Oracle Cloud Infrastructure 上の Cisco ISE

Oracle Cloud Infrastructure 上の Cisco ISE

Cisco ISE は、Oracle Cloud Infrastructure(OCI)でイメージスタックの 2 つの形式で利用できます。Cisco ISE ユーザーが使いやすいようにカスタマイズされていることから、スタックタイプを使用して Cisco ISE をインストールすることをお勧めします。

次の図に Oracle Cloud に接続された展開の例を示します。

OCI で Cisco ISE を設定してインストールするには、OCI の特定の機能とソリューションについてよく理解しておく必要があります。開始する前に、コンパートメント、可用性ドメイン、イメージ、シェイプ、ブートボリュームについて理解しておいてください。

OCI は、コンピューティングリソースの単位として Oracle CPU(OCPU)を使用します。1 つの OCPU は、2 つの vCPU に相当します。詳細については、Oracle Cloud Infrastructure のドキュメントを参照してください。


重要

Cisco ISE インスタンスを作成するために既存の OCI イメージを複製しないでください。

Cisco ISE でサポートされる OCI インスタンス

Cisco ISE では次の OCI インスタンスを使用できます。

OCI インスタンスタイプ OCPU OCI インスタンスメモリ(GB 単位)
Standard3.Flex

このインスタンスは、Cisco ISE の評価のユースケースをサポートしています。100 の同時アクティブエンドポイントがサポートされています。

 2 16

Optimized3.Flex

 8 32
16 64
Standard3.Flex 4 32
8 64
16 128
32 256

Optimized3.Flex シェイプは、コンピューティング最適化インスタンスです。これらのシェイプは、コンピューティング集約型のタスクやアプリケーションの PSN として使用するのに最適です。

Standard3.Flex シェイプは、PAN または MnT ノード、またはその両方としての使用に最適な汎用のシェイプです。これらのシェイプは、データ処理タスクとデータベース操作を目的としています。

汎用インスタンスを PSN として使用する場合、パフォーマンスの数値は、PSN としてのコンピューティング最適化インスタンスのパフォーマンスよりも低くなります。

Standard3.Flex(4 OCPU、32 GB)シェイプは、極小規模の PSN としてのみ使用する必要があります。

Cisco ISE リリース 3.5 以降、次の設定の Standard3.Flex インスタンスはサポートされていません。

  • 2 OCPU および 16 GB メモリ

  • 8 OCPU および 64 GB メモリ

OCI インスタンスタイプのスケールおよびパフォーマンスデータについては、『Performance and Scalability Guide for Cisco Identity Services Engine』を参照してください。

OCI 上の Cisco ISE の使用に関する既知の制限事項

  • Cisco ISE アップグレードワークフローは OCI ではサポートされていません。新規インストールのみがサポートされています。ただし、設定データのバックアップと復元は可能です。ハイブリッド Cisco ISE 展開のアップグレードについては、ハイブリッド展開のアップグレードのガイドラインを参照してください。

  • パブリッククラウドはレイヤ 3 機能のみをサポートします。OCI 上の Cisco ISE ノードは、レイヤ 2 の機能に依存する機能をサポートしません。たとえば、Cisco ISE CLI を介してアクセスされる DHCP SPAN プロファイラプローブおよび CDP プロトコル機能はサポートされていません。

  • Cisco ISE で IPv6 アドレスを有効にするには、Cisco ISE の OCI ポータルで IPv6 アドレスを設定し、インターフェイス ギガビット イーサネット 0 を再起動します。Cisco ISE シリアルコンソールに管理者としてログインし、次のコマンドを実行します。

    #configure terminal
Entering configuration mode terminal
(config)#interface GigabitEthernet 0
(config-GigabitEthernet-0)#shutdown  
(config-GigabitEthernet-0)#no shutdown
(config-GigabitEthernet-0)#exit
(config)#exit

  • 設定データの復元およびバックアップ機能を実行する場合、バックアップ操作が完了した後、まず CLI から Cisco ISE を再起動します。次に、Cisco ISE GUI から復元操作を開始します。Cisco ISE のバックアップおよび復元プロセスの詳細については、ご使用のリリースの『Cisco ISE Administrator Guide』にある「Maintain and Monitor」の章を参照してください。

  • パスワードベースの認証を使用した Cisco ISE CLI への SSH アクセスは、OCI ではサポートされていません。キーペアを介してのみ Cisco ISE CLI にアクセスできます。このキーペアを安全に保管してください。

    秘密キー(または PEM)ファイルを失った場合、Cisco ISE CLI にアクセスできません。

    パスワードベースの認証方式を使用して Cisco ISE CLI にアクセスする統合は、サポートされていません(たとえば、Cisco Catalyst Center 2.1.2 以前のリリース)。

OCI での Cisco ISE インスタンスの作成

OCI で Cisco ISE インスタンスを作成するには、次の手順を実行します。

始める前に

  • このタスクを開始する前に、コンパートメント、カスタムイメージ、シェイプ、仮想クラウドネットワーク、サブネット、サイト間 VPN を作成します。

    Cisco ISE インスタンスと同じコンパートメントに仮想クラウドネットワークとサブネットを作成します。

  • Cisco ISE の仮想クラウドネットワークを作成するときは、[インターネット接続を使用してVCNを作成(Create VCN with Internet Connectivity)] VCN タイプを選択することをお勧めします。

手順

ステップ 1

OCI コンソールでの Cisco ISE オプションへの移動

ステップ 2

インスタンスの詳細の設定

ステップ 3

Cisco ISE インスタンスの詳細オプションの設定

OCI コンソールでの Cisco ISE オプションへの移動

OCI コンソールで Cisco Identity Services Engine(ISE)オプションに移動するには、次の手順を実行します。

手順

ステップ 1

OCI アカウントにログインします。

ステップ 2

[検索(Search)] フィールドに Marketplace と入力します。

ステップ 3

[リストの検索(Search for listings)] 検索フィールドで、Cisco Identity Services Engine(ISE)と入力します。

インスタンスの詳細の設定

OCI コンソールで Cisco ISE インスタンスの詳細を追加および設定するには、次の手順を実行します。

手順

ステップ 1

イメージタイプの Cisco ISE オプションをクリックします。

ステップ 2

[インスタンスの起動(Launch Instance)] をクリックします。

ステップ 3

[リストスコープ(List Scope)] エリアで、[コンパートメント(Compartment)] ドロップダウンリストからコンパートメントを選択します。

ステップ 4

[インスタンスの作成(Create Instance)] をクリックします。

ステップ 5

[コンピューティングインスタンスの作成(Create Compute Instance)] ウィンドウで、Cisco ISE インスタンスの名前を入力します。

ステップ 6

[コンパートメントに作成(Create in Compartment)] ドロップダウンリストから、Cisco ISE インスタンスのコンパートメントを選択します。

Cisco ISE の仮想クラウドネットワークやサブネットなど、他のリソースを作成したコンパートメントを選択します。

ステップ 7

[配置(Placement)] エリアで可用性ドメインをクリックします。

ドメインによって利用可能なコンピューティングシェイプが決められます。

ステップ 8

[イメージとシェイプ(Image and Shape)] エリアで次の手順を実行します。

  1. [イメージとシェイプ(Image and Shape)] エリアから、[シェイプの変更(Change Shape)] をクリックします。

  2. [シェイプシリーズ(Shape Series)] エリアから、[Intel] をクリックします。

    使用可能なシェイプのリストが表示されます。

  3. 必要なシェイプ名の横にあるチェックボックスをオンにして、[シェイプの選択(Select Shape)] をクリックします。

ステップ 9

[ネットワーク(Networking)] エリアで次の手順を実行します。

  1. [プライマリネットワーク(Primary Network)] エリアで、[既存の仮想クラウドネットワークを選択(Select existing virtual cloud network)] オプションボタンをクリックします。

  2. ドロップダウンリストから仮想クラウドネットワークを選択します。

  3. [サブネット(Subnet)] エリアで、[既存のサブネットを選択(Select existing subnet)] をクリックします。

  4. ドロップダウン リストからサブネットを選択します。

    同じコンパートメント内に作成されるサブネットが表示されます。

ステップ 10

[SSHキーの追加(Add SSH Keys)] エリアで、対応するオプションボタンをクリックして、キーペアを生成するか、既存の公開キーを使用できます。

ステップ 11

[ブートボリューム(Boot Volume)] エリアで、[カスタムブートボリュームサイズの指定(Specify a custom boot volume size)] チェックボックスをオンにして、必要なブートボリュームを GB 単位で入力します。

Cisco ISE 実稼働環境に必要な最小ボリュームは 600 GB です。この手順でブートボリュームが指定されていない場合、インスタンスに割り当てられるデフォルトのボリュームは 250 GB です。

(注)  

 

[Encrypt this volume with a key that you manage(管理しているキーでこのボリュームを暗号化)] フィールドでは、暗号化にカスタマーマネージドキーを使用します。デフォルトでは、Oracle マネージドキーが使用されます。キーの作成の詳細については、キー管理を参照してください。

Cisco ISE インスタンスの詳細オプションの設定

詳細オプションを設定するには、次の手順を実行します。

手順

ステップ 1

[詳細オプションの表示(Show advanced options)] をクリックします。

ステップ 2

[管理(Management)] タブで、[クラウド初期化スクリプトの貼り付け(Paste cloud-init script)] をクリックします。

ステップ 3

[クラウド初期化スクリプト(Cloud-init script)] テキストボックスに必要なユーザーデータを入力します。

ステップ 4

[ユーザーデータ(User data)] フィールドに、正しい形式でパラメータを入力します。

ユーザーデータエントリを使用して設定する各フィールドには、正しいシンタックスを使用する必要があります。[ユーザーデータ(User Data)] フィールドに入力した情報は検証されません。誤ったシンタックスを使用すると、イメージの起動時に Cisco ISE サービスが起動しないことがあります。

[ユーザーデータ(User Data)] フィールドを使用して送信する設定については、次のガイドラインに従います。

表 1. [ユーザーデータ(User Data)] フィールドの設定のガイドライン
フィールド名 フィールドの説明 コンプライアンスと動作変更
hostname

英数字とハイフン(-)のみを含むホスト名を入力します。ホスト名の長さは 19 文字以下で、下線(_)を含めることはできません。

 シンタックスは推奨事項を満たしている必要があります。
primarynameserver

プライマリネームサーバーの IP アドレスを入力します。サポートされているのは IPv4 アドレスだけです。

 Cisco ISE リリース 3.4 以降:

  • インストール時に [secondarynameserver] フィールドと [tertiarynameserver] フィールドを使用して、セカンダリおよびターシャリネームサーバーを設定できます。
secondarynameserver

(Cisco ISE リリース 3.4 以降)

セカンダリネームサーバーの IP アドレスを入力します。サポートされているのは IPv4 アドレスだけです。

  • [secondarynameserver] フィールドを空白のままにして、[tertiarynameserver] フィールドのみを使用した場合、Cisco ISE サービスは起動しません。

tertiarynameserver

(Cisco ISE リリース 3.4 以降)

ターシャリネームサーバーの IP アドレスを入力します。サポートされているのは IPv4 アドレスだけです。

 secondarynameserver の値が設定された後にのみ使用してください。
dnsdomain

DNS ドメインの FQDN を入力します。エントリには、ASCII 文字、数字、ハイフン(-)、およびピリオド(.)を含めることができます。

 シンタックスは推奨事項を満たしている必要があります。

ntpserver

(Cisco ISE リリース 3.4 から primaryntpserver に名称変更)

同期に使用する必要がある NTP サーバーの IPv4 アドレスまたは FQDN を入力します(例:time.nist.gov)。

 Cisco ISE リリース 3.4 以降:

  • [ntpserver] フィールド名が [primaryntpserver] に変更されました。[ntpserver] を使用すると、Cisco ISE サービスは起動しません。

secondaryntpserver

(Cisco ISE リリース 3.4 以降)

 セカンダリ NTP サーバーの IPv4 アドレスまたは FQDN を入力します。

  • [secondaryntpserver] フィールドを空白のままにして、[tertiaryntpserver] フィールドのみを使用した場合、Cisco ISE サービスは起動しません。

tertiaryntpserver

(Cisco ISE リリース 3.4 以降)

 ターシャリ NTP サーバーの IPv4 アドレスまたは FQDN を入力します。 secondaryntpserver の値が設定された後にのみ使用してください。
timezone

タイムゾーンを入力します(例:Etc/UTC)。すべての Cisco ISE ノードを協定世界時(UTC)のタイムゾーンに設定することを推奨します(特に Cisco ISE ノードが分散展開されてインストールされている場合)。この手順では、展開内のさまざまなノードからのレポートとログのタイムスタンプが常に同期されるようにします。

 シンタックスは推奨事項を満たしている必要があります。
password

GUI ベースのログイン用のパスワードを Cisco ISE に設定します。入力するパスワードは、Cisco ISE のパスワードポリシーに準拠している必要があります。パスワードは 6 ~ 25 文字で、少なくとも 1 つの数字、1 つの大文字、および 1 つの小文字を含める必要があります。パスワードは、ユーザー名またはその逆(iseadmin または nimdaesi)、cisco、または ocsic を含めたりそれらと同じにすることはできません。使用できる特殊文字は @~*!,+=_- です。  。

ご使用のリリースの『Cisco ISE Administrator Guide』にある「Basic Setup」の章の「User Password Policy」セクションを参照してください。
ersapi

ERS を有効にするには yes と入力し、ERS を拒否するには no と入力します。

シンタックスは推奨事項を満たしている必要があります。
openapi

OpenAPI を有効にするには yes と入力し、OpenAPI を拒否するには no と入力します。

Cisco ISE リリース 3.4 以降、OpenAPI サービスはデフォルトで有効になっています。インスタンスの起動時に OpenAPI 関連オプションを指定する必要はありません。
pxGrid

pxGrid を有効にするには yes と入力し、pxGrid を拒否するには no と入力します。

シンタックスは推奨事項を満たしている必要があります。
pxgrid_cloud

pxGrid Cloud を有効にするには yes と入力し、pxGrid Cloud を拒否するには no と入力します。

pxGrid クラウドを有効にするには、pxGrid を有効にする必要があります。pxGrid を拒否して、pxGrid Cloud を有効にすると、pxGrid Cloud サービスは起動時に有効になりません。

Cisco ISE リリース 3.5 以降、pxGrid Cloud は Cisco ISE GUI からのみ有効にできます。そのため、このフィールドはユーザーデータに含まれません。

ステップ 5

[作成(Create)] をクリックします。

インスタンスが作成されて使用できるようになるまで、約 30 分かかります。Cisco ISE インスタンスは、[インスタンス(Instances)] ページに一覧表示されます。

ユーザーデータパラメータ

フィールド フォーマット Cisco ISE リリース 3.1 Cisco ISE リリース 3.2 Cisco ISE リリース 3.3 Cisco ISE リリース 3.4 Cisco ISE リリース 3.5
hostname hostname=<hostname of Cisco ISE> サポート対象 サポート対象 サポート対象 サポート対象 サポート対象
primarynameserver primarynameserver=<IPv4 address>

(primarynameserver=<IPv6 address> は Cisco ISE リリース 3.5 から AWS でサポートされています)

 サポート対象 サポート対象 サポート対象 サポート対象 サポート対象

Cisco ISE リリース 3.5 以降では、AWS 展開で IPv6 アドレスがサポートされています。
secondarynameserver secondarynameserver=<IPv4 address>

(secondarynameserver=<IPv6 address> は Cisco ISE リリース 3.5 から AWS でサポートされています)

 サポート対象外 サポート対象外 サポート対象外 サポート。

[tertiarynameserver] フィールドを使用する場合は、このフィールドに値を入力する必要があります。

 サポート。

[tertiarynameserver] フィールドを使用する場合は、このフィールドに値を入力する必要があります。

Cisco ISE リリース 3.5 以降では、AWS 展開で IPv6 アドレスがサポートされています。
tertiarynameserver tertiarynameserver=<IPv4 address>

(tertiarynameserver=<IPv6 address> は Cisco ISE リリース 3.5 から AWS でサポートされています)

 サポート対象外 サポート対象外 サポート対象外 サポート。

このフィールドを使用する場合は、最初に [secondarynameserver] フィールドに値を入力する必要があります。

 サポート。

このフィールドを使用する場合は、最初に [secondarynameserver] フィールドに値を入力する必要があります。

Cisco ISE リリース 3.5 以降では、AWS 展開で IPv6 アドレスがサポートされています。
dnsdomain dnsdomain=<example.com> サポート対象 サポート対象 サポート対象 サポート対象 サポート対象
ntpserver ntpserver=<IPv4 address or FQDN of the NTP server>

(ntpserver=<IPv6 address or FQDN of the NTP server> は Cisco ISE リリース 3.5 から AWS でサポートされています)

 サポート対象 サポート対象 サポート対象 サポート対象外。

このフィールドは、Cisco ISE リリース 3.4 以降で primaryntpserver に置き換えられます。ntpserver を使用すると、Cisco ISE サービスを起動できない場合があります。

 サポート対象外。代わりに primaryntpserver を使用します。
primaryntpserver primaryntpserver=<IPv4 address or FQDN>

(primaryntpserver=<IPv6 address or FQDN of the NTP server> は Cisco ISE リリース 3.5 から AWS でサポートされています)

 サポート対象外 サポート対象外 サポート対象外 サポート。

ntpserver は、Cisco ISE リリース 3.4 以降でこのフィールドに置き換えられます。

 サポート。

Cisco ISE リリース 3.5 以降では、AWS 展開で IPv6 アドレスがサポートされています。
secondaryntpserver secondaryntpserver=<IPv4 address or FQDN>

(secondaryntpserver=<IPv6 address or FQDN of the NTP server> は Cisco ISE リリース 3.5 から AWS でサポートされています)

 サポート対象外 サポート対象外 サポート対象外 サポート。

[tertiaryntpserver] フィールドを使用する場合は、このフィールドに値を入力する必要があります。

 サポート。

[tertiaryntpserver] フィールドを使用する場合は、このフィールドに値を入力する必要があります。

Cisco ISE リリース 3.5 以降では、AWS 展開で IPv6 アドレスがサポートされています。
tertiaryntpserver tertiaryntpserver=<IPv4 address or FQDN>

(tertiaryntpserver=<IPv6 address or FQDN of the NTP server> は Cisco ISE リリース 3.5 から AWS でサポートされています)

 サポート対象外 サポート対象外 サポート対象外 サポート。

このフィールドを使用する場合は、最初に [secondaryntpserver] フィールドに値を入力する必要があります。

 サポート。

このフィールドを使用する場合は、最初に [secondaryntpserver] フィールドに値を入力する必要があります。

Cisco ISE リリース 3.5 以降では、AWS 展開で IPv6 アドレスがサポートされています。
timezone timezone=<timezone> サポート対象 サポート対象 サポート対象 サポート対象 サポート対象
username username=<admin> サポート対象(例:<admin>)

Cisco ISE リリース 3.1 パッチ 1 からサポートされています。

 サポート対象外。

iseadmin が既定のユーザーです。

 サポート対象外。

iseadmin が既定のユーザーです。

 サポート対象外。

iseadmin が既定のユーザーです。

 サポート対象外。

iseadmin が既定のユーザーです。
username username=iseadmin 必須ではありません 必須 必須 必須 必須
password password=<password> サポート対象 サポート対象 サポート対象 サポート対象 サポート対象
ersapi ersapi=<yes/no> サポート対象 サポート対象 サポート対象 サポート対象 サポート対象
openapi openapi=<yes/no> サポート対象 サポート対象 サポート対象 OpenAPI はデフォルトで有効になっています。 OpenAPI はデフォルトで有効になっています。
pxGrid pxGrid =<yes/no> サポート対象 サポート対象 サポート対象 サポート対象 サポート対象
pxgrid_cloud pxgrid_cloud=<yes/no> サポート対象外 サポート対象外 サポート。

これは、Cisco ISE リリース 3.3 および 3.4 でのみサポートされています。

 サポート。

これは、Cisco ISE リリース 3.3 および 3.4 でのみサポートされています。

 サポート対象外。

Cisco ISE リリース 3.5 以降、pxGrid Cloud は Cisco ISE GUI からのみ有効にできます。

パラメータシンタックス要件

クラウドで Cisco ISE のユーザーデータパラメータを指定する場合は、属性または値を一重引用符または二重引用符で囲まないでください。すべての値を引用符を使用せずにプレーンテキストで入力する必要があります。

無効なエントリ

有効なエントリ

hostname="i34a"

hostname=i34a

primarynameserver="9.9.9.9"

primarynameserver=9.9.9.9

dnsdomain="example.com"

dnsdomain=example.com

primaryntpserver="north-america.pool.ntp.org"

primaryntpserver=north-america.pool.ntp.org

Cisco ISE リリース 3.3 以降、検証出力メッセージはシリアルコンソールに表示されます。これらのメッセージは、出力の生成時にシリアルコンソールが開いている場合にのみ表示されます。

Terraform スタックファイルを使用した OCI での Cisco ISE インスタンスの作成

Terraform スタックファイルを使用して OCI で Cisco ISE インスタンスを作成するには、次の手順を実行します。

始める前に

OCI で、SSH キー、仮想クラウドネットワーク(VCN)、サブネット、ネットワーク セキュリティ グループ、その他の必要なコンポーネントなど、Cisco ISE インスタンスに必要なリソースを作成します。OCI での Terraform の使用については、Oracle のドキュメントを参照してください。

手順

ステップ 1

OCI での Cisco ISE スタックの作成

ステップ 2

Cisco ISE インスタンスの変数の設定

ステップ 3

設定の確認と OCI での Cisco ISE インスタンスの作成

OCI での Cisco ISE スタックの作成

OCI で Cisco ISE スタックを作成するには、次の手順を実行します。

手順

ステップ 1

OCI アカウントにログインします。

ステップ 2

検索フィールドを使用して、マーケットプレイスを検索します。

ステップ 3

[リストの検索(Search for listings)] フィールドで、Cisco Identity Services Engine(ISE)と入力します。

ステップ 4

[Cisco Identity Services Engine(ISE)スタック(Cisco Identity Services Engine (ISE) Stack)] をクリックします。

ステップ 5

表示される新しいウィンドウで、[スタックの作成(Create Stack)] をクリックします。

ステップ 6

[スタック情報(Stack Information)] ウィンドウで次の手順を実行します。

  1. [マイ設定(My Configuration)] をクリックします。

  2. [コンパートメントに作成(Create in Compartment)] ドロップダウンリストから、Cisco ISE インスタンスを作成するコンパートメントを選択します。

Cisco ISE インスタンスの変数の設定

Cisco ISE インスタンスの変数を設定するには、次の手順を実行します。

手順

ステップ 1

[変数の設定(Configure Variables)] ページで、次の手順を実行します。

  1. [ホスト名(Hostname)] フィールドに、ホスト名を入力します。

  2. [シェイプ(Shape)] ドロップダウンリストから、使用する OCI シェイプを選択します。

    [VM.Optimized3.Flex] を選択した場合は、[Flex OCPU(Flex OCPUs)] ドロップダウンリストから必要な値を選択します。[Flexメモリ(GB)(Flex Memory in GB)] フィールドには、対応する値が表示されます。他のシェイプの場合、これらの値は事前に設定されており、スタック形式で表示されません。

  3. [Boot Volume Size] フィールドには、前の手順で選択したシェイプに基づいて必要な値が自動的に表示されます。

    1. [Vault] フィールドで、ブートボリューム暗号化キーの Vault を選択します。

    2. [Volume Encryption Key] フィールドで、ブートボリュームを暗号化するキーを選択します。

    Cisco ISE リリース 3.3 以降、[ボリューム暗号化キー(Volume Encryption Key)] フィールドと [Vault] フィールドでは、カスタマーマネージドキーを暗号化に使用することをお勧めします。デフォルトでは、Oracle マネージドキーが使用されます。キーの作成の詳細については、キー管理を参照してください。

  4. [SSHキー(SSH Key)] エリアで、SSH キーファイルをアップロードするか、SSH キーコードを貼り付けます。

  5. [タイムゾーン(Time Zone)] ドロップダウンリストから、タイムゾーンを選択します。

  6. [可用性ドメイン(Availability Domain)] ドロップダウンリストで、リージョンのドメインのリストからオプションを選択します。

  7. [仮想クラウドネットワーク(Virtual Cloud Network)] ドロップダウンリストで、前に選択したコンパートメントの VCN のリストからオプションを選択します。

  8. [サブネット(Subnet)] ドロップダウンリストで、選択した VCN に関連付けらているサブネットのリストからオプションを選択します。

  9. (任意) [ネットワークセキュリティグループ(Network Security Group)] ドロップダウンリストで、前に選択したコンポーネントに関連付けられているセキュリティグループを選択します。

    [パブリックIPアドレスの割り当て(Assign Public IP Address)] チェックボックスはデフォルトでオンになっています。Cisco ISE インスタンスにプライベート IP アドレスのみを割り当てる場合は、チェックボックスをオフにすることができます。

  10. [プライベートIPアドレス(Private IP Address)] フィールドに、選択したサブネットで定義されている範囲内の IP アドレスを入力します。

    このフィールドを空白のままにすると、OCI DHCP サーバーが Cisco ISE に IP アドレスを割り当てます。

  11. [DNS名(DNS Name)] フィールドにドメイン名を入力します。

  12. [ネームサーバー(Name Server)] フィールドに、ネームサーバーの IP アドレスを入力します。

    Cisco ISE リリース 3.4 以降、

    • [ネームサーバー(Name Server)] フィールドの名前が [プライマリネームサーバー(Primary Name Server)] に変更されました。

    • [セカンダリネームサーバー(Secondary Name Server)] フィールドには、セカンダリネームサーバーの IP アドレスを入力できます。

    • [ターシャリネームサーバー(Tertiary Name Server)] フィールドには、ターシャリネームサーバーの IP アドレスを入力できます。このフィールドを使用してアプリケーションを正常に起動するには、[セカンダリネームサーバー(Secondary Name Server)] フィールドを空白のままにしないでください。

  13. [NTPサーバー(NTP Server)] フィールドに、NTP サーバーの IP アドレスまたはホスト名を入力します。エントリは入力時に検証されません。

    Cisco ISE リリース 3.4 以降、

    • [NTPサーバー(NTP Server)] フィールドの名前が [プライマリNTPサーバー(Primary NTP Server)] に変更されました。

    • [セカンダリNTPサーバー(Secondary NTP Server)] フィールドには、セカンダリ NTP サーバーの IP アドレスまたはホスト名を入力できます。エントリは入力時に検証されません。

    • [ターシャリNTPサーバー(Tertiary NTP Server)] フィールドには、ターシャリ NTP サーバーの IP アドレスまたはホスト名を入力できます。エントリは入力時に検証されません。このフィールドを使用してアプリケーションを正常に起動するには、[Secondary NTP Server] フィールドを空白のままにしないでください。

  14. [ERS] ドロップダウンリストから、[はい(Yes)] または [いいえ(No)] を選択します。

  15. [オープンAPI(Open API)] ドロップダウンリストから、[はい(Yes)] または [いいえ(No)] を選択します。

  16. [pxGrid] ドロップダウンリストから、[はい(Yes)] または [いいえ(No)] を選択します。

  17. [pxGridクラウド(pxGrid Cloud)] ドロップダウンリストから、[はい(Yes)] または [いいえ(No)] を選択します。Cisco ISE リリース 3.5 以降、pxGrid Cloud は UI からのみ有効にできます。そのため、このフィールドは使用できません。

  18. [パスワード(Password)] および [パスワードの再入力(Re-enter Password)] フィールドに Cisco ISE のパスワードを入力します。パスワードは Cisco ISE のパスワードポリシーに準拠し、最大 25 文字である必要があります。

ステップ 2

[Next] をクリックします。

[レビュー(Review)] ウィンドウに、スタックで定義されているすべての設定の概要が表示されます。

設定の確認と OCI での Cisco ISE インスタンスの作成

これまでに作成した設定を確認し、Cisco ISE インスタンスを作成するには、次の手順を実行します。

手順

ステップ 1

情報を確認し、変更がある場合は [前へ(Previous)] をクリックして変更します。

ステップ 2

[作成したスタックで適用を実行(Run Apply on the created stack?)] エリアで、[適用を実行(Run Apply)] チェックボックスをオンにすると、[作成(Create)] をクリックしたときにスタックが構築されます。

[適用を実行(Run Apply)] を選択していない場合、[作成(Create)] をクリックしたときにスタック情報が保存されます。後で [スタック(Stacks)] ウィンドウからスタックを選択し、[適用(Apply)] をクリックしてビルドを実行できます。

ステップ 3

[作成(Create)] をクリックします。

ステップ 4

OCI の [インスタンス(Instances)] ウィンドウに移動します。

インスタンスは、スタック形式で指定したホスト名とともにリストされます。ホスト名をクリックすると、設定の詳細が表示されます。

Cisco ISE インスタンスは、約 30 分で OCI で起動できるようになります。

インストール後のタスク

Cisco ISE インスタンスを作成した後に実行する必要があるインストール後のタスクについては、ご使用のリリースの『Cisco ISE Installation Guide』にある「Installation Verification and Postinstallation Tasks」の章を参照してください。

OCI 上の Cisco ISE の互換性情報

このセクションでは、OCI 上の Cisco ISE に固有の互換性情報について説明します。Cisco ISE の一般的な互換性の詳細については、ご使用のリリースの『Cisco Identity Services Engine Network Component Compatibility』ガイドを参照してください。

ロードバランサ統合のサポート

RADIUS トラフィックのロードバランシングのために、OCI ネイティブ ネットワーク ロード バランサを Cisco ISE と統合できます。ただし、次の注意事項が適用されます。

  • 認可変更(CoA)機能は、ネットワークロードバランサを作成するときに、送信元や宛先のヘッダー(IP、ポート)の保存セクションでクライアント IP の保存を有効にしている場合にのみサポートされます。

  • ネットワークロードバランサは送信元 IP アフィニティのみをサポートし、発信側ステーションの ID ベースのスティッキセッションをサポートしないため、不均等なロードバランシングが発生する可能性があります。

  • ネットワークロードバランサは RADIUS ベースの正常性チェックをサポートしていないため、ノードで RADIUS サービスがアクティブでない場合でも、トラフィックを PSN に送信することがあります。

OCI ネイティブ ネットワーク ロード バランサの詳細については、『Introduction to Network Load Balancer』[英語] を参照してください。

TACACS+ トラフィックのロードバランシングのために、OCI ネイティブ ネットワーク ロード バランサを Cisco ISE と統合できます。ただし、ネットワークロードバランサは TACACS+ サービスに基づく正常性チェックをサポートしないため、ノードで TACACS+ サービスがアクティブでない場合でも、トラフィックを PSN に送信することがあります。

NIC ジャンボフレームのサポート

Cisco ISE はジャンボフレームをサポートしています。Cisco ISE の最大伝送ユニット(MTU)は 9,001 バイトですが、ネットワーク アクセス デバイスの MTU は通常 1,500 バイトです。Cisco ISE は、標準フレームとジャンボフレームの両方をサポートしています。コンフィギュレーション モードで CLI を使用して、Cisco ISE の MTU を必要に応じて再設定できます。

OCI でのパスワードの回復とリセット

以下のタスクを使用して、Cisco ISE 仮想マシンのパスワードをリセットします。必要なタスクを選択し、手順に従います。

シリアルコンソールを介した Cisco ISE GUI パスワードのリセット

OCI のシリアルコンソールを介して Cisco ISE GUI パスワードをリセットするには、次の手順を実行します。

手順

ステップ 1

OCI にログインし、[コンピューティング(Compute)] > [インスタンス(Instances)] の順に選択します。

ステップ 2

インスタンスのリストから、パスワードを変更する必要があるインスタンスを選択します。

ステップ 3

[リソース(Resources)] > [コンソール接続(Console connection)] の順に選択します。

ステップ 4

[Cloud Shell接続の起動(Launch Cloud Shell connection)] をクリックします。

新しい画面に Oracle Cloud Shell が表示されます。画面が黒い場合は、Enter を押してログインプロンプトを表示します。

ステップ 5

シリアルコンソールにログインします。

シリアルコンソールにログインするには、インスタンスのインストール時に設定された元のパスワードを使用する必要があります。OCI はこのパスワード値をマスクします。このパスワードを覚えていない場合は、「パスワードの回復」セクションを参照してください。

ステップ 6

application reset-passwd ise iseadmin コマンドを使用して、iseadmin アカウントの新しい Cisco ISE GUI パスワードを設定します。

OCI での新しい公開キーの作成

このタスクにより、追加のキーペアをリポジトリに追加できます。新しい公開キーによって Cisco ISE インスタンスの設定時に作成したキーペアが置き換えられることはありません。

手順

ステップ 1

OCI で新しい公開キーを作成します。キーペアの作成を参照してください。

ステップ 2

OCI シリアルコンソールにログインします。

ステップ 3

公開キーを保存するための新しいリポジトリを作成します。『Creating a Repository』[英語] を参照してください。

CLI を介してアクセスできるリポジトリがすでにある場合は、このステップをスキップします。

ステップ 4

次のコマンドを使用して新しい公開キーをインポートします。

crypto key import <public key filename> repository <repository name>

インポートが完了すると、SSH と新しい公開キーを使用して Cisco ISE にログインできます。

パスワードの回復

OCI には Cisco ISE のパスワード回復のメカニズムはありません。新しい Cisco ISE インスタンスを作成し、設定データのバックアップと復元を実行する必要が生じる場合があります。

OCI スタック変数を編集すると、Cisco ISE インスタンスが削除され、新しいインスタンスが作成されます。設定や構成は保持されません。