Azure Cloud Services 上の Cisco ISE

Azure Cloud 上の Cisco ISE

Cisco ISE は Azure Cloud Services で利用できます。Azure Cloud で Cisco ISE を設定してインストールするには、Azure Cloud の機能とソリューションについてよく理解しておく必要があります。開始する前に理解しておく必要がある Azure Cloud の概念は次のとおりです。

  • サブスクリプションとリソースグループ

  • Azure 仮想マシン:インスタンス、イメージ、SSH キー、タグ、VM のサイズ変更を参照してください。

Azure アプリケーションまたは AWS 仮想マシンを使用して、Cisco ISE をMicrosoft Azure に展開できます。Azure アプリケーションまたは Azure 仮想マシンを使用して Cisco ISE を展開しても、コストや Cisco ISE の機能に相違はありません。Azure アプリケーションは、Azure 仮想マシンと比較して次の利点があるため、Azure アプリケーションを使用することをお勧めします。

  • Azure アプリケーションを使用すると、Azure 仮想マシン設定でのユーザーデータフィールドの代わりに、UI を使用して Cisco ISE 固有の選択肢を直接、簡単に設定できます。

  • Azure アプリケーションの初期設定では、300 ~ 2400 GB の範囲の OS ディスクボリュームを選択できます。しかしながら、Azure 仮想マシンの初期設定中に、OS ディスクボリュームを、Azure ポータルのドロップダウンメニューによって示される固定値のセットに変更することはできます。仮想マシンを再設定するには、Cisco ISE をインストールして起動した後に、さらに手順を実行する必要があります。

  • Cisco ISE がサポートする特定の Azure VM サイズから直接選択できます。

  • 初期設定時に静的プライベート IPアドレスを設定できます。

次の場合に Azure 仮想マシンを使用できます。

  • Cisco ISE を展開するために Azure ポータル UI を使用しない場合。

  • Azure 仮想マシンの設定ワークフローで使用可能な追加設定のいずれかを使用する必要がある場合。

次のタスクフローでは、 Azure アプリケーションまたは Azure 仮想マシンを使用して Microsoft Azure に Cisco ISE を展開する手順を示します。

Cisco ISE は、次の Azure VM サイズのいずれかを使用してインストールできます。

表 1. Cisco ISE でサポートされる Azure VM サイズ

Azure VM サイズ

vCPU

RAM(GB)

Standard_D4s_v4

(このインスタンスは、Cisco ISE 評価のユースケースをサポートしています。100 の同時アクティブエンドポイントがサポートされています)

4

16

Standard_D8s_v4

8

32

Standard_F16s_v2

16

32

Standard_F32s_v2

32

64

Standard_D16s_v4

16

64

Standard_D32s_v4

32

128

Standard_D64s_v4

64

256

Fsv2 シリーズの Azure VM サイズはコンピューティングに最適化され、コンピューティング集約型のタスクやアプリケーションの PSN として使用するのに最適です。

Dsv4 シリーズは、PAN または MnT ノード、またはその両方としての使用に最適な汎用の Azure VM サイズであり、データ処理タスクとデータベース操作を目的としています。

汎用インスタンスを PSN として使用する場合、パフォーマンスの数値は、PSN としてのコンピューティング最適化インスタンスのパフォーマンスよりも低くなります。

Standard_D8s_v4 VM サイズは、極小規模の PSN としてのみ使用する必要があります。

Azure VM サイズのスケールおよびパフォーマンスデータについては、『Performance and Scalability Guide for Cisco Identity Services Engine』を参照してください。

図 1. Azure Cloud に接続された展開の例

(注)  


Cisco ISE インスタンスを作成するために、既存の Azure Cloud イメージを複製しないでください。


上記の手順に加えて、シスコが開発した次のソリューションを使用して、Azure にマルチノード Cisco ISE 展開をインストールして自動的に作成することもできます。

Microsoft Azure Cloud Services での Cisco ISE の既知の制限事項

  • Azure 仮想マシンを使用して Cisco ISE を作成すると、Microsoft Azure はデフォルトで DHCP サーバーを介して VM にプライベート IP アドレスを割り当てます。Microsoft Azure で Cisco ISE 展開を作成する前に、Microsoft Azure によって割り当てられた IP アドレスを使用して、フォワードおよびリバース DNS エントリを更新する必要があります。

    または、Cisco ISE をインストールした後、Microsoft Azure でネットワーク インターフェイス オブジェクトを更新して、VM に静的 IP アドレスを割り当てます。

    1. VM を停止します。

    2. VM の [プライベートIPアドレス設定(Private IP address settings)] エリアの [割り当て(Assignment)] エリアで、[静的(Static)] をクリックします。

    3. VM を再起動します。

    4. Cisco ISE シリアルコンソールで、IP アドレスを Gi0 として割り当てます。

    5. Cisco ISE アプリケーションサーバーを再起動します。

  • デュアル NIC は、2 つの NIC のみ(ギガビットイーサネット 0 とギガビットイーサネット 1 のみ)でサポートされます。Cisco ISE インスタンスでセカンダリ NIC を設定するには、まず Azure でネットワーク インターフェイス オブジェクトを作成し、Cisco ISE インスタンスの電源をオフにしてから、このオブジェクトを Cisco ISE にアタッチします。Azure に Cisco ISE をインストールして起動したら、Cisco ISE CLI を使用して、ネットワーク インターフェイス オブジェクトの IP アドレスをセカンダリ NIC として手動で設定します。

  • Cisco ISE アップグレードワークフローは、Microsoft Azure 上 の Cisco ISE では使用できません。新規インストールのみがサポートされています。ただし、設定データのバックアップと復元は実行できます。ハイブリッド Cisco ISE 展開のアップグレードについては、『Upgrade Guidelines for Hybrid Deployments』を参照してください。

  • パブリッククラウドはレイヤ 3 機能のみをサポートします。Microsoft Azure 上の Cisco ISE ノードは、レイヤ 2 の機能に依存する Cisco ISE 機能をサポートしません。たとえば、Cisco ISE CLI を介した DHCP SPAN プロファイラプローブおよび CDP プロトコル機能の使用は、現在サポートされていない機能です。

  • 設定データの復元およびバックアップ機能を実行する場合、バックアップ操作が完了した後、まず CLI から Cisco ISE を再起動します。次に、Cisco ISE GUI から復元操作を開始します。Cisco ISE のバックアップおよび復元プロセスの詳細については、お使いのバージョンのリリースの『Cisco ISE Administrator Guide』の「Maintain and Monitor」の章を参照してください。

  • パスワードベースの認証を使用した Cisco ISE CLI への SSH アクセスは、Azure ではサポートされていません。キーペアを介してのみ Cisco ISE CLI にアクセスでき、このキーペアは安全に保存する必要があります。

    秘密キー(または PEM)ファイルを使用していてそのファイルを失った場合、Cisco ISE CLI にアクセスできなくなります。

    パスワードベースの認証方式を使用して Cisco ISE CLI にアクセスする統合は、サポートされていません(たとえば、Cisco DNA Center リリース 2.1.2 以前)。

  • Gen 8 の Azure の VPN ゲートウェイは、フラグメンテーションの結果として使用できません。これは、Azure のファースト パーティ ゲートウェイの制限です。

  • Azure では、ネットワーキング仮想ネットワークスタックは、順序が不正なフラグメントを仮想マシンのエンドホストに転送せずにドロップします。この設計は、『Azure and fragmentation』[英語] で文書化されているように、ネットワークセキュリティの脆弱性である FragmentSmack に対処することを目的としています。

    Azure での Cisco ISE 展開では、通常、Dynamic Multipoint Virtual Private Network(DMVPN; ダイナミックマルチポイント仮想プライベートネットワーク)やソフトウェア定義型ワイドエリアネットワーク(SD-WAN)などの VPN ソリューションを利用します。これらのネットワークでは、IPsec トンネルのオーバーヘッドによって MTU とフラグメンテーションの問題が発生する可能性があります。このようなシナリオでは、Cisco ISE は完全な RADIUS パケットを受信せず、認証エラーが発生しても障害のエラーログが生成されません。

    この既知の問題により、次のいずれかを実行してください。

    1. Azure Cloud がすでに修正を実装しているリージョンである東アジア(eastasia)と米国中西部(westcentralus)を選択します。

    2. Cisco ISE のお客様は、Azure サポートチケットを作成する必要があります。Microsoftは、次の措置を講じることに同意しています。

      1. サブスクリプションを固定し、そのサブスクリプションのすべてのインスタンスが第 7 世代ハードウェアに展開されるようにします。

      2. [allow out-of-order fragment] オプションを有効にします。これにより、フラグメントはドロップされるのではなく、宛先にパススルーされます。

  • Azure クラウドでの Cisco ISE 展開では、Accelerated Networking 機能はサポートされていません。Cisco ISE 展開のいずれかの段階でこの機能を有効にすると、ノードの登録や登録解除などの操作が失敗する可能性があります。

Azure 仮想マシンを使用した Cisco ISE インスタンスの作成

Before you begin

  • SSH キー ペアを生成します。

  • 必要な VN のゲートウェイ、サブネット、およびセキュリティグループを作成します。

  • Cisco ISE で使用するサブネットは、インターネットにアクセスできる必要があります。Microsoft Azure の [Public Route Table] ウィンドウで、サブネットの次のホップをインターネットとして設定します。


Note


Cisco ISE リリース 3.4 以降、OpenAPI サービスは自動的に有効になるため、インスタンスの起動時に OpenAPI 関連のオプションを送信する必要はありません。


Procedure


Step 1

https://portal.azure.com に移動して Microsoft Azure アカウントにログインします。

Step 2

ウィンドウの上部にある検索フィールドを使用して、マーケットプレイスを検索します。

Step 3

[マーケットプレイスの検索(Search the Marketplace)] 検索フィールドを使用して、Cisco Identity Services Engine(ISE)を検索します。

Step 4

[Virtual Machine] をクリックします。

Step 5

表示される新しいウィンドウで、[作成(Create)] をクリックします。

Step 6

[基本(Basics)] タブで次の手順を実行します。

  1. [プロジェクトの詳細(Project details)] エリアで、[サブスクリプション(Subscription)] および [リソースグループ(Resource group)] ドロップダウンリストから必要な値を選択します。

  2. [インスタンスの詳細(Instance details)] エリアで、[仮想マシン名(Virtual Machine name)] フィールドに値を入力します。

  3. [イメージ(Image)] ドロップダウンリストから、Cisco ISE イメージを選択します。

  4. [サイズ(Size)] ドロップダウンリストから、Cisco ISE をインストールするインスタンスサイズを選択します。Azure Cloud 上の Cisco ISE のセクションの Cisco ISE でサポートされる Azure Cloud インスタンスというタイトルの表にリストされているように、Cisco ISE でサポートされるインスタンスを選択します。

  5. [管理者アカウント(Administrator account)] > [認証タイプ(Authentication type)] エリアで、[SSH公開キー(SSH Public Key)] オプションボタンをクリックします。

  6. [ユーザー名(Username)] フィールドに iseadmin と入力します。

    Note

     

    許可されているユーザー名は iseadmin のみです。他のユーザー名の使用はサポートされていません。

  7. [SSH公開キーソース(SSH public key source)] ドロップダウンリストから、[Azureに保存されている既存のキーを使用(Use existing key stored in Azure)] を選択します。

  8. [保存されたキー(Stored keys)] ドロップダウンリストから、このタスクの前提条件として作成したキーペアを選択します。

  9. [受信ポートの規則(Inbound port rules)] エリアで、[選択されたポートを許可する(Allow selected ports)] オプションボタンをクリックします。

  10. [受信ポートの選択(Select inbound ports)] ドロップダウンリストから、アクセスを許可するすべてのプロトコルポートを選択します。

  11. [ライセンス(Licensing)] エリアの [ライセンスタイプ(Licensing type)] ドロップダウンリストから、[その他(Other)] を選択します。

Step 7

[次へ:ディスク(Next: Disks)] をクリックします。

Step 8

[Disks] タブで、[OS Disk Size] ドロップダウンリストからディスク サイズを選択するか、デフォルト値をそのまま使用します。

Note

 
[Key Management] フィールドでは、ディスク暗号化にカスタマーマネージドキーを使用することをお勧めします。デフォルトでは、プラットフォーム管理キーが使用されます。キーの作成の詳細については、『About encryption key management』[英語]を参照してください。

残りの必須フィールドについては、デフォルト値をそのまま使用できます。

Step 9

[Next: Networking] をクリックします。

Step 10

[ネットワークインターフェイス(Network Interface)] エリアで、[仮想ネットワーク(Virtual network)]、[サブネット(Subnet)]、および [ネットワークセキュリティグループの設定(Configure network security group)] ドロップダウンリストから、作成した仮想ネットワークとサブネットを選択します。

パブリック IP アドレスを持つサブネットは、オンラインおよびオフラインのポスチャフィードの更新を受信しますが、プライベート IP アドレスを持つサブネットは、オフラインのポスチャフィードの更新のみを受信することに注意してください。

Step 11

[次へ:管理(Next: Management)] をクリックします。

Step 12

[管理(Management)] タブで、必須フィールドのデフォルト値をそのままにして、[次へ:詳細設定(Next: Advanced)] をクリックします。

Step 13

[ユーザーデータ(User data)] エリアで、[ユーザーデータを有効にする(Enable user data)] チェックボックスをオンにします。

[ユーザーデータ(User data)] フィールドに次の情報を入力します。

hostname=<hostname of Cisco ISE>

primarynameserver=<IPv4 address>

secondarynameserver=<IPv4 address of secondary nameserver>(Cisco ISE 3.4 以降のリリースに適用)

tertiarynameserver=<IPv4 address of tertiary nameserver>(Cisco ISE 3.4 以降のリリースに適用)

dnsdomain=<example.com>

ntpserver=<IPv4 address or FQDN of the NTP server>

secondaryntpserver=<IPv4 address or FQDN of the secondary NTP server>(Cisco ISE 3.4 以降のリリースに適用)

tertiaryntpserver=<IPv4 address or FQDN of the tertiary NTP server> (Cisco ISE 3.4 以降のリリースに適用)

timezone=<timezone>

password=<password>

ersapi=<yes/no>

openapi=<yes/no>

pxGrid=<yes/no>

pxgrid_cloud=<yes/no>

Important

 
Cisco ISE リリース 3.4 以降、
  1. [ntpserver] フィールド名が [primaryntpserver] に変更されました。[ntpserver] を使用すると、Cisco ISE サービスは起動しません。

  2. OpenAPI はデフォルトで有効になっています。したがって、[openapi= <yes/no>] フィールドは必須ではありません。

  3. [secondarynameserver] フィールドを空白のままにして、[tertiarynameserver] フィールドのみを使用した場合、Cisco ISE サービスは起動しません。

  4. [secondaryntpserver] フィールドを空白のままにして、[tertiaryntpserver] フィールドのみを使用した場合、Cisco ISE サービスは起動しません。

ユーザーデータエントリを使用して設定する各フィールドには、正しいシンタックスを使用する必要があります。[ユーザーデータ(User Data)] フィールドに入力した情報は、入力時に検証されません。誤った構文を使用すると、イメージの起動時に Cisco ISE サービスが表示されないことがあります。次に、[ユーザーデータ(User Data)] フィールドを使用して送信する設定のガイドラインを示します。

  • hostname:英数字とハイフン(-)のみを含むホスト名を入力します。ホスト名の長さは 19 文字以下で、下線(_)を含めることはできません。

  • プライマリネームサーバー:プライマリネームサーバーの IP アドレス。サポートされているのは IPv4 アドレスだけです。

    この手順では、1 つの DNS サーバーのみを追加できます。インストール後に、Cisco ISE CLI を使用して DNS サーバーを追加できます。ただし、Cisco ISE リリース 3.4 以降では、インストール時に [secondarynameserver] および [tertiarynameserver] フィールドを使用して、セカンダリおよびターシャリネームサーバーを設定できます。

  • dnsdomain:DNS ドメインの FQDN を入力します。エントリには、ASCII 文字、数字、ハイフン(-)、およびピリオド(.)を含めることができます。

  • ntpserver:同期に使用する NTP サーバーの IPv4 アドレスまたは FQDN を入力します(例:time.nist.gov)。

    この手順では、1 つの NTP サーバーのみを追加できます。インストール後に、Cisco ISE CLI を使用して NTP サーバーを追加できます。ただし、Cisco ISE リリース 3.4 以降では、インストール中に [secondaryntpserver] および [tertiaryntpserver] フィールドを使用して、セカンダリおよびターシャリ NTP サーバーを設定できます。

  • timezone:タイムゾーンを入力します(例:Etc/UTC)。すべての Cisco ISE ノードを協定世界時(UTC)のタイムゾーンに設定することを推奨します(特に Cisco ISE ノードが分散展開されてインストールされている場合)。この手順では、展開内のさまざまなノードからのレポートとログのタイムスタンプが常に同期されるようにします。

  • password:Cisco ISE への GUI ベースのログインのパスワードを設定します。入力するパスワードは、Cisco ISE のパスワードポリシーに準拠している必要があります。パスワードは 6 ~ 25 文字で、少なくとも 1 つの数字、1 つの大文字、および 1 つの小文字を含める必要があります。パスワードは、ユーザー名またはその逆(iseadmin または nimdaesi)、cisco、または ocsic と同じにすることはできません。使用できる特殊文字は @~*!,+=_- です。ご使用のリリースの『Cisco ISE Administrator Guide』の「Basic Setup」章にある「User Password Policy」セクションを参照してください。

  • ersapi:ERS を有効にするには yes と入力し、ERS を拒否するには no と入力します。

  • openapi:OpenAPI を有効にするには yes と入力し、OpenAPI を拒否するには no と入力します。

  • pxGrid:pxGrid を有効にするには yes と入力し、pxGrid を拒否するには no と入力します。

  • pxgrid_cloud:pxGrid Cloud を有効にするには yes と入力し、pxGrid Cloud を拒否するには no と入力します。pxGrid クラウドを有効にするには、pxGrid を有効にする必要があります。pxGrid を無効にして pxGrid クラウドを有効にすると、pxGrid クラウドサービスは起動時に有効になりません。

Step 14

[次へ:タグ(Next: Tag)] をクリックします。

Step 15

リソースを分類し、複数のリソースとリソースグループを統合できる名前と値のペアを作成するには、[名前(Name)] フィールドと [値(Value)] フィールドに値を入力します。

Step 16

[次へ:確認して作成(Next: Review + Create)] をクリックします。

Step 17

これまでに提供した情報を確認し、[作成(Create)] をクリックします。

[展開が進行中です(Deployment is in progress)] ウィンドウが表示されます。Cisco ISE インスタンスが作成されて使用できるようになるまで、約 30 分かかります。Cisco ISE VM インスタンスが [仮想マシン(Virtual Machines)] ウィンドウに表示されます(ウィンドウを見つけるには、メインの検索フィールドを使用します)。


What to do next


Note


このセクションは、Cisco ISE VM のディスクサイズが 300 GB の場合にのみ適用されます。他のディスクサイズを選択した場合、これらの手順は適用されません。


Microsoft Azure のデフォルト設定により、作成した Cisco ISE VM は 300 GB のディスクサイズのみで設定されます。通常、Cisco ISE ノードには 300 GB を超えるディスクサイズが必要です。Microsoft Azure から Cisco ISE を初めて起動したときに、仮想メモリ不足のアラームが表示される場合があります。

Cisco ISE VM の作成が完了したら、Cisco ISE 管理ポータルにログインして、Cisco ISE が設定されていることを確認します。その後、Microsoft Azure ポータルで、[Virtual Machines] ウィンドウで次の手順を実行して、ディスクサイズを編集します。

  1. Cisco ISE インスタンスを停止します。

  2. 左ペインで [ディスク(Disk)] をクリックし、Cisco ISE で使用しているディスクをクリックします。

  3. 左ペインで [サイズとパフォーマンス(Size + performance)] をクリックします。

  4. [カスタムディスクサイズ(Custom disk size)] フィールドに、必要なディスクサイズを GiB 単位で入力します。

Azure アプリケーションを使用した Cisco ISE インスタンスの作成

Before you begin

リソースグループ、仮想ネットワーク、サブネット、SSH キーなど、必要な Azure リソースを作成します。


Note


Cisco ISE リリース 3.4 以降、OpenAPI サービスは自動的に有効になります。したがって、インスタンスの起動時に OpenAPI 関連のオプションを送信する必要はありません。


