계정이 있습니까?

  •   맞춤형 콘텐츠
  •   제품 및 지원

계정이 필요하십니까?

계정 만들기

ISE(Identity Services Engine) 업그레이드

다운로드 옵션

  • PDF     (918.2 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (755.2 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (792.3 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2020년 5월 18일 (월)
문서 ID:215528
번역에 관하여

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

    소개

    이 문서에서는 Cisco ISE 어플라이언스 및 가상 머신(VM)에 설정된 기존 ISE(Identity Services Engine) 버전 2.4를 2.6으로 업그레이드하는 방법에 대해 설명합니다. 또한 업그레이드 프로세스가 시작되기 전에 URT(Upgrade Readiness Tool)를 사용하여 구성 데이터 업그레이드 문제를 탐지하고 수정하는 방법도 포함합니다. 

    사전 요구 사항

    요구 사항

    다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

    • ISE(Identity Services Engine)
    • 다양한 유형의 ISE 구축을 설명하는 데 사용되는 용어 이해

    사용되는 구성 요소

    이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

    • ISE, 릴리스 2.4
    • ISE, 릴리스 2.6

    이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 이해해야 합니다.

    참고:이 절차는 다른 ISE 버전과 유사하거나 동일합니다.별도의 언급이 없는 한 이러한 단계는 모든 2.x ISE 소프트웨어 릴리스에서 사용할 수 있습니다.

    배경 정보

    Cisco ISE 구축 업그레이드는 다단계 프로세스이며 이 문서에 지정된 순서대로 수행해야 합니다.이 문서에 제공된 시간 예상치를 사용하여 다운타임을 최소화하여 업그레이드를 계획하십시오.PSN 그룹에 속하는 여러 PSN(Policy Service Node)이 있는 구축의 경우 다운타임이 없습니다.업그레이드된 PSN을 통해 인증되는 엔드포인트가 있는 경우 노드 그룹의 다른 PSN에서 요청을 처리합니다.엔드포인트는 재인증되며 인증이 성공한 후 네트워크 액세스가 부여됩니다.

    업그레이드 준비 도구

    업그레이드 프로세스를 시작하기 전에 컨피그레이션 데이터 업그레이드 문제를 탐지하고 수정하려면 URT를 사용합니다.대부분의 업그레이드 실패는 컨피그레이션 데이터 업그레이드 문제로 인해 발생합니다.URT는 가능한 경우 문제를 식별하고 보고하거나 해결하기 위해 업그레이드 전에 데이터를 검증합니다.URT는 보조 정책 관리 노드 또는 독립형 노드에서 실행할 수 있는 별도의 다운로드 가능한 번들로 사용할 수 있습니다.이 툴을 실행할 다운타임이 없습니다.

    주의:기본 관리 노드에서 URT 도구를 실행할 수 없습니다.

    이 비디오 링크에서는 URT 사용 방법에 대해 설명합니다.

    URT는 보조 관리 노드 또는 독립형 노드에서 실행해야 합니다.

    주의:URT 도구는 MnT(모니터링 노드) 운영 데이터 업그레이드를 시뮬레이션하지 않습니다.

    다음은 독립형 노드에서 URT를 실행하는 방법을 보여 주는 예입니다(보조 관리 노드에서 동일한 프로세스를 따를 수 있음).

    1단계. URT 번들을 다운로드합니다.

    이 계획은 버전 2.6으로 업그레이드하는 것이므로 Cisco.com에서 ISE 2.6(ise-urtbundle-2.6.0.156-1.0.0.SPA.x86_64.tar.gz)에 게시된 URT를 이미지에 표시된 대로 다운로드합니다.

    2.6용 URT

    2단계. 리포지토리를 생성하고 URT 번들을 복사합니다.

    성능 및 신뢰성을 높이려면 FTP(File Transfer Protocol)를 사용하는 것이 좋습니다.저속 WAN 링크에 있는 리포지토리는 사용하지 마십시오.노드에 가까운 로컬 저장소를 사용하는 것이 좋습니다.

    ISE GUI에서 이미지에 표시된 대로 Administration > System > Maintenance > Repository > Add로 이동합니다. 

    저장소

    선택적으로, 시간을 절약하기 위해 다음 명령을 사용하여 Cisco ISE 노드의 로컬 디스크에 URT 번들을 복사합니다.

    copy repository_url/path/ise-urtbundle-2.6.0.xxx-1.0.0.SPA.x86_64.tar.gz disk:/

    예를 들어 SFTP(Secure FTP)가 업그레이드 번들을 복사하는 데 사용되는 경우 다음을 수행합니다.

