Integrare ISE con Smart Licensing Server

Opzioni per il download

  • PDF     (1.5 MB)
    Visualizza con Adobe Reader su diversi dispositivi
Aggiornato:23 aprile 2026
ID documento:222337

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

In questo documento viene descritto come configurare Smart Licensing su Cisco ISE.

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

  • ISE versione 3.x
  • Accesso a licenze Smart Software
  • Cisco Smart Software Manager (CSM) versione 8, versione 2020+ per locale (opzionale)

Componenti usati

Il documento può essere consultato per tutte le versioni software o hardware.

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Premesse

Cisco ISE Connectivity

A partire da Cisco ISE 3.0, è necessario usare una licenza Smart. Cisco Smart Licensing semplifica l'approvvigionamento, l'installazione e la gestione delle licenze consentendo ai dispositivi di registrarsi automaticamente e segnalare l'utilizzo nei seguenti modi:

  1. Quando un token di licenza intelligente è attivo e registrato nel portale di amministrazione di Cisco ISE, il CSM monitora l'utilizzo delle licenze per ciascuna sessione dell'endpoint per ciascuna licenza del prodotto.
  2. Smart Licensing informa l'amministratore dell'utilizzo della licenza per sessione dell'endpoint con un layout di tabella semplice in Cisco ISE.
  3. Smart Licensing segnala quotidianamente al database centralizzato l'utilizzo massimo di ciascuna licenza abilitata.
  4. Cisco ISE preleva campioni interni del consumo delle licenze ogni 30 minuti. La conformità e il consumo delle licenze vengono aggiornati di conseguenza.
  5. Dal momento della registrazione del proprio Cisco ISE Primary Administration node (PAN) con il CSM, Cisco ISE segnala ogni sei ore i valori massimi di consumo della licenza al server CSM.
  6. I rapporti sul numero di picchi garantiscono che il consumo delle licenze in Cisco ISE sia conforme alle licenze acquistate e registrate.
  7. Cisco ISE comunica con il server CSM archiviando una copia locale del certificato CSM.
  8. Il certificato CSM viene automaticamente riautorizzato durante la sincronizzazione giornaliera e quando si aggiorna la tabella Licenze. In genere, i certificati CSM sono validi per sei mesi.
  9. Di conseguenza, Cisco ISE ha bisogno della connettività di rete per raggiungere il CSM.

Flusso consumo licenze

TACACS+

La licenza di amministrazione del dispositivo (PID: L-ISE-TACACS-ND=) attiva i servizi TACACS+ su un Policy Service Node (PSN). Ogni PSN che utilizza TACACS+ richiede una propria licenza Device Admin. L'amministrazione dei dispositivi TACACS+ non considera l'utilizzo degli endpoint e non impone limiti al numero di dispositivi di rete che è possibile gestire. Non è necessaria una licenza essenziale per gestire i dispositivi di accesso alla rete (NAD), quali router e switch.

Licenza per endpoint di accounting

Accounting Endpoint License

note-icon

Nota: Il diagramma utilizza terminologie di licenza tradizionali, ma queste sono valide anche per le nuove licenze di livello a cui si fa riferimento nella documentazione.

Il numero di endpoint attivi può essere diverso dalle licenze utilizzate, in quanto ogni endpoint può avere più sessioni. Il consumo delle licenze si basa sul numero di sessioni attive, non solo sul numero di endpoint. Ad esempio, un sistema con 10 endpoint attivi con più sessioni può utilizzare più licenze.

Verificare che l'accounting sia abilitato sui punti di accesso wireless e sullo switch. Il consumo delle licenze è determinato dai messaggi Start - Stop inviati dal client AAA al server AAA.

Cisco ISE utilizza regole specifiche per gestire le sessioni di monitoraggio e risoluzione dei problemi (MnT), basandosi sui messaggi di accounting dei dispositivi di accesso alla rete (NAD). Di seguito viene riportata la procedura con cui Cisco ISE elabora le sessioni in base a questi messaggi di accounting:

  • Se Cisco ISE riceve una richiesta di autenticazione RADIUS ma non un messaggio di accounting, mantiene la sessione attiva per 1 ora.
  • Dopo aver ricevuto un messaggio di accounting, Cisco ISE mantiene la sessione per un massimo di 5 giorni o fino alla ricezione di un messaggio di arresto dell'accounting.
  • La sessione di licenza viene rilasciata immediatamente dopo la ricezione di un messaggio di interruzione dell'accounting.
  • Un aggiornamento provvisorio prolunga i 5 giorni.

Licenze ISE

Valutazione

Le licenze di valutazione vengono attivate per impostazione predefinita quando si installa o si esegue l'aggiornamento a Cisco ISE release 3.x e versioni successive. La licenza di valutazione è attiva per 90 giorni e durante questo periodo di tempo hai accesso a tutte le funzionalità di Cisco ISE. Cisco ISE è considerato in modalità di valutazione quando la licenza di valutazione è in uso. Nell'angolo in alto a destra del portale di amministrazione di Cisco ISE viene visualizzato un messaggio con il numero di giorni rimasti in modalità di valutazione.

ISE Dashboard

Livello

Le licenze Tier sostituiscono le licenze Base, Apex e Plus utilizzate nelle versioni precedenti alla 3.x. Le licenze Tier includono tre licenze: Essentials, Advantage e Premier. Se al momento si dispone di licenze Base, Apex o Plus, utilizzare il modulo CSM per convertirle nei nuovi tipi di licenza.

Amministratore del dispositivo

Una licenza di Device Administration consente di utilizzare i servizi TACACS su un nodo di Policy Service. In un'implementazione standalone ad alta disponibilità, una licenza di Device Administration consente di utilizzare i servizi TACACS su un singolo nodo di Policy Service nella coppia ad alta disponibilità. Su Cisco ISE, è definita come Device Admin e sul portale delle licenze Smart, è definita come numero massimo di nodi autorizzati alle transazioni TACACS+.

Licenze Virtual Appliance

A partire da Cisco ISE 3.x viene fornito un nuovo tipo di licenza VM, ovvero la licenza VM Common. Se si utilizzano licenze VM tradizionali, è necessario convertirle in licenze VM comuni.

Per informazioni sui tipi di licenza e sulla conversione, fare riferimento ai collegamenti seguenti:

Modifiche chiave alle licenze Smart sulle nuove versioni ISE

  • Modifica del metodo di connessione di Smart Licensing:
    Cisco ISE 3.4 ha rimosso il supporto per il metodo di connessione Transport Gateway utilizzato in Smart Licensing. Se si stava utilizzando Transport Gateway per le licenze intelligenti, è necessario aggiornare il metodo di connessione prima di eseguire l'aggiornamento alla versione 3.4. Se non viene aggiornato, il sistema passa automaticamente a Direct HTTPS durante l'aggiornamento, ma è possibile modificarlo in qualsiasi momento dopo l'aggiornamento.

  • Miglioramenti della visibilità delle licenze nella versione 3.5:
    Cisco ISE 3.5 migliora il monitoraggio delle licenze per migliorare la visibilità e la precisione. I livelli delle licenze e le funzionalità rimangono gli stessi, ma l'utilizzo della licenza è ora allineato agli endpoint attivi di picco. L'applicazione non è ancora attiva nella versione 3.5. al contrario, gli avvisi di consumo senza interruzioni notificano se l'utilizzo supera i limiti concessi in licenza

Tipi di registrazione licenza

Per l'introduzione di Cisco ISE 3.1, sono disponibili tre opzioni per abilitare Smart Licensing.

Prenotazione licenze software Smart (Direct-Https, HTTP-Proxy, SSM locale)

Prenotazione licenze software intelligente: facile ed efficiente da utilizzare con la registrazione di un singolo token. Le licenze acquistate vengono gestite in un database centralizzato denominato CSSM. Accedere al portale CSM per tenere facilmente traccia delle licenze degli endpoint disponibili e delle statistiche di consumo. In questa modalità, Cisco ISE deve connettersi con CSM direttamente (Direct HTTPS) o tramite proxy per scambiare le informazioni sul consumo e sulla conformità. La nuova opzione SSM On-Prem permette ad ISE con air-gapped di utilizzare le funzionalità di CSSM sotto forma di un server locale ospitato come un server locale (satellite).

Prenotazione della licenza specifica (disponibile a partire da ISE 3.1)

SLR (Specific License Reservation) consente ai clienti in reti altamente sicure di utilizzare licenze Smart Licensing (e licenze Smart) senza comunicare le informazioni sulla licenza. SLR consente la prenotazione di licenze specifiche, incluse le licenze aggiuntive. SLR non richiede Cisco ISE per la connessione al modulo CSM e consente a Cisco ISE di usare le licenze presenti nello Smart Account fino alla scadenza.

Configurazione

Metodi di connessione (Direct HTTPS/HTTPS-Proxy) per l'integrazione di CSM con ISE

Passaggio 1. Passare a Administration > System > Licensing:

ISE System

Passaggio 2. Scegliere Smart Software Licensing Reserving in Tipo di licenza e incollare il token di registrazione in Dettagli registrazione. Scegliere il livello applicabile come richiesto. Il processo differisce leggermente tra Direct HTTPS e Proxy HTTPS.

HTTPS diretto

Passaggio 3. Per HTTPS diretto, scegliere il metodo di connessione come HTTPS diretto e fare clic su Registra:

License Type

Proxy HTTPS

Passaggio 4. Per verificare che il proxy HTTPS sia preconfigurato, selezionare Amministrazione > Sistema > Impostazioni.

Aggiungi dettagli proxy > Host, ID utente e Password:

Registration Details

Passaggio 5. Nella pagina Cisco ISE Licensing, scegliere Metodo di connessione come proxy HTTPS e verificare che il proxy configurato sia visualizzato nella sezione Proxy HTTPS. Fare clic su Registra:

Proxy Settings

Infine, Cisco ISE è ora registrato nel CSM e una voce per questo nodo ISE è disponibile nelle istanze del prodotto nell'account virtuale (da cui è stato generato il token).

Configurazione del server locale di Smart Software Manager

Questa configurazione richiede la distribuzione nell'ambiente di un server locale SSM (satellite). Una volta distribuito e connesso, il server satellitare funge da server licenze locale consentendo a Cisco ISE di eseguire le transazioni di licenza senza raggiungere CSM tramite Internet. I server satellite possono a loro volta sincronizzarsi con CSM in modalità online o offline (utilizzando file .yml). Ulteriori informazioni sul server Satellite sono disponibili nella Scheda tecnica locale di Cisco Smart Software Manager. Una guida rapida all'installazione del server locale è disponibile in SSM_On-Prem_8_Quick_Start_Guide .

In questa procedura, si presume che il server satellite sia configurato e che al server satellite sia stato aggiunto un account virtuale in CSM contenente licenze Cisco ISE. I passaggi per eseguire la stessa operazione possono essere tracciati nella Smart_Software_Manager_On-Prem_8-202006_Installation_Guide.


Passaggio 1. Accedere a Satellite Server e scegliere l'opzione Smart Licensing:

Satellite Server Login

Passaggio 2. Dal magazzino, generare un token e copiare il valore del token. Tornando a Cisco ISE, selezionare Smart Software Licensing Reserving e come metodo di connessione come server locale SSM:

Generate Token

Passaggio 3. Il campo Host server locale SSM viene ricavato dal nome host configurato nel server locale. Lo stesso può essere confermato dal On-Prem Server Admin Workspace > Security > Certificates > Host Common Name:

Smart Software Manager On-Prem

Passaggio 4. Dopo aver confermato il nome host, aggiungerlo a Cisco ISE nell'host del server locale SSM e fare clic su Register. Dopo aver completato la registrazione, Cisco ISE viene visualizzato nell'elenco di istanze del prodotto aggiunte all'account virtuale sul Satellite Server.

Metodi di integrazione per ISE e CSSM

SLR

Passaggio 1. Passare a Administration > System > Licensingcome mostrato nell'immagine:

Licensing

Passaggio 2. Per il tipo di licenza, scegliere SLR, quindi fare clic su Genera codice. Copiare il codice di prenotazione generato come richiesto dal CSSM per generare un codice di autorizzazione:

Choose Specific License Reservation

Passaggio 3. Su CSSM, scegliere l'account virtuale che contiene le licenze Cisco ISE (Essential, Advantage, Premier, VM, TACACS+). Nella sezione Licenze, scegliere:

Virtual AccountL

Prenotazione licenza.

Passaggio 4. Immettere il codice autorizzato copiato da Cisco ISE e fare clic su Next (Avanti) per scegliere l'opzione relativaReserve a specific licenseal software. A seconda delle licenze disponibili, specificare il numero di licenze da riservare per Cisco ISE e fare clic su Next. Le licenze Tier e le licenze VM consentono di sostituire le licenze di livello superiore per soddisfare le richieste di licenze di livello inferiore. Controllare il modello Tier Cisco ISE 3.x .

License Reservation

Passaggio 5. Esaminare e scaricare il codice di autorizzazione generato utilizzando l'opzione Scarica come file. Tornare a Cisco ISE e fare clic su Upload SLR License Key per caricare il file. La data di scadenza delle licenze su Cisco ISE riflette la data di scadenza originale delle licenze sullo Smart Account.

Restituzione prenotazione per SLR

Passaggio 1. Fare clic su Restituisci prenotazione, copiare il codice di prenotazione fornito e mantenerlo sicuro.

Passaggio 2. Cercare Product Instances per l'account virtuale a cui Cisco ISE è stato aggiunto e cercare ISE utilizzando il relativo numero di serie. Fare clic su Actions > Remove, immettere il codice copiato nel passaggio 1 e fare clic su Return Product Reservation. In questo modo le licenze riservate vengono restituite all'account virtuale.

Risoluzione dei problemi

Indicazioni generali

  • Per Cisco ISE 3.0 p7, 3.1 p5 e 3.2 o versioni successive, verificare la raggiungibilità di questo collegamento: https://smartreceiver.cisco.com/.
  • Per le versioni ISE precedenti <= ISE 3.0, verificare la raggiungibilità dei seguenti collegamenti: tools.cisco.com, tools1.cisco.com e tools2.cisco.com.
  • Questi collegamenti sono importanti perché giocano un ruolo fondamentale nella comunicazione con il CSM da e verso il CSM. Se si bloccano questi IP, Cisco ISE non sarà in grado di segnalare l'utilizzo della licenza al CSM e la mancanza di report causerà la perdita dell'accesso amministrativo a Cisco ISE e le restrizioni nelle funzionalità di Cisco ISE.

Attributi di log ISE da impostare sul livello di debug

  • Licenza (ise-psc.log)
  • licenza-amministratore (ise-psc.log)

Errori di registrazione e rinnovo

Per risolvere gli errori di registrazione, verificare innanzitutto che non vi siano problemi di comunicazione con Smart Licensing Cloud (https://tools.cisco.com/ o https://smartreceiver.cisco.com/). Diversi fattori possono interrompere la connessione tra Cisco ISE e Smart Licensing Cloud, tra cui:

  • I firewall o altri dispositivi bloccano il traffico.
  • Problemi DNS. Se Cisco ISE non è in grado di risolvere l'FQDN corrispondente per https://tools.cisco.com/ o https://smartreceiver.cisco.com/, non è in grado di inviare la chiamata API di registrazione.
  • Problemi relativi al portale delle licenze Smart.

Richieste API per verificare lo stato delle licenze ISE

Per conoscere il numero di licenze usate su Cisco ISE, usare le chiamate HTTPS API direttamente dal browser:

  • https://<MnTNodeIP>/admin/API/mnt/Session/ActiveCount
  • https://<MnTNodeIP>/admin/API/mnt/Session/License/LicenseCountsFromSessionDB
  • https://<MnTNodeIP>/admin/API/mnt/License/Base
  • https://<MnTNodeIP>/admin/API/mnt/License/Intermediate
  • https://<MnTNodeIP>/admin/API/mnt/License/Premium
  • https://<MnTNodeIP>/admin/API/mnt/Session/ActiveList

In Cisco ISE 3.1 o versioni successive, è possibile usare OpenAPI. Per ottenere ulteriori dati sullo stato di gestione licenze, è necessario passare alle Administration > Settings > API Settings. chiamate API.

API Settings

tip-icon

Suggerimento: Verificare che i servizi ERS e Open API siano abilitati in Cisco ISE. Per verificare questa condizione, passare a Administration > Settings > API Settings > API Service Settings. È necessario attivare questi servizi prima di accedere alle chiamate API tramite l'URL se questi servizi non sono abilitati.

Licensing API Endpoints

Informazioni correlate

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
3.0
23-Apr-2026
Formattazione, lingua, collegamenti.
1.0
03-Oct-2024
Versione iniziale
TAC Authored

Contributo dei tecnici Cisco

  • Sankalp Trivedi
    Cisco TAC Engineer
  • Magesh Balraj
    Cisco TAC Engineer

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti