Integreer ISE met slimme licentieserver

Inleiding

Dit document beschrijft hoe u slimme licentiëring op ISE kunt configureren.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• ISE 3.x release
  
• Toegang tot https://software.cisco.com/software/smart-licensing
  
• Cisco Smart Software Manager (CSM) versie 8 release 202010+ voor on-Prem (optioneel)

Gebruikte componenten

Dit document is niet beperkt tot specifieke software- en hardware-versies.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

Vanaf ISE 3.0 is slimme licentiëring vereist. Cisco Smart Licensing vereenvoudigt aanschaf, implementatie en beheer van licenties door apparaten in staat te stellen zichzelf te registreren en gebruik te melden.

1. Wanneer een slim licentieteken actief is en is geregistreerd in het Cisco ISE-beheerportal, controleert CSSM het verbruik van licenties per endpointsessie per productlicentie.
2. Smart Licensing stelt de beheerder op de hoogte van licentieconsumptie door endpointsessies met een eenvoudige tabellay-out in Cisco ISE.
3. Smart Licensing rapporteert het piekgebruik van elke ingeschakelde licentie dagelijks aan de gecentraliseerde database.
4. Cisco ISE neemt elke 30 minuten interne monsters van licentieconsumptie. Naleving van de licenties en verbruik worden dienovereenkomstig geactualiseerd.
5. Vanaf het moment dat u uw Cisco ISE-knooppunt voor primair beheer (PAN) met CSSM registreert, meldt Cisco ISE elke zes uur piektellingen van licentieconsumptie aan de CSSM-server.
6. De rapporten met piektellingen helpen ervoor te zorgen dat het licentieconsumptie in Cisco ISE in overeenstemming is met de aangeschafte en geregistreerde licenties.
7. Cisco ISE communiceert met de CSSM-server door een lokale kopie van het CSSM-certificaat op te slaan.
8. Het CSM-certificaat wordt automatisch opnieuw geautoriseerd tijdens de dagelijkse synchronisatie en wanneer u de licentietabel ververst. Meestal zijn CSSM-certificaten zes maanden geldig.
9. Als gevolg daarvan heeft ISE netwerkconnectiviteit nodig om de CSSM te kunnen bereiken.

Licentieverbruiksstroom

TACACS +

De licentie voor Apparaatbeheer (PID: L-ISE-TACACS-ND=) activeert TACACS+ services op een Policy Service Node (PSN). Elke PSN die TACACS+ gebruikt, heeft zijn eigen Device Admin-licentie nodig. Het apparaatbeheer van TACACS+ telt niet mee voor het gebruik van endpoints en legt geen beperkingen op aan het aantal netwerkapparaten dat u kunt beheren. Er is geen essentiële licentie nodig voor het beheer van netwerktoegangsapparaten (NAD’s) zoals routers en switches.

Licentie voor accounting endpoint

Het aantal actieve eindpunten kan verschillen van de gebruikte licenties omdat elk eindpunt meerdere sessies kan hebben. Het gebruik van de licentie is gebaseerd op het aantal actieve sessies en niet alleen op het aantal endpoints. Een systeem met 10 actieve eindpunten met meerdere sessies kan bijvoorbeeld meer licenties gebruiken.

Zorg ervoor dat de accounting is ingeschakeld op zowel de draadloze access points als de switch. Het gebruik van de licentie wordt bepaald door de Start - Stop-berichten die van de AAA-client naar de AAA-server worden verzonden.

ISE maakt gebruik van specifieke regels om sessies te beheren in Monitoring and Troubleshooten (MnT), op basis van boekingsberichten van Network Access Devices (NAD’s). Hier is hoe ISE sessies verwerkt op basis van deze boekhoudingsberichten:

- Als ISE een RADIUS-verificatieaanvraag ontvangt maar geen boekhoudbericht, houdt het de sessie 1 uur actief.
- Bij ontvangst van een boekhoudbericht houdt ISE de sessie tot 5 dagen of tot een boekhoudkundig stopbericht is ontvangen.
- De licentiesessie wordt onmiddellijk vrijgegeven zodra een bericht voor een boekhoudstop is ontvangen.
- Een tussentijdse update verlengt de 5 dagen.

ISE-licenties

Evaluatie

Evaluatielicenties worden standaard geactiveerd wanneer u Cisco ISE-release 3.x en latere versies installeert of upgradt. De evaluatielicentie is 90 dagen actief en u hebt tijdens deze periode toegang tot alle Cisco ISE-functies. Cisco ISE wordt als in evaluatiemodus beschouwd wanneer de evaluatielicentie in gebruik is. De rechterbovenhoek van het Cisco ISE-beheerportal geeft een bericht weer met het aantal dagen dat in de evaluatiemodus is achtergebleven.

Niveau

Tier-licenties vervangen de Base-, Apex- en Plus-licenties die eerder in releases dan release 3.x worden gebruikt. De licenties voor de reeks omvatten drie licenties: Essentials, Advantage en Premier. Als u momenteel Base-, Apex- of Plus-licenties hebt, gebruikt u CSSM om deze naar de nieuwe licentietypen te converteren.