Procedure


Step 1

https://portal.azure.com に移動し Azure ポータルにログインします。

Step 2

ウィンドウの上部にある検索フィールドを使用して、マーケットプレイスを検索します。

Step 3

[マーケットプレイスの検索(Search the Marketplace)] 検索フィールドを使用して、Cisco Identity Services Engine(ISE)を検索します。

Step 4

[Azure Application] をクリックします。

Step 5

表示される新しいウィンドウで、[作成(Create)] をクリックします。

5 つの手順のワークフローが表示されます。

Step 6

[基本(Basics)] タブで次の手順を実行します。

  1. [リソースグループ(Resource Group)] ドロップダウンリストから、Cisco ISE に関連付けるオプションを選択します。

  2. [リージョン(Region)] ドロップダウンリストから、リソースグループが配置されているリージョンを選択します。

  3. [ホスト名(Hostname)] フィールドに、ホスト名を入力します。

  4. [タイムゾーン(Time Zone)] ドロップダウンリストから、タイムゾーンを選択します。

  5. [VMサイズ(VM Size)] ドロップダウンリストから、Cisco ISE に使用する Azure VM サイズを選択します。

  6. [Disk Encryption Key] ドロップダウンリストから、ディスク暗号化のキーを選択します。

    Note

     

    [Disk Encryption Key] フィールドでは、ディスク暗号化にカスタマーマネージドキーを使用することをお勧めします。デフォルトでは、プラットフォーム管理キーが使用されます。このフィールドは、Cisco ISE リリース 3.3 以降で使用できます。詳細については、『About encryption key management』[英語]を参照してください。

  7. [ディスクストレージタイプ(Disk Storage Type)] ドロップダウンリストからオプションを選択します。

  8. [ボリュームサイズ(Volume Size)] フィールドに、Cisco ISE インスタンスに割り当てるボリュームを GB 単位で入力します。600 GB がデフォルト値です。

Step 7

[Next] をクリックします。

Step 8

[ネットワーク設定(Network Settings)] タブで次の手順を実行します。

  1. [仮想ネットワーク(Virtual Network)] ドロップダウンリストで、選択したリソースグループで使用可能な仮想ネットワークのリストからオプションを選択します。

  2. [サブネット(Subnet)] ドロップダウンリストで、選択した仮想グループに関連付けられたサブネットのリストからオプションを選択します。

  3. (Optional) [ネットワークセキュリティグループ(Network Security Group)] ドロップダウンリストで、選択したリソースグループのセキュリティグループのリストからオプションを選択します。

  4. [SSH公開キーソース(SSH public key source)] ドロップダウンリストから、対応するオプションをクリックして、新しいキーペアを作成するか、既存のキーペアを使用するかを選択します。

  5. 前の手順で [Azureに保存されている既存のキーを使用(Use existing key stored in Azure)] オプションを選択した場合は、[保存されたキー(Stored Keys)] ドロップダウンリストから、使用するキーを選択します。

  6. 静的 IP アドレスを Cisco ISE に割り当てるには、[プライベートIPアドレス(Private IP address)] フィールドに IP アドレスを入力します。この IP アドレスが、選択したサブネット内の他のリソースによって使用されていないことを確認してください。

  7. [パブリックIPアドレス(Public IP Address)] ドロップダウンリストで、Cisco ISE で使用するアドレスを選択します。このフィールドを空白のままにすると、パブリック IP アドレスが Azure DHCP サーバーによってインスタンスに割り当てられます。

  8. [DNS名(DNS Name)] フィールドに DNS ドメイン名を入力します。

    この手順では、1 つの DNS サーバーのみを追加できます。インストール後に、Cisco ISE CLI を使用して DNS サーバーを追加できます。
  9. [ネームサーバー(Name Server)] フィールドに、ネームサーバーの IP アドレスを入力します。

