将ISE与智能许可服务器集成
目录
简介
本文档介绍如何在Cisco ISE上配置智能许可。
先决条件
要求
Cisco 建议您了解以下主题:
- ISE 3.x版本
- 访问智能软件许可
- 思科智能软件管理器(CSSM)版本8内部版本202010+(可选)
使用的组件
本文档不限于特定的软件和硬件版本。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
从Cisco ISE 3.0开始,需要智能许可。思科智能许可通过以下方式使设备能够自行注册和报告使用情况,从而简化许可证的采购、部署和管理:
- 当智能许可证令牌处于活动状态并在思科ISE管理门户中注册时,CSSM监控每个产品许可证的每个终端会话的许可证使用情况。
- 智能许可使用思科ISE中的简单表布局按终端会话通知管理员许可证使用情况。
- 智能许可每天向集中式数据库报告每个已启用许可证的峰值使用情况。
- 思科ISE每30分钟采集一次许可证消耗的内部示例。许可证合规性和使用会相应地更新。
- 从您向CSSM注册思科ISE主要管理节点(PAN)时,思科ISE每六小时向CSSM服务器报告一次许可证消耗的峰值计数。
- 峰值计数报告有助于确保思科ISE中的许可证消耗符合购买和注册的许可证。
- Cisco ISE通过存储CSSM证书的本地副本与CSSM服务器通信。
- CSSM证书在每日同步期间以及刷新“许可证”(Licenses)表时自动重新授权。通常,CSSM证书的有效期为六个月。
- 因此,Cisco ISE需要网络连接才能到达CSSM。
许可证消耗流程
TACACS+
设备管理许可证(PID:L-ISE-TACACS-ND=)在策略服务节点(PSN)上激活TACACS+服务。 使用TACACS+的每个PSN都需要其自己的设备管理许可证。TACACS+设备管理不计入终端使用情况,对可管理的网络设备数量没有限制。管理网络接入设备(NAD)(例如路由器和交换机)不需要基本许可证。
记帐终端许可证
注意:该图使用传统许可证术语,但这些术语也适用于文档中引用的新层许可证。
由于每个终端可以有多个会话,因此活动终端数可能与使用的许可证数不同。许可证使用量取决于活动会话的数量,而不仅仅是终端的数量。例如,具有10个活动终端且具有多个会话的系统可以使用更多许可证。
确保在无线接入点和交换机上启用记帐。许可证使用量由从AAA客户端发送到AAA服务器的“开始 — 停止”消息决定。
Cisco ISE使用特定规则管理监控和故障排除(MnT)中的会话,依靠来自网络接入设备(NAD)的记帐消息。 以下是Cisco ISE基于这些记帐消息处理会话的方式:
- 如果Cisco ISE收到RADIUS身份验证请求但没有记帐消息,它将保持会话活动1小时。
- 收到记账消息后,思科ISE将会话保持最多5天或直到收到记账停止消息。
- 收到记账停止消息后,立即释放许可证会话。
- 临时更新会延长5天。
ISE许可证
评估
当您安装或升级到思科ISE版本3.x及更高版本时,默认激活评估许可证。评估许可证的有效期为90天,在此期间您可以访问所有思科ISE功能。使用评估许可证时,思科ISE被视为处于评估模式。思科ISE管理门户的右上角显示一条消息,其中包含评估模式下剩余的天数。
层
Tier Licenses取代早于3.x版本中使用的Base、Apex和Plus许可证。层许可证包括三个许可证 — Essentials、Advantage和Premier。如果您当前具有Base、Apex或Plus许可证,请使用CSSM将其转换为新的许可证类型。
设备管理员
设备管理许可证允许您在策略服务节点上使用TACACS服务。在高可用性独立部署中,设备管理许可证允许您在高可用性对中的单个策略服务节点上使用TACACS服务。在Cisco ISE上,它被定义为Device Admin,在智能许可证门户上,它被定义为Maximum number of nodes authorized to TACACS+事务。
虚拟设备许可证
思科ISE 3.x以上附带新形式的VM许可证,即VM通用许可证。如果您使用的是传统VM许可证,则必须将其转换为VM通用许可证。
有关许可证类型和转换的信息,请参阅以下链接:
新ISE版本上的关键智能许可更改
-
智能许可连接方法更改:
思科ISE 3.4删除了对智能许可中使用的传输网关连接方法的支持。如果您使用传输网关进行智能许可,则必须在升级到3.4之前更新连接方法。如果未更新,系统会在升级期间自动切换到直接HTTPS,但您可以在升级后随时更改它。 -
许可可视性改进3.5:
Cisco ISE 3.5增强了许可证跟踪,以实现更好的可视性和准确性。许可证层和功能保持不变,但许可证使用量现在与峰值活动终端保持一致。3.5中的实施尚未生效;相反,如果使用量超过许可的限制,则无中断使用警报会发出通知
许可证注册类型
对于Cisco ISE 3.1的简介,您有三个选项可用于启用智能许可。
智能软件许可预留(直接Https、HTTP代理、内部SSM)
通过单个令牌注册,可以轻松高效地使用智能软件许可预留。您购买的许可证在称为CSSM的集中式数据库中维护。登录到CSSM门户以轻松跟踪您可用的终端许可证和消费统计信息。在此模式下,Cisco ISE需要直接连接CSSM(直接HTTPS)或通过代理连接,以交换消费和合规性信息。新选项SSM On-Prem允许气隙ISE以本地服务器作为本地(卫星)服务器托管的形式利用CSSM的功能。
特定许可证预留(在ISE 3.1及更高版本中可用)
特定许可证预留(SLR)允许高度安全的网络中的客户使用智能许可(和智能许可证),而无需沟通许可证信息。SLR允许保留特定许可证,包括附加许可证。SLR不需要思科ISE才能连接到CSSM,并允许思科ISE使用智能帐户中存在的许可证,直到这些许可证到期。
配置
将CSSM与ISE集成的连接方法(直接HTTPS/HTTPS代理)
步骤1.浏览到Administration > System > Licensing:
第2步:在许可证类型中选择智能软件许可保留,并将注册令牌粘贴到注册详细信息。根据需要选择Applicable Tier。直接HTTPS和HTTPS代理之间的流程略有不同。
