Cisco Identity Services Engine ユーザ ガイド リリース 1.2
Cisco ISE ライセンス
Cisco ISE ライセンス
発行日;2014/01/15 | 英語版ドキュメント(2013/10/25 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

Cisco ISE ライセンス

Cisco ISE のライセンス

90 日間の評価ライセンス

基本ライセンス

拡張ライセンス

ワイヤレス ライセンスとワイヤレス アップグレード ライセンス

Cisco.com からの Cisco ISE ライセンスの取得

CLI を使用したハードウェア ID の決定

管理者ポータルを使用したハードウェア ID の決定

ライセンスの追加またはアップグレード

ライセンスの削除

Cisco ISE ライセンス

この章では、Cisco ISE で使用可能なライセンシング メカニズムとスキーム、およびライセンスを追加およびアップグレードする方法について説明します。

「Cisco ISE のライセンス」

「Cisco.com からの Cisco ISE ライセンスの取得」

「ライセンスの追加またはアップグレード」

「ライセンスの削除」

Cisco ISE のライセンス

Cisco ISE の有効なライセンスが必要です。ライセンスは、Cisco ISE ネットワーク リソースを使用できる同時エンドポイントの数など、アプリケーションの機能やアクセスを管理する機能を提供します。

ライセンスは、管理ノードによって集中管理されます。インライン ポスチャ ノードおよびポリシー サービス ノードに個別のライセンスは必要ありません。2 つの管理ノードをハイ アベイラビリティ ペアで展開している場合は、各ノードが同じライセンス機能を持っていることを確認し、各ノードがスタンドアロンまたはプライマリの状態の間にライセンスを追加する必要があります。

Cisco ISE ソフトウェアをインストールし、アプライアンスをプライマリ管理ノードとして初期設定した後、「Cisco.com からの Cisco ISE ライセンスの取得」 の手順に従って、Cisco ISE のライセンスを取得し、その後「ライセンスの追加またはアップグレード」 の説明に従ってそのライセンスを適用する必要があります。プライマリとセカンダリ管理ノード ハードウェア ID を使用して、すべてのライセンスを Cisco ISE プライマリ管理ノードに適用します。その後、プライマリ管理ノードは展開にインストールされているすべてのライセンスを集中管理します。

詳細、および新しいインストールのライセンス オプションや Cisco Secure Access Control Server などのシスコの既存のセキュリティ製品からの移行を含む、Cisco ISE で使用可能なライセンス製品番号については、Cisco Identity Services Engine の注文ガイドライン( http://www.cisco.com/en/US/products/ps11195/prod_bulletins_list.html )を参照してください。

Cisco ISE の基本または拡張機能に関連する期限切れの問題を回避するため、デフォルトの評価ライセンスを同時に基本と拡張の両方のライセンスに置き換えることを推奨します。

デフォルトの評価ライセンスの上に基本ライセンスをインストールすると、基本ライセンスにより、評価ライセンスの基本ライセンス関連部分のみが上書きされます。このため、拡張ライセンスの機能はデフォルトの評価ライセンス期間の残りの期間で使用可能なままになります。

最初に基本ライセンスをインストールせずに、評価ライセンスを拡張ライセンスにアップグレードすることはできません。

デフォルトの評価ライセンスの上にワイヤレス ライセンスをインストールすると、ワイヤレス ライセンスにより、評価ライセンスのパラメータがワイヤレス ライセンスに関連付けられている特定の期間とユーザ カウントで上書きされます。

ライセンス カウント

Cisco ISE ライセンスは次のようにカウントされます。

基本または拡張ライセンスは、使用する機能に基づいて消費されます。

複数のネットワークに接続しているエンドポイントでは、MAC アドレスにつき複数のライセンスを消費することがあります。たとえば、無線およびワイヤレスに同時に接続されているラップトップです。VPN 接続のライセンスは IP アドレスに基づいています。

ライセンスでは、同時のアクティブなセッションに対してカウントされます。アクティブなセッションとは、RADIUS アカウンティングの開始が受信されているが、RADIUS アカウンティング停止がまだ受信されていないセッションです。


) RADIUS アクティビティのないセッションは、5 日ごとか、またはエンドポイントがシステムから削除されるときにアクティブ セッション リストから自動的に消去されます。


サービスの中断を回避するために、Cisco ISE ではライセンスの権限付与を超過するエンドポイントにサービスを提供し続けます。代わりに Cisco ISE は、RADIUS アカウンティング機能に依存してネットワーク上で同時エンドポイントを追跡し、エンドポイント カウントがライセンスされている量を超えるとアラームを生成します。

80 % 情報

90 % 警告

100 % 重大

90 日間の評価ライセンス

すべての Cisco ISE アプライアンスには、基本と拡張ライセンス パッケージおよび 100 のエンドポイントのサポートを含む 90 日間の評価ライセンスが付属しています。90 日の期間は、Cisco ISE システム クロックに基づきます。

評価ライセンスが 90 日間の終わりに近づくと、Cisco ISE システムは、有効なライセンスのダウンロードとインストールを求めるアラームを生成します。90 日間の最後に評価ライセンスの期限が切れると、管理者ポータルにより、有効な製品ライセンスのインストールを求めるプロンプトが表示されます。その後、管理者ユーザ インタフェースから基本または拡張ライセンスを入力して、ゲストおよびスポンサー ポータルの両方で、サービスが利用不能であることをユーザに報告する HTTP 503 エラー応答が返されないようにする必要があります。

評価ライセンスは有線およびワイヤレスの両方のユーザのサポートを提供できますが、ワイヤレス ライセンス オプションを購入および適用すると、評価期間中にサポートされていた可能性のある有線ユーザのサポートが切り捨てられます。

関連項目

「基本ライセンス」

「拡張ライセンス」

「ワイヤレス ライセンスとワイヤレス アップグレード ライセンス」

基本ライセンス

基本ライセンスは管理者ポータルを使用してインストールされます。評価ライセンスと同様に、Cisco ISE は基本ライセンスの同時ユーザ数を追跡します。基本ライセンスは、次の標準 Cisco ISE 機能を含む永続ライセンスです。

基本的なネットワーク アクセス

ゲスト管理

リンク暗号化

関連項目

「90 日間の評価ライセンス」

「拡張ライセンス」

「ワイヤレス ライセンスとワイヤレス アップグレード ライセンス」

拡張ライセンス

拡張ライセンスは、サブスクリプション ベースであり、基本ライセンスの上にのみインストールできます。最初に基本ライセンスをインストールせずに、評価ライセンスを拡張ライセンスにアップグレードすることはできません。拡張ライセンスは、次の重要な Cisco ISE 機能をアクティブ化します。

プロファイラ

ポスチャ

デバイス登録とサプリカント プロビジョニング

セキュリティ グループ アクセス

エンドポイント保護サービス

ライセンスはアクティブな(認証済み)エンドポイントに適用されます。認証されたエンドポイントはそれぞれ基本ライセンスが必要です。拡張ライセンスの数は、基本ライセンスの数、または認証されたエンドポイントの数を超えることはできません。

基本ライセンスは、Cisco ISE で認証通知が受信されるたびに消費されます。次のサービスまたは条件の 1 つ以上がエンドポイントのセッションに適用されるときに、1 つの拡張ライセンスが消費されます。

ポスチャ

セキュリティ グループ タグの割り当て

プロファイル情報を使用した認証

エンドポイントがデバイス ポータルに登録されまる

関連項目

「90 日間の評価ライセンス」

「基本ライセンス」

「ワイヤレス ライセンスとワイヤレス アップグレード ライセンス」

ワイヤレス ライセンスとワイヤレス アップグレード ライセンス

拡張ライセンス パッケージと同様に、ワイヤレス ライセンスはサブスクリプション ベースですが、ワイヤレス ライセンスは、Cisco 管理 ISE ノード上で基本ライセンス、または基本および拡張ライセンスと共存することができません。

ワイヤレス ライセンスは、ワイヤレス専用のサービス プロバイダーに、柔軟なオプションを提供し、基本的なネットワーク アクセス、ゲスト サービス、およびリンク暗号化など基本的な基本ライセンス機能だけでなく、プロファイラ、ポスチャ、セキュリティ グループ アクセス サービスを含むすべての拡張ライセンス機能も提供するように設計されています。

Cisco ISE は、ワイヤレス LAN コントローラ(WLC)から送信された RADUIS ワイヤレス認証要求を許可する一方、他の認証要求をドロップすることによって、ワイヤレス顧客がワイヤレス ライセンス オプションを活用できることを保証します。

ワイヤレス アップグレード ライセンスは、現在ワイヤレス ライセンス モデルをサブスクライブしているユーザをサポートするように設計され、ネットワークの非ワイヤレス エンドポイントにも Cisco ISE サポートを提供することを決定しています。ライセンスをアンインストールし、基本と拡張ライセンス スキームに戻る代わりに、ワイヤレス アップグレード ライセンスにアップグレードできます。それにより、有線および VPN コンセントレータ アクセスを含むすべてのワイヤレスおよび非ワイヤレス クライアント アクセス メソッドに Cisco ISE 機能およびポリシー管理機能の全範囲が提供されます。

ワイヤレス アップグレード ライセンス オプションは、同じ許容エンドポイント カウントを持つ既存のワイヤレス ライセンスの上にのみインストールできます。ワイヤレス アップグレードを基本プラス拡張ライセンス パッケージの上にインストールすることはできません。

関連項目

「90 日間の評価ライセンス」

「基本ライセンス」

「拡張ライセンス」

Cisco.com からの Cisco ISE ライセンスの取得

90 日間の評価ライセンスの期限が切れた後、引き続き Cisco ISE サービスを使用して、100 を超える同時エンドポイントをネットワーク上でサポートするには、Cisco ISE で基本、基本および拡張、またはワイヤレス ライセンス パッケージをインストールする必要があります。ライセンス ファイルは、Cisco ISE ハードウェア ID と製品認証キー(PAK)の組み合わせに基づいています。Cisco ISE を購入する時か、または 90 日間のライセンスの有効期限が切れる前に、Cisco.com でライセンス オプションを調べ、Cisco ISE の展開に適しているパッケージを注文できます。

2 つの管理ノードをハイ アベイラビリティ ペアで展開している場合は、各ノードが同じライセンス機能を持っていることを確認し、ノードがスタンドアロンまたはプライマリの状態の間にライセンスを追加する必要があります。

Cisco.com からライセンス ファイルを注文して 1 時間以内に、シスコの補遺エンド ユーザ ライセンス契約書および注文した各ライセンスの PAK を含む権利証明書が添付された電子メールを受信するはずです。権利証明書の受信後、シスコの製品ライセンス登録 Web サイト( http://www.cisco.com/go/license )にログインおよびアクセスし、適切なハードウェア ID 情報および PAK を入力してライセンスを生成できます。

ライセンス ファイルを生成するには、次の固有の情報を指定する必要があります。

プライマリとセカンダリの両方の管理ノードの製品 ID(PID)

バージョン ID(VID)

シリアル番号(SN)

PAK


) Cisco ISE Release 1.2 では、2 つの PID を持つライセンスがサポートされています。プライマリとセカンダリの両方の管理ノードの PID に基づいてライセンスを取得できます。


シスコの製品ライセンス登録 Web サイトでライセンス情報を送信した翌日に、ライセンス ファイルが添付された電子メールを受信します。ローカル マシン上の既知の場所にライセンス ファイルを保存し、「ライセンスの追加またはアップグレード」 の手順に従って、Cisco ISE での製品ライセンスの追加およびアップデートを行います。

詳細、および新しいインストールのライセンス オプションや Cisco Secure Access Control Server などのシスコの既存のセキュリティ製品からの移行を含む、Cisco ISE で使用可能なライセンス製品番号については、Cisco Identity Services Engine の注文ガイドライン( http:// www.cisco.com/en/US/prod/collateral/vpndevc/ps5712/ps11637/ps11195/guide_c07-656177.html )を参照してください。

関連項目

「CLI を使用したハードウェア ID の決定」

「管理者ポータルを使用したハードウェア ID の決定」

CLI を使用したハードウェア ID の決定

Cisco ISE ライセンスは、MAC アドレスでは なく 、管理ノード ハードウェア ID に基づいて生成されます。

ハードウェア ID を決定するには、Cisco ISE ダイレクト コンソール CLI にアクセスし、 show inventory コマンドを入力します。出力には、次のような PID、VID、および SN を示す行が含まれます。

PID: NAC3315, VID: V01, SN: ABCDEFG

管理者ポータルを使用したハードウェア ID の決定

Cisco ISE ライセンスは、MAC アドレスでは なく 、管理ノード ハードウェア ID に基づいて生成されます。

現在のライセンスの期限が切れていない場合は、次の手順を実行して管理ノード ハードウェア ID を表示できます。


ステップ 1 [Cisco ISE 管理(Cisco ISE Administration)] インターフェイスで、[管理(Administration)] > [システム(System)] > [ライセンシング(Licensing)] を選択します。

ステップ 2 [ライセンスの操作(License Operations)] ナビゲーション ペインで [現在のライセンス(Current Licenses)] をクリックします。

ステップ 3 管理ノード ハードウェア ID をチェックする Cisco ISE ノードに対応するボタンを選択して、[管理ノード(Administration Node)] をクリックして PID、VID、および SN を表示します。


 

ライセンスの追加またはアップグレード

スタンドアロンまたはプライマリ管理ノードにのみライセンスを追加できます。既存の評価ライセンスは、90 日の評価期間の期限が切れたとき、またはその前にアップグレードできます。評価ライセンスをアップグレードするか、または置き換えるには、2 つの方法があります。

基本ライセンスをインストールしてから、拡張ライセンスもインストールするかどうかを選択する

ワイヤレス ライセンスをインストールする

複数のネットワークに接続している 1 つのエンドポイントでは、複数の基本または拡張ライセンスを消費する場合があります。この状況は、たとえば、エンドポイントに有線およびワイヤレスのネットワーク接続がある場合に、発生する可能性があります。認証された一意の接続ごとに、独自のライセンスが必要です。

はじめる前に

適切なライセンスを取得し、Cisco ISE ノードにインストールしたことを確認します。詳細については、「Cisco.com からの Cisco ISE ライセンスの取得」を参照してください。


ステップ 1 [Cisco ISE 管理(Cisco ISE Administration)] インターフェイスで、[管理(Administration)] > [システム(System)] > [ライセンシング(Licensing)] > [現在のライセンス(Current Licenses)] を選択します。

ステップ 2 アップグレードするライセンス名の隣のオプション ボタンをクリックし、[編集(Edit)] をクリックします。

ステップ 3 [サービスの追加(Add Services)] をクリックします。

ステップ 4 [参照(Browse)] をクリックし、ライセンス ファイルを選択します。

ステップ 5 [インポート(Import)] をクリックして、追加したサービスをサポートする新しいライセンス ファイルをインポートします。

ステップ 6 [現在のライセンス(Current Licenses)] ページに戻り、アップグレードされたライセンスが追加されていることを確認します。さらに確認するには、ライセンスがアップグレードされた各サービスの機能を確認します。


 

関連項目

「ライセンス ページ パラメータ」

「ライセンスの削除」

ライセンスの削除

個々の基本、拡張、およびワイヤレス ライセンスを削除できますが、次の点に注意してください。

拡張パッケージ カウントが基本パッケージ カウントよりも大きい場合は、基本パッケージを削除できません。

結合されたライセンスをインストールした場合は、基本パッケージおよび拡張パッケージの関連インストールもすべて削除されます。

標準 90 日間の評価期間内に製品レベルのライセンスを削除した場合、製品ライセンスの削除後に評価ライセンスが自動的に復元されます。

評価ライセンスは削除できません。

はじめる前に

ワイヤレス ライセンスの後にワイヤレス アップグレード ライセンスをインストールした場合は、ワイヤレス アップグレード ライセンスを削除してから基盤となるワイヤレス ライセンスを削除する必要があります。


ステップ 1 [管理(Administration)] > [システム(System)] > [ライセンシング(Licensing)] > [現在のライセンス(Current Licenses)] を選択します。

ステップ 2 該当するノード名の隣にあるオプション ボタンをクリックして [編集(Edit)] をクリックします。

ステップ 3 削除するライセンス名の隣のオプション ボタンをクリックし、[削除(Remove)] をクリックします。

ステップ 4 [OK] をクリックします。