Cisco ISE は、Cisco のデジタル ネットワーク アーキテクチャ(DNA)の主要なコンポーネントです。Cisco DNA では、ビジネスの俊敏性を提供しているネットワークを自動化することができます。Cisco ISE は、Cisco
DNA にセキュリティの脅威と脆弱性を軽減するポリシー コンポーネントを提供します。
Cisco ISE は Cisco DNA オーケストレーションのグループとポリシーを提供しているので、Cisco ISE と Cisco DNA の統合は非常に重要な接続です。Cisco DNA-C では、Cisco ISE からポリシーをプッシュしてそれらをネットワークに適用するのではなく、ポリシーを作成することができます。
Cisco DNA-C は、Cisco ISE の外部 Restful サービス(ERS)API と通信して Cisco ISE 構成をクエリおよび更新します。Cisco ISE 2.4 以前は、Cisco DNA-C は REST API にパスワードベースの認証を使用していました。これは、しばらくすると
Cisco ISE 管理者クレデンシャルが期限切れになり、Cisco DNA-C が Cisco ISE と通信できなくなるため問題を引き起こしていました。Cisco ISE 2.4 では、ERS で証明書ベースの認証をサポートすることによって、この問題が修正されています。現在は、Cisco
DNA-C が REST API を呼び出したときに X.509 クライアント証明書を渡し、Cisco ISE はこれを使用して Cisco DNA-C の ID が有効な呼び出し元であることを確認します。Cisco ISE は、パスワードベースの認証(9060)に使用されるポートとは異なる、9062
ポートで証明書ベースの ERS 要求をリッスンします。
Cisco ISE が Cisco DNA-C に登録されると、Cisco DNA-C/Cisco ISE 信頼確立操作の一部として Cisco DNA-C クライアント証明書が Cisco ISE 信頼証明書ストアに自動的に配置されます。信頼の確立が完了すると、ISE
信頼ストアに新しい証明書が登録されます。これらの証明書は削除しないでください。削除すると Cisco DNA-C と Cisco ISE 間の通信が失敗します。
信頼の確立後、Cisco ISE アプリケーション サーバが自動で再起動されます(これは Cisco DNA-C と Cisco ISE 間の安全な通信に使用される SSL 層の要件です)。ユーザは、サービスの中断があることを認識しておく必要があります。ユーザの展開にプライマリとセカンダリのポリシー管理ノード(PAN)の両方が含まれている場合、中断を最小限に抑えるために、プライマリ
PAN の再起動が先に行われます。完了するとセカンダリ PAN の再起動が開始されます。