ライセンス

Cisco ISE ライセンス

Cisco ISE サービスは、ネットワーク内の増加するエンドポイントに対する可視性と制御を提供します。Cisco ISE 機能は特定のライセンスにマッピングされ、組織のニーズを満たすために必要な Cisco ISE 機能を提供するライセンスを有効にできます。

Cisco ISE は、次の主要な機能を持つライセンスメカニズムにバンドルされています。

  • 組み込みライセンス:Cisco ISE には、90 日間有効な組み込みの評価ライセンスが付属しています。Cisco ISE のインストール直後に Cisco ISE ライセンスをインストールする必要はありません。Cisco ISE のすべての機能が提供される評価ライセンスを使用できます。


    (注)  

    Cisco AI Analytics は、組み込みの評価ライセンスではサポートされていません。詳細については、「Cisco AI Analytics」セクションを確認してください。

  • ライセンスの集中管理:Cisco ISE プライマリ管理ノード(PAN)は、Cisco ISE ライセンスを集中管理します。プライマリ PAN とセカンダリ PAN がある分散展開では、プライマリ PAN は自動的にセカンダリ PAN とライセンス情報を共有します。

  • 同時アクティブエンドポイント数:Cisco ISE ライセンスには、各階層ライセンスのカウント値が含まれます。各階層ライセンスでは、いつでも特定の数のアクティブエンドポイントがサポートされます。カウント値は、いつでも特定の Cisco ISE サービスを使用している展開全体のアクティブエンドポイントの数を指します。Cisco ISE ライセンスは RADIUS アカウンティングに依存しているため、ネットワークデバイスで RADIUS サービスを有効にしておく必要があります。

    同時アクティブエンドポイント数は、サポートされるユーザーとデバイスの総数を指します。ここで、エンドポイントとは、ユーザー、PC、ラップトップ、IP 電話、スマートフォン、ゲームコンソール、プリンタ、ファクス機、またはその他のネットワークデバイスを意味します。

Cisco ISE リリース 3.0 以降のリリースでは、Cisco ISE リリース 2.x で使用されていたレガシーライセンス(Base、Plus、Apex ライセンスなど)はサポートされていません。Cisco ISE リリース 3.x ライセンスは、Cisco Smart Software Manager(CSSM)と呼ばれる集中型データベースを介して完全に管理されます。単一のトークン登録で、すべてのライセンスを簡単かつ効率的に登録、アクティブ化、および管理できます。

お客様の経済性を最大化するために、Cisco ISE のライセンスは次のパッケージで提供されます。

  • 階層ライセンス

    Cisco ISE リリース 3.0 以降、階層ライセンスと呼ばれる新しいライセンスのセットが、リリース 3.0 以前のリリースで使用されていた Base、Apex、および Plus ライセンスに置き換わります。階層ライセンスには、Essentials、Advantage、Premier の 3 つのライセンスが用意されています。

    現在、Base、Apex、または Plus ライセンスがある場合は、CSSM を使用して新しいライセンスタイプに変換します。

  • デバイス管理ライセンス

    TACACS+ ペルソナが有効になっているポリシーサービスノード(PSN)では、デバイス管理ライセンスが使用されます。

  • 仮想アプライアンスのライセンス

    Cisco ISE リリース 3.1 およびそれ以降のリリースでは、ISE VM ライセンスがされています。このライセンスは、3.1 より前のリリースでサポートされていた小規模 VM、中規模 VM、および大規模 VM ライセンスに代わるものです。ISE VM ライセンスは、オンプレミス展開とクラウド展開の両方の Cisco ISE VM ノードを対象としています。

    仮想アプライアンスが使用されているものの、Cisco ISE にアクティブな VM ライセンスがない場合、VM ライセンスを入手してインストールするまで、非準拠のライセンス使用に関する警告と通知が表示されます。ただし、Cisco ISE サービスは中断されません。

  • 評価ライセンス

    評価ライセンスは、Cisco ISE リリース 3.0 以降を初めてインストールしたときにデフォルトで有効になり、100 エンドポイントまでサポートします。評価ライセンスは、すべての Cisco ISE 機能にアクセスできる 90 日間ライセンスです。評価期間中、CSSM にライセンスの使用は報告されません。

Base、Apex および Plus ライセンスのスマートライセンスを使用して Cisco ISE リリース 3.0 以降にアップグレードする場合、スマートライセンスは Cisco ISE の新しいライセンスタイプにアップグレードされます。ただし、アップグレード先の Cisco ISE リリースでライセンスをアクティブ化するには、CSSM で新しいライセンスタイプを登録する必要があります。

従来の Cisco ISE ライセンスを所有している場合は、それらをスマートライセンスに変換して、Cisco ISE リリース 3.0 以降でのライセンスの使用を有効にする必要があります。Cisco ISE 2.x ライセンスを新しいライセンスタイプに変換するには、http://cs.co/scmswl で Support Case Manager を通じてオンラインでケースを開くか、http://cs.co/TAC-worldwide に記載されている連絡先情報を使用します。

非準拠ライセンスの消費に関する通知も Cisco ISE に表示されます。ライセンスの使用が 60 日の期間のうち 30 日間にわたってコンプライアンスに違反している場合は、必要なライセンスを購入してアクティブ化するまで、Cisco ISE のすべての管理制御が失われます。

あるライセンスパッケージから別のライセンスパッケージにアップグレードする場合、Cisco ISE はアップグレード以前のパッケージで使用できたすべての機能を提供し続けます。ただし、設定済みの設定は再設定する必要があります。たとえば、現在、Essentials ライセンスを使用していて、その後に Advantage ライセンスを追加した場合、Essentials ライセンスを使用してすでに設定されている機能は変更されません。

次の場合は、ライセンス契約を更新する必要があります。

  • 評価期間が終了し、まだライセンスを登録していない。

  • ライセンスの有効期限が切れている。

  • エンドポイントの使用がライセンス契約を超える。

Cisco ISE コミュニティリソース

Cisco Identity Services Engine Ordering Guide

評価版ライセンスを入手する方法については、How to Get ISE Evaluation Licenses を参照してください。

階層ライセンス

次の表に、新しい階層ライセンスで有効になるものを示します。

表 1. Cisco ISE 階層ライセンス

ライセンス名

このライセンスで有効になるもの

Essentials

  • RADIUS 認証、許可、およびアカウンティング(802.1X、MAC 認証バイパスと Easy Connect、Web 認証を含む)

  • MACsec。

  • シングルサインオン(SSO)、セキュリティ アサーション マークアップ言語(SAML)、およびオープン データベース コネクティビティ(ODBC)標準に基づく認証。

  • ゲストアクセスとスポンサーサービス

  • モニタリング目的の Representational State Transfer(REST)API、および CRUD 操作用の外部 RESTful サービス API。

  • パッシブ ID サービス。

  • セキュアな有線およびワイヤレスアクセス。

Advantage

  • Cisco ISE Essentials ライセンスで有効になっているすべての機能。

  • 組み込みの認証局を使用した Bring Your Own Device(BYOD; 個人所有デバイス持ち込み) デバイス登録とプロビジョニング。デバイスの登録は、設定済みのデバイスポータルを介して行われます。

  • セキュリティグループタギング、TrustSec、および Cisco Application Centric Infrastructure(ACI)の統合。

  • 基本的なアセットの可視性および適用機能を含むプロファイリングサービス。

  • フィードサービス。

  • コンテキスト共有(pxGrid など)、およびセキュリティエコシステムの統合。

  • Rapid Threat Containment(適応型ネットワーク制御とコンテキスト共有サービスを使用)。

  • Cisco AI エンドポイント分析の可視性と適用。

Premier

  • Cisco ISE Essentials および Advantage ライセンスで有効になっているすべての機能。

  • ポスチャの可視性とエンフォースメント。

  • 企業モビリティ管理とモバイルデバイス管理によるコンプライアンスの可視性とエンフォースメント。

  • 脅威中心型ネットワーク アクセス コントロールの可視性とエンフォースメント。

(注)  

エンドポイントのプライバシー設定で MAC のランダム化または MAC のローテーションと変更が許可されている場合は、Cisco ISE ライセンスの消費数が増加する可能性があります。エンドポイントが新しいランダム MAC アドレスで認証されると、新しい Cisco ISE セッションが作成されます。

デバイス管理ライセンス

デバイス管理ライセンスでは、ポリシーサービスノードで TACACS サービスを使用できます。高可用性(HA)スタンドアロン展開では、デバイス管理ライセンスによって、高可用性ペアの 1 つのポリシーサービスノードで TACACS サービスを使用することが許可されます。

評価ライセンス

評価ライセンスは、Cisco ISE リリース 3.0 以降をインストールまたはアップグレードするとデフォルトでアクティブ化され、100 エンドポイントまでサポートします。評価ライセンスは 90 日間有効で、この期間中は Cisco ISE のすべての機能にアクセスできます。評価ライセンスが使用されている場合、Cisco ISE は評価モードであると見なされます。

Cisco ISE GUI に、評価モードの残り日数を示すメッセージが表示されます。メッセージには次のタイプがあります。

情報:評価モードが終了する 90 ~ 60 日前

警告:評価モードが終了する 60 ~ 30 日前

重要:評価モードの終了まで 30 日


(注)  

Cisco ISE の必要な機能を引き続き使用するには、評価モードの終了までに Cisco ISE ライセンスを購入し、登録する必要があります。

Cisco ISE スマート ライセンス

Cisco ISE の管理ポータルでスマートライセンストークンがアクティブになっており、登録されている場合は、CSSM が各エンドポイントセッションによってライセンスの消費を製品ライセンスごとにモニターします。スマートライセンスでは、Cisco ISE のシンプルな表レイアウトでエンドポイントセッションによるライセンスの消費が管理者に通知されます。スマート ライセンスは、有効な各ライセンスのピーク使用量を集中型データベースに毎日レポートします。ライセンスが使用できる状態で消費されていない場合、使用可能なライセンスについて管理者に通知され、使用量のモニターを継続できます。消費量が使用可能なライセンスの数を超えると、アラームが起動し、アラームと通知によって管理者に通知されます。

スマートライセンスでは、Essentials、Advantage、Premier、または Device Admin などの、シスコのスマートアカウントを介して含まれているさまざまなライセンス権限を管理することもできます。Cisco ISE から、ライセンス権限ごとの基本的な消費統計情報をモニターできます。CSSM アカウントから、追加情報、統計情報、通知を表示したり、アカウントや権限に変更を加えたりできます。

Cisco ISE はライセンス消費の内部サンプルを 30 分ごとに取得します。ライセンスのコンプライアンスと消費がそれに応じて更新されます。Cisco ISE の [ライセンス(Licenses)] テーブルにこの情報を表示するには、メインメニューから [管理(Administration)] > [システム(System)] > [ライセンス(Licensing)] を選択し、[更新(Refresh)] をクリックします。

Cisco ISE プライマリ管理ノード(PAN)を CSSM に登録た時点から、Cisco ISE は 6 時間ごとにライセンス消費のピークカウントを CSSM サーバーに報告します。ピークカウントレポートは、Cisco ISE でのライセンス消費が購入および登録されたライセンスに準拠していることを確認するのに役立ちます。Cisco ISE は、CSSM 証明書のローカルコピーを保存することで、CSSM サーバーと通信します。CSSM 証明書は、日常の同期中と [ライセンス(Licenses)] テーブルの更新時に自動的に再認証されます。通常、CSSM 証明書の有効期間は 6 ヵ月です。

Cisco ISE が CSSM サーバーと同期したときにコンプライアンスステータスに変更があった場合、[ライセンス(Licenses)] テーブルの [最後の認証(Last Authorization)] 列がそれに応じて更新されます。また、権限がコンプライアンスを満たさなくなった場合には、コンプライアンス外となっている日数が [コンプライアンス外の日数(Days Out of Compliancy)] 列に表示されます。コンプライアンス違反は、[ライセンス(Licensing)] 領域の上部にある [通知(Notifications)] と、[ライセンス警告(License Warning)] リンクの横にある Cisco ISE ツールバーにも表示されます。通知に加えて、アラームも確認できます。


(注)  

Device Admin ライセンスは Cisco ISE が CSSM サーバーと通信したときに承認されますが、セッションベースではないため、[ライセンス(Licenses)] テーブルにはライセンスの消費数は関連付けられません。

[ライセンス(Licenses)] テーブルのコンプライアンスの列には、次のいずれかの値が表示されます。

  • [コンプライアンス(In Compliance)]:このライセンスの使用はコンプライアンスに準拠しています。

  • [リリースされた権限(Release Entitlement)]:ライセンスは、購入され、使用するためにリリースされましたが、この Cisco ISE 展開ではまだ使用されていません。このようなシナリオでは、ライセンスの [消費数(Consumption Count)] は 0 です。

  • [評価(Evaluation)]:評価ライセンスを使用できます。

スマートライセンスの登録とアクティブ化

始める前に

  • 従来の Cisco ISE ライセンスがある場合は、スマートライセンスに変換する必要があります。

  • 既存のスマートライセンスを使用して Cisco ISE リリース 3.0 以降にアップグレードする場合は、CSSM でライセンスを新しいスマートライセンスタイプに変換します。

  • 登録トークンを受信するには、新しいスマートライセンスタイプを CSSM に登録します。

手順

ステップ 1

Cisco ISE GUI で、メニューアイコン()をクリックして、[Administration] > [System] > [Licensing]を選択します。

ステップ 2

表示される [ライセンス(Licensing)] ウィンドウで、[登録の詳細(Registration Details)] をクリックします。

ステップ 3

表示される [登録の詳細(Registration Details)] 領域に、CSSM から [登録トークン(Registration Token)] フィールドで受信した登録トークンを入力します。

ステップ 4

[接続方式(Connection Method)] ドロップダウンリストから接続方式を選択します。

  • インターネットへの直接接続を設定している場合には、[Direct HTTPS] を選択します。
  • インターネットへの直接接続がなく、プロキシサーバーを使用する必要がある場合には、[HTTPS Proxy] を選択します。(Cisco ISE スマートライセンスの登録後にプロキシサーバーの設定を変更した場合は、[ライセンス(Licensing)] ウィンドウでスマートライセンスの設定を更新する必要があります。Cisco ISE は、更新されたプロキシサーバーを使用して CSSM との接続を確立し、Cisco ISE サービスの中断を回避します)。
  • トランスポートゲートウェイは推奨される接続方式です。トランスポートゲートウェイを設定している場合、この接続がデフォルトで選択されます。別の接続方法を選択するには、トランスポートゲートウェイの設定を削除する必要があります。
  • 設定済みの SSM オンプレミスサーバーに接続する SSM オンプレミスサーバー。このオプションは、Cisco ISE リリース 3.0 パッチ 2 以降で使用できます。エアギャップ ネットワークのスマート ライセンスを参照してください。

ステップ 5

[階層(Tier)] 領域と [仮想アプライアンス(Virtual Appliance)] 領域で、有効にする必要があるすべてのライセンスのチェックボックスをオンにします。選択したライセンスがアクティブ化され、その使用量が CSSM によって追跡されます。

ステップ 6

[登録(Register)] をクリックします。

Cisco ISE でのスマートライセンスの管理

スマートライセンストークンをアクティブ化して登録すると、Cisco ISE のライセンス権限を次の方法で管理することができます。

  • ライセンス権限資格証明書の有効化、無効化、および更新。

  • スマート ライセンスの登録の更新。

  • 準拠および非準拠ライセンスの問題の特定。

レガシーの、または新しい Cisco ISE の分割アップグレードプロセスを実行した場合、プロセス中にセカンダリ PAN がプライマリ PAN に昇格されます。Cisco ISE の管理者ポータルで、[Administration] > [Licensing] を選択します。[Cisco Smart Licensing] エリアで、[Update] をクリックします。

ライセンスを更新するまで、ライセンスアラームが Cisco ISE に表示されます。

始める前に

スマートライセンストークンをアクティブ化して登録していることを確認します。

手順

ステップ 1

(任意)初めて Cisco ISE リリース 3.0 以降をインストールした場合は、すべてのソフトウェア利用資格が評価モードの一部として自動的に有効になります。ライセンストークンを登録すると、CSSM アカウントに特定の権限が含まれず、登録時にそれらを無効にしていなかった場合は、非準拠通知が Cisco ISE に表示されます。それらの権限を CSSM アカウントに追加し(サポートが必要な場合は、CSSM アカウント担当者にお問い合わせください)、[ライセンス(Licenses)] テーブルの [更新(Refresh)] をクリックし、非準拠通知を削除して、関連機能を使い続けます。承認を更新したらログアウトして、関連する非準拠メッセージを削除するために Cisco ISE に再度ログインします。

ステップ 2

(任意)日次の自動承認が何らかの理由で成功しない場合、非準拠メッセージが表示されることがあります。[更新(Refresh)] をクリックして権限を再承認します。承認を更新したら、ログアウトして、関連する削除する非準拠メッセージのために Cisco ISE に再度ログインします。

ステップ 3

(任意)初めて Cisco ISE リリース 3.0 以降をインストールした場合は、すべてのソフトウェア利用資格が評価期間の一部として自動的に有効になります。トークンを登録すると、CSSM アカウントに特定の権限が含まれず、登録時にそれらを無効にしていなかった場合は、不必要な非準拠通知を回避するために、ISE のスマートライセンスからそれらの権限を無効のままにすることができます。[ライセンス(Licenses)] テーブルから、トークンに含まれていないライセンス権限のチェックボックスをオンにし、ツールバーから [無効化(Disable)] をクリックします。ライセンス権限を無効にした後、ログアウトしてから Cisco ISE にもう一度ログインし、メニューから関連機能を削除したり、非準拠メッセージを削除します。

ステップ 4

(任意)アカウントに権限を追加したら、追加した権限を有効にします。[ライセンス(Licenses)] テーブルから、無効化された必要なライセンスのチェックボックスをオンにし、ツールバーから [有効化(Enable)] をクリックします。

ステップ 5

(任意)登録証明書は 6 ヵ月ごとに自動的に更新されます。手動でスマートライセンス証明書の登録を更新するには、[Licensing] ウィンドウの上部にある [Renew Registration] をクリックします。

ステップ 6

(任意)Cisco ISE 登録(UDI により示されます)をスマートアカウントから削除する一方で、評価期間の終了までスマートライセンスを引き続き使用するには、[Cisco Smart Licensing] エリアの上部にある [Deregister] をクリックします。たとえば、登録プロセスの一環として示した UDI を変更する必要がある場合に、これを行うことができます。まだ評価期間の残り時間が有効な場合は、Cisco ISE にスマートライセンスが引き続き適用されます。評価期間の終了時点である場合は、ブラウザを更新したときに通知が表示されます。スマートライセンスの登録を解除したら、同一または別の UDI で登録するために登録プロセスを再度実行できます。

ステップ 7

(任意)Cisco ISE 登録(UDI により示されます)をスマートアカウントから完全に削除し、従来のライセンスに戻すには、[Cisco Smart Licensing] エリアの上部にある [Disable] をクリックします。たとえば、登録プロセスの一環として示した UDI を変更する必要がある場合に、これを行うことができます。スマートライセンスを無効にしたら、同一または別の UDI でアクティブ化および登録するために登録プロセスを再度実行できます。

トラブルシューティング:未登録ライセンスの使用

問題

エンドポイントライセンスの使用は、エンドポイントが一致する認証ポリシー内に使用される属性に依存します。

90 日間の評価ライセンスを削除したため、システムに Cisco ISE の Essentials ライセンスのみが登録されているというシナリオを検討します。対応する Cisco ISE の Essentials メニュー項目と機能を表示および設定できます。

Premier ライセンスを必要とする機能(Session:PostureStatus 属性を使用している場合など)を使用するための認証ポリシーを設定し、エンドポイントがこの認証ポリシーに一致した場合は、次のようになります。

  • エンドポイントでは、Cisco Premier ライセンスがシステムに登録されていないにもかかわらず、Cisco ISE Premier ライセンスが使用されます。

