ダウンロード

Cisco Identity Services Engine ハードウェアインストールガイ
ド、リリース 1.3
初版：2014 年 10 月 31 日
最終更新：2014 年 10 月 31 日
シスコシステムズ合同会社
〒107-6227 東京都港区赤坂9-7-1 ミッドタウン・タワー
http://www.cisco.com/jp
お問い合わせ先：シスココンタクトセンター
0120-092-255 （フリーコール、携帯・PHS含む）
電話受付時間：平日 10:00～12:00、13:00～17:00
http://www.cisco.com/jp/go/contactcenter/
【注意】シスコ製品をご使用になる前に、安全上の注意（ www.cisco.com/jp/go/safety_warning/ ）
をご確認ください。本書は、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきま
しては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更され
ている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容
については米国サイトのドキュメントを参照ください。また、契約等の記述については、弊社販
売パートナー、または、弊社担当者にご確認ください。
このマニュアルに記載されている仕様および製品に関する情報は、予告なしに変更されることがあります。このマニュアルに記載されている表現、情報、および推奨
事項は、すべて正確であると考えていますが、明示的であれ黙示的であれ、一切の保証の責任を負わないものとします。このマニュアルに記載されている製品の使用
は、すべてユーザ側の責任になります。
対象製品のソフトウェアライセンスおよび限定保証は、製品に添付された『Information Packet』に記載されています。添付されていない場合には、代理店にご連絡く
ださい。
The Cisco implementation of TCP header compression is an adaptation of a program developed by the University of California, Berkeley (UCB) as part of UCB's public domain version
of the UNIX operating system. All rights reserved. Copyright © 1981, Regents of the University of California.
ここに記載されている他のいかなる保証にもよらず、各社のすべてのマニュアルおよびソフトウェアは、障害も含めて「現状のまま」として提供されます。シスコお
よびこれら各社は、商品性の保証、特定目的への準拠の保証、および権利を侵害しないことに関する保証、あるいは取引過程、使用、取引慣行によって発生する保証
をはじめとする、明示されたまたは黙示された一切の保証の責任を負わないものとします。
いかなる場合においても、シスコおよびその供給者は、このマニュアルの使用または使用できないことによって発生する利益の損失やデータの損傷をはじめとする、
間接的、派生的、偶発的、あるいは特殊な損害について、あらゆる可能性がシスコまたはその供給者に知らされていても、それらに対する責任を一切負わないものと
します。
このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネット
ワークトポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意
図的なものではなく、偶然の一致によるものです。
Cisco and the Cisco logo are trademarks or registered trademarks of Cisco and/or its affiliates in the U.S. and other countries. To view a list of Cisco trademarks, go to this URL: http://
www.cisco.com/go/trademarks. Third-party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership
relationship between Cisco and any other company. (1110R)
© 2014
Cisco Systems, Inc. All rights reserved.
目次
はじめに ix
目的 ix
対象読者 x
ガイドの構成 x
表記法 xi
関連資料 xiii
マニュアルの入手方法およびテクニカルサポート xiv
Cisco ISE でのネットワーク配置 1
Cisco ISE ネットワークアーキテクチャ 1
Cisco ISE 展開の用語 2
分散導入環境のノードタイプおよびペルソナ 3
管理ノード 4
ポリシーサービスノード 4
モニタリングノード 4
インラインポスチャノード 4
インラインポスチャノードのインストール 5
インラインポスチャノードの再利用 5
ISE のスタンドアロン導入環境と分散導入環境 6
分散導入環境のシナリオ 6
小規模なネットワーク配置 6
分割された導入 7
中規模なネットワーク配置 8
大規模なネットワーク配置 9
集中ロギング 9
ロードバランサ 10
分散されたネットワーク配置 10
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
iii
目次
複数のリモートサイトがあるネットワークを計画する際の考慮事項 11
配置の規模およびスケーリングについての推奨事項 12
インラインポスチャ計画の考慮事項 14
Cisco ISE のサポートに必要なスイッチおよびワイヤレス LAN コントローラの設
定 15
Cisco SNS-3400 シリーズアプライアンス 17
Cisco ISE に対する Cisco SNS のサポート 17
Cisco SNS-3400 シリーズアプライアンスハードウェアの仕様 17
Cisco SNS-3400 シリーズの前面パネル 18
Cisco SNS-3400 シリーズの背面パネル 19
Cisco SNS-3400 シリーズアプライアンスのインストールおよび設定 21
SNS-3400 シリーズアプライアンスをインストールするための前提条件 21
Cisco.com からの Cisco ISE ISO イメージのダウンロード 22
SNS-3400 シリーズアプライアンスに Cisco ISE ソフトウェアをインストールする方
法 23
Cisco Integrated Management Controller の設定 24
ブート可能な USB ドライブの作成 25
Cisco ISE セットアッププログラムパラメータ 26
CIMC を使用した Cisco SNS-3400 シリーズアプライアンスでの ISE の設定 28
サポートされているタイムゾーン 31
セットアッププロセスの確認 33
VMware 仮想マシンでのリリース 1.3 ソフトウェアのインストール 35
仮想マシンでサポートされない ISE の機能 35
サポートされる VMWare のバージョン 35
VMware vMotion のサポート 36
オープン仮想化フォーマットのサポート 36
仮想マシンの要件 36
VMWare アプライアンスの推奨サイズ 38
ディスク領域に関する要件 39
ディスク領域に関するガイドライン 39
仮想マシンのリソースおよびパフォーマンスのチェック 40
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
iv
目次
show tech support コマンドを使用したオンデマンドの仮想マシンパフォーマンス
チェック 41
Cisco ISE 起動メニューからの仮想マシンリソースのチェック 41
Cisco ISE リリースの評価 42
仮想マシンへの Cisco ISE のインストール 43
OVA テンプレートを使用した仮想マシンへの Cisco ISE の展開 43
ISO ファイルを使用した仮想マシンへの Cisco ISE のインストール 44
VMware ESX または ESXi サーバを設定するための前提条件 45
仮想化テクノロジーのチェック 46
ESX または ESXi サーバの仮想化テクノロジーの有効化 46
Cisco ISE プロファイラサービスに対する VMware サーバインターフェイス
の設定 47
シリアルコンソールを使用した VMware サーバへの接続 47
VMware サーバの設定 48
VMware システムを Cisco ISE ソフトウェア DVD から起動するための設定 49
VMware システムへの Cisco ISE ソフトウェアのインストール 50
仮想マシンへの Cisco ISE ISO インストールが失敗する 51
Cisco ISE 仮想マシンの複製 52
テンプレートを使用した Cisco ISE 仮想マシンの複製 53
仮想マシンテンプレートの作成 53
仮想マシンテンプレートの導入 54
複製された仮想マシンの IP アドレスおよびホスト名の変更 54
複製された Cisco 仮想マシンのネットワークへの接続 56
評価環境から実稼働環境への Cisco ISE VM の移行 56
Cisco ISE 3300 シリーズ、Cisco NAC アプライアンス、および Cisco Secure ACS アプライア
ンスへの Cisco ISE ソフトウェアのインストール 59
サポートされる Cisco ISE、Secure ACS、および NAC アプライアンス 59
DVD からの Cisco ISE ソフトウェアのインストール 60
イメージを再適用した Cisco ISE-3300 シリーズアプライアンスでの Cisco ISE ソフトウェ
アのインストール 61
イメージを再適用した Cisco Secure ACS アプライアンスでの Cisco ISE ソフトウェアのイ
ンストール 62
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
v
目次
イメージを再適用した Cisco NAC アプライアンスでの Cisco ISE ソフトウェアのイン
ストール 63
Cisco NAC アプライアンスの既存の RAID 設定のリセット 64
管理者アカウントの管理 65
CLI 管理および Web ベース管理のユーザ権限の違い 65
CLI 管理ユーザの作成 66
Web ベースの管理ユーザの作成 66
インストール後のタスク 67
Cisco ISE の Web ベースのインターフェイスへのログイン 67
Cisco ISE の設定の確認 68
Web ブラウザを使用した設定の確認 68
CLI を使用した設定の確認 69
VMware ツールのインストールの確認 70
vSphere Client の [Summary] タブを使用した VMware ツールのインストールの確
認 70
CLI を使用した VMware ツールのインストールの確認 71
VMware ツールのアップグレードのサポート 71
管理者パスワードのリセット 71
DVD を使用した紛失、失念、または侵害されたパスワードのリセット 71
管理者のロックアウトによるパスワードのリセット 73
Cisco ISE アプライアンスの IP アドレスの変更 73
インストールおよびアップグレード履歴の表示 74
システムの消去の実行 75
Cisco SNS-3400 シリーズサーバの仕様 77
物理仕様 77
環境仕様 77
電源仕様 78
450 ワットの電源 78
650 ワットの電源 79
Cisco SNS-3400 シリーズアプライアンスのポートリファレンス 81
Cisco ISE インフラストラクチャ 81
Cisco ISE 管理ノードのポート 83
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
vi
目次
Cisco ISE モニタリングノードのポート 86
Cisco ISE ポリシーサービスノードのポート 88
インラインポスチャノードのポート 93
Cisco ISE pxGrid サービスポート 96
OCSP および CRL サービスポート 96
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
vii
目次
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
viii
はじめに
• 目的, ix ページ
• 対象読者, x ページ
• ガイドの構成, x ページ
• 表記法, xi ページ
• 関連資料, xiii ページ
• マニュアルの入手方法およびテクニカルサポート, xiv ページ
目的
このマニュアルは、Cisco ISE アプライアンスおよび VMware 仮想マシンで Cisco Identity Services
Engine（ISE）ソフトウェアイメージをインストールする方法について説明します。このインス
トールガイドでは、Cisco ISE に関する次の情報を提供します。
• インストールの前提条件
• サポートされる Cisco ISE アプライアンスへの Cisco ISE ソフトウェアのインストール手順
• サポートされる VMware 仮想マシンへの Cisco ISE ソフトウェアのインストール手順
• サポートされる Cisco Network Admission Control（NAC）アプライアンスまたは Cisco Secure
Access Control System（ACS）アプライアンスへの Cisco ISE ソフトウェアのインストール手
順
Cisco ISE は 2 つのアプライアンスプラットフォームを提供します。選択は導入環境の規模に応
じて行います。
• 小規模ネットワーク：SNS 3415
• 大規模ネットワーク：SNS 3495
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
ix
はじめに
対象読者
対象読者
このガイドは、Cisco ISE ソフトウェアを Cisco SNS-3400 シリーズアプライアンスまたは VMware
サーバにインストールおよび設定するネットワーク管理者、システムインテグレータ、または
ネットワーク配置担当者を対象としています。このハードウェアインストールガイドを使用す
る前提条件として、ネットワーク装置やケーブル配線に精通し、電気回路、電気配線方法、およ
び装置ラックの取り付けについて基本的な知識を持っている必要があります。
この装置の設置、交換、または保守は、訓練を受けた相応の資格のある人が行ってください。
ガイドの構成
章
説明
Cisco ISE でのネットワーク配 Cisco SNS-3400 シリーズアプライアンスの導入およびそのコン
置, （1 ページ）
ポーネントの概要を紹介します。新しい Cisco ISE の導入を計画
する前にこの章を参照してください。
Cisco SNS-3400 シリーズアプ Cisco SNS-3400 シリーズハードウェアの概要を紹介します。
ライアンス, （17 ページ）
Cisco SNS-3400 シリーズアプ Cisco SNS-3400 シリーズハードウェアへ Cisco ISE ソフトウェア
ライアンスのインストールおの初期インストールを実行する方法について説明します。
よび設定, （21 ページ）
VMware 仮想マシンでのリ
リース 1.3 ソフトウェアのイ
ンストール, （35 ページ）
VMware ESX または ESXi および vSphere 仮想マシンに Cisco ISE
ソフトウェアをインストールする方法について説明します。
Cisco ISE 3300 シリーズ、
Cisco ISE ソフトウェアを既存の ISE 3300 シリーズまたは従来の
Cisco NAC アプライアンス、 NAC アプライアンスおよび ACS にインストールする方法につい
および Cisco Secure ACS アプて説明します。
ライアンスへの Cisco ISE ソフ
トウェアのインストール, （
59 ページ）
管理者アカウントの管理, （
65 ページ）
Cisco ISE の 2 種類の管理者アカウント、それらのアカウントの
権限、およびこれらのアカウントを作成する方法について説明し
ます。
インストール後のタスク, （
67 ページ）
Cisco ISE ライセンスのインストールに関する情報を提供し、次
のインストールを実行するために必要な設定タスクを示します。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
x
はじめに
表記法
章
説明
Cisco SNS-3400 シリーズアプ必要な安全手順、設置場所の要件、および Cisco SNS-3400 シリー
ライアンスのラックへの設置ズハードウェアをインストールする前に実行する必要があるタ
スクについて説明します。 Cisco SNS-3400 シリーズアプライア
ンスのラック取り付け、すべてのケーブルの接続、アプライアン
スの電源の投入、サーバコンポーネントの置き換えの方法につ
いても説明します。
Cisco SNS-3400 シリーズサーインストール後に Cisco SNS-3400 シリーズアプライアンスを維
バの仕様, （77 ページ）
持するための、物理、環境および電源面の仕様について説明しま
す。
Cisco SNS-3400 シリーズアプ Cisco SNS-3400 シリーズアプライアンスのサービス、アプリケー
ライアンスのポートリファレション、およびデバイスによって使用されるポートのリファレン
ンス, （81 ページ）
スリストを提供します。
表記法
表記法
説明
^ または Ctrl
^ 記号と Ctrl は両方ともキーボードの Control（Ctrl）キーを表し
ます。たとえば、^D または Ctrl+D というキーの組み合わせは、
Ctrl キーを押して、D キーを押すことを意味します。（キーラ
ベルは大文字で表記されていますが、大文字と小文字の区別はあ
りません）。
太字
ユーザが入力する必要があるコマンドおよびキーワードは、太字
で示しています。
イタリック体
ドキュメント名、新規用語または強調する用語、値を指定するた
めの引数は、イタリック体フォントで示しています。
courier フォント
システムが表示するターミナルセッションおよび情報は、courier
フォントで示しています。
太字の courier フォント
太字の courier フォントは、ユーザが入力しなければならないテ
キストを示します。
[x]
角カッコの中の要素は、省略可能です。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
xi
はじめに
表記法
表記法
説明
...
構文要素の後の省略記号（3 つの連続する太字ではないピリオド
でスペースを含まない）は、その要素を繰り返すことができるこ
とを示します。
|
選択肢を示す縦棒は、キーワードセットまたは引数セットのい
ずれかの選択肢を示します。
[x | y]
いずれか 1 つを選択できる省略可能な要素は、角カッコで囲み、
選択肢を示す縦棒で区切って示しています。
{x | y}
必ずいずれか 1 つを選択しなければならない必須要素は、波カッ
コで囲み、縦棒で区切って示しています。
string
引用符を付けない一組の文字。 string の前後には引用符を使用し
ません。引用符を使用すると、その引用符も含めて string とみな
されます。
<>
山カッコは、ユーザが入力しても画面に表示されないパスワード
などの文字列を示しています。
[]
システムプロンプトに対するデフォルトの応答は、角カッコで
囲んで示しています。
!#
コードの先頭に感嘆符（!）またはポンド記号（#）がある場合に
は、コメント行であることを示します。
読者への警告の表記法
このマニュアルでは、読者への警告に次の表記法を使用しています。
（注）
「注釈」です。役立つ情報や、このマニュアル以外の参照資料などを紹介しています。
ヒント
この情報が問題の解決などに役立つ情報をであることを示しています。
注意
「要注意」の意味です。機器の損傷またはデータ損失を予防するための注意事項が記述され
ています。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
xii
はじめに
関連資料
ワンポイントアドバイス
警告
時間を節約する方法です。記述されている操作を実行すると時間を節約できます。
「警告」の意味です。人身事故を予防するための注意事項が記述されています。
関連資料
リリース固有のドキュメント
Cisco ISE の一般的な製品情報は、http://www.cisco.com/go/ise で入手できます。エンドユーザマ
ニュアルは、Cisco.com（http://www.cisco.com/c/en/us/support/security/identity-services-engine/
tsd-products-support-series-home.html）で入手できます。
表 1：Cisco Identity Services Engine の製品マニュアル
『Release Notes for the Cisco Identity Services
Engine, Release 1.3』
http://www.cisco.com/en/US/products/ps11640/prod_
release_notes_list.html
『Cisco Identity Services Engine Network Component http://www.cisco.com/en/US/products/ps11640/
products_device_support_tables_list.html
Compatibility, Release 1.3』
『Cisco Identity Services Engine User Guide, Release http://www.cisco.com/en/US/products/ps11640/
products_user_guide_list.html
1.3』
『Cisco Identity Services Engine Sponsor Portal User
Guide, Release 1.3』
『Cisco Identity Services Engine Hardware
Installation Guide, Release 1.3』
http://www.cisco.com/en/US/products/ps11640/prod_
installation_guides_list.html
『Cisco Identity Services Engine Upgrade Guide,
Release 1.3』
『Cisco Identity Services Engine, Release 1.3
Migration Tool Guide』
『Regulatory Compliance and Safety Information for
Cisco Identity Services Engine 3400 Series Appliance
and Cisco 3400 Secure Access Control System』
『Cisco Identity Services Engine CLI Reference
Guide, Release 1.3』
http://www.cisco.com/en/US/products/ps11640/prod_
command_reference_list.html
『Cisco Identity Services Engine API Reference
Guide, Release 1.3』
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
xiii
はじめに
マニュアルの入手方法およびテクニカルサポート
『Cisco Identity Services Engine In-Box
Documentation and China RoHS Pointer Card』
http://www.cisco.com/en/US/products/ps11640/
products_documentation_roadmaps_list.html
プラットフォーム固有のマニュアル
その他のプラットフォーム固有のマニュアルへのリンクは、次の場所にあります。
表 2：プラットフォーム固有のマニュアル
Cisco ISE
http://www.cisco.com/en/US/products/ps11640/tsd_
products_support_series_home.html
Cisco NAC Appliance
http://www.cisco.com/en/US/products/ps6128/tsd_
products_support_series_home.html
Cisco NAC Guest Server
http://www.cisco.com/en/US/products/ps10160/tsd_
products_support_series_home.html
Cisco NAC Profiler
http://www.cisco.com/en/US/products/ps8464/tsd_
products_support_series_home.html
Cisco Secure Access Control System
http://www.cisco.com/en/US/products/ps9911/tsd_
products_support_series_home.html
Cisco UCS C シリーズ
http://www.cisco.com/en/US/docs/unified_computing/
ucs/overview/guide/UCS_rack_roadmap.html
マニュアルの入手方法およびテクニカルサポート
マニュアルの入手方法、テクニカルサポート、その他の有用な情報について、次の URL で、毎
月更新される『What's New in Cisco Product Documentation』を参照してください。シスコの新規お
よび改訂版の技術マニュアルの一覧も示されています。
http://www.cisco.com/en/US/docs/general/whatsnew/whatsnew.html
『What's New in Cisco Product Documentation』は RSS フィードとして購読できます。また、リー
ダーアプリケーションを使用してコンテンツがデスクトップに直接配信されるように設定するこ
ともできます。 RSS フィードは無料のサービスです。シスコは現在、RSS バージョン 2.0 をサポー
トしています。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
xiv
第
1
章
Cisco ISE でのネットワーク配置
• Cisco ISE ネットワークアーキテクチャ, 1 ページ
• Cisco ISE 展開の用語, 2 ページ
• 分散導入環境のノードタイプおよびペルソナ, 3 ページ
• ISE のスタンドアロン導入環境と分散導入環境, 6 ページ
• 分散導入環境のシナリオ, 6 ページ
• 小規模なネットワーク配置, 6 ページ
• 中規模なネットワーク配置, 8 ページ
• 大規模なネットワーク配置, 9 ページ
• 配置の規模およびスケーリングについての推奨事項, 12 ページ
• インラインポスチャ計画の考慮事項, 14 ページ
• Cisco ISE のサポートに必要なスイッチおよびワイヤレス LAN コントローラの設定, 15 ペー