Apparaatbeheer

Met een Apparaatbeheerlicentie kunt u TACACS-services gebruiken op een Policy Service-knooppunt. In een standalone plaatsing met hoge beschikbaarheid, staat een vergunning van het Apparaatbeheer u toe om de diensten TACACS op één enkel knooppunt van de Dienst van het Beleid in het hoog-beschikbaarheidspaar te gebruiken. Op ISE is het gedefinieerd als 'Device Admin' en op het Smart License Portal wordt het gedefinieerd als 'Maximum aantal knooppunten dat recht heeft op TACACS+ transacties'.

Licenties voor virtuele applicatie

ISE 3.x wordt geleverd met een nieuwe vorm van VM-licentie die de 'VM Common-licentie' is. Als u traditionele VM-licenties gebruikt, moeten deze worden omgezet in gemeenschappelijke VM-licenties.

Raadpleeg de koppelingen voor informatie over licentietypen en conversie:

Licentiefuncties

Cisco-licentiegids

Registratietypen voor licenties

Voor de introductie van ISE 3.1 hebt u drie opties beschikbaar om Smart Licensing mogelijk te maken. Deze zijn:

Smart Software Licensing Reservation (Direct-HTPs, HTTP-Proxy, SSM on-Prem)

Smart Software Licensing Reservation is eenvoudig en efficiënt te gebruiken met één token-registratie. De licenties die u aanschaft, worden bijgehouden in een gecentraliseerde database met de naam CSSM. Meld u aan bij het CSM-portal om de beschikbare endpointlicenties en verbruiksstatistieken eenvoudig te kunnen volgen. In deze modus moet ISE rechtstreeks (Direct HTTPS) of via Proxy verbinding maken met CSSM om de informatie over verbruik en naleving te kunnen uitwisselen. De nieuwe optie SSM On-Prem maakt het mogelijk via de lucht gapped ISE te gebruiken om de functies van CSSM te gebruiken in de vorm van een lokale server die wordt gehost als een On-Prem (Satellite) server.

Specifieke licentiereservering (beschikbaar in ISE 3.1 en hoger)

Met de optie voor specifieke licentiereservering (SLR) kunnen klanten in zeer beveiligde netwerken gebruikmaken van Smart Licensing (en Smart Licences) zonder de licentiegegevens door te geven. SLR staat het reserveren van specifieke licenties toe, inclusief extra licenties. SLR heeft geen ISE nodig om verbinding te maken met CSSM en stelt ISE in staat om de licenties in de Smart Account te gebruiken tot ze verlopen zijn.

Configureren

Verbindingsmethoden (Direct HTTPS/HTTPS-Proxy) voor integratie van CSM met ISE

Stap 1. Bladeren naar Administration > System > Licensing:

Stap 2. Kies Smart Software Licensing Reservation in Licentietype en plak het registratietoken in de registratiegegevens. Kies desgewenst het toepasselijke niveau. Het proces verschilt enigszins tussen Direct HTTPS en HTTPS Proxy.

Directe HTTPS

Stap 3. Kies voor Direct HTTPS de Verbindingsmethode als Direct HTTPS en klik op Registreren:

HTTPS-proxy

Stap 4. Blader naar Beheer > Systeem > Instellingen om er zeker van te zijn dat HTTPS Proxy vooraf is geconfigureerd.

Voeg proxygegevens toe > Host, Gebruiker ID en Wachtwoord:

Stap 5. Terug op de ISE-licentiepagina, kies Verbindingsmethode als HTTPS-proxy en zorg ervoor dat de ingestelde proxy wordt weergegeven onder het gedeelte HTTPS-proxy. Klik op Registreren:

Tot slot is ISE nu geregistreerd bij CSM en kan een ingang voor deze ISE-knooppunt worden gevonden in de Product-instanties in de virtuele account (vanaf waar de token is gegenereerd).

Smart Software Manager-onprem server configureren

Voor deze configuratie moet een SSM On-Prem (Satellite) Server in de omgeving worden geïmplementeerd. Na implementatie en verbinding fungeert de Satellite Server als een lokale licentieserver, zodat ISE de licentietransacties kan uitvoeren zonder via internet naar CSM te reiken. Satelliet servers kunnen weer synchroniseren met CSSM in online of offline modus (met behulp van .yml bestanden). Meer informatie over de Satellite Server is beschikbaar hier . Er is een snelstartgids voor het installeren van de On-Prem-server aanwezig hier .

Bij deze stappen wordt ervan uitgegaan dat de Satellite Server is geconfigureerd en dat een Virtual-account op CSM met ISE-licenties is toegevoegd aan de Satellite Server. Stappen om het zelfde uit te voeren kunnen hier worden gevonden.

