ISEとスマートライセンスサーバの統合

ダウンロード オプション

  • PDF     (1.7 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
Updated: 2026 年 4 月 23 日
Document ID:222337

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

はじめに

このドキュメントでは、Cisco ISEでスマートライセンスを設定する方法について説明します。

前提条件

要 件

次の項目に関する知識があることが推奨されます。

  • ISE 3.xリリース
  • Smart Software Licensingへのアクセス
  • オンプレミス用Cisco Smart Software Manager(CSSM)バージョン8リリース202010+(オプション)

使用するコンポーネント

このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

バックグラウンド情報

Cisco ISE Connectivity

Cisco ISE 3.0以降では、スマートライセンスが必要です。Cisco Smart Licensingを使用すると、次の方法でデバイスを自己登録し、使用状況をレポートできるため、ライセンスの調達、導入、および管理が簡素化されます。

  1. スマートライセンストークンがアクティブで、Cisco ISE管理ポータルに登録されると、CSSMは製品ライセンスごとに各エンドポイントセッションによるライセンス消費を監視します。
  2. スマートライセンスは、Cisco ISEのシンプルなテーブルレイアウトを使用して、エンドポイントセッションごとのライセンス消費を管理者に通知します。
  3. スマートライセンスは、有効な各ライセンスのピーク使用状況を集中型データベースに毎日報告します。
  4. Cisco ISEは、ライセンス消費の内部サンプルを30分ごとに取得します。それに応じて、ライセンスのコンプライアンスと消費が更新されます。
  5. Cisco ISEプライマリ管理ノード(PAN)をCSSMに登録した時点から、Cisco ISEは6時間ごとにライセンス消費のピーク数をCSSMサーバに報告します。
  6. ピーク数レポートは、Cisco ISEのライセンス消費が購入および登録されたライセンスに確実に準拠するのに役立ちます。
  7. Cisco ISEは、CSSM証明書のローカルコピーを保存することによって、CSSMサーバと通信します。
  8. CSSM証明書は、毎日の同期の間、および「ライセンス」テーブルを更新すると、自動的に再認証されます。通常、CSSM証明書は6ヵ月間有効です。
  9. その結果、Cisco ISEはCSSMに到達するためにネットワーク接続を必要とします。

ライセンス消費のフロー

TACACS+

デバイス管理者ライセンス(PID:L-ISE-TACACS-ND=)は、ポリシーサービスノード(PSN)でTACACS+サービスをアクティブ化します。 TACACS+を使用する各PSNには、独自のDevice Adminライセンスが必要です。TACACS+のデバイス管理では、エンドポイントの使用はカウントされず、管理可能なネットワークデバイスの数に制限はありません。ルータやスイッチなどのネットワークアクセスデバイス(NAD)の管理には、Essentialライセンスは必要ありません。

アカウンティングエンドポイントライセンス

Accounting Endpoint License

note-icon

:この図では従来のライセンスの用語を使用していますが、この用語はドキュメント全体で参照されている新しい階層ライセンスにも適用されます。

各エンドポイントは複数のセッションを持つことができるため、アクティブなエンドポイントの数と使用するライセンスの数は異なる場合があります。ライセンスの消費は、エンドポイントの数だけでなく、アクティブなセッションの数にも基づきます。たとえば、複数のセッションを持つ10個のアクティブエンドポイントを持つシステムでは、より多くのライセンスを使用できます。

ワイヤレスアクセスポイントとスイッチの両方でアカウンティングが有効になっていることを確認します。ライセンスの消費は、AAAクライアントからAAAサーバに送信されるStart - Stopメッセージによって決定されます。

Cisco ISEは、Monitoring and Troubleshooting(MnT)でセッションを管理するために特定のルールを使用し、ネットワークアクセスデバイス(NAD)からのアカウンティングメッセージに依存します。 Cisco ISEは、次のアカウンティングメッセージに基づいてセッションを処理します。

