دمج محرك خدمات الهوية (ISE) مع خادم الترخيص الذكي

المقدمة

يصف هذا المستند كيفية تكوين الترخيص الذكي على Cisco ISE.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• ISE 3.x إصدار
  
• الوصول إلى ترخيص البرامج الذكية
  
• مدير البرامج الذكية من Cisco (CSSM) الإصدار 8 الإصدار 202010+ للتشغيل المسبق (إختياري)

المكونات المستخدمة

لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

بدءا من Cisco ISE 3.0، يلزم الترخيص الذكي. يعمل الترخيص الذكي من Cisco على تبسيط تدبير التراخيص ونشرها وإدارتها عن طريق تمكين الأجهزة من التسجيل الذاتي والإبلاغ عن الاستخدام بهذه الطرق:

1. عندما يكون رمز الترخيص الذكي نشطا ومسجلا في بوابة إدارة Cisco ISE، يراقب CSSM إستهلاك التراخيص حسب كل جلسة نهاية لكل ترخيص منتج.
2. يعمل الترخيص الذكي على إعلام المسؤول عن إستهلاك الترخيص حسب جلسات نقاط النهاية بتخطيط جدول بسيط في Cisco ISE.
3. يقوم الترخيص الذكي بالإعلام عن ذروة إستخدام كل ترخيص ممكن لقاعدة البيانات المركزية يوميا.
4. تأخذ Cisco ISE عينات داخلية من إستهلاك الترخيص كل 30 دقيقة. يتم تحديث التوافق مع الترخيص والاستهلاك وفقا لذلك.
5. منذ وقت تسجيل عقدة الإدارة الأساسية (PAN) الخاصة ب Cisco ISE مع CSSM، يقوم Cisco ISE بالإعلام عن أقصى عدد من إستهلاك التراخيص لخادم CSSM كل ست ساعات.
6. تساعد تقارير أقصى عدد على ضمان توافق إستهلاك الترخيص في Cisco ISE مع التراخيص التي تم شراؤها وتسجيلها.
7. يتصل Cisco ISE بخادم CSSM بتخزين نسخة محلية من شهادة CSSM.
8. تتم إعادة اعتماد شهادة CSSM تلقائيا أثناء المزامنة اليومية، وعندما تقوم بتحديث جدول التراخيص. تكون شهادات CSSM صالحة بشكل نموذجي لمدة ستة أشهر.
9. ونتيجة لذلك، يحتاج Cisco ISE إلى اتصال الشبكة للوصول إلى CSSM.

تدفق إستهلاك الترخيص

TACACS+

ترخيص مسؤول الجهاز (PID: يقوم L-ISE-TACACS-ND=) بتنشيط خدمات TACACS+ على عقدة خدمة السياسة (PSN). تتطلب كل شبكة PSN التي تستخدم TACACS+ ترخيص مسؤول الجهاز الخاص بها. لا يتم حساب إدارة جهاز TACACS+ نحو إستخدام نقطة النهاية ولا تفرض أي حد على عدد أجهزة الشبكة التي يمكنك إدارتها. لا يلزم ترخيص أساسي لإدارة أجهزة الوصول إلى الشبكة (NAD) مثل الموجهات والمحولات.

ترخيص نقطة نهاية المحاسبة

يمكن أن يختلف عدد نقاط النهاية النشطة عن التراخيص المستخدمة لأن كل نقطة نهاية يمكن أن يكون لها جلسات متعددة. يستند إستهلاك الترخيص إلى عدد الجلسات النشطة، وليس فقط عدد نقاط النهاية. على سبيل المثال، يمكن أن يستخدم النظام الذي يحتوي على 10 نقاط نهاية نشطة مع جلسات عمل متعددة المزيد من التراخيص.

تأكد من تمكين المحاسبة على كل من نقاط الوصول اللاسلكية والمحول. يتم تحديد إستهلاك الترخيص بواسطة البدء - إيقاف الرسائل المرسلة من عميل AAA إلى خادم AAA.

يستخدم Cisco ISE قواعد محددة لإدارة جلسات العمل في المراقبة واستكشاف الأخطاء وإصلاحها (MNt)، استنادا إلى رسائل المحاسبة من أجهزة الوصول إلى الشبكة (NADs). وفيما يلي كيفية معالجة Cisco ISE للجلسات استنادا إلى رسائل المحاسبة هذه:

• إذا استلم Cisco ISE طلب مصادقة RADIUS مع عدم وجود رسالة محاسبة، فإنه يبقي الجلسة نشطة لمدة ساعة واحدة.
• عند تلقي رسالة محاسبة، يحتفظ Cisco ISE بالجلسة لمدة تصل إلى 5 أيام أو حتى تلقي رسالة توقف المحاسبة.
• يتم إصدار جلسة عمل الترخيص فورا بمجرد تلقي رسالة توقف المحاسبة.
• يمتد التحديث المؤقت إلى خمسة أيام.

تراخيص ISE

التقييم

يتم تنشيط تراخيص التقييم بشكل افتراضي عند تثبيت الإصدار 3.x من Cisco ISE والإصدارات الأحدث أو ترقيتها إلى. يكون ترخيص التقييم نشطا لمدة 90 يوما، ويمكنك الوصول إلى جميع ميزات Cisco ISE أثناء هذا الوقت. يعد Cisco ISE في وضع التقييم عند إستخدام ترخيص التقييم. يعرض الركن العلوي الأيمن من بوابة إدارة Cisco ISE رسالة تحتوي على عدد الأيام المتبقية في وضع التقييم.

الطبقة

تستبدل تراخيص الطبقة تراخيص القاعدة و Apex و Plus المستخدمة في الإصدارات الأقدم من الإصدار 3.x. تشتمل تراخيص الطبقة على ثلاثة تراخيص - الأساسيات والمزايا وميزة Premier. إذا كانت لديك حاليا تراخيص Base أو Apex أو Plus، فاستخدم CSSM لتحويلها إلى أنواع تراخيص جديدة.

Device Admin

يسمح لك ترخيص إدارة الأجهزة باستخدام خدمات TACACS على عقدة خدمة السياسة. في عملية نشر مستقلة عالية التوفر، يسمح لك ترخيص إدارة الأجهزة باستخدام خدمات TACACS على عقدة خدمة سياسة واحدة في الزوج عالي التوفر. في Cisco ISE، يتم تعريفه على أنه مسؤول الجهاز وعلى بوابة الترخيص الذكي، ويتم تعريفه على أنه الحد الأقصى لعدد العقد المستحقة لحركات TACACS+.

تراخيص الجهاز الظاهري

يأتي Cisco ISE 3.x وما بعده مع شكل جديد من ترخيص VM وهو الترخيص الشائع ل VM. إذا كنت تستخدم تراخيص الأجهزة الافتراضية (VM) التقليدية، فيجب تحويلها إلى تراخيص VM الشائعة.

للحصول على معلومات حول أنواع التراخيص والتحويل، ارجع إلى الروابط:

• ميزات الترخيص
• دليل ترخيص Cisco

التغييرات الأساسية للترخيص الذكي على الإصدارات الجديدة من ISE

• تغيير طريقة اتصال الترخيص الذكي:
  قام Cisco ISE 3.4 بإزالة دعم طريقة اتصال عبارة النقل المستخدمة في الترخيص الذكي. إذا كنت تستخدم عبارة النقل للترخيص الذكي، فيجب عليك تحديث طريقة الاتصال قبل الترقية إلى 3.4. إذا لم يتم تحديثها، فسيقوم النظام تلقائيا بالتحويل إلى HTTPS المباشر أثناء الترقية، ولكن يمكنك تغييره في أي وقت بعد الترقية.

• تحسينات إمكانية رؤية الترخيص في 3.5:
  يعزز Cisco ISE 3.5 تتبع الترخيص للحصول على رؤية ودقة أفضل. تظل طبقات الترخيص ومميزاته كما هي، ولكن يتم الآن محاذاة إستخدام الترخيص مع نقاط النهاية النشطة للحد الأقصى. ولم يبدأ الإنفاذ بعد في الفقرة 3-5؛ وبدلا من ذلك، يتم إعلام تنبيهات الاستهلاك غير المعطلة في حالة تجاوز الاستخدام الحدود المرخصة

أنواع تسجيل الترخيص

للحصول على مقدمة Cisco ISE 3.1، لديك ثلاثة خيارات متوفرة لتمكين الترخيص الذكي.

حجز ترخيص البرامج الذكية (Direct-HTTPS، وكيل HTTP، SSM على Prem)

يتم إستخدام "حجز ترخيص البرامج الذكية" بسهولة وفعالية مع تسجيل رمز مميز واحد. يتم الاحتفاظ بالتراخيص التي تشتريها في قاعدة بيانات مركزية تسمى CSSM. قم بتسجيل الدخول إلى بوابة CSSM لتتبع تراخيص نقاط النهاية المتوفرة لك وإحصاءات الاستهلاك بسهولة. في هذا الوضع، يلزم أن تتصل Cisco ISE ب CSSM إما مباشرة (HTTPS المباشر) أو عبر الوكيل لتبادل معلومات الاستهلاك والتوافق. يسمح الخيار الجديد SSM على PREM بوجود ISE مكبل هوائيا لاستخدام ميزات CSSM في شكل خادم محلي يستضيفه كخادم على PREM (قمر صناعي).

حجز ترخيص محدد (متوفر في ISE 3.1 والإصدارات الأحدث)

يسمح "حجز الترخيص المحدد (SLR)" للعملاء في الشبكات عالية الأمان باستخدام الترخيص الذكي (والتراخيص الذكية) دون الاتصال بمعلومات الترخيص. تسمح SLR بحجز تراخيص معينة، بما في ذلك تراخيص الوظائف الإضافية. لا يتطلب SLR من Cisco ISE للاتصال ب CSSM ويسمح ل Cisco ISE باستهلاك التراخيص الموجودة في الحساب الذكي حتى تنتهي صلاحيتها.

التكوين

طرق الاتصال (Direct HTTPS/HTTPS-proxy) لدمج CSSM مع ISE

الخطوة 1. تصفح إلى Administration > System > Licensing:

الخطوة 2. أختر حجز ترخيص البرامج الذكية في نوع الترخيص ولصق الرمز المميز للتسجيل في تفاصيل التسجيل. أختر الطبقة القابلة للتطبيق كما هو مطلوب. تختلف العملية قليلا بين HTTPS المباشر ووكيل HTTPS.

HTTPS المباشر

الخطوة 3. للحصول على HTTPS المباشر، أختر أسلوب الاتصال ك HTTPS المباشر وانقر فوق تسجيل:

وكيل HTTPS

الخطوة 4. لضمان تكوين وكيل HTTPS مسبقا، انتقل إلى الإدارة > النظام > الإعدادات.

إضافة تفاصيل الوكيل > المضيف، ومعرف المستخدم، وكلمة المرور:

الخطوة 5. ارجع إلى صفحة ترخيص Cisco ISE، أختر طريقة الاتصال ك وكيل HTTPS وتأكد من رؤية الوكيل الذي تم تكوينه ضمن قسم وكيل HTTPS. طقطقة سجل:

أخيرا، تم تسجيل Cisco ISE الآن في CSSM ويمكن العثور على إدخال لعقدة ISE هذه في مثيلات المنتج في الحساب الظاهري (من حيث تم إنشاء الرمز المميز).