    (Add the host key if it does not exist) crypto host_key add host mySftpserver
copy sftp://aaa.bbb.ccc.ddd/ ise-urtbundle-2.6.0.xxx-1.0.0.SPA.x86_64.tar.gz disk:/

    aaa.bbb.ccc.ddd는 SFTP 서버의 IP 주소 또는 호스트 이름이며 ise-urtbundle-2.6.0.xxx-1.0.0.SPA.x86_64.tar.gz는 URT 번들의 이름입니다. 

    :시간을 절약하려면 로컬 디스크에 URT 번들을 포함하는 것이 좋습니다.

    3단계. URT 번들을 실행합니다.

    URT를 설치하려면 application install 명령을 입력합니다.

    application install ise-urtbundle-2.6.0.x.SPA.x86_64.tar.gz reponame

    이 경고는 노드에서 실행 중인 서비스 및 사용자가 이 노드에서 URT를 계속 실행하려는 경우에 대해 설명합니다.이미지에 표시된 대로 진행하려면 Y를 입력합니다.

    URT가 오래된 경우도 있습니다.번들이 Cisco 웹 사이트에서 다운로드한 최신 번들이라면 더 이상 진행해도 좋습니다.최신 URT 번들은 45일 이상 사용할 수 있습니다.계속하려면 Y를 입력합니다.

    사례 1. URT 실행 성공

    1. URT가 성공적으로 실행되면 출력은 다음과 유사합니다.

    2. URT는 컨피그레이션 및 MNT 데이터의 크기에 따라 각 노드의 업그레이드 예상 시간을 제공합니다.

    3. URT 실행을 완료한 후 업그레이드를 진행합니다.

    4. URT

    • URT가 지원되는 Cisco ISE 버전에서 실행 되는지 확인 합니다.지원되는 버전은 릴리스 2.1, 2.2, 2.3 및 2.4(버전 2.6으로 업그레이드하는 경우)입니다.
    • URT가 독립형 Cisco ISE 노드 또는 보조 정책 관리 노드(보조 PAN)에서 실행되는지 확인합니다.
    • URT 번들이 45일 미만인지 확인합니다. 이 확인은 가장 최근 URT 번들을 사용하도록 하기 위해 수행됩니다.

    모든 필수 구성 요소가 충족되었는지 확인합니다.

    다음은 URT에서 확인하는 사전 요구 사항입니다.

    • 버전 호환성
    • 개인 확인
    • 디스크 공간

    참고:사용 가능한 디스크 크기를 디스크 요구 사항 크기 확인합니다.디스크 크기를 늘려야 하는 경우 ISE를 다시 설치하고 구성 백업을 복원합니다.

    • NTP 서버
    • 메모리
    • 시스템 및 신뢰할 수 있는 인증서 검증

    5. 구성 데이터베이스를 복제합니다.

    6. 최신 업그레이드 파일을 업그레이드 번들에 복사합니다.

    참고:URT 번들에 패치가 없으면 출력이 반환됩니다.N/A. 핫 패치를 설치할 때 예상되는 동작입니다.

    7. 복제된 데이터베이스에서 스키마 및 데이터 업그레이드를 수행합니다.

    • 복제된 데이터베이스의 업그레이드가 성공하면 업그레이드가 완료되는 데 걸리는 시간을 추정합니다.

    • 업그레이드가 성공하면 복제된 데이터베이스가 제거됩니다.

    • 복제된 데이터베이스의 업그레이드가 실패하면 필요한 로그를 수집하고 암호화 암호를 묻는 메시지를 표시하고 로그 번들을 생성하여 로컬 디스크에 저장합니다.

    사례 2. URT 실행이 실패했습니다.

    1. 업그레이드에 문제가 발생할 수 있는 사유로 URT가 실패할 수 있습니다.이 경우 URT는 실패 원인을 반환합니다.

    2. 다음은 URT 실패의 예입니다.

    3. 다음 각 목의 사유로 URT가 실패했습니다.이름이 'VeriSign Class 3 Secure Server CA - G3'인 트러스트 인증서가 잘못되었습니다.인증서가 만료되었습니다.

    4. 업그레이드 사전 점검에서 설명한 대로 ISE 시스템에 만료된 인증서가 있으면 업그레이드가 실패합니다.만료된 모든 인증서를 갱신하거나 교체해야 합니다.

    5. URT는 사용자가 실패 이유를 모를 경우 Cisco TAC와 공유할 수 있는 실패 로그를 저장합니다.

    6. 로그를 암호화할 비밀번호를 입력하라는 메시지가 표시됩니다.이러한 URT 로그는 로컬 디스크에 저장됩니다.

    7. 로컬 디스크에서 저장소로 복사한 다음 Cisco TAC와 공유하여 해결합니다.

    ISE 업그레이드

    업그레이드가 시작되기 전에 다음 작업이 완료되었는지 확인합니다.

    1. ISE 구성 및 운영 데이터의 백업을 가져옵니다.

    2. 시스템 로그의 백업을 가져옵니다.

    3. 예약된 백업을 비활성화합니다.구축 업그레이드가 완료된 후 백업 일정을 다시 구성합니다.

    4. 인증서 및 개인 키를 내보냅니다.

    5. 저장소를 구성합니다.업그레이드 번들을 다운로드하여 저장소에 저장합니다.

    6. 해당되는 경우 AD(Active Directory) 가입 자격 증명 및 RSA SecurID 노드 암호를 기록합니다.이 정보는 업그레이드 후 Active Directory 또는 RSA SecurID 서버에 연결하는 데 필요합니다.

    7. 운영 데이터를 삭제하여 업그레이드 성능을 향상시킵니다.

    8. 저장소에 대한 인터넷 연결이 올바른지 확인합니다.

    참고:리포지토리에서 노드로의 업그레이드 번들 다운로드가 완료되는 데 35분 이상이 걸릴 경우 시간이 초과됩니다.

    업그레이드 준비:

    이러한 지침은 업그레이드 프로세스에서 발생할 수 있는 현재 구축의 문제를 해결하는 데 도움이 됩니다.따라서 전반적인 업그레이드 다운타임이 줄어들고 효율성이 향상됩니다.

    최신 패치:업그레이드하기 전에 기존 버전의 최신 패치로 업그레이드하십시오.

    준비 환경:프로덕션 네트워크를 업그레이드하기 전에 모든 업그레이드 문제를 파악하고 해결하기 위해 스테이징 환경에서 업그레이드를 테스트하는 것이 좋습니다.

    패치 수준:데이터를 교환하려면 Cisco ISE 구축의 모든 노드가 동일한 패치 수준에 있어야 합니다.

    참고:구축의 모든 노드가 동일한 Cisco ISE 버전 및 패치 버전에 있지 않은 경우 경고 메시지:"업그레이드를 시작할 수 없음"이 표시됩니다.이 메시지는 업그레이드가 차단된 상태임을 나타냅니다.업그레이드 프로세스가 시작되기 전에 구축의 모든 노드가 동일한 버전(패치 버전(있는 경우)에 있는지 확인합니다.

    운영 데이터(로그):기존 로그를 아카이빙하고 새 구축으로 전송하지 않는 것이 좋습니다.이는 나중에 MnT 역할이 변경될 경우 MnTs에서 복원된 작업 로그가 다른 노드에 동기화되지 않기 때문입니다.MnT 로그를 보존하려는 경우 MnT 노드에 대해 이러한 작업을 수행하고 새 구축을 MnT 노드로 조인합니다.그러나 운영 로그를 보존할 필요가 없는 경우 MnT 노드를 다시 이미징하여 이 작업을 건너뛸 수 있습니다. 

    필요한 재이미지일 경우:Cisco ISE는 프로덕션 구축에 영향을 주지 않고 멀티 노드 구축인 경우 병렬로 설치할 수 있습니다.ISE 서버를 병렬로 설치할 경우, 특히 이전 릴리스에서 백업 및 복원이 사용되는 시간을 절약합니다. PSN을 새 배포에 추가하여 PAN에서 등록 프로세스 시 기존 정책을 다운로드할 수 있습니다.

    Cisco ISE 구축 레이턴시 및 대역폭 요구 사항을 이해하려면 ISE 레이턴시 및 대역폭 계산기를 사용합니다.

    HA 데이터 센터:전체 분산 구축을 지원하는 데이터 센터(DC)가 있는 경우 기본 DC를 업그레이드하기 전에 백업 DC를 업그레이드하고 활용 사례를 테스트합니다.

    다음 날 전에 다운로드:업그레이드 전에 업그레이드를 위한 최신 업그레이드 번들을 다운로드하여 로컬 리포지토리에 저장하여 프로세스를 가속화합니다.

    시간 예측:GUI에서 ISE를 업그레이드하는 경우 프로세스 시간 제한은 4시간입니다.프로세스가 4시간 이상 걸리면 업그레이드가 실패합니다.URT가 4시간 이상 걸릴 경우, 이 프로세스에 CLI를 사용하는 것이 좋습니다.

    로드 밸런서:구성을 변경하기 전에 로드 밸런서의 백업을 수행합니다.업그레이드 창 시 로드 밸런서에서 PSN을 제거하고 업그레이드 후 다시 추가합니다.

    PAN 장애 조치:자동 PAN 장애 조치(구성된 경우)를 비활성화하고 업그레이드 시 PAN 간의 하트비트를 비활성화합니다.

    정책 검토:기존 정책 및 규칙을 검토하고 오래되고 중복되고 오래된 정책 및 규칙을 제거합니다.

    원치 않는 로그:원치 않는 모니터링 로그 및 엔드포인트 데이터를 제거합니다.

    버그 확인:열려 있거나 수정된 업그레이드 관련 결함을 찾으려면 Bug Search Tool을 사용합니다.

    업그레이드 후:서비스 연속성을 보장하기 위해 더 적은 수의 사용자로 신규 구축에 대한 모든 활용 사례를 테스트합니다.

    GUI에서 ISE 업그레이드

    Cisco ISE는 관리 포털에서 GUI 기반 중앙 집중식 업그레이드를 제공합니다.업그레이드 프로세스가 훨씬 간소화되고 업그레이드 진행 및 노드 상태가 화면에 표시됩니다. [관리] > [업그레이드] 메뉴 옵션 아래의 [개요] 페이지에는 배포의 모든 노드, 해당 노드에서 활성화된 페르소나, 설치된 ISE 버전 및 노드의 상태(노드가 활성 또는 비활성 상태인지 표시)가 나열됩니다.노드가 활성 상태인 경우에만 업그레이드를 시작할 수 있습니다.

    관리 포털에서 GUI 기반 업그레이드는 ISE가 릴리스 2.0 이상이고 릴리스 2.0.1 이상으로 업그레이드해야 하는 경우에만 지원됩니다.

    이 경고 메시지가 표시되는 경우:"노드가 업그레이드 전 상태로 되돌아갔습니다." Upgrade 창으로 이동하고 Details 링크를 클릭합니다.업그레이드 실패 세부 정보 창에 나열된 문제를 해결합니다.이러한 문제가 모두 해결되면 Upgrade(업그레이드)를 클릭하여 업그레이드를 다시 시작합니다.

    1단계. 관리 포털에서 Upgrade 탭을 클릭합니다.

    2단계. Proceed(계속)를 클릭합니다.

    체크리스트 검토 창이 나타납니다.이미지에 표시된 대로 지정된 지침을 주의 깊게 읽습니다.

    3단계. '체크리스트를 검토했습니다' 확인란을 선택하고 계속을 클릭합니다.

    이미지 표시된 것처럼 Download Bundle to Nodes(노드에 번들 다운로드) 창이 나타납니다.

    4단계. 저장소에서 노드로 업그레이드 번들을 다운로드합니다.

    1. 번들을 다운로드할 노드 옆의 확인란을 선택합니다.

    2. 다운로드를 클릭합니다.이미지에 표시된 대로 저장소 및 번들 선택 창이 나타납니다.

    3. 저장소를 선택합니다.

    4. 업그레이드에 사용할 번들 옆의 확인란을 선택합니다.

    5. 확인을 클릭합니다.번들이 노드에 다운로드되면 노드 상태가 Ready for Upgrade로 변경됩니다.

    5단계. 계속을 클릭합니다.그런 다음 Upgrade Nodes(노드 업그레이드) 창이 나타납니다.시작하려면 Upgrade를 클릭합니다.

    CLI에서 ISE 업그레이드

    계속하기 전에 '시작하기 전에'라는 장을 읽으십시오. 다음은 CLI에서 독립형 ISE 노드 업그레이드의 예입니다.

    1단계. 사용할 저장소에 이미지에 표시된 대로 show repository reponame 명령을 사용하는 업그레이드 파일이 있는지 확인합니다.

    2단계. Cisco ISE CLI(Command Line Interface)에서 파일 저장 위치 및 번들 파일 이름과 함께 application upgrade prepare 명령을 입력합니다.

    이 명령은 업그레이드 번들을 로컬 리포지토리에 복사합니다.

    3단계. Cisco ISE CLI에서 이미지에 표시된 대로 애플리케이션 업그레이드 proceed 명령을 입력합니다.

    이 메시지가 나타나면 30분 후 SSH 세션을 시작하고 진행 상황을 확인하기 위해 show application status ise 명령을 실행합니다.이 메시지는 % 알림:Identity Services Engine 업그레이드 진행 중...

    모든 예상 서비스의 상태가 실행 중으로 변경되면 업그레이드가 완료된 것으로 간주됩니다.

    참고:어떤 이유로 업그레이드가 실패할 경우업그레이드를 다시 시도하기 전에 이전 파일을 지우려면 애플리케이션 업그레이드 정리 명령을 사용합니다.

    일반적인 문제

    1. 번들이 저장소에서 다운로드하는 데 너무 오래 걸리거나 GUI를 통해 다운로드할 때 시간이 초과되는 경우:

    • 번들 다운로드를 처리할 대역폭이 충분한지 확인합니다.
    • 저장소에서 노드로 업그레이드 번들을 다운로드하면 완료하는 데 35분 이상이 걸릴 경우 다운로드 시간이 초과됩니다.저장소에 대한 인터넷 연결이 올바른지 확인합니다. 

    2. 분산 배포 업그레이드에서 다음 경우에 "배포 내 보조 관리 노드 없음" 오류를 확인할 수 있습니다.

    • 구축에 보조 관리 노드가 없습니다.

    • 보조 관리 노드가 다운되었습니다.

    • 보조 관리 노드가 업그레이드되고 업그레이드된 구축으로 이동됩니다.일반적으로 이 오류는 보조 관리 노드가 업그레이드된 후 Refresh Deployment Details(구축 세부사항 새로 고침) 옵션을 사용하는 경우 발생합니다.

    이 문제를 해결하려면 다음 작업 중 하나를 수행하십시오.

    • 구축에 보조 관리 노드가 없는 경우 보조 관리 노드를 구성하고 업그레이드를 다시 시도하십시오.

    • 보조 관리 노드가 작동 중지된 경우 노드를 열고 업그레이드를 다시 시도하십시오.

    • 보조 관리 노드가 업그레이드되고 업그레이드된 구축으로 이동된 경우 CLI를 사용하여 구축의 다른 노드를 수동으로 업그레이드합니다.

    3. 노드의 업그레이드 상태가 변경되지 않았습니다. 

    • 업그레이드 상태가 GUI에서 오래(그리고 80%로 유지됨) 변경되지 않는 경우 CLI에서 업그레이드 로그 또는 콘솔에서 업그레이드 상태를 확인합니다.
    • 업그레이드 진행 상황을 보려면 CLI에 로그인하거나 Cisco ISE 노드의 콘솔을 봅니다.show logging application 명령을 사용하여 upgrade-uibackend-cliconsole.logupgrade-postosupgrade-yyyymmdd-xxxxxx.log를 봅니다.
    • show logging application 명령: DB Data Upgrade Log, DB Schema Log 및 Post OS Upgrade Log를 사용하여 CLI에서 이러한 업그레이드 로그를 확인합니다.

    4. 이전 버전의 ISO 이미지로 롤백:

    • 드문 경우이지만 이전 버전 이미지를 사용하여 Cisco ISE 어플라이언스를 다시 이미지화하고 백업 파일에서 데이터를 복원해야 할 수 있습니다.데이터 복원 후 이전 구축에 등록하고 이전 구축에서 수행한 페르소나를 활성화합니다.따라서 업그레이드 프로세스가 시작되기 전에 Cisco ISE 컨피그레이션 및 운영 데이터를 백업하는 것이 좋습니다.
    • 컨피그레이션 및 모니터링 데이터베이스의 문제로 인해 발생하는 업그레이드 실패가 자동으로 롤백되지 않는 경우가 있습니다.이 경우 데이터베이스가 롤백되지 않았음을 알리는 알림과 함께 업그레이드 실패 메시지가 나타납니다.이러한 시나리오에서 수동으로 시스템을 다시 이미징하고 Cisco ISE를 설치하고 컨피그레이션 데이터 및 운영 데이터를 복원합니다(MnT 페르소나가 활성화된 경우).
    • 롤백 또는 복구를 시도하기 전에 backup-logs 명령을 사용하여 지원 번들을 생성하고, 필요한 경우 나중에 TAC에서 조사할 수 있도록 지원 번들을 원격 저장소에 배치합니다.
    TAC Authored

    Cisco 엔지니어가 작성

    • Shivam Kumar
      Cisco TAC 엔지니어

    이 문서가 도움이 되셨습니까?

    Feedback피드백

    지원 문의

    이 문서가 적용되는 제품

    시스코 소개
    문의하기
    시스코와 협력하기