Integrar o ISE com o servidor de Smart Licensing

Introdução

Este documento descreve como configurar o Smart Licensing no Cisco ISE.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

• Versão 3.x do ISE
  
• Acesso ao Smart Software Licensing
  
• Cisco Smart Software Manager (CSSM) versão 8 202010+ para On-Prem (opcional)

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Informações de Apoio

A partir do Cisco ISE 3.0, o Smart Licensing é necessário. O Cisco Smart Licensing simplifica a aquisição, a implantação e o gerenciamento de licenças, permitindo que os dispositivos registrem-se automaticamente e relatem o uso das seguintes maneiras:

1. Quando um token de licença inteligente está ativo e registrado no portal de administração do Cisco ISE, o CSSM monitora o consumo de licenças por cada sessão de endpoint por licença de produto.
2. O Smart Licensing notifica o administrador sobre o consumo de licenças por sessões de endpoint com um layout de tabela simples no Cisco ISE.
3. O Smart Licensing relata diariamente o uso máximo de cada licença habilitada para o banco de dados centralizado.
4. O Cisco ISE coleta amostras internas do consumo de licenças a cada 30 minutos. A conformidade e o consumo de licenças são atualizados de acordo.
5. A partir do momento em que você registra o nó de administração principal (PAN) do Cisco ISE no CSSM, o Cisco ISE relata contagens de pico de consumo de licenças para o servidor CSSM a cada seis horas.
6. Os relatórios de contagem de picos ajudam a garantir que o consumo de licenças no Cisco ISE esteja em conformidade com as licenças adquiridas e registradas.
7. O Cisco ISE se comunica com o servidor CSSM armazenando uma cópia local do certificado CSSM.
8. O certificado CSSM é automaticamente reautorizado durante a sincronização diária e quando você atualiza a tabela Licenças. Normalmente, os certificados CSSM são válidos por seis meses.
9. Como resultado, o Cisco ISE precisa de conectividade de rede para acessar o CSSM.

Fluxo de consumo de licenças

TACACS+

A licença Device Admin (PID: L-ISE-TACACS-ND=) ativa serviços TACACS+ em um Nó de Serviço de Política (PSN). Cada PSN que usa TACACS+ requer sua própria licença de Administrador de dispositivo. A administração de dispositivos TACACS+ não conta para o uso de endpoint e não impõe limite no número de dispositivos de rede que você pode gerenciar. Uma licença essencial não é necessária para gerenciar dispositivos de acesso à rede (NADs), como roteadores e switches.

Licença de Endpoint de Contabilidade

O número de endpoints ativos pode diferir das licenças usadas, pois cada endpoint pode ter várias sessões. O consumo da licença é baseado no número de sessões ativas, não apenas no número de endpoints. Por exemplo, um sistema com 10 endpoints ativos com várias sessões pode usar mais licenças.

Certifique-se de que a contabilidade esteja habilitada nos pontos de acesso sem fio e no switch. O consumo de licença é determinado pelas mensagens Start - Stop enviadas do cliente AAA para o servidor AAA.

O Cisco ISE usa regras específicas para gerenciar sessões no Monitoramento e Solução de Problemas (MnT), contando com mensagens de contabilização dos Dispositivos de Acesso à Rede (NADs). Veja como o Cisco ISE processa sessões com base nestas mensagens de relatório:

• Se o Cisco ISE receber uma solicitação de autenticação RADIUS, mas nenhuma mensagem de relatório, ele manterá a sessão ativa por 1 hora.
• Ao receber uma mensagem de relatório, o Cisco ISE mantém a sessão por até 5 dias ou até que uma mensagem de relatório de relatório seja recebida.
• A sessão de licença é liberada imediatamente assim que uma mensagem de parada de contabilidade é recebida.
• Uma atualização provisória estende os 5 dias.

Licenças do ISE

Avaliação

As Licenças de avaliação são ativadas por padrão quando você instala ou atualiza para o Cisco ISE Release 3.x e versões posteriores. A licença de avaliação está ativa por 90 dias e você tem acesso a todos os recursos do Cisco ISE durante esse período. O Cisco ISE é considerado no modo de avaliação quando a licença de avaliação está em uso. O canto superior direito do portal de administração do Cisco ISE exibe uma mensagem com o número de dias restantes no Modo de avaliação.

Camada

As licenças de camada substituem as licenças de Base, Apex e Plus usadas em versões anteriores à 3.x. As licenças de nível incluem três licenças — Essentials, Advantage e Premier. Se você tiver atualmente licenças de Base, Apex ou Plus, use o CSSM para convertê-las nos novos tipos de licença.

Administrador do dispositivo

Uma licença de Administração de dispositivo permite que você use serviços TACACS em um nó de Serviço de política. Em uma implantação autônoma de alta disponibilidade, uma licença de Administração de dispositivo permite que você use serviços TACACS em um único nó de Serviço de política no par de alta disponibilidade. No Cisco ISE, é definido como Device Admin e no portal Smart License, é definido como Número máximo de nós habilitados para transações TACACS+.

Licenças de dispositivos virtuais

O Cisco ISE 3.x vem com uma nova forma de licença de VM, que é a licença VM Common. Se você estiver usando licenças de VM tradicionais, elas deverão ser convertidas em licenças comuns de VM.

Para obter informações sobre tipos de licença e conversão, consulte os links:

• Recursos de licença
• Guia de licença da Cisco

Principais alterações do Smart Licensing em novas versões do ISE

• Alteração do Método de Conexão do Smart Licensing:
  O Cisco ISE 3.4 removeu o suporte para o método de conexão do Transport Gateway usado no Smart Licensing. Se você estava usando o Transport Gateway para o licenciamento inteligente, deve atualizar o método de conexão antes de atualizar para a versão 3.4. Se não estiver atualizado, o sistema automaticamente alterna para o Direct HTTPS durante a atualização, mas você pode alterá-lo a qualquer momento após a atualização.

• Melhorias na visibilidade do licenciamento no 3.5:
  O Cisco ISE 3.5 aprimora o controle de licenças para melhor visibilidade e precisão. Os níveis e recursos de licença permanecem os mesmos, mas o uso da licença agora está alinhado com os endpoints ativos de pico. A execução ainda não está ativa no ponto 3.5; em vez disso, os alertas de consumo sem interrupções notificam se o uso excede os limites licenciados

Tipos de registro de licença

Para a introdução do Cisco ISE 3.1, você tem três opções disponíveis para habilitar o Smart Licensing.

Reserva de Licenciamento de Software Inteligente (Https Direto, Proxy HTTP, SSM Local)

A Smart Software Licensing Reservation é facilmente usada e eficientemente com um único registro de token. As licenças adquiridas são mantidas em um banco de dados centralizado chamado CSSM. Faça login no portal CSSM para rastrear facilmente as licenças de endpoint disponíveis para você e as estatísticas de consumo. Neste modo, o Cisco ISE é necessário para se conectar ao CSSM diretamente (HTTPS direto) ou através de proxy para trocar as informações de consumo e conformidade. A nova opção SSM On-Prem permite ISE com isolamento de ar para utilizar os recursos do CSSM na forma de um servidor local hospedado como um servidor On-Prem (satélite).

Reserva de licença específica (disponível no ISE 3.1 e posterior)

A reserva de licença específica (SLR) permite que os clientes em redes altamente seguras usem o Smart Licensing (e as licenças Smart) sem comunicar as informações da licença. O SLR permite a reserva de licenças específicas, incluindo licenças complementares. O SLR não exige o Cisco ISE para se conectar ao CSSM e permite que o Cisco ISE consuma as licenças presentes na Smart Account até que elas expirem.

Configurar

Métodos de conexão (proxy HTTPS/HTTPS direto) para integração do CSSM com o ISE

Etapa 1. Navegue até Administration > System > Licensing:

Etapa 2. Selecione Smart Software Licensing Reservation em License Type e cole o Registration Token em Registration Details. Escolha a camada aplicável conforme necessário. O processo é ligeiramente diferente entre o proxy HTTPS e HTTPS direto.

HTTPS direto

Etapa 3. Para o Direct HTTPS, escolha o Método de Conexão como Direct HTTPS e clique em Registrar:

Proxy HTTPS

Etapa 4. Para garantir que o proxy HTTPS seja pré-configurado, navegue para Administração > Sistema > Configurações.

Adicione detalhes de proxy > Host, ID de usuário e Senha:

Etapa 5. De volta à página Licenciamento do ISE, escolha Método de conexão como Proxy HTTPS e certifique-se de que o Proxy configurado seja visto na seção Proxy HTTPS. Clique em Registrar:

Finalmente, o Cisco ISE agora está registrado no CSSM e uma entrada para esse nó ISE pode ser encontrada nas instâncias de produto na Virtual Account (de onde o token foi gerado).

Configuração do servidor local do Smart Software Manager

Esta configuração requer que um servidor SSM local (satélite) seja implantado no ambiente. Depois de implantado e conectado, o servidor satélite atua como um servidor de licenciamento local, permitindo que o Cisco ISE execute as transações de licenciamento sem acessar o CSSM pela Internet. Os servidores satélite podem, por sua vez, sincronizar com o CSSM no modo on-line ou off-line (usando arquivos .yml). Mais detalhes sobre o servidor satélite estão disponíveis na Folha de dados local do Cisco Smart Software Manager . Um guia de início rápido para instalar o servidor no local está disponível no SSM_On-Prem_8_Quick_Start_Guide .

Estas etapas pressupõem que o servidor satélite esteja configurado e uma Virtual Account no CSSM que contém licenças do Cisco ISE seja adicionada ao servidor satélite. As etapas para executar o mesmo procedimento podem ser rastreadas no Smart_Software_Manager_On-Prem_8-202006_Installation_Guide.

Etapa 1. Faça login no servidor satélite e escolha a opção Smart Licensing:

Etapa 2. No inventário, gere um token e copie o valor do token. De volta ao Cisco ISE, escolha Smart Software Licensing Reservation e as Connection Method as SSM On-Prem server:

Etapa 3. O campo Host do servidor local do SSM é retirado do nome do host configurado no servidor local. O mesmo pode ser confirmado pelo On-Prem Server Admin Workspace > Security > Certificates > Host Common Name:

Etapa 4. Depois que o nome do host for confirmado, adicione-o ao Cisco ISE no host do servidor local SSM e clique em Register. Após o registro bem-sucedido, o Cisco ISE aparece na lista de instâncias de produtos adicionadas à Virtual Account no servidor satélite.

Métodos de integração para ISE e CSSM

SLR

Etapa 1. Navegue até Administration > System > Licensingconforme mostrado na imagem:

Etapa 2. Para o Tipo de licença, escolha SLR e clique em Gerar código. Copie o código de reserva gerado, pois ele é exigido pelo CSSM para gerar um código de autorização:

Etapa 3. No CSSM, escolha a Virtual Account que contém as licenças do Cisco ISE (Essential, Advantage, Premier, VM, TACACS+). Na seção Licenças, escolha:

I

Reserva de licença.

Etapa 4. Insira o código autorizado copiado do Cisco ISE e clique em Next para escolher a opçãoReserve a specific licenseo. Dependendo das licenças disponíveis, especifique as contagens a serem reservadas para o Cisco ISE e clique em Next. Observe que as licenças de camada e as licenças de VM permitem a substituição de licenças de nível superior para atender às solicitações de licenças de nível inferior. Verifique o modelo de camada do Cisco ISE 3.x Licensing Model .

Etapa 5. Revise e faça o download do código de autorização gerado usando a opção Download as File. Retorne ao Cisco ISE e clique em Upload SLR License Key para carregar o arquivo. A data de expiração das licenças no Cisco ISE reflete a data de expiração original das licenças na Smart Account.

Retornando a Reserva para o SLR

Etapa 1. Clique em Return Reservation, copie o código de reserva fornecido e mantenha-o seguro.

Etapa 2. Navegue até Product Instances para a Virtual Account à qual o Cisco ISE é adicionado e procure o ISE usando seu número de série. Clique em Actions > Remove, insira o código copiado na Etapa 1 e clique em Return Product Reservation. Isso retornará as licenças reservadas para a Virtual Account.

Troubleshooting

Diretrizes gerais

• Para Cisco ISE 3.0 p7, 3.1 p5 e 3.2 ou posterior, verifique a acessibilidade para este link: https://smartreceiver.cisco.com/.
• Para versões inferiores do ISE<= Ise 3.0, verifique a acessibilidade destes links: tools.cisco.com, tools1.cisco.com e tools2.cisco.com.
• Esses links são importantes porque desempenham um papel vital na comunicação com o CSSM de e para, se você bloquear esses IPs, o Cisco ISE não poderá relatar o uso da licença para o CSSM, e essa falta de relatórios resulta na perda de acesso administrativo ao Cisco ISE e restrições nos recursos do Cisco ISE.

Atributos de log do ISE a serem definidos no nível de depuração

• Licença (ise-psc.log)

• admin-license (ise-psc.log)

Erros de registro e renovação

Para solucionar erros de registro, comece verificando se não há problemas de comunicação com a Smart Licensing Cloud (https://tools.cisco.com/ ou https://smartreceiver.cisco.com/). Vários fatores podem interromper a conexão entre o Cisco ISE e a nuvem de Smart Licensing, incluindo:

• Firewalls ou outros dispositivos bloqueando o tráfego.
• Problemas de DNS. Se o Cisco ISE não puder resolver o FQDN correspondente para https://tools.cisco.com/ ou https://smartreceiver.cisco.com/, ele não poderá enviar a chamada à API de registro.
• Problemas com o Smart Licensing Portal.

Solicitações de API para investigar o status de licenciamento do ISE

Use chamadas de API HTTPS diretamente do navegador para saber o número de licenças que estão sendo consumidas no Cisco ISE:

• https://<MnTNodeIP>/admin/API/mnt/Session/AtiveCount
• https://<MnTNodeIP>/admin/API/mnt/Session/License/LicenseCountsFromSessionDB
• https://<MnTNodeIP>/admin/API/mnt/License/Base
• https://<MnTNodeIP>/admin/API/mnt/License/Intermediate
• https://<MnTNodeIP>/admin/API/mnt/License/Premium
• https://<MnTNodeIP>/admin/API/mnt/Session/AtiveList

No Cisco ISE 3.1 ou posterior, você pode usar o OpenAPI. Navegue até Administration > Settings > API Settings. as chamadas de API usadas para obter mais dados sobre o estado de Licenciamento.

Informações Relacionadas

• Criação de um SLR usando CSSM para Cisco ISE
• Conceitos básicos do licenciamento do Cisco ISE
• Solucionar problemas de licenciamento do ISE
• Licenciamento inteligente do Cisco ISE
  
• Suporte técnico e downloads da Cisco

Histórico de revisões

Revisão	Data de publicação	Comentários
3.0	23-Apr-2026	Formatação, idioma, links.
1.0	03-Oct-2024	Versão inicial