ジ
Cisco ISE ネットワークアーキテクチャ
Cisco ISE アーキテクチャには、次のコンポーネントが含まれます。
• ノードおよびペルソナの種類
◦ Cisco ISE ノード：Cisco ISE ノードは管理、ポリシーサービス、モニタリング、または
pxGrid のペルソナのいずれかまたはすべてを担当することができます。
◦ インラインポスチャノード：アクセスポリシーの適用を処理するゲートキーピング
ノード
• ネットワークリソース
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
1
Cisco ISE でのネットワーク配置
Cisco ISE 展開の用語
• エンドポイント
ポリシー情報ポイントは、外部の情報がポリシーサービスペルソナに伝送されるポイントを表し
ます。たとえば、外部情報は Lightweight Directory Access Protocol（LDAP）属性になります。
次の図に Cisco ISE ノードおよびペルソナ（管理、ポリシーサービス、およびモニタリング）、
インラインポスチャノード、およびポリシー情報ポイントを示します。
図 1：Cisco ISE のアーキテクチャ
Cisco ISE 展開の用語
このガイドでは、Cisco ISE 展開シナリオについて説明する際に次の用語を使用します。
用語
定義
サービス
ネットワークアクセス、プロファイリング、ポスチャ、
セキュリティグループアクセス、モニタリング、および
トラブルシューティングなど、ペルソナが提供する特定の
機能。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
2
Cisco ISE でのネットワーク配置
分散導入環境のノードタイプおよびペルソナ
用語
定義
ノード
Cisco ISE ソフトウェアを実行する個々のインスタンス。
Cisco ISE は、VMware で実行できるアプライアンスおよび
ソフトウェアとして使用できます。
ノードタイプ
ノードは、Cisco ISE ノードまたはインラインポスチャ
ノードのいずれかになります。ノードタイプとペルソナ
によって、そのノードにより提供される機能の種類が決ま
ります。
ペルソナ
ノードによって提供されるサービスを決定します。 Cisco
ISE ノードは、管理、ポリシーサービス、およびモニタリ
ングの各ペルソナのいずれか、またはすべてを担当するこ
とができます。管理ユーザインターフェイスで使用でき
るメニューオプションは、ノードが担当するロールおよ
びペルソナによって異なります。
ロール
ノードがスタンドアロン、プライマリ、セカンダリノー
ドのいずれであるかを決定し、管理ノードとモニタリング
ノードだけに適用されます。
分散導入環境のノードタイプおよびペルソナ
Cisco ISE 分散導入環境には、2 種類のノードがあります。
• Cisco ISE ノード（管理、ポリシーサービス、モニタリング）
• インラインポスチャノード
Cisco ISE ノードは担当するペルソナに基づき、各種のサービスを提供できます。導入の各ノード
は、インラインポスチャノードを除き、管理、ポリシーサービス、およびモニタリングのペル
ソナのいずれかを担当することができます。分散導入では、ネットワーク上で次の組み合わせの
ノードを使用できます。
• ハイアベイラビリティ用のプライマリ管理ノードとセカンダリ管理ノード
• 自動フェールオーバー用の 1 組のモニタリングノード
• セッションフェールオーバー用の 1 つ以上のポリシーサービスノード
• ハイアベイラビリティを実現する 1 組のインラインポスチャノード
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
3
Cisco ISE でのネットワーク配置
管理ノード
管理ノード
管理ペルソナの Cisco ISE ノードは、Cisco ISE のすべての管理操作を実行することができます。
このノードは、認証、認可、およびアカウンティングなどの機能に関するすべてのシステム関連
の設定を扱います。分散導入環境では、最大 2 つの管理ペルソナを実行するノードを実行できま
す。管理ペルソナは、スタンドアロン、プライマリ、セカンダリのロールを担当できます。
ポリシーサービスノード
ポリシーサービスペルソナの Cisco ISE ノードは、ネットワークアクセス、ポスチャ、ゲストア
クセス、クライアントプロビジョニング、およびプロファイリングサービスを提供します。こ
のペルソナはポリシーを評価し、ポリシー評価の結果に基づいてエンドポイントにネットワーク
アクセスを提供します。通常、1 つの分散導入環境に複数のポリシーサービスノードが存在しま
す。ロードバランサの背後にあるすべてのポリシーサービスノードは、マルチキャストアドレ
スを共有し、1 つのノードグループを形成するようグループ化できます。ノードグループのいず
れかのノードがダウンすると、その他のノードは障害を検出し、保留中のすべてのセッションを
リセットします。
分散セットアップでは、少なくとも 1 つのノードがポリシーサービスペルソナを担当する必要が
あります。
モニタリングノード
モニタリングペルソナの機能を持つ Cisco ISE ノードがログコレクタとして動作し、ネットワー
ク内のすべての管理およびポリシーサービスノードからのログを保存します。このペルソナは、
ネットワークとリソースを効果的に管理するために使用できる高度なモニタリングおよびトラブ
ルシューティングツールを提供します。このペルソナのノードは収集したデータを集約して関連
付けを行い、有意義なレポートを提供します。 Cisco ISE では、このペルソナを持つノードを最大
2 つ使用することができます。これらのノードは、ハイアベイラビリティ用のプライマリロール
またはセカンダリロールを担うことができます。プライマリモニタリングノードおよびセカン
ダリモニタリングノードの両方が、ログメッセージを収集します。プライマリモニタリング
ノードがダウンした場合は、セカンダリモニタリングノードが自動的にプライマリモニタリン
グノードになります。
分散セットアップでは、少なくとも 1 つのノードが監視ペルソナを担当する必要があります。同
じ Cisco ISE ノードで、モニタリングペルソナとポリシーサービスペルソナを有効にしないこと
をお勧めします。最適なパフォーマンスを実現するために、モニタリングノードはモニタリング
専用とすることをお勧めします。
インラインポスチャノード
インラインポスチャノードは、ネットワーク上のワイヤレス LAN コントローラ（WLC）および
VPN コンセントレータなどのネットワークアクセスデバイスの背後にある、ゲートキーピング
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
4
Cisco ISE でのネットワーク配置
インラインポスチャノード
ノードです。インラインポスチャにより、ユーザが認証され、アクセス権が与えられた後にアク
セスポリシーが適用され、WLC または VPN が処理できない許可変更（CoA）要求が処理されま
す。 Cisco ISE では、インラインポスチャノードを 2 つ使用できます。これらのノードは、ハイ
アベイラビリティ用のプライマリロールまたはセカンダリロールを担うことができます。
インラインポスチャノードは、専用ノードである必要があります。このノードはインラインポ
スチャサービス専用である必要があり、他の Cisco ISE サービスと同時に実行することはできま
せん。同様に、そのサービスの特性のため、インラインポスチャノードはどのペルソナも担当
することができません。たとえば、管理ノード（管理サービスを提供）、またはポリシーサービ
スノード（ネットワークアクセス、ポスチャ、プロファイル、ゲストサービスを提供）、また
はモニタリングノード（モニタリングおよびトラブルシューティングサービスを提供）として機
能することはできません。
インラインポスチャは Cisco SNS 3495 プラットフォームではサポートされません。次のサポート
されているいずれかのプラットフォームにインラインポスチャをインストールしてください。
• Cisco ISE 3315
• Cisco ISE 3355
• Cisco ISE 3395
• Cisco SNS 3415
インラインポスチャノードのインストール
はじめる前に
• Cisco.com からインラインポスチャの ISO イメージをダウンロードします。
• その証明書を設定し、プライマリ管理ノードに登録します。
手順
ステップ 1
サポートされるプラットフォームの 1 つにインラインポスチャの ISO イメージをインストールします。
ステップ 2
CLI にログインします。
ステップ 3
ノードの証明書を設定します。
ステップ 4
プライマリ管理ノードのユーザインターフェイスにログインします。
ステップ 5
インラインポスチャノードを登録します。
インラインポスチャノードの再利用
インラインポスチャノードを利用しないことを決定した場合は、そのノードにいずれのサービス
またはロールも追加できませんが、該当のノードを Cisco ISE ノードへ変更し、任意のペルソナを
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
5
Cisco ISE でのネットワーク配置
ISE のスタンドアロン導入環境と分散導入環境
割り当てることができます。インラインポスチャノードを再利用する場合は、まず、そのノー
ドを登録解除し、アプライアンスにイメージを再適用して Cisco ISE をインストールします。
ISE のスタンドアロン導入環境と分散導入環境
単一の Cisco ISE ノードがある導入環境は、スタンドアロン導入環境と呼ばれます。このノード
は、管理、ポリシーサービス、およびモニタリングのペルソナを実行します。
複数の Cisco ISE ノードがある導入環境は、分散導入環境と呼ばれます。フェールオーバーをサ
ポートし、パフォーマンスを改善するために、複数の Cisco ISE ノードを分散方式でセットアップ
できます。 Cisco ISE の分散導入環境では、管理およびモニタリングアクティビティは一元化さ
れ、処理はポリシーサービスノード間で分配されます。パフォーマンスのニーズに応じて、導
入環境の規模を変更できます。 Cisco ISE ノードは、管理、ポリシーサービス、およびモニタリ
ングのペルソナのいずれかまたはすべてを担当することができます。インラインポスチャノー
ドは、特殊な性質上、この他のペルソナを担当することはできず、専用ノードである必要があり
ます。
分散導入環境のシナリオ
• 小規模なネットワーク配置
• 中規模なネットワーク配置
• 大規模なネットワーク配置
小規模なネットワーク配置
最も小規模な Cisco ISE 導入環境は、2 つの Cisco ISE ノードから構成されます（小規模なネット
ワークでは 1 つの Cisco ISE ノードがプライマリアプライアンスとして動作します）。
プライマリノードは、このネットワークモデルに必要なすべての設定、認証、およびポリシー機
能を提供し、セカンダリ Cisco ISE ノードはバックアップロールで稼働します。セカンダリノー
ドはプライマリノードをサポートし、プライマリノードとネットワークアプライアンス、ネッ
トワークリソース、または RADIUS との間で接続が失われたときにネットワークを稼働し続けま
す。
クライアントとプライマリ Cisco ISE ノード間の一元化された認証、認可、アカウンティング
（AAA）操作は RADIUS プロトコルを使用して行われます。 Cisco ISE は、プライマリ Cisco ISE
ノードに存在するすべてのコンテンツをセカンダリ Cisco ISE ノードに同期（複製）します。し
たがって、セカンダリノードは、プライマリノードの状態と同じになります。小規模なネット
ワーク配置では、このような設定モデルにより、このタイプの導入または同様の方法を使用して、
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
6
Cisco ISE でのネットワーク配置
分割された導入
すべての RADIUS クライアントでプライマリノードとセカンダリノードの両方を設定すること
が可能です。
図 2：小規模なネットワーク配置
ネットワーク環境で、デバイス、ネットワークリソース、ユーザ、および AAA クライアントの
数が増えた場合、基本的な小規模モデルから導入環境の設定を変更し、分割または分散された導
入モデルを使用する必要があります。
分割された導入
分割 Cisco ISE 導入環境でも、小規模な Cisco ISE 導入環境で説明したように、プライマリノード
とセカンダリノードを維持することができます。ただし、AAA ロードは、AAA ワークフローを
最適化するためにこの 2 つの Cisco ISE ノード間で分割されます。 AAA 接続で問題がある場合は、
各 Cisco ISE アプライアンス（プライマリまたはセカンダリ）がすべてのワークロードを処理でき
る必要があります。通常のネットワーク運用では、プライマリノードとセカンダリノードのど
ちらもすべての AAA 要求を処理することはできません。これは、このワークロードがこの 2 つの
ノード間で分散されているためです。
このようにロードを分割できるため、システムの各 Cisco ISE ノードに対する負荷は減少します。
また、負荷の分割により優れた負荷の制御が実現する一方で、通常のネットワーク運用中のセカ
ンダリノードの機能ステータスはそのまま保持されます。
分割された Cisco ISE の導入環境では、各ノードが、ネットワークアドミッションやデバイス管
理などの独自の固有操作を実行でき、障害発生時でもすべての AAA 機能を引き続き実行すること
ができます。認証要求を処理し、アカウンティングデータを AAA クライアントから収集する 2
つの Cisco ISE ノードがある場合は、Cisco ISE ノードのいずれかがログコレクタとして動作する
よう設定することをお勧めします。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
7
Cisco ISE でのネットワーク配置
中規模なネットワーク配置
また、分割 Cisco ISE 導入環境の設計は、拡張に対応しているため、メリットがもたらされます。
図 3：分割されたネットワーク配置
中規模なネットワーク配置
小規模なネットワークが大きくなった場合に、Cisco ISE ノードを追加して中規模なネットワーク
を作成することで、素早くネットワークの拡大に対応できます。中規模なネットワーク配置で
は、新規ノードをすべての AAA 機能専用とし、元のノードを設定およびロギング機能のために使
用します。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
8
Cisco ISE でのネットワーク配置
大規模なネットワーク配置
ネットワークでログトラフィックの量が増加した場合は、セカンダリ Cisco ISE ノードの 1 つま
たは 2 つを、ネットワークでのログ収集に使用することを選択できます。
図 4：中規模なネットワーク配置
大規模なネットワーク配置
集中ロギング
大規模な Cisco ISE ネットワークには集中ロギングを使用することをお勧めします。集中ロギン
グを使用するには、大規模で通信量の多いネットワークが生成することがある大きな syslog トラ
フィックを処理するモニタリングペルソナ（モニタリングおよびロギング用）として動作する、
専用ロギングサーバを最初に設定する必要があります。
syslog メッセージは発信ログトラフィックに対して生成されるため、どの RFC-3164 準拠 syslog
アプライアンスでも、発信ロギングトラフィックのコレクタとして動作できます。専用ロギング
サーバでは、すべての Cisco ISE ノードをサポートするために Cisco ISE で使用できるレポート機
能およびアラート機能を使用できます。
また、アプライアンスが Cisco ISE ノードの監視ペルソナと汎用 syslog サーバの両方にログを送信
するよう設定することもできます。汎用 syslog サーバを追加することにより、Cisco ISE ノード上
の監視ペルソナがダウンした場合に冗長なバックアップが提供されます。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
9
Cisco ISE でのネットワーク配置
ロードバランサ
ロードバランサ
大規模な集中ネットワークでは、ロードバランサを使用する必要があります。これにより、AAA
クライアントの導入が簡素化されます。ロードバランサを使用するには、AAA サーバのエント
リが 1 つだけ必要です。ロードバランサは、利用可能なサーバへの AAA 要求のルーティングを
最適化します。
ただし、ロードバランサが 1 つだけしかないと、シングルポイント障害が発生する可能性があり
ます。この問題を回避するために、2 つのロードバランサを展開し、冗長性とフェールオーバー
を実現します。この構成では、各 AAA クライアントで 2 つの AAA サーバエントリを設定する
必要があります（この設定は、ネットワーク全体で同じになります）。
図 5：大規模なネットワーク配置
分散されたネットワーク配置
分散 Cisco ISE ネットワーク配置は、主要な拠点があり、他の場所に地域、全国、またはサテライ
トの拠点がある組織に最も役に立ちます。主要な拠点は、プライマリネットワークが存在し、追
加の LAN に接続される小規模～大規模な場所であり、異なる地域や距離が離れた場所のアプライ
アンスとユーザをサポートします。
大規模なリモートサイトでは最適な AAA パフォーマンスのために独自の AAA のインフラストラ
クチャを持つことができます。集中管理モデルにより、同一の同期された AAA ポリシーが保持
されます。集中設定モデルでは、プライマリ Cisco ISE ノードとセカンダリ Cisco ISE ノードを使
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
10
Cisco ISE でのネットワーク配置
複数のリモートサイトがあるネットワークを計画する際の考慮事項
用します。 Cisco ISE ノードで個別の監視ペルソナを使用することをお勧めしますが、リモートの
場所それぞれで独自の固有なネットワーク要件を満たす必要があります。
図 6：分散された配置
複数のリモートサイトがあるネットワークを計画する際の考慮事項
• Microsoft Active Directory や Lightweight Directory Access Protocol（LDAP）などの中央または
外部データベースが使用されているかどうかを確認します。 AAA のパフォーマンスを最適
化するために、各リモートサイトでは Cisco ISE がアクセスできる外部データベースの同期
されたインスタンスが必要です。
• AAA クライアントの場所は重要です。ネットワーク遅延の影響と WAN 障害により引き起
こされるアクセス損失の可能性を減らすために、Cisco ISE ノードを AAA クライアントので
きるだけ近くに配置する必要があります。
• Cisco ISE では、バックアップなどの一部の機能にコンソールからアクセスできます。各サ
イトでターミナルを使用して、各ノードへのネットワークアクセスをバイパスする直接的で
安全なコンソールアクセスを行うことができます。
• 小規模な場合は、リモートサイトが近くにあるため、他のサイトに信頼できる WAN 接続を
行えます。また、冗長性を提供するために、ローカルサイトのバックアップとして Cisco ISE
ノードを使用できます。
• 外部データベースに確実にアクセスできるようにするために、すべての Cisco ISE ノードで
ドメインネームシステム（DNS）を適切に設定する必要があります。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
11
Cisco ISE でのネットワーク配置
配置の規模およびスケーリングについての推奨事項
配置の規模およびスケーリングについての推奨事項
次の表は、ネットワークに接続するエンドポイントの数に基づき必要な、配置の種類、Cisco ISE
ノードの数、アプライアンスの種類（小型、中型、および大型）についてのガイダンスを提供し
ます。
表 3：Cisco ISE の配置：サイズおよびスケーリングについての推奨事項
配置タイプ
ノード数/ペルソナアプライアンスプ専用ポリシーサーアクティブエンド
ラットフォーム
ビスノードの最大ポイントの数
数
小規模
管理、ポリシー
サービス、および
モニタリングペル
ソナが有効になっ
たスタンドアロン
または冗長（2 つ
の）ノード。
中規模
単一または冗長
ノードの管理およ
びモニタリングペ
ルソナ。最大 2 つ
の管理およびモニ
タリングノード。
Cisco ISE 3300 シ
リーズ（3315、
3355、3395）
0
最大 2,000 エンド
ポイント
Cisco ISE 3415
0
最大 5,000 エンド
ポイント
Cisco ISE 3495
0
最大 10,000 エンド
ポイント
管理およびモニタ 5
リングペルソナ用
の Cisco ISE-3355
または Cisco SNS
3415 アプライアン
ス
最大 5,000 エンド
ポイント
管理およびモニタ 5
リングペルソナ用
の Cisco ISE 3395
または Cisco SNS
3495 アプライアン
ス
最大 10,000 エンド
ポイント
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
12
Cisco ISE でのネットワーク配置
配置の規模およびスケーリングについての推奨事項
配置タイプ
ノード数/ペルソナアプライアンスプ専用ポリシーサーアクティブエンド
ラットフォーム
ビスノードの最大ポイントの数
数
大規模
専用の管理ノード
（1 つ/複数）。最
大 2 つの管理ノー
ド。
管理およびモニタ 40
リングペルソナ用
の Cisco ISE 3395
アプライアンス
最大 100,000 エン
ドポイント
専用のモニタリン
グノード（1 つ/複
数）。最大 2 つの
モニタリングノー
ド。
管理およびモニタ 40
リングペルソナ用
の Cisco SNS 3495
アプライアンス
最大 250,000 エン
ドポイント
専用ポリシーサー
ビスノード。最
大 40 のポリシー
サービスノード。
次の表は、ノードがサービスを提供するアクティブなエンドポイント数に基づいて専用のポリシー
サービスノードに必要なアプライアンスのタイプについて説明します。
表 4：ポリシーサービスノードのサイズについての推奨
フォームファクプラットフォームのサイアプライアンス
タ
ズ
最大エンドポイント
物理
Cisco ISE-3315
3,000
Cisco SNS-3415
5,000
中型
Cisco ISE-3355
6,000
大型
Cisco ISE-3395
10,000
Cisco SNS-3495
20,000
仮想マシン
小型
小型/中型/大型
物理アプライアンスに相 3,000 ～ 20,000
当
次の表に、単一のインラインポスチャノードがサポートすることができる最大スループットおよ
びエンドポイントの最大数を記載します。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
13
Cisco ISE でのネットワーク配置
インラインポスチャ計画の考慮事項
表 5：インラインポスチャノードのサイズに関する推奨事項
属性
パフォーマンス
物理アプライアンスごとのエンドポ
イントの最大数
5,000 ～ 20,000（ポリシーサービスノードによってゲー
ト制御）
任意の物理アプライアンスごとの最
大スループット
936 Mbps
インラインポスチャ計画の考慮事項
ネットワークまたはシステムのアーキテクトは、インラインポスチャのノードの導入を計画する
場合、次の基本的な質問事項に対応する必要があります。
• 導入計画にインラインポスチャのプライマリとセカンダリのペアの設定を含めますか。 Cisco
ISE ネットワークでは、ネットワークで一度に最大 2 つのインラインポスチャノードを設定
できます。
• どの種類のインラインポスチャの動作モードを選択しますか。
注意
インラインポスチャノードの信頼されないインターフェイスは、インライン
ポスチャのノードの設定時に切断する必要があります。初期設定時に信頼さ
れるインターフェイスと信頼されないインターフェイスが同じ VLAN に接続
され、ペルソナの変更後にインラインポスチャノードがブートされると、マ
ルチキャストパケットトラフィックが信頼できないインターフェイスでいっ
ぱいになります。このマルチキャストイベントにより、同じサブネットまた
は VLAN に接続されたデバイスがダウンする可能性があります。この時点
で、インラインポスチャノードはメンテナンスモードになります。
注意
インラインポスチャノードが導入環境に追加されている場合、このノードの
CLI パスワードを変更しないでください。パスワードが変更されると、管理
ノードを通じてインラインポスチャノードにアクセスした場合に Java 例外エ
ラーが表示され、CLI がロックされます。インストール DVD を使用し、イン
ラインポスチャノードをリブートして、パスワードを回復する必要がありま
す。または、元のパスワードを設定することもできます。
パスワードを変更する必要がある場合は、導入環境から該当のインラインポ
スチャノードを登録解除し、パスワードを変更して、このノードを新しいク
レデンシャルとともに導入環境に追加します。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
14
Cisco ISE でのネットワーク配置
Cisco ISE のサポートに必要なスイッチおよびワイヤレス LAN コントローラの設定
Cisco ISE のサポートに必要なスイッチおよびワイヤレス
LAN コントローラの設定
Cisco ISE がネットワークスイッチと相互運用することができ、Cisco ISE の機能がネットワーク
セグメント全体で正常に使用できるよう保証するためには、ご使用のネットワークスイッチを、
必要とされる特定のネットワークタイムプロトコル（NTP）、RADIUS/AAA、IEEE 802.1X、MAC
認証バイパス（MAB）などの設定を使用して設定する必要があります。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
15
Cisco ISE でのネットワーク配置
Cisco ISE のサポートに必要なスイッチおよびワイヤレス LAN コントローラの設定
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
16
第
2
章
Cisco SNS-3400 シリーズアプライアンス
• Cisco ISE に対する Cisco SNS のサポート, 17 ページ
• Cisco SNS-3400 シリーズアプライアンスハードウェアの仕様, 17 ページ
• Cisco SNS-3400 シリーズの前面パネル, 18 ページ
• Cisco SNS-3400 シリーズの背面パネル, 19 ページ
Cisco ISE に対する Cisco SNS のサポート
Cisco ISE ソフトウェアは、専用の Cisco SNS-3400 シリーズアプライアンスまたは VMware サー
バのいずれかで稼働します。 Cisco ISE ソフトウェアでは、この専用プラットフォームへのその他
のパッケージまたはアプリケーションのインストールがサポートされていません。