    Note

     

    Cisco ISE リリース 3.4 以降、[Name Server] フィールドの名前が [Primary Name Server] に変更されました。

    [Secondary Name Server] フィールドには、セカンダリネームサーバーの IP アドレスまたはホスト名を入力します。このフィールドは、Cisco ISE リリース 3.4 以降で使用できます。

    [Tertiary Name Server] フィールドには、ターシャリネームサーバーの IP アドレスを入力します。このフィールドは、Cisco ISE リリース 3.4 以降で使用できます。このフィールドを使用してアプリケーションを正常に起動するには、[Secondary Name Server] フィールドを空白のままにしないでください。

    Note

     

    入力した IP アドレスが正しくない、または到達不能な場合、Cisco ISE サービスが起動しない可能性があります。

  10. [NTPサーバー(NTP Server)] フィールドに、NTP サーバーの IP アドレスまたはホスト名を入力します。エントリは入力時に検証されません。

Note

 

Cisco ISE リリース 3.4 以降、[NTP Server] フィールドの名前が [Primary NTP Server] に変更されました。

[Secondary NTP Server] フィールドには、セカンダリ NTP サーバーの IP アドレスまたはホスト名を入力します。エントリは入力時に検証されません。このフィールドは、Cisco ISE リリース 3.4 以降で使用できます。

[Tertiary NTP Server] フィールドに、ターシャリ NTP サーバーの IP アドレスまたはホスト名を入力します。エントリは入力時に検証されません。このフィールドは、Cisco ISE リリース 3.4 以降で使用できます。このフィールドを使用してアプリケーションを正常に起動するには、[Secondary NTP Server] フィールドを空白のままにしないでください。

Note

 

入力した IP アドレスが正しくない、または到達不能な場合、Cisco ISE サービスが起動しない可能性があります。

この手順では、1 つの NTP サーバーのみを追加できます。インストール後に、Cisco ISE CLI を使用して NTP サーバーを追加できます。

Step 9

[Next] をクリックします。

Step 10

[サービス(Service)] タブで次の手順を実行します。

  1. [ERS] ドロップダウンリストから、[はい(Yes)] または [いいえ(No)] を選択します。

  2. [オープンAPI(Open API)] ドロップダウンリストから、[はい(Yes)] または [いいえ(No)] を選択します。

    Note

     

    Cisco ISE リリース 3.4 以降、OpenAPI はデフォルトで有効になっています。したがって、このフィールドは使用できません。

  3. [pxGrid] ドロップダウンリストから、[はい(Yes)] または [いいえ(No)] を選択します。

  4. [pxGridクラウド(pxGrid Cloud)] ドロップダウンリストから、[はい(Yes)] または [いいえ(No)] を選択します。

Step 11

[Next] をクリックします。

Step 12

[ユーザーの詳細(User Details)] タブで次の手順を実行します。

  1. [iseadminのパスワードの入力(Enter Password for iseadmin)] および [パスワードの確認(Confirm Password)] フィールドに、Cisco ISE のパスワードを入力します。パスワードは Cisco ISE のパスワードポリシーに準拠し、最大 25 文字である必要があります。

Step 13

[Next] をクリックします。

Step 14

[確認して作成(Review + create)] タブで、インスタンスの詳細を確認します。

Step 15

[作成(Create)] をクリックします。

[概要(Overview)] ウィンドウに、インスタンス作成プロセスの進行状況が表示されます。

Step 16

検索バーを使用して、[仮想マシン(Virtual Machines)] ウィンドウに移動します。作成した Cisco ISE インスタンスがウィンドウにリストされ、[ステータス(Status)] は [作成中(Creating)] になります。Cisco ISE インスタンスの作成には約 30 分かかります。


インストール後のタスク

Cisco ISE インスタンスを正常に作成した後に実行する必要があるインストール後のタスクについては、お使いのバージョンの Cisco ISE リリースの『Cisco ISE Installation Guide』の「Installation Verification and Post-Installation Tasks」の章を参照してください。