تكوين خادم مدير البرامج الذكية على PREM

يتطلب هذا التكوين نشر خادم SSM On-Prem (قمر صناعي) في البيئة. وبمجرد النشر والاتصال، يعمل خادم القمر الصناعي كخادم ترخيص محلي يسمح لشركة Cisco ISE بتنفيذ معاملات الترخيص دون الوصول إلى CSSM عبر الإنترنت. يمكن أن تتزامن الخوادم الساتلية بدورها مع CSSM إما في الوضع متصل أو غير متصل (باستخدام ملفات .yml). يتوفر المزيد من التفاصيل حول خادم القمر الصناعي في ورقة بيانات مدير البرنامج الذكي من Cisco على الخادم . يتوفر دليل البدء السريع لتثبيت الخادم على ذاكرة القراءة فقط في SSM_on-prem_8_quick_start_guide .

تفترض هذه الخطوات أنه تم تكوين خادم القمر الصناعي وإضافة حساب ظاهري على CSSM يحتوي على تراخيص Cisco ISE إلى خادم القمر الصناعي. يمكن تعقب الخطوات اللازمة لتنفيذ نفس الإجراء في SMART_SOFTWARE_MANAGER_on-prem_8-202006_INSTALLATION_GUIDE.

الخطوة 1. سجل الدخول إلى خادم القمر الصناعي واختر خيار الترخيص الذكي:

الخطوة 2. من المخزون، قم بإنشاء رمز مميز ونسخ قيمة الرمز المميز. ارجع إلى Cisco ISE، أختر حجز ترخيص البرامج الذكية وكطريقة اتصال كخادم SSM على الكمبيوتر المكتبي:

الخطوة 3. يتم أخذ مضيف خادم SSM الخاص بالحقل من اسم المضيف الذي تم تكوينه على الخادم على PREM. ويمكن تأكيد ذلك من On-Prem Server Admin Workspace > Security > Certificates > Host Common Name:

الخطوة 4. بمجرد تأكيد اسم المضيف، قم بإضافته إلى Cisco ISE ضمن مضيف خادم SSM على الخادم الأولي وانقرRegister. بعد التسجيل الناجح، تظهر Cisco ISE في قائمة مثيلات المنتج التي تمت إضافتها إلى الحساب الظاهري على خادم القمر الصناعي.

طرق التكامل ل ISE و CSSM

SLR

الخطوة 1. تصفح Administration > System > Licensingكما هو موضح في الصورة:

الخطوة 2. لنوع الترخيص، أختر SLR ثم انقر فوق إنشاء رمز. قم بنسخ كود الحجز الذي تم إنشاؤه لأن هذا مطلوب من قبل CSSM لإنشاء كود تخويل:

الخطوة 3. في CSSM، أختر الحساب الظاهري الذي يحتوي على تراخيص Cisco ISE (الضرورية، والميزة، والرئيسية، و VM، و TACACS+). تحت قسم التراخيص، أختر:

L

حجز الترخيص.

يدخل خطوة 4. ال يخول رمز ينسخ من cisco ISE وطقطقة بعد ذلك in order to أخترتReserve a specific licenseالوصف. بناء على التراخيص المتاحة، حدد العدادات التي سيتم حجزها ل Cisco ISE وانقر فوقNext. لاحظ أن تراخيص الطبقة وتراخيص الأجهزة الافتراضية (VM) تسمح بالإعداد الذي يتمثل في تراخيص المستوى الأعلى التي يمكن إستخدامها من أجل تلبية الطلبات الخاصة بالتراخيص الأقل مستوى. تحقق من طراز الطبقة Cisco ISE 3.x Licensing Model .

الخطوة 5. راجع رمز التفويض الذي تم إنشاؤه وتنزيله باستخدام الخيار تنزيل كملف. ارجع إلى Cisco ISE وانقر فوق تحميل مفتاح ترخيص SLR لتحميل الملف. يعكس تاريخ انتهاء صلاحية التراخيص على Cisco ISE تاريخ انتهاء الصلاحية الأصلي للتراخيص على الحساب الذكي.

إرجاع الحجز ل SLR

الخطوة 1. انقر فوق إرجاع الحجز ونسخ رمز الحجز المتوفر والحفاظ عليه آمنا.

الخطوة 2. استعرض للوصول إلى مثيلات المنتج للحساب الظاهري الذي تتم إضافة Cisco ISE إليه، وابحث عن ISE باستخدام رقمه التسلسلي. طقطقة Actions > Remove، يدخل الرمز نسخة في خطوة 1. وطقطقة Return Product Reservation. هذا يرجع التراخيص المحجوزة إلى الحساب الظاهري.

استكشاف الأخطاء وإصلاحها

إرشادات عامة

• بالنسبة إلى Cisco ISE 3.0 P7 و 3.1 P5 و 3.2 أو إصدار أحدث، تحقق من قابلية الوصول لهذا الارتباط: https://smartreceiver.cisco.com/. 
• للحصول على إصدارات ISE الأقل<= ISE 3.0، تحقق من قابلية الوصول لهذه الارتباطات: tools.cisco.com، tools1.cisco.com، وtools2.cisco.com.
• هذه الارتباطات مهمة لأنها تلعب دورا حيويا في الاتصال ب CSSM إلى ومن أجل، إذا قمت بحظر هذه بروتوكولات IP، فإن Cisco ISE لا يمكنها الإبلاغ عن إستخدام الترخيص إلى CSSM، وهذا النقص في التقارير ينتج عنه فقدان الوصول الإداري إلى Cisco ISE والقيود في ميزات Cisco ISE.

سمات تسجيل ISE التي سيتم تعيينها على مستوى تصحيح الأخطاء

• الترخيص (ise-psc.log)

• admin-license (ise-psc.log)

أخطاء التسجيل والتجديد

لاستكشاف أخطاء التسجيل وإصلاحها، ابدأ بالتحقق من عدم وجود مشاكل في الاتصال بسحابة الترخيص الذكي (https://tools.cisco.com/ أو https://smartreceiver.cisco.com/). يمكن للعديد من العوامل قطع الاتصال بين Cisco ISE وسحابة الترخيص الذكي، بما في ذلك:

• جدران الحماية أو الأجهزة الأخرى التي تمنع حركة المرور.
• مشاكل DNS. إذا تعذر على Cisco ISE حل FQDN المقابلة ل https://tools.cisco.com/ أو https://smartreceiver.cisco.com/، فلن يتمكن من إرسال إستدعاء واجهة برمجة التطبيقات (API) للتسجيل.
• مشكلات بوابة الترخيص الذكي.

طلبات واجهة برمجة التطبيقات (API) للتحقيق في حالة ترخيص ISE

أستخدم مكالمات HTTPS API مباشرة من المستعرض لمعرفة عدد التراخيص التي يتم إستهلاكها على Cisco ISE:

• https://<MnTNodeIP>/admin/API/mnt/Session/ActiveCount
• https://<MnTNodeIP>/admin/API/mnt/Session/License/LicenseCountFromSessionDB
• https://<MnTNodeIP>/admin/API/mnt/License/Base
• https://<MnTNodeIP>/admin/API/mnt/License/Intermediate
• https://<MnTNodeIP>/admin/API/mnt/License/Premium
• https://<MnTNodeIP>/admin/API/mnt/Session/ActiveList

في Cisco ISE 3.1 أو إصدار أحدث، يمكنك إستخدام OpenAPI. يجب الانتقال إلى مكالمات Administration > Settings > API Settings. واجهة برمجة التطبيقات (API) التي يتم إستخدامها للحصول على مزيد من البيانات حول حالة الترخيص.

معلومات ذات صلة

• إنشاء SLR باستخدام CSSM ل Cisco ISE
• أساسيات ترخيص ISE من Cisco
• أستكشاف أخطاء ترخيص ISE وإصلاحها
• ترخيص ISE الذكي من Cisco
  
• الدعم الفني والتنزيلات من Cisco

محفوظات المراجعة

المراجعة	تاريخ النشر	التعليقات
3.0	23-Apr-2026	تنسيق، تنسيق، إرتباط، إرتباطات.
1.0	03-Oct-2024	الإصدار الأولي