  • ログインするたびに、非準拠ライセンスの使用の通知が表示されます。

  • Cisco ISEに「許可されたライセンス使用量を超えています(Exceeded license usage than allowed)」という通知とアラームが表示されます。これは、Cisco ISE の CSSM に登録された Cisco ISE Premier ライセンスがないにもかかわらず、エンドポイントがそのライセンスを使用しているためです。


(注)  

ライセンスアラームは、必要なライセンスを登録してライセンスの問題を修正した場合でも、非準拠ライセンスが最初に使用されてから約 60 日間表示されます。

3 階層のすべてのライセンスが使用され、60 日の期間のうち 30 日間にわたってコンプライアンスに違反する場合は、正しいライセンスを登録するまで、Cisco ISE の管理制御が失われます。正しいライセンスが登録されるまでは、Cisco ISE の管理ポータルの [ライセンス(Licensing)] ウィンドウにのみアクセスできます。ただし、Cisco ISE では引き続き認証が処理されます。

考えられる原因

認証ポリシーの設定が原因で、[ライセンス(Licensing)] テーブルに、購入していないのに登録したライセンスを Cisco ISE が使用したことが報告されます。Advantage ライセンスまたは Premier ライセンスを購入するまでは、Cisco ISE 管理ポータルにはそのライセンスが適用される機能は表示されません。ただし、これらのライセンスを購入すると、ライセンスが期限切れになったり、ライセンスのエンドポイントの消費が設定された制限を超えたりしても、ライセンスによって有効になっている機能が引き続き表示されます。そのため、有効なライセンスがない場合でも、機能を設定できます。

ソリューション

Cisco ISE の管理ポータルで、[Menu] アイコン()をクリックし、[Policy] > [Policy Sets] を選択し、登録済みライセンスがない機能を使用している認証ルールを特定してそのルールを再設定します。

エアギャップ ネットワークのスマート ライセンス

エアギャップネットワークでは、セキュリティで保護されたネットワークと外部ネットワーク間の通信は許可されません。Cisco ISE スマートライセンスでは、Cisco ISE を CSSM と通信させる必要があります。ネットワークがエアギャップである場合、Cisco ISE はライセンスの使用状況を CSSM に報告できず、この報告がないと、Cisco ISE への管理アクセスが失われ、Cisco ISE 機能が制限されます。

このライセンス方式は、Cisco ISE リリース 3.0 パッチ 2 以降のリリースで使用できます。

エアギャップネットワークでのライセンスの問題を回避し、Cisco ISE の全機能を有効にするには、次のことを行います。

  • Smart Software Manager(SSM)オンプレミスサーバーを設定します。このライセンス方式は、Cisco ISE リリース 3.0 パッチ 2 以降のリリースで使用できます。

    SSM オンプレミスサーバーを設定し、Cisco ISE がこのサーバーに到達できるようにします。このサーバーは、エアギャップネットワーク内での CSSM のロールを引き継ぎ、必要に応じてライセンス権限を解放し、使用状況メトリックを追跡します。SSM オンプレミスサーバーは、ライセンスの消費と有効性に関連する通知、アラーム、および警告メッセージも送信します。

    SSM オンプレミスサーバー接続を設定する方法の詳細については、スマートライセンス用の Smart Software Manager オンプレミスの設定を参照してください。

  • 特定ライセンス予約を有効にします。これは、組織のセキュリティ要件で Cisco ISE と SSM 間の永続的な接続が許可されていない場合にスマートライセンスを管理するためのスマートライセンス方式です。特定ライセンス予約では、Cisco ISE PAN で特定のソフトウェア利用資格を予約できます。

    詳細については、特定ライセンス予約を参照してください。

スマートライセンス用の Smart Software Manager オンプレミスの設定

始める前に

SSM オンプレミスサーバーを設定し、Cisco ISE がこのサーバーに到達できることを確認します。詳細については、「Smart Software Manager On-Prem Resources」を参照してください。

Cisco ISE 3.0 以降でライセンスを正常に登録するには、SSM オンプレミスリリース 8-202108 以降に更新する必要があります。

ライセンスを追加購入するか、購入したライセンスを変更する場合は、SSM オンプレミスサーバーを CSSM に接続し、ローカルサーバーで変更内容を使用できるようにする必要があります。


(注)  

ISE-PIC 2.7 以前ではスマートライセンスはサポートされていません。

手順

ステップ 1

Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして次を選択します。[管理(Administration)] > [システム(System)] > [ライセンス(Licensing)] を選択します。

ステップ 2

[登録の詳細(Registration Details)] をクリックします

ステップ 3

表示される [Registration Details] 領域の [Registration Token] フィールドに、CSSM から受信した登録トークンを入力します。

ステップ 4

[Connection Method] ドロップダウンリストから [SSM On-Prem Server] を選択します。

SSM オンプレミスポータルの [証明書(Certificates)] に、接続されている SSM オンプレミスサーバーの IP アドレスまたはホスト名(あるいは FQDN)のいずれかが表示されます。

ステップ 5

[SSM On-Prem server Host] フィールドに、設定した IP アドレスまたはホスト名(あるいは FQDN)を入力します。

ステップ 6

[Tier] 領域と [Virtual Appliance] 領域で、有効にするすべてのライセンスのチェックボックスをオンにします。選択したライセンスがアクティブ化され、その使用量が CSSM によって追跡されます。

ステップ 7

[登録(Register)] をクリックします。

(注)  

 

Cisco ISE を SSM オンプレミスサーバーに登録するときに、ポート 443 と ICMP 通信に使用されるポートが開いていることを確認します。Cisco ISE は、MITM(Man In The Middle)デバイスによってインターセプトされずに、ポート 443 を介して SSM オンプレミスサーバーと直接通信できる必要があります。アップグレードとパッチのインストールプロセスを除き、スマートライセンスの信頼ストアへの変更はサポートされていません。

特定ライセンス予約

特定ライセンス予約は、組織のセキュリティ要件で Cisco ISE と Cisco Smart Software Manager(CSSM)間の永続的な接続が許可されていない場合にスマートライセンスを管理するためのスマートライセンス方式です。特定ライセンス予約では、Cisco ISE PAN で特定のソフトウェア利用資格を予約できます。

Cisco ISE スマートライセンスは、上位階層のライセンスに下位階層のすべての機能が含まれるネストモデルとして機能しますが、特定ライセンス予約はそのようなモデルをサポートしていません。特定ライセンス予約では、Cisco ISE ライセンスタイプごとに必要なライセンス数を予約してアクティブ化する必要があります。たとえば、Advantage ライセンスと Premier ライセンスで有効になっている Cisco ISE 機能を使用したい場合は、Advantage ライセンスと Premier ライセンスの両方を予約する必要があります。Cisco ISE に Premier ライセンスしか含まれていない場合は、エラーまたは不正な動作が通知されます。

予約する必要があるライセンスのタイプと数を定義して特定ライセンス予約を作成し、Cisco ISE ノードで予約をアクティブ化できます。登録して予約を有効にした Cisco ISE ノードは、ライセンスの使用を追跡し、ライセンス消費のコンプライアンスを適用します。

特定ライセンス予約は、生成された Cisco ISE ノードでのみ有効にできます。分散展開では、プライマリおよびセカンダリ PAN で特定ライセンス予約を有効にすることをお勧めします。

セカンダリ PAN に Cisco ISE ライセンスが登録されていない場合、プライマリ PAN に障害が発生すると、Cisco ISE のアクセスとサービスが影響を受けます。Cisco ISE のポリシーまたは要素を表示または変更することができなくなります。Cisco ISE に中断なくアクセスするため、プライマリ PAN とセカンダリ PAN の両方で Cisco ISE ライセンスを登録することを強く推奨します。

Cisco ISE ライセンスがセカンダリ PAN にも登録されている場合、プライマリ PAN のフェールオーバーが発生しても、Cisco ISE には新しく昇格したセカンダリ PAN を介して引き続きアクセスできます。その後、プライマリ PAN を元の状態に戻す作業を行うことができます。

階層ライセンス(Essentials、Advantage、Premier)の場合は、必要なライセンスの 100% をプライマリ PAN に登録し、追加のライセンス数をセカンダリ PAN に登録することをお勧めします。次の表では、100 個の階層ライセンスが必要な場合に、Cisco ISE へのアクセスが中断されないようにするための 2 つのアプローチについて説明します。

表 2. 階層ライセンスの推奨ライセンス配分

Cisco ISE を中断なく実行するために必要な最小ライセンス配分。

プライマリ PAN のフェールオーバーが発生した場合の想定事項

Cisco ISE を非準拠アラームなしで中断なく実行するための最大ライセンス配分。

プライマリ PAN のフェールオーバーが発生した場合の想定事項

プライマリ PAN

セカンダリ PAN

プライマリ PAN

セカンダリ PAN

100

1

新しく昇格したプライマリ PAN に十分なライセンスがないため、Cisco ISE は非準拠になります。Cisco ISE は 30 日間の猶予期間に入ります。

猶予期間が終了する前に、ライセンス数の多い元のプライマリ PAN を再参加させます。

または、新しく昇格したプライマリ PAN で作業を続行するために、元の PAN で予約されているライセンスを解放し、新しく昇格した PAN で必要なライセンスを予約します。

100

100

Cisco ISE のサービスや操作には影響しません。

修復アクションは必要ありません。元の PAN を Cisco ISE に再参加させるだけです。

デバイス管理ライセンスと仮想アプライアンスライセンスの場合、Cisco ISE でいずれかのタイプのライセンスが 10 個必要な場合は、プライマリ PAN に 10 個、セカンダリ PAN に少なくとも 1 個を登録します。次の表では、10 個の仮想ライセンスまたは 10 個のデバイス管理ライセンスが必要な場合に、Cisco ISE への中断のないアクセスを確保するための 2 つのアプローチについて説明します。

表 3. 仮想ライセンスとデバイス管理ライセンスの推奨ライセンス配分

Cisco ISE を中断なく実行するために必要な最小ライセンス配分。

プライマリ PAN のフェールオーバーが発生した場合の想定事項

Cisco ISE を非準拠アラームなしで中断なく実行するための最大ライセンス配分。

プライマリ PAN のフェールオーバーが発生した場合の想定事項

プライマリ PAN

セカンダリ PAN

プライマリ PAN

セカンダリ PAN

10

1

新しく昇格したプライマリ PAN に十分なライセンスがないため、Cisco ISE は非準拠になります。Cisco ISE は 30 日間の猶予期間に入ります。

猶予期間が終了する前に、ライセンス数の多い元のプライマリ PAN を再参加させます。

または、新しく昇格したプライマリ PAN で作業を続行するために、元の PAN で予約されているライセンスを解放し、新しく昇格した PAN で必要なライセンスを予約します。

10

10

Cisco ISE のサービスや操作には影響しません。

修復アクションは必要ありません。元の PAN を Cisco ISE に再参加させるだけです。

特定ライセンス予約に含まれていないソフトウェア利用資格を使用することはできません。ライセンス使用状況がライセンス予約に準拠していない場合、Cisco ISE 管理ポータルにコンプライアンス違反アラートが表示されます。

特定ライセンス予約の有効化

手順

ステップ 1

Cisco ISE GUI で、メニューアイコン()をクリックして、[Administration] > [System] > [Licensing]を選択します。

ステップ 2

[ライセンスタイプ(License Type)] 領域で、[特定ライセンス予約(Specific License Reservation)] オプションボタンをクリックします。

ステップ 3

[SLR 構成(SLR Configuration)] 領域で、[スタンドアロン/プライマリ PAN(Standalone/Primary PAN)] 領域の [コードの生成(Generate Code)] をクリックします。

コードが横にある [予約コード(Reservation Code)] フィールドに表示されます。

(注)  

 

予約コードを生成した後で、[Cancel Request] をクリックして予約コードを CSSM サーバーに返却します。その後、このコードは無効になります。次回、プライマリ PAN で特定ライセンス予約をインストールして有効にする場合は、新しい予約コードを生成する必要があります。

ステップ 4

CSSM ポータルで送信するために(ステップ 8)、予約コードをコピーします。

ステップ 5

software.cisco.com ポータルにログインし、メインメニューから [ライセンス(License)] > [スマート ソフトウェア ライセンス(Smart Software Licensing)] を選択します。

ステップ 6

購入したスマートライセンス、使用中のライセンス権限、および使用可能な権限を表示するには、[インベントリ(Inventory)] > [ライセンス(Licenses)] を選択します。

ステップ 7

[ライセンスの予約(License Reservation)] をクリックします。

[スマートライセンス予約ワークフロー(Smart License Reservation workflow)] ダイアログボックスが表示されます。

ステップ 8

[Step 1: Enter Request Code] タブで、表示されるフィールドに、Cisco ISE から受信した予約コード(ステップ 3)を入力します。

ステップ 9

[次へ(Next)] をクリックします。

ステップ 10

[ステップ 2:ライセンスを選択する(Step 2: Select Licenses)] タブで、[特定ライセンスの予約(Reserve a specific license)] オプションボックスをクリックします。次に、表示されるテーブルの [予約(Reserve)] 列に、ライセンスタイプごとに、プライマリ PAN で予約するライセンス権限の数を入力します。

ステップ 11

[次へ(Next)] をクリックします。

ステップ 12

[Step 3: Review and Confirm] タブで、特定ライセンス予約の詳細を確認し、[Generate Authorization Code] をクリックします。

ステップ 13

[ステップ 4:承認コード(Step 4: Authorization Code)] タブには、承認コードを XML 形式で表示するフィールドがあります。この XML コンテンツには、SLR が生成されるライセンス予約と Cisco ISE ノードに関する情報が含まれます。改ざんされたコードは Cisco ISE によって拒否されるため、このコンテンツは変更しないでください。[ファイルとしてダウンロード(Download As File)] をクリックし、XML コンテンツを含む .txt ファイルをローカルシステムにダウンロードします。

ステップ 14

Cisco ISE 管理ポータルの [ライセンス(Licensing)] ウィンドウの [プライマリ PAN(Primary PAN)] 領域で、[SLR ライセンスキーのアップロード(Upload SLR License Key)] をクリックし、CSSM ポータルからダウンロードした XML ファイルを選択します。

キーがノードにアップロードされ、特定ライセンス予約がアクティブ化されるまでに数分かかります。

ステップ 15

セカンダリ PAN で特定ライセンス予約を設定するには、[セカンダリ PAN(オプション)(Secondary PAN (optional))] 領域で次の手順を実行します。

  1. [コードの生成(Generate Code)] をクリックします。

    コードが横にある [予約コード(Reservation Code)] フィールドに表示されます。

    (注)  

     

    予約コードを生成した後で、[Cancel Request] をクリックして予約コードを CSSM サーバーに返却します。その後、このコードは無効になります。次回、セカンダリ PAN で特定ライセンス予約をインストールして有効にする場合は、新しい予約コードを生成する必要があります。

  2. ステップ 5 〜 13 を繰り返して、セカンダリ PAN の特定ライセンス予約を設定します。

  3. [セカンダリ PAN(Secondary PAN)] 領域で、[SLR ライセンスキーのアップロード(Upload SLR License Key)] をクリックし、CSSM ポータルからダウンロードした XML ファイルを選択します。

    キーがノードにアップロードされ、特定ライセンス予約がアクティブ化されるまでに数分かかります。

特定ライセンス予約の更新

必要に応じて、ノードの特定ライセンス予約を変更できます。次のシナリオでは、特定ライセンス予約を更新する必要がある場合があります。

  • ライセンス予約を変更する必要がある進化するビジネスニーズ。

  • プライマリ PAN を回復できないプライマリ PAN フェールオーバー。プライマリ PAN で障害が発生すると、その PAN で予約されているライセンス権限は Cisco ISE で使用できなくなります。非準拠ライセンスの使用による Cisco ISE への管理アクセス権の喪失を回避するには、ノードで有効にした特定ライセンス予約を返却し、新しいプライマリ PAN(昇格したセカンダリ PAN)の特定ライセンス予約を適切に更新する必要があります。

手順

ステップ 1

Cisco ISE GUI で、メニューアイコン()をクリックして、[Administration] > [System] > [Licensing]を選択します。

ステップ 2

[UDI の詳細(UDI Details)] 領域から、特定ライセンス予約を更新するノードのシリアル番号をコピーします。

ステップ 3

software.cisco.com ポータルにログインし、メインメニューから [ライセンス(License)] > [スマート ソフトウェア ライセンス(Smart Software Licensing)] を選択します。

ステップ 4

[製品インベントリ(Product Inventory)] を選択します。

ステップ 5

インベントリリストの上に表示される検索バーに Cisco ISE からコピーしたシリアル番号を入力して、対応するエントリを表示します。

ステップ 6

[Actions] ドロップダウンリストから、[Update Reserved Licenses] を選択します。

ステップ 7

[特定ライセンスの予約(Reserve a Specific License)] オプションボタンをクリックして、ライセンスのリストを表示します。[予約(Reserve)] 列の対応するフィールドで、ライセンスの予約数を編集します。

ステップ 8

[次へ(Next)] をクリックします。

ステップ 9

[Step 3: Review and Confirm] タブで、特定ライセンス予約の詳細を確認し、[Generate Authorization Code] をクリックします。

ステップ 10

[ステップ 4:承認コード(Step 4: Authorization Code)] タブには、承認コードを XML 形式で表示するフィールドがあります。Cisco ISE は改ざんされたコードを拒否するため、この内容を変更しないでください。

ステップ 11

[Download As File] をクリックします。XML コンテンツを含む .txt ファイルがローカルシステムにダウンロードされます。

ステップ 12

Cisco ISE 管理ポータルの [ライセンス(Licensing)] ウィンドウの必要な [PAN] 領域で、[SLR コードの更新(Update SLR Code)] をクリックし、CSSM ポータルからダウンロードした XML ファイルを選択します。

キーがノードにアップロードされ、特定ライセンス予約がアクティブ化されるまでに数分かかります。

ステップ 13

更新された特定ライセンス予約コードを送信すると、[予約の更新(Update Reservation)] ダイアログボックスに確認コードが表示されます。この確認コードをコピーして、CSSM ポータルで送信します。

ステップ 14

ステップ 3 と 4 を繰り返し、表示されるダイアログボックスで [認証コードを入力(Enter Confirmation Code)] をクリックし、Cisco ISE によって生成された確認コードを入力します。

特定ライセンス予約の返却

特定ライセンス予約が複数のノードで有効になっている場合は、ノードごとに予約返却プロセスを実行して、特定ライセンス予約を完全に削除する必要があります。

セカンダリ PAN で特定ライセンス予約がアクティブになっている場合に、プライマリ PAN でアクティブになっている特定ライセンス予約を返却すると、セカンダリ PAN の予約も自動的に返却されます。

高可用性 PAN 構成では、プライマリ PAN で特定ライセンス予約を返却すると、セカンダリ PAN の特定ライセンス予約も返却されます。

各ノードには固有のリターンコードが生成されます。ノードから特定ライセンス予約を削除するには、CSSM で各リターンコードを送信する必要があります。

手順

ステップ 1

Cisco ISE GUI で、メニューアイコン()をクリックして、[Administration] > [System] > [Licensing]を選択します。

ステップ 2

特定ライセンス予約を返却するノードの [予約の返却(Return Reservation)] をクリックします。

[予約の返却(Return Reservation)] ダイアログボックスにリターンコードが表示されます。

ステップ 3

予約返却プロセスを完了するには、このコードをコピーして CSSM で送信します。

ステップ 4

software.cisco.com ポータルにログインし、メインメニューから [ライセンス(License)] > [スマート ソフトウェア ライセンス(Smart Software Licensing)] を選択します。

ステップ 5

[Smart Software Licensing] ウィンドウで、[Product Inventory] をクリックします。

ステップ 6

インベントリリストの上に表示される検索バーに Cisco ISE からコピーしたシリアル番号を入力して、対応するエントリを表示します。

ステップ 7

[Actions] ドロップダウンリストから、[Remove] を選択します。

ステップ 8

表示される [Remove Product Instance] ダイアログボックスで、Cisco ISE から受信した予約返却コードを入力します。

ステップ 9

[製品インスタンスの削除(Remove Product Instance)] をクリックします。

ライセンス予約のライセンス権限がリリースされ、CSSM で使用できるようになりました。