直接HTTPS
步骤3.对于直接HTTPS,选择Connection Method作为Direct HTTPS,然后单击Register:
HTTPS代理
第4步:为确保已预配置HTTPS代理,请导航到管理>系统>设置。
添加代理详细信息>主机、用户ID和密码:
第5步:返回Cisco ISE Licensing页面,选择Connection Method作为HTTPS Proxy,并确保在HTTPS Proxy部分下看到已配置的代理。单击Register:
最后,思科ISE现已注册到CSSM,此ISE节点的条目可以在虚拟帐户(从中生成令牌)的产品实例中找到。
配置智能软件管理器内部服务器
此配置要求在环境中部署SSM内部(卫星)服务器。部署并连接后,卫星服务器作为本地许可服务器,允许Cisco ISE执行许可事务而不通过互联网联系CSSM。反过来,卫星服务器可以在联机或脱机模式下与CSSM同步(使用.yml文件)。 有关卫星服务器的更多详细信息,请参阅思科智能软件管理器内部数据表。有关安装内部服务器的快速入门指南,请参阅SSM_On-Prem_8_Quick_Start_Guide。
这些步骤假设已配置卫星服务器,并且CSSM上包含思科ISE许可证的虚拟帐户已添加到卫星服务器。有关执行相同操作的步骤,请参阅Smart_Software_Manager_On-Prem_8-202006_Installation_Guide。
步骤1.登录卫星服务器并选择Smart Licensing Option:
步骤2.从库存中生成令牌并复制令牌值。返回Cisco ISE,选择Smart Software Licensing Reservation,并作为Connection Method作为SSM On-Prem Server:
步骤3.字段SSM On-Prem Server Host取自在On-Prem服务器上配置的主机名。从以下方面也可确认相同情On-Prem Server Admin Workspace > Security > Certificates > Host Common Name况:
第4步:确认主机名后,将其添加到SSM内部服务器主机下的思科ISE并点击Register。成功注册后,思科ISE会出现在添加到卫星服务器上虚拟帐户的产品实例列表中。
ISE和CSSM的集成方法
SLR
步骤1.浏览到Administration > System > Licensing如下图所示:
第2步:对于许可证类型,选择SLR,然后单击生成代码。复制生成的预留代码,因为CSSM需要该代码才能生成授权代码:
第3步:在CSSM上,选择包含Cisco ISE许可证(Essential、Advantage、Premier、VM、TACACS+)的虚拟帐户。 在Licenses部分下,选择:
L
许可证预留。
第4步:输入从思科ISE复制的授权代码,然后点击下一步以选择选项Reserve a specific license。根据可用的许可证,指定为Cisco ISE保留的计数,然后点击Next。请注意,层许可证和VM许可证允许上层许可证的替换可用于满足低层许可证的请求。请检查层型号Cisco ISE 3.x许可型号。
步骤5.使用Download as File(下载为文件)选项检查并下载生成的授权代码。返回思科ISE并点击上传SLR许可证密钥以上传文件。思科ISE上许可证的到期日期反映智能帐户上许可证的原始到期日期。
返回SLR预留
步骤1.单击Return Reservation并复制提供的保留代码并保持其安全。
第2步:浏览至添加思科ISE的虚拟帐户的产品实例,并使用其序列号搜索ISE。单击Actions > Remove,输入步骤1中复制的代码,然后单击Return Product Reservation。这会将保留的许可证返回到虚拟帐户。
故障排除
一般准则
- 对于Cisco ISE 3.0 p7、3.1 p5和3.2或更高版本,请检查此链接的可达性: https://smartreceiver.cisco.com/。
- 对于较低的ISE版本<= Ise 3.0,请检查以下链接的可达性:tools.cisco.com、tools1.cisco.com和tools2.cisco.com。
- 这些链接非常重要,因为它们在与往返的CSSM的通信中起着至关重要的作用,如果您阻止这些IP,则思科ISE无法向CSSM报告许可证使用情况,而缺少报告会导致失去对思科ISE的管理访问权限和思科ISE功能的限制。
ISE日志记录属性设置为调试级别
- 许可证(ise-psc.log)
- 管理许可证(ise-psc.log)
注册和续约错误
要排除注册错误,首先要验证智能许可云(https://tools.cisco.com/或https://smartreceiver.cisco.com/)是否不存在通信问题。 有多种因素可能会中断Cisco ISE和智能许可云之间的连接,包括:
- 防火墙或其他设备阻止流量。
- DNS问题。如果Cisco ISE无法解析https://tools.cisco.com/或https://smartreceiver.cisco.com/的对应FQDN,则无法发送注册API调用。
- 智能许可门户出现问题。
调查ISE许可状态的API请求
直接从浏览器使用HTTPS API调用,以便了解思科ISE上使用的许可证数量:
- https://<MnTNodeIP>/admin/API/mnt/Session/ActiveCount
- https://<MnTNodeIP>/admin/API/mnt/Session/License/LicenseCountsFromSessionDB
- https://<MnTNodeIP>/admin/API/mnt/License/Base
- https://<MnTNodeIP>/admin/API/mnt/许可证/中级
- https://<MnTNodeIP>/admin/API/mnt/许可证/高级版
- https://<MnTNodeIP>/admin