これ一台でアクセス管理!Cisco ISEの構成についての紹介
皆様こんにちは、Ciscoセキュリティ担当の吉村と申します。
本日は、ISEの構成についてご説明させていただきます。
ISE は、RADIUS サーバとして動作し、様々なセキュリティポリシーの管理・設定・適用・監視を行うサーバです。
スイッチや WLAN コントローラなどの NAD (Network Access Device)からみた AAA(Authentication, Authorization, Accounting / 認証、認可、アカウンティング) を行うサーバとして利用する位置づけになります。
目次[非表示]
- 1.ISEの構成
- 1.1.現行機種
- 1.2.導入にあたっての構成
- 2.構成の種類
- 2.1.小規模分散構成(スタンドアロン)
- 2.2.小規模分散構成(冗長構成)
- 2.3.中規模分散構成
- 2.4.大規模分散構成
ISEの構成
現行機種
現在、ISEの物理アプライアンスは以下の3種類があります。
型番の数字が大きくなるにつれてスペックが上がると考えていただいて問題ございません。
表1. ISE現行物理アプライアンス一覧
型番 |
Description |
HW構成 |
SNS-3615-K9 |
Small Secure Network Server for ISE Applications |
32GB RAM , 600GB SAS 10k rpm and 8-Core CPU |
SNS-3655-K9 |
Medium Secure Server for ISE Applications |
96GB RAM , 600GBx4 SAS 10k rpm and 12-Core CPU |
SNS-3695-K9 |
Large Secure Server for ISE Applications |
256GB RAM , 600GBx8 SAS 10k rpm and 12-Core CPU |
より詳細なスペックにつきましては、下記データシート等をご参照ください。
また本記事の最後にもパフォーマンスシートのリンクを載せておりますので、そちらも併せてご参照ください。
また、バーチャルアプライアンスもあり、ISE3.1~ではVMアプライアンスは以下のプラットフォームをサポートしています
・VMware ESXi 6.5 and later, 7.x
・Microsoft Hyper-V on Microsoft Windows Server 2012 R2 and later
・KVM on QEMU 2.12.0-99
・Nutanix AHV 20201105.2096
・VMware cloud in Amazon Web Service(AWS)
・Azure VMware solution
・AWSマーケットプレイス
※プラットフォームの対応状況はバージョンによって異なりますので、Release note等で必ずご確認ください。
>System Requirements
>Supported Virtual Environments
導入にあたっての構成
ISEの導入構成ですが、検討にあたり役割ノードというのを考慮する必要があります。
役割ノードは以下の表のように4つあり、これらをペルソナと呼びます。
また、ペルソナによってはスタンドアロン、プライマリ、セカンダリなどの役割(ロール)を持つものもあります。
これらのペルソナをどのように動作させるかにより、導入構成が決まってきます。
表2. ペルソナ一覧
名前 |
役割 |
PSN(Policy services Node) |
ポリシーに対する決定を行う。Radiusサーバとして動く認証そのもの。 |
Admin,PAN(Policy Administration Node) |
GUIそのものを提供し、ポリシーの設定等を実施する。Primary/Secondaryのロールを持つ。 |
MnT(Monitoring and Troubleshooting Node) |
レポーティングやロギングを行うもの。Primary/Secondaryのロールを持つ。 |
pxGrid Controller |
pxGridの機能を使う際に使用するもの。 |
※pxGridは Cisco ISE と他のセキュリティ製品(Cisco やサードパーティ含む)を連携するための機能。利用しない場合は無効にできる。
ペルソナ間の関係参考図
構成の種類
小規模分散構成(スタンドアロン)
ISE1台構成で4つのペルソナをすべて稼働させる構成となります。
本構成では、冗長性がないためISE障害時に認証がすべて止まってしまうため、あまり推奨しておりません。
サポートする最大エンドポイント数は、プラットフォームによって異なり、以下のようになっております。
- 3615:最大10000
- 3655:最大25000
- 3695:最大50000
小規模分散構成(冗長構成)
ISE2台構成することで、それぞれに3つのペルソナをすべて稼働させ、冗長性を提供する構成となります。
PANとMnTはPrimary/Secondaryを指定することができ、PSNに関しましては、2台のISEで両アクティブとして動作致します。
サポートする最大エンドポイント数は、プラットフォームによって異なりますが、1のスタンドアロン構成でのサポート数と同じになることに注意してください。
- 3615:最大10000
- 3655:最大25000
- 3695:最大50000
また本構成では、障害復旧後のタイミングで行われる切り戻し作業の際に認証断が発生するタイミングがありますため、認証断が許容できない場合は非推奨となります。
中規模分散構成
分散構成では、複数のISEを親と子というような関係性を作り冗長性を確保します。
ペルソナを異なるISEノードに分散させて提供する構成です。
親として、PANとMnTのPrimary/Secoundaryで2台用意し、その配下に子としてPSNノードを配置する形になります。
必ず親2台、子複数台という構成になり、親2台、子2台の計4台が最小構成となります。
またPSNは最大6台まで構成可能となっております。※ISE 3.0から
サポートする最大エンドポイント数は、PANとMnTを収容しているプラットフォームによって異なりますが、1のスタンドアロン構成でのサポート数と同じになることに注意してください。
- 3615:最大10000
- 3655:最大25000
- 3695:最大50000
大規模分散構成
大規模分散構成では、親の関係であるPANとMnTノードのPrimaryとSecoundaryをそれぞれISE1台ずつ持たせ、親計4台とPSNを持つ子(2台から50台まで)で構成されます。
親4台、子2台の計6台が最小構成となります。
また、PSNは最大50台まで構成可能となっております
PANとMnTを収容しているプラットフォームは、3655もしくは3695で構成する必要があります。
サポートする最大エンドポイント数は、PANとMnTを収容しているプラットフォームによって異なります。
- 3655:最大500000
- 3695:最大2000000
ISEの構成について、より詳細な情報が欲しい場合につきましては、以下のメーカガイドをご参照いただければと思います。
ペルソナのより詳細な役割などが記載されております。
また、本記事で記載したエンドポイントサポート数などの数値につきましては、下記のパフォーマンスシートから抜粋しているものになっております。
あわせて、以下もご参照ください。
今回はISEの構成について、解説させていただきました。
次回はISEのライセンスについて紹介いたします。