Stap 1. Meld u aan bij de Satellite Server en kies de optie Smart Licensing:

Stap 2. Voer uit de inventaris een token op en kopieer de waarde van het token. Terug op ISE, kies Smart Software Licensing Reservation and Connection Methode als 'SSM On-Prem server':

Stap 3. De veld SSM On-Prem Server Host is afkomstig van de hostnaam die op de On-Prem Server is geconfigureerd. Hetzelfde kan worden bevestigd op de On-Prem Server Admin Workspace > Security > Certificates > Host Common Name:

Stap 4. Nadat de hostnaam is bevestigd, kunt u deze toevoegen aan ISE onder de SSM On-Prem server Host en opRegisterklikken. Na succesvolle registratie wordt ISE weergegeven in de lijst met productinstanties die zijn toegevoegd aan de virtuele account op de satellietserver.

Integratiemethoden voor ISE en CSSM

LR

Stap 1. Blader naar Administration > System > Licensingzoals in de afbeelding:

Stap 2. Kies voor het licentietype SLR en klik vervolgens op Generate Code. Kopieer de boekingscode die is gegenereerd zoals deze door de CSSM is vereist om een autorisatiecode te genereren:

Stap 3. Kies op CSSM de virtuele account die ISE-licenties bevat (essentieel, voordeel, premier, VM, TACACS+). Kies in het gedeelte Licenties de optie Licentiereservering.

Stap 4. Voer de geautoriseerde code in die u van ISE hebt gekopieerd en klik op Volgende om de code te kiezen Reserve a specific license optie. Afhankelijk van de beschikbare licenties, specificeert u de tellingen die voor ISE moeten worden gereserveerd en klikt u opNext. Merk op dat Tier Licences en VM Licenses substitutie toestaan die Upper Level Licences is, die kunnen worden gebruikt om te voldoen aan verzoeken om licenties op een lager niveau. Controleer hier het Tier-model ISE 3.x-licentiemodel .

Stap 5. Controleer en download de gegenereerde autorisatiecode met de optie Downloaden als bestand. Ga terug naar ISE en klik op Upload SLR License Key om het bestand te uploaden. De vervaldatum van de licenties op ISE weerspiegelt de oorspronkelijke vervaldatum van licenties op de Smart Account.

Reservering voor SLR retourneren

Stap 1. Klik op Retourreservering en kopieer de meegeleverde reserveringscode en bewaar deze veilig.

Stap 2. Blader naar Product-instanties voor de virtuele account waaraan ISE is toegevoegd en zoek naar ISE met behulp van het serienummer. Klik op Actions > Remove, voer de code in die in stap 1 is gekopieerd en klik Return Product Reservation. Hiermee worden de gereserveerde licenties naar de virtuele account teruggestuurd.

Probleemoplossing 

Algemene richtsnoeren

• Controleer voor ISE 3.0 p7, 3.1 p5 en 3.2 of hoger de bereikbaarheid van deze link: https://smartreceiver.cisco.com/.
• Voor lagere ISE-versies<= Case 3.0 controleert u de bereikbaarheid van deze koppelingen: tools.cisco.com, tools1.cisco.com en tools2.cisco.com.
• Deze koppelingen zijn belangrijk omdat ze een belangrijke rol spelen in de communicatie met de CSM naar en van, als u deze IP’s blokkeert, kan Cisco ISE geen licentieverbruik aan CSM melden en dit gebrek aan rapportage resulteert in het verlies van administratieve toegang tot Cisco ISE en beperkingen in Cisco ISE-functies.

Taken voor ISE-vastlegging in te stellen op debugniveau

• Licentie (ise-psc.log)

• admin-licentie (ise-psc.log)

Fouten bij registratie en verlenging

Om registratiefouten op te lossen, moet u eerst controleren of er geen communicatieproblemen zijn met de Smart Licensing Cloud (https://tools.cisco.com/ of https://smartreceiver.cisco.com/). Verschillende factoren kunnen de verbinding tussen ISE en de Smart Licensing Cloud verstoren, waaronder:

• Firewalls of andere apparaten die het verkeer blokkeren.
• DNS-problemen. Als ISE de bijbehorende FQDN voor https://tools.cisco.com/ of https://smartreceiver.cisco.com/ niet kan oplossen, kan het de registratie-API-oproep niet verzenden.
• Problemen met het Smart Licensing Portal.

API-aanvragen om de ISE-licentiestatus te onderzoeken

Gebruik HTTPS API-oproepen rechtstreeks vanuit de browser om te weten hoeveel licenties op ISE worden gebruikt:

https://<MnTNodeIP>/admin/API/min/Session/ActiveCount

https://<MnTNodeIP>/admin/API/min/Session/License/LicenseCountsFromSessionDB

https://<MnTNodeIP>/admin/API/min/License/Base

https://<MnTNodeIP>/admin/API/min/License/Intermediate

https://<MnTNodeIP>/admin/API/min/License/Premium

https://<MnTNodeIP>/admin/API/min/Session/ActiveList

In ISE 3.1 of hoger kunt u OpenAPI gebruiken. U moet naar Administration > Settings > API Settings. API-oproepen navigeren om meer gegevens over de licentiestatus te krijgen.

Gerelateerde informatie

• Een SLR maken met CSM voor Cisco ISE
• Basis van Cisco ISE-licentiëring
• Problemen met ISE-licenties oplossen
• Cisco ISE slimme licentiëring
  
• Cisco technisch Support en downloads