管理ペルソナの Cisco ISE ノードは、Cisco ISE のすべての管理操作を実行することができます。認証、許可、監査などの機能に関連したすべてのシステム関連設定を処理します。

分散展開環境では、最大 2 つの管理ペルソナを実行するノードを実行できます。管理ペルソナは、スタンドアロン、プライマリ、またはセカンダリのロールのいずれかを担当できます。

ポリシー サービス ペルソナの Cisco ISE ノードは、ネットワーク アクセス、ポスチャ、ゲスト アクセス、クライアント プロビジョニング、およびプロファイリング サービスを提供します。このペルソナはポリシーを評価し、決定を行います。

複数のノードがこのペルソナを担当できます。通常、分散展開には複数のポリシーサービスノードがあります。

同じ高速ローカルエリアネットワーク（LAN）またはロードバランサの背後に存在するすべてのポリシーサービスノードを、ノードグループとしてグループ化できます。グループ内のいずれかのノードで障害が発生した場合、その他のノードは障害を検出し、URL にリダイレクトされたセッションをリセットします。

分散セットアップでは、少なくとも 1 つのノードがポリシー サービス ペルソナを担当する必要があります。

モニタリングペルソナを持つ Cisco ISE ノード

• ログコレクタとして動作し、すべての管理およびポリシーサービスノードからのログメッセージを保存します。

• ネットワークとリソースを効果的に管理するための高度なモニタリングおよびトラブルシューティング ツールを提供します。

• 収集したデータを集約して関連付けを行い、有意義なレポートを提供します。

このペルソナを持つノードは最大 2 つ使用することができます。これらのノードは、高可用性用のプライマリロールまたはセカンダリロールを担うことができます。プライマリ モニタリング ノードがダウンした場合は、セカンダリ モニタリング ノードが自動的にプライマリ モニタリング ノードになります。

分散セットアップでは、少なくとも 1 つのノードが監視ペルソナを担当する必要があります。同じ Cisco ISE ノードで、モニタリングペルソナとポリシー サービス ペルソナを有効にしないことをお勧めします。最適なパフォーマンスを実現するために、モニタリングノードはモニタリング専用とすることをお勧めします。

Cisco pxGrid を使用すると、Cisco ISE セッションディレクトリからの状況依存情報を、ISE エコシステムのパートナーシステムなどの他のネットワークシステムや他のシスコプラットフォームと共有できます。pxGrid フレームワークは、Cisco ISE とサードパーティのベンダー間でのタグやポリシーオブジェクトの共有のように、ノード間でのポリシーおよび設定データの交換に使用できます。また、その他の情報交換にも使用できます。また、Cisco pxGrid では、サードパーティ製のシステムが適応型のネットワーク制御アクションを呼び出すことができるため、ネットワークまたはセキュリティイベントに応じてユーザーまたはデバイスを隔離できます。

タグ定義、値、説明などの TrustSec 情報は、TrustSec のトピックを通して Cisco ISE から他のネットワークに渡すことができます。pxGrid 経由で SXP バインディング（IP-SGT マッピング）を発行および受信登録できます。

完全修飾名（FQN）を持つエンドポイントプロファイルは、エンドポイント プロファイル メタ トピックを通して Cisco ISE から他のネットワークに渡すことができます。Cisco pxGrid は、タグおよびエンドポイント プロファイルの一括ダウンロードもサポートしています。

高可用性設定で、pxGrid サーバーは、PAN を通してノード間で情報を複製します。PAN がダウンすると、pxGrid サーバーは、クライアントの登録およびサブスクリプション処理を停止します。pxGrid サーバーをアクティブにするには、PAN を手動で昇格させる必要があります。

（注）	ポリシーに含まれるグループの一部であるクライアントのみが、そのポリシーで指定されたサービスに登録できます。

分割展開では、AAA ワークフローを最適化するために、AAA 負荷がプライマリノードとセカンダリノードに分割されます。

AAA 接続で問題がある場合は、各ノードがすべてのワークロードを処理できる必要があります。通常のネットワーク運用では、プライマリノードとセカンダリノードのどちらもすべての AAA 要求を処理することはありません。これは、このワークロードがこの 2 つのノード間で分散されているためです。

分割展開では負荷がさらに分散され、通常のネットワーク運用中にセカンダリノードが機能し続けるようになります。この設計では、展開の拡張もサポートされています。

分割展開では、各ノードが、ネットワークアドミッションやデバイス管理などの独自の固有操作を実行でき、障害が発生した場合でもすべての AAA 機能を引き続き実行することができます。2 つのノードが認証要求を処理し、AAA クライアントからアカウンティングデータを収集する場合は、いずれかのノードをログコレクタとして動作するように設定します。

大規模な Cisco ISE ネットワークには集中ロギングを使用することをお勧めします。一元化されたロギングを使用するには、大規模で通信量の多いネットワークが生成することがある大きな syslog トラフィックを処理するモニタリングノードとして動作する、専用ロギングサーバーを最初に設定する必要があります。

RFC 3164 準拠の syslog アプライアンスを使用して、発信ログトラフィックに対して生成された syslog メッセージを収集できます。

また、アプライアンスがモニタリングノードと汎用 syslog サーバーの両方にログを送信するよう設定することもできます。汎用 syslog サーバーにより、モニタリングノードがダウンした場合に冗長なバックアップが提供されます。

大規模な集中化されたネットワークでロードバランサを使用すると、使用可能なサーバーへの AAA 要求のルーティングを最適化できます。

ロードバランサが 1 つだけの場合、システムにシングルポイント障害が作成されます。この問題を回避するには、2 つのロードバランサを展開し、冗長性とフェールオーバーを実現します。この構成では、各 AAA クライアントで 2 つの AAA サーバーエントリを設定する必要があります。

分散 Cisco ISE ネットワーク展開は、主要な拠点があり、他の場所に地域、全国、またはサテライトの拠点がある組織に最も役に立ちます。メインキャンパスが、プライマリネットワークがある場所です。追加の LAN に接続される小規模～大規模な場所であり、異なる地域や距離が離れた場所のアプライアンスとユーザーをサポートします。

大規模なリモート サイトでは最適な AAA パフォーマンスのために独自の AAA のインフラストラクチャを持つことができます。中央管理モデルを使用して、同一の同期された AAA ポリシーを保持します。集中設定モデルでは、プライマリ Cisco ISE ノードとセカンダリ Cisco ISE ノードを使用します。