Azure Cloud ServicesへのISEのインストール

ダウンロード オプション

  • PDF     (2.9 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (2.6 MB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (1.9 MB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2023 年 10 月 4 日
Document ID:221026

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、Azure Virtual Machineを使用してCisco ISE IOSインスタンスをインストールする方法について説明します。Cisco ISE IOSはAzure Cloud Servicesで利用できます。

    前提条件

    要件

    サブスクリプションとリソースグループに関する知識があることが推奨されます。

    使用するコンポーネント

    このドキュメントの内容は、次のソフトウェアおよびクラウドサービスに基づいています。

    • Cisco ISE バージョン 3.2.
    • Microsoft Azureクラウドサービス

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    手順

    All Services > Subscriptionsの順に移動します。アクティブなサブスクリプションを持つAzureアカウントとMicrosoftとのエンタープライズ契約が存在することを確認します。スペースを予約するためのコマンドを実行するには、Microsoft PowerShell AzureモジュールCLIを使用します: (Power Shellおよび関連パッケージのインストールについては、「Azure PowerShellのインストール方法」を参照してください)。

    Powershall2

    note-icon

    :テナントIDを実際のテナントIDに置き換えます。

    次のURLで前提条件を完了します。Azure VMwareソリューションのホストクォータの要求 を参照してください。

    サブスクリプションを右クリックして、All Services > Resource groupsの順に選択し、リソースグループを作成します。[Add] をクリックします。リソースグループ名を入力します。

    Resource Group Name

    仮想ネットワークおよびセキュリティグループ

    インターネットの到達可能性を必要とするサブネットには、ネクストホップがインターネットとして設定されたルートテーブルが必要です。パブリックおよびプライベートサブネットワークの例を参照してください。パブリックIPを使用するPANでは、オフラインとオンラインの両方のフィードの更新が機能しますが、プライベートIPを使用するPANではオフラインフィードの更新に依存する必要があります。

    Requirements

    SSHキーペアの作成

    a. Azure Web Portalホームページの検索バーを使用して、SSHキーを検索します。

    Search for SSH keys

    b.次のウィンドウでCreateをクリックします。

    Create Key

    c.次のウィンドウで、リソースグループキー名を選択します。次に、Review + Createをクリックします。

    Create SSH Key

    d.次にCreateをクリックして、Private Keyをダウンロードします。

    Download Private Key

    Cisco ISEでサポートされるAzure VMサイズ

    ISE VM Sizing

    • Fsv2シリーズAzure VMサイズはコンピューティングに最適化されており、膨大なコンピューティングを必要とするタスクやアプリケーションのPSNとして使用するのに最適です。
    • Dsv4シリーズは、PANまたはMnTノード、あるいはその両方での使用に最適な、データ処理タスクとデータベース操作を対象とした汎用のAzure VMサイズです。

    汎用インスタンスをPSNとして使用する場合、パフォーマンスの数値は、コンピューティング最適化インスタンスのPSNとしてのパフォーマンスよりも低くなります。Standard_D8s_v4 VMサイズは、追加の小さいPSNとしてのみ使用する必要があります。

    note-icon

    :既存のAzure Cloudイメージを複製してCisco ISEインスタンスを作成しないでください。これを実行すると、作成されたISEマシンでランダムかつ予期しない誤動作が発生する可能性があります。

    Microsoft AzureクラウドサービスにおけるCisco ISEの制限

    • Azure仮想マシンを使用してCisco ISEを作成する場合、デフォルトで、Microsoft AzureはDHCPサーバを介してプライベートIPアドレスをVMに割り当てます。Microsoft Azure上にCisco ISEの導入を作成する前に、Microsoft Azureによって割り当てられたIPアドレスを使用して正引きDNSエントリと逆引きDNSエントリを更新する必要があります。

      または、Cisco ISEをインストールした後、Microsoft Azureでネットワークインターフェイスオブジェクトを更新して、静的IPアドレスをVMに割り当てます。

      1. VMを停止します。

      2. VMのPrivate IP address settings領域にあるAssignment領域で、Staticをクリックします。

      3. VMを再起動します。

      4. Cisco ISEシリアルコンソールで、IPアドレスをGi0として割り当てます。

      5. Cisco ISEアプリケーションサーバを再起動します。

    • デュアルNICは、ギガビットイーサネット0とギガビットイーサネット1の2つのNICだけでサポートされます。Cisco ISEインスタンスでセカンダリNICを設定するには、まずAzureでネットワークインターフェイスオブジェクトを作成し、Cisco ISEインスタンスの電源をオフにしてから、このネットワークインターフェイスオブジェクトをCisco ISEに接続する必要があります。AzureにCisco ISEをインストールして起動したら、Cisco ISE CLIを使用して、ネットワークインターフェイスオブジェクトのIPアドレスを手動でセカンダリNICとして設定します。

