소개
이 문서에서는 ISE에서 Smart Licensing을 구성하는 방법에 대해 설명합니다.
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
사용되는 구성 요소
이 문서는 특정 소프트웨어 및 하드웨어 버전으로 한정되지 않습니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
배경 정보
ISE 3.0부터는 Smart Licensing이 필요합니다. Cisco Smart Licensing은 디바이스에서 셀프 등록 및 보고서 사용을 활성화하여 라이센스 조달, 구축 및 관리를 간소화합니다.
- 스마트 라이센스 토큰이 활성 상태이고 Cisco ISE 관리 포털에 등록된 경우 CSSM은 제품 라이센스당 각 엔드포인트 세션별 라이센스 사용을 모니터링합니다.
- Smart Licensing은 Cisco ISE의 간단한 테이블 레이아웃으로 엔드포인트 세션별 라이센스 소비에 대해 관리자에게 알립니다.
- Smart Licensing은 매일 중앙 집중식 데이터베이스에 활성화된 각 라이센스의 피크 사용량을 보고합니다.
- Cisco ISE는 30분마다 내부 라이센스 소비 샘플을 가져옵니다. 그에 따라 라이센스 규정 준수 및 소비가 업데이트됩니다.
- Cisco ISE PAN(Primary Administration Node)을 CSSM에 등록할 때부터 Cisco ISE는 6시간마다 CSSM 서버에 라이센스 소비의 피크 카운트를 보고합니다.
- 피크 카운트 보고서는 Cisco ISE의 라이센스 소비가 구매 및 등록된 라이센스를 준수하는지 확인하는 데 도움이 됩니다.
- Cisco ISE는 CSSM 인증서의 로컬 복사본을 저장하여 CSSM 서버와 통신합니다.
- CSSM 인증서는 매일 동기화하는 동안, 그리고 Licenses 테이블을 새로 고칠 때 자동으로 재인증됩니다. 일반적으로 CSSM 인증서는 6개월 동안 유효합니다.
- 따라서 ISE는 CSSM에 연결하기 위해 네트워크 연결이 필요합니다.
라이센스 소비 플로우
TACACS+
디바이스 관리자 라이센스(PID: L-ISE-TACACS-ND=)는 PSN(Policy Service Node)에서 TACACS+ 서비스를 활성화합니다. TACACS+를 사용하는 각 PSN에는 자체 Device Admin 라이센스가 필요합니다. TACACS+ 디바이스 관리는 엔드포인트 사용에 영향을 주지 않으며 관리할 수 있는 네트워크 디바이스 수에 제한을 두지 않습니다. 라우터 및 스위치와 같은 NAD(Network Access Device)를 관리하는 데 필수적인 라이센스가 필요하지 않습니다.
계정 관리 엔드포인트 라이센스
참고: 다이어그램에서는 기존 라이센스 용어를 사용하지만, 이는 설명서 전체에서 참조되는 새 계층 라이센스에도 적용됩니다.
각 엔드포인트가 여러 세션을 가질 수 있기 때문에 활성 엔드포인트 수는 사용된 라이센스와 다를 수 있습니다. 라이센스 소비는 엔드포인트 수가 아니라 활성 세션 수를 기준으로 합니다. 예를 들어 여러 세션이 있는 활성 엔드포인트가 10개인 시스템에서는 더 많은 라이센스를 사용할 수 있습니다.
무선 액세스 포인트와 스위치 모두에서 어카운팅이 활성화되었는지 확인합니다. 라이센스 소비는 AAA 클라이언트에서 AAA 서버로 전송되는 Start - Stop 메시지에 의해 결정됩니다.
ISE는 MnT(Monitoring and Troubleshooting)에서 세션을 관리하기 위해 NAD(Network Access Device)의 어카운팅 메시지에 의존하기 위해 특정 규칙을 사용합니다. 다음은 ISE에서 이러한 어카운팅 메시지를 기반으로 세션을 처리하는 방법입니다.
- ISE가 RADIUS 인증 요청을 받지만 계정 관리 메시지가 없는 경우 세션을 1시간 동안 활성 상태로 유지합니다.
- 어카운팅 메시지를 수신하면 ISE는 최대 5일 또는 어카운팅 중지 메시지를 수신할 때까지 세션을 유지합니다.
