두개의 데이터센터에 있는 ISE 를 연결시키는 작업

1005 trnet-default                    act/unsup
C3650-24-PS#show ip int b
Interface              IP-Address      OK? Method Status                Protocol
Vlan1                  unassigned      YES NVRAM  up                    up
Vlan11                 10.1.1.253      YES manual up                    up
Vlan21                 10.2.1.253      YES manual up                    up

문제는 집에서 홈랩으로 연습하기 때문에 사실상 ESXI 에서 하나의 switch0 에 물려있는 구조

ESXI 에서 Port group 2개를 만들어 준다

VLAN11

VLAN21

이렇게 세팅함으로써 두개의 데이터센터에 있는 ISE 는 서로 통신이 되었고

UK Datacenter 에 있는 DNS Server 가 서로의 FQDN 을 가지고 있는 구조다

그리고 관리PC에서 는 현재 이런 상태인데 (아래)

프라이머리 ISE 에서 현재 이런 워닝이 뜨면서

더 진행을 해보니까 이런 오류가 생기더라..

admin 계정의 권한을 보니까 이미 Super User로 되어있어서 이건문제가 되지 않은것 같고

다시 관리 PC에서 세컨더리 ISE 로 접속을 해야되는데
관리 PC Ethernet 에는 10.2.1.x 대역이 없어서

여러가지 방법이 있겠지만 PC에 그냥 정적 라우트를 추가 했다

route add 10.2.1.0 mask 255.255.255.0 10.1.1.253 -p

1. -p 옵션은 재부팅후에도 계속 유지한다는것이고

2. 이렇게 세팅하면 10.2.1x 대역을 10.1.1.253 을 통해서 보내게되었다

이후 세컨더리 ISE 에 정상 접속할수 있게 되었다

짜증나는 60일 패스워드 변경 옵션을 꺼버려야겠다

빡치게도 또 로그인이 안되는 사태가 발생했고...(아래)

세컨더리 ISE 를 그냥 재부팅 시켰다

홈랩의 장점은 무진장 빠르다는것이다

반응속도가 칼이라 한번만 제대로 세팅해놓고 스냅샷을 떠놓으면 그때부터는 아주 빠르게 기술을 무한반복하면서

내껏으로 만들수 있다

감사하게도 SP 자료를 아시는분에게 구했는데

이것은 천천히 공부해볼생각이다...

내가 살고 있는 지금 이시대는 너무나 많은 공부자료와 , 무료로 AI 와 공부해볼수 있고 ,

마음만 먹으면 정말로 모든 스킬을 연습할수 있다

저처럼 근사한 서버가 있지 않아도...

저의 서버는 아주 고사양으로 이 장난감으로 모든걸 해볼수 있다...

이번생에 또 서버를 살까 싶을정도로 고사양인데... 가지고 놀다보니까 저장공간이 부족해서 계속 확장해서 쓰고 있는데

시놀로지 NAS 를 연결해서 NAS 에 하드를 추가하는 방식으로 확장성을 높혔다

ESXI 서버에 직접 장착할수도 있겠지만 말이다...

시놀로지 NAS는 현재 4베이인데 나중에는 제일큰걸로 바꿔야겠다는 그런 계획도 있다

그러니까 결국 NAS 가 우리집 데이터 센터인것이다..

좌우지간 이러한 서버가 없다고 해도 아래의 Packet Tracer 로 모든것을 진짜 다해볼수 있다..

왠만한 CCNA , CCNP , 까지는 공부하는데 무리가 없을거라고 보고

Eve-ng , pnet , 그리고 CML-2 까지도 ... 정말로 너무나 공부하기 좋은 환경에 살고 있다

정보가 너무많다보니까 뭐부터 해야될지 모르는 그런 딜레마에 빠지게 되는데

자신에게 맞는걸 또 찾는것이 아주 힘든길이다

나는 근 3년만에 정말 괜찮은 것을 만났고 , 그것을 앞으로 시작하려고 하고 있다

너무 기대되고 , 기술적으로의 성장이 기대된다...

이론만 아는것이 아닌 기술적 성장을 말이다..

아무튼 다시...ISE 로 돌아와서 자꾸 열받게 패스워드를 리셋하라고 한다...

몇번의 실패 끝에 다시 패스워드 리셋했다.

application reset-passwd ise admin

패스워드 관련 정책을 전부다 꺼버렸다..(아래)

비번을 다시 원래 대로 바꾸었고 (아래)

바뀌었으니까 재로그인을 하라고 한다 (아래)

성공적으로 로그인을했다.

세컨더리 ISE 역시도 인증서를 받았다

그이후 셀프 서명하고

& "C:\Program Files\OpenSSL-Win64\bin\openssl.exe" req -x509 -nodes -newkey rsa:2048 -days 365 `
  -keyout ise-f.key -out ise-f.crt `
  -subj "/CN=ise-f.malen.local/OU=IT/O=CCIE/L=RDP/ST=CA/C=US" `
  -addext "subjectAltName=DNS:ise-f.malen.local,IP:10.2.1.13" `
  -addext "extendedKeyUsage=serverAuth,clientAuth"

키 두개가 생겼음

세컨더리에 Trusted 에다가
Primary 인증서 추가해주고

반대로 프라이머리에 세컨더리 인증서 추가해줬다

그러다가 NTP 동기화 설정을 하기위해서 삼천포로 빠졌는데..(아래)

10.1.1.254 NTP server windows server 를 하나 VM 에 돌리고 ... 외부인터넷으로 나가지 못하는 버블 인터넷이기 때문에

ntp server 의 시간을 그냥 모든 장비에 뿌려주는 방식으로 시간을 동기화

기다리면 이제 시간이 맞춰지게 될거라고 예상...

reach 1 카운터가 올라간것을 볼수 있다

이제 다시 프라이머리 ISE 에 세컨더리 추가해보자......

아직도 여전히 계속 오류가...(아래)

DNS 서버에서 제대로 정보를 가져오는데..(아래)

의심되는것은...세컨더리 hostname 을 내가 대문자 ISE-F 로 만들었다는것이고...(아래)

DNS 쿼리는 대소문자를 구분하지 않지만,
ISE 내부 노드 등록 로직은 FQDN 문자열 비교 시 Case-sensitive 로 동작하는 버그가 과거 버전에 있었습니다.
그래서 호스트네임과 DNS 이름을 동일한 대소문자로 맞추는 게 안전합니다.

이걸 다시 ise-f 로 이름을 바꾸는 과정 (아래)

재부팅되면서 또 기다림의 연속....(아래)

이지점에서 다시 스냅샷을 뜰예정....

한참을 기다린뒤 수정된것을 볼수 있고 (아래)

여전히 실패하고 있다 ...

세컨더리의 상태 다시 체크...

프라이머리 서비스 상태 다시 체크

방향프로토콜포트용도

Primary → Secondary	TCP	7800	노드 등록(Replication)
Primary ↔ Secondary	TCP	443	HTTPS / API 통신
Primary ↔ Secondary	TCP	8905, 8906	데이터 동기화
Primary ↔ Secondary	TCP	1521	Oracle DB Listener
Primary ↔ Secondary	TCP	1645-1646 / 1812-1813	RADIUS (Optional for auth sync)