개요
이 문서에는 Cisco ISE(Identity Services Engine)의 성능 및 확장성 메트릭이 나와 있습니다.
Cisco ISE 노드 용어
Cisco ISE 노드는 그 페르소나에 따라 다양한 서비스를 제공할 수 있습니다. 관리 포털을 통해 사용할 수 있는 메뉴 옵션은 Cisco ISE 노드에서 취하는 역할 및 페르소나에 따라 달라집니다.
|
노드 유형 |
설명 |
|---|---|
|
정책 관리 노드(PAN) |
관리 페르소나의 Cisco ISE 노드에서는 Cisco ISE에 대한 모든 관리 작업과 구성을 수행할 수 있습니다. 이는 모든 관리 작업, 구성 및 상황 데이터를 볼 수 있는 단일 창 역할을 합니다. 구축의 나머지 노드와 구성을 동기화합니다. |
|
정책 서비스 노드(PSN) |
정책 서비스 페르소나의 Cisco ISE 노드에서는 네트워크 액세스, 포스처, 게스트 액세스, 클라이언트 프로비저닝, 프로파일링 서비스를 제공할 수 있습니다. 이 페르소나는 정책을 평가하고 모든 결정을 내립니다. |
|
모니터링 노드(MnT) |
모니터링 페르소나의 Cisco ISE 노드는 로그 컬렉터의 기능을 하며, 네트워크의 모든 관리 및 정책 서비스 노드로부터 생성된 로그 메시지를 저장합니다. 이 페르소나는 고급 모니터링 및 문제 해결 툴을 제공하며, 이는 네트워크 및 리소스를 효과적으로 관리하는 데 사용할 수 있습니다. 이 페르소나의 노드는 수집하는 데이터를 취합하여 상관성을 파악하고 유의미한 보고서를 제공합니다. |
|
pxGrid 노드 |
Cisco pxGrid는 Cisco ISE 세션 디렉토리에서 다른 정책 네트워크 시스템(예: Cisco ISE 에코시스템 파트너 시스템 및 기타 Cisco 플랫폼)과 상황 민감 정보를 공유하는 데 사용됩니다. 또한 pxGrid 프레임워크를 사용하여 노드 간에 정책 및 구성 데이터를 교환하고(예: ISE와 서드파티 벤더 간에 태그 및 정책 객체 공유) 다른 정보도 교환할 수 있습니다. |
다양한 유형의 Cisco ISE 구축
|
평가 |
소형 구축 |
중간 규모 구축 |
대규모 구축 |
||
|---|---|---|---|---|---|
|
|
|
|
전용 PSN
pxGrid 노드
상태 확인 노드
Cisco ISE 정책 서비스 노드에 대한 크기 조정 지침
Cisco ISE(Identity Services Engine)는 Cisco SNS 하드웨어, 가상 어플라이언스 또는 AWS(Amazon Web Services), Azure Cloud 및 OCI(Oracle Cloud Infrastructure)와 같은 퍼블릭 클라우드 플랫폼에 설치할 수 있습니다.
다음 고려 사항에 따라 구축에 필요한 PSN 수를 결정할 수 있습니다.
-
최대 동시 활성 엔드포인트
-
RADIUS 인증 비율
-
TACACS+ 인증 비율
-
시나리오별 트랜잭션 속도
 참고 |
초소형 PSN 프로파일은 Cisco ISE 릴리스 3.2부터 사용할 수 있습니다. |
| PSN 프로파일 | 초소형 | 소형 | 중형 | 대규모 |
|---|---|---|---|---|
|
물리적 어플라이언스 |
— |
Cisco SNS 3615 |
Cisco SNS 3595 |
Cisco SNS 3655 Cisco SNS 3695 |
|
VM 어플라이언스 |
초소형 VM(vCPU 8개, 32GB) |
SNS 3615에 해당하는 VM(vCPU 16개, 32GB) |
SNS 3595에 해당하는 VM(vCPU 16개, 64GB) |
SNS 3655에 해당하는 VM(vCPU 24개, 96GB) SNS 3695에 해당하는 VM(vCPU 24개, 256GB) |
|
AWS |
m5.2.xlarge |
c5.4xlarge* m5.4xlarge |
— |
c5.9xlarge |
|
Azure |
Standard_D8s_v4 |
Standard_F16s_v2* Standard_D16s_v4 |
— |
Standard_F32s_v2 |
|
OCI |
Standard3.Flex(OCPU 4개 및 32GB) |
Optimized3.Flex*(OCPU 8개** 및 32GB) Standard3.Flex(OCPU 8개 및 64GB) |
— |
Optimized3.Flex(OCPU 16개 및 64GB) |
*이 인스턴스는 컴퓨팅에 최적화되어 있으며 범용 인스턴스에 비해 더 나은 성능을 제공합니다.
**OCI에서는 Oracle CPU(OCPU)를 기준으로 CPU를 선택합니다. 각 OCPU는 하이퍼 스레딩이 활성화된 Intel Xeon 프로세서의 물리적 코어 1개와 동일한 CPU 용량을 제공합니다. 각 OCPU는 vCPU로 알려진 2개의 하드웨어 실행 스레드와 같습니다.
전체 PSN 프로파일 크기의 최대 동시 활성 엔드포인트
다음 표에는 전체 PSN 프로파일 크기에서 지원되는 최대 동시 활성 엔드포인트가 나와 있습니다.
| PSN 프로파일 |
초소형 |
소형 |
보통 |
대규모 |
|---|---|---|---|---|
|
전용 PSN에서 지원하는 동시 활성 엔드포인트 (Cisco ISE 노드에는 PSN 페르소나만 있습니다.) |
12,000 | 25,000 | 40,000 | 50,000 |
|
공유 PSN에서 지원하는 동시 활성 엔드포인트 (Cisco ISE 노드에는 여러 페르소나가 있습니다.) |
지원되지 않음 | 12,500 | 20,000 | 25,000 |
참고 |
|
PSN 크기 간 RADIUS 인증 속도
다음 표에는 Cisco ISE 노드가 전용 PSN 역할을 수행할 때 RADIUS 프로토콜에 대한 인증 속도가 나와 있습니다.
| PSN 프로파일 | 초소형 | 소형 | 중형 | 대규모 |
|---|---|---|---|---|
| 내부 사용자 데이터베이스가 있는 PAP | 500 | 900 | 1100 | 1300 |
| Active Directory가 있는 PAP | 150 | 250 | 250 | 300 |
| LDAP 디렉터리가 있는 PAP | 150 | 300 | 300 | 350 |
| 내부 사용자 데이터베이스가 있는 PEAP(MSCHAPv2) | 100 | 150 | 150 | 200 |
| Active Directory가 있는 PEAP(MSCHAPv2) | 100 | 150 | 150 | 175 |
| 내부 사용자 데이터베이스가 있는 PEAP(GTC) | 100 | 150 | 150 | 250 |
| Active Directory가 있는 PEAP(GTC) | 50 | 100 | 150 | 175 |
| 내부 사용자 데이터베이스가 있는 EAP-FAST(MSCHAPv2) | 200 | 350 | 400 | 500 |
| Active Directory가 있는 EAP-FAST(MSCHAPv2) | 100 | 200 | 250 | 300 |
| 내부 사용자 데이터베이스가 있는 EAP-FAST(GTC) | 200 | 350 | 400 | 450 |
| Active Directory가 있는 EAP-FAST(GTC) | 100 | 200 | 200 | 300 |
| LDAP 디렉터리가 있는 EAP-FAST(GTC) | 100 | 200 | 300 | 300 |
| 내부 사용자 데이터베이스가 있는 EAP-TLS | 100 | 150 | 150 | 200 |
| Active Directory가 있는 EAP-TLS | 50 | 150 | 150 | 200 |
| LDAP 디렉터리가 있는 EAP-TLS | 100 | 150 | 200 | 250 |
| 내부 사용자 데이터베이스가 있는 EAP TEAP | 50 | 100 | 100 | 200 |
| 내부 사용자 데이터베이스가 있는 MAB | 300 | 500 | 900 | 1000 |
| LDAP 디렉터리가 있는 MAB | 200 | 400 | 500 | 600 |
| Azure AD가 있는 EAP-TTLS PAP | 5 | 5 | 10 | 15 |
PSN 크기 간 TACACS+ 인증 속도
다음 표에는 Cisco ISE 노드가 전용 PSN으로 작동할 때의 TPS(Transactions Per Second)가 나와 있습니다.
