여 구축된 ISE 인스턴스에 액세스

모든 인스턴스 보기를 눌러 [EC2 인스턴스] 페이지로 이동합니다. 이 페이지에서 상태 확인이 3/3의 검사가 통과되어 인스턴스가 정상이고 정상임을 나타내는지 확인합니다.

ISE GUI 액세스

이제 ISE 서버가 성공적으로 구축되었습니다.

ISE GUI에 액세스하려면 브라우저에서 인스턴스의 IP 주소를 사용해야 합니다. 기본 IP는 비공개이므로 인터넷에서 직접 액세스할 수 없습니다.

공용 IP가 인스턴스와 연결되어 있는지 확인합니다.

• EC2 > Instances로 이동하여 인스턴스를 선택합니다.
• Public IPv4 address(공용 IPv4 주소) 필드를 찾습니다.

여기에서 ISE GUI에 액세스하는 데 사용할 수 있는 공용 IP 주소를 확인할 수 있습니다.

지원되는 브라우저(예: Chrome 또는 Firefox)를 열고 공용 IP 주소를 입력합니다.

ISE GUI 로그인 페이지가 나타납니다.

참고: SSH 액세스를 사용할 수 있게 되면 ISE 서비스가 실행 중 상태로 완전히 전환되는 데 일반적으로 10-15분이 추가로 소요됩니다.

터미널에서 SSH를 통해 CLI 액세스

EC2 콘솔에서 인스턴스를 선택하고 연결을 클릭합니다.

SSH 클라이언트 탭에서 다음 단계를 수행합니다.

• 다운로드한 .pem 키 파일이 포함된 폴더로 이동합니다.
• 다음 명령을 실행합니다.

• cd <path-to-key-file>
• chmod 400 <your-key-pair-name>.pem
• ssh -i "<your-key-pair-name>.pem" admin@<public-ip-address>

참고: Cisco ISE는 SSH를 통해 루트 로그인을 비활성화하므로 SSH 사용자로 admin을 사용합니다.

PuTTy를 사용하여 SSH를 통해 CLI 액세스

• PuTTY를 엽니다.

• Host Name(호스트 이름) 필드에 다음을 입력합니다. admin@<public-ip-address>
  
  
  
  
  

• 왼쪽 창에서 Connection(연결) > SSH > Auth(인증) > Credentials(자격 증명)로 이동합니다.

• 인증을 위한 개인 키 파일 옆에 있는 Browse(찾아보기)를 클릭하고 SSH 개인 키 파일을 선택합니다.

• 세션을 시작하려면 Open(열기)을 클릭합니다.
  
  
  
  

• 프롬프트가 표시되면 Accept(수락)를 클릭하여 SSH 키를 확인합니다.
  
  
  
  
  

• 이제 PuTTY 세션이 ISE CLI에 연결됩니다.

참고: ISE가 SSH를 통해 액세스할 수 있는 데 최대 20분이 걸릴 수 있습니다. 이 시간 동안 연결 시도가 실패하고 다음 오류가 발생할 수 있습니다. "권한이 거부되었습니다(publickey)."

문제 해결

잘못된 사용자 이름 또는 비밀번호

인증 문제는 종종 인스턴스 생성 중에 잘못된 사용자 입력으로 인해 발생합니다. 이렇게 하면 "잘못된 사용자 이름 또는 암호"라는 오류 메시지가 생성됩니다. 다시 시도하십시오." GUI에 로그인하려고 시도하는 동안 오류가 발생했습니다.

솔루션

• AWS EC2 Console에서 EC2 > Instances > your_instance_id로 이동합니다.

• Actions(작업)를 클릭하고 Instance settings(인스턴스 설정) > Edit user data(사용자 데이터 편집)를 선택합니다.
  
  
  
  

• 여기에서 인스턴스 실행 중에 설정된 특정 사용자 이름 및 비밀번호를 찾을 수 있습니다. 이러한 자격 증명은 ISE GUI에 로그인하는 데 사용할 수 있습니다.
  
  
  
  
  

• 호스트 이름 및 비밀번호를 설정할 때 호스트 이름 및 비밀번호를 확인합니다.

  • 호스트 이름

    • 영숫자와 하이픈(-)만 사용할 수 있습니다.

    • 길이는 19자를 초과할 수 없습니다.

  • 암호

    • Cisco ISE 비밀번호 정책을 준수해야 합니다.

    • 공식 ISE 관리 가이드를 참조하십시오. ISE 3.4 비밀번호 정책 - Cisco 관리 설명서
      
      

• 구성된 비밀번호가 ISE 비밀번호 정책을 충족하지 않으면 로그인 시도가 실패합니다. 올바른 자격 증명으로
  
  

• 비밀번호가 잘못 구성되었다고 생각되면 다음 단계에 따라 비밀번호를 업데이트합니다.

  1. EC2 Console에서 EC2 > Instances > your_instance_id로 이동합니다

  2. 인스턴스 상태 > 인스턴스 정지를 클릭합니다.
     
     
     
     
     

  3. 인스턴스가 중지되면 Actions(작업) > Instance settings(인스턴스 설정) > Edit user data(사용자 데이터 편집)를 클릭합니다.
     
     
     
     
     

  4. 사용자 데이터 스크립트를 수정하여 비밀번호를 적절히 업데이트합니다.

  5. Save(저장)를 클릭하여 변경 사항을 저장합니다. 인스턴스 상태 > 인스턴스 시작을 눌러 인스턴스를 재시작합니다.

알려진 결함