この Cisco ISE ソフトウェアは、Cisco ISE 3300 シリーズ、Cisco NAC 3300 シリーズ、および Cisco
Secure ACS 1121 アプライアンスでもサポートされています。既存の Cisco ISE 3300 シリーズアプ
ライアンスを最新のリリースにアップグレードすることができます。
Cisco SNS-3400 シリーズアプライアンスハードウェアの
仕様
Cisco SNS-3400 シリーズアプライアンスハードウェアは、Cisco SNS 3415 および 3495 のアプラ
イアンスから構成されます。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
17
Cisco SNS-3400 シリーズアプライアンス
Cisco SNS-3400 シリーズの前面パネル
表 6：Cisco ISE SNS 3415/3495 アプライアンスハードウェアの概要
Cisco ISE アプライアンス
ハードウェア仕様
Cisco SNS- 3415-K9
• Cisco UCS C220 M3
• シングルソケット Intel E5-2609 2.4GHz CPU 合計 4 コア、
合計 4 スレッド
• 16 GB の RAM
• 600 GB ディスク x 1
• 組み込みソフトウェア RAID 0
• 4 GE ネットワークインターフェイス
Cisco SNS- 3495-K9
• Cisco UCS C220 M3
• デュアルソケット Intel E5-2609 2.4GHz CPU 合計 8 コア、
合計 8 スレッド
• 32 GB の RAM
• 600 GB ディスク x 2
• RAID 0+1
• 4 GE ネットワークインターフェイス
Cisco SNS-3400 シリーズの前面パネル
図 7：Cisco SNS 3415/3495 の前面パネル
1
電源ボタン/電源ステータス LED
6
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
18
電源装置ステータス LED
Cisco SNS-3400 シリーズアプライアンス
Cisco SNS-3400 シリーズの背面パネル
2
識別ボタン LED
7
ネットワークリンクアクティビティ LED
3
システムステータス LED
8
資産タグ（シリアル番号）
4
ファンステータス LED
9
キーボード、ビデオ、マウス（KVM）コネ
クタ（2 つの USB（1 つはビデオグラフィッ
クアダプタ（VGA）、もう 1 つはシリアル
コネクタ）を備えたKVMケーブルと使用）
5
温度ステータス LED
10 ドライブ（最大 8 台のホットスワップ可能
な 2 ～ 5 インチのドライブ）
Cisco SNS-3400 シリーズの背面パネル
図 8：SNS 3415/3495 の背面パネル
1
電源（最大 2 台）
2
スロット2：ライザーのロープロ 8
ファイル PCIe（Peripheral
Component Interconnect Express）
スロット（ハーフハイト、ハー
フレングス、x16 コネクタ、x16
レーン幅）
CIMC へのアクセスに使用する 1 GB イーサ
ネット専用管理ポート（M というラベル付
き）
3
スロット 1：1 GB イーサネット 9
ポートを含む PCIe1 カード
（GigE2 および GigE3）
Cisco ISE 管理通信用の 1 GB イーサネット
ポート 1（GigE0）
4
1 GB イーサネットポート 3
（GigE2）
1 GB イーサネットポート 2（GigE1）
7
10
シリアルポート（RJ-45 コネクタ）
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
19
Cisco SNS-3400 シリーズアプライアンス
Cisco SNS-3400 シリーズの背面パネル
5
1 GB イーサネットポート 4
（GigE3）
11
USB ポート
6
VGA ビデオコネクタ
12
背面の識別ボタン
シリアル番号の場所
サーバのシリアル番号はサーバ上部、前面近くのラベルに印刷されています。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
20
第
3
章
Cisco SNS-3400 シリーズアプライアンスの
インストールおよび設定
• SNS-3400 シリーズアプライアンスをインストールするための前提条件, 21 ページ
• Cisco.com からの Cisco ISE ISO イメージのダウンロード, 22 ページ
• SNS-3400 シリーズアプライアンスに Cisco ISE ソフトウェアをインストールする方法, 23
ページ
• Cisco Integrated Management Controller の設定, 24 ページ
• ブート可能な USB ドライブの作成, 25 ページ
• Cisco ISE セットアッププログラムパラメータ, 26 ページ
• CIMC を使用した Cisco SNS-3400 シリーズアプライアンスでの ISE の設定, 28 ページ
• セットアッププロセスの確認, 33 ページ
SNS-3400 シリーズアプライアンスをインストールするた
めの前提条件
Cisco SNS-3400 シリーズアプライアンスに Cisco ISE ソフトウェアを設定する前に、この章に記
載されている設定の前提条件、および安全に関するガイドライン、設置場所の要件、このガイド
で後述するガイドラインを確認してください。
Cisco SNS-3400 シリーズアプライアンスには、Cisco Application Deployment Engine オペレーティ
ングシステム（ADE-OS）および Cisco ISE ソフトウェアがあらかじめインストールされていま
す。
手順を進める前に、導入環境内の各ノードの以下のすべての構成設定が分かっていることを確認
します。
• ホスト名
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
21
Cisco SNS-3400 シリーズアプライアンスのインストールおよび設定
Cisco.com からの Cisco ISE ISO イメージのダウンロード
• ギガビットイーサネット 0（eth0）インターフェイスの IP アドレス
• ネットマスク
• デフォルトゲートウェイ
• ドメインネームシステム（DNS）ドメイン
• プライマリネームサーバ
• プライマリネットワークタイムプロトコル（NTP）サーバ
• システム時間帯
• ユーザ名（CLI 管理ユーザのユーザ名）
• パスワード（CLI 管理ユーザのパスワード）
（注）
意図的にシスコの SNS-3400 シリーズアプライアンスの RAID 設定が削除されている場合は、
CIMC またはブート可能な USB ドライブを使用して Cisco ISE ソフトウェアを再インストール
する必要があります。ブート可能な USB ドライブを使用して Cisco ISE を再インストールす
ると同時に、webBIOS を使用して手動で RAID を設定する必要があります。
Cisco.com からの Cisco ISE ISO イメージのダウンロード
はじめる前に
インラインポスチャノードの場合は、インラインポスチャノードの ISO をダウンロードし、イ
ンストールプロセスを続行してください。
ステップ 1
http://www.cisco.com/go/ise にアクセスします。このリンクにアクセスするには、有効な Cisco.com ログイ
ンクレデンシャルが事前に必要です。
ステップ 2
[ソフトウェアダウンロード（Download Software for this Product）] をクリックします。
Cisco ISE ソフトウェアイメージには、90 日間の評価ライセンスがすでにインストールされた状態で付属
しているため、インストールおよび初期設定が完了すると、すべての Cisco ISE サービスのテストを開始
できます。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
22
Cisco SNS-3400 シリーズアプライアンスのインストールおよび設定
SNS-3400 シリーズアプライアンスに Cisco ISE ソフトウェアをインストールする方法
SNS-3400 シリーズアプライアンスに Cisco ISE ソフトウェ
アをインストールする方法
SNS-3400 シリーズアプライアンスが Cisco ISE の以前のバージョンを実行している場合、application
upgrade コマンドを使用してアップグレードできます。また、既存の SNS-3400 シリーズアプライ
アンスのイメージを再適用し、Cisco ISE の新規インストールを実行して、既存環境に登録するこ
ともできます。
ISO イメージをダウンロードしたら、次の方法のいずれかで、イメージを SNS-3400 シリーズア
プライアンスにインストールできます。
• CIMC リモート管理ユーティリティを使用して ISO イメージをインストールします。このリ
モートインストールを行うには、CIMC を設定する必要があります。
1 CIMC を設定します。
2 Cisco ISE ソフトウェアをリモートでインストールします。
• USB フラッシュドライブを使用して ISO イメージをインストールします。
1 iso-to-usb.sh スクリプトを使用して、ブート可能な USB フラッシュドライブを作成しま
す。
2 SNS-3400 シリーズアプライアンスに USB フラッシュデバイスを接続します。
3 ローカルの KVM を使用するか、またはリモートで CIMC KVM を使用して、Cisco ISE ソ
フトウェアをインストールします。
• USB ポートと外付けの DVD ドライブを使用して ISO をインストールします。
1 DVD に ISO イメージを書き込みます。
2 SNS-3400 シリーズアプライアンスに外付けの USB DVD を接続します。
3 ローカルの KVM を使用するか、またはリモートで CIMC KVM を使用して、Cisco ISE ソ
フトウェアをインストールします。
（注）
USB フラッシュデバイスを使用するか、USB ポートで外付けの DVD を使用して Cisco ISE ソ
フトウェアをインストールする場合、CIMC の設定は任意です。リモートインストールを行
わない場合は、これらのオプションのいずれかを選択します。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
23
Cisco SNS-3400 シリーズアプライアンスのインストールおよび設定
Cisco Integrated Management Controller の設定
Cisco Integrated Management Controller の設定
CIMC を使用して、サーバおよびシステムイベントログのモニタリングなど、Cisco SNS-3400 シ
リーズアプライアンスのすべての操作を実行できます。これを行うには、最初に Web ベースの
ブラウザから CIMC にアクセスするための IP アドレスと IP ゲートウェイを設定する必要があり
ます。
ステップ 1
電源コードを差し込みます。
ステップ 2
電源ボタンを押して、サーバをブートします。
ステップ 3
ブートアップ時に、F8 を押して BIOS CIMC 設定ユーティリティを開きます。
ステップ 4
NIC モードを設定し、サーバ管理のために CIMC にアクセスするポートを指定します。 Cisco ISE では最
大で 4 個のギガビットイーサネットポートを使用できます。
• [専用（Dedicated）]：CIMC へのアクセスに 1 Gb イーサネット管理ポートを使用します。 [NIC 冗長
化（NIC redundancy）] の [なし（None）] を選択し、各種 IP 設定を選択する必要があります。
• [共有 LOM（Shared LOM）]（デフォルト）：CIMC へのアクセスに 2 個の 1 Gb イーサネットポート
を使用します。これは工場出荷時設定で、[NIC 冗長化（NIC redundancy）] は [アクティブ-アクティ
ブ（active-active）]、DHCP が有効に設定されています。
• [Cisco カード（Cisco Card）]：CIMC へのアクセス用に取り付けられている Cisco UCS P81E VIC の
ポートを使用します。 NIC 冗長化と IP 設定を選択する必要があります。
（注）
ステップ 5
Cisco Card NIC モードは現在、PCIe スロット 1 に取り付けられている Cisco UCS P81E VIC
（N2XX-ACPCI01）だけでサポートされています。
次の [NIC 冗長化（NIC redundancy）] 設定を指定します。
• [なし（None）]：イーサネットポートは個別に動作し、問題が発生した場合にフェールオーバーを行
いません。
• [アクティブ-スタンバイ（Active-standby）]：アクティブなイーサネットポートに障害が発生した場
合、スタンバイポートにトラフィックがフェールオーバーします。
• [アクティブ-アクティブ（Active-active）]：すべてのイーサネットポートが同時に使用されます。
ステップ 6
ダイナミックネットワーク設定に対して DHCP を有効にするか、スタティックネットワーク設定を入力
するかを選択します。
（注）
DHCP を有効にするには、DHCP サーバにこのサーバの MAC アドレス範囲をあらかじめ設定し
ておく必要があります。 MAC アドレスはサーバ背面のラベルに印字されています。このサー
バでは、CIMC に 6 つの MAC アドレスの範囲が割り当てられています。ラベルに印字されてい
る MAC アドレスは、6 つの連続 MAC アドレスのうち最初のものです。
ステップ 7
（オプション）VLAN の設定を指定し、デフォルトの CIMC ユーザパスワードを設定します。
（注）
設定の変更は約 45 秒後に有効になります。次の手順のサーバの再起動は、F5 を押して更新し、
新しい設定が表示されてから行います。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
24
Cisco SNS-3400 シリーズアプライアンスのインストールおよび設定
ブート可能な USB ドライブの作成
ステップ 8
F10 を押して設定を保存し、サーバをリブートします。
（注）
DHCP の有効化を選択した場合、動的に割り当てられた IP アドレスと MAC アドレスがブート
アップ時にコンソール画面に表示されます。
次の作業
CIMC を使用した Cisco SNS-3400 シリーズアプライアンスでの ISE の設定
ブート可能な USB ドライブの作成
Cisco ISE ISO イメージには、Readme ファイルおよび Cisco ISE をインストールするためのブート
可能な USB ドライブを作成するためのスクリプトがある images ディレクトリが含まれています。
はじめる前に
• images ディレクトリにある Readme ファイルを必ず読みます。
• 次の項目が必要になります。
◦ RHEL-6.4、CentOS 6.4 の Linux マシン。 PC または MAC を使用する場合は、Linux 仮想
マシン（VM）をインストールしていることを確認してください。
◦ 8 GB の USB ドライブ
◦ iso-to-usb.sh スクリプト
ステップ 1
USB ポートに USB ドライブを接続します。
ステップ 2
Linux マシンのディレクトリに iso-to-usb.sh スクリプトと Cisco ISE ISO イメージをコピーします。
ステップ 3
次のコマンドを入力します。
iso-to-usb.sh source_iso usb_device
たとえば、# ./iso-to-usb.sh ise-1.3.0.434-x86_64.iso /dev/sdb のようになります。ここで、iso-to-usb.sh はスク
リプト名、ise-1.3.0.434-x86_64.iso は ISO イメージの名前、/dev/sdb は USB デバイスです。
ステップ 4
イメージをインストールするアプライアンスの値を入力します。
ステップ 5
Y と入力して続行します。
ステップ 6
処理が正常に完了したことを知らせるメッセージが表示されます。
ステップ 7
USB ドライブを取り外します。
次の作業
CIMC を使用した Cisco SNS-3400 シリーズアプライアンスでの ISE の設定
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
25
Cisco SNS-3400 シリーズアプライアンスのインストールおよび設定
Cisco ISE セットアッププログラムパラメータ
Cisco ISE セットアッププログラムパラメータ
Cisco ISE ソフトウェアの設定が開始されると、インタラクティブな CLI により、システムの設定
に必要なパラメータを入力するよう要求されます。
（注）
VMware サーバに Cisco ISE ソフトウェアをインストールしている場合、Cisco ISE は初期設定
中に VMware ツールバージョン 8.3.2 もインストールおよび設定します。
表 7：Cisco ISE セットアッププログラムパラメータ
プロンプト
説明
ホストネーム
（Hostname）
isebeta1
15 文字以下にする必要があります。有効な文字に
は、英数字（A–Z、a–z、0–9）、およびハイフン（-）
などがあります。最初の文字は文字である必要があ
ります。
（注）
例
Cisco ISE の証明書認証が、証明書による検
証のわずかな違いの影響を受けないように
するために小文字を使用することをお勧め
します。ノードのホスト名として
「localhost」を使用することはできません。
（eth0）イーサギガビットイーサネット 0（eth0）インターフェイス 10.12.13.14
の有効な IPv4 アドレスでなければなりません。
ネットイン
ターフェイス
アドレス
（(eth0)
Ethernet
interface
address）
ネットマスク
（Netmask）
有効な IPv4 ネットマスクでなければなりません。
デフォルト
ゲートウェイ
（Default
gateway）
デフォルトゲートウェイの有効な IPv4 アドレスでな 10.12.13.1
ければなりません。
255.255.255.0
example.com
DNS ドメイン IP アドレスは入力できません。有効な文字には、
ASCII 文字、任意の数字、ハイフン（-）、およびピ
名（DNS
domain name）リオド（.）が含まれます。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
26
Cisco SNS-3400 シリーズアプライアンスのインストールおよび設定
Cisco ISE セットアッププログラムパラメータ
プロンプト
説明
例
プライマリ
ネームサーバ
（Primary
name server）
プライマリネームサーバの有効な IPv4 アドレスでな 10.15.20.25
ければなりません。
追加のネームサーバの有効な IPv4 アドレスでなけれ
別のネーム
サーバの追加/ ばなりません。
編集（Add/Edit
another name
server）
（オプション）複数の
ネームサーバを設定でき
ます。これを行うには、
y を入力して続行しま
す。
ネットワークタイムプロトコル（NTP）サーバの有 clock.nist.gov
プライマリ
効な IPv4 アドレスまたはホスト名である必要があり
NTP サーバ
（Primary NTP ます。
server）
別の NTP サー
バの追加/編集
（Add/Edit
another NTP
server）
有効な NTP ドメインでなければなりません。
（オプション）複数の
NTP サーバを設定できま
す。これを行うには、y
を入力して続行します。
システム時間帯有効なタイムゾーンでなければなりません。たとえ UTC（デフォルト）
（System Time ば、太平洋標準時（PST）では、システム時間帯は
Zone）
PST8PDT です（つまり、協定世界時（UTC）から 8
時間を差し引いた時間）。
サポートされているタイムゾーンのすべてのリスト
については、Cisco ISE CLI から show timezones コマ
ンドを実行できます。
（注）
ユーザ名
（Username）
すべての Cisco ISE ノードを UTC タイム
ゾーンに設定することをお勧めします。こ
のタイムゾーンの設定により、導入環境に
おけるさまざまなノードからのレポート、
ログ、およびポスチャエージェントのログ
ファイルが、タイムスタンプで常に同期さ
れるようになります。
Cisco ISE システムへの CLI アクセスに使用される管 admin（デフォルト）
理者ユーザ名を特定します。デフォルト（admin）を
使用しない場合は、新しいユーザ名を作成する必要
があります。ユーザ名は、3 から 8 文字の長さであ
り、有効な英数字（A–Z、a–z、または 0–9）で構成
される必要があります。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
27
Cisco SNS-3400 シリーズアプライアンスのインストールおよび設定
CIMC を使用した Cisco SNS-3400 シリーズアプライアンスでの ISE の設定
プロンプト
説明
例
パスワード
（Password）
Cisco ISE システムへの CLI アクセスに使用される管 MyIseYPass2
理者パスワードを特定します。このパスワードには
デフォルトがないため、作成する必要があります。
パスワードの長さは 6 文字以上で、少なくとも 1 つ
の小文字（a–z）、1 つの大文字（A-Z）、および 1 つ
の数字（0–9）を含める必要があります。
CIMC を使用した Cisco SNS-3400 シリーズアプライアンス
での ISE の設定
アプライアンスの CIMC を設定したら、CIMC を使用して、Cisco SNS-3400 シリーズアプライア
ンスを管理できます。 CIMC を使用して、BIOS の設定を含むすべての操作を実行できます。
注意
インストール後に Cisco ISE アプライアンス上でタイムゾーンを変更すると、そのノード上で
Cisco ISE アプリケーションを使用できなくなります。
はじめる前に
• アプライアンスで CIMC を設定したことを確認します。
• 推奨される手順に従って、サポートされているアプライアンスを適切にインストール、接
続、および電源投入していることを確認します。
• CIMC にアクセスするクライアントマシンに Cisco ISE ISO イメージがあること、または、イ
ンストールのイメージがあるブート可能な USB があることを確認します。
• Cisco ISE アプライアンスは、UTC タイムゾーンを使用して内部的に時間を追跡します。特
定のタイムゾーンが不明の場合は、Cisco ISE アプライアンスがある都市、地域、または国
に基づいて入力します。インストール中にセットアッププログラムで該当の設定を行うよ
うに要求されたときに、優先されるタイムゾーン（デフォルトは UTC）を設定することを
お勧めします。
• インラインポスチャノードで証明書を設定する方法について確認します。
ステップ 1
サーバ管理用の CIMC に接続します。ネットワークインターフェイスカード（NIC）モードの設定で選
択されたポートを使用して LAN からサーバにイーサネットケーブルを接続します。 [アクティブ-アクティ
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
28
Cisco SNS-3400 シリーズアプライアンスのインストールおよび設定
CIMC を使用した Cisco SNS-3400 シリーズアプライアンスでの ISE の設定
ブ（active-active）] および [アクティブ-パッシブ（active-passive）] の [NIC 冗長化（NIC redundancy）] 設
定では、2 つのポートに接続する必要があります。
ステップ 2
ブラウザと CIMC の IP アドレスを使用して CIMC セットアップユーティリティにログインします。この
IP アドレスは、自分が行った CIMC 設定に基づいています（スタティックアドレスまたは Dynamic Host
Configuration Protocol（DHCP）サーバによって割り当てられたアドレス）。
（注）
サーバのデフォルトのユーザ名は admin です。デフォルトパスワードは password で
す。
ステップ 3
[KVM コンソールの起動（Launch KVM Console）] をクリックします。
ステップ 4
CIMC クレデンシャルを使用してログインします。
ステップ 5
[仮想メディア（Virtual Media）] タブをクリックします。
ステップ 6
クライアントブラウザを実行しているシステムから Cisco ISE ISO イメージを選択するには、[イメージの
追加（Add Image）] をクリックします。
ステップ 7
作成した仮想 CD/DVD ドライブに対して [マップ済み（Mapped）] チェックボックスをオンにします。
ステップ 8
[KVM] タブをクリックします。
ステップ 9
マクロ（Macros） > Ctrl-Alt-Del を選択して、SNS-3400 シリーズアプライアンスを ISO イメージを使用し
て起動します。
ステップ 10 F6 を押して、[Boot] メニューを起動します。
ステップ 11 マッピングした CD/DVD を選択して、Enter を押します。
ステップ 12 ブートプロンプトで、2 を入力して、Enter キーを押します。
**********************************************
Please type 'setup' to configure the appliance
**********************************************
ステップ 13 プロンプトで、setup と入力し、セットアッププログラムを起動します。ネットワーキングパラメータお
よびクレデンシャルの入力を求めるプロンプトが表示されます。
次に、セットアッププログラムとデフォルトプロンプトの例を示します。
Press 'Ctrl-C' to abort setup
Enter hostname[]: ise-server-1
Enter IP address[]: 10.1.1.10
Enter IP netmask[]: 255.255.255.0
Enter IP default gateway[]: 172.10.10.10
Enter default DNS domain[]: cisco.com
Enter primary nameserver[]: 200.150.200.150
Add secondary nameserver? Y/N [N]: n
Enter NTP server[time.nist.gov]: 200.150.200.151
Add another NTP server? Y/N[N]: n
Enter system time zone[UTC]: UTC
Enable SSH service?: Y/N [N]: Y
Enter username [admin]: admin
Enter password:
Enter password again:
Copying first CLI user to be first ISE admin GUI user...
