Intégrer ISE à Smart Licensing Server

Options de téléchargement

  • PDF     (1.5 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
Mis à jour:23 avril 2026
ID du document:222337

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document décrit comment configurer Smart Licensing sur Cisco ISE.

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

  • Version ISE 3.x
  • Accès aux licences logicielles Smart
  • Cisco Smart Software Manager (CSSM) version 8 version 202010+ pour On-Prem (en option)

Composants utilisés

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Informations générales

Cisco ISE Connectivity

À partir de Cisco ISE 3.0, une licence Smart est requise. Cisco Smart Licensing simplifie l'acquisition, le déploiement et la gestion des licences en permettant aux périphériques de s'enregistrer automatiquement et de générer des rapports sur l'utilisation de ces manières :

  1. Lorsqu'un jeton de licence Smart est actif et enregistré dans le portail d'administration Cisco ISE, le CSSM surveille la consommation des licences par session de point d'extrémité et par licence de produit.
  2. Smart Licensing informe l'administrateur de la consommation de licences par session de point d'extrémité avec une disposition de tableau simple dans Cisco ISE.
  3. Smart Licensing signale quotidiennement l'utilisation maximale de chaque licence activée à la base de données centralisée.
  4. Cisco ISE prélève des échantillons internes de consommation de licences toutes les 30 minutes. La conformité et la consommation des licences sont mises à jour en conséquence.
  5. À partir du moment où vous enregistrez votre noeud d'administration principale (PAN) Cisco ISE auprès du CSSM, Cisco ISE signale au serveur CSSM le nombre maximal de licences consommées toutes les six heures.
  6. Les rapports sur le nombre de pics d'utilisation permettent de garantir que la consommation de licences dans Cisco ISE est conforme aux licences achetées et enregistrées.
  7. Cisco ISE communique avec le serveur CSSM en stockant une copie locale du certificat CSSM.
  8. Le certificat CSSM est automatiquement réautorisé pendant la synchronisation quotidienne et lorsque vous actualisez la table Licences. En général, les certificats CSSM sont valides pendant six mois.
  9. Par conséquent, Cisco ISE a besoin d'une connectivité réseau pour atteindre le CSSM.

Flux de consommation de licence

TACACS+

Licence d'administration de périphérique (PID : L-ISE-TACACS-ND=) active les services TACACS+ sur un noeud de service de stratégie (PSN). Chaque PSN qui utilise TACACS+ nécessite sa propre licence Device Admin. L'administration des périphériques TACACS+ ne tient pas compte de l'utilisation des terminaux et n'impose aucune limite au nombre de périphériques réseau que vous pouvez gérer. Une licence essentielle n'est pas nécessaire pour gérer les périphériques d'accès réseau (NAD) tels que les routeurs et les commutateurs.

Licence de terminal comptable

Accounting Endpoint License

note-icon

Remarque : Le schéma utilise des terminologies de licence traditionnelles, mais celles-ci s'appliquent également aux nouvelles licences de niveau référencées dans la documentation.

Le nombre de terminaux actifs peut différer des licences utilisées, car chaque terminal peut avoir plusieurs sessions. La consommation de licences est basée sur le nombre de sessions actives, et pas seulement sur le nombre de terminaux. Par exemple, un système avec 10 terminaux actifs avec plusieurs sessions peut utiliser plus de licences.

Assurez-vous que la gestion des comptes est activée sur les points d'accès sans fil et sur le commutateur. La consommation de licence est déterminée par les messages Start - Stop envoyés par le client AAA au serveur AAA.

Cisco ISE utilise des règles spécifiques afin de gérer les sessions de surveillance et de dépannage (MnT), en s'appuyant sur les messages de comptabilité des périphériques d'accès réseau (NAD). Voici comment Cisco ISE traite les sessions en fonction de ces messages de comptabilité :

  • Si Cisco ISE reçoit une demande d'authentification RADIUS mais aucun message de gestion des comptes, il maintient la session active pendant 1 heure.
  • À la réception d'un message de gestion des comptes, Cisco ISE maintient la session pendant 5 jours maximum ou jusqu'à la réception d'un message d'arrêt de gestion des comptes.
  • La session de licence est libérée immédiatement après la réception d'un message d'arrêt de la gestion des comptes.
  • Une mise à jour intermédiaire prolonge les 5 jours.

