Integre ISE con Smart Licensing Server

Opciones de descarga

  • PDF     (1.5 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
Actualizado:23 de abril de 2026
ID del documento:222337

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe cómo configurar Smart Licensing en Cisco ISE.

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento sobre estos temas:

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Antecedentes

Cisco ISE Connectivity

A partir de Cisco ISE 3.0, se requiere una licencia inteligente. Cisco Smart Licensing simplifica la adquisición, la implementación y la gestión de licencias, ya que permite que los dispositivos se autorregistren y notifiquen el uso de las siguientes formas:

  1. Cuando un token de licencia inteligente está activo y registrado en el portal de administración de Cisco ISE, el CSSM supervisa el consumo de licencias por cada sesión de terminal y por licencia de producto.
  2. Smart Licensing informa al administrador sobre el consumo de licencias por parte de las sesiones de terminales con un sencillo diseño de tabla en Cisco ISE.
  3. Smart Licensing informa diariamente a la base de datos centralizada del uso máximo de cada licencia habilitada.
  4. Cisco ISE toma muestras internas del consumo de licencias cada 30 minutos. El consumo y el cumplimiento de la licencia se actualizan en consecuencia.
  5. Desde el momento en que se registra el nodo de administración principal (PAN) de Cisco ISE con CSSM, Cisco ISE informa de los recuentos máximos de consumo de licencias al servidor CSSM cada seis horas.
  6. Los informes de recuento máximo ayudan a garantizar que el consumo de licencias en Cisco ISE cumple con las licencias adquiridas y registradas.
  7. Cisco ISE se comunica con el servidor CSSM almacenando una copia local del certificado CSSM.
  8. El certificado CSSM se vuelve a autorizar automáticamente durante la sincronización diaria y al actualizar la tabla de licencias. Normalmente, los certificados CSSM tienen una validez de seis meses.
  9. Como resultado, Cisco ISE necesita conectividad de red para alcanzar el CSSM.

Flujo de consumo de licencias

TACACS+

La licencia Device Admin (PID: L-ISE-TACACS-ND=) activa los servicios TACACS+ en un nodo de servicios de políticas (PSN). Cada PSN que utiliza TACACS+ requiere su propia licencia Device Admin. La administración de dispositivos TACACS+ no cuenta para el uso de terminales e impone ningún límite en el número de dispositivos de red que puede administrar. No se necesita una licencia esencial para administrar los dispositivos de acceso a la red (NAD), como routers y switches.

Licencia de terminal de contabilidad

Accounting Endpoint License

note-icon

Nota: El diagrama utiliza terminologías de licencias tradicionales, pero también se aplican a las nuevas licencias de nivel a las que se hace referencia en la documentación.

El número de terminales activos puede diferir de las licencias utilizadas, ya que cada terminal puede tener varias sesiones. El consumo de licencias se basa en el número de sesiones activas, no solo en el número de terminales. Por ejemplo, un sistema con 10 terminales activos y varias sesiones puede utilizar más licencias.

Asegúrese de que la contabilidad esté habilitada tanto en los puntos de acceso inalámbricos como en el switch. El consumo de licencias viene determinado por los mensajes Start - Stop enviados desde el cliente AAA al servidor AAA.

Cisco ISE utiliza reglas específicas para administrar las sesiones de supervisión y solución de problemas (MnT), basándose en los mensajes de cuentas de los dispositivos de acceso a la red (NAD). Así es como Cisco ISE procesa las sesiones basándose en estos mensajes de contabilidad:

  • Si Cisco ISE recibe una solicitud de autenticación RADIUS pero no recibe ningún mensaje de contabilización, mantiene la sesión activa durante 1 hora.
  • Al recibir un mensaje de contabilización, Cisco ISE mantiene la sesión hasta 5 días o hasta que se reciba un mensaje de detención de contabilización.
  • La sesión de licencia se libera inmediatamente una vez que se recibe un mensaje de detención de cuentas.
  • Una actualización provisional amplía los 5 días.

Licencias de ISE

Evaluación

Las licencias de evaluación se activan de forma predeterminada al instalar o actualizar a Cisco ISE versión 3.x y versiones posteriores. La licencia de evaluación está activa durante 90 días y, durante este tiempo, tendrá acceso a todas las funciones de Cisco ISE. Se considera que Cisco ISE está en modo de evaluación cuando la licencia de evaluación está en uso. La esquina superior derecha del portal de administración de Cisco ISE muestra un mensaje con el número de días que quedan en el modo de evaluación.

ISE Dashboard

Nivel

Las licencias de nivel superior sustituyen a las licencias Base, Apex y Plus utilizadas en versiones anteriores a la versión 3.x. Las licencias de nivel 1 incluyen tres licencias: Essentials, Advantage y Premier. Si actualmente tiene licencias Base, Apex o Plus, utilice el CSSM para convertirlas en los nuevos tipos de licencia.

Administrador de dispositivos

Una licencia Device Administration permite utilizar los servicios TACACS en un nodo de Policy Service. En una implementación independiente de alta disponibilidad, una licencia Device Administration permite utilizar los servicios TACACS en un único nodo de servicio de políticas en el par de alta disponibilidad. En Cisco ISE, se define como Device Admin y en el portal de licencias Smart, se define como Número máximo de nodos con derecho a transacciones TACACS+.

Licencias de dispositivo virtual

Cisco ISE 3.x en adelante incluye una nueva forma de licencia de VM, que es la licencia de VM Common. Si utiliza licencias de VM tradicionales, estas deben convertirse en licencias comunes de VM.

Para obtener información sobre los tipos de licencia y la conversión, consulte los enlaces:

Cambios clave en las licencias inteligentes en las nuevas versiones de ISE

  • Cambio de método de conexión de Smart Licensing:
    Cisco ISE 3.4 ha eliminado la compatibilidad con el método de conexión de gateway de transporte utilizado en Smart Licensing. Si estaba utilizando Transport Gateway para las licencias inteligentes, debe actualizar el método de conexión antes de actualizar a la versión 3.4. Si no se actualiza, el sistema cambia automáticamente a HTTPS directos durante la actualización, pero puede cambiarlo en cualquier momento después de la actualización.

  • Mejoras en la visibilidad de las licencias en 3.5:
    Cisco ISE 3.5 mejora el seguimiento de licencias para mejorar la visibilidad y la precisión. Los niveles y las funciones de las licencias siguen siendo los mismos, pero el uso de las licencias se alinea ahora con los terminales activos más activos. La aplicación aún no está activa en 3.5; en su lugar, las alertas de consumo no disruptivas notifican si el uso excede los límites de la licencia

Tipos de registro de licencias

Para la introducción de Cisco ISE 3.1, tiene tres opciones disponibles para habilitar Smart Licensing.

Reserva De Licencias De Software Inteligente (Directo-Https, HTTP-Proxy, SSM En Las Instalaciones)

Smart Software Licensing Reservation se utiliza de forma sencilla y eficaz con un único registro de token. Las licencias adquiridas se mantienen en una base de datos centralizada denominada CSSM. Inicie sesión en el portal CSSM para realizar un seguimiento sencillo de las licencias de terminales disponibles y de las estadísticas de consumo. En este modo, se requiere que Cisco ISE se conecte con CSSM directamente (HTTPS directos) o a través de proxy para intercambiar la información de consumo y cumplimiento. La nueva opción SSM On-Prem permite un ISE con espacios de ventilación para utilizar las funciones de CSSM en forma de un servidor local alojado como un servidor in situ (satélite).

Reserva de licencia específica (disponible en ISE 3.1 y versiones posteriores)

La reserva de licencia específica (SLR) permite a los clientes de redes muy seguras utilizar licencias inteligentes (y licencias inteligentes) sin comunicar la información de la licencia. SLR permite la reserva de licencias específicas, incluidas las licencias complementarias. SLR no requiere Cisco ISE para conectarse a CSSM y permite que Cisco ISE consuma las licencias presentes en la cuenta inteligente hasta que alcancen el vencimiento.

Configurar

Métodos de conexión (HTTPS/HTTPS-Proxy directo) para integrar CSSM con ISE

Paso 1. Vaya a Administration > System > Licensing:

ISE System

Paso 2. Elija Reserva de licencia de software inteligente en Tipo de licencia y pegue el token de registro en Detalles de registro. Elija el nivel aplicable según sea necesario. El proceso difiere ligeramente entre HTTPS directos y HTTPS proxy.

HTTPS directos

Paso 3. Para HTTPS directos, elija el Método de conexión como HTTPS directos y haga clic en Registrar:

License Type

Proxy HTTPS

Paso 4. Para asegurarse de que HTTPS Proxy esté preconfigurado, navegue hasta Administration > System > Settings.

Agregar detalles de proxy > Host, ID de usuario y Contraseña:

Registration Details

Paso 5. De nuevo en la página Cisco ISE Licensing, elija Connection Method como HTTPS Proxy y asegúrese de que el Proxy configurado se vea en la sección HTTPS Proxy. Haga clic en Register:

Proxy Settings

Por último, Cisco ISE ahora está registrado en CSSM y se puede encontrar una entrada para este nodo de ISE en las Instancias de productos de la cuenta virtual (desde donde se generó el token).

Configuración del servidor local de Smart Software Manager

Esta configuración requiere que se implemente un servidor SSM en las instalaciones (satélite) en el entorno. Una vez implementado y conectado, el servidor satélite actúa como un servidor de licencias local, lo que permite a Cisco ISE realizar las transacciones de licencias sin tener que ponerse en contacto con CSSM a través de Internet. A su vez, los servidores satélite pueden sincronizarse con CSSM en modo online o offline (utilizando archivos .yml). Puede encontrar más detalles sobre el servidor satélite en la Hoja de datos de Cisco Smart Software Manager On-Prem . Una guía de inicio rápido para instalar el servidor en las instalaciones está disponible en la SSM_On-Prem_8_Quick_Start_Guide .

En estos pasos se asume que el servidor satélite está configurado y que se ha agregado una cuenta virtual en CSSM que contiene licencias de Cisco ISE al servidor satélite. Los pasos para realizar el mismo seguimiento se pueden seguir en la Smart_Software_Manager_On-Prem_8-202006_Installation_Guide.


Paso 1. Inicie sesión en el servidor satélite y elija la opción Smart Licensing:

Satellite Server Login

Paso 2. Desde el inventario, genere un token y copie el valor del token. De nuevo en Cisco ISE, elija Reserva de licencia de software inteligente y como Método de conexión como servidor en las instalaciones de SSM:

Generate Token

Paso 3. El campo SSM On-Prem Server Host se toma del nombre de host configurado en el servidor On-Prem. Lo mismo se puede confirmar desde el On-Prem Server Admin Workspace > Security > Certificates > Host Common Name:

Smart Software Manager On-Prem

Paso 4. Una vez confirmado el nombre de host, agréguelo a Cisco ISE en el host del servidor SSM en las instalaciones y haga clic en Register. Después del registro correcto, Cisco ISE aparece en la lista de instancias de productos agregadas a la cuenta virtual en el servidor satélite.

Métodos de integración para ISE y CSSM

SLR

Paso 1. Navegue hasta Administration > System > Licensingcomo se muestra en la imagen:

Licensing

Paso 2. Para el Tipo de licencia, elija SLR y luego haga clic en Generar código. Copie el código de reserva generado, ya que es requerido por el CSSM para generar un código de autorización:

Choose Specific License Reservation

Paso 3. En CSSM, elija la cuenta virtual que contiene las licencias de Cisco ISE (Essential, Advantage, Premier, VM, TACACS+). En la sección Licencias, seleccione:

Virtual AccountL

Reserva de licencia.

Paso 4. Ingrese el código autorizado copiado de Cisco ISE y haga clic en Next para elegir la opciónReserve a specific licenseo. En función de las licencias disponibles, especifique los recuentos que se reservarán para Cisco ISE y haga clic en Next. Tenga en cuenta que las licencias de nivel superior y las licencias de VM permiten la sustitución, que es una licencia de nivel superior, que se puede utilizar para satisfacer las solicitudes de licencias de nivel inferior. Consulte el modelo de nivel Cisco ISE 3.x Licensing Model .

License Reservation

Paso 5. Revise y descargue el código de autorización generado mediante la opción Descargar como archivo. Vuelva a Cisco ISE y haga clic en Cargar clave de licencia de SLR para cargar el archivo. La fecha de vencimiento de las licencias en Cisco ISE refleja la fecha de vencimiento original de las licencias en la cuenta inteligente.

Devolución de la reserva para SLR

Paso 1. Haga clic en Devolver reserva y copie el código de reserva proporcionado y manténgalo a salvo.

Paso 2. Busque Instancias de productos para la cuenta virtual a la que se agrega Cisco ISE y busque ISE usando su número de serie. Haga clic en Actions > Remove, ingrese el código copiado en el Paso 1. y haga clic en Return Product Reservation. Esto devuelve las licencias reservadas a la Cuenta Virtual.

Troubleshoot

Pautas generales

  • Para Cisco ISE 3.0 p7, 3.1 p5 y 3.2 o posterior, compruebe la disponibilidad de este enlace: https://smartreceiver.cisco.com/.
  • Para versiones de ISE inferiores<= ISE 3.0, compruebe la disponibilidad de estos enlaces: tools.cisco.com, tools1.cisco.com, y tools2.cisco.com.
  • Estos enlaces son importantes porque desempeñan un papel fundamental en la comunicación con el CSSM de ida y vuelta. Si bloquea estas IP, Cisco ISE no podrá informar del uso de licencias al CSSM. Esta falta de información provocará la pérdida de acceso administrativo a Cisco ISE y restricciones en las funciones de Cisco ISE.

Atributos de registro de ISE que se establecerán en el nivel de depuración

  • Licencia (ise-psc.log)
  • admin-license (ise-psc.log)

Errores de registro y renovación

Para solucionar los errores de registro, comience verificando que no haya problemas de comunicación con Smart Licensing Cloud (https://tools.cisco.com/ o https://smartreceiver.cisco.com/). Existen varios factores que pueden interrumpir la conexión entre Cisco ISE y la nube de licencias inteligentes, entre los que se incluyen:

  • Firewalls u otros dispositivos que bloquean el tráfico.
  • Problemas de DNS. Si Cisco ISE no puede resolver el FQDN correspondiente para https://tools.cisco.com/ o https://smartreceiver.cisco.com/, no puede enviar la llamada a la API de registro.
  • Problemas con Smart Licensing Portal.

Solicitudes de API para investigar el estado de las licencias de ISE

Utilice las llamadas de la API HTTPS directamente desde el navegador para conocer el número de licencias que se están consumiendo en Cisco ISE:

  • https://<MnTNodeIP>/admin/API/mnt/Session/ActiveCount
  • https://<MnTNodeIP>/admin/API/mnt/Session/License/LicenseCountsFromSessionDB
  • https://<MnTNodeIP>/admin/API/mnt/License/Base
  • https://<NTNodeIP>/admin/API/mnt/License/Intermediate
  • https://<MnTNodeIP>/admin/API/mnt/License/Premium
  • https://<MnTNodeIP>/admin/API/mnt/Session/ActiveList

En Cisco ISE 3.1 o posterior, puede utilizar OpenAPI. Debe desplazarse hasta Administration > Settings > API Settings. Llamadas API que se utilizan para obtener más datos sobre el estado Licencias.

API Settings

tip-icon

Consejo: Asegúrese de que los servicios ERS y API abierta estén habilitados en Cisco ISE. Para comprobarlo, vaya a Administration > Settings > API Settings > API Service Settings. Debe activar estos servicios antes de acceder a las llamadas de la API a través de la URL si estos servicios no están habilitados.

Licensing API Endpoints

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
3.0
23-Apr-2026
Formato, idioma, enlaces.
1.0
03-Oct-2024
Versión inicial
TAC Authored

Con la colaboración de ingenieros de Cisco

  • Sankalp Trivedi
    Cisco TAC Engineer
  • Magesh Balraj
    Cisco TAC Engineer

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos