はじめに
このドキュメントでは、Azure Virtual Machineを使用してCisco ISE IOSインスタンスをインストールする方法について説明します。Cisco ISE IOSはAzure Cloud Servicesで利用できます。
前提条件
All Services > Subscriptionsの順に移動します。Microsoftとエンタープライズ契約を結んでいるアクティブなサブスクリプションを持つAzureアカウントが存在することを確認します。Microsoft PowerShell AzureモジュールのCLI実行コマンドを使用して領域を予約する: (Power Shellおよび関連パッケージのインストールについては、<Azure PowerShellのインストール方法>を参照してください)。
![パワーシャル2](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-00.png)
注:テナントIDを実際のテナントIDに置き換えます
詳細については、Azure VMwareソリューションのatRequestホストクォータの前提条件を完了してください。
サブスクリプションを右クリックして、All Services > Resource groupsの順に選択し、リソースグループを作成します。[Add] をクリックします。リソースグループ名を入力します。
![リソースグループ名](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-01.png)
インターネットの到達可能性を必要とするサブネットには、ネクストホップがインターネットとして設定されたルートテーブルが必要です。パブリックおよびプライベートサブネットワークの例を参照してください。パブリックIPを使用したPANオフラインとオンラインの両方のフィードの更新を機能させますが、プライベートIPを使用したPANはオフラインのフィードの更新に依存する必要があります。
![要件](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-02.png)
a. Azure Web Portalホームページの検索バーを使用して、SSHキーを検索します。
![SSHキーの検索](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-03.png)
b.次のウィンドウでCreateをクリックします。
![キーの作成](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-04.png)
c.次のウィンドウで、リソースグループとキー名を選択します。次に、「レビュー+作成」をクリックします。
![SSHキーの作成](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-05.png)
d.次のウィンドウで、Create and Download Private Keyをクリックします。
![秘密キーのダウンロード](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-06.png)
使用するコンポーネント
このドキュメントの内容は、次のソフトウェアおよびクラウドサービスに基づいています。
- Cisco ISE バージョン 3.2.
- Microsoft Azureクラウドサービス
このドキュメントの情報は、特定のラボ環境のデバイスで作成されたものです。このドキュメント内で使用されているデバイスはすべて、クリアな設定(デフォルト)から作業を始めています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
Cisco ISEでサポートされるAzure VMサイズ
![ISE VMサイジング](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-07.png)
- Fsv2シリーズAzure VMサイズはコンピューティングに最適化されており、膨大なコンピューティングを必要とするタスクやアプリケーションのPSNとして使用するのに最適です。
- Dsv4シリーズは、PANまたはMnTノード、あるいはその両方での使用に最適な、データ処理タスクとデータベース操作を対象とした汎用のAzure VMサイズです。
汎用インスタンスをPSNとして使用する場合、パフォーマンスの数値は、コンピューティング最適化インスタンスのPSNとしてのパフォーマンスよりも低くなります。Standard_D8s_v4 VMサイズは、追加の小さいPSNとしてのみ使用する必要があります。
注:既存のAzure Cloudイメージを複製してCisco ISEインスタンスを作成しないでください。これを実行すると、作成されたISEマシンでランダムかつ予期しない誤動作が発生する可能性があります。
Microsoft AzureクラウドサービスにおけるCisco ISEの制限
-
Azure仮想マシンを使用してCisco ISEを作成する場合、デフォルトで、Microsoft AzureはDHCPサーバを介してプライベートIPアドレスをVMに割り当てます。Microsoft Azure上にCisco ISEの導入を作成する前に、Microsoft Azureによって割り当てられたIPアドレスを使用して正引きDNSエントリと逆引きDNSエントリを更新する必要があります。
または、Cisco ISEをインストールした後、Microsoft Azureでネットワークインターフェイスオブジェクトを更新して、静的IPアドレスをVMに割り当てます。
-
VMを停止します。
-
VMのPrivate IP address settings領域にあるAssignment領域で、Staticをクリックします。
-
VMを再起動します。
-
Cisco ISEシリアルコンソールで、IPアドレスをGi0として割り当てます。
-
Cisco ISEアプリケーションサーバを再起動します。
-
デュアルNICは、ギガビットイーサネット0とギガビットイーサネット1の2つのNICだけでサポートされます。Cisco ISEインスタンスでセカンダリNICを設定するには、まずAzureでネットワークインターフェイスオブジェクトを作成し、Cisco ISEインスタンスの電源をオフにしてから、このネットワークインターフェイスオブジェクトをCisco ISEに接続する必要があります。AzureにCisco ISEをインストールして起動したら、Cisco ISE CLIを使用して、ネットワークインターフェイスオブジェクトのIPアドレスを手動でセカンダリNICとして設定します。
- Cisco ISEアップグレードワークフローは、Microsoft Azure上のCisco ISEでは使用できません。新規インストールのみがサポートされます。ただし、設定データのバックアップと復元は実行できます。
- パブリッククラウドはレイヤ3機能のみをサポートします。Microsoft Azure上のCisco ISEノードは、レイヤ2機能に依存するCisco ISE機能をサポートしていません。たとえば、Cisco ISE CLIを使用したDHCP SPANプロファイラプローブおよびCDPプロトコル機能の操作は、現在サポートされていない機能です。
- 設定データの復元およびバックアップ機能を実行する場合、バックアップオペレーションが完了した後、CLIを使用してCisco ISEを再起動します。次に、Cisco ISE GUIから復元操作を開始します。
- パスワードベースの認証を使用したCisco ISE CLIへのSSHアクセスは、Azureではサポートされていません。Cisco ISE CLIには、キーペアを介してのみアクセスできます。このキーペアは安全に保存する必要があります。秘密キー(PEM)ファイルを使用していて、そのファイルが失われると、Cisco ISE CLIにアクセスできなくなります。
パスワードベースの認証方式を使用してCisco ISE CLIにアクセスする統合(Cisco DNA Centerリリース2.1.2以前など)はサポートされていません。
-
AzureでのCisco ISE IOSの展開では通常、Dynamic Multipoint Virtual Private Networks(DMVPN)やソフトウェア定義型ワイドエリアネットワーク(SD-WAN)などのVPNソリューションを活用します。これらのソリューションでは、IPSecトンネルのオーバーヘッドによってMTUとフラグメンテーションの問題が発生する可能性があります。このようなシナリオでは、Cisco ISE IOSは完全なRADIUSパケットを受信せず、認証の失敗は失敗エラーログをトリガーせずに発生します。
考えられる回避策として、Microsoftのテクニカルサポートに問い合わせて、順序が正しくないフラグメントがドロップされずに宛先に渡される可能性があるAzureのソリューションを調べる方法があります。
- CLI管理者ユーザは「iseadmin」でなければなりません。
設定
Azureクラウドに接続されたISEの導入例
![Azure2でのISEの導入例](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-08.png)
コンフィギュレーション
- ステップ(1):Azureポータルに移動し、Microsoft Azureアカウントにログインします。
![Azureにログイン](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-09.png)
- ステップ(2):ウィンドウ上部の検索フィールドを使用して、Marketplaceを検索します。
![マーケットプレイスの検索](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-10.png)
- ステップ(3):Marketplaceの検索フィールドを使用して、Cisco Identity Services Engine(ISE)を検索します。
![マーケットプレイスでISEを検索](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-11.png)
- ステップ(4):Virtual Machineをクリックします。
![VMの作成](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-12.png)
- ステップ(5):表示された新しいウィンドウで、Createをクリックします。
![[作成]をクリックします](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-13.png)
- ステップ(6):Basicsタブで、次の操作を行います。
a.「プロジェクト詳細」領域で、「購読」および「リソースグループ」ドロップダウンリストから必要な値を選択します。
b. 「インスタンスの詳細」領域で、「仮想マシン名」フィールドに値を入力します。
c. Imageドロップダウンリストから、Cisco ISEイメージを選択します。
d. Sizeドロップダウンリストから、Cisco ISEのインストールに使用するインスタンスサイズを選択します。「Azure Cloud」という表に記載されているように、Cisco ISEでサポートされるインスタンスを選択します。
Cisco ISEでサポートされているインスタンスについては、「Azure Cloud上のCisco ISE」セクションを参照してください。
e.Administrator account > Authentication type領域で、SSH Public Keyオプションボタンをクリックします。
f. Usernameフィールドにiseadminと入力します。
g.SSH public key sourceドロップダウンリストから、Use existing key stored in Azureを選択します。
h.Stored keysドロップダウンリストから、このタスクの前提条件として作成したキーペアを選択します。
j. Inbound port rules領域で、Allow selected portsオプションボタンをクリックする。
k.Licensing領域で、Licensing typeドロップダウンリストから、Otherを選択します。
仮想マシンの作成
- ステップ(7): [Next: Disks] (次へ:ディスク)をクリックします。
![仮想マシンの作成](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-15.png)
- ステップ(8):Disksタブで、必須フィールドの値をデフォルトのままにし、Next: Networkingをクリックします。
![仮想マシンの作成](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-16.png)
注:ディスクタイプについては、ドロップダウンリストから選択できるオプションが他にもあります。ニーズに合った製品を選択できます。プレミアムSSDは、実稼働およびパフォーマンスに影響を受けやすいワークロードに推奨されるタイプです。
- ステップ(9):Network Interface領域で、Virtual network、Subnet、およびConfigure network security groupドロップダウンリストから、作成した仮想ネットワークとサブネットを選択します。
注:パブリックIPアドレスを持つサブネットは、オンラインおよびオフラインのポスチャフィード更新を受信するのに対し、プライベートIPアドレスを持つサブネットは、オフラインのポスチャフィード更新のみを受信します。
![仮想マシンの作成](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-17.png)
- ステップ(10):Next: Managementをクリックします。
![仮想マシンの作成](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-18.png)
- ステップ(11):Managementタブで、必須フィールドの値をデフォルトのままにし、Next: Advancedをクリックします。
![仮想マシンの作成](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-19.png)
![仮想マシンの作成](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-20.png)
- ステップ12:User data領域で、Enable user dataチェックボックスにチェックマークを付けます。
User dataフィールドに、次の情報を入力します。
hostname=<Cisco ISEのホスト名>
primarynameserver=<IPv4アドレス>
dnsdomain=<ドメイン名>
ntpserver=<NTPサーバのIPv4アドレスまたはFQDN>
timezone=<timezone>
password=<パスワード>
ersapi=<yes/no>
openapi=<yes/no>
pxGrid=<はい/いいえ>
pxgrid_cloud=<yes/no>
注:ユーザデータ入力で設定する各フィールドには、正しい構文を使用する必要があります。[ユーザデータ]フィールドに入力した情報は、入力時に検証されません。誤った構文を使用すると、イメージの起動時にCisco ISEサービスが起動しません。
ユーザデータフィールドから送信する必要がある設定については、ガイドラインを参照してください。
a.ホスト名:英数字とハイフン(-)のみを含むホスト名を入力します。ホスト名の長さは19文字を超えず、アンダースコア(_)を含めることはできません。
b. primary nameserver:プライマリネームサーバのIPアドレスを入力します。IPv4アドレスのみがサポートされます。
この手順で追加できるDNSサーバは1つだけです。インストール後にCisco ISE CLIを使用してDNSサーバを追加できます。
c. dnsdomain:DNSドメインのFQDNを入力します。エントリには、ASCII文字、数字、ハイフン(-)、およびピリオド(.)を含めることができます。
d. ntpserver:同期に使用するNTPサーバのIPv4アドレスまたはFQDNを入力します。
この手順で追加できるNTPサーバは1つだけです。インストール後にCisco ISE CLIを使用してNTPサーバを追加できます。ISE操作に必要な有効で到達可能なNTPサーバを使用します。
e.タイムゾーン:タイムゾーンを入力します(例:Etc/UTC)。すべてのCisco ISEノードを協定世界時(UTC)タイムゾーンに設定することをお勧めします。特に、Cisco ISEノードが分散導入にインストールされている場合に推奨されます。この手順により、展開内のさまざまなノードからのレポートとログのタイムスタンプが常に同期されます。
f. password:Cisco ISEへのGUIベースのログイン用パスワードを設定します。入力するパスワードは、Cisco ISEパスワードポリシーに準拠している必要があります。パスワードは6 ~ 25文字で、1文字以上の数字、1文字以上の大文字、1文字以上の小文字を含む必要があります。ユーザ名またはその逆(iseadminまたはnimdaesi)、cisco、ocsicと同じパスワードは使用できません。使用できる特殊文字は@~*!,+=_ – です。使用しているリリースの『Cisco ISE管理者ガイド』の「基本設定」の章にある「ユーザパスワードポリシー」セクションを参照してください。
g. ersapi:ERSを有効にする場合はyes、無効にする場合はnoを入力します。
h. openapi:OpenAPIを有効にする場合はyes、無効にする場合はnoを入力します。
i. pxGrid:pxGridを有効にする場合はyes、pxGridを無効にする場合はnoを入力します。
j. pxgrid_cloud:pxGrid Cloudを有効にする場合はyes、許可しない場合はnoを入力します。pxGrid Cloudを有効にするには、pxGridを有効にする必要があります。pxGridを許可せずにpxGridクラウドを有効にした場合、pxGridクラウドサービスは起動時に有効になりません。
User Dataセクション
- ステップ(13):Next: Tagsをクリックします。
![仮想マシンの作成](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-22.png)
- ステップ(14):リソースを分類するための名前と値のペアを作成し、複数のリソースとリソースグループを統合するには、名前フィールドと値フィールドに値を入力します。
![仮想マシンの作成](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-23.png)
- ステップ(15):Next: Review + Createをクリックします。
![レビューと作成](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-24.png)
- ステップ(16):これまでに入力した情報を確認し、Createをクリックします。
Deployment is in progressウィンドウが表示されます。Cisco ISEインスタンスが作成され、使用可能になるまで約30分かかります。Cisco ISE VMインスタンスが
Virtual Machinesウィンドウ(メイン検索フィールドを使用してウィンドウを見つけます)。
![仮想マシンの作成](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-25.png)
![展開中です](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-26.png)
次の作業
Microsoft Azureのデフォルト設定により、作成したCisco ISE VMのディスクサイズは300 GBに制限されています。Cisco ISEノードには通常、300 GBを超えるディスクサイズが必要です。Microsoft AzureからCisco ISEを初めて起動すると、Insufficient Virtual Memoryアラームが表示されます。
Cisco ISE VMの作成が完了したら、Cisco ISE管理ポータルにログインし、Cisco ISEが設定されていることを確認します。次にMicrosoft Azureポータルで、仮想マシンウィンドウの手順を実行してディスクサイズを編集します。
1. Cisco ISEインスタンスを停止します。
![ISE VMの停止](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-27.png)
2. 左側のペインでDiskをクリックし、Cisco ISEで使用しているディスクをクリックします。
![ディスクをクリックします](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-28.png)
3. 左側のペインでSize + performanceをクリックします。
![サイズ – パフォーマンスの選択ページ](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-29.png)
4. [カスタムディスクサイズ]フィールドに、必要なディスクサイズをGiB単位で入力します。
![ディスクサイズの変更](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-30.png)
ポストインストールタスク
Cisco ISEインスタンスを正常に作成した後に実行する必要があるインストール後のタスクの詳細については、ご使用のCisco ISEリリースの『Cisco ISE Installation Guide』の「Installation Verification and Post Installation Tasks」の章を参照してください。
Azureクラウドでのパスワードの回復とリセット
Cisco ISE仮想マシンのパスワードのリセットまたは回復に役立つタスクを実行します。必要なタスクを選択し、詳細な手順を実行します。
1. シリアルコンソールによるCisco ISE GUIパスワードのリセット
- ステップ(1):Azure Cloudにログインし、Cisco ISE仮想マシンが含まれているリソースグループを選択します。
- ステップ2:リソースのリストから、パスワードをリセットするCisco ISEインスタンスをクリックします。
- ステップ(3):左側のメニューで、Support + TroubleshootingセクションからSerial consoleをクリックします。
![Serial Consoleをクリックします](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-31.png)
- ステップ(4):ここにエラーメッセージが表示された場合は、次の手順を実行してブート診断を有効にする必要があります。
a.左側のメニューからBoot diagnosticsをクリックします。
![Diagnostic](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-32.png)
b. Enable with custom storage accountをクリックします。次に [Save] をクリックします。
![[Save] をクリックします。](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-33.png)
- ステップ(5):左側のメニューで、Support + TroubleshootingセクションからSerial consoleをクリックします。 Azure Cloud Shellが新しいウィンドウに表示されます。画面が黒い場合は、Enterキーを押してログインプロンプトを表示します。
![ログプロンプト](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-34.png)
- ステップ(8):シリアルコンソールにログインします。シリアルコンソールにログインするには、インスタンスのインストール時に設定された元のパスワードを使用する必要があります。
- ステップ(9):application reset-passwd ise iseadminコマンドを使用して、iseadminアカウントの新しいGUIパスワードを設定します。
2. SSHアクセス用の新しい公開キーペアの作成
この作業では、リポジトリにキーペアを追加します。Cisco ISEインスタンスの設定時に作成された既存のキーペアは、作成した新しい公開キーに置き換えられません。
- 手順(1): Azureクラウドで新しい公開キーを作成します。
![SSHキーの作成](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-35.png)
ポップアップウィンドウが表示され、Download private key and create resourceを選択して、SSHキーを.pemファイルとしてダウンロードします。
![キーのダウンロード](/c/dam/en/us/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services-36.png)
CLIを使用してアクセス可能なリポジトリがすでに存在する場合は、ステップ3に進みます。
- ステップ3:新しい公開キーをインポートするには、crypto key import <public key filename> repository <repository name>コマンドを使用します。
- ステップ(4):インポートが完了したら、新しい公開キーを使用してSSH経由でCisco ISEにログインできます。