일반적인 시스템 유지 보수 작업

고가용성을 위한 이더넷 인터페이스 결합

Cisco ISE는 이더넷 인터페이스 2개를 단일 가상 인터페이스로 결합하여 물리적 인터페이스에 고가용성을 제공하는 기능을 지원합니다. 이 기능을 NIC(Network Interface Card) 결합 또는 NIC 티밍이라고 합니다. 인터페이스 2개가 결합되면 NIC 2개가 같은 장치에서 같은 MAC 주소를 사용하는 것처럼 보입니다.

Cisco ISE의 NIC 결합 기능은 로드 밸런싱이나 링크 어그리게이션 기능은 지원하지 않습니다. Cisco ISE는 NIC 결합의 고가용성 기능만 지원합니다.

인터페이스를 결합하면 다음과 같은 경우에도 Cisco ISE 서비스가 영향을 받지 않게 됩니다.

  • 물리적 인터페이스 장애

  • 스위치 포트 연결 끊김(종료 또는 장애)

  • 스위치 라인 카드 장애

인터페이스 2개가 결합되면 인터페이스 하나가 기본 인터페이스가 되고 다른 인터페이스는 백업 인터페이스가 됩니다. 인터페이스 2개가 결합되면 모든 트래픽은 일반적으로 기본 인터페이스를 통해 흐릅니다. 어떤 이유로 기본 인터페이스에서 장애가 발생하면, 백업 인터페이스가 대신 모든 트래픽을 처리합니다. 결합한 인터페이스는 기본 인터페이스의 IP 주소와 MAC 주소를 가져옵니다.

NIC 결합 기능을 구성할 때 Cisco ISE는 고정된 물리적 NIC를 페어링하여 NIC 결합체를 형성합니다. 다음 표에는 함께 결합하여 결합된 인터페이스를 형성할 수 있는 NIC가 요약되어 있습니다.

표 1. 물리적 NIC가 결합되어 인터페이스 형성

Cisco ISE 물리적 NIC 이름

Linux 물리적 NIC 이름

결합한 NIC에서의 역할

결합한 NIC 이름

기가비트 이더넷 0

Eth0

기본

결합 0

기가비트 이더넷 1

Eth1

백업

기가비트 이더넷 2

Eth2

기본

결합 1

기가비트 이더넷 3

Eth3

백업

기가비트 이더넷 4

Eth4

기본

결합 2

기가비트 이더넷 5

Eth5

백업

지원되는 플랫폼

NIC 결합 기능은 지원되는 모든 플랫폼과 노드 페르소나에서 지원됩니다. 지원되는 플랫폼은 다음과 같습니다.

  • SNS 3500 및 3600 시리즈 어플라이언스 - 결합 0, 1, 2

  • VMware 가상 머신 - 결합 0, 1, 2(가상 머신에 NIC 6개를 사용할 수 있는 경우)

  • Linux KVM 노드 - 결합 0, 1, 2(가상 머신에 NIC 6개를 사용할 수 있는 경우)

이더넷 인터페이스 결합 지침

  • Cisco ISE는 이더넷 인터페이스를 6개까지 지원하므로 결합 3개, 즉 결합 0, 결합 1, 결합 2만 가질 수 있습니다.

  • 결합에 속하는 인터페이스를 변경하거나 결합 내 인터페이스의 역할을 변경할 수는 없습니다. 결합할 수 있는 NIC와 결합에서 NIC가 하는 역할에 관한 정보는 위의 표를 참조하십시오.

  • Eth0 인터페이스는 관리 인터페이스와 런타임 인터페이스 역할을 모두 수행합니다. 다른 인터페이스는 런타임 인터페이스 역할을 합니다.

  • 결합을 생성하기 전에 기본 인터페이스(기본 NIC)에 IP 주소를 할당해야 합니다. 결합 0을 생성하기 전에 Eth0 인터페이스에 IPv4 주소를 할당해야 합니다. 마찬가지로 결합 1과 2를 생성하기 전에 Eth2 및 Eth4 인터페이스에 각각 IPv4 또는 IPv6 주소를 할당해야 합니다.

  • 결합을 생성하기 전에 백업 인터페이스(Eth1, Eth3 및 Eth5)에 IP 주소가 할당되어 있다면, 백업 인터페이스에서 IP 주소를 제거해야 합니다. 백업 인터페이스에는 IP 주소를 할당하면 안 됩니다.

  • 결합을 하나만(결합 0) 생성하고 인터페이스의 나머지 부분은 그대로 유지되게 할 수도 있습니다. 이 경우 결합 0은 관리 인터페이스와 런타임 인터페이스 역할을 하며, 인터페이스의 나머지 부분은 런타임 인터페이스 역할을 합니다.

  • 결합 내 기본 인터페이스의 IP 주소를 변경할 수 있습니다. 새 IP 주소는 기본 인터페이스의 IP 주소를 가정하기 때문에 결합된 인터페이스에 할당됩니다.

  • 두 인터페이스 간의 결합을 제거하면, 결합된 인터페이스에 할당된 IP 주소가 기본 인터페이스에 다시 할당됩니다.

  • 구축의 일부인 Cisco ISE 노드에서 NIC 결합 기능을 구성하고 싶다면 구축에서 노드를 등록 취소하고, NIC 결합을 구성한 다음 노드를 구축에 다시 등록해야 합니다.

  • 결합(Eth0, Eth2 또는 Eth4 인터페이스)에서 기본 인터페이스 역할을 하는 물리적 인터페이스에 정적 경로가 구성되었다면, 정적 경로는 물리적 인터페이스가 아닌 결합된 인터페이스에서 작동하도록 자동으로 업데이트됩니다.

NIC 결합 구성

Cisco ISE CLI에서 NIC 결합을 구성할 수 있습니다. 다음 절차에서는 Eth0 및 Eth1 인터페이스 간에 결합 0을 구성하는 방법을 설명합니다.

시작하기 전에

백업 인터페이스 역할을 하는 물리적 인터페이스(예: Eth1, Eth3, Eth5 인터페이스)가 IP 주소를 사용하여 구성되었다면, 백업 인터페이스에서 IP 주소를 제거해야 합니다. 백업 인터페이스에는 IP 주소를 할당하면 안 됩니다.

프로시저

단계 1

관리자 계정으로 Cisco ISE CLI에 로그인합니다.

단계 2

configure terminal을 입력하여 구성 모드에 들어갑니다.

단계 3

interface GigabitEthernet 0 명령을 입력합니다.

단계 4

backup interface GigabitEthernet 1 명령을 입력합니다.

콘솔에 다음과 같이 표시됩니다. 

 % Warning: IP address of interface eth1 will be removed once NIC bonding is enabled. Are you sure you want to proceed? Y/N [N]:
단계 5

Y를 입력하고 Enter를 누릅니다.

이제 결합 0이 구성되었습니다. Cisco ISE가 자동으로 재시작됩니다. 모든 서비스가 정상적으로 작동할 수 있도록 잠시 기다립니다. CLI에서 show application status ise 명령을 입력하여 모든 서비스가 실행 중인지 확인합니다. 


ise/admin# configure terminal  
Enter configuration commands, one per line.  End with CNTL/Z.
ise/admin(config)# interface gigabitEthernet 0 
ise/admin(config-GigabitEthernet)# backup interface gigabitEthernet 1 
Changing backup interface configuration may cause ISE services to restart.
Are you sure you want to proceed? Y/N [N]: Y 
Stopping ISE Monitoring & Troubleshooting Log Collector...
Stopping ISE Monitoring & Troubleshooting Log Processor...
ISE PassiveID Service is disabled
ISE pxGrid processes are disabled
Stopping ISE Application Server...
Stopping ISE Certificate Authority Service...
Stopping ISE EST Service...
ISE Sxp Engine Service is disabled
Stopping ISE Profiler Database...
Stopping ISE Indexing Engine...
Stopping ISE Monitoring & Troubleshooting Session Database...
Stopping ISE AD Connector...
Stopping ISE Database processes...
Starting ISE Monitoring & Troubleshooting Session Database...
Starting ISE Profiler Database...
Starting ISE Application Server...
Starting ISE Indexing Engine...
Starting ISE Certificate Authority Service...
Starting ISE EST Service...
Starting ISE Monitoring & Troubleshooting Log Processor...
Starting ISE Monitoring & Troubleshooting Log Collector...
Starting ISE AD Connector...
Note: ISE Processes are initializing. Use 'show application status ise'
      CLI to verify all processes are in running state. 
ise/admin(config-GigabitEthernet)#

NIC 결합 구성 확인

NIC 결합 기능이 구성되었는지 확인하려면 Cisco ISE CLI에서 show running-config 명령을 실행합니다. 다음과 비슷한 출력이 표시됩니다. 


!        
interface GigabitEthernet 0
  ipv6 address autoconfig
  ipv6 enable
  backup interface GigabitEthernet 1
  ip address 192.168.118.214 255.255.255.0
!

위의 출력에서 'backup interface GigabitEthernet 1'은 NIC 결합이 기가비트 이더넷 0에 구성되었음을 보여줍니다. 기가비트 이더넷 0은 기본 인터페이스이고 기가비트 이더넷 1은 백업 인터페이스입니다. 또한 기본 및 백업 인터페이스가 사실상 동일한 IP 주소를 이용하더라도, ADE-OS 구성은 실행 중인 컨피그레이션의 백업 인터페이스에 IP 주소를 표시하지 않습니다.

show interface 명령을 실행하여 결합된 인터페이스를 확인하는 방법도 있습니다. 


ise/admin# show interface  
bond0: flags=5187<UP,BROADCAST,RUNNING,PRIMARY,MULTICAST>  mtu 1500
        inet 10.126.107.60  netmask 255.255.255.0  broadcast 10.126.107.255
        inet6 fe80::8a5a:92ff:fe88:4aea  prefixlen 64  scopeid 0x20<link>
        ether 88:5a:92:88:4a:ea  txqueuelen 0  (Ethernet)
        RX packets 1726027  bytes 307336369 (293.0 MiB)
        RX errors 0  dropped 844  overruns 0  frame 0
        TX packets 1295620  bytes 1073397536 (1023.6 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

GigabitEthernet 0
        flags=6211<UP,BROADCAST,RUNNING,SUBORDINATE,MULTICAST>  mtu 1500
        ether 88:5a:92:88:4a:ea  txqueuelen 1000  (Ethernet)
        RX packets 1726027  bytes 307336369 (293.0 MiB)
        RX errors 0  dropped 844  overruns 0  frame 0
        TX packets 1295620  bytes 1073397536 (1023.6 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
        device memory 0xfab00000-fabfffff  

GigabitEthernet 1
        flags=6211<UP,BROADCAST,RUNNING,SUBORDINATE,MULTICAST>  mtu 1500
        ether 88:5a:92:88:4a:ea  txqueuelen 1000  (Ethernet)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
        device memory 0xfaa00000-faafffff

NIC 결합 제거

backup interface 명령의 no 양식을 이용해 NIC 결합을 제거합니다.

시작하기 전에

프로시저

단계 1

관리자 계정으로 Cisco ISE CLI에 로그인합니다.

단계 2

configure terminal을 입력하여 구성 모드에 들어갑니다.

단계 3

interface GigabitEthernet 0 명령을 입력합니다.

단계 4

no backup interface GigabitEthernet 1 명령을 입력합니다. 

% Notice: Bonded Interface bond 0 has been removed.
단계 5

Y 를 입력하고 Enter를 누릅니다.

결합 0이 제거되었습니다. Cisco ISE가 자동으로 재시작됩니다. 모든 서비스가 정상적으로 작동할 수 있도록 잠시 기다립니다. CLI에서 show application status ise 명령을 입력하여 모든 서비스가 실행 중인지 확인합니다. 


ise/admin# configure terminal  
Enter configuration commands, one per line.  End with CNTL/Z.
ise/admin(config)# interface gigabitEthernet 0 
ise/admin(config-GigabitEthernet)# no backup interface gigabitEthernet 1

Changing backup interface configuration may cause ISE services to restart.
Are you sure you want to proceed? Y/N [N]: Y 
Stopping ISE Monitoring & Troubleshooting Log Collector...
Stopping ISE Monitoring & Troubleshooting Log Processor...
ISE PassiveID Service is disabled
ISE pxGrid processes are disabled
Stopping ISE Application Server...
Stopping ISE Certificate Authority Service...
Stopping ISE EST Service...
ISE Sxp Engine Service is disabled
Stopping ISE Profiler Database...
Stopping ISE Indexing Engine...
Stopping ISE Monitoring & Troubleshooting Session Database...
Stopping ISE AD Connector...
Stopping ISE Database processes...
Starting ISE Monitoring & Troubleshooting Session Database...
Starting ISE Profiler Database...
Starting ISE Application Server...
Starting ISE Indexing Engine...
Starting ISE Certificate Authority Service...
Starting ISE EST Service...
Starting ISE Monitoring & Troubleshooting Log Processor...
Starting ISE Monitoring & Troubleshooting Log Collector...
Starting ISE AD Connector...
Note: ISE Processes are initializing. Use 'show application status ise'
      CLI to verify all processes are in running state. 
ise/admin(config-GigabitEthernet)#

DVD를 사용하여 잊었거나 손상된 암호 재설정

시작하기 전에

Cisco ISE 소프트웨어 DVD를 사용하여 Cisco ISE 어플라이언스를 시작할 때 문제를 일으킬 수 있는 다음과 같은 연결 관련 조건을 알아두십시오.

  • 터미널 서버가 exec으로 설정된 Cisco ISE 어플라이언스에 직렬 콘솔을 통해 연결되어 있습니다. 이를 no exec으로 설정하면 키보드 및 비디오 모니터 연결과 직렬 콘솔 연결을 사용할 수 있습니다.

  • Cisco ISE 어플라이언스와 키보드 및 비디오 모니터 연결이 설정되어 있습니다(원격 키보드 및 비디오 모니터 연결 또는 VMware vSphere 클라이언트 콘솔 연결).

  • Cisco ISE 어플라이언스와의 직렬 콘솔 연결이 설정되어 있습니다.

프로시저

단계 1

Cisco ISE 어플라이언스의 전원이 켜져 있어야 합니다.

단계 2

Cisco ISE 소프트웨어 DVD를 삽입합니다.

예를 들어 Cisco ISE 3515 콘솔에 다음과 같은 메시지가 표시됩니다. 
Cisco ISE Installation (Serial Console)
  Cisco ISE Installation (Keyboard/Monitor)
  System Utilities (Serial Console)
  System Utilities (Keyboard/Monitor)
단계 3

로컬 직렬 콘솔 포트 연결을 사용한다면 화살표 키를 사용하여 시스템 유틸리티(직렬 콘솔)를 선택하고, 어플라이언스에 키보드 및 비디오 모니터 연결을 사용한다면 시스템 유틸리티(키보드/모니터를 선택한 다음, Enter를 누릅니다.

ISO 유틸리티 메뉴가 아래와 같이 표시됩니다. 

Available System Utilities:
  [1] Recover Administrator Password
  [2] Virtual Machine Resource Check
  [3] Perform System Erase
  [q] Quit and reload
Enter option [1 - 3] q to Quit:
단계 4

관리자 비밀번호를 복구하려면 1을 입력합니다.

콘솔에 다음과 같이 표시됩니다. 


Admin Password Recovery
This utility will reset the password for the specified ADE-OS administrator.
At most the first five administrators will be listed. To cancel without
saving changes, enter [q] to Quit and return to the utilities menu.

[1]:admin
[2]:admin2
[3]:admin3
[4]:admin4

Enter choice between [1 - 4] or q to Quit: 2

Password:
Verify password:

Save change and reboot? [Y/N]:
단계 5

비밀번호를 재설정하려는 관리자 사용자에 해당하는 번호를 입력합니다.

단계 6

새 비밀번호를 입력하고 확인합니다.

단계 7

Y를 입력하여 변경 사항을 저장합니다.

관리자 잠금 때문에 비활성화된 암호 재설정

관리자는 잘못된 비밀번호를 몇 번까지 입력하면 계정을 비활성화할 것인지 지정할 수 있습니다. 최소값이자 기본값은 5입니다.

다음 지침을 따르면 Cisco ISE CLI에서 application reset-passwd ise 명령으로 관리자 사용자 인터페이스 암호를 재설정할 수 있습니다. 이는 관리자의 CLI 비밀번호에는 영향을 주지 않습니다. 관리자 비밀번호를 성공적으로 재설정하면 인증서가 즉시 활성화되고 시스템 재부팅 없이 로그인할 수 있습니다. .

Cisco ISE가 Administrator Logins(관리자 로그인) 창에 로그 항목을 추가합니다. 이 창을 보려면 메뉴 아이콘()을 클릭하고 운영 > 보고서 > 보고서 > 감사 > 관리자 로그인입니다. 해당 관리자 ID의 인증서는 해당 관리자 ID와 연결된 암호를 재설정할 때까지 일시 중단됩니다.

프로시저

단계 1

직접 콘솔 CLI에 액세스하고 다음을 입력합니다.

application reset-passwd ise administrator_ID

단계 2

이 관리자 ID에 사용되었던 이전의 두 비밀번호와 다른 새 비밀번호를 지정하고 확인합니다. 


Enter new password:
Confirm new password:

Password reset successfully

RMA(Return Material Authorization)

RMA(Return Material Authorization)의 경우 SNS 서버에서 개별 구성 요소를 교체한다면, Cisco ISE를 설치 하기 전에 어플라이언스를 다시 설치해야 합니다. Cisco TAC에 지원을 요청하십시오.

Cisco ISE Appliance의 IP 주소 변경

시작하기 전에

  • IP 주소를 변경하기에 앞서 Cisco ISE 노드가 독립형 상태인지 확인합니다. 노드가 분산 구축에 포함된 경우 그 구축에서 노드를 등록 취소하고 독립형 노드로 만듭니다.

  • Cisco ISE Appliance IP 주소를 변경할 때는 no ip address 명령은 사용하지 마십시오.

프로시저

단계 1

Cisco ISE CLI에 로그인합니다.

단계 2

다음 명령을 입력합니다.

  1. configure terminal

  2. interface GigabitEthernet 0

  3. ip address new_ip_address new_subnet_mask

    IP 주소 변경에 대한 메시지가 표시됩니다. Y 을 입력합니다. 다음과 비슷한 화면이 나타납니다. 

ise-13-infra-2/admin(config-GigabitEthernet)# ip address a.b.c.d 255.255.255.0

% Changing the IP address might cause ISE services to restart
Continue with IP address change? Y/N [N]: y
Stopping ISE Monitoring & Troubleshooting Log Collector...
Stopping ISE Monitoring & Troubleshooting Log Processor...
Stopping ISE Identity Mapping Service...
Stopping ISE pxGrid processes...
Stopping ISE Application Server...
Stopping ISE Certificate Authority Service...
Stopping ISE Profiler Database...
Stopping ISE Monitoring & Troubleshooting Session Database...
Stopping ISE AD Connector...
Stopping ISE Database processes...
Starting ISE Monitoring & Troubleshooting Session Database...
Starting ISE Profiler Database...
Starting ISE pxGrid processes...
Starting ISE Application Server...
Starting ISE Certificate Authority Service...
Starting ISE Monitoring & Troubleshooting Log Processor...
Starting ISE Monitoring & Troubleshooting Log Collector...
Starting ISE Identity Mapping Service...
Starting ISE AD Connector...
Note: ISE Processes are initializing. Use 'show application status ise'
CLI to verify all processes are in running state.

Cisco ISE에서 시스템을 다시 시작하라는 메시지를 표시합니다.

단계 3

Y 를 입력하여 시스템을 다시 시작합니다.

설치 및 업그레이드 기록 보기

Cisco ISE에서는 Cisco ISE 릴리스 및 패치의 설치, 업그레이드, 제거 세부 사항을 볼 수 있도록 CLI(Command Line Interface) 명령을 제공합니다. show version history 명령은 다음 세부 사항을 제공합니다.

  • Date—설치 또는 제거가 수행된 날짜와 시간

  • Application—Cisco ISE 애플리케이션

  • Version—설치되었거나 제거된 버전

  • Action—설치, 제거, 패치 설치 또는 패치 제거

  • Bundle Filename—설치되었거나 제거된 번들의 이름

  • Repository—설치된 Cisco ISE 애플리케이션 번들이 있던 리포지토리 제거에는 해당되지 않습니다.

프로시저

단계 1

Cisco ISE CLI에 로그인합니다.

단계 2

show version history 명령을 입력합니다.

다음과 같이 출력됩니다. 


ise/admin# show version history
---------------------------------------------
Install Date: Fri Nov 30 21:48:58 UTC 2018 
Application: ise 
Version: 3.0.0.xxx 
Install type: Application Install 
Bundle filename: ise.tar.gz 
Repository: SystemDefaultPkgRepos 

ise/admin#

시스템 지우기 수행

시스템 지우기를 수행하여 Cisco ISE 어플라이언스 또는 VM의 모든 정보를 안전하게 지울 수 있습니다. 이 시스템 지우기 옵션을 통해 Cisco ISE에서 NIST Special Publication 800-88 데이터 삭제 표준을 준수할 수 있습니다.

시작하기 전에

Cisco ISE 소프트웨어 DVD를 사용하여 Cisco ISE 어플라이언스를 시작할 때 문제를 일으킬 수 있는 다음과 같은 연결 관련 조건을 알아두십시오.

  • 터미널 서버가 exec으로 설정된 Cisco ISE 어플라이언스에 직렬 콘솔을 통해 연결되어 있습니다. 이를 no exec으로 설정하면 KVM 연결 및 직렬 콘솔 연결을 사용할 수 있습니다.

  • Cisco ISE 어플라이언스와 KVM(keyboard and video monitor) 연결이 설정되어 있습니다(원격 KVM 또는 VMware vSphere 클라이언트 콘솔 연결).

  • Cisco ISE 어플라이언스와의 직렬 콘솔 연결이 설정되어 있습니다.

프로시저

단계 1

Cisco ISE 어플라이언스의 전원이 켜져 있어야 합니다.

단계 2

Cisco ISE 소프트웨어 DVD를 삽입합니다.

예를 들어 Cisco ISE 3515 콘솔에 다음과 같은 메시지가 표시됩니다. 



  Cisco ISE Installation (Serial Console)
  Cisco ISE Installation (Keyboard/Monitor)
  System Utilities (Serial Console)
  System Utilities (Keyboard/Monitor)
단계 3

화살표 키를 사용하여시스템 유틸리티(직렬 콘솔)를 선택하고 Enter를 누릅니다.

ISO 유틸리티 메뉴가 아래와 같이 표시됩니다. 



Available System Utilities:

[1] Recover administrator password
[2] Virtual Machine Resource Check
[3] System Erase
[q] Quit and reload

Enter option [1 - 3] q to Quit:
단계 4

3을 입력하여 시스템 지우기를 수행합니다.

콘솔에 다음과 같이 표시됩니다. 

 **********   W A R N I N G   **********
THIS UTILITY WILL PERFORM A SYSTEM ERASE ON THE DISK DEVICE(S). THIS PROCESS CAN TAKE UP TO 5 HOURS TO COMPLETE. THE RESULT WILL BE COMPLETE
DATA LOSS OF THE HARD DISK. THE SYSTEM WILL NO LONGER BOOT AND WILL REQUIRE A RE-IMAGE FROM INSTALL MEDIA TO RESTORE TO FACTORY DEFAULT STATE.

ARE YOU SURE YOU WANT TO CONTINUE? [Y/N] Y
단계 5

Y를 입력합니다.

콘솔에서 또 다른 경고를 표시합니다. 

THIS IS YOUR LAST CHANGE TO CANCEL. PROCEED WITH SYSTEM ERASE? [Y/N] Y
단계 6

Y를 입력하여 시스템 지우기를 수행합니다.

콘솔에 다음과 같이 표시됩니다. 

Deleting system disk, please wait…
Writing random data to all sectors of disk device (/dev/sda)…
Writing zeros to all sectors of disk device (/dev/sda)…
Completed!  System is now erased.  
Press <Enter> to reboot.

시스템 지우기를 수행한 다음 어플라이언스를 재사용하려면 Cisco ISE DVD를 사용하여 시스템을 부팅하고 부트 메뉴에서 설치 옵션을 선택해야 합니다.