皆様こんにちは、Ciscoセキュリティ担当の吉村と申します。

本日は、ISEの構成についてご説明させていただきます。

ISE は、RADIUS サーバとして動作し、様々なセキュリティポリシーの管理・設定・適用・監視を行うサーバです。

スイッチや WLAN コントローラなどの NAD （Network Access Device）からみた AAA（Authentication, Authorization, Accounting / 認証、認可、アカウンティング） を行うサーバとして利用する位置づけになります。

ISEの構成

現行機種

現在、ISEの物理アプライアンスは以下の3種類があります。

型番の数字が大きくなるにつれてスペックが上がると考えていただいて問題ございません。

表1. ISE現行物理アプライアンス一覧

より詳細なスペックにつきましては、各データシート等をご参照ください。

また本記事の最後にもパフォーマンスシートのリンクを載せておりますので、そちらも併せてご参照ください。

*SNS-36XXシリーズはEoS：2023/8 （2025年11月追記）

**SNS-37XXシリーズはEoS：2025/12 （2025年11月追記）

また、バーチャルアプライアンスもあり、ISE3.1～ではVMアプライアンスは以下のプラットフォームをサポートしています

・VMware ESXi 6.5 and later, 7.x

・Microsoft Hyper-V on Microsoft Windows Server 2012 R2 and later

・KVM on QEMU 2.12.0-99

・Nutanix AHV 20201105.2096

・VMware cloud in Amazon Web Service(AWS)

・Azure VMware solution

・AWSマーケットプレイス

※プラットフォームの対応状況はバージョンによって異なりますので、Release note等で必ずご確認ください。

3.4リリースノート(2025年11月時点推奨バージョン)

>Compatibility

>Supported virtual environments

導入にあたっての構成

ISEの導入構成ですが、検討にあたり役割ノードというのを考慮する必要があります。

役割ノードは以下の表のように4つあり、これらをペルソナと呼びます。

また、ペルソナによってはスタンドアロン、プライマリ、セカンダリなどの役割(ロール)を持つものもあります。

これらのペルソナをどのように動作させるかにより、導入構成が決まってきます。

表2. ペルソナ一覧

ペルソナ間の関係参考図

構成の種類

小規模分散構成(スタンドアロン)

ISE1台構成で4つのペルソナをすべて稼働させる構成となります。

本構成では、冗長性がないためISE障害時に認証がすべて止まってしまうため、あまり推奨しておりません。

サポートする最大エンドポイント数は、プラットフォームによって異なり、以下のようになっております。

• 3615：最大10000
• 3655：最大25000
• 3695：最大50000
• 3715：最大25000
• 3755：最大50000
• 3795：最大50000
• 3815：最大25000
• 3855：最大50000
• 3895：最大50000

小規模分散構成(冗長構成)

ISE2台構成することで、それぞれに3つのペルソナをすべて稼働させ、冗長性を提供する構成となります。

PANとMnTはPrimary/Secondaryを指定することができ、PSNに関しましては、2台のISEで両アクティブとして動作致します。

サポートする最大エンドポイント数は、プラットフォームによって異なりますが、1のスタンドアロン構成でのサポート数と同じになることに注意してください。

• 3615：最大10000
• 3655：最大25000
• 3695：最大50000
• 3715：最大25000
• 3755：最大50000
• 3795：最大50000
• 3815：最大25000
• 3855：最大50000
• 3895：最大50000

また本構成では、障害復旧後のタイミングで行われる切り戻し作業の際に認証断が発生するタイミングがありますため、認証断が許容できない場合は非推奨となります。

中規模分散構成

分散構成では、複数のISEを親と子というような関係性を作り冗長性を確保します。

ペルソナを異なるISEノードに分散させて提供する構成です。

親として、PANとMnTのPrimary/Secoundaryで2台用意し、その配下に子としてPSNノードを配置する形になります。

必ず親2台、子複数台という構成になり、親2台、子2台の計4台が最小構成となります。

またPSNは最大6台まで構成可能となっております。※ISE 3.0から

サポートする最大エンドポイント数は、PANとMnTを収容しているプラットフォームによって異なりますが、1のスタンドアロン構成でのサポート数と同じになることに注意してください。

• 3615：最大10000
• 3655：最大25000
• 3695：最大50000
• 3715：最大75000
• 3755：最大150000
• 3795：最大150000
• 3815：最大75000
• 3855：最大150000
• 3895：最大150000

大規模分散構成

大規模分散構成では、親の関係であるPANとMnTノードのPrimaryとSecoundaryをそれぞれISE1台ずつ持たせ、親計4台とPSNを持つ子(2台から50台まで)で構成されます。

親4台、子2台の計6台が最小構成となります。

また、PSNは最大50台まで構成可能となっております

PANとMnTを収容しているプラットフォームは、3655/3695/3755/3795/3855/3895で構成する必要があります。(2025年11月追記)

サポートする最大エンドポイント数は、PANとMnTを収容しているプラットフォームによって異なります。

• 3655：最大500000
• 3695：最大2000000
• 3755：最大750000
• 3795：最大2000000
• 3855：最大750000
• 3895：最大2000000

ISEの構成について、より詳細な情報が欲しい場合につきましては、以下のメーカガイドをご参照いただければと思います。

ペルソナのより詳細な役割などが記載されております。

また、本記事で記載したエンドポイントサポート数などの数値につきましては、下記のパフォーマンスシートから抜粋しているものになっております。

あわせて、以下もご参照ください。

今回はISEの構成について、解説させていただきました。

次回はISEのライセンスについて紹介いたします。

■関連記事