Cisco ISE プロファイリング サービス
Cisco Identity Services Engine(ISE)のプロファイリング サービスは、ネットワークに接続されているデバイスおよびその場所を識別します。エンドポイントは Cisco ISE に設定されたエンドポイント プロファイリング ポリシーに基づいてプロファイリングされます。次に、Cisco ISE では、ポリシー評価の結果に基づいてネットワークのリソースにアクセスする権限がエンドポイントに付与されます。
プロファイリング サービス:
-
IEEE 規格 802.1X ポートベースの認証アクセス コントロール、MAC 認証バイパス(MAB)認証、およびネットワーク アドミッション コントロール(NAC)をさまざまな規模および複雑度の企業ネットワークに使用して、認証の効率的かつ効果的な展開および継続的な管理を容易にします。
-
デバイス タイプにかかわらず、接続されたすべてのネットワーク エンドポイントの機能を特定、検索、および決定します。
-
一部のエンドポイントへのアクセスを誤って拒否しないようにします。
プロファイラ ワーク センター
[プロファイラ ワーク センター(Profiler Work Center)] メニュー([ワーク センター(Work Centers)] > [プロファイラ(Profiler)])には、すべてのプロファイラ ページが含まれ、ISE の管理者向けの単一の窓口として機能します。[プロファイラ ワーク センター(Profiler Work Center)] メニューには次のオプションがあります:[概要(Overview)]、[外部 ID ストア(Ext ID Stores)]、[ネットワーク デバイス(Network Devices)]、[エンドポイント分類(Endpoint Classification)]、[ノード設定(Node Config)]、[フィード(Feeds)]、[手動スキャン(Manual Scans)]、[ポリシー要素(ポリシーの要素)]、[プロファイリング ポリシー(Profiling Policies)]、[許可ポリシー(Authorization Policy)]、[トラブルシューティング(Troubleshoot)]、[レポート(Reports)]、[設定(Settings)] および [ディクショナリ(Dictionaries)]。
[プロファイラ(Profiler)] ダッシュボード
[プロファイラ(Profiler)] ダッシュボード([ワーク センター(Work Centers)] > [プロファイラ(Profiler)] > [エンドポイント分類(Endpoint Classification)])は、ネットワーク内のプロファイル、エンドポイント、アセットの集中型モニタリング ツールです。このダッシュボードには、グラフと表の形式でデータが表示されます。[プロファイル(Profiles)] ダッシュレットには、ネットワークで現在アクティブな論理プロファイルとエンドポイント プロファイルが表示されます。[エンドポイント(Endpoints)] ダッシュレットには、ネットワークに接続するエンドポイントの ID グループ、PSN、OS タイプが表示されます。[アセット(Assets)] ダッシュレットには、ゲスト、BYOD、企業などのフローが表示されます。表には接続されたさまざまなエンドポイントが表示され、新しいエンドポイントを追加することもできます。
プロファイリング サービスを使用したエンドポイント インベントリ
プロファイリング サービスを使用して、ネットワークに接続されたすべてのエンドポイントの機能を検出、特定、および決定することができます。デバイスのタイプに関係なく、エンドポイントの企業ネットワークへの適切なアクセスを、保障し、保持できます。
プロファイリング サービスでは、エンドポイントの属性をネットワーク デバイスとネットワークから収集し、エンドポイントをそのプロファイルに従って特定のグループに分類します。一致したプロファイルを持つエンドポイントが Cisco ISE データベースに保存されます。プロファイリング サービスで処理されるすべての属性は、プロファイラ ディクショナリに定義されている必要があります。
プロファイリング サービスは、ネットワークの各エンドポイントを識別し、そのプロファイルに従ってシステム内の既存のエンドポイントの ID グループ、またはシステム内で作成できる新しいグループにそれらのエンドポイントをグループ化します。エンドポイントをグループ化して既存の ID グループにエンドポイント プロファイリング ポリシーを適用することで、エンドポイントと対応するエンドポイント プロファイリング ポリシーのマッピングを決定できます。
Cisco ISE プロファイラ キュー制限の設定
Cisco ISE プロファイラは、ネットワークから大量のエンドポイント データを短時間で収集します。それにより、一部の遅い Cisco ISE コンポーネントがプロファイラによって生成されるデータを処理するときにバックログが蓄積されるため、Java 仮想マシン(JVM)のメモリ使用率が増大し、パフォーマンスの低下および安定性の問題が生じます。
プロファイラが JVM メモリ使用率を増やさず、また、JVM がメモリ不足になり、再起動しないように、プロファイラの次の内部コンポーネントに制限が適用されます。
-
エンドポイント キャッシュ:内部キャッシュのサイズは制限され、サイズが制限を超えると定期的に消去する必要があります(最長時間未使用方式に基づく)。
-
フォワーダ:プロファイラによって収集されたエンドポイント情報のメイン入力キュー。
-
イベント ハンドラ:高速コンポーネントを接続解除する内部キューで、(通常、データベース クエリーに関連する)低速処理コンポーネントにデータを提供します。
エンドポイント キャッシュ
-
maxEndPointsInLocalDb = 100000(キャッシュ内のエンドポイント オブジェクト)
-
endPointsPurgeIntervalSec = 300(秒単位のエンドポイント キャッシュ消去スレッド間隔)
-
numberOfProfilingThreads = 8(スレッド数)
制限は、すべてのプロファイラ内部イベント ハンドラに適用されます。キュー サイズ制限に達すると、モニタリング アラームがトリガーされます。
Cisco ISE プロファイラのキュー サイズの制限
-
forwarderQueueSize = 5000(エンドポイント収集イベント)
-
eventHandlerQueueSize = 10000(イベント)
イベント ハンドラ
-
NetworkDeviceEventHandler:すでにキャッシュされているネットワーク アクセス デバイス(NAD)の重複 IP アドレスのフィルタリングのほか、ネットワーク デバイスのイベント用。
-
ARPCacheEventHandler:ARP キャッシュのイベント用。