Azure Cloud 上の Cisco ISE の互換性情報

このセクションでは、Azure Cloud 上の Cisco ISE に固有の互換性情報について詳しく説明します。Cisco ISE の一般的な互換性の詳細については、お使いのバージョンのリリースの『Cisco Identity Services Engine Network Component Compatibilityガイドを参照してください。

ロードバランサ統合のサポート

RADIUS トラフィックのロードバランシングのために、Azure ロードバランサを Cisco ISE と統合できます。ただし、次の注意事項が適用されます。

  • 認可変更(CoA)機能は、Azure portal のロードバランシングルールでセッションの永続性のプロパティを設定するときにクライアント IP の保存を有効にしている場合にのみサポートされます。

  • Azure ロードバランサは送信元 IP アフィニティのみをサポートし、発信側ステーションの ID ベースのスティッキセッションをサポートしないため、不均等なロードバランシングが発生する可能性があります。

  • Azure ロードバランサは RADIUS ベースの正常性チェックをサポートしていないため、RADIUS サービスがノードでアクティブでない場合でも、トラフィックを Cisco ISE PSN に送信できます。

Azure ロードバランサの詳細については、『What is Azure Load Balancer?』を参照してください。

TACACS トラフィックのロードバランシングのために、Azure ロードバランサを Cisco ISE と統合できます。ただし、Azure ロードバランサは TACACS+ サービスに基づく正常性チェックをサポートしないため、ノードで TACACS サービスがアクティブでない場合でも、Cisco ISE PSN にトラフィックが送信されることがあります。

Azure Cloud でのパスワードの回復とリセット

次のタスクでは、Cisco ISE 仮想マシンのパスワードをリセットまたは回復するために役立つタスクについて説明します。必要なタスクを選択し、詳細な手順を実行します。


(注)  


Azure ポータルの [Help] > [Reset Password] オプションは、Cisco ISE Azure VM ではサポートされていません。


シリアルコンソールを介した Cisco ISE GUI パスワードのリセット

Procedure


Step 1

Azure Cloud にログインし、Cisco ISE 仮想マシンを含むリソースグループを選択します。

Step 2

リソースのリストから、パスワードをリセットする Cisco ISE インスタンスをクリックします。

Step 3

左側のメニューの [Help] セクションで、[Serial console] をクリックします。

Step 4

ここでエラーメッセージが表示された場合は、次の手順を実行してブート診断を有効にする必要がある場合があります。

  1. 左側のメニューから、[ブート診断(Boot diagnostics)] をクリックします。

  2. [カスタムストレージアカウントで有効にする(Enable with custom storage account)] をクリックします。

  3. ストレージアカウントを選択し、[保存(Save)] をクリックします。

Step 5

左側のメニューの [Help] セクションで、[Serial console] をクリックします。

Step 6

Azure Cloud Shell が新しいウィンドウに表示されます。

Step 7

画面が黒い場合は、Enter を押してログインプロンプトを表示します。

Step 8

シリアルコンソールにログインします。

シリアルコンソールにログインするには、インスタンスのインストール時に設定された元のパスワードを使用する必要があります。このパスワードを覚えていない場合は、「パスワードの回復」セクションを参照してください。

Step 9

application reset-passwd ise iseadmin コマンドを使用して、iseadmin アカウントの新しい GUI パスワードを設定します。


SSH アクセスのための新しい公開キーペアの作成

このタスクを通じて、追加のキーペアをリポジトリに追加します。Cisco ISE インスタンスの設定時に作成された既存のキーペアは、新しく作成する公開キーに置き換えられません。

Procedure


Step 1

Azure Cloud で新しい公開キーを作成します。『Generate and store SSH keys in the Azure portal』を参照してください。

Step 2

前のタスクで説明したように、Azure Cloud シリアルコンソールにログインします。

Step 3

公開キーを保存する新しいリポジトリを作成するには、『Azure Repos documentation』を参照してください。

CLI を介してアクセスできるリポジトリがすでにある場合は、手順 4 に進みます。

Step 4

新しい公開キーをインポートするには、コマンド crypto key import <public key filename> repository <repository name> を使用します。

Step 5

インポートが完了すると、新しい公開キーを使用して SSH 経由で Cisco ISE にログインできます。