Cisco Identity Services Engine 管理者ガイド リリース 1.3
Cisco ISE ライセンス
Cisco ISE ライセンス

Cisco ISE ライセンス

この章では、Cisco ISE で使用できるライセンスのメカニズムとスキーム、およびライセンスの追加やアップグレードを行う方法について説明します。

Cisco ISE ライセンス

Cisco ISE ライセンスは、Cisco ISE ネットワーク リソースを使用できる同時エンドポイントの数など、アプリケーションの機能やアクセスを管理する機能を提供します。

お客様が最大限に節約できるように、Cisco ISE のライセンスは基本、Plus、Apex、Mobility Upgrade のようなさまざまなパッケージで提供されます。

すべての Cisco ISE アプライアンスには 90 日間有効な評価ライセンスが付属しています。 90 日間の評価期間の終了後に Cisco ISE サービスの使用を継続し、ネットワークで 100 を超える数の同時エンドポイントをサポートするには、システム上の現在のユーザの数の基本ライセンスを取得して登録する必要があります。 追加機能が必要な場合は、該当の機能を有効にする Plus か Apex、またはその両方のライセンスが必要です。

ライセンスはプライマリ管理ノードにアップロードされ、クラスタ内の他の Cisco ISE にノードに伝播されます。 ライセンスは管理ノードによって一元的に管理され、他のノードに別個のライセンスは必要ありません。 ハイ アベイラビリティ ペアで 2 つの管理ノードを展開している場合、それらのいずれにも同じライセンス機能があることを確実にする必要があります。 両方の UDI でライセンスを生成してから、それぞれのノードがスタンドアロンまたはプライマリ状態になっているときに、ライセンスを追加します。

Cisco ISE ソフトウェアをインストールし、最初にアプライアンスをプライマリ管理ノードとして設定したら、Cisco ISE のライセンスを取得して、そのライセンスを登録する必要があります。 プライマリおよびセカンダリ管理ノードのハードウェア UID を使用して、Cisco ISE プライマリ管理ノードにすべてのライセンスを登録します。 その後、プライマリ管理ノードは、その展開に登録されているすべてのライセンスを集中管理します。

シスコでは、基本と、Plus または Apex ライセンスの両方を同時にインストールすることを推奨します。

  • Plus または Apex ライセンスを使用するには、基本ライセンスも使用する必要があります。 ただし、機能は重複していないため、Apex ライセンスを使用するために Plus ライセンスが必要ということはなく、その逆もありません。

  • 基本または Mobility Upgrade ライセンスをインストールすると、Cisco ISE はその期間の残りの部分に対する別個のライセンスとしてデフォルトの評価ライセンスを使用し続けます。

  • 最初に基本ライセンスをインストールしないと、評価ライセンスを Plus か Apex、またはその両方のライセンスにアップグレードすることができません。

  • Cisco ISE では、基本ライセンスよりも多くの Plus か Apex、またはその両方のライセンスを使用できます。 たとえば、100 個の基本ライセンスおよび Plus ライセンスを使用できます。

  • Mobility Upgrade ライセンスをインストールすると、Cisco ISE ではすべての有線、無線、および VPN サービスが有効になります。

表 1 Cisco ISE ライセンス パッケージ

ISE ライセンス パッケージ

永久/サブスクリプション(使用可能期間)

カバーされる ISE 機能

注記

基本

永久

  • 基本的なネットワーク アクセス:AAA、IEEE-802.1X

  • ゲスト管理

  • リンク暗号化(MACSec)

  • TrustSec

  • ISE アプリケーション プログラミング インターフェイス

Plus

サブスクリプション(1、3、または 5 年)

  • 組み込みの認証局サービスがある個人所有デバイスの持ち込み(BYOD)
  • プロファイリング サービスとフィード サービス
  • エンドポイント保護サービス(EPS)
  • Cisco pxGrid

基本のサービスは含まれません。基本ライセンスは Plus ライセンスをインストールするために必要です。

Apex

サブスクリプション(1、3、または 5 年)

  • サード パーティのモバイル デバイス管理(MDM)
  • ポスチャ コンプライアンス

基本のサービスは含まれません。基本ライセンスは Apex ライセンスをインストールするために必要です。

Mobility

サブスクリプション(1、3、または 5 年)

無線および VPN エンドポイント用の基本、Plus、および Apex の組み合わせ

Cisco 管理ノードで基本、Plus、Apex のライセンスを共存させることはできません。

Mobility Upgrade

サブスクリプション(1、3、または 5 年)

Mobility ライセンスに対する有線サポートの提供

Mobility Upgrade ライセンスは既存の Mobility ライセンスが存在する場合にのみインストールすることができます。

評価

一時(90 日)

完全な Cisco ISE 機能が、100 台のエンドポイントに対して提供されます。

すべての Cisco ISE アプライアンスには、評価ライセンスが付属しています。

ライセンスの使用

システムの同時ユーザ数に合わせてライセンスを購入します。 Cisco ISE ユーザは、アクティブ セッション中にライセンスを使用します(常に Basic ライセンスと、Plus ライセンスか APex ライセンス、またはその両方(これらのライセンスで適用される機能を使用する場合))。 セッションが終了すると、ライセンスは、他のユーザが再利用できるように解放されます。

制約事項: Cisco ISE ライセンス アーキテクチャの使用ロジックは、許可ポリシーの構造に依存しています。 Cisco ISE は、許可ルール内のディクショナリと属性を使用して、使用するライセンスを決定します。

Cisco ISE ライセンスは次のようにカウントされます。

  • 基本ライセンスは、アクティブ セッションごとに使用されます。 同じエンドポイントで、使用している機能に応じて、Plus か Apex、またはその両方も使用します。

  • エンドポイントは、Plus か APex、またはその両方のライセンスを使用する前に、基本ライセンスを使用します。

  • 1 Plus ライセンスは、ライセンス機能の組み合わせに対してエンドポイントごとに使用されます。 同様に、1 Apex ライセンスは、その機能の組み合わせに対してエンドポイントごとに使用されます。

  • ライセンスは、同時のアクティブ セッションに対してカウントされます。

  • ライセンスは、エンドポイントのセッションが終了すると、すべての機能について解放されます。

  • Plus ライセンスは pxGrid 機能をオンにします。 この機能はライセンスを使用しません。

サービスの中断を回避するために、Cisco ISE はライセンスの権限付与を超えたエンドポイントにサービスを提供し続けます。 代わりに、Cisco ISE は RADIUS アカウンティング機能に依存して、ネットワーク上の同時エンドポイントを追跡し、前日のエンドポイント カウントがライセンス数を超えていた場合にアラームを生成します。

ライセンスの使用の表示

[管理(Administration)] > [システム(System)] > [ライセンシング(Licensing)] の順に選択して、ライセンス ダッシュボードからシステムの現在のライセンスの使用を表示できます。 ライセンスの使用のグラフは 30 分ごとに更新されます。 このウィンドウには、購入したライセンスの種類、システムで許可される同時ユーザの総数、およびサブスクリプション サービスの有効期限も表示されます。

複数の週にわたってシステムのライセンスの使用を確認する場合は、[長期間の使用(Usage Over Time)] をクリックします。 グラフの各バーは、1 週間に使用される最大ライセンス数を示します。

登録解除されたライセンスの使用

問題

ライセンスの使用は、エンドポイントが一致する許可ポリシーにおいて使用される属性に依存します。

システムに基本ライセンスのみが登録されているとします(90 日間の評価ライセンスは削除しました)。 対応する基本的なメニュー項目と機能を表示および設定できます。

Apex ライセンスを必要とする機能(例:Session:PostureStatus)を使用するための許可ポリシーを(誤って)設定した場合、およびエンドポイントがこの許可ポリシーに一致した場合は、次のようになります。

  • エンドポイントは、Apex ライセンスがシステムに登録されていないにもかかわらず、Apex ライセンスを使用します。
  • ログインするたびに、このことに対する通知が表示されます。
  • Cisco ISE は、通知とアラーム「許可を超えたライセンスの使用(Exceeded license usage than allowed)」を示します(技術的に、これはシステムに登録済みの Apex ライセンスがないにもかかわらず、エンドポイントが Apex ライセンスを消費していると想定されます)。

考えられる原因

許可ポリシーの設定ミスが原因で、ライセンスのダッシュボードに、Cisco ISE がまだ購入および登録されていないライセンスを消費していることが示される場合があります。 Plus または Apex ライセンスを購入する前に、ISE ユーザ インターフェイスはライセンスが適用される機能を表示しません。 ただし、これらのライセンスを購入した場合、ユーザ インターフェイスには、ライセンスの期限が切れた場合、またはエンドポイントの消費を超えた後も、引き続き機能が表示されます。 そのため、有効なライセンスがない場合でも、これらを設定できます。

ソリューション

[ポリシー(Policy)] > [許可(Authorization)] を選択し、登録済みライセンスがない機能を使用しているルールを特定し、そのルールを再設定します。

ライセンス ファイル

ここでは、ISE ライセンスの登録、再ホスティング、更新、移行、アップグレード、および削除を行う方法について説明します。

ライセンスの登録

はじめる前に

インストールに必要なライセンスの種類と同時ユーザ数、および購入して費用効率を最大化できるさまざまなパッケージについて、シスコ パートナー/アカウント チームに問い合わせてください。

手順
    ステップ 1   シスコの Web サイト(www.cisco.com)の注文システム(Cisco Commerce Workspace(CCW))から、必要なライセンスを注文します。

    約 1 時間後、製品認証キー(PAK)を含む電子メール確認が送信されます。

    ステップ 2   Cisco ISE の管理者ポータルから、ライセンシング ダッシュボード([管理(Administration)] > [システム(System)] > [ライセンシング(Licensing)])を選択します。 [ライセンスの詳細(Licensing Details)] セクションのノード情報(製品 ID(PID)、バージョン ID(VID)、およびシリアル番号(SN))を書き留めます。
    ステップ 3   www.cisco.com/​go/​licensing に移動し、要求されたら、受け取ったのライセンスの PAK、ノード情報、および会社に関する詳細を入力します。

    1 日後に、シスコからライセンス ファイルが送信されます。

    ステップ 4   システムの既知の場所にこのライセンス ファイルを保存します。
    ステップ 5   Cisco ISE の管理者ポータルから、[管理(Administration)] > [システム(System)] > [ライセンシング(Licensing)] を選択します。 [ライセンス ファイル(License Files)] セクションで、[ライセンスのインポート(Import License)] ボタンをクリックします。
    ステップ 6   [Choose File(ファイルの選択)] をクリックし、システムで以前に保存したライセンス ファイルを選択します。
    ステップ 7   [インポート(Import)] をクリックします。

    新しいライセンスがシステムにインストールされました。

    次の作業

    ライセンシング ダッシュボード([管理(Administration)] > [システム(System)] > [ライセンシング(Licensing)])を選択し、新たに入力したライセンスが正しい詳細とともに表示されることを確認します。

    Re-Host ライセンス

    再ホストとは、1 つの Cisco ISE ノードから別のノードにライセンスを移動することを意味します。 ライセンシング ポータルから、移動するライセンスの PAK を選択し、再ホストの手順に従います。 1 日後、新しい PAK が電子メールで送信されます。 この新しい PAK を新しいノードに登録し、元の Cisco ISE ノードから古いライセンスを削除します。

    ライセンスの更新

    Plus ライセンスや Apex ライセンスなどのサブスクリプション ライセンスの期限は、1 年間、3 年間、または 5 年間です。 Cisco ISE は、ライセンスの有効期限日が近づくとアラームを送信し、ライセンスが期限切れになると再度アラームを送信します。

    ライセンスの有効期限が過ぎたら、更新する必要があります。 このプロセスは、シスコ パートナーまたはアカウント チームによってのみ実行されます。

    ライセンスの移行およびアップグレード

    シスコのライセンス ポリシーでは、以前の Cisco ISE バージョンからの移行、無線および VPN 専用から有線を含む展開へのアップグレード、および同時ユーザと機能の追加がサポートされています。 また、ライセンス バンドルを購入して、運用コストを最小化することもできます。 これらのシナリオは、すべてライセンス サイトで説明されています。詳細については、シスコ パートナーまたはアカウント チームにお問い合わせください。


    (注)  


    Cisco ISE バージョン 1.2 から移行する場合、Advanced ライセンスには Plus と Apex の両方のライセンスのすべての機能が含まれています。

    (注)  


    Cisco ISE バージョン 1.2 からのアップグレード後、デフォルトの評価ライセンスは、アップグレード前にシステムに存在していた場合にのみ表示されます。

    Cisco ISE ノードで次の内容をサポートしている必要がある場合:

    • 所有しているライセンスを上回る数の大量の同時ユーザ
    • 有線(LAN)アクセス(システムに Mobility ライセンスしかない)

    そのノードのライセンスをアップグレードする必要があります。 このプロセスは、シスコ パートナーまたはアカウント チームによってのみ実行されます。

    ライセンスの削除

    はじめる前に

    ライセンスを削除する前に、次の点に注意してください。

    • Mobility ライセンスの後に Mobility アップグレード ライセンスをインストールした場合は、Mobility アップグレード ライセンスを削除してから基盤となる Mobility ライセンスを削除する必要があります。

    • 組み合わされたライセンスをインストールした場合は、Base および Plus または Apex パッケージの関連インストールがすべて削除されます。
    手順
      ステップ 1   [管理(Administration)] > [システム(System)] > [ライセンシング(Licensing)] を選択します。
      ステップ 2   [ライセンス ファイル(License Files)] セクションで、関連するファイル名の隣にあるチェックボックスをクリックし、[ライセンスの削除(Delete License)] をクリックします。
      ステップ 3   [OK] をクリックします。