この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Cisco ISE は、Red Hat Enterprise Linux(RHEL)7.0 の KVM ハイパーバイザをサポートします。
KVM 仮想化には、ホストプロセッサ(Intel プロセッサの場合は Intel VT-x、AMD プロセッサの場合は AMD-V)からの仮想化サポートが必要です。ホストでターミナル ウィンドウを開き、cat /proc/cpuinfo コマンドを入力します。vmx または svm フラグが表示されます。
# cat /proc/cpuinfo flags: fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx pdpe1gb rdtscp lm constant_tsc arch_perfmon pebs bts rep_good nopl xtopology nonstop_tsc aperfmperf eagerfpu pni pclmulqdq dtes64 monitor ds_cpl vmx smx est tm2 ssse3 cx16 xtpr pdcm pcid dca sse4_1 sse4_2 x2apic popcnt tsc_deadline_timer aes xsave avx lahf_lm arat epb xsaveopt pln pts dtherm tpr_shadow vnmi flexpriority ept vpid
# cat /proc/cpuinfo flags: fpu tsc msr pae mce cx8 apic mtrr mca cmov pat pse36 clflush mmx fxsr sse sse2 ht syscall nx mmxext fxsr_opt rdtscp lm 3dnowext 3dnow pni cx16 lahf_lm cmp_legacy svm cr8_legacy
Cisco ISE ハードウェア アプライアンスと同等のパフォーマンスと拡張性を実現するには、KVM に Cisco SNS 3515 および SNS 3595 アプライアンスと同等のシステム リソースが割り当てられている必要があります。
要件のタイプ |
最小要件 |
||
---|---|---|---|
CPU |
6 コア、2.0 GHz 以上。 Cisco ISE はハイパースレッディングをサポートしています。可能であれば、ハイパースレッディングをイネーブルにすることを推奨します。
|
||
メモリ |
|||
ハード ディスク |
|||
KVM ディスク デバイス |
ディスク バス:virtio、キャッシュ モード:なし、I/O モード:ネイティブ 事前割り当て済みの RAW ストレージ形式を使用します。 |
||
NIC |
1 GB の NIC インターフェイスが必要(複数の NIC が推奨されます。6 つの NIC がサポートされます)。Cisco ISE は VirtIO ドライバをサポートします。パフォーマンスを向上させるには、VirtIO ドライバを推奨します。 |
||
ハイパーバイザ |
RHEL 7.0 の KVM |
Cisco ISE の導入の規模を評価するとき、導入に必要なアプライアンスの数とサイズの詳細については、配置の規模およびスケーリングについての推奨事項の項を参照してください。仮想マシン(VM)アプライアンスの仕様は、実稼働環境で動作している物理アプライアンスと同等である必要があります。次の表に、仮想アプライアンスのサイズ調整に最低限必要なリソースと SNS-3515 または SNS-3595 物理アプライアンスのリソースを比較できるように示します。
アプライアンスのリソースを割り当てる際は、次のガイドラインに留意してください。
VM リソースを専用にし、複数の VM 間で共有したりオーバーサブスクライブしないことを強くお勧めします。OVF テンプレートを使用して Cisco ISE 仮想アプライアンスを導入すると、十分なリソースが各 VM に割り当てられます。
(注) |
OVF テンプレートは Linux KVM には適用できません。OVF テンプレートは VMware 仮想マシンに対してのみ使用できます。 |
VM のポリシー サービス ノードは管理またはモニタリング ノードよりも少ないディスク領域で導入できます。すべての実稼働 Cisco ISE ノードの最小ディスク領域は 200 GB です。各種 Cisco ISE ノードとペルソナに必要なディスク領域の詳細については、ディスク領域に関する要件を参照してください。
VM は 1 ~ 6 つの NIC を使用して設定できます。2 つ以上の NIC を使用できるようにすることをお勧めします。追加のインターフェイスは、プロファイリングやゲスト サービス、RADIUS などのさまざまなサービスをサポートするために使用できます。
プラットフォーム |
小規模 VM アプライアンス(SNS-3515 ベース) |
大規模 VM アプライアンス(SNS-3595 ベース) |
---|---|---|
プロセッサ |
合計 6 コア(2.0 GHz 以上)または合計 12000 MHz の最小 CPU 割り当て。 |
合計 8 コア(2.0 GHz 以上)または合計 16000 MHz の最小 CPU 割り当て。 |
メモリ |
16 GB |
64 GB |
合計ディスク領域 |
200 GB ~ 2 TB。詳細については、ディスク領域に関する要件を参照してください。 |
200 GB ~ 2 TB。詳細については、ディスク領域に関する要件を参照してください。 |
イーサネット NIC |
最大 6 つのギガビット イーサネット NIC |
最大 6 つのギガビット イーサネット NIC |
次の表に、実稼働導入で仮想マシンを実行するために推奨される Cisco ISE ディスク領域の割り当てを示します。
Cisco ISE のディスク容量を決定するときは、次のガイドラインに留意してください。
ディスク割り当ては、ロギングの保持要件によって異なります。モニタリング ペルソナが有効になっている任意のノードでは、VM ディスク領域の 30 パーセントが RADIUS ログ ストレージ用に割り当てられます。25,000 のエンドポイントがある展開では、1 日あたり約 1 GB のログが生成されます。
たとえば、600 GB の VM ディスク領域があるモニタリング ノードがある場合、180 GB がログストレージ用に割り当てられます。100,000 のエンドポイントが毎日このネットワークに接続する場合、1 日あたり約 4 GB のログが生成されます。この場合、リポジトリに古いデータを転送し、モニタリング データベースからそのデータをパージすれば、モニタリング ノードのログを 38 日を保存することができます。
追加のログ ストレージ用に、VM ディスク領域を増やすことができます。追加するディスク スペースの 100 GB ごとに、ログ ストレージ用に 30 GB が追加されます。要件に応じて、最大 2 TB のログ ストレージ分 VM ディスク サイズを増やすことができます。
仮想マシンのディスク サイズを増やす場合、アップグレードを実行する必要はありませんが、仮想マシン上で Cisco ISE の新規インストールを実行してください。
表 4-4 に、割り当てられたディスク領域とネットワークに接続するエンドポイントの数に基づいて、モニタリング ノードでログを保持できる日数を示します。数値はログの抑制と異常クライアント検出が有効になっていることに基づいています。
(注) |
次の表に、RADIUS ログ ストレージのデータを示します。モニタリング ノードの VM ディスク領域の 30 パーセントが RADIUS ログの保存に割り当てられ、20 パーセントが TACACS ログ用に割り当てられます。 |
仮想マシンに Cisco ISE をインストールする前に、インストーラによって、仮想マシンの利用可能なハードウェア リソースと推奨される仕様を比較することで、ハードウェアの整合性チェックが行われます。
VM リソースのチェック中、インストーラは、ハード ディスク領域、VM に割り当てられた CPU コアの数、CPU クロック速度、および VM に割り当てられた RAM をチェックします。VM リソースが基本評価仕様を満たさない場合、インストールは中断されます。このリソース チェックは、ISO ベースのインストールにのみ適用されます。
セットアップ プログラムを実行すると、VM パフォーマンス チェックが実行され、インストーラがディスク I/O パフォーマンスをチェックします。ディスク I/O パフォーマンスが推奨される仕様を満たさない場合、警告が画面に表示されますが、インストールを続行できます。このパフォーマンス検証チェックは、ISO ベースおよび OVA(VMware)インストールに適用されます。
VM パフォーマンス チェックは定期的に(毎時)実行され、結果は 1 日で平均されます。ディスク I/O パフォーマンスが推奨される仕様を満たさない場合、アラームが生成されます。
VM パフォーマンス チェックは、show tech-support コマンドを使用して Cisco ISE CLI からオン デマンドで実行することもできます。
VM のリソースおよびパフォーマンスのチェックは Cisco ISE のインストールとは無関係に実行できます。このテストは Cisco ISE 起動メニューから実行できます。
CLI から show tech-support コマンドを実行して、VM のパフォーマンスをいつでもチェックできます。このコマンドの出力は次のようになります。
ise-vm123/admin# show tech | begin "disk IO perf" Measuring disk IO performance ***************************************** Average I/O bandwidth writing to disk device: 48 MB/second Average I/O bandwidth reading from disk device: 193 MB/second WARNING: VM I/O PERFORMANCE TESTS FAILED! WARNING: The bandwidth writing to disk must be at least 50 MB/second, WARNING: and bandwidth reading from disk must be at least 300 MB/second. WARNING: This VM should not be used for production use until disk WARNING: performance issue is addressed. Disk I/O bandwidth filesystem test, writing 300 MB to /opt: 314572800 bytes (315 MB) copied, 7.81502 s, 40.3 MB/s Disk I/O bandwidth filesystem read test, reading 300 MB from /opt: 314572800 bytes (315 MB) copied, 0.416897 s, 755 MB/s
Cisco ISE のインストールとは無関係に、起動メニューから仮想マシンのリソースをチェックできます。
次のように、CLI トランスクリプトが表示されます。
Cisco ISE Installation (Serial Console) Cisco ISE Installation (Keyboard/Monitor) System Utilities (Serial Console) System Utilities (Keyboard/Monitor)
矢印キーを使用して [システム ユーティリティ(シリアル コンソール)(System Utilities (Serial Console))] または [システム ユーティリティ(キーボード/モニタ)(System Utilities (Keyboard/Monitor))] を選択して、Enter キーを押します。次の画面が表示されます。
Available System Utilities: [1] Recover administrator password [2] Virtual Machine Resource Check [3] Perform System Erase [q] Quit and reload Enter option [1 - 3] q to Quit
VM リソースをチェックするには、2 を入力します。次のような出力が表示されます。
***** ***** Virtual Machine host detected… ***** Hard disk(s) total size detected: 322 Gigabyte ***** Physical RAM size detected: 40443664 Kbytes ***** Number of network interfaces detected: 1 ***** Number of CPU cores: 2 ***** CPU Mhz: 2300.00 ***** Verifying CPU requirement… ***** Verifying RAM requirement… ***** Writing disk partition table…
Cisco ISE 評価版ソフトウェア(R-ISE-EVAL-K9=)を入手するには、シスコのアカウント チームまたは認定されたシスコ チャネル パートナーにお問い合わせください。
評価システムから完全ライセンスを持つ実稼働環境のシステムに Cisco ISE 設定を移行するには、次のタスクを実行する必要があります。
評価版の設定をバックアップする。
実稼働 VM に必要なディスク領域があることを確認する。詳細については、配置の規模およびスケーリングについての推奨事項を参照してください。
実稼働の導入ライセンスをインストールする。
実稼働システムに設定を復元する。
(注) |
評価の場合、VM に対するハードディスクの最小の割り当て要件は 200 GB です。より多くのユーザをサポートする実稼働環境に VM を移動する場合は、Cisco ISE インストールを必ず推奨される最小ディスク サイズ以上(最大許容サイズは 2 TB)に再設定してください。 |
評価目的で、VM 要件に準拠したサポート対象の VM に Cisco ISE をインストールできます。Cisco ISE を評価する場合は、VM のディスク領域を少なく設定できますが、最低 200 GB のディスク領域を割り当てることは必要です。
ステップ 1 | http://www.cisco.com/go/ise にアクセスします。このリンクにアクセスするには、有効な Cisco.com ログイン クレデンシャルが事前に必要です。 |
ステップ 2 |
をクリックします。 ソフトウェア イメージには、90 日間の評価ライセンスがすでにインストールされた状態で付属しているため、インストールおよび初期設定が完了すると、すべての Cisco ISE サービスの評価を開始できます。 |
この手順では、RHEL に KVM を作成し、そこに Virtual Machine Manager(virt-manager)を使用して Cisco ISE をインストールする方法について説明します。
#virt-install --name=kvm-ise1 --arch=x86_64 --cpu=host --vcpus=2 --ram=4096 --os-type=linux --os-variant=rhel6 --hvm --virt-type=kvm --cdrom=/home/admin/Desktop/ise-nohwcheck-2.1.0.381.x86_64.iso --disk=/home/libvirt-images/kvm-ise1.img,size=100 --network type=direct,model=virtio,source=eth2,source_mode=bridge
Ise-nohwcheck-2.1.0.381.x86_64.iso は Cisco ISE ISO イメージの名前です。
ローカル システムに Cisco ISE ISO イメージをダウンロードします。