Licences ISE

Évaluation

Les licences d'évaluation sont activées par défaut lors de l'installation ou de la mise à niveau vers Cisco ISE version 3.x et versions ultérieures. La licence d'évaluation est active pendant 90 jours et vous avez accès à toutes les fonctionnalités de Cisco ISE pendant cette période. Cisco ISE est considéré comme étant en mode d'évaluation lorsque la licence d'évaluation est utilisée. Le coin supérieur droit du portail d'administration de Cisco ISE affiche un message indiquant le nombre de jours restant en mode d'évaluation.

ISE Dashboard

Niveau

Les licences Tier remplacent les licences Base, Apex et Plus utilisées dans les versions antérieures à la version 3.x. Les licences de niveau incluent trois licences : Essentials, Advantage et Premier. Si vous disposez actuellement de licences de base, Apex ou Plus, utilisez le CSSM afin de les convertir en nouveaux types de licence.

Administrateur de périphériques

Une licence Device Administration vous permet d'utiliser les services TACACS sur un noeud Policy Service. Dans un déploiement autonome haute disponibilité, une licence d'administration de périphériques vous permet d'utiliser les services TACACS sur un noeud Policy Service unique dans la paire haute disponibilité. Sur Cisco ISE, il est défini comme Device Admin et sur le portail de licences Smart, il est défini comme Maximum number of nodes allowed to TACACS+ transactions.

Licences d'appliance virtuelle

À partir de la version 3.x de Cisco ISE, une nouvelle forme de licence de VM est proposée, à savoir la licence VM Common. Si vous utilisez des licences VM traditionnelles, elles doivent être converties en licences VM communes.

Pour plus d'informations sur les types de licences et leur conversion, consultez les liens suivants :

Principales modifications apportées aux licences Smart sur les nouvelles versions ISE

  • Modification de la méthode de connexion de licence Smart :
    Cisco ISE 3.4 a supprimé la prise en charge de la méthode de connexion de la passerelle de transport utilisée dans Smart Licensing. Si vous utilisiez la passerelle de transport pour les licences Smart, vous devez mettre à jour la méthode de connexion avant la mise à niveau vers la version 3.4. Si vous ne la mettez pas à jour, le système bascule automatiquement vers Direct HTTPS pendant la mise à niveau, mais vous pouvez la modifier à tout moment après la mise à niveau.

  • Améliorations de la visibilité des licences dans 3.5 :
    Cisco ISE 3.5 améliore le suivi des licences pour une meilleure visibilité et précision. Les niveaux de licence et les fonctionnalités restent identiques, mais l'utilisation des licences est désormais alignée sur les terminaux actifs de pointe. L'application n'est pas encore active dans la section 3.5 ; au lieu de cela, les alertes de consommation sans interruption signalent si l'utilisation dépasse les limites de licence

Types d'enregistrement de licence

Pour l'introduction de Cisco ISE 3.1, vous disposez de trois options pour activer Smart Licensing.

Réservation de licences logicielles Smart (Direct-Https, HTTP-Proxy, SSM On-Prem)

Smart Software Licensing Reservation est facile à utiliser et efficace avec un enregistrement de jeton unique. Les licences que vous achetez sont conservées dans une base de données centralisée appelée CSSM. Connectez-vous au portail CSSM afin de suivre facilement les licences de point d'extrémité qui sont à votre disposition et les statistiques de consommation. Dans ce mode, Cisco ISE doit se connecter à CSSM directement (HTTPS direct) ou via un proxy afin d'échanger les informations de consommation et de conformité. La nouvelle option SSM On-Prem permet l'ISE à air-gapped afin d'utiliser les fonctionnalités de CSSM sous la forme d'un serveur local hébergé en tant que serveur On-Prem (Satellite).

Réservation de licence spécifique (disponible dans ISE 3.1 et versions ultérieures)

La réservation de licence spécifique (SLR) permet aux clients de réseaux hautement sécurisés d'utiliser les licences Smart (et les licences Smart) sans communiquer les informations de licence. SLR permet de réserver des licences spécifiques, y compris des licences complémentaires. SLR ne nécessite pas Cisco ISE pour se connecter à CSSM et permet à Cisco ISE d'utiliser les licences présentes dans le compte Smart jusqu'à leur expiration.

Configurer

Méthodes de connexion (HTTPS/HTTPS-Proxy direct) pour l'intégration de CSSM à ISE

Étape 1. Accédez à Administration > System > Licensing:

ISE System

Étape 2. Choisissez Smart Software Licensing Reservation dans License Type et collez le jeton d'enregistrement dans la section Registration Details. Sélectionnez le niveau applicable selon les besoins. Le processus diffère légèrement entre le proxy HTTPS direct et le proxy HTTPS.

HTTPS direct

Étape 3. Pour Direct HTTPS, choisissez la méthode de connexion comme Direct HTTPS et cliquez sur Register :

License Type

Proxy HTTPS

Étape 4. Afin de vous assurer que le proxy HTTPS est préconfiguré, accédez à Administration > System > Settings.

Ajoutez les détails du proxy > Hôte, ID utilisateur et Mot de passe :

Registration Details

Étape 5. De retour à la page Cisco ISE Licensing, choisissez Connection Method as HTTPS Proxy et vérifiez que le proxy configuré est visible dans la section HTTPS Proxy. Cliquez sur Register :

Proxy Settings

Enfin, Cisco ISE est maintenant enregistré auprès de CSSM et une entrée pour ce noeud ISE se trouve dans les instances de produit dans le compte virtuel (à partir duquel le jeton a été généré).

Configuration du serveur sur site Smart Software Manager

Cette configuration nécessite le déploiement d'un serveur SSM On-Prem (Satellite) dans l'environnement. Une fois déployé et connecté, le serveur satellite agit en tant que serveur de licences local, permettant à Cisco ISE d'effectuer les transactions de licences sans avoir à contacter CSSM via Internet. Les serveurs satellites peuvent à leur tour se synchroniser avec CSSM en mode en ligne ou hors ligne (à l'aide de fichiers .yml). Pour plus d'informations sur le serveur Satellite, reportez-vous à la fiche technique sur site de Cisco Smart Software Manager . Un guide de démarrage rapide pour l'installation du serveur On-Prem est disponible dans le SSM_On-Prem_8_Quick_Start_Guide .

Ces étapes supposent que le serveur satellite est configuré et qu'un compte virtuel sur CSSM contenant des licences Cisco ISE est ajouté au serveur satellite. Les étapes pour effectuer la même opération peuvent être retracées dans le Smart_Software_Manager_On-Prem_8-202006_Installation_Guide.


Étape 1. Connectez-vous au serveur satellite et sélectionnez l’option Smart Licensing :

Satellite Server Login

Étape 2. À partir de l'inventaire, générez un jeton et copiez sa valeur. De retour sur Cisco ISE, choisissez Réservation de licences logicielles Smart et comme méthode de connexion en tant que serveur sur site SSM :

Generate Token

Étape 3. Le champ SSM On-Prem Server Host provient du nom d'hôte configuré sur le serveur local. La même chose peut être confirmée à partir de la On-Prem Server Admin Workspace > Security > Certificates > Host Common Name:

Smart Software Manager On-Prem

Étape 4. Une fois le nom d’hôte confirmé, ajoutez-le à Cisco ISE sous l’hôte du serveur sur site SSM et cliquez sur Register. Une fois l'enregistrement réussi, Cisco ISE apparaît dans la liste des instances de produit ajoutées au compte virtuel sur le serveur satellite.

Méthodes d'intégration pour ISE et CSSM

REFLEX

Étape 1. Accédez à Administration > System > Licensingcomme indiqué dans l’image :

Licensing

Étape 2. Pour le type de licence, choisissez SLR, puis cliquez sur Generate Code. Copiez le code de réservation généré comme requis par le CSSM afin de générer un code d'autorisation :

Choose Specific License Reservation

Étape 3. Sur CSSM, choisissez le compte virtuel qui contient les licences Cisco ISE (Essential, Advantage, Premier, VM, TACACS+). Dans la section Licences, sélectionnez :

Virtual AccountL

Réservation de licence.

Étape 4. Entrez le code autorisé copié à partir de Cisco ISE et cliquez sur Next afin de choisir l'option oReserve a specific license. En fonction des licences disponibles, spécifiez les nombres à réserver pour Cisco ISE et cliquez sur Next. Notez que les licences de niveau et les licences de VM permettent de remplacer les licences de niveau supérieur afin de répondre aux demandes de licences de niveau inférieur. Consultez le modèle de niveau Cisco ISE 3.x Licensing Model .

License Reservation

Étape 5. Examinez et téléchargez le code d’autorisation généré à l’aide de l’option Télécharger en tant que fichier. Revenez à Cisco ISE et cliquez sur Upload SLR License Key afin de télécharger le fichier. La date d'expiration des licences sur Cisco ISE correspond à la date d'expiration initiale des licences sur le compte Smart.

Renvoi de la réservation pour SLR

Étape 1. Cliquez sur Return Reservation et copiez le code de réservation fourni et gardez-le en sécurité.

Étape 2. Accédez à Product Instances pour le compte virtuel auquel Cisco ISE est ajouté et recherchez ISE à l'aide de son numéro de série. Cliquez sur Actions > Remove, entrez le code copié à l'étape 1. et cliquez sur Return Product Reservation. Cela renvoie les licences réservées au compte virtuel.

Dépannage

Directives générales

  • Pour Cisco ISE 3.0 p7, 3.1 p5 et 3.2 ou version ultérieure, vérifiez l'accessibilité de ce lien : https://smartreceiver.cisco.com/.
  • Pour les versions inférieures d'ISE<= Ise 3.0, vérifiez l'accessibilité de ces liens : tools.cisco.com, tools1.cisco.com et tools2.cisco.com.
  • Ces liens sont importants car ils jouent un rôle vital dans la communication avec le CSSM de et vers. Si vous bloquez ces adresses IP, Cisco ISE ne peut pas signaler l'utilisation de la licence au CSSM. Ce manque de rapports entraîne la perte de l'accès administratif à Cisco ISE et des restrictions dans les fonctionnalités Cisco ISE.

Attributs de journalisation ISE à définir sur le niveau de débogage

  • Licence (ise-psc.log)
  • admin-license (ise-psc.log)

Erreurs d'inscription et de renouvellement

Afin de résoudre les erreurs d'enregistrement, commencez par vérifier qu'il n'y a aucun problème de communication avec le cloud de licences Smart (https://tools.cisco.com/ ou https://smartreceiver.cisco.com/). Plusieurs facteurs peuvent perturber la connexion entre Cisco ISE et le cloud de licences Smart, notamment :

  • Pare-feu ou autres périphériques bloquant le trafic.
  • Problèmes DNS. Si Cisco ISE ne peut pas résoudre le nom de domaine complet correspondant pour https://tools.cisco.com/ ou https://smartreceiver.cisco.com/, il ne peut pas envoyer l'appel d'API d'enregistrement.
  • Problèmes avec le portail de licences Smart.

Demandes API pour étudier l'état des licences ISE

Utilisez les appels de l'API HTTPS directement à partir du navigateur afin de connaître le nombre de licences utilisées sur Cisco ISE :

  • https://<MnTNodeIP>/admin/API/mnt/Session/ActiveCount
  • https://<MnTNodeIP>/admin/API/mnt/Session/License/LicenseCountsFromSessionDB
  • https://<MnTNodeIP>/admin/API/mnt/Licence/Base
  • https://<MnTNodeIP>/admin/API/mnt/License/Intermediate
  • https://<MnTNodeIP>/admin/API/mnt/License/Premium
  • https://<MnTNodeIP>/admin/API/mnt/Session/ActiveList

Dans Cisco ISE 3.1 ou version ultérieure, vous pouvez utiliser OpenAPI. Vous devez naviguer jusqu'à ce que les appels d'Administration > Settings > API Settings.API soient utilisés pour obtenir plus de données sur l'état des licences.

API Settings

tip-icon

Conseil : Vérifiez que les services ERS et Open API sont activés dans Cisco ISE. Vous pouvez le vérifier en accédant à Administration > Settings > API Settings > API Service Settings. Vous devez activer ces services avant d'accéder aux appels API via l'URL si ces services ne sont pas activés.

Licensing API Endpoints

Informations connexes

Historique de révision

Révision Date de publication Commentaires
3.0
23-Apr-2026
Mise en forme, langue, liens.
1.0
03-Oct-2024
Première publication
TAC Authored

Contribution d’experts de Cisco

  • Sankalp Trivedi
    Ingénieur TAC Cisco
  • Magesh Balraj
    Ingénieur TAC Cisco

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits