Integration der ISE mit dem Smart Licensing-Server

Download-Optionen

  • PDF     (1.5 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
Aktualisiert:23. April 2026
Dokument-ID:222337

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

In diesem Dokument wird die Konfiguration von Smart Licensing auf der Cisco ISE beschrieben.

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

  • ISE Version 3.x
  • Zugriff auf Smart Software-Lizenzierung
  • Cisco Smart Software Manager (CSSM) Version 8, Version 202010+, vor Ort (optional)

Verwendete Komponenten

Dieses Dokument ist nicht auf bestimmte Software- und Hardware-Versionen beschränkt.

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Hintergrundinformationen

Cisco ISE Connectivity

Ab Cisco ISE 3.0 ist Smart Licensing erforderlich. Cisco Smart Licensing vereinfacht die Beschaffung, Bereitstellung und Verwaltung von Lizenzen, indem Geräte sich selbst registrieren und die Nutzung wie folgt melden können:

  1. Wenn ein Smart License-Token aktiv und im Cisco ISE-Administrationsportal registriert ist, überwacht der CSSM die Lizenznutzung pro Endpunktsitzung und Produktlizenz.
  2. Smart Licensing benachrichtigt den Administrator über die Lizenznutzung für Endpunktsitzungen mithilfe eines einfachen Tabellenlayouts in der Cisco ISE.
  3. Smart Licensing meldet der zentralisierten Datenbank täglich die Spitzenauslastung jeder aktivierten Lizenz.
  4. Bei der Cisco ISE werden alle 30 Minuten interne Stichproben der Lizenznutzung genommen. Lizenzkonformität und -nutzung werden entsprechend aktualisiert.
  5. Ab der Registrierung des primären Administrationsknotens (PAN) der Cisco ISE beim CSSM meldet die Cisco ISE alle sechs Stunden Spitzenwerte bei der Lizenznutzung an den CSSM-Server.
  6. Die Berichte zur Spitzenauslastung stellen sicher, dass die Lizenznutzung in der Cisco ISE mit den erworbenen und registrierten Lizenzen übereinstimmt.
  7. Die Cisco ISE kommuniziert mit dem CSSM-Server, indem sie eine lokale Kopie des CSSM-Zertifikats speichert.
  8. Das CSSM-Zertifikat wird während der täglichen Synchronisierung und bei der Aktualisierung der Lizenztabelle automatisch erneut autorisiert. In der Regel sind CSSM-Zertifikate sechs Monate lang gültig.
  9. Daher benötigt die Cisco ISE Netzwerkverbindungen, um den CSSM zu erreichen.

Lizenznutzung - Fluss

TACACS+

Die Device Admin-Lizenz (PID: L-ISE-TACACS-ND=) aktiviert TACACS+-Dienste auf einem Policy Service Node (PSN). Für jedes PSN, das TACACS+ verwendet, ist eine eigene Geräteadministratorlizenz erforderlich. Die Verwaltung von TACACS+-Geräten wird bei der Endpunktnutzung nicht berücksichtigt und erlegt der Anzahl der zu verwaltenden Netzwerkgeräte keine Grenzen auf. Für die Verwaltung von Netzwerkzugriffsgeräten (Network Access Devices, NADs) wie Router und Switches ist keine Lizenz erforderlich.

Lizenz für Buchhaltungs-Endgeräte

Accounting Endpoint License

note-icon

Anmerkung: Das Diagramm verwendet herkömmliche Lizenzterminologien, diese gelten jedoch auch für die in der Dokumentation erwähnten neuen Lizenzstufen.

Die Anzahl der aktiven Endpunkte kann sich von der Anzahl der verwendeten Lizenzen unterscheiden, da jedes Endpunkt mehrere Sitzungen haben kann. Die Lizenznutzung basiert auf der Anzahl der aktiven Sitzungen, nicht nur auf der Anzahl der Endpunkte. Beispiel: Ein System mit 10 aktiven Endpunkten und mehreren Sitzungen kann mehr Lizenzen verwenden.

Stellen Sie sicher, dass die Abrechnung sowohl auf den Wireless Access Points als auch auf dem Switch aktiviert ist. Die Lizenznutzung wird durch die Start - Stopp-Nachrichten bestimmt, die vom AAA-Client an den AAA-Server gesendet werden.

Die Cisco ISE verwendet spezielle Regeln für das Management von Sitzungen in der MnT-Umgebung (Monitoring and Troubleshooting) und verlässt sich dabei auf Abrechnungsmeldungen von Network Access Devices (NADs). So verarbeitet die Cisco ISE Sitzungen auf Grundlage dieser Accounting-Meldungen:

  • Wenn die Cisco ISE eine RADIUS-Authentifizierungsanforderung ohne Accounting-Meldung empfängt, bleibt die Sitzung 1 Stunde lang aktiv.
  • Nach Erhalt einer Accounting-Nachricht hält die Cisco ISE die Sitzung bis zu 5 Tage oder bis zum Empfang einer Accounting-Stopp-Nachricht aufrecht.
  • Die Lizenzsitzung wird sofort freigegeben, sobald eine Accounting-Stopp-Nachricht eingegangen ist.
  • Ein Zwischenupdate verlängert die 5 Tage.

ISE-Lizenzen

Evaluierung

Evaluierungslizenzen werden standardmäßig aktiviert, wenn Sie Cisco ISE Version 3.x oder höher installieren oder ein Upgrade darauf durchführen. Die Testlizenz ist 90 Tage lang gültig, während dieser Zeit haben Sie Zugriff auf alle Cisco ISE-Funktionen. Die Cisco ISE befindet sich im Evaluierungsmodus, wenn die Evaluierungslizenz verwendet wird. Oben rechts im Cisco ISE-Administrationsportal wird eine Meldung mit der Anzahl der Tage angezeigt, die im Evaluierungsmodus verbleiben.

ISE Dashboard

Stufe

Tier-Lizenzen ersetzen die Base-, Apex- und Plus-Lizenzen, die in früheren Versionen als Version 3.x verwendet wurden. Tier-Lizenzen umfassen drei Lizenzen - Essentials, Advantage und Premier. Wenn Sie derzeit Base-, Apex- oder Plus-Lizenzen haben, verwenden Sie CSSM, um diese in die neuen Lizenztypen umzuwandeln.

Geräte-Administrator

Mit einer Device Administration-Lizenz können Sie TACACS-Dienste auf einem Policy Service-Knoten verwenden. In einer hochverfügbaren Standalone-Bereitstellung ermöglicht Ihnen eine Device Administration-Lizenz die Verwendung von TACACS-Services auf einem einzelnen Policy Service-Knoten im Hochverfügbarkeitspaar. Auf der Cisco ISE ist sie als Device Admin definiert, und auf dem Smart License-Portal ist sie als Maximale Anzahl von Knoten definiert, die für TACACS+-Transaktionen berechtigt sind.

Lizenzen für virtuelle Appliances

Ab Cisco ISE 3.x wird eine neue Form der VM-Lizenz angeboten, die "VM Common License". Wenn Sie herkömmliche VM-Lizenzen verwenden, müssen diese in gemeinsame VM-Lizenzen konvertiert werden.

Informationen zu Lizenztypen und Umrechnungen finden Sie unter den folgenden Links:

Wichtige Änderungen bei Smart Licensing für neue ISE-Versionen

  • Änderung der Verbindungsmethode für die intelligente Lizenzierung:
    Cisco ISE 3.4 hat die Unterstützung für die in Smart Licensing verwendete Transport Gateway-Verbindungsmethode eingestellt. Wenn Sie Transport Gateway für Smart Licensing verwenden, müssen Sie die Verbindungsmethode vor dem Upgrade auf Version 3.4 aktualisieren. Wenn sie nicht aktualisiert wird, wechselt das System während des Upgrades automatisch zu Direct HTTPS, Sie können sie jedoch jederzeit nach dem Upgrade ändern.

  • Verbesserungen bei der Transparenz von Lizenzen in Version 3.5:
    Cisco ISE 3.5 verbessert die Lizenzverfolgung für mehr Transparenz und Genauigkeit. Die Lizenzstufen und -funktionen bleiben unverändert, aber die Lizenznutzung ist jetzt auf die Spitzenwerte der aktiven Endgeräte abgestimmt. In 3.5 ist die Durchsetzung noch nicht aktiv. Stattdessen werden Warnmeldungen zur unterbrechungsfreien Nutzung ausgegeben, wenn die Nutzung die lizenzierten Grenzwerte überschreitet.

Lizenzregistrierungstypen

Für die Einführung der Cisco ISE 3.1 stehen Ihnen drei Optionen zur Verfügung, um Smart Licensing zu aktivieren.

Reservierung von Smart Software-Lizenzen (Direct-HTTPS, HTTP-Proxy, SSM vor Ort)

Die Reservierung von Smart Software-Lizenzen kann einfach und effizient mit einer einzigen Tokenregistrierung durchgeführt werden. Die von Ihnen erworbenen Lizenzen werden in einer zentralen Datenbank namens CSSM verwaltet. Melden Sie sich beim CSSM-Portal an, um die für Sie verfügbaren Endgerätelizenzen und Nutzungsstatistiken auf einfache Weise nachzuverfolgen. In diesem Modus muss sich die Cisco ISE entweder direkt (direktes HTTPS) oder über Proxy mit CSSM verbinden, um Informationen zur Nutzung und zur Einhaltung von Richtlinien auszutauschen. Die neue Option SSM On-Prem ermöglicht Air-Gap ISE, um die Funktionen von CSSM in Form eines lokalen Servers zu nutzen, der als On-Prem (Satellite) Server gehostet wird.

Reservierung spezifischer Lizenzen (verfügbar ab ISE 3.1)

Mithilfe der spezifischen Lizenzreservierung (SLR) können Kunden in hochsicheren Netzwerken Smart Licensing (und Smart Licenses) verwenden, ohne die Lizenzinformationen mitzuteilen. SLR ermöglicht die Reservierung bestimmter Lizenzen, einschließlich Add-on-Lizenzen. SLR erfordert keine Cisco ISE, um eine Verbindung zum CSSM herzustellen, und ermöglicht es der Cisco ISE, die im Smart Account vorhandenen Lizenzen bis zum Ablauf zu nutzen.

Konfigurieren

Verbindungsmethoden (Direct HTTPS/HTTPS-Proxy) zur Integration von CSSM in die ISE

Schritt 1. Navigieren Sie zu Administration > System > Licensing:

ISE System

Schritt 2: Wählen Sie Smart Software Licensing Reservation unter License Type (Lizenztyp) aus, und fügen Sie das Registrierungs-Token in die Registrierungsdetails ein. Wählen Sie die entsprechende Stufe nach Bedarf aus. Der Prozess unterscheidet sich geringfügig zwischen Direct HTTPS und HTTPS Proxy.

Direktes HTTPS

Schritt 3: Wählen Sie für Direct HTTPS die Verbindungsmethode als Direct HTTPS aus, und klicken Sie auf Registrieren:

License Type

HTTPS-Proxy

Schritt 4: Um sicherzustellen, dass der HTTPS-Proxy vorkonfiguriert ist, navigieren Sie zu Administration > System > Settings.

Proxydetails hinzufügen > Host, Benutzer-ID und Kennwort:

Registration Details

Schritt 5: Wählen Sie auf der Seite Cisco ISE Licensing (Cisco ISE-Lizenzierung) die Option Connection Method (Verbindungsmethode) als HTTPS-Proxy aus, und stellen Sie sicher, dass der konfigurierte Proxy im Abschnitt HTTPS-Proxy angezeigt wird. Klicken Sie auf Registrieren:

Proxy Settings

Schließlich ist die Cisco ISE jetzt bei CSSM registriert, und ein Eintrag für diesen ISE-Knoten finden Sie in den Produktinstanzen im Virtual Account (von dem aus das Token generiert wurde).

Konfiguration des Smart Software Manager-Servers vor Ort

Für diese Konfiguration muss in der Umgebung ein lokaler SSM-Server (Satellit) bereitgestellt werden. Nach der Bereitstellung und Verbindung fungiert der Satelliten-Server als lokaler Lizenzierungsserver, mit dem die Cisco ISE Lizenzierungstransaktionen durchführen kann, ohne sich über das Internet an den CSSM zu wenden. Satellitenserver können wiederum mit CSSM entweder im Online- oder Offline-Modus (mit .yml-Dateien) synchronisiert werden. Weitere Informationen zum Satellitenserver finden Sie im Cisco Smart Software Manager On-Prem-Datenblatt . Eine Kurzanleitung zur Installation des On-Prem-Servers finden Sie im SSM_On-Prem_8_Quick_Start_Guide .

Bei diesen Schritten wird davon ausgegangen, dass der Satellitenserver konfiguriert ist und dem Satellitenserver ein virtuelles Konto auf dem CSSM mit Cisco ISE-Lizenzen hinzugefügt wird. Schritte zur Durchführung derselben finden Sie im Smart_Software_Manager_On-Prem_8-202006_Installation_Guide.


Schritt 1. Melden Sie sich beim Satellitenserver an, und wählen Sie die Smart Licensing-Option:

Satellite Server Login

Schritt 2: Generieren Sie aus dem Bestand ein Token, und kopieren Sie den Tokenwert. Wählen Sie auf der Cisco ISE Smart Software Licensing Reservation und als Verbindungsmethode als SSM On-Prem Server:

Generate Token

Schritt 3: Das Feld "SSM On-Prem Server Host" wird aus dem Hostnamen entnommen, der auf dem On-Prem Server konfiguriert wurde. Das Gleiche kann bestätigt werden von On-Prem Server Admin Workspace > Security > Certificates > Host Common Name:

Smart Software Manager On-Prem

Schritt 4: Nachdem der Hostname bestätigt wurde, fügen Sie ihn der Cisco ISE unter dem SSM On-Prem Server Host hinzu, und klicken Sie auf Register. Nach erfolgreicher Registrierung wird die Cisco ISE in der Liste der Produktinstanzen angezeigt, die dem virtuellen Konto auf dem Satellitenserver hinzugefügt wurden.

Integrationsmethoden für ISE und CSSM

SLR

Schritt 1. Navigieren Sie Administration > System > Licensingwie im Bild gezeigt zu:

Licensing

Schritt 2: Wählen Sie für den Lizenztyp SLR, und klicken Sie dann auf Code generieren. Kopieren Sie den Reservierungscode, der für den CSSM erforderlich ist, um einen Autorisierungscode zu generieren:

Choose Specific License Reservation

Schritt 3: Wählen Sie auf CSSM das virtuelle Konto aus, das Cisco ISE-Lizenzen enthält (Essential, Advantage, Premier, VM, TACACS+). Wählen Sie im Abschnitt "Lizenzen" Folgendes aus:

Virtual AccountL

Lizenzreservierung.

Schritt 4: Geben Sie den von der Cisco ISE kopierten autorisierten Code ein, und klicken Sie auf Weiter, um dieReserve a specific licenseOption auszuwählen. Geben Sie abhängig von den verfügbaren Lizenzen die für die Cisco ISE zu reservierenden Anzahl an, und klicken Sie auf Next. Beachten Sie, dass Tier-Lizenzen und VM-Lizenzen den Austausch von Upper-Level-Lizenzen erlauben, um Anfragen nach Low-Level-Lizenzen zu erfüllen. Überprüfen Sie das Tier Model Cisco ISE 3.x Licensing Model .

License Reservation

Schritt 5: Überprüfen und laden Sie den generierten Autorisierungscode mit der Option Als Datei herunterladen herunter. Kehren Sie zur Cisco ISE zurück, und klicken Sie auf SLR-Lizenzschlüssel hochladen, um die Datei hochzuladen. Das Ablaufdatum der Lizenzen auf der Cisco ISE entspricht dem ursprünglichen Ablaufdatum der Lizenzen auf dem Smart Account.

Reservierung für SLR

Schritt 1. Klicken Sie auf Return Reservation und kopieren Sie den angegebenen Reservierungscode, um ihn zu sichern.

Schritt 2: Navigieren Sie zu Produktinstanzen für das virtuelle Konto, dem die Cisco ISE hinzugefügt wird, und suchen Sie nach ISE mit der Seriennummer. Klicken Sie auf Actions > Remove, geben Sie den in Schritt 1 kopierten Code ein, und klicken Sie auf Return Product Reservation. Dadurch werden die reservierten Lizenzen an das virtuelle Konto zurückgegeben.

Fehlerbehebung

Allgemeine Richtlinien

  • Überprüfen Sie für Cisco ISE 3.0 p7, 3.1 p5 und 3.2 oder höher die Erreichbarkeit für diesen Link: https://smartreceiver.cisco.com/
  • Bei niedrigeren ISE-Versionen<= ISE 3.0 überprüfen Sie die Erreichbarkeit dieser Links: tools.cisco.com, tools1.cisco.com und tools2.cisco.com.
  • Diese Links sind wichtig, da sie eine wichtige Rolle bei der Kommunikation mit dem CSSM spielen. Wenn Sie diese IPs blockieren, kann die Cisco ISE die Lizenznutzung nicht an CSSM melden. Diese fehlende Berichterstellung führt zum Verlust des administrativen Zugriffs auf die Cisco ISE und zu Einschränkungen bei Cisco ISE-Funktionen.

ISE-Protokollierungsattribute für die Debugstufe

  • Lizenz (ise-psc.log)
  • admin-license (ise-psc.log)

Registrierungs- und Verlängerungsfehler

Um Registrierungsfehler zu beheben, vergewissern Sie sich zunächst, dass keine Kommunikationsprobleme mit der Smart Licensing Cloud (https://tools.cisco.com/ oder https://smartreceiver.cisco.com/) vorliegen. Die Verbindung zwischen der Cisco ISE und der Smart Licensing Cloud kann durch verschiedene Faktoren unterbrochen werden:

  • Firewalls oder andere Geräte blockieren den Datenverkehr.
  • DNS-Probleme. Wenn die Cisco ISE den entsprechenden FQDN für https://tools.cisco.com/ oder https://smartreceiver.cisco.com/ nicht auflösen kann, kann sie den Registrierungs-API-Anruf nicht senden.
  • Probleme mit dem Smart Licensing-Portal

API fordert Untersuchung des ISE-Lizenzierungsstatus

Verwenden Sie HTTPS-API-Aufrufe direkt vom Browser, um die Anzahl der Lizenzen zu ermitteln, die auf der Cisco ISE verbraucht werden:

  • https://<MnTNodeIP>/admin/API/mnt/Session/ActiveCount
  • https://<MnTNodeIP>/admin/API/mnt/Session/License/LicenseCountsFromSessionDB
  • https://<MnTNodeIP>/admin/API/mnt/License/Base
  • https://<MnTNodeIP>/admin/API/mnt/License/Intermediate
  • https://<MnTNodeIP>/admin/API/mnt/License/Premium
  • https://<MnTNodeIP>/admin/API/mnt/Session/ActiveList

In Cisco ISE 3.1 oder höher können Sie OpenAPI verwenden. Sie müssen zu API-Aufrufen navigierenAdministration > Settings > API Settings., um weitere Daten über den Lizenzierungsstatus abzurufen.

API Settings

tip-icon

Tipp: Stellen Sie sicher, dass die ERS- und Open API-Services in der Cisco ISE aktiviert sind. Sie können dies überprüfen, indem Sie zu Administration > Settings > API Settings > API Service Settingsnavigieren. Sie müssen diese Dienste aktivieren, bevor Sie über die URL auf API-Aufrufe zugreifen können, wenn diese Dienste nicht aktiviert sind.

Licensing API Endpoints

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
3.0
23-Apr-2026
Formatierung, Sprache, Links.
1.0
03-Oct-2024
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

  • Sankalp Trivedi
    Cisco TAC Engineer
  • Magesh Balraj
    Cisco TAC Engineer

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.