  • Cisco ISEは、RADIUS認証要求を受信してもアカウンティングメッセージを受信しない場合、セッションを1時間アクティブに保ちます。
  • アカウンティングメッセージを受信すると、Cisco ISEは最大5日間、またはアカウンティング停止メッセージを受信するまでセッションを維持します。
  • アカウンティング停止メッセージが受信されると、ライセンスセッションは直ちに解放されます。
  • 暫定アップデートの期間は5日間です。

ISEライセンス

評価

評価ライセンスは、Cisco ISEリリース3.x以降のバージョンをインストールまたはアップグレードするときに、デフォルトでアクティブ化されます。評価ライセンスは90日間有効で、この期間中はすべてのCisco ISE機能にアクセスできます。Cisco ISEは、評価ライセンスの使用時に評価モードであると見なされます。Cisco ISE管理ポータルの右上隅に、評価モードの残り日数を示すメッセージが表示されます。

ISE Dashboard

階層

ティアライセンスは、リリース3.x以前のリリースで使用されていたBase、Apex、およびPlusライセンスに代わるものです。Tierライセンスには、Essentials、Advantage、Premierの3つのライセンスが含まれます。現在Base、Apex、またはPlusライセンスを使用している場合は、CSSMを使用して新しいライセンスタイプに変換します。

デバイス管理者

デバイス管理ライセンスを使用すると、ポリシーサービスノードでTACACSサービスを使用できます。ハイアベイラビリティのスタンドアロン導入では、デバイス管理ライセンスにより、ハイアベイラビリティペアの単一のポリシーサービスノードでTACACSサービスを使用できます。Cisco ISEではDevice Adminとして定義され、スマートライセンスポータルではTACACS+トランザクションの権限を持つノードの最大数として定義されます。

仮想アプライアンスのライセンス

Cisco ISE 3.x以降には、新しい形式のVMライセンス(VM Commonライセンス)が付属しています。従来のVMライセンスを使用している場合は、VM共通ライセンスに変換する必要があります。

ライセンスタイプと変換の詳細については、次のリンクを参照してください。

新しいISEバージョンでの主要なスマートライセンスの変更

  • スマートライセンスの接続方法の変更:
    Cisco ISE 3.4では、Smart Licensingで使用されるTransport Gateway接続方法のサポートが削除されました。スマートライセンスにTransport Gatewayを使用している場合は、3.4にアップグレードする前に接続方法を更新する必要があります。更新しない場合、アップグレード中にシステムは自動的にダイレクトHTTPSに切り替わりますが、アップグレード後はいつでも変更できます。

  • 3.5におけるライセンスの可視性の向上:
    Cisco ISE 3.5ではライセンストラッキングが強化され、可視性と正確性が向上します。ライセンスの階層と機能は変わりませんが、ライセンスの使用状況はアクティブなエンドポイントのピーク時に合わせて調整されます。3.5では適用はまだアクティブではなく、ライセンスされた制限を超過した場合は、中断を発生させない消費アラートで通知されます。

ライセンス登録のタイプ

Cisco ISE 3.1の導入では、スマートライセンスを有効にするために3つのオプションを使用できます。

Smart Software Licensing Reservation(ダイレクトHttps、HTTPプロキシ、SSMオンプレミス)

Smart Software Licensing Reservationは、1つのトークン登録で簡単かつ効率的に使用できます。購入したライセンスは、CSSMと呼ばれる中央データベースで管理されます。CSSMポータルにログインすると、使用可能なエンドポイントライセンスと消費統計を簡単に追跡できます。このモードでは、Cisco ISEはCSSMに直接接続するか(ダイレクトHTTPS)、プロキシ経由で接続して、使用量とコンプライアンス情報を交換する必要があります。新しいオプションのSSM On-Prem(オンプレミス)では、オンプレミス(サテライト)サーバとしてホストされるローカルサーバの形式でCSSMの機能を利用するために、エアギャップISEが使用できます。

特定ライセンスの予約(ISE 3.1以降で使用可能)

Specific License Reservation(SLR)により、セキュリティの高いネットワークを持つお客様は、ライセンス情報を伝えることなくスマートライセンス(およびスマートライセンス)を使用できます。SLRでは、アドオンライセンスを含む特定のライセンスを予約できます。SLRでは、CSSMへの接続にCisco ISEは必要ありません。また、Cisco ISEでは、有効期限が切れるまでスマートアカウントに含まれるライセンスを使用できます。

設定

CSSMとISEを統合するための接続方法(ダイレクトHTTPS/HTTPSプロキシ)

ステップ 1:Administration > System > Licensingの順に選択します。

ISE System

ステップ 2License TypeSmart Software Licensing Reservationを選択し、Registration Detailsに登録トークンをペーストします。必要に応じて、該当する階層を選択します。このプロセスは、ダイレクトHTTPSとHTTPSプロキシでは少し異なります。

ダイレクトHTTPS

ステップ 3Direct HTTPSの場合は、Connection MethodとしてDirect HTTPSを選択し、Registerをクリックします。

License Type

HTTPSプロキシ

ステップ 4HTTPSプロキシが事前に設定されていることを確認するには、Administration > System > Settingsの順に選択します。

プロキシの詳細>ホストユーザID、およびパスワードを追加します。

Registration Details

ステップ 5Cisco ISE Licensingページに戻り、Connection Method as HTTPS Proxyを選択して、設定されたプロキシがHTTPS Proxyセクションに表示されることを確認します。Registerをクリックします。

Proxy Settings

最後に、Cisco ISEがCSSMに登録され、このISEノードのエントリが(トークンの生成元である)仮想アカウント製品インスタンスで確認できます。

Smart Software Managerオンプレミスサーバの設定

この設定では、環境内にSSMオンプレミス(サテライト)サーバを導入する必要があります。導入と接続が完了すると、サテライトサーバはローカルのライセンスサーバとして機能し、Cisco ISEはインターネット経由でCSSMにアクセスすることなくライセンストランザクションを実行できます。サテライトサーバは、オンラインモードまたはオフラインモード(.ymlファイルを使用)のいずれかでCSSMと同期できます。 サテライトサーバの詳細については、Cisco Smart Software Manager On-Prem Data Sheetを参照してください。オンプレミスサーバをインストールするためのクイックスタートガイドは、『SSM_On-Prem_8_Quick_Start_Guide』で入手できます。

これらの手順では、サテライトサーバが設定され、Cisco ISEライセンスを含むCSSM上の仮想アカウントがサテライトサーバに追加されることを前提としています。同じことを実行する手順については、『Smart_Software_Manager_On-Prem_8-202006_Installation_Guide』で追跡できます。


ステップ1:サテライト Serverにログインし、Smart Licensingオプションを選択します。

Satellite Server Login

ステップ 2インベントリからトークンを生成し、トークン値をコピーします。Cisco ISEに戻り、Smart Software Licensing Reservationの順に選択し、Connection MethodとしてSSM On-Prem serverを選択します。

Generate Token

ステップ 3「SSM On-Prem Server Host」というフィールドは、オンプレミスサーバに設定されているホスト名から取得されます。同じことは、オンプレミスのサーバ管理ワークスペース>セキュリティ>証明書>ホストの共通名からも確認できます。

Smart Software Manager On-Prem

ステップ 4ホスト名を確認したら、SSMオンプレミスサーバホストの下のCisco ISEにホスト名を追加し、Registerをクリックします。登録に成功すると、サテライト Server仮想アカウントに追加された製品インスタンスのリストにCisco ISEが表示されます。

ISEとCSSMの統合方法

一眼レフ

ステップ 1:図に示すように、Administration > System > Licensingの順に選択します。

Licensing

ステップ 2License Typeで、SLRを選択し、Generate Codeをクリックします。承認コードを生成するためにCSSMで必要とされるために生成された予約コードをコピーします。

Choose Specific License Reservation

ステップ 3CSSMで、Cisco ISEライセンス(Essential、Advantage、Premier、VM、TACACS+)を含む仮想アカウントを選択します。 Licensesセクションで、次のように選択します。

Virtual AccountL

ライセンスの予約

ステップ 4Cisco ISEからコピーされた認証コードを入力し、Nextをクリックして、Reserve a specific licenseオプションを選択します。使用可能なライセンスに応じて、Cisco ISE用に予約するカウントを指定し、Nextをクリックします。ティアライセンスとVMライセンスでは、下位レベルのライセンスの要求を満たすために、上位レベルのライセンスのサブスクリプションを使用できます。 階層モデルの「Cisco ISE 3.x Licensing Model」を確認します。

License Reservation

ステップ 5Download as Fileオプションを使用して、生成された認証コードを確認し、ダウンロードします。Cisco ISEに戻り、Upload SLR License Keyをクリックしてファイルをアップロードします。Cisco ISEのライセンスの有効期限には、スマートアカウントのライセンスの元の有効期限が反映されます。

一眼レフ予約の返却

ステップ1:Return Reservationをクリックして、提供された予約コードをコピーして安全に保管します。

ステップ 2Cisco ISEが追加される仮想アカウントの製品インスタンスを参照し、シリアル番号を使用してISEを検索します。Actions > Removeの順にクリックし、ステップ1でコピーしたコードを入力し、Return Product Reservationをクリックします。 予約済みライセンスが仮想アカウントに返されます。

トラブルシュート

一般的なガイドライン

  • Cisco ISE 3.0 p7、3.1 p5、および3.2以降の場合は、このリンクの到達可能性を確認してください。https://smartreceiver.cisco.com/
  • より低いISEバージョン<= Ise 3.0の場合、tools.cisco.comtools1.cisco.com、およびtools2.cisco.comのリンクの到達可能性を確認します。
  • これらのリンクはCSSMとの通信において重要な役割を果たすため、重要です。これらのIPをブロックすると、Cisco ISEはライセンスの使用状況をCSSMにレポートすることができなくなり、レポートがないとCisco ISEへの管理アクセスが失われ、Cisco ISEの機能が制限されます。

デバッグレベルに設定するISEロギング属性

  • ライセンス(ise-psc.log)
  • admin-license(ise-psc.log)

登録および更新エラー

登録エラーのトラブルシューティングを行うには、まずSmart Licensing Cloud(https://tools.cisco.com/またはhttps://smartreceiver.cisco.com/)に通信の問題がないことを確認します。 Cisco ISEとSmart Licensing Cloudの間の接続を中断する可能性のある要因には、次のようなものがあります。

  • ファイアウォールなどのデバイスがトラフィックをブロックしている。
  • DNSの問題。Cisco ISEがhttps://tools.cisco.com/またはhttps://smartreceiver.cisco.com/の対応するFQDNを解決できない場合、登録APIコールを送信できません。
  • スマートライセンスポータルの問題。

ISEライセンスステータスを調査するためのAPI要求

Cisco ISEで使用されているライセンス数を確認するには、ブラウザから直接HTTPS APIコールを使用します。

  • https://<MnTNodeIP>/admin/API/mnt/Session/ActiveCount
  • https://<MnTNodeIP>/admin/API/mnt/Session/License/LicenseCountsFromSessionDB
  • https://<MnTNodeIP>/admin/API/mnt/License/Base
  • https://<MnTNodeIP>/admin/API/mnt/ライセンス/中間
  • https://<MnTNodeIP>/admin/API/mnt/License/Premium
  • https://<MnTNodeIP>/admin/API/mnt/Session/ActiveList

Cisco ISE 3.1以降では、OpenAPIを使用できます。Administration > Settings > API Settingsの順に移動する必要があります。API呼び出しは、ライセンスの状態に関する詳細なデータを取得するために使用されます。

API Settings

tip-icon

ヒント:Cisco ISEでERSおよびOpen APIサービスが有効になっていることを確認します。これを確認するには、Administration > Settings > API Settings > API Service Settingsの順に移動します。これらのサービスが有効でない場合、URLを介してAPI呼び出しにアクセスする前に、これらのサービスを有効にする必要があります。

Licensing API Endpoints

関連情報

更新履歴

改定 発行日 コメント
3.0
23-Apr-2026
書式、言語、リンク
1.0
03-Oct-2024
初版
TAC Authored

シスコ エンジニア提供

  • サンカルプトリヴェディ
    Cisco TACエンジニア
  • マジェシュ・バラジ
    Cisco TACエンジニア

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています