De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Dit document beschrijft hoe u slimme licentiëring op ISE kunt configureren.
Cisco raadt kennis van de volgende onderwerpen aan:
Dit document is niet beperkt tot specifieke software- en hardware-versies.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Vanaf ISE 3.0 is slimme licentiëring vereist. Cisco Smart Licensing vereenvoudigt aanschaf, implementatie en beheer van licenties door apparaten in staat te stellen zichzelf te registreren en gebruik te melden.
De licentie voor Apparaatbeheer (PID: L-ISE-TACACS-ND=) activeert TACACS+ services op een Policy Service Node (PSN). Elke PSN die TACACS+ gebruikt, heeft zijn eigen Device Admin-licentie nodig. Het apparaatbeheer van TACACS+ telt niet mee voor het gebruik van endpoints en legt geen beperkingen op aan het aantal netwerkapparaten dat u kunt beheren. Er is geen essentiële licentie nodig voor het beheer van netwerktoegangsapparaten (NAD’s) zoals routers en switches.
Opmerking: in het diagram wordt gebruik gemaakt van traditionele licentieterminologie, maar deze zijn ook van toepassing op de nieuwe rijbewijzen waarnaar in de documentatie wordt verwezen.
Het aantal actieve eindpunten kan verschillen van de gebruikte licenties omdat elk eindpunt meerdere sessies kan hebben. Het gebruik van de licentie is gebaseerd op het aantal actieve sessies en niet alleen op het aantal endpoints. Een systeem met 10 actieve eindpunten met meerdere sessies kan bijvoorbeeld meer licenties gebruiken.
Zorg ervoor dat de accounting is ingeschakeld op zowel de draadloze access points als de switch. Het gebruik van de licentie wordt bepaald door de Start - Stop-berichten die van de AAA-client naar de AAA-server worden verzonden.
ISE maakt gebruik van specifieke regels om sessies te beheren in Monitoring and Troubleshooten (MnT), op basis van boekingsberichten van Network Access Devices (NAD’s). Hier is hoe ISE sessies verwerkt op basis van deze boekhoudingsberichten:
- Als ISE een RADIUS-verificatieaanvraag ontvangt maar geen boekhoudbericht, houdt het de sessie 1 uur actief.
- Bij ontvangst van een boekhoudbericht houdt ISE de sessie tot 5 dagen of tot een boekhoudkundig stopbericht is ontvangen.
- De licentiesessie wordt onmiddellijk vrijgegeven zodra een bericht voor een boekhoudstop is ontvangen.
- Een tussentijdse update verlengt de 5 dagen.
Evaluatielicenties worden standaard geactiveerd wanneer u Cisco ISE-release 3.x en latere versies installeert of upgradt. De evaluatielicentie is 90 dagen actief en u hebt tijdens deze periode toegang tot alle Cisco ISE-functies. Cisco ISE wordt als in evaluatiemodus beschouwd wanneer de evaluatielicentie in gebruik is. De rechterbovenhoek van het Cisco ISE-beheerportal geeft een bericht weer met het aantal dagen dat in de evaluatiemodus is achtergebleven.
Tier-licenties vervangen de Base-, Apex- en Plus-licenties die eerder in releases dan release 3.x worden gebruikt. De licenties voor de reeks omvatten drie licenties: Essentials, Advantage en Premier. Als u momenteel Base-, Apex- of Plus-licenties hebt, gebruikt u CSSM om deze naar de nieuwe licentietypen te converteren.
Met een Apparaatbeheerlicentie kunt u TACACS-services gebruiken op een Policy Service-knooppunt. In een standalone plaatsing met hoge beschikbaarheid, staat een vergunning van het Apparaatbeheer u toe om de diensten TACACS op één enkel knooppunt van de Dienst van het Beleid in het hoog-beschikbaarheidspaar te gebruiken. Op ISE is het gedefinieerd als 'Device Admin' en op het Smart License Portal wordt het gedefinieerd als 'Maximum aantal knooppunten dat recht heeft op TACACS+ transacties'.
ISE 3.x wordt geleverd met een nieuwe vorm van VM-licentie die de 'VM Common-licentie' is. Als u traditionele VM-licenties gebruikt, moeten deze worden omgezet in gemeenschappelijke VM-licenties.
Raadpleeg de koppelingen voor informatie over licentietypen en conversie:
Voor de introductie van ISE 3.1 hebt u drie opties beschikbaar om Smart Licensing mogelijk te maken. Deze zijn:
Smart Software Licensing Reservation is eenvoudig en efficiënt te gebruiken met één token-registratie. De licenties die u aanschaft, worden bijgehouden in een gecentraliseerde database met de naam CSSM. Meld u aan bij het CSM-portal om de beschikbare endpointlicenties en verbruiksstatistieken eenvoudig te kunnen volgen. In deze modus moet ISE rechtstreeks (Direct HTTPS) of via Proxy verbinding maken met CSSM om de informatie over verbruik en naleving te kunnen uitwisselen. De nieuwe optie SSM On-Prem maakt het mogelijk via de lucht gapped ISE te gebruiken om de functies van CSSM te gebruiken in de vorm van een lokale server die wordt gehost als een On-Prem (Satellite) server.
Met de optie voor specifieke licentiereservering (SLR) kunnen klanten in zeer beveiligde netwerken gebruikmaken van Smart Licensing (en Smart Licences) zonder de licentiegegevens door te geven. SLR staat het reserveren van specifieke licenties toe, inclusief extra licenties. SLR heeft geen ISE nodig om verbinding te maken met CSSM en stelt ISE in staat om de licenties in de Smart Account te gebruiken tot ze verlopen zijn.
Stap 1. Bladeren naar Administration > System > Licensing
:
Stap 2. Kies Smart Software Licensing Reservation in Licentietype en plak het registratietoken in de registratiegegevens. Kies desgewenst het toepasselijke niveau. Het proces verschilt enigszins tussen Direct HTTPS en HTTPS Proxy.
Stap 3. Kies voor Direct HTTPS de Verbindingsmethode als Direct HTTPS en klik op Registreren:
Stap 4. Blader naar Beheer > Systeem > Instellingen om er zeker van te zijn dat HTTPS Proxy vooraf is geconfigureerd.
Voeg proxygegevens toe > Host, Gebruiker ID en Wachtwoord:
Stap 5. Terug op de ISE-licentiepagina, kies Verbindingsmethode als HTTPS-proxy en zorg ervoor dat de ingestelde proxy wordt weergegeven onder het gedeelte HTTPS-proxy. Klik op Registreren:
Tot slot is ISE nu geregistreerd bij CSM en kan een ingang voor deze ISE-knooppunt worden gevonden in de Product-instanties in de virtuele account (vanaf waar de token is gegenereerd).
Voor deze configuratie moet een SSM On-Prem (Satellite) Server in de omgeving worden geïmplementeerd. Na implementatie en verbinding fungeert de Satellite Server als een lokale licentieserver, zodat ISE de licentietransacties kan uitvoeren zonder via internet naar CSM te reiken. Satelliet servers kunnen weer synchroniseren met CSSM in online of offline modus (met behulp van .yml bestanden). Meer informatie over de Satellite Server is beschikbaar hier . Er is een snelstartgids voor het installeren van de On-Prem-server aanwezig hier .
Bij deze stappen wordt ervan uitgegaan dat de Satellite Server is geconfigureerd en dat een Virtual-account op CSM met ISE-licenties is toegevoegd aan de Satellite Server. Stappen om het zelfde uit te voeren kunnen hier worden gevonden.
Stap 1. Meld u aan bij de Satellite Server en kies de optie Smart Licensing:
Stap 2. Voer uit de inventaris een token op en kopieer de waarde van het token. Terug op ISE, kies Smart Software Licensing Reservation and Connection Methode als 'SSM On-Prem server':
Stap 3. De veld SSM On-Prem Server Host is afkomstig van de hostnaam die op de On-Prem Server is geconfigureerd. Hetzelfde kan worden bevestigd op de On-Prem Server Admin Workspace > Security > Certificates > Host Common Name
:
Stap 4. Nadat de hostnaam is bevestigd, kunt u deze toevoegen aan ISE onder de SSM On-Prem server Host en opRegister
klikken. Na succesvolle registratie wordt ISE weergegeven in de lijst met productinstanties die zijn toegevoegd aan de virtuele account op de satellietserver.
Stap 1. Blader naar Administration > System > Licensing
zoals in de afbeelding:
Stap 2. Kies voor het licentietype SLR en klik vervolgens op Generate Code. Kopieer de boekingscode die is gegenereerd zoals deze door de CSSM is vereist om een autorisatiecode te genereren:
Stap 3. Kies op CSSM de virtuele account die ISE-licenties bevat (essentieel, voordeel, premier, VM, TACACS+). Kies in het gedeelte Licenties de optie Licentiereservering.
Stap 4. Voer de geautoriseerde code in die u van ISE hebt gekopieerd en klik op Volgende om de code te kiezen Reserve a specific license
optie. Afhankelijk van de beschikbare licenties, specificeert u de tellingen die voor ISE moeten worden gereserveerd en klikt u opNext
. Merk op dat Tier Licences en VM Licenses substitutie toestaan die Upper Level Licences is, die kunnen worden gebruikt om te voldoen aan verzoeken om licenties op een lager niveau. Controleer hier het Tier-model ISE 3.x-licentiemodel .
Stap 5. Controleer en download de gegenereerde autorisatiecode met de optie Downloaden als bestand. Ga terug naar ISE en klik op Upload SLR License Key om het bestand te uploaden. De vervaldatum van de licenties op ISE weerspiegelt de oorspronkelijke vervaldatum van licenties op de Smart Account.
Stap 1. Klik op Retourreservering en kopieer de meegeleverde reserveringscode en bewaar deze veilig.
Stap 2. Blader naar Product-instanties voor de virtuele account waaraan ISE is toegevoegd en zoek naar ISE met behulp van het serienummer. Klik op Actions > Remove
, voer de code in die in stap 1 is gekopieerd en klik Return Product Reservation
. Hiermee worden de gereserveerde licenties naar de virtuele account teruggestuurd.
Om registratiefouten op te lossen, moet u eerst controleren of er geen communicatieproblemen zijn met de Smart Licensing Cloud (https://tools.cisco.com/ of https://smartreceiver.cisco.com/). Verschillende factoren kunnen de verbinding tussen ISE en de Smart Licensing Cloud verstoren, waaronder:
Gebruik HTTPS API-oproepen rechtstreeks vanuit de browser om te weten hoeveel licenties op ISE worden gebruikt:
https://<MnTNodeIP>/admin/API/min/Session/ActiveCount
https://<MnTNodeIP>/admin/API/min/Session/License/LicenseCountsFromSessionDB
https://<MnTNodeIP>/admin/API/min/License/Base
https://<MnTNodeIP>/admin/API/min/License/Intermediate
https://<MnTNodeIP>/admin/API/min/License/Premium
https://<MnTNodeIP>/admin/API/min/Session/ActiveList
In ISE 3.1 of hoger kunt u OpenAPI gebruiken. U moet naar Administration > Settings > API Settings.
API-oproepen navigeren om meer gegevens over de licentiestatus te krijgen.
Tip: Zorg ervoor dat de ERS- en Open API-services zijn ingeschakeld in ISE. U kunt dit verifiëren door te navigeren naar Administration > Settings > API Settings > API Service Settings
. U moet deze diensten activeren voordat u de API-oproepen via de URL opent als deze diensten niet zijn ingeschakeld.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
03-Oct-2024 |
Eerste vrijgave |