- 계정 관리 중지 메시지가 수신되면 라이센스 세션이 즉시 해제됩니다.
- 중간 업데이트가 5일을 연장합니다.
ISE 라이센스
평가
평가판 라이센스는 Cisco ISE Release 3.x 이상 버전을 설치하거나 해당 버전으로 업그레이드할 때 기본적으로 활성화됩니다. 평가판 라이센스는 90 일 동안 활성화 되어 있으며 이 시간 동안 모든 Cisco ISE 기능에 액세스 할 수 있습니다. Cisco ISE는 평가 라이센스를 사용 할 때 평가 모드로 간주 됩니다. Cisco ISE 관리 포털의 오른쪽 상단 모서리는 평가 모드에 남은 일 수와 함께 메시지를 표시합니다.
계층
Tier 라이센스는 릴리스 3.x 이전 릴리스에서 사용된 Base, Apex 및 Plus 라이센스를 대체합니다. Tier 라이센스에는 Essentials, Advantage 및 Premier의 3가지 라이센스가 포함됩니다. 현재 Base, Apex 또는 Plus 라이센스가 있는 경우 CSSM을 사용하여 새 라이센스 유형으로 변환합니다.
장치 관리자
Device Administration 라이센스를 사용하면 정책 서비스 노드에서 TACACS 서비스를 사용할 수 있습니다. 고가용성 독립형 구축에서 Device Administration 라이센스는 고가용성 쌍의 단일 정책 서비스 노드에서 TACACS 서비스를 사용할 수 있도록 허용합니다. ISE에서는 'Device Admin'으로, Smart 라이센스 포털에서는 'Maximum number of nodes entitled to TACACS+ transactions'로 정의됩니다.
가상 어플라이언스 라이센스
ISE 3.x 이상에는 'VM 공통 라이센스'인 새로운 형식의 VM 라이센스가 함께 제공됩니다. 기존 VM 라이센스를 사용 중인 경우 이를 VM 공통 라이센스로 변환해야 합니다.
라이센스 유형 및 변환에 대한 자세한 내용은 다음 링크를 참조하십시오.
라이센스 기능
Cisco 라이센스 가이드
라이센스 등록 유형
ISE 3.1을 도입할 경우 Smart Licensing을 활성화하는 세 가지 옵션을 사용할 수 있습니다. 이는 다음과 같습니다.
Smart Software Licensing 예약(Direct-Https, HTTP-Proxy, SSM On-Prem)
Smart Software Licensing Reservation은 단일 토큰 등록으로 쉽고 효율적으로 사용할 수 있습니다. 구매한 라이센스는 CSSM이라는 중앙 집중식 데이터베이스에서 유지 관리됩니다. 사용 가능한 엔드포인트 라이센스 및 소비 통계를 쉽게 추적하려면 CSSM 포털에 로그인합니다. 이 모드에서 ISE는 소비 및 규정 준수 정보를 교환하기 위해 CSSM에 직접(직접 HTTPS) 또는 프록시를 통해 연결해야 합니다. 새로운 옵션인 SSM On-Prem을 사용하면 On-Prem(Satellite) 서버로 호스팅되는 로컬 서버 형태의 CSSM 기능을 활용할 수 있도록 에어 갭 ISE가 허용됩니다.
특정 라이센스 예약(ISE 3.1 이상에서 사용 가능)
SLR(Specific License Reservation)을 통해 고도로 안전한 네트워크의 고객은 라이센스 정보를 전달하지 않고도 Smart Licensing(및 Smart 라이센스)을 사용할 수 있습니다. SLR에서는 애드온 라이센스를 비롯한 특정 라이센스를 예약할 수 있습니다. SLR은 CSSM에 연결하기 위해 ISE를 필요로 하지 않으며, 만료가 될 때까지 ISE가 Smart Account에 있는 라이센스를 사용할 수 있도록 합니다.
구성
ISE와 CSSM을 통합하기 위한 연결 방법(직접 HTTPS/HTTPS-Proxy)
1단계. 다음 사이트로 Administration > System > Licensing
이동합니다.