| PSN 프로파일 | 초소형 | 소형 | 중형 | 대규모 |
|---|---|---|---|---|
| TACACS+ 기능: PAP | 1500 | 2500 | 3000 | 3200 |
| TACACS+ 기능: CHAP | 1500 | 2500 | 3000 | 3500 |
| TACACS+ 기능: 활성화 | 500 | 1000 | 1100 | 1100 |
| TACACS+ 기능: 세션 권한 부여 | 1500 | 2500 | 3000 | 3500 |
| TACACS+ 기능: 명령 권한 부여 | 1500 | 2,500 | 2,500 | 3500 |
| TACACS+ 기능: 계정 관리 | 1500 | 3000 | 7000 | 9000 |
PSN 크기 간 시나리오별 인증 속도
다음 표에는 Cisco ISE 노드가 전용 PSN으로 작동할 때의 TPS(Transactions Per Second)가 나와 있습니다. 아래에 제공된 인증 값은 약 5%입니다.
| PSN 프로파일 | 초소형 | 소형 | 중형 | 대규모 |
|---|---|---|---|---|
| 포스처 인증 | 30 | 50 | 50 | 60 |
| 게스트: 핫스팟 인증 | 50 | 75 | 100 | 100 |
| 게스트: 스폰서 인증 | 25 | 50 | 75 | 75 |
| BYOD: 온보딩 단일 SSID | 5 | 10 | 10 | 15 |
| BYOD 온보딩 이중 SSID | 5 | 10 | 15 | 15 |
| MDM | 100 | 150 | 200 | 200 |
| 내부 CA 인증서 발급 | 25 | 50 | 50 | 50 |
| 초당 프로파일링된 새 엔드포인트/초당 프로파일 업데이트 | 100 | 200 | 250 | 250 |
| 초당 처리되는 최대 PassiveID 세션 | 600 | 1,000 | 1,000 | 1,000 |
|
ERS: 엔드포인트 대량 API |
— | 75 | 75 | 100 |
| ERS: 게스트 대량 API | — | 75 | 75 | 100 |
|
ERS: TrustSec 대량 API |
— | 5 | 5 | 10 |
| PSN 프로파일 | 초소형 | 소형 | 중형 | 대규모 |
|---|---|---|---|---|
| 300개의 TrustSec 정책을 254개의 NAD에 푸시하는 데 걸리는 시간(초) | 25 | 50 | 50 | 50 |
| 5000개의 TrustSec 정책이 REST API를 통해 2GB 데이터를 다운로드하는 데 걸리는 시간(초) | 25 | 50 | 50 | 50 |
| SXP를 SXPSN에 연결하는 데 걸린 시간(밀리초) | 10 | 10 | 5 | 5 |
| 20,000개의 세션에서 200 pxGrid 가입자를 대량 다운로드하는 데 걸린 시간(초) | 25 | 50 | 50 | 50 |
| 20,000개의 세션 대량 다운로드를 위해 200 pxGrid 가입자에게 초당 게시된 세션 | 200 | 300 | 400 | 400 |
이러한 제한을 초과하면 성능이 저하되어 요청이 삭제될 수 있습니다. Cisco ISE 어플라이언스 및 VM을 프로비저닝할 때는 구축당 총 용량과 예상 피크 시간 인증 속도를 고려하십시오.
정책 관리 노드 및 노드 모니터링 및 문제 해결을 위한 크기 조정 지침
구축의 PAN 및 MnT 노드에서 지원해야 하는 최대 동시 엔드포인트를 기준으로 구축 모델을 결정합니다.
| 프로파일 유형 | 소형 | 중형 | 대규모 | 초대형 |
|---|---|---|---|---|
|
물리적 어플라이언스 |
Cisco SNS 3615 |
Cisco SNS 3595 |
Cisco SNS 3655 |
Cisco SNS 3695 |
|
VM 어플라이언스 |
코어 8개(vCPU 16개, 32GB) |
코어 8개(vCPU 16개, 64GB) |
코어 12개(vCPU 24개, 96GB) |
코어 12개(vCPU 24개, 256GB) |
|
AWS |
c5.4xlarge |
m5.4xlarge c5.9xlarge* |
m5.8xlarge |
m5.16xlarge |
|
Azure |
Standard_F16s_v2 |
Standard_D16s_v4 Standard_F32s_v2* |
Standard_D32s_v4 |
Standard_D64s_v4 |
|
OCI |
Optimized3.Flex(OCPU 개** 및 32GB) |
Standard3.Flex(OCPU 8개, 64GB) Optimized3.Flex* (OCPU 16개 및 64GB) |
Standard3.Flex(OCPU 16개 및 128GB) |
Standard3.Flex(OCPU 32개 및 256GB) |
*이 인스턴스는 컴퓨팅에 최적화되어 있으며 범용 인스턴스에 비해 더 나은 성능을 제공합니다.
**OCI에서는 Oracle CPU(OCPU)를 기준으로 CPU를 선택합니다. 각 OCPU는 하이퍼 스레딩이 활성화된 Intel Xeon 프로세서의 물리적 코어 1개와 동일한 CPU 용량을 제공합니다. 각 OCPU는 vCPU로 알려진 2개의 하드웨어 실행 스레드와 같습니다.
| PAN, MnT 또는 PAN과 MnT 프로파일 | 소형 | 보통 | 대규모 | 초대형 |
|---|---|---|---|---|
| 대규모 구축 | 지원되지 않음 | 500,000 | 500,000 | 2,000,000 |
| 중간 규모 구축 | 10,000 | 20,000 | 25,000 | 50,000 |
| 소형 구축 | 10,000 | 20,000 | 25,000 | 50,000 |
다양한 구축 유형에 대한 자세한 내용은 다양한 유형의 Cisco ISE 구축 섹션을 참조하십시오.
참고 |
중간 규모 구축과 소규모 구축에서 지원하는 동시 액티브 엔드포인트는 동일하지만 전용 PSN 덕분에 중간 규모 구축이 더 잘 수행됩니다. 엔드포인트 지원 값은 모든 유형의 활성 세션에 적용됩니다. 모든 구축에서 동시 활성 엔드포인트 수가 이러한 수를 초과하면 세션이 삭제될 수 있습니다. |
Cisco ISE 하드웨어 어플라이언스
Cisco SNS 3600 어플라이언스는 UEFI(Unified Extensible Firmware Interface) 보안 부팅 기능을 지원합니다. 이 기능을 사용하면 Cisco에서 서명한 Cisco ISE 이미지만 Cisco SNS 3600 시리즈 어플라이언스에 설치할 수 있으며, 서명하지 않은 운영 체제는 장치에 물리적으로 연결하더라도 설치할 수 없게 됩니다.
| 사양 | Cisco SNS 3615 | Cisco SNS 3595 | Cisco SNS 3655 | Cisco SNS 3695 |
|---|---|---|---|---|
| 프로세서 |
Intel Xeon 1개 2.10GHz 4110 |
Intel Xeon 1개 2.60GHz E5-2640 |
Intel Xeon 1개 2.10GHz 4116 |
Intel Xeon 1개 2.10GHz 4116 |
| 프로세서당 코어 수 | 8 | 8 | 12 | 12 |
| 메모리 | 32GB(2x16GB) | 64GB(4x16GB) | 96GB(6x16GB) | 256GB(8x32GB) |
| 하드디스크 | 600GB 6Gb SAS 10K RPM 1개 | 600GB 6Gb SAS 10K RPM 4개 | 600GB 6Gb SAS 10K RPM 4개 | 600GB 6Gb SAS 10K RPM 8개 |
| 하드웨어 RAID | — |
Level 10 Cisco 12G SAS Modular RAID Controller |
Level 10 Cisco 12G SAS Modular RAID Controller |
Level 10 Cisco 12G SAS Modular RAID Controller |
| 네트워크 인터페이스 |
10 Gbase-T 2개 1 GBase-T 4개 |
1 GBase-T 6개 |
10 Gbase-T 2개 1 GBase-T 4개 |
10 Gbase-T 2개 1 GBase-T 4개 |
| 전력 공급 장치 | 1 x 770W | 2 x 770W | 2 x 770W | 2 x 770W |
가상 어플라이언스의 Cisco ISE
Cisco ISE는 VMware 서버, KVM 하이퍼바이저, Hyper-V 및 Nutanix AHV에 설치할 수 있습니다. 가상 머신이 Cisco ISE 하드웨어 어플라이언스에 준하는 성능 및 확장성을 제공하려면 Cisco SNS 3500 또는 3600 시리즈 어플라이언스에서와 같은 시스템 리소스가 할당되어야 합니다. 리소스 할당과 일치하도록 CPU 및 메모리 리소스를 예약하는 것이 좋습니다. 이렇게 하지 않으면 Cisco ISE 성능 및 안정성이 크게 떨어질 수 있습니다.
| 사양 | VM 8vCPU 32GB | VM 16vCPU 32GB | VM 16vCPU 64GB | VM 24vCPU 96GB | VM 24vCPU 256GB |
|---|---|---|---|---|---|
| vCPU | 8 | 16 | 16 | 24 | 24 |
| 메모리 | 32 | 32 | 64 | 96 | 256 |
| 디스크 크기 | 300 GB |
PSN의 경우 300GB PAN, MnT, PAN+MnT의 경우 600GB |
PSN의 경우 300GB PAN, MnT, PAN+MnT의 경우 1200GB |
PSN의 경우 300GB PAN, MnT, PAN+MnT의 경우 1200GB |
PSN의 경우 300GB PAN, MnT, PAN+MnT의 경우 2400GB |
vCPU 8개 및 32GB 사양의 VM은 VMware 서버, KVM 하이퍼바이저, Hyper-V 및 Nutanix AHV에서만 사용할 수 있습니다. 이 사양은 SNS 어플라이언스에서 사용할 수 없습니다.
VM 구축의 경우 하이퍼스레딩으로 인해 코어 수가 물리적 어플라이언스에 있는 코어 수의 2배입니다. 예를 들어 소규모 네트워크 구축의 경우 CPU 사양이 8개이거나 스레드가 16개인 SNS 3615의 CPU 사양을 충족하도록 16개의 vCPU 코어를 할당하십시오.
전용 VM 리소스를 구축하고, 여러 게스트 VM 간에 리소스를 공유하거나 초과 구독하지 마십시오.
클라우드 플랫폼의 Cisco ISE
이제 클라우드에서 Cisco ISE를 사용할 수 있으므로 Cisco ISE 구축을 빠르고 쉽게 확장하여 변화하는 비즈니스 요구 사항을 충족할 수 있습니다. Cisco ISE는 IaaS(Infrastructure as Code) 솔루션으로 제공되므로, 네트워크 액세스를 신속하게 구축하고 어디에서나 서비스를 제어할 수 있습니다. AWS(Amazon Web Services), Azure Cloud Services 또는 OCI(Oracle Cloud Infrastructure)를 통해 홈 네트워크의 Cisco ISE 정책을 새로운 원격 구축으로 안전하게 확장합니다.
AWS는 Cisco ISE 릴리스 3.1 이상 릴리스를 지원합니다.
OCI 및 Azure 클라우드 지원은 Cisco ISE 릴리스 3.2 이상 릴리스에서 사용할 수 있습니다.
컴퓨팅 최적화 인스턴스는 컴퓨팅 집약적인 작업 또는 애플리케이션이 PSN에 가장 적합합니다.
범용 인스턴스는 PAN 또는 MNT 페르소나 또는 둘 다에 가장 적합한 데이터 처리 작업 또는 데이터베이스 작업을 위한 것입니다.
지원되는 인스턴스의 리소스 사양은 클라우드 플랫폼에서 기본적으로 Cisco ISE 구축 및 각 클라우드 설명서를 참조하십시오.
Cisco ISE 구축 규모 제한
| 속성 | 최대 제한 | ||
|---|---|---|---|
|
대규모 또는 전용 구축의 최대 pxGrid 노드 |
4 | ||
| pxGrid 노드당 최대 pxGrid 가입자 수 | 200 | ||
| SXP 서비스가 활성화된 전용 PSN | 노드 8개 또는 쌍 4개 | ||
| SXP 서비스가 활성화된 PSN당 최대 ISE SXP 피어 | 200 | ||
최대 네트워크 디바이스 항목(IP 주소 또는 IP 주소 범위 또는 둘 다)
|
100,000 | ||
| 최대 NDG(네트워크 디바이스 그룹) | 10,000 | ||
|
최대 Active Directory 포리스트(조인 포인트) |
50 | ||
|
최대 Active Directory 컨트롤러(WMI 쿼리) |
100 | ||
| 최대 내부 사용자 수 | 300,000 | ||
|
최대 내부 게스트 수
|
1,000,000 | ||
| 최대 사용자 인증서 | 1,000,000 | ||
| 최대 서버 인증서 | 1,000 | ||
| 최대 신뢰할 수 있는 인증서 | 1,000 | ||
|
최대 사용자 포털(게스트, BYOD, MDM, 인증서 프로비저닝, 포스처, 클라이언트 프로비저닝) |
600 | ||
| 최대 동시 활성 엔드포인트 | 2,000,000 | ||
| 최대 정책 집합 | 200 | ||
| 최대 인증 규칙 | 1,000(정책 집합 모드) | ||
| 최대 권한 부여 규칙 |
정책 집합 모드: 3,000(권한 부여 프로파일 3,200개) 단일 정책 집합에 600개 이상의 권한 부여 규칙을 포함하지 않는 것이 좋습니다.
|
||
| 최대 사용자 ID 그룹 | 1,000 | ||
| 최대 엔드 포인트 ID 그룹 | 1,000 | ||
|
TrustSec SGT(Security Group Tag) TrustSec SGACL(Security Group ACL) TrustSec IP-SGT 고정 바인딩(SSH를 통해) |
10,000 1,000 10,000 |
||
|
최대 동시 REST API 연결 수 |
ERS API: 100 OpenAPI: 150 |
||
|
대규모 구축에 대한 최대 패시브 ID 세션 |
3695 PAN, MnT: 2,000,000 3595 PAN, MnT: 500,000 |
||
|
기본 PAN과 보조 PAN, MnT 및 PSN을 포함한 다른 Cisco ISE 노드 간의 최대 네트워크 레이턴시 |
300밀리초 |
||
|
최대 패시브 ID 세션 제공자 |
|||
|
최대 AD 도메인 컨트롤러 최대 REST API 제공자 최대 시스템 로그 제공자 최대 pxGrid 가입자 수 |
100 50 70 50 |
||
피드백