Bringing up the network interface...
Pinging the gateway...
Pinging the primary nameserver...
Do not use `Ctrl-C' from this point on...
Installing Applications...
Installing ISE...
Unbundling Application Package...
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
29
Cisco SNS-3400 シリーズアプライアンスのインストールおよび設定
CIMC を使用した Cisco SNS-3400 シリーズアプライアンスでの ISE の設定
Initiating Application Install...
Application bundle (ISE) installed successfully
===Initial Setup for Application: ISE ===
Welcome to the ISE initial setup. The purpose of this setup is to provision the internal ISE
database. This setup is non-interactive, and will take roughly 15 minutes to complete.
Running database cloning script...
Running database network config assistant tool...
Extracting ISE database contents...
Starting ISE database processes...
...
Cisco ISE ノードのソフトウェアの設定後、Cisco ISE システムは自動的にリブートします。 CLI にログイ
ンし直すには、セットアップ時に設定したCLI管理ユーザのクレデンシャルを入力する必要があります。
ステップ 14 Cisco ISE CLI シェルにログインし、次の CLI コマンドを実行して、Cisco ISE アプリケーションプロセス
のステータスを確認します。
ise-server/admin#
show application status ise
ISE PROCESS NAME
STATE
PROCESS ID
-------------------------------------------------------------------Database Listener
running
3638
Database Server
running
45 PROCESSES
Application Server
running
5992
Profiler Database
running
4481
AD Connector
running
6401
M&T Session Database
running
2319
M&T Log Collector
running
6245
M&T Log Processor
running
6286
Certificate Authority Service
running
6211
pxGrid Infrastructure Service
disabled
pxGrid Publisher Subscriber Service
disabled
pxGrid Connection Manager
disabled
pxGrid Controller
disabled
Identity Mapping Service
disabled
ステップ 15 Cisco ISE アプリケーションサーバが実行中であることを確認したら、サポートされている Web ブラウザ
のいずれかを使用して Cisco ISE ユーザインターフェイスにログインできます。 Web ブラウザを使用して
Cisco ISE ユーザインターフェイスにログインするには、[アドレス（Address）] フィールドに
https://<your-ise-hostname or IP address>/admin/ と入力します。ここで、「your-ise-hostname or IP address」
は、セットアップ時に Cisco SNS-3400 シリーズアプライアンスに設定したホスト名または IP アドレスを
表します。 Cisco ISE ユーザインターフェイスにアクセスするための Web ベースの管理ログインクレデ
ンシャル（ユーザ名とパスワード）を入力します。 Cisco ISE Web インターフェイスへの最初のアクセス
は、セットアッププロセスで定義した CLI 管理ユーザのユーザ名、およびパスワードを使用して行うこ
とができます。 Cisco ISE ユーザインターフェイスへの Web ベースのアクセスに使用するユーザ名とパス
ワードのクレデンシャルは、Cisco ISE CLI インターフェイスへのアクセスのセットアップ時に作成した
CLI 管理ユーザのクレデンシャルと同じではありません。 Cisco ISE ユーザインターフェイスにログイン
したら、続いて、デバイス、ユーザストア、ポリシー、およびその他のコンポーネントを設定できます。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
30
Cisco SNS-3400 シリーズアプライアンスのインストールおよび設定
サポートされているタイムゾーン
サポートされているタイムゾーン
この項では、欧州と米国とカナダ、オーストラリア、およびアジアの共通の協定世界時（UTC）
タイムゾーンの詳細を 3 つの表で示しています。 Cisco ISE CLI の show timezones コマンドは、
使用可能なすべてのタイムゾーンのリストを表示します。
（注）
すべての Cisco ISE ノードを UTC タイムゾーンに設定することをお勧めします。このタイム
ゾーンの設定により、展開におけるさまざまなノードからのレポート、ログ、およびポスチャ
エージェントのログファイルが、タイムスタンプで常に同期されるようになります。
タイムゾーンの形式は、POSIX または System V です。 POSIX タイムゾーン形式の構文は
America/Los_Angeles のようになり、System V タイムゾーンのシンタックスは PST8PDT のように
なります。
表 8：欧州、米国、およびカナダのタイムゾーン
頭字語または名前
タイムゾーン名
欧州
GMT、GMT0、
GMT-0、GMT+0、
UTC、Greenwich、
Universal、Zulu
グリニッジ標準時（UTC）
GB
英国
GB-Eire、Eire
アイルランド
WET
西ヨーロッパ時間（UTC）
CET
中央ヨーロッパ時間、UTC + 1 時間
EET
東ヨーロッパ時間、UTC + 2 時間
米国とカナダ
EST、EST5EDT
東部標準時、UTC - 5 時間
CST、CST6CDT
中部標準時、UTC - 6 時間
MST、MST7MDT
山岳部標準時、UTC - 7 時間
PST、PST8PDT
太平洋標準時、UTC - 8 時間
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
31
Cisco SNS-3400 シリーズアプライアンスのインストールおよび設定
サポートされているタイムゾーン
頭字語または名前
タイムゾーン名
HST
ハワイ標準時、UTC - 10 時間
表 9：オーストラリアのタイムゾーン
オーストラリア
国と都市をスラッシュ（/）で区切って入力します（例：Australia/Currie）。
ACT（オーストラリア Adelaide
首都特別地域）
Brisbane
Broken_Hill
Canberra
Currie
Darwin
Hobart
Lord_Howe
Lindeman
LHI（ロードハウ諸
島）
Melbourne
North
NSW（ニューサウス
ウェールズ）
Perth
Queensland
South
Sydney
Tasmania
Victoria
West
Yancowinna
—
—
表 10：アジアのタイムゾーン
アジア
Aden
Almaty
Amman
Anadyr
Aqtau
Aqtobe
Ashgabat
Ashkhabad
Baghdad
Bahrain
Baku
Bangkok
Beirut
Bishkek
Brunei
Kolkata
Choibalsan
Chongqing
Colombo
Damascus
Dhakar
Dili
Dubai
Dushanbe
Gaza
Harbin
Hong_Kong
Hovd
Irkutsk
Istanbul
Jakarta
Jayapura
Jerusalem
Kabul
Kamchatka
Karachi
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
32
Cisco SNS-3400 シリーズアプライアンスのインストールおよび設定
セットアッププロセスの確認
アジア
Kashgar
Katmandu
Kuala_Lumpur
Kuching
Kuwait
Krasnoyarsk
—
—
（注）
アジアのタイムゾーンには、東アジア、南アジア、東南アジア、西アジア、および中
央アジアがあります。地域と都市または国をスラッシュ（/）で区切って入力します
（例：Asia/Aden）。
セットアッププロセスの確認
最初のセットアッププロセスが正しく完了したことを確認するには、次の 2 つの方法のいずれか
で Cisco ISE アプライアンスにログインします。
• Web ブラウザ
• Cisco ISE CLI
Cisco ISE ユーザインターフェイスにログインした後、次のタスクを実行する必要があります。
• ライセンスのインストール
• Cisco ISE システムの設定
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
33
Cisco SNS-3400 シリーズアプライアンスのインストールおよび設定
セットアッププロセスの確認
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
34
第
4
章
VMware 仮想マシンでのリリース 1.3 ソフト
ウェアのインストール
• 仮想マシンでサポートされない ISE の機能, 35 ページ
• サポートされる VMWare のバージョン, 35 ページ
• VMware vMotion のサポート, 36 ページ
• オープン仮想化フォーマットのサポート, 36 ページ
• 仮想マシンの要件, 36 ページ
• 仮想マシンのリソースおよびパフォーマンスのチェック, 40 ページ
• Cisco ISE リリースの評価, 42 ページ
• 仮想マシンへの Cisco ISE のインストール, 43 ページ
• 評価環境から実稼働環境への Cisco ISE VM の移行, 56 ページ
仮想マシンでサポートされない ISE の機能
インラインポスチャノードは、Cisco SNS-3415 および Cisco ISE 3300 シリーズアプライアンスで
のみサポートされています。 Cisco SNS-3495 シリーズまたは VMware サーバシステムではサポー
トされていません。その他の指定されたロールはすべて、VMware 仮想マシン上での使用がサポー
トされています。
サポートされる VMWare のバージョン
Cisco ISE は次の VMware サーバとクライアントをサポートしています。
• VMware Elastic Sky X（ESX）バージョン 4.0、4.0.1、および 4.1
• VMware ESXi バージョン 4.x および 5.x
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
35
VMware 仮想マシンでのリリース 1.3 ソフトウェアのインストール
VMware vMotion のサポート
• VMware vSphere Client 4.x および 5.x
VMware vMotion のサポート
Cisco ISE では、ライブ仮想マシン（VM）インスタンス（任意のペルソナを実行）のホスト間で
の移行を可能にする、VMware vMotion 機能がサポートされます。該当の VMware vMotion 機能が
機能するには、次の条件を満たす必要があります。
• 共有ストレージ：VM のストレージがストレージエリアネットワーク（SAN）に存在してい
る必要があり、この SAN は、移動された VM をホストする可能性があるすべての VMware
ホストからアクセスできる必要があります。
• VMFS ボリュームの共有：この VMware ホストは、共有 Virtual Machine File System（VMFS）
ボリュームを使用する必要があります。
• ギガビットイーサネットの相互接続：SAN および VMware ホストは、ギガビットイーサネッ
トリンクを使用して相互接続する必要があります。
• プロセッサの互換性：互換性のある一連のプロセッサを使用する必要があります。プロセッ
サは、vMotion の互換性のために、同じベンダーとプロセッサファミリのものである必要が
あります。
オープン仮想化フォーマットのサポート
Cisco ISE はオープン仮想化フォーマット（OVF）をサポートしており、仮想マシン（VM）に
Cisco ISE をインストールし、展開するために使用できる OVA テンプレートを提供します。次の
OVA テンプレートが使用可能です。
• ISE-1.3.xxx.xxx-eval.ova：Cisco ISE を評価し、評価ライセンスが最大 100 エンドポイントをサ
ポートする場合は、このテンプレートを使用します。
• ISE-1.3.xxx.xxx-virtual-SNS3415.ova：VMWare アプライアンスの仕様が SNS-3415 アプライア
ンスと同等の場合は、このテンプレートを使用します。
• ISE-1.3.xxx.xxx-virtual-SNS3495.ova：VMWare アプライアンスの仕様が SNS-3495 アプライア
ンスと同等の場合は、このテンプレートを使用します。
仮想マシンの要件
Cisco ISE ハードウェアアプライアンスと同等のパフォーマンスと拡張性を実現するには、VMware
仮想マシンに Cisco SNS 3415 および 3495 アプライアンスと同等のシステムリソースが割り当て
られている必要があります。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
36
VMware 仮想マシンでのリリース 1.3 ソフトウェアのインストール
仮想マシンの要件
表 11：最小 VMware システム要件
要件のタイプ
最小要件
CPU
単一のクアッドコア、2.0 GHz 以上の速度。
Cisco ISE はハイパースレッディングをサポートしています。ハイパースレッ
ディングオプションを有効または無効にした VMware ホストに ISE をインス
トールできます。
（注）
メモリ
ハイパースレッディングによって VM 全体のパフォーマンスが向上
する場合にも、VM アプライアンスごとにサポートされるスケーリ
ング制限は変更されません。また、CPU リソースは、論理プロセッ
サの数ではなく、必要な物理コアの数に基づいて割り当てる必要が
あります。
16 ～ 32 GB の RAM
ハードディスク 200 GB ～ 2 TB のディスクストレージ（サイズは展開とタスクによって異な
ります）。
VM ホストサーバでは、最小速度が 10,000 RPM のハードディスクを使用する
ことをお勧めします。 Cisco ISE VM には、50 MB/秒の最小書き込み帯域幅と
300 MB/秒の読み取り帯域幅が必要です。ホスティング環境が 10,000 RPM の
ディスクを使用していれば、この帯域幅は簡単に実現可能です。
（注）
ストレージ
Cisco ISE に対して仮想マシンを作成する場合は、ストレージ要件を
満たす単一の仮想ディスクを使用します。ディスク領域要件を満た
している複数のディスクを使用する場合、インストーラがすべての
ディスク領域を認識しない可能性があります。
• ファイルシステム：VMFS
ストレージに VMFS を使用することをお勧めします。他のストレージプ
ロトコルはテストされておらず、何らかのファイルシステムエラーの原
因となる可能性があります。
• 内部ストレージ：SCSI/SAS
• 外部ストレージ：iSCSI/SAN
NFS ストレージの使用は推奨されません。
ディスクコント Paravirtual（64 ビット RHEL のデフォルト）または LSI Logic Parallel
ローラ
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
37
VMware 仮想マシンでのリリース 1.3 ソフトウェアのインストール
VMWare アプライアンスの推奨サイズ
要件のタイプ
最小要件
NIC
1 GB の NIC インターフェイスが必要（複数の NIC が推奨されます）。 Cisco
ISE は E1000 および VMXNET3 アダプタをサポートしています。
（注）
ハイパーバイザ
デフォルトで正しいアダプタ順序を確保するために、E1000 を選択
することをお勧めします。 VMXNET3 を選択した場合、ISE のアダ
プタ順序と同期させるために ESX アダプタを再マップしなければな
らない場合があります。
• ESXi 5.0 以降用 VMware バージョン 8
• ESXi 4.0 および 4.1 用 VMware バージョン 7
• VMware vSphere Client 4.x および 5.x
VMWare アプライアンスの推奨サイズ
VMWare アプライアンスの仕様は、実稼働環境で動作している物理アプライアンスと同等である
必要があります。
アプライアンスのリソースを割り当てる際は、次のガイドラインに留意してください。
• 仮想マシンのリソースは専用にする必要があります。 VM リソースは複数の仮想マシン間で
共有またはオーバーサブスクライブすることはできません。
• 仮想マシンのポリシーサービスノードは管理またはモニタリングノードよりも少ないディ
スク領域で導入できます。ポリシーサービスノードのディスク領域として 100 から 200 GB
を用意することをお勧めします。
• 仮想マシンは 1 ～ 4 つの NIC を使用して設定できます。 2 つ以上の NIC を使用できるように
することをお勧めします。追加のインターフェイスは、プロファイリングや RADIUS などの
さまざまなサービスをサポートするために使用できます。
表 12：実稼働環境向けの VMware アプライアンスの仕様
プラットフォーム
SNS-3415
SNS-3495
プロセッサ
単一ソケットの Intel E5-2609 2.4
Ghz CPU
デュアルソケットの Intel
E5-2609 2.4 Ghz CPU
合計 4 のコア
合計 8 のコア
メモリ
16 GB
32 GB
合計ディスク領域
600 GB
600 GB
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
38
VMware 仮想マシンでのリリース 1.3 ソフトウェアのインストール
ディスク領域に関する要件
プラットフォーム
SNS-3415
SNS-3495
イーサネット NIC
内蔵ギガビット NIC X 4
内蔵ギガビット NIC X 4
ディスク領域に関する要件
次の表に、実稼働導入で VMware サーバを実行するために推奨される Cisco ISE ディスク領域の割
り当てを示します。
表 13：推奨される VMware ディスク領域
ISE ペルソナ
最小ディスク
領域
最大ディスク
領域
実稼働環境用に推
奨されるディスク
領域
スタンドアロン ISE
200 GB
2 TB
600 GB ～ 2 TB
分散 ISE：管理専用
200 GB
2 TB
250 ～ 300 GB
分散 ISE：モニタリング専用
200 GB
2 TB
600 GB ～ 2 TB
分散 ISE：ポリシーサービス専用
200 GB
2 TB
200 GB
分散 ISE：管理とモニタリング用
200 GB
2 TB
600 GB ～ 2 TB
分散 ISE：管理、モニタリング、およびポ
リシーサービス
200 GB
2 TB
600 GB ～ 2 TB
ディスク領域に関するガイドライン
Cisco ISE のディスク容量を決定するときは、次のガイドラインに留意してください。
• Cisco ISE 仮想マシン（VM）に割り当てることができるディスク領域は最高で 2 TB のみで
す。
• Cisco ISE は、VMware 内の単一のディスクにインストールする必要があります。
• ディスク割り当ては、ロギングの保持要件によって異なります。モニタリングペルソナが
有効になっている任意のノードでは、VM ディスク領域の 30 パーセントがログストレージ
用に割り当てられます。 25,000 のエンドポイントがある展開では、1 日あたり約 1 GB のロ
グが生成されます。
たとえば、600 GB の VM ディスク領域があるモニタリングノードがある場合、180 GB がロ
グストレージ用に割り当てられます。 100,000 のエンドポイントが毎日このネットワークに
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
39
VMware 仮想マシンでのリリース 1.3 ソフトウェアのインストール
仮想マシンのリソースおよびパフォーマンスのチェック
接続する場合、1 日あたり約 4 GB のログが生成されます。この場合、リポジトリに古いデー
タを転送し、モニタリングデータベースからそのデータをパージすれば、モニタリングノー
ドのログを 38 日を保存することができます。
追加のログストレージ用に、VM ディスク領域を増やすことができます。追加するディスクス
ペースの 100 GB ごとに、ログストレージ用に 30 GB が追加されます。要件に応じて、最大 2 TB
または 614 GB のログストレージ分 VM ディスクサイズを増やすことができます。
仮想マシンのディスクサイズを増やす場合、Cisco ISE にアップグレードする必要はありません
が、仮想マシン上で Cisco ISE の新規インストールを実行してください。
表 14：モニタリングノードにログが保存される日数に、モニタリングノードに割り当てられた
ディスク領域とネットワークに接続するエンドポイントの数に基づいて、モニタリングノードで
保持できる日数を示します。数値はログの抑制と異常クライアント検出が有効になっていること
に基づいています。
表 14：モニタリングノードにログが保存される日数
エンドポイントの数 200 GB
400 GB
600 GB
1024 GB
2048 GB
10,000
126
252
378
645
1,289
20,000
63
126
189
323
645
30,000
42
84
126
215
430
40,000
32
63
95
162
323
50,000
26
51
76
129
258
100,000
13
26
38
65
129
150,000
9
17
26
43
86
200,000
7
13
19
33
65
250,000
6
11
16
26
52
仮想マシンのリソースおよびパフォーマンスのチェック
仮想マシンに Cisco ISE をインストールする前に、インストーラによって、仮想マシンの利用可能
なハードウェアリソースと推奨される仕様を比較して、ハードウェアの整合性チェックが行われ
ます。
VMware リソースのチェック中、インストーラは、ハードディスク領域、VM に割り当てられた
CPU コアの数、CPU クロック速度、および VM に割り当てられた RAM をチェックします。 VM
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
40
VMware 仮想マシンでのリリース 1.3 ソフトウェアのインストール
show tech support コマンドを使用したオンデマンドの仮想マシンパフォーマンスチェック
リソースが推奨される仕様を満たさない場合、インストールは中断されます。この VMware リ
ソースチェックは、ISO ベースのインストールにのみ適用されます。
セットアッププログラムを実行すると、VM パフォーマンスチェックが実行され、インストーラ
がディスク I/O パフォーマンスをチェックします。ディスク I/O パフォーマンスが推奨される仕
様を満たさない場合、警告が画面に表示されますが、インストールを続行できます。このパフォー
マンス検証チェックは、ISO ベースおよび OVA インストールに適用されます。
VM パフォーマンスチェックは定期的に（毎時）実行され、結果は 1 日で平均されます。ディス
ク I/O パフォーマンスが推奨される仕様を満たさない場合、アラームが生成されます。
VM パフォーマンスチェックは、show tech-support コマンドを使用して Cisco ISE CLI からオン
デマンドで実行することもできます。
VM のリソースおよびパフォーマンスのチェックは Cisco ISE のインストールとは無関係に実行で
きます。このテストは Cisco ISE 起動メニューから実行できます。
show tech support コマンドを使用したオンデマンドの仮想マシンパ
フォーマンスチェック
CLI から show tech-support コマンドを実行して、VM のパフォーマンスをいつでもチェックでき
ます。このコマンドの出力は次のようになります。
ise-vm123/admin# show tech | begin "disk IO perf"
Measuring disk IO performance
*****************************************
Average I/O bandwidth writing to disk device: 48 MB/second
Average I/O bandwidth reading from disk device: 193 MB/second
WARNING: VM I/O PERFORMANCE TESTS FAILED!
WARNING: The bandwidth writing to disk must be at least 50 MB/second,
WARNING: and bandwidth reading from disk must be at least 300 MB/second.
WARNING: This VM should not be used for production use until disk
WARNING: performance issue is addressed.
Disk I/O bandwidth filesystem test, writing 300 MB to /opt:
314572800 bytes (315 MB) copied, 7.81502 s, 40.3 MB/s
Disk I/O bandwidth filesystem read test, reading 300 MB from /opt:
314572800 bytes (315 MB) copied, 0.416897 s, 755 MB/s
Cisco ISE 起動メニューからの仮想マシンリソースのチェック
Cisco ISE のインストールとは無関係に、起動メニューから仮想マシンのリソースをチェックでき
ます。
次のように、CLI トランスクリプトが表示されます。
Welcome to the Cisco Identity Services Engine Installer
Cisco ISE Version: 1.3.0.299
Available boot options:
[1] Cisco ISE Installation (Keyboard/Monitor)
[2] Cisco ISE Installation (Serial Console)
[3] System Utilities (Keyboard/Monitor)
[4] System Utilities (Serial Console)
<Enter> Boot existing OS from hard disk.
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
41
VMware 仮想マシンでのリリース 1.3 ソフトウェアのインストール
Cisco ISE リリースの評価
Enter boot option and press <Enter>.
CLI 起動メニューから、3 または 4 を入力して [System Utilities] メニューに移動します。
Cisco ISE System Utilities Menu
Available System Utilities:
[1]
[2]
[3]
[4]
[q]
Recover administrator password
Virtual Machine Resource Check
System Erase
Install Media Check
Exit and reload
Enter option and press <Enter>
VM リソースをチェックするには、2 を入力します。次のような出力が表示されます。
*****
*****
*****
*****
*****
*****
*****
*****
*****
*****
Virtual Machine host detected…
Hard disk(s) total size detected: 322 Gigabyte
Physical RAM size detected: 40443664 Kbytes
Number of network interfaces detected: 1
Number of CPU cores: 2
CPU Mhz: 2300.00
Verifying CPU requirement…
Verifying RAM requirement…
Writing disk partition table…
Cisco ISE リリースの評価
Cisco ISE 評価版ソフトウェア（R-ISE-EVAL-K9=）を入手するには、シスコのアカウントチーム
または認定されたシスコチャネルパートナーにお問い合わせください。
評価システムから完全ライセンスを持つ実稼働環境のシステムに Cisco ISE 設定を移行するには、
次のタスクを実行する必要があります。
• 評価版の設定をバックアップする。
• 実稼働 VM に必要なディスク領域があることを確認する。詳細については、「配置の規模お
よびスケーリングについての推奨事項」を参照してください。
• 実稼働の導入ライセンスをインストールする。
• 実稼働システムに設定を復元する。
（注）
評価の場合、VMware サーバに対するハードディスクの最小の割り当て要件は 200 GB です。
より多くのユーザをサポートする実稼働環境に VMware サーバを移動する場合は、Cisco ISE
インストールを必ず推奨される最小ディスクサイズ以上（最大許容サイズは 2 TB）に再設定
してください。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
42
VMware 仮想マシンでのリリース 1.3 ソフトウェアのインストール
仮想マシンへの Cisco ISE のインストール
はじめる前に
評価目的で、VM 要件に準拠したサポート対象の VMware 仮想マシン（VM）に Cisco ISE をイン
ストールできます。 Cisco ISE を評価する場合は、VM のディスク領域を少なく設定できますが、
最低 200 GB のディスク領域を割り当てることは必要です。
ステップ 1
http://www.cisco.com/go/ise にアクセスします。このリンクにアクセスするには、有効な Cisco.com ログイ
ンクレデンシャルが事前に必要です。
ステップ 2
[ソフトウェアダウンロード（Download Software for this Product）] をクリックします。
ソフトウェアイメージには、90 日間の評価ライセンスがすでにインストールされた状態で付属している
ため、インストールおよび初期設定が完了すると、すべての Cisco ISE サービスの評価を開始できます。
仮想マシンへの Cisco ISE のインストール
次のいずれかの方法で、VM に Cisco ISE をインストールできます。 Cisco ISE OVA テンプレート
をダウンロードし、展開することをお勧めします。
• OVA テンプレートを使用した仮想マシンへの Cisco ISE の展開 , （43 ページ）
• ISO ファイルを使用した仮想マシンへの Cisco ISE のインストール, （44 ページ）
• Cisco ISE 仮想マシンの複製, （52 ページ）
OVA テンプレートを使用した仮想マシンへの Cisco ISE の展開
OVA テンプレートを使用して仮想マシンに Cisco ISE ソフトウェアをインストールし、展開する
ことができます。 Cisco.com から OVA テンプレートをダウンロードします。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
43
VMware 仮想マシンでのリリース 1.3 ソフトウェアのインストール
ISO ファイルを使用した仮想マシンへの Cisco ISE のインストール
はじめる前に
OVA テンプレートを使用して仮想マシンに Cisco ISE ソフトウェアをインストールし、展開する
ことができます
ステップ 1
[VMware vSphere] クライアントを開きます。
ステップ 2
VMware ホストにログインします。
ステップ 3
VMware vSphere Client から [File] > [Deploy OVF Template] を選択します。
ステップ 4
[Browse] をクリックして OVA テンプレートを選択し、[Next] をクリックします。
ステップ 5
[OVF Template Details] ページの詳細を確認し、[Next] をクリックします。
ステップ 6
一意に識別するために仮想マシンの名前を [Name and Location] ページに入力し、[Next] をクリックしま
す。
ステップ 7
OVA をホストするデータストアを選択します。
ステップ 8
[Disk Format] ページの [Thick Provision] オプションボタンをクリックし、[Next] をクリックします。
Cisco ISE リリース 1.3 は、シックプロビジョニングとシンプロビジョニングの両方をサポートします。
ただし、特にモニタリングノードでは、パフォーマンスを高めるために、シックプロビジョニングを選
択することをお勧めします。シンプロビジョニングを選択した場合は、最初のディスク拡張中に、より
多くのディスク領域が必要なアップグレード、バックアップと復元、デバッグロギングなどの操作に影響
が出ることがあります。
ステップ 9
[Ready to Complete] ページの情報を確認します。 [Power on after deployment] チェックボックスをオンにし
ます。
ステップ 10 [Finish] をクリックします。
ISO ファイルを使用した仮想マシンへの Cisco ISE のインストール
ISO ファイルを使用して VM に Cisco ISE をインストールするには：
はじめる前に
• この章で指定されている要件に従って VM リソースを読み取り、割り当てていることを確認
します。
• 「VMware ESX または ESXi サーバを設定するための前提条件」の項を必ず読みます。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
44
VMware 仮想マシンでのリリース 1.3 ソフトウェアのインストール
ISO ファイルを使用した仮想マシンへの Cisco ISE のインストール
• Cisco.com から Cisco ISE ISO イメージをダウンロードします。
ステップ 1
VMware サーバを設定します。 VMware サーバの設定, （48 ページ）を参照してください。
ステップ 2
ソフトウェア DVD から起動するように VMware システムを設定します。 VMware システムを Cisco ISE ソ
フトウェア DVD から起動するための設定, （49 ページ）を参照してください。
ステップ 3
VM に Cisco ISE ソフトウェアをインストールします。 DVD からの Cisco ISE ソフトウェアのインストー
ルを参照してください。
VMware ESX または ESXi サーバを設定するための前提条件
VMware ESX または ESXi サーバを設定する前に、この項に記載されている次の設定の前提条件を
確認してください。
• 管理者権限を持つユーザ（root ユーザ）として ESXi サーバにログインする必要があります。
• Cisco ISE は 64 ビットシステムです。 64 ビットシステムをインストールする前に、仮想化
テクノロジー（VT）が ESX/ESXi サーバで有効になっていることを確認してください。ま
た、仮想マシンのゲストオペレーティングシステムが 64 ビットに設定されていることも確
認してください。ゲストオペレーティングシステムのタイプが Red Hat Enterprise Linux 6
（64 ビット）に設定されていることも確認する必要があります。
• Red Hat Enterprise Linux 6 の場合、デフォルトの NIC タイプは、VMXNET3 アダプタです。
Cisco ISE 仮想マシン用に最大 4 つの NIC を追加できますが、すべての NIC に対して必ず同
じアダプタを選択するようにしてください。 Cisco ISE は E1000 アダプタをサポートします。
（注）
ネットワークアダプタとしてデフォルトネットワークドライバ（VMXNET3）
を選択した場合は、物理アダプタのマッピングを確認します。 ESX で 4 番目
のインターフェイス（NIC 4）に Cisco ISE GigabitEthernet 0 インターフェイス
をマッピングすることを確認します。 E1000 アダプタを選択すると、デフォ
ルトで、ESX および Cisco ISE アダプタが正しくマッピングされます。
• VMware 仮想マシンディスク領域の推奨量を割り当てていることを確認してください。
• VMware Virtual Machine File System（VMFS）を作成していない場合は、Cisco ISE 仮想アプラ
イアンスをサポートするために作成する必要があります。 VMFS は、VMware ホスト上に設
定されたストレージボリュームごとに設定されます。
◦ VMFS5 を使用する場合、1 MB のブロックサイズは最大で 2 TB の仮想ディスクサイズ
をサポートします。
◦ VMFS3 を使用する場合は、VMware ホストでホストされる仮想ディスクの最大サイズ
に基づいて VMFS のブロックサイズを選択する必要があります。 VMFS のブロックサ
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
45
VMware 仮想マシンでのリリース 1.3 ソフトウェアのインストール
ISO ファイルを使用した仮想マシンへの Cisco ISE のインストール
イズを設定した後にこのサイズを変更するには、VMFS パーティションを再フォーマッ
トする必要があります。 VMFS-3 の場合、VMFS のブロックサイズは次の最大仮想ディ
スクサイズに基づいている必要があります。
表 15：VMFS のブロックサイズ
ブロックサイズ
仮想ディスクサイズ
1 MB
256 GB
2 MB
512 GB
4 MB
1 TB
8 MB
2 TB
仮想化テクノロジーのチェック
すでに ESX または ESXi サーバをインストールしている場合は、マシンを再起動せずに、VT が有
効かどうかを確認できます。これを行うには、esxcfg-info コマンドを使用します。次に例を示し
ます。
~ # esxcfg-info |grep "HV Support"
|----HV Support............................................3
|----World Command Line.................................grep HV Support
HV サポートの値が 3 の場合、VT は ESX または ESXi サーバで有効であるため、インストールに
進むことができます。
HV サポートの値が 2 の場合、VT はサポートされていますが、ESX または ESXi サーバで有効に
なっていません。 BIOS 設定を編集し、ESX または ESXi サーバで VT を有効にする必要がありま
す。
ESX または ESXi サーバの仮想化テクノロジーの有効化
Cisco ISE 仮想マシンの以前のバージョンをホストするために使用したものと同じハードウェアを
再利用できます。ただし、最新のリリースをインストールする前に、ESX または ESXi サーバで
仮想化テクノロジー（VT）を有効にする必要があります。
ステップ 1
SNS-3400 シリーズアプライアンスをリブートします。
ステップ 2
F2 を押して、セットアップを開始します。
ステップ 3
[詳細設定（Advanced）] > [プロセッサの設定（Processor Configuration）] を選択します。
ステップ 4
[Intel(R) VT] を選択して、有効にします。
ステップ 5
変更を保存し、終了するには、F10 を押します。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
46
VMware 仮想マシンでのリリース 1.3 ソフトウェアのインストール
ISO ファイルを使用した仮想マシンへの Cisco ISE のインストール
Cisco ISE プロファイラサービスに対する VMware サーバインターフェイスの設定
VMware サーバインターフェイスを、スイッチポートアナライザ（SPAN）またはミラー化され
たトラフィックの Cisco ISE プロファイラサービスの専用プローブインターフェイスへの収集を
サポートするように設定します。
ステップ 1
[設定（Configuration）] > [ネットワーキング（Networking）] > [プロパティ（Properties）] > [VMNetwork]
（VMware サーバインスタンスの名前） > [VMswitch0]（VMware ESXi サーバインターフェイスの 1 つ）
> [プロパティ（Properties）] > [セキュリティ（Security）] の順に選択します。
ステップ 2
[セキュリティ（Security）] タブの [ポリシー例外（Policy Exceptions）] ペインで [プロミスキャスモード
（Promiscuous Mode）] チェックボックスをオンにします。
ステップ 3
[プロミスキャスモード（Promiscuous Mode）] ドロップダウンリストで、[承認（Accept）] を選択し、[OK]
をクリックします。
SPAN またはミラー化されたトラフィックのプロファイラデータ収集に使用する他の VMware ESX サーバ
インターフェイスで同じ手順を繰り返して行ってください。
シリアルコンソールを使用した VMware サーバへの接続
ステップ 1
特定の VMware サーバ（たとえば ISE-120）の電源をオフにします。
ステップ 2
VMware サーバを右クリックし、[Edit] を選択します。
ステップ 3
[Hardware] タブで [Add] をクリックします。
ステップ 4
[Serial Port] を選択し、[Next] をクリックします。
ステップ 5
[Serial Port Output] 領域で、[Use physical serial port on the host] または [Connect via Network] オプションボタ
ンを使用して、[Next] をクリックします。
• [Connect via Network] オプションを選択した場合は、ESX サーバ上のファイアウォールポートを開く
必要があります。
• [Use physical serial port on the host] を選択する場合は、ポートを選択します。次の 2 つのいずれかの
オプションを選択できます。
◦ /dev/ttyS0（DOS または Windows オペレーティングシステムで、これは COM1 として表示され
ます）。
◦ /dev/ttyS1（DOS または Windows オペレーティングシステムで、これは COM2 として表示され
ます）。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
47
VMware 仮想マシンでのリリース 1.3 ソフトウェアのインストール
ISO ファイルを使用した仮想マシンへの Cisco ISE のインストール
ステップ 6
[Next] をクリックします。
ステップ 7
[Device Status] 領域で、適切なチェックボックスをオンにします。デフォルトは [接続済み（Connected）]
です。
ステップ 8
VMware サーバに接続するには、[OK] をクリックします。
VMware サーバの設定
はじめる前に
VMware ESX または ESXi サーバを設定するための前提条件の詳細を必ず読みます。
ステップ 1
ESXi サーバにログインします。
ステップ 2
VMware vSphere Client の左側のペインで、ホストコンテナを右クリックして、[New Virtual Machine] を選
択します。
ステップ 3
[Configuration] ダイアログボックスで、VMware 設定に [Custom] を選択し、[Next] をクリックします。
ステップ 4
VMware システムの名前を入力し、[Next] をクリックします。
ヒント
VMware ホストに使用するホスト名を使用しま
す。
ステップ 5
推奨される使用可能な領域があるデータストアを選択し [Next] をクリックします。
ステップ 6
（オプション）VM ホストまたはクラスタが複数の VMware 仮想マシンバージョンをサポートする場合
は、[Virtual Machine Version 7] などの仮想マシンバージョンを選択して、[Next] をクリックします。
ステップ 7
[Version] ドロップダウンリストから、[Linux] および [Red Hat Enterprise Linux 6 (64-bit)] を選択します。
ステップ 8
[Number of virtual sockets] および [Number of cores per virtual socket] ドロップダウンリストで、[2] を選択し
ます。コアの総数は 4 にする必要があります。
（オプション：一部の ESX サーバのバージョンに表示されます。 [Number of virtual processors] のみが表示
される場合は、[4] を選択します。）
ステップ 9
メモリ容量を選択し、[Next] をクリックします。
ステップ 10 [E1000] NIC ドライバを [Adapter] ドロップダウンリストから選択し、[Next] をクリックします。
[SCSI Controller] ダイアログボックスが表示されます。
ステップ 11 SCSI コントローラに [Paravirtual] を選択し、[Next] をクリックします。
ステップ 12 [Create a new virtual disk] を選択し、[Next] をクリックします。
ステップ 13 [Disk Provisioning] ダイアログボックスで、[Thick Provision] オプションボタンをクリックし、[Next] をク
リックして続行します。
Cisco ISE リリース 1.3 は、シックプロビジョニングとシンプロビジョニングの両方をサポートします。
ただし、特にモニタリングノードでは、パフォーマンスを高めるために、シックプロビジョニングを選
択することをお勧めします。シンプロビジョニングを選択した場合は、最初のディスク拡張中に、より
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
48
VMware 仮想マシンでのリリース 1.3 ソフトウェアのインストール
ISO ファイルを使用した仮想マシンへの Cisco ISE のインストール
多くのディスク領域が必要なアップグレード、バックアップと復元、デバッグロギングなどの操作に影響
が出ることがあります。
ステップ 14 [Support clustering features such as Fault Tolerance] チェックボックスの選択を解除します。
ステップ 15 詳細オプションを選択し、[Next] をクリックします。
ステップ 16 新しく作成された VMware システムの名前、ゲスト OS、CPU、メモリ、およびディスクサイズなどの設
定の詳細を確認します。次の値が表示されるはずです。
• [Guest OS]：[Red Hat Enterprise Linux 6 (64-bit)]
• [CPU]：4
• [Memory]：[16 GB] または [16384 MB]
• [Disk Size]：VMware ディスク領域の推奨事項に基づいて、200 GB ～ 2 TB
仮想マシンでの Cisco ISE のインストールを正常に行うには、このマニュアルに記載されている推奨事項
に必ず従ってください。
ステップ 17 [Finish] をクリックします。
これで、VMware システムがインストールされました。
次の作業
新しく作成された VMware システムをアクティブにするには、VMware クライアントのユーザイ
ンターフェイスの左側のペインで [VM] を右クリックして、[電源（Power）] > [電源オン（Power
On）] を選択します。
VMware システムを Cisco ISE ソフトウェア DVD から起動するための設定
VMware システムを設定すると、Cisco ISE ソフトウェアをインストールする準備ができる状態に
なります。 DVD から Cisco ISE ソフトウェアをインストールするには、DVD からブートするよう
に VMware システムを設定する必要があります。このためには、仮想 DVD ドライブを使用して
VMware システムを設定する必要があります。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
49
VMware 仮想マシンでのリリース 1.3 ソフトウェアのインストール
ISO ファイルを使用した仮想マシンへの Cisco ISE のインストール
はじめる前に
Cisco ISE ISO をダウンロードし、その ISO イメージを DVD に書き込み、Cisco ISE を仮想マシン
にインストールするために使用する必要があります。
ステップ 1
VMware クライアントで、新たに作成した VMware システムを強調表示して、[Edit Virtual Machine Settings]
を選択します。
ステップ 2
[Virtual Machine Properties] ダイアログボックスで、[CD/DVD Drive 1] を選択します。
ステップ 3
[Host Device] オプションボタンをクリックし、ドロップダウンリストから DVD ホストデバイスを選択し
ます。
ステップ 4
[Connect at Power On] オプションを選択し、[OK] をクリックして設定を保存します。
これで、VMware ESX サーバの DVD ドライブを使用して、Cisco ISE ソフトウェアをインストールできる
ようになりました。
次の作業
このタスクを完了した後、VMware クライアントユーザインターフェイスで [コンソール
（Console）] タブをクリックし、左側のペインで、[VM] を右クリックし、[電源（Power）]、[Reset]
の順に選択して VMware システムを再起動します。
VMware システムへの Cisco ISE ソフトウェアのインストール
はじめる前に
• インストール後に、永続ライセンスをインストールしない場合、Cisco ISE は自動的に最大
100 エンドポイントをサポートする 90 日間の評価ライセンスをインストールします。
• Cisco ISE リリース 1.3 ソフトウェアを Cisco ソフトウェアのダウンロードサイト（http://
www.cisco.com/en/US/products/ps11640/index.html）からダウンロードし、DVD に書き込みま
す。 Cisco.com クレデンシャルの提供が求められます。
ステップ 1
VMware クライアントにログインします。
ステップ 2
BIOS で協定世界時（UTC）が設定されていることを確認します。
a) VMware システムの電源がオンになっている場合は、システムの電源をオフにします。
b) VMware システムの電源をオンにします。
c) F1 を押して、BIOS セットアップモードにします。
d) 矢印キーを使用して [Date and Time] フィールドに移動し、Enter を押します。
e) UTC/グリニッジ標準時（GMT）タイムゾーンを入力します。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
50
VMware 仮想マシンでのリリース 1.3 ソフトウェアのインストール
ISO ファイルを使用した仮想マシンへの Cisco ISE のインストール
このタイムゾーンの設定により、導入環境におけるさまざまなノードからのレポート、ログ、および
ポスチャエージェントのログファイルが、タイムスタンプで常に同期されるようになります。
f) Esc を押して、メイン BIOS メニューを終了します。
g) Esc を押して、BIOS セットアップモードを終了します。
ステップ 3
Cisco ISE ソフトウェア DVD を VMware ESX ホストの CD/DVD ドライブに挿入して、仮想マシンをオン
にします。
DVD の起動時、コンソールには次のように表示されます。
Welcome to the Cisco Identity Services Engine Installer
Cisco ISE Version: 1.3.0.802
Available boot options:
[1] Cisco ISE Installation (Keyboard/Monitor)
[2] Cisco ISE Installation (Serial Console)
[3] System Utilities (Keyboard/Monitor)
[4] System Utilities (Serial Console)
<Enter> Boot existing OS from hard disk.
Enter boot option and press <Enter>.
boot: 2
Loading vmlinuz......
Loading initrd.img...............................................ready.
Initializing cgroup subsys cpuset
Initializing cgroup subsys cpu
Linux version 2.6.32-431.el6.x86_64 ([email protected]) (gcc version 4.4.7
20120313 (Red Hat 4.4.7-4) (GCC) ) #1 SMP Sun Nov 10 22:19:54 EST 2013
初期セットアップを実行するには、モニタとキーボードポートまたはコンソールポートのいずれかを選
択できます。
ステップ 4
システムプロンプトで、1 と入力してモニタとキーボードポートを選択するか、2 と入力してコンソール
ポートを選択し、Enter を押します。
インストーラが、VMware システムへの Cisco ISE ソフトウェアのインストールを開始します。インストー
ルプロセスが完了するまで、20 分かかります。インストールプロセスが終了すると、仮想マシンは自動
的に再起動されます。 VM の再起動時に、コンソールに次のように表示されます。
Type 'setup' to configure your appliance
localhost:
ステップ 5
システムプロンプトで、setup と入力し、Enter を押します。
セットアップウィザードが表示され、ウィザードに従って初期設定を実行します。
仮想マシンへの Cisco ISE ISO インストールが失敗する
仮想マシンへの Cisco ISE の新規インストールが失敗し、ネットワークアダプタとしてデフォル
トネットワークドライバ（VMXNET3）を選択している場合は、物理アダプタのマッピングを確
認します。 ESX で 4 番目のインターフェイス（NIC 4）に Cisco ISE GigabitEthernet 0 インターフェ
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
51
VMware 仮想マシンでのリリース 1.3 ソフトウェアのインストール
Cisco ISE 仮想マシンの複製
イスをマッピングすることを確認します。回避策は、ネットワークアダプタとして E1000 ドライ
バを使用することです。
Cisco ISE 仮想マシンの複製
Cisco ISE VMware 仮想マシン（VM）を複製し、Cisco ISE ノードの厳密なレプリカを作成するこ
とができます。たとえば、複数のポリシーサービスノード（PSN）を使用した分散導入環境で、
VM の複製は PSN を迅速かつ効率的に導入するのに役立ちます。 PSN をそれぞれ別個にインス
トールして設定する必要はありません。
テンプレートを使用して Cisco ISE VM を複製することもできます。
はじめる前に
• 複製する Cisco ISE VM を確実にシャットダウンします。 vSphere Client で、複製する Cisco
ISE VM を右クリックし、[電源（Power）] > [Shut Down Guest] を選択します。
• 複製されたマシンの IP アドレスとホスト名を変更したことを確認してから、そのマシンの電
源を入れて、ネットワークに接続します。
ステップ 1
管理者権限を持つユーザ（root ユーザ）として ESXi サーバにログインします。
ステップ 2
複製する Cisco ISE VM を右クリックし、[Clone] をクリックします。
ステップ 3
[Name and Location] ダイアログボックスに作成する新しいマシンの名前を入力し、[Next] をクリックしま
す。
これは、新しく作成する Cisco ISE VM のホスト名ではなく、参照のための説明となる名前です。
ステップ 4
新しい Cisco ISE VM を実行するホストまたはクラスタを選択し、[Next] をクリックします。
ステップ 5
作成している新しい Cisco ISE VM 用のデータストアを選択して、[Next] をクリックします。
このデータストアは、ESX または ESXi サーバ上のローカルデータストアまたはリモートストレージの
場合があります。データストアに十分なディスク領域があることを確認します。
ステップ 6
[Disk Format] ダイアログボックスで [Same format as source] オプションボタンをクリックし、[Next] をク
リックします。
このオプションは、この新しいマシンの複製元である Cisco ISE VM で使用されているのと同じフォーマッ
トをコピーします。
ステップ 7
[Guest Customization] ダイアログボックスで [Do not customize] オプションボタンをクリックし、[Next] を
クリックします。
ステップ 8
[Finish] をクリックします。
次の作業
• 複製された仮想マシンの IP アドレスおよびホスト名の変更
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
52
VMware 仮想マシンでのリリース 1.3 ソフトウェアのインストール
Cisco ISE 仮想マシンの複製
• 複製された Cisco 仮想マシンのネットワークへの接続
テンプレートを使用した Cisco ISE 仮想マシンの複製
vCenter を使用している場合は、VMware テンプレートを使用して、Cisco ISE 仮想マシン（VM）
を複製できます。テンプレートに Cisco ISE ノードを複製し、そのテンプレートを使用して、複
数の新しい Cisco ISE ノードを作成できます。テンプレートを使用した仮想マシンの複製は、次
の 2 つのステップで構成される手順です。
ステップ 1
仮想マシンテンプレートの作成, （53 ページ）
ステップ 2
仮想マシンテンプレートの導入, （54 ページ）
仮想マシンテンプレートの作成
はじめる前に
• 複製する Cisco ISE VM を確実にシャットダウンします。 vSphere Client で、複製する Cisco
ISE VM を右クリックし、[電源（Power）] > [Shut Down Guest] を選択します。
• テンプレートは、インストールしたばかりでセットアッププログラムを実行していない Cisco
ISE リリース 1.3 VM から作成することをお勧めします。これにより、IP アドレスおよびホ
スト名を個別に作成し、設定した Cisco ISE の各ノードでセットアッププログラムをそれぞ
れ実行できるようになります。
ステップ 1
管理者権限を持つユーザ（root ユーザ）として ESXi サーバにログインします。
ステップ 2
複製する Cisco ISE VM を右クリックし、[Clone] > [Clone to Template] を選択します。
ステップ 3
テンプレートの名前を入力し、[Name and Location] ダイアログボックスでテンプレートを保存する場所を
選択して、[Next] をクリックします。
ステップ 4
テンプレートを保存する ESX ホストを選択して、[Next] をクリックします。
ステップ 5
テンプレートを保存するデータストアを選択して、[Next] をクリックします。
このデータストアに必要なディスク領域があることを確認します。
ステップ 6
[Disk Format] ダイアログボックスで [Same format as source] オプションボタンをクリックし、[Next] をク
リックします。
[Ready to Complete] ダイアログボックスが表示されます。
ステップ 7
[Finish] をクリックします。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
53
VMware 仮想マシンでのリリース 1.3 ソフトウェアのインストール
Cisco ISE 仮想マシンの複製
仮想マシンテンプレートの導入
仮想マシンテンプレートを作成したら、他の仮想マシン（VM）に導入できます。
ステップ 1
作成した Cisco ISE VM テンプレートを右クリックして、[Deploy Virtual Machine from this template] を選択
します。
ステップ 2
新しい Cisco ISE ノードの名前を入力し、[Name and Location] ダイアログボックスでノードの場所を選択
して、[Next] をクリックします。
ステップ 3
新しい Cisco ISE ノードを保存する ESX ホストを選択して、[Next] をクリックします。
ステップ 4
新しい Cisco ISE に使用するデータストアを選択して、[Next] をクリックします。
このデータストアに必要なディスク領域があることを確認します。
ステップ 5
[Disk Format] ダイアログボックスで [Same format as source] オプションボタンをクリックし、[Next] をク
リックします。
ステップ 6
[Guest Customization] ダイアログボックスの [Guest Customization] オプションボタンをクリックします。
[Ready to Complete] ダイアログボックスが表示されます。
ステップ 7
[Edit Virtual Hardware] チェックボックスをオンにして、[Continue] をクリックします。
[Virtual Machine Properties] ページが表示されます。
ステップ 8
[Network Adapter] を選択し、[接続済み（Connected）] チェックボックスおよび [電源投入時に接続（Connect
at power on）] チェックボックスをオフにして、[OK] をクリックします。
ステップ 9
[Finish] をクリックします。
この Cisco ISE ノードの電源を投入し、IP アドレスとホスト名を設定し、ネットワークに接続できるよう
になりました。
次の作業
• 複製された仮想マシンの IP アドレスおよびホスト名の変更
• 複製された Cisco 仮想マシンのネットワークへの接続
複製された仮想マシンの IP アドレスおよびホスト名の変更
Cisco ISE 仮想マシン（VM）を複製したら、そのマシンの電源を入れて、IP アドレスとホスト名
を変更する必要があります。
はじめる前に
• Cisco ISE ノードがスタンドアロン状態であることを確認します。
• 新しく複製された Cisco ISE VM に電源を入れるときに、このマシンにネットワークアダプ
タが接続されていないことを確認します。 [接続済み（Connected）] および [電源投入時に接
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
54
VMware 仮想マシンでのリリース 1.3 ソフトウェアのインストール
Cisco ISE 仮想マシンの複製
続（Connect at power on）] チェックボックスをオフにします。オフにしない場合、このノー
ドが起動すると、複製元のマシンと同じ IP アドレスが使用されます。
図 9：ネットワークアダプタの接続解除
• 新しく複製された VM マシンの電源を入れたらすぐに、このマシン用に設定する IP アドレ
スとホスト名があることを確認します。この IP アドレスおよびホスト名のエントリは DNS
サーバにある必要があります。ノードのホスト名として「localhost」を使用することはでき
ません。
• 新しい IP アドレスまたはホスト名に基づく Cisco ISE ノードの証明書があることを確認しま
す。
手順
ステップ 1
新しく複製された Cisco ISE VM を右クリックして、[電源（Power）] > [電源オン（Power On）] を選択し
ます。
ステップ 2
新しく複製された Cisco ISE VM を選択して、[コンソール（Console）] タブをクリックします。
ステップ 3
Cisco ISE CLI で、次のコマンドを入力します。
configure terminal
hostname hostname
hostname は、設定する新しいホスト名です。 Cisco ISE サービスが再起動されます。
ステップ 4
次のコマンドを入力します。
interface gigabit 0
ip address ip_address netmask
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
55
VMware 仮想マシンでのリリース 1.3 ソフトウェアのインストール
評価環境から実稼働環境への Cisco ISE VM の移行
ip_address は、ステップ 3 で入力したホスト名に対応するアドレスであり、netmask はその ip_address のサ
ブネットマスクです。システムにより、Cisco ISE サービスを再起動するように求められます。 ip address
コマンドおよび hostname コマンドの詳細については、『Cisco Identity Services Engine CLI Reference Guide,
Release 1.3』を参照してください。
ステップ 5
Y を入力して、Cisco ISE サービスを再起動します。
複製された Cisco 仮想マシンのネットワークへの接続
電源を入れ、IP アドレスおよびホスト名を変更したら、ネットワークに Cisco ISE ノードを接続す
る必要があります。
ステップ 1
新しく複製された Cisco ISE 仮想マシン（VM）を右クリックして、[設定の編集（Edit Settings）] をクリッ
クします。
ステップ 2
[仮想マシンのプロパティ（Virtual Machine Properties）] ダイアログボックスで [ネットワークアダプタ
（Network Adapter）] をクリックします。
ステップ 3
[デバイスステータス（Device Status）] 領域で、[接続済み（Connected）] チェックボックスおよび [電源
投入時に接続（Connect at power on）] チェックボックスをオンにします。
ステップ 4
[OK] をクリックします。
評価環境から実稼働環境への Cisco ISE VM の移行
Cisco ISE リリースを評価した後、評価システムから完全ライセンスを持つ実稼働システムに移行
できます。
はじめる前に
• より多くのユーザをサポートする実稼働環境に VMware サーバを移動する場合は、Cisco ISE
インストールを必ず推奨される最小ディスクサイズ以上（最大許容サイズは 2 TB）に再設
定してください。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
56
VMware 仮想マシンでのリリース 1.3 ソフトウェアのインストール
評価環境から実稼働環境への Cisco ISE VM の移行
• 200 GB 未満のディスク領域を使用して作成された VM から実稼働 VM にデータを移行する
ことはできないことに注意してください。 200 GB 以上のディスク領域を使用して作成され
た VM のデータのみを実稼働環境に移行できます。
ステップ 1
評価版の設定をバックアップする。
ステップ 2
実稼働 VM に必要なディスク領域があることを確認する。
ステップ 3
実稼働の導入ライセンスをインストールする。
ステップ 4
実稼働システムに設定を復元する。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
57
VMware 仮想マシンでのリリース 1.3 ソフトウェアのインストール
評価環境から実稼働環境への Cisco ISE VM の移行
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
58
第
5
章
Cisco ISE 3300 シリーズ、Cisco NAC アプライ
アンス、および Cisco Secure ACS アプライ
アンスへの Cisco ISE ソフトウェアのインス
トール
• サポートされる Cisco ISE、Secure ACS、および NAC アプライアンス, 59 ページ
• DVD からの Cisco ISE ソフトウェアのインストール, 60 ページ
• イメージを再適用した Cisco ISE-3300 シリーズアプライアンスでの Cisco ISE ソフトウェア
のインストール, 61 ページ
• イメージを再適用した Cisco Secure ACS アプライアンスでの Cisco ISE ソフトウェアのイン
ストール, 62 ページ
• イメージを再適用した Cisco NAC アプライアンスでの Cisco ISE ソフトウェアのインストー
ル, 63 ページ
サポートされる Cisco ISE、Secure ACS、および NAC アプ
ライアンス
アプライアンスにイメージが再適用されている場合、次の特定の Cisco アプライアンスに DVD か
ら Cisco ISE ソフトウェアをインストールできます。アプライアンスタイプは次のとおりです。
• Cisco ISE-3315
• Cisco ISE-3355
• Cisco ISE-3395
• Cisco Secure ACS-1121
• Cisco NAC-3315
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
59
Cisco ISE 3300 シリーズ、Cisco NAC アプライアンス、および Cisco Secure ACS アプライアンスへの Cisco ISE ソ
フトウェアのインストール
DVD からの Cisco ISE ソフトウェアのインストール
• Cisco NAC-3355
• Cisco NAC-3395
Cisco Secure ACS または Cisco NAC アプライアンスへのこのソフトウェアのインストールは、Cisco
ISE ソフトウェアがインストールされる基盤ハードウェアが同じ物理デバイスタイプであるため、
シンプルなプロセスです。
Cisco Secure ACS または Cisco NAC アプライアンスを Cisco ISE アプライアンスとして再利用する
場合は、アプライアンスにイメージを再適用してから ISE ソフトウェアをインストールします。
Cisco ISE 3300 シリーズハードウェアプラットフォームについての具体的な詳細については、
『Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3』を参照してくだ
さい。
DVD からの Cisco ISE ソフトウェアのインストール
はじめる前に
• Cisco ISE リリースまたはインラインポスチャノードの ISO イメージをダウンロードし、そ
の ISO イメージを DVD に書き込んで、Cisco ISE-3300 シリーズ、および従来の Cisco NAC
および Cisco Secure ACS アプライアンスへのソフトウェアのインストールに使用します。
• セットアッププログラムを実行する前に Cisco ISE セットアップパラメータを確認し、この
情報を用意しておきます。
ステップ 1
アプライアンスにキーボードおよび VGA モニタを接続します。
ステップ 2
電源コードがアプライアンスに接続されており、DVD がアプライアンス CD/DVD ドライブに挿入されて
おり、アプライアンスの電源が入っていることを確認します。
コンソールにブートオプションが表示されます。
ステップ 3
ブートプロンプトで、1 を入力して、Enter キーを押します。
ステップ 4
プロンプトで、setup と入力し、セットアッププログラムを起動します。
ステップ 5
セットアッププログラムパラメータの値を入力します。
Cisco ISE または IPN ソフトウェアが設定されると、システムが自動的にリブートします。 CLI にログイ
ンし直すには、セットアップ時に設定したCLI管理ユーザのクレデンシャルを入力する必要があります。
次の作業
• IPN ISO をインストールした場合は、インラインポスチャノードの証明書を設定する必要が
あります。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
60
Cisco ISE 3300 シリーズ、Cisco NAC アプライアンス、および Cisco Secure ACS アプライアンスへの Cisco ISE
ソフトウェアのインストール
イメージを再適用した Cisco ISE-3300 シリーズアプライアンスでの Cisco ISE ソフトウェアのインストー
ル
• Cisco ISE ISO イメージがインストールされている場合は、Cisco ISE CLI シェルにログイン
し、show application status ise の CLI コマンドを実行して、Cisco ISE アプリケーションプロ
セスの状態を検査できます。
イメージを再適用した Cisco ISE-3300 シリーズアプライ
アンスでの Cisco ISE ソフトウェアのインストール
はじめる前に
• Cisco ISE またはインラインポスチャノードの ISO イメージをダウンロードし、DVD に ISO
イメージを書き込み、Cisco アプライアンスにソフトウェアをインストールするために使用
します。
• Cisco SNS-3400 アプライアンスを設定するための前提条件を確認します。
• セットアッププログラムを実行する前に Cisco ISE セットアッププログラムパラメータを確
認し、この情報を用意しておきます。
• DVD のインストールの説明を確認します。
ステップ 1
Cisco ISE アプライアンスの電源が入っている場合は、オフにします。
ステップ 2
Cisco ISE アプライアンスの電源をオンにします。
ステップ 3
F1 を押して、BIOS セットアップモードにします。
ステップ 4
矢印キーを使用して [Date and Time] フィールドに移動し、Enter を押します。
ステップ 5
UTC/GMT タイムゾーンに時間を設定します。
（注）
すべての Cisco ISE ノードを UTC タイムゾーンに設定することをお勧めします。このタイム
ゾーンの設定により、展開におけるさまざまなノードからのレポートおよびログが、タイムス
タンプで常に同期されるようになります。
ステップ 6
Esc を押して、メイン BIOS メニューを終了します。
ステップ 7
Esc を押して、BIOS セットアップモードを終了します。
ステップ 8
DVD からソフトウェアをインストールします。
次の作業
Cisco ISE 管理者ポータルにログインし、ライセンスをインストールします。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
61
Cisco ISE 3300 シリーズ、Cisco NAC アプライアンス、および Cisco Secure ACS アプライアンスへの Cisco ISE ソ
フトウェアのインストール
イメージを再適用した Cisco Secure ACS アプライアンスでの Cisco ISE ソフトウェアのインストール
イメージを再適用した Cisco Secure ACS アプライアンス
での Cisco ISE ソフトウェアのインストール
はじめる前に
• Cisco ISE またはインラインポスチャノードの ISO イメージをダウンロードし、DVD に ISO
イメージを書き込み、従来の Cisco Secure ACS アプライアンスに Cisco ISE または IPN ソフ
トウェアをインストールするために使用します。
• Cisco アプライアンスを設定するための前提条件を確認します。
• セットアッププログラムを実行する前に Cisco ISE セットアッププログラムパラメータを確
認し、この情報を用意しておきます。
• DVD のインストールの説明を確認します。
ステップ 1
Cisco Secure ACS アプライアンスの電源が入っている場合は、オフにします。
ステップ 2
Cisco Secure ACS アプライアンスの電源をオンにします。
ステップ 3
F1 を押して、BIOS セットアップモードにします。
ステップ 4
矢印キーを使用して [Date and Time] フィールドに移動し、Enter を押します。
ステップ 5
アプライアンスの時刻を UTC/GMT タイムゾーンに設定します。
（注）
すべての Cisco ISE ノードを UTC タイムゾーンに設定することをお勧めします。このタイム
ゾーンの設定により、展開におけるさまざまなノードからのレポートおよびログが、タイムス
タンプで常に同期されるようになります。
ステップ 6
Esc を押して、メイン BIOS メニューを終了します。
ステップ 7
Esc を押して、BIOS セットアップモードを終了します。
ステップ 8
DVD からソフトウェアをインストールします。
次の作業
Cisco ISE 管理者ポータルにログインし、ライセンスをインストールします。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
62
Cisco ISE 3300 シリーズ、Cisco NAC アプライアンス、および Cisco Secure ACS アプライアンスへの Cisco ISE
ソフトウェアのインストール
イメージを再適用した Cisco NAC アプライアンスでの Cisco ISE ソフトウェアのインストール
イメージを再適用した Cisco NAC アプライアンスでの
Cisco ISE ソフトウェアのインストール
はじめる前に
• Cisco ISE ソフトウェアまたはインラインポスチャノードの ISO イメージをダウンロードし、
DVD に ISO イメージを書き込み、従来の Cisco NAC アプライアンスにソフトウェアをイン
ストールするために使用します。
• Cisco アプライアンスを設定するための前提条件を確認します。
• セットアッププログラムを実行する前に Cisco ISE セットアッププログラムパラメータを確
認し、この情報を用意しておきます。
• DVD のインストールの説明を確認します。
ステップ 1
Cisco NAC アプライアンスの電源が入っている場合は、オフにします。
ステップ 2
Cisco NAC アプライアンスをオンにします。
ステップ 3
F1 を押して、BIOS セットアップモードにします。
ステップ 4
矢印キーを使用して [Date and Time] フィールドに移動し、Enter を押します。
ステップ 5
アプライアンスの時刻を UTC/GMT タイムゾーンに設定します。
（注）
すべての Cisco ISE ノードを UTC タイムゾーンに設定することをお勧めします。このタイム
ゾーンの設定により、展開におけるさまざまなノードからのレポートおよびログが、タイムス
タンプで常に同期されるようになります。
ステップ 6
Esc を押して、メイン BIOS メニューを終了します。
ステップ 7
Esc を押して、BIOS セットアップモードを終了します。
ステップ 8
DVD からソフトウェアをインストールします。
次の作業
Cisco ISE DVD インストールプロセスが、「The installer requires at least 600GB disk space for this
appliance type」というメッセージを返す場合、インストールを進めるために、アプライアンスで
RAID 設定のリセットが必要となる場合があります。
Cisco ISE 管理者ポータルにログインし、ライセンスをインストールします。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
63
Cisco ISE 3300 シリーズ、Cisco NAC アプライアンス、および Cisco Secure ACS アプライアンスへの Cisco ISE ソ
フトウェアのインストール
Cisco NAC アプライアンスの既存の RAID 設定のリセット
Cisco NAC アプライアンスの既存の RAID 設定のリセット
Cisco ISE ソフトウェアのインストールを進めるために、NAC アプライアンスの RAID 設定のリ
セットが必要な場合があります。
ステップ 1
Cisco ISE ソフトウェア DVD を使用して Cisco NAC アプライアンスをリブートします。
ステップ 2
CLI に表示される RAID コントローラのバージョン情報を確認する場合は、Ctrl を押した状態で C を押し
ます。 LSI Corporation MPT SAS BIOS のようなラベルが表示された、RAID コントローラのバージョン情
報が表示され、LSI Corp Config Utility がアクティブになります。
ステップ 3
Enter を押して、デフォルトのコントローラを指定します。（SR-BR10i のような強調表示されたコントロー
ラ名が確認できます）。Cisco NAC アプライアンスのアダプタ情報を含む画面が表示されます。
ステップ 4
矢印キーを使用して [RAID Properties] に移動し、Enter を押します。
ステップ 5
矢印キーを使用して [Manage Array] に移動し、Enter を押します。
ステップ 6
矢印キーを使用して [Delete Array] に移動し、Enter を押します。
ステップ 7
「Y」を入力して、既存の RAID アレイを削除することを確認します。
ステップ 8
Esc を 2 回押して、RAID 設定ユーティリティを終了します。
システムにより、[Exit the Configuration Utility and Reboot?] というプロンプトで確認を求められます。
ステップ 9
Enter キーを押します。 Cisco NAC アプライアンスがリブートされます。 Cisco ISE ソフトウェア DVD が
まだ挿入されているのであれば、アプライアンスによってインストールメニューが自動的に起動されま
す。
ステップ 10 Cisco ISE リリース 1.3 のインストールを開始するには 1 を押します。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
64
第
6
章
管理者アカウントの管理
• CLI 管理および Web ベース管理のユーザ権限の違い, 65 ページ
• CLI 管理ユーザの作成, 66 ページ
• Web ベースの管理ユーザの作成, 66 ページ
CLI 管理および Web ベース管理のユーザ権限の違い
Cisco ISE セットアッププログラムを使用して設定したユーザ名およびパスワードは、Cisco ISE
CLI および Cisco ISE Web インターフェイスでの管理アクセスで使用するためのものです。 Cisco
ISE CLI にアクセスできる管理者を CLI 管理ユーザといいます。デフォルトでは、CLI 管理ユー
ザのユーザ名は admin、パスワードはセットアッププロセスでユーザが定義したパスワードです。
デフォルトのパスワードはありません。
Cisco ISE Web インターフェイスへの最初のアクセスは、セットアッププロセスで定義した CLI
管理ユーザのユーザ名、およびパスワードを使用して行うことができます。 Web ベース admin の
デフォルトのユーザ名およびパスワードはありません。
CLI 管理ユーザは、Cisco ISE の Web ベースの管理ユーザデータベースにコピーされます。最初
の CLI 管理ユーザのみが Web ベースの管理ユーザとしてコピーされます。両方の管理ロールで
同じユーザ名とパスワードを使用できるように、CLI と Web ベースの管理ユーザストアは同期を
保持する必要があります。
Cisco ISE CLI 管理ユーザは、Cisco ISE Web ベースの管理ユーザとは異なる権限と機能を持ち、他
の管理タスクを実行できます。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
65
管理者アカウントの管理
CLI 管理ユーザの作成
表 16：CLI 管理ユーザおよび Web ベース管理ユーザによって実行されるタスク
管理ユーザタイプ
CLI 管理および Web ベース
管理の両方
タスク
• Cisco ISE アプリケーションデータをバックアップする。
• Cisco ISE アプライアンス上でシステム、アプリケーション、
または診断ログを表示する。
• Cisco ISE ソフトウェアパッチ、メンテナンスリリース、お
よびアップグレードを適用する。
• NTP サーバコンフィギュレーションを設定する。
CLI 管理のみ
• Cisco ISE アプリケーションソフトウェアを起動および停止
する。
• Cisco ISE アプライアンスをリロードまたはシャットダウンす
る。
• ロックアウトした場合、Web ベースの管理ユーザをリセット
する。
• ISE CLI にアクセスする。
CLI 管理ユーザの作成
Cisco ISE では、セットアッププロセスで作成した CLI 管理ユーザアカウントに加え、追加の CLI
管理ユーザアカウントを作成することができます。 CLI 管理ユーザのクレデンシャルを保護する
ために、Cisco ISE CLI アクセスに必要な CLI 管理ユーザの作成数は最低限にします。
CLI でコンフィギュレーションモードを開始し、username コマンドを使用して、CLI 管理者ユー
ザを追加できます。
Web ベースの管理ユーザの作成
Cisco ISE システムに初めて Web によるアクセスを行う場合、管理者のユーザ名とパスワードは
セットアップ時に設定した CLI ベースのアクセスと同じです。
Web ベースの管理ユーザは、ユーザインターフェイスから追加できます。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
66
第
7
章
インストール後のタスク
• Cisco ISE の Web ベースのインターフェイスへのログイン, 67 ページ
• Cisco ISE の設定の確認, 68 ページ
• VMware ツールのインストールの確認, 70 ページ
• 管理者パスワードのリセット, 71 ページ
• Cisco ISE アプライアンスの IP アドレスの変更, 73 ページ
• インストールおよびアップグレード履歴の表示, 74 ページ
• システムの消去の実行, 75 ページ
Cisco ISE の Web ベースのインターフェイスへのログイン
初めて Cisco ISE Web ベースのインターフェイスにログインするときは、事前インストールされて
いる評価ライセンスを使用します。
（注）
Cisco ISE ユーザインターフェイスを使用して、定期的に管理者ログインパスワードをリセッ
トすることをお勧めします。
注意
セキュリティ上の理由から、管理セッションの完了時には、ログアウトすることをお勧めしま
す。ログアウトしない場合、30 分間何も操作しないと Cisco ISE の Web インターフェイスか
らログアウトされ、送信されていない設定データは保存されません。
はじめる前に
Cisco ISE 管理者ポータルは次の HTTPS 対応ブラウザをサポートしています。
• Mozilla Firefox バージョン 31.x ESR、32.x、および 33.x
• Microsoft Internet Explorer バージョン 10.x および 11.x
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
67
インストール後のタスク
Cisco ISE の設定の確認
（注）
クライアントブラウザを実行しているシステムに、Adobe Flash Player 11.2.0.0 以降がインス
トールされている必要があります。 Cisco ISE の GUI を表示するのに最低限必要な画面解像度
は 1280 x 800 ピクセルです。
ステップ 1
Cisco ISE アプライアンスのリブートが完了したら、サポートされている Web ブラウザの 1 つを起動しま
す。
ステップ 2
アドレスフィールドに、Cisco ISE アプライアンスの IP アドレス（またはホスト名）を次のフォーマット
を使用して入力し、Enter を押します。
https://<IP address or host name>/admin/
ステップ 3
設定時に定義したユーザ名とパスワードを入力します。
ステップ 4
[ログイン（Login）] をクリックします。
Cisco ISE の設定の確認
Web ブラウザおよび CLI を使用して Cisco ISE 設定を確認するための、それぞれ異なるユーザ名
およびパスワードクレデンシャルのセットを使用する 2 通りの方法があります。
（注）
CLI 管理ユーザと Web ベースの管理ユーザのクレデンシャルは、Cisco ISE では異なります。
Web ブラウザを使用した設定の確認
ステップ 1
Cisco ISE アプライアンスのリブートが完了したら、サポートされている Web ブラウザの 1 つを起動しま
す。
ステップ 2
アドレスフィールドに、Cisco ISE アプライアンスの IP アドレス（またはホスト名）を次のフォーマット
を使用して入力し、Enter を押します。
ステップ 3
Cisco ISE のログインページで、セットアップ時に定義したユーザ名とパスワードを入力し、[ログイン
（Login）] をクリックします。
たとえば、https://10.10.10.10/admin/ と入力すると Cisco ISE のログインページが表示されます。
https://<IP address or host name>/admin/
（注）
Cisco ISE システムに初めて Web によるアクセスを行う場合、管理者のユーザ名とパスワードは
セットアップ時に設定した CLI ベースのアクセスと同じです。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
68
インストール後のタスク
CLI を使用した設定の確認
ステップ 4
アプライアンスが正しく動作していることを確認するには、Cisco ISE ダッシュボードを使用します。
次の作業
Cisco ISE の Web ベースのユーザインターフェイスメニューを使用して、Cisco ISE システムを
ニーズに合わせて設定できます。 Cisco ISE の設定の詳細については、『Cisco Identity Services
Engine User Guide, Release 1.3』を参照してください。
CLI を使用した設定の確認
はじめる前に
最新の Cisco ISE パッチを入手し Cisco ISE を最新に保つには、Web サイト http://www.cisco.com/
public/sw-center/index.shtml を参照してください。
ステップ 1
Cisco ISE アプライアンスのリブートが完了したら、PuTTY などのサポートされる製品を起動して、Cisco
ISE アプライアンスへの Secure Shell（SSH）接続を確立します。
ステップ 2
[Host Name]（または [IP Address]）フィールドにホスト名（または Cisco ISE アプライアンスのドット付き
10 進表記の IP アドレス）を入力し、[Open] をクリックします。
ステップ 3
ログインプロンプトで、セットアップ時に設定した CLI 管理ユーザ名（admin がデフォルト）を入力し、
Enter を押します。
ステップ 4
パスワードプロンプトで、セットアップ時に設定した CLI 管理パスワード（これはユーザ定義でデフォ
ルトはありません）を入力し、Enter を押します。
ステップ 5
システムプロンプトで、show application version ise と入力し、Enter を押します。
（注）
[Version] フィールドに、Cisco ISE ソフトウェアに現在インストールされているバージョンが表
示されます。
コンソール出力は次のように表示されます。
ise-vm123/admin# show application version ise
Cisco Identity Services Engine
--------------------------------------------Version
: 1.3.0.639
Build Date
: Sun May 25 19:31:27 2014
Install Date : Sun May 25 21:06:31 2014
ステップ 6
Cisco ISE プロセスの状態を調べるには、show application status ise と入力し、Enter を押します。
コンソール出力は次のように表示されます。
ise-server/admin#
show application status ise
ISE PROCESS NAME
STATE
PROCESS ID
-------------------------------------------------------------------Database Listener
running
3638
Database Server
running
45 PROCESSES
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
69
インストール後のタスク
VMware ツールのインストールの確認
Application Server
Profiler Database
AD Connector
M&T Session Database
M&T Log Collector
M&T Log Processor
Certificate Authority Service
pxGrid Infrastructure Service
pxGrid Publisher Subscriber Service
pxGrid Connection Manager
pxGrid Controller
Identity Mapping Service
running
running
running
running
running
running
running
disabled
disabled
disabled
disabled
disabled
5992
4483
6401
2313
6247
6274
6213
VMware ツールのインストールの確認
vSphere Client の [Summary] タブを使用した VMware ツールのインストー
ルの確認
vShpere Client で指定された VMware ホストの [Summary] タブに移動します。 [VMware Tools] フィー
ルドの値が OK である必要があります。
図 10：vSphere Client での VMware ツールの確認
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
70
インストール後のタスク
CLI を使用した VMware ツールのインストールの確認
CLI を使用した VMware ツールのインストールの確認
show inventory コマンドを使用して、VMware ツールがインストールされているかどうかを確認す
ることもできます。このコマンドは NIC ドライバ情報をリストします。 VMware ツールがインス
トールされている仮想マシンの [Driver Descr] フィールドに、VMware Virtual Ethernet ドライバが
表示されます。
vm36/admin# show inventory
NAME: "ISE-VM-K9 chassis", DESCR: "ISE-VM-K9 chassis"
PID: ISE-VM-K9, VID: V01 , SN: 8JDCBLIDLJA
Total RAM Memory: 4016564 kB
CPU Core Count: 1
CPU 0: Model Info: Intel(R) Xeon(R) CPU E5504 @ 2.00GHz
Hard Disk Count(*): 1
Disk 0: Device Name: /dev/sda
Disk 0: Capacity: 64.40 GB
Disk 0: Geometry: 255 heads 63 sectors/track 7832 cylinders
NIC Count: 1
NIC 0: Device Name: eth0
NIC 0: HW Address: 00:0C:29:BA:C7:82
NIC 0: Driver Descr: VMware Virtual Ethernet driver
(*) Hard Disk Count may be Logical.
vm36/admin#
VMware ツールのアップグレードのサポート
Cisco ISE ISO イメージ（通常、アップグレード、またはパッチ）には、サポートされる VMware
ツールが含まれています。 VMware クライアントユーザインターフェイスを使用した VMware
ツールのアップグレードは、Cisco ISE ではサポートされていません。 VMware ツールを新しい
バージョンにアップグレードする場合、サポートは Cisco ISE の新しいバージョンで提供されます
（通常、アップグレード、またはパッチリリース）。
管理者パスワードのリセット
DVD を使用した紛失、失念、または侵害されたパスワードのリセット
はじめる前に
次の接続関連の状態が原因で、Cisco ISE ソフトウェア DVD を使用して Cisco ISE アプライアンス
を起動しようとしたときに問題が発生する場合があることを理解しておいてください。
• ターミナルサーバにシリアルコンソールから Cisco ISE アプライアンスへの exec に設定され
た接続が関連付けられている。これを no exec に設定すると、KVM 接続およびシリアルコ
ンソール接続を使用できるようになります。
• Cisco ISE アプライアンスへのキーボードおよびビデオモニタ（KVM）接続がある（これは
リモート KVM または VMware vSphere Client コンソール接続のいずれかになります）。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
71
インストール後のタスク
DVD を使用した紛失、失念、または侵害されたパスワードのリセット
• Cisco ISE アプライアンスへのシリアルコンソール接続がある。
ステップ 1
Cisco ISE アプライアンスの電源がオンになっていることを確認します。
ステップ 2
Cisco ISE ソフトウェア DVD を挿入します。
たとえば、Cisco ISE 3415 コンソールに次のメッセージが表示されます。
Welcome to the Cisco Identity Services Engine Installer
Cisco ISE Version: 1.3.0.299
Available boot options:
[1] Cisco ISE Installation (Keyboard/Monitor)
[2] Cisco ISE Installation (Serial Console)
[3] System Utilities (Keyboard/Monitor)
[4] System Utilities (Serial Console)
<Enter> Boot existing OS from hard disk.
Enter boot option and press <Enter>.
ステップ 3
システムプロンプトで、アプライアンスへのキーボードおよびビデオモニタ接続を使用している場合は
3 を入力し、ローカルシリアルコンソールポート接続を使用している場合は 4 と入力します。
次に示すような ISO ユーティリティメニューが表示されます。
Cisco ISE System Utilities Menu
Available System Utilities:
[1]
[2]
[3]
[4]
[q]
Recover administrator password
Virtual Machine Resource Check
System Erase
Install Media Check
Exit and reload
Enter option and press <Enter>
ステップ 4
管理者パスワードを回復するには、1 を入力します。
コンソールに次のメッセージが表示されます。
Admin username:
[1]:admin
[2]:admin2
[3]:admin3
[4]:admin4
Enter number of admin for password recovery:2
Password:
Verify password:
Save change and reboot? [Y/N]:
ステップ 5
パスワードをリセットする管理者ユーザに対応する番号を入力します。
ステップ 6
新しいパスワードを入力して確認します。
ステップ 7
変更を保存するには Y と入力します。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
72
インストール後のタスク
管理者のロックアウトによるパスワードのリセット
管理者のロックアウトによるパスワードのリセット
管理者が、誤ったパスワードをアカウントが無効になる所定の回数入力する場合があります。デ
フォルトの最小試行回数は 5 です。
次の手順によって、Cisco ISE CLI で application reset-passwd ise コマンドを使用して、管理者ユー
ザインターフェイスパスワードをリセットします。このコマンドは、管理者の CLI のパスワー
ドには影響を与えません。正常に管理者パスワードをリセットすると、クレデンシャルはただち
にアクティブになり、システムをリブートせずにログインできます。
Cisco ISE は、[モニタ（Monitor）] > [レポート（Reports）] > [カタログ（Catalog）] > [サーバイン
スタンス（Server Instance）] > [サーバインスタンス（Server Instance）] > [サーバ管理者ログイン
（Server Administrator Logins）] レポートにログエントリを追加し、その管理者 ID に関連付けら
れたパスワードをリセットするまで、その管理者 ID のクレデンシャルを一時停止します。
ステップ 1
ダイレクトコンソール CLI にアクセスして、次を入力します。
application reset-passwd ise administrator_ID
ステップ 2
この管理者 ID に使用されていた前の 2 つのパスワードと異なる新しいパスワードを指定して、確認しま
す。
Enter new password:
Confirm new password:
Password reset successfully
Cisco ISE アプライアンスの IP アドレスの変更
はじめる前に
• IP アドレスを変更する前に、Cisco ISE ノードがスタンドアロン状態であることを確認しま
す。ノードが分散導入環境の一部である場合は、その環境からノードを登録解除して、スタ
ンドアロンノードにします。
• Cisco ISE アプライアンスの IP アドレスを変更する場合は、no ip address コマンドを使用し
ないでください。
ステップ 1
Cisco ISE CLI にログインします。
ステップ 2
次のコマンドを入力します。
a) configure terminal
b) interface GigabitEthernet 0
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
73
インストール後のタスク
インストールおよびアップグレード履歴の表示
c) ip address new_ip_address new_subnet_mask
システムにより、IP アドレスを変更するように求められます。 Y と入力します。次のような画面が表
示されます。
ise-13-infra-2/admin(config-GigabitEthernet)# ip address a.b.c.d 255.255.255.0
% Changing the IP address might cause ISE services to restart
Continue with IP address change? Y/N [N]: y
Stopping ISE Monitoring & Troubleshooting Log Collector...
Stopping ISE Monitoring & Troubleshooting Log Processor...
Stopping ISE Identity Mapping Service...
Stopping ISE pxGrid processes...
Stopping ISE Application Server...
Stopping ISE Certificate Authority Service...
Stopping ISE Profiler Database...
Stopping ISE Monitoring & Troubleshooting Session Database...
Stopping ISE AD Connector...
Stopping ISE Database processes...
Starting ISE Monitoring & Troubleshooting Session Database...
Starting ISE Profiler Database...
Starting ISE pxGrid processes...
Starting ISE Application Server...
Starting ISE Certificate Authority Service...
Starting ISE Monitoring & Troubleshooting Log Processor...
Starting ISE Monitoring & Troubleshooting Log Collector...
Starting ISE Identity Mapping Service...
Starting ISE AD Connector...
Note: ISE Processes are initializing. Use 'show application status ise'
CLI to verify all processes are in running state.
Cisco ISE により、システムを再起動するように求められます。
ステップ 3
システムを再起動する場合は Y と入力します。
インストールおよびアップグレード履歴の表示
Cisco ISE は Cisco ISE リリースおよびパッチのインストール、アップグレード、およびアンイン
ストールの詳細を表示するコマンドラインインターフェイス（CLI）コマンドを提供します。 show
version history コマンドでは次の詳細が提供されます。
• 日付：インストールまたはアンインストールが実行された日時
• アプリケーション：Cisco ISE アプリケーション
• バージョン：インストールまたは削除されたバージョン
• 操作：インストール、アンインストール、パッチのインストール、パッチのアンインストー
ル
• バンドルファイル名：インストールまたは削除されたバンドルの名前
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
74
インストール後のタスク
システムの消去の実行
• リポジトリ：Cisco ISE アプリケーションバンドルがインストールされたリポジトリアンイ
ンストールには適用されません。
ステップ 1
Cisco ISE CLI にログインします。
ステップ 2
コマンド show version history を入力します。
次の出力が表示されます。
Positron/admin# Show version history
--------------------------------------------Install Date: Thu Mar 20 22:01:16 PDT 2014
Application: ise
Version: 1.3.0.568
Install type: Application Install
Bundle filename: ise.tar.gz
Repository: SystemDefaultPkgRepos
システムの消去の実行
Cisco ISE アプライアンスまたは VM からすべての情報を安全に消去するために、システムの消去
を実行できます。
はじめる前に
次の接続関連の状態が原因で、Cisco ISE ソフトウェア DVD を使用して Cisco ISE アプライアンス
を起動しようとしたときに問題が発生する場合があることを理解しておいてください。
• ターミナルサーバにシリアルコンソールから Cisco ISE アプライアンスへの exec に設定され
た接続が関連付けられている。これを no exec に設定すると、KVM 接続およびシリアルコ
ンソール接続を使用できるようになります。
• Cisco ISE アプライアンスへのキーボードおよびビデオモニタ（KVM）接続がある（これは
リモート KVM または VMware vSphere Client コンソール接続のいずれかになります）。
• Cisco ISE アプライアンスへのシリアルコンソール接続がある。
ステップ 1
Cisco ISE アプライアンスの電源がオンになっていることを確認します。
ステップ 2
Cisco ISE ソフトウェア DVD を挿入します。
たとえば、Cisco ISE 3415 コンソールに次のメッセージが表示されます。
Welcome to the Cisco Identity Services Engine Installer
Cisco ISE Version: 1.3.0.299
Available boot options:
[1] Cisco ISE Installation (Keyboard/Monitor)
[2] Cisco ISE Installation (Serial Console)
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
75
インストール後のタスク
システムの消去の実行
[3] System Utilities (Keyboard/Monitor)
[4] System Utilities (Serial Console)
<Enter> Boot existing OS from hard disk.
Enter boot option and press <Enter>.
ステップ 3
システムプロンプトで、アプライアンスへのキーボードおよびビデオモニタ接続を使用している場合は
3 を入力し、ローカルシリアルコンソールポート接続を使用している場合は 4 と入力します。
次に示すような ISO ユーティリティメニューが表示されます。
Cisco ISE System Utilities Menu
Available System Utilities:
[1]
[2]
[3]
[4]
[q]
Recover administrator password
Virtual Machine Resource Check
System Erase
Install Media Check
Exit and reload
Enter option and press <Enter>
ステップ 4
3 を入力してシステムの消去を実行します。
コンソールに次のメッセージが表示されます。
**********
W A R N I N G
**********
YOU ARE ABOUT TO PERFORM A SYSTEM ERASE. THIS ACTION WILL DELETE ALL
CONTENT OF THE HARD DISK BY WRITING A SEQUENCE OF RANDOM BYTES, FOLLOWED
BY ZEROS DIRECTLY TO THE HARD DISK DEVICE.
ARE YOU SURE YOU WANT TO PROCEED? [Y/N] Y
ステップ 5
Y と入力します。
コンソールプロンプトで、別の警告が表示されます。
THIS IS YOUR LAST CHANGE TO ABORT. PROCEED WITH SYSTEM ERASE? [Y/N] Y
ステップ 6
Y を入力してシステムの消去を実行します。
コンソールに次のメッセージが表示されます。
Deleting system disk, please wait…
Writing random data to all sectors of disk device (/dev/sda)…
Writing zeros to all sectors of disk device (/dev/sda)…
Completed! System is now erased.
Press <Enter> to reboot.
システムの消去を実行した後、アプライアンスを再利用する場合は、Cisco ISE DVD を使用してシステム
を起動し、起動メニューからインストールオプションを選択します。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
76
付録
A
Cisco SNS-3400 シリーズサーバの仕様
• 物理仕様, 77 ページ
• 環境仕様, 77 ページ
• 電源仕様, 78 ページ
物理仕様
表 17：Cisco SNS-3400 シリーズサーバの物理仕様
説明
仕様
高さ
1.7 インチ（4.3 cm）
幅
16.9 インチ（42.9 cm）
奥行
28.5 インチ（72.4 cm）
重量（フル装備シャーシ）
35.6 ポンド（16.1 kg）
環境仕様
表 18：Cisco SNS-3400 シリーズサーバの環境仕様
説明
仕様
動作時温度
41 ～ 104 °F（5 ～ 40 °C）海抜 305 m ごとに最高
温度が 1°C 低下。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
77
Cisco SNS-3400 シリーズサーバの仕様
電源仕様
説明
仕様
非動作時温度
–40 ～ 149°F（–40 ～ 65°C）
湿度（RH）、結露なし
10 ～ 90 %
動作時高度
0 ～ 10,000 フィート
非動作時高度
0 ～ 40,000 フィート
音響出力レベル ISO7779 に基づく A 特性音響 5.4
出力レベル LwAd（Bels）を測定 73°F（23°C）
で動作
騒音レベル ISO7779 に基づく A 特性音圧レベ 37
ル LpAm（dBA）を測定 73°F（23°C）で動作
電源仕様
450 ワットの電源
（注）
Cisco UCS Power Calculator を使用すると、ご使用のサーバ設定の電源に関する詳細情報を取得
できます。
（注）
サーバ内で異なるタイプの電源装置を組み合わせて使用しないでください。両方の電源装置
が 450 W である必要があります。
表 19：Cisco SNS-3400 シリーズサーバの 450 ワットの電源仕様
説明
仕様
AC 入力電圧範囲
低範囲：100 VAC ～ 120 VAC 高範囲：200 VAC ～
240 VAC
AC 入力周波数
範囲：47 ～ 63 Hz（単相、公称 50 ～ 60 Hz）
AC 回線入力電流（定常ステート）
6.0 A（100 VAC で最大） 3.0 A（208 VAC で最大）
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
78
Cisco SNS-3400 シリーズサーバの仕様
650 ワットの電源
説明
仕様
各電源装置の最大出力電力
450 ワット
電源装置の出力電圧
主電源：12 VDC
スタンバイ電源：12 VDC
650 ワットの電源
（注）
Cisco UCS Power Calculator を使用すると、ご使用のサーバ設定の電源に関する詳細情報を取得
できます。
（注）
サーバ内で異なるタイプの電源装置を組み合わせて使用しないでください。電源装置は、両
方とも 650 W にする必要があります。
表 20：Cisco SNS-3400 シリーズサーバの 650 ワットの電源仕様
説明
仕様
AC 入力電圧範囲
90 ～ 264 VAC（自己調整、公称 180 ～ 264 VAC）
AC 入力周波数
範囲：47 ～ 63 Hz（単相、公称 50 ～ 60 Hz）
AC 回線入力電流（定常ステート）
7.6 A（100 VAC で最大） 3.65 A（208 VAC で最大）
各電源装置の最大出力電力
650 ワット
電源装置の出力電圧
主電源：12 VDC
スタンバイ電源：12 VDC
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
79
Cisco SNS-3400 シリーズサーバの仕様
650 ワットの電源
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
80
付録
B
Cisco SNS-3400 シリーズアプライアンスの
ポートリファレンス
• Cisco ISE インフラストラクチャ, 81 ページ
• Cisco ISE 管理ノードのポート, 83 ページ
• Cisco ISE モニタリングノードのポート, 86 ページ
• Cisco ISE ポリシーサービスノードのポート, 88 ページ
• インラインポスチャノードのポート, 93 ページ
• Cisco ISE pxGrid サービスポート, 96 ページ
• OCSP および CRL サービスポート, 96 ページ
Cisco ISE インフラストラクチャ
この付録では、Cisco ISE が外部アプリケーションやデバイスとのイントラネットワーク通信に使
用する、TCP および User Datagram Protocol（UDP）のポートの一覧を示します。この付録に示さ
れる Cisco ISE ポートが、対応するファイアウォールでオープンになっている必要があります。
Cisco ISE ネットワークでサービスを設定する場合は、次の情報に注意してください。
• Cisco ISE 管理は、ギガビットイーサネット 0 でのみ使用できます。
• RADIUS はすべてのネットワークインターフェイスカード（NIC）でリッスンします。
• すべての NIC が IP アドレスを使用して設定できます。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
81
Cisco SNS-3400 シリーズアプライアンスのポートリファレンス
Cisco ISE インフラストラクチャ
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
82
Cisco SNS-3400 シリーズアプライアンスのポートリファレンス
Cisco ISE 管理ノードのポート
Cisco ISE 管理ノードのポート
Cisco ISE サービスギガビットイーサギガビットイーサギガビットイーサギガビットイーサ
ネット 0 のポートネット 1 のポートネット 2 のポートネット 3 のポート
管理
Cisco ISE 管理は、
ギガビットイーサ
ネット 0 でのみ使
用できます。
Cisco ISE 管理は、
ギガビットイーサ
ネット 0 でのみ使
用できます。
Cisco ISE 管理は、
ギガビットイーサ
ネット 0 でのみ使
用できます。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
83
Cisco SNS-3400 シリーズアプライアンスのポートリファレンス
Cisco ISE 管理ノードのポート
Cisco ISE サービスギガビットイーサギガビットイーサギガビットイーサギガビットイーサ
ネット 0 のポートネット 1 のポートネット 2 のポートネット 3 のポート
• HTTP：
TCP/80、
HTTPS：
TCP/443
（TCP/443 に
リダイレク
トされた
TCP/80。設
定不可）
• SSH サー
バ：TCP/22
• 外部 RESTful
サービス
（ERS）
REST API：
TCP/9060
• TCP：9002
（管理 GUI
からスポン
サーポータ
ルを表示す
るため）
（注）
インラ
インポ
スチャ
ノード
は管理
ペルソ
ナをサ
ポート
しない
ため、
ポート
80 およ
び 443
へのア
クセス
があり
ませ
ん。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
84
Cisco SNS-3400 シリーズアプライアンスのポートリファレンス
Cisco ISE 管理ノードのポート
Cisco ISE サービスギガビットイーサギガビットイーサギガビットイーサギガビットイーサ
ネット 0 のポートネット 1 のポートネット 2 のポートネット 3 のポート
（注）
複製および同期
ポート
80 およ
び 443
は、管
理 Web
アプリ
ケー
ション
をサ
ポート
してい
て、デ
フォル
トで有
効に
なって
いま
す。
• HTTPS
（SOAP）：
TCP/443
—
—
—
• データの同
期/レプリ
ケーション
（JGroups）：
TCP/12001
（グローバ
ル）
モニタリング
SNMP クエリー：UDP/161
（注）
ロギング（アウト
バウンド）
このポートは、ルートテーブルによって異なりま
す。
• syslog：UDP/20514、TCP/1468
• セキュア syslog：TCP/6514
（注）
デフォルトポートは外部ロギング用に設定できま
す。
• SNMP トラップ：UDP/162
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
85
Cisco SNS-3400 シリーズアプライアンスのポートリファレンス
Cisco ISE モニタリングノードのポート
Cisco ISE サービスギガビットイーサギガビットイーサギガビットイーサギガビットイーサ
ネット 0 のポートネット 1 のポートネット 2 のポートネット 3 のポート
外部 ID ストアお
よびリソース
• 管理ユーザ
—
—
—
インター
フェイス認
証：
◦ LDAP：
TCP/389、
3268、
UDP/389
◦ SMB：
TCP/445
◦ KDC：
TCP/88、
UDP/88
◦ KPASS：
TCP/464
• NTP：
UDP/123
• DNS：
UDP/53、
TCP/53
ゲスト
ゲストアカウントの有効期限の電子メール通知：SMTP：TCP/25
Cisco ISE モニタリングノードのポート
Cisco ISE サービスギガビットイーサギガビットイーサギガビットイーサギガビットイーサ
ネット 0 のポートネット 1 のポートネット 2 のポートネット 3 のポート
管理
• HTTP：
—
TCP/80、
HTTPS：
TCP/443
• SSH サー
バ：TCP/22
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
86
—
—
Cisco SNS-3400 シリーズアプライアンスのポートリファレンス
Cisco ISE モニタリングノードのポート
Cisco ISE サービスギガビットイーサギガビットイーサギガビットイーサギガビットイーサ
ネット 0 のポートネット 1 のポートネット 2 のポートネット 3 のポート
複製および同期
Oracle DB リス
• HTTPS
ナー（セキュア
（SOAP）：
JDBC）：
TCP/443
TCP/1528
• Oracle DB リ
スナー（セ
キュア
JDBC）：
TCP/1528
Oracle DB リス
ナー（セキュア
JDBC）：
TCP/1528
Oracle DB リス
ナー（セキュア
JDBC）：
TCP/1528
• データの同
期/レプリ
ケーション
（JGroups）：
TCP/12001
（グローバ
ル）
モニタリング
Simple Network Management Protocol [SNMP]：UDP/161
（注）
ロギング
このポートは、ルートテーブルによって異なりま
す。
• syslog：UDP/20514、TCP/1468
• セキュア syslog：TCP/6514
（注）
デフォルトポートは外部ロギング用に設定できま
す。
• SMTP：TCP/25
• SNMP トラップ：UDP/162
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
87
Cisco SNS-3400 シリーズアプライアンスのポートリファレンス
Cisco ISE ポリシーサービスノードのポート
Cisco ISE サービスギガビットイーサギガビットイーサギガビットイーサギガビットイーサ
ネット 0 のポートネット 1 のポートネット 2 のポートネット 3 のポート
外部リソース
• 管理ユーザ
—
—
—
インター
フェイス認
証：
◦ LDAP：
TCP/389、
3268、
UDP/389
◦ SMB：
TCP/445
◦ KDC：
TCP/88、
UDP/88
◦ KPASS：
TCP/464
• NTP：
UDP/123
• DNS：
UDP/53、
TCP/53
Cisco ISE ポリシーサービスノードのポート
Cisco ISE サービスギガビットイーサギガビットイーサギガビットイーサギガビットイーサ
ネット 0 のポートネット 1 のポートネット 2 のポートネット 3 のポート
管理
• HTTP：
TCP/80、
HTTPS：
TCP/443
Cisco ISE 管理は、
ギガビットイーサ
ネット 0 でのみ使
用できます。
• SSH サー
バ：TCP/22
• OCSP：
TCP/2560
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
88
Cisco ISE 管理は、
ギガビットイーサ
ネット 0 でのみ使
用できます。
Cisco ISE 管理は、
ギガビットイーサ
ネット 0 でのみ使
用できます。
Cisco SNS-3400 シリーズアプライアンスのポートリファレンス
Cisco ISE ポリシーサービスノードのポート
Cisco ISE サービスギガビットイーサギガビットイーサギガビットイーサギガビットイーサ
ネット 0 のポートネット 1 のポートネット 2 のポートネット 3 のポート
複製および同期
• HTTPS
（SOAP）：
TCP/443
—
—
—
—
—
—
• データの同
期/レプリ
ケーション
（JGroups）：
TCP/12001
（グローバ
ル）
クラスタリング
（ノードグルー
プ）
• ノードグ
ルー
プ/JGroups：
TCP/7800
• ノード障害
検出：
TCP/7802
モニタリング
Simple Network Management Protocol [SNMP]：UDP/161
（注）
ロギング（アウト
バウンド）
このポートは、ルートテーブルによって異なりま
す。
• syslog：UDP/20514、TCP/1468
• セキュア syslog：TCP/6514
（注）
デフォルトポートは外部ロギング用に設定できま
す。
• SNMP トラップ：UDP/162
セッション
• RADIUS 認証：UDP/1645、1812
• RADIUS アカウンティング：UDP/1646、1813
• RADIUS 許可変更（CoA）送信：UDP/1700
• RADIUS 許可変更（CoA）リッスン/リレー：UDP/1700、3799
（注）
UDP ポート 3799 は、設定できませ
ん。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
89
Cisco SNS-3400 シリーズアプライアンスのポートリファレンス
Cisco ISE ポリシーサービスノードのポート
Cisco ISE サービスギガビットイーサギガビットイーサギガビットイーサギガビットイーサ
ネット 0 のポートネット 1 のポートネット 2 のポートネット 3 のポート
外部 ID ソースお
よびリソース
• 管理ユーザ
—
—
—
インター
フェイスお
よびエンド
ポイント認
証：
◦ LDAP：
TCP/389、
3268
◦ SMB：
TCP/445
◦ KDC：
TCP/88
◦ KPASS：
TCP/464
• NTP：
UDP/123
• DNS：
UDP/53
Web ポータル
サービス：
- ゲスト/Web 認証
- ゲストスポン
サーポータル
- デバイスポータ
ル
- クライアントの
プロビジョニング
- ポータルのブ
ラックリスト化
HTTPS（インターフェイスは Cisco ISE のサービスに対して有効にする必要
があります）：
• ブラックリストポータル：TCP/8000-8999（デフォルトポートは
TCP/8444 です）。
• ゲストポータルとクライアントのプロビジョニング：TCP/8000-8999
（デフォルトポートは TCP/8443 です）。
• デバイスポータル：TCP/8000-8999（デフォルトポートは TCP/8443 で
す）。
• スポンサーポータル：TCP/8000-8999（デフォルトポートは TCP/8443
です）。
• SMTP 通知：TCP/25
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
90
Cisco SNS-3400 シリーズアプライアンスのポートリファレンス
Cisco ISE ポリシーサービスノードのポート
Cisco ISE サービスギガビットイーサギガビットイーサギガビットイーサギガビットイーサ
ネット 0 のポートネット 1 のポートネット 2 のポートネット 3 のポート
ポスチャ
- 検出
- プロビジョニン
グ
- アセスメント/
ハートビート
• 検出（クライアント側）：TCP/80（HTTP）、TCP/8905（HTTPS）
（注）
デフォルトでは、TCP/80 は TCP/8443 にリダイレクトされま
す。「Web ポータルサービス：ゲストポータルおよびクラ
イアントプロビジョニング」を参照してください。
• 検出（ポリシーサービスノード側）：TCP/8443、8905（HTTPS）
• プロビジョニング - URL リダイレクト：「Web ポータルサービス：ゲ
ストポータルおよびクライアントプロビジョニング」を参照してくだ
さい。
• プロビジョニング - ActiveX と Java アプレットのインストール（IP 更新
を含む）、Web エージェントのインストール、および NAC エージェン
トのインストールの開始：「Web ポータルサービス：ゲストポータル
およびクライアントプロビジョニング」を参照してください。
• プロビジョニング - NAC Agent のインストール：TCP/8443
• プロビジョニング - NAC Agent の更新通知：UDP/8905（SWISS）
• プロビジョニング - NAC Agent および他のパッケージ/モジュールの更
新：TCP/8905（HTTPS）
• アセスメント - ポスチャネゴシエーションとエージェントレポート：
TCP/8905（HTTPS）
• アセスメント - PRA/キープアライブ：UDP/8905（SWISS）
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
91
Cisco SNS-3400 シリーズアプライアンスのポートリファレンス
Cisco ISE ポリシーサービスノードのポート
Cisco ISE サービスギガビットイーサギガビットイーサギガビットイーサギガビットイーサ
ネット 0 のポートネット 1 のポートネット 2 のポートネット 3 のポート
個人所有デバイス
の持ち込み
（BYOD）/ネット
ワークサービス
プロトコル
（NSP）
- リダイレクト
- プロビジョニン
グ
- SCEP
• プロビジョニング - URL リダイレクト：「Web ポータルサービス：ゲ
ストポータルおよびクライアントプロビジョニング」を参照してくだ
さい。
• プロビジョニング - ActiveX と Java アプレットのインストール（ウィ
ザードのインストールの開始を含む）：「Web ポータルサービス：ゲ
ストポータルおよびクライアントプロビジョニング」を参照してくだ
さい。
• プロビジョニング - Cisco ISE からのウィザードのインストール（Windows
および Mac OS）：TCP/8443
• プロビジョニング - Google Play（Android）からのウィザードのインス
トール：TCP/443
• プロビジョニング-サプリカントのプロビジョニングプロセス：TCP/8905
• CA への SCEP プロキシ：TCP/80 または TCP/443（SCEP RA URL の設
定に基づく）
モバイルデバイス
管理（MDM）API
の統合
• URL リダイレクト：「Web ポータルサービス：ゲストポータルおよび
クライアントプロビジョニング」を参照してください。
• API：ベンダー固有
• エージェントのインストールおよびデバイスの登録：ベンダー固有
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
92
Cisco SNS-3400 シリーズアプライアンスのポートリファレンス
インラインポスチャノードのポート
Cisco ISE サービスギガビットイーサギガビットイーサギガビットイーサギガビットイーサ
ネット 0 のポートネット 1 のポートネット 2 のポートネット 3 のポート
プロファイリング
• NetFlow：UDP/9996
（注）
このポートは、設定可能で
す。
• DHCP：UDP/67
（注）
このポートは、設定可能で
す。
• DHCP SPAN プローブ：UDP/68
• HTTP：TCP/80、8080
• DNS：UDP/53（ルックアップ）
（注）
このポートは、ルートテーブルによって異なりま
す。
• SNMP クエリー：UDP/161
（注）
このポートは、ルートテーブルによって異なりま
す。
• SNMP トラップ：UDP/162
（注）
このポートは、設定可能で
す。
インラインポスチャノードのポート
（注）
インラインポスチャノードは管理ペルソナをサポートしないため、ポート TCP 80 および 443
へのアクセスがありません。インラインポスチャノードのハイアベイラビリティは、他の
Cisco ISE ノードタイプには適用されません。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
93
Cisco SNS-3400 シリーズアプライアンスのポートリファレンス
インラインポスチャノードのポート
Cisco ISE サービスギガビットイーサギガビットイーサギガビットイーサギガビットイーサ
ネット 0 のポートネット 1 のポートネット 2 のポートネット 3 のポート
管理
—
• HTTPS：
TCP/8443
（注）
TCP：
8443
は
管
理
ノー
ド
に
よっ
て
使
用
さ
れ
ま
す。
• SSH サー
バ：TCP/22
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
94
—
—
Cisco SNS-3400 シリーズアプライアンスのポートリファレンス
インラインポスチャノードのポート
Cisco ISE サービスギガビットイーサギガビットイーサギガビットイーサギガビットイーサ
ネット 0 のポートネット 1 のポートネット 2 のポートネット 3 のポート
インラインポス
チャ
• 認証用
• 認証用
RADIUS プロ
キシ：
UDP/1645、
1812
• アカウン
—
—
—
RADIUS プロ
キシ：
UDP/1645、
1812
• アカウン
ティング用
RADIUS プロ
キシ：
UDP/1646、
1813
• RADIUS
CoA：
UDP/1700、
3799
（注）
—
UDP
ポー
ト
3799
は、
設
定
で
き
ま
せ
ん。
ティング用
RADIUS プロ
キシ：
UDP/1646、
1813
• RADIUS
CoA：該当な
し
• リダイレク
ト：
TCP/9090
• リダイレク
ト：
TCP/9090
ロギング（アウト Syslog：
UDP/20154
バウンド）
（注）
この
ポート
は、設
定可能
です。
Syslog：
UDP/20154
（注）
この
ポート
は、設
定可能
です。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
95
Cisco SNS-3400 シリーズアプライアンスのポートリファレンス
Cisco ISE pxGrid サービスポート
Cisco ISE サービスギガビットイーサギガビットイーサギガビットイーサギガビットイーサ
ネット 0 のポートネット 1 のポートネット 2 のポートネット 3 のポート
ハイアベイラビリ —
ティ
—
ハートビート：
ハートビート：
UDP/694（ハート UDP/694
ビート）
Cisco ISE pxGrid サービスポート
Cisco ISE サービスギガビットイーサギガビットイーサギガビットイーサギガビットイーサ
ネット 0 のポートネット 1 のポートネット 2 のポートネット 3 のポート
管理
—
—
—
データの同期およ —
びレプリケーショ
ン（JGroups）：
TCP/12001（グ
ローバル）
—
—
• SSL：
TCP/5222
（ノード間
通信）
• SSL：
TCP/7400
（ノードグ
ループ通
信）
複製および同期
OCSP および CRL サービスポート
Cisco ISE サービスおよびポートへの参照には Cisco ISE 管理ノード、ポリシーサービスノード、
モニタリングノード、およびインラインポスチャノードで個別に使用される基本ポートが表示
されますが、Online Certificate Status Protocol（OCSP）サービスおよび証明書失効リスト（CRL）
の場合、ポートは CA サーバまたは OCSP/CRL をホストするサービスによって異なります。
OCSP の場合、使用可能なデフォルトポートは TCP 80/TCP 443 です。 Cisco ISE 管理者ポータル
では、OCSP サービス用の HTTP ベースの URL が予期されるため、TCP 80 がデフォルトです。
デフォルト以外のポートも使用できます。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
96
Cisco SNS-3400 シリーズアプライアンスのポートリファレンス
OCSP および CRL サービスポート
CRL の場合、デフォルトのプロトコルには、HTTP、HTTPS、および LDAP が含まれており、そ
れぞれのデフォルトポートは 80、443、および 389 になります。実際のポートは CRL サーバで設
定されます。
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
97
Cisco SNS-3400 シリーズアプライアンスのポートリファレンス
OCSP および CRL サービスポート
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
98
索引
C
い
Cisco ISE のインストール 26, 67
セットアッププログラム 26, 67
インストール後のタスク 67
Cisco ISE 配置 1
インストール 24, 33
IP 設定 24
NIC 冗長化 24
NIC モード 24
確認 33
インストール後のタスク 67
D
DHCP、有効化 24
か
環境仕様 77
I
IP 設定、DHCP またはスタティック 24
し
仕様 77, 78
環境 77
電力 78
物理 77
N
NIC 冗長化 24
NIC 冗長化の設定 24
NIC モード、設定 24
す
V
スタティック IP、設定 24
VMware 35, 36, 48, 50
Cisco ISE アプライアンスのインストール 50
インストール 35
設定 48
ハードウェア要件 36
せ
あ
て
アップグレード 67
インストール後のタスク 67
手順 48
電力 78
仕様 78
設定、NIC モードの 24
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
IN-1
索引
ふ
物理仕様 77
Cisco Identity Services Engine ハードウェアインストールガイド、リリース 1.3
IN-2

Download Report

ダウンロード

Paperzz.com

Your Paperzz