2단계. License Type(라이센스 유형)에서 Smart Software Licensing Reservation(스마트 소프트웨어 라이센싱 예약)을 선택하고 Registration Details(등록 세부사항)에 등록 토큰을 붙여넣습니다. 필요에 따라 해당 계층을 선택합니다. 이 프로세스는 직접 HTTPS와 HTTPS 프록시 간에 약간 다릅니다.
직접 HTTPS
3단계. Direct HTTPS의 경우 Connection Method(연결 방법)를 Direct HTTPS로 선택하고 Register(등록)를 클릭합니다.
HTTPS 프록시
4단계. HTTPS 프록시가 사전 구성되어 있는지 확인하려면 Administration > System > Settings로 이동합니다.
프록시 세부 정보 추가 > 호스트, 사용자 ID 및 비밀번호:
5단계. 다시 ISE Licensing(ISE 라이센싱) 페이지에서 Connection Method as HTTPS Proxy(HTTPS 프록시로 연결 방법)를 선택하고 구성된 프록시가 HTTPS Proxy(HTTPS 프록시) 섹션에 표시되는지 확인합니다. Register(등록)를 클릭합니다.
마지막으로, ISE가 CSSM에 등록되고 이 ISE 노드에 대한 항목이 Virtual Account(토큰이 생성된 위치)의 Product Instances(제품 인스턴스)에서 검색됩니다.
Smart Software Manager 온프레미스 서버 구성
이 컨피그레이션에서는 SSM On-Prem(Satellite) 서버를 환경에 구축해야 합니다. 일단 구축되고 연결되면 위성 서버는 ISE가 인터넷을 통해 CSSM에 연결하지 않고도 라이센스 트랜잭션을 수행할 수 있도록 하는 로컬 라이센스 서버 역할을 합니다. 위성 서버는 온라인 또는 오프라인 모드(.yml 파일 사용)에서 CSSM과 차례로 동기화할 수 있습니다. Satellite 서버에 대한 자세한 내용은 여기 . 온프레미스 서버 설치에 대한 빠른 시작 안내서가 있습니다. 여기 .
이 단계에서는 Satellite Server가 구성되어 있고 ISE 라이센스를 포함하는 CSSM의 가상 어카운트가 Satellite Server에 추가된 것으로 가정합니다. 여기서 동일한 작업을 수행하는 단계를 추적할 수 있습니다.
1단계. Satellite Server에 로그인하고 Smart Licensing 옵션을 선택합니다.
2단계. 인벤토리에서 토큰을 생성하고 토큰 값을 복사합니다. ISE로 돌아가서 Smart Software Licensing Reservation and Connection Method(Smart Software Licensing 예약 및 연결 방법)를 'SSM 온프레미스 서버'로 선택합니다.
3단계. SSM 온프레미스 서버 호스트 필드는 온프레미스 서버에 구성된 호스트 이름에서 가져옵니다. 다음에서 동일한 내용을 확인할 수 On-Prem Server Admin Workspace > Security > Certificates > Host Common Name
있습니다.
4단계. 호스트 이름이 확인되면 SSM On-Prem 서버 호스트 아래에서 ISE에 호스트 이름을 추가하고 을 클릭합니다Register
. 등록이 완료되면 ISE가 Satellite Server의 Virtual Account에 추가된 Product Instances 목록에 나타납니다.
ISE 및 CSSM의 통합 방법
SLR
1단계. 이미지에 Administration > System > Licensing
표시된 대로 다음 위치로 이동합니다.
2단계. License Type(라이센스 유형)에서 SLR(SLR)을 선택한 다음 Generate Code(코드 생성)를 클릭합니다. CSSM에서 요구하는 대로 생성된 예약 코드를 복사하여 인증 코드를 생성합니다.
3단계. CSSM에서 ISE 라이센스(Essential, Advantage, Premier, VM, TACACS+)가 포함된 Virtual Account(가상 어카운트)를 선택합니다. Licenses(라이센스) 섹션에서 License Reservation(라이센스 예약)을 선택합니다.
4단계. ISE에서 복사한 인증 코드를 입력하고 Next(다음)를 클릭하여 선택합니다 Reserve a specific license
옵션을 선택합니다. 사용 가능한 라이센스에 따라 ISE에 대해 예약할 개수를 지정하고 를 클릭합니다Next
. Tier 라이센스와 VM 라이센스는 하위 레벨 라이센스에 대한 요청을 충족하기 위해 상위 레벨 라이센스를 사용할 수 있는 교체를 허용합니다. 여기서 계층 모델을 확인하십시오. ISE 3.x 라이센싱 모델 .
5단계. Download as File(파일로 다운로드) 옵션을 사용하여 생성된 권한 부여 코드를 검토하고 다운로드합니다. 파일을 업로드하려면 ISE로 돌아가 Upload SLR License Key(SLR 라이센스 키 업로드)를 클릭합니다. ISE의 라이센스 만료일은 Smart Account의 원래 라이센스 만료일을 반영합니다.
SLR에 대한 반환 예약
1단계. Return Reservation(예약 반품)을 클릭하고 제공된 예약 코드를 복사하여 안전하게 보관합니다.
2단계. ISE가 추가되는 Virtual Account의 Product Instances(제품 인스턴스)로 이동하여 해당 일련 번호를 사용하여 ISE를 검색합니다. 를 Actions > Remove
클릭하고 1단계에서 복사한 코드를 입력한 다음 을 클릭합니다Return Product Reservation
. 이렇게 하면 예약된 라이센스가 Virtual Account로 반환됩니다.
문제 해결
일반 지침
- ISE 3.0 p7, 3.1 p5 및 3.2 이상의 경우 https://smartreceiver.cisco.com/ 링크의 연결 가능성을 확인합니다.
- 하위 ISE 버전<= Ise 3.0의 경우 tools.cisco.com, tools1.cisco.com 및 tools2.cisco.com 링크의 연결 가능성을 확인하십시오.
- 이러한 링크는 CSSM과의 통신에 중요한 역할을 하므로 중요합니다. 이러한 IP를 차단할 경우 Cisco ISE는 CSSM에 라이센스 사용을 보고할 수 없으며, 보고 기능이 부족하면 Cisco ISE에 대한 관리 액세스가 손실되고 Cisco ISE 기능이 제한됩니다.
디버그 레벨로 설정할 ISE 로깅 특성
- admin-license(ise-psc.log)
등록 및 갱신 오류
등록 오류를 해결하려면 먼저 Smart Licensing 클라우드(https://tools.cisco.com/ 또는 https://smartreceiver.cisco.com/)에 통신 문제가 없는지 확인하는 것부터 수행하십시오. ISE와 Smart Licensing Cloud의 연결에 다음과 같은 몇 가지 요소가 방해가 될 수 있습니다.
- 트래픽을 차단하는 방화벽 또는 기타 디바이스.
- DNS 문제. ISE가 https://tools.cisco.com/ 또는 https://smartreceiver.cisco.com/에 대한 해당 FQDN을 확인할 수 없는 경우 등록 API 호출을 전송할 수 없습니다.
- Smart Licensing 포털의 문제.
ISE 라이센싱 상태를 조사하기 위한 API 요청
브라우저에서 직접 HTTPS API 호출을 사용하여 ISE에서 소비되는 라이센스 수를 파악합니다.
https://<MnTNodeIP>/admin/API/mnt/Session/ActiveCount
https://<MnTNodeIP>/admin/API/mnt/Session/License/LicenseCountsFromSessionDB
https://<MnTNodeIP>/admin/API/mnt/License/Base
https://<MnTNodeIP>/admin/API/mnt/License/Intermediate
https://<MnTNodeIP>/admin/API/mnt/License/Premium
https://<MnTNodeIP>/admin/API/mnt/Session/ActiveList
ISE 3.1 이상에서는 OpenAPI를 사용할 수 있습니다. 라이센싱 상태에 대한 추가 데이터를 가져오는 데 사용되는 Administration > Settings > API Settings.
API 호출로 이동해야 합니다.
팁: ISE에서 ERS 및 Open API 서비스가 활성화되어 있는지 확인합니다. 로 이동하여 이를 확인할 수 있습니다Administration > Settings > API Settings > API Service Settings
. 이러한 서비스가 활성화되지 않은 경우 URL을 통해 API 호출에 액세스하기 전에 이러한 서비스를 활성화해야 합니다.
관련 정보