    • Cisco ISEアップグレードワークフローは、Microsoft Azure上のCisco ISEでは使用できません。新規インストールのみがサポートされます。ただし、設定データのバックアップと復元は実行できます。
    • パブリッククラウドはレイヤ3機能のみをサポートします。Microsoft Azure上のCisco ISEノードは、レイヤ2機能に依存するCisco ISE機能をサポートしていません。たとえば、Cisco ISE CLIを使用したDHCP SPANプロファイラプローブおよびCDPプロトコル機能の操作は、現在サポートされていない機能です。
    • 設定データの復元およびバックアップ機能を実行する場合、バックアップオペレーションが完了した後、CLIを使用してCisco ISEを再起動します。次に、Cisco ISE GUIから復元操作を開始します。
    • パスワードベースの認証を使用したCisco ISE CLIへのSSHアクセスは、Azureではサポートされていません。Cisco ISE CLIには、キーペアを介してのみアクセスできます。このキーペアは安全に保存する必要があります。秘密キー(PEM)ファイルを使用していて、そのファイルが失われると、Cisco ISE CLIにアクセスできなくなります。Cisco ISE CLIにアクセスするためにパスワードベースの認証方式を使用する統合(Cisco DNA Centerリリース2.1.2以前など)はサポートされていません。

    • AzureでのCisco ISE IOSの展開では通常、Dynamic Multipoint Virtual Private Networks(DMVPN)やソフトウェア定義型ワイドエリアネットワーク(SD-WAN)などのVPNソリューションを活用します。これらのソリューションでは、IPSecトンネルのオーバーヘッドによってMTUとフラグメンテーションの問題が発生する可能性があります。このようなシナリオでは、Cisco ISE IOSは完全なRADIUSパケットを受信せず、認証の失敗が失敗エラーログをトリガーせずに発生します。

      考えられる回避策として、Azureのソリューションを調べるためにMicrosoftのテクニカルサポートに問い合わせることが考えられます。このソリューションでは、順序が正しくないフラグメントがドロップされずに宛先に渡される可能性があります。

    • CLI管理者ユーザは「iseadmin」である必要があります。

    設定

    Azureクラウドに接続されたISEの導入例

    Example of ISE Deployment on Azure2

    コンフィギュレーション

    • ステップ 1:Azureポータルに移動し、Microsoft Azureアカウントにログインします。

    Login to Azure

    • ステップ 2:ウィンドウの上部にある検索フィールドを使用して、Marketplaceを検索します。

    Search for Market Place

    • ステップ 3:Marketplaceの検索フィールドを使用して、Cisco Identity Services Engine(ISE)を検索します。

    Search for ISE in the Market Place

    • ステップ 4:Virtual Machineをクリックします。

    Creat VM

    • ステップ 5:表示された新しいウィンドウで、Createをクリックします。

    Click Create

    • 手順 6:Basicsタブでは、次の操作を行います。

        a. 「プロジェクトの詳細」領域で、「購読」および「リソースグループ」ドロップダウンリストから必要な値を選択します

        b. インスタンス詳細領域で、仮想マシン名フィールドに値を入力します。

        c. Imageドロップダウンリストから、Cisco ISEイメージを選択します。 

        d. Sizeドロップダウンリストから、Cisco ISEのインストールに使用するインスタンスサイズを選択します。Azure Cloudという表に記載されているように、Cisco ISEでサポートされるインスタンスを選択します。

    Cisco ISEでサポートされているインスタンスについては、「Azure Cloud上のCisco ISE」セクションを参照してください。

        e. Administrator account > Authentication type領域で、SSH Public Keyオプションボタンをクリックします。

        f. Usernameフィールドにiseadminと入力します。 

        g. SSH public key sourceドロップダウンリストから、Use existing key stored in Azureを選択します。

        h. Stored keysドロップダウンリストから、このタスクの前提条件として作成したキーペアを選択します。

        j. Inbound port rules領域で、Allow selected portsオプションボタンをクリックします。 

        k. Licensing 領域で、Licensing typeドロップダウンリストから、Otherを選択します。

    Create a Virtual Machine仮想マシンの作成

    • 手順 7:Next: Disksをクリックします。

    Create the Virtual Machine

    • ステップ 8:Disksタブで、必須フィールドの値をデフォルトのままにして、Next: Networkingをクリックします。

    Create the Virtual Machine

    note-icon

    : [Disk Type] (ディスクタイプ)には、ドロップダウンリストから選択できるオプションが他にもあります。ニーズに合った製品を選択できます。プレミアムSSDは、実稼働およびパフォーマンスに影響を受けやすいワークロードに推奨されるタイプです。

    • ステップ 9:Network Interface領域で、Virtual networkSubnetおよびConfigure network security groupドロップダウンリストから、作成した仮想ネットワークとサブネットを選択します。
    note-icon

    注:パブリックIPアドレスを持つサブネットは、オンラインおよびオフラインのポスチャフィード更新を受信するのに対し、プライベートIPアドレスを持つサブネットは、オフラインのポスチャフィード更新のみを受信します。

    Create the Virtual Machine

    • ステップ 10:Next: Managementをクリックします。

    Create the Virtual Machine

    • ステップ 11Managementタブで、必須フィールドの値をデフォルトのままにして、Next: Advancedをクリックします。

    Create the Virtual Machine

    Create the Virtual Machine

    • ステップ 12User data領域で、Enable user dataチェックボックスにチェックマークを付けます。

    User dataフィールドに、次の情報を入力します。

        hostname=<Cisco ISEのホスト名

        primarynameserver=<IPv4アドレス

        dnsdomain=<ドメイン名

        ntpserver=<NTPサーバのIPv4アドレスまたはFQDN

        timezone=<timezone>

        password=<パスワード

        ersapi=<yes/no>

        openapi=<yes/no>

        pxGrid=<はい/いいえ>

        pxgrid_cloud=<yes/no>

    note-icon

    :ユーザデータ入力で設定する各フィールドには、正しい構文を使用する必要があります。[ユーザデータ]フィールドに入力した情報は、入力時に検証されません。誤った構文を使用すると、イメージの起動時にCisco ISEサービスが起動しません。

    ユーザデータフィールドから送信する必要がある設定については、ガイドラインを参照してください。

    a.ホスト名:英数字とハイフン(-)のみを含むホスト名を入力します。ホスト名の長さは19文字を超えず、アンダースコア(_)を含めることはできません。

    b. primary nameserver:プライマリネームサーバのIPアドレスを入力します。IPv4アドレスのみがサポートされます。

    この手順で追加できるDNSサーバは1つだけです。インストール後にCisco ISE CLIを使用してDNSサーバを追加できます。

    c. dnsdomain:DNSドメインのFQDNを入力します。エントリには、ASCII文字、数字、ハイフン(-)、およびピリオド(.)を含めることができます。

    d. ntpserver:同期に使用するNTPサーバのIPv4アドレスまたはFQDNを入力します。

    この手順で追加できるNTPサーバは1つだけです。インストール後にCisco ISE CLIを使用してNTPサーバを追加できます。有効で到達可能なNTPサーバを使用します。これは、ISEの動作に必要です。

    e.タイムゾーン:タイムゾーンを入力します(例:Etc/UTC)。すべてのCisco ISEノードを協定世界時(UTC)タイムゾーンに設定することをお勧めします(特に、Cisco ISEノードが分散導入にインストールされている場合)。この手順により、展開内のさまざまなノードからのレポートとログのタイムスタンプが常に同期されます。

    f. password:Cisco ISEへのGUIベースのログイン用パスワードを設定します。入力するパスワードは、Cisco ISEパスワードポリシーに準拠している必要があります。パスワードは6 ~ 25文字で、1文字以上の数字、1文字以上の大文字、1文字以上の小文字を含む必要があります。ユーザ名またはその逆(iseadminまたはnimdaesi)、cisco、ocsicと同じパスワードは使用できません。使用できる特殊文字は@~*!,+=_ – です。使用しているリリースの『Cisco ISE管理者ガイド』の「基本設定」の章にある「ユーザパスワードポリシー」セクションを参照してください。 

    g. ersapi:ERSを有効にするにはyesを、ERSを無効にするにはnoを入力します。

    h. openapi:OpenAPIを有効にするにはyesを入力し、OpenAPIを無効にするにはnoを入力します。 

    i. pxGrid:pxGridを有効にする場合はyes、pxGridを無効にする場合はnoを入力します。 

    j. pxgrid_cloud:pxGrid Cloudを有効にする場合はyes、許可しない場合はnoを入力します。pxGrid Cloudを有効にするには、pxGridを有効にする必要があります。pxGridを許可せずにpxGridクラウドを有効にした場合、pxGridクラウドサービスは起動時に有効になりません。

    User Data SectionUser Dataセクション

    • ステップ 13Next: Tagsをクリックします。

    Create the Virtual Machine

    • ステップ 14:リソースを分類し、複数のリソースとリソースグループを統合できる名前と値のペアを作成するには、NameフィールドとValueフィールドに値を入力します。 

    Create the Virtual Machine

    • ステップ 15:Next: Review + Createをクリックします。

    Review and Created

    • ステップ 16:これまでに入力した情報を確認し、Createをクリックします。

    Deployment is in progressウィンドウが表示されます。Cisco ISEインスタンスが作成され、使用可能になるまで約30分かかります。Cisco ISE VMインスタンスが バーチャル Machinesウィンドウ(ウィンドウを検索するにはメイン検索フィールドを使用します)。

    Create the Virtual Machine

    Deployment in Progress

    次の作業

    Microsoft Azureのデフォルト設定により、作成したCisco ISE VMは300 GBのディスクサイズでのみ構成されています。Cisco ISEノードには通常、300 GBを超えるディスクサイズが必要です。Microsoft AzureからCisco ISEを初めて起動すると、Insufficient Virtual Memoryアラームが表示されます。

    Cisco ISE VMの作成が完了したら、Cisco ISE管理ポータルにログインして、Cisco ISEが設定されていることを確認します。次にMicrosoft Azureポータルで、仮想マシンウィンドウの手順を実行し、ディスクサイズを編集します。

    1. Cisco ISEインスタンスを停止します。

    Stop ISE VM

    2. 左側のペインでDiskをクリックし、Cisco ISEで使用しているディスクをクリックします。

    Click the Disk

    3. 左側のペインでSize + performanceをクリックします。

    Select Size-Performance Page

    4. [カスタムディスクサイズ]フィールドに、必要なディスクサイズをGiB単位で入力します。

    Change Disck Size

    ポストインストールタスク

    Cisco ISEインスタンスを正常に作成した後に実行する必要があるインストール後のタスクの詳細については、ご使用のCisco ISEリリースの『Cisco ISE Installation Guide』の「Installation Verification and Post Installation Tasks」の章を参照してください。

    Azureクラウドでのパスワードの回復とリセット

    Cisco ISE仮想マシンのパスワードのリセットまたは回復に役立つタスクを実行します。必要なタスクを選択し、詳細な手順を実行します。

    1. シリアルコンソールによるCisco ISE GUIパスワードのリセット

    • ステップ 1:Azure Cloudにログインし、Cisco ISE仮想マシンを含むリソースグループを選択します。
    • ステップ 2:リソースのリストから、パスワードをリセットするCisco ISEインスタンスをクリックします。
    • ステップ 3:左側のメニューで、Support + TroubleshootingセクションからSerial Consoleをクリックします。

    Click Serial Console

    • ステップ 4:ここでエラーメッセージが表示された場合は、完全な手順を実行してブート診断を有効にする必要があります。

    a.左側のメニューでBoot Diagnosticsをクリックします。

    Diagnostic

    b. Enable with a custom storage accountをクリックします。次に [Save] をクリックします。

    Click Save

    • ステップ 5:左側のメニューで、Support + TroubleshootingセクションからSerial Consoleをクリックします。 Azure Cloud Shellが新しいウィンドウに表示されます。画面が黒い場合は、Enterキーを押してログインプロンプトを表示します。

    Logging Prompt

    • ステップ 8:シリアルコンソールにログインします。シリアルコンソールにログインするには、インスタンスのインストール時に設定された元のパスワードを使用する必要があります。
    • ステップ 9:application reset-passwd ise iseadminコマンドを使用して、iseadminアカウントの新しいGUIパスワードを設定します。

    2. SSHアクセス用の新しい公開キーペアの作成

    この作業では、リポジトリにキーペアを追加します。Cisco ISEインスタンスの設定時に作成された既存のキーペアは、作成した新しい公開キーに置き換えられません。

    • ステップ 1:Azureクラウドに新しい公開キーを作成します。

    Create SSH Key

    ポップアップウィンドウでDownload private key and create a resourceを選択し、SSHキーを.pemファイルとしてダウンロードします。

    Download the Key

    • ステップ 2:公開キーを保存する新しいリポジトリを作成するには、Azure Reposのドキュメントを参照してください。CLIを使用してアクセス可能なリポジトリがすでに存在する場合は、ステップ3に進みます。
    • ステップ 3:新しい公開キーをインポートするには、crypto key import <public key filename> repository <repository name>コマンドを使用します。
    • ステップ 4:インポートが完了したら、新しい公開キーを使用してSSH経由でCisco ISEにログインできます。

    更新履歴

    改定 発行日 コメント
    1.0
    04-Oct-2023
    初版
    TAC Authored

    シスコ エンジニア提供

    • アメール・アル・アッザウィ
      セキュリティ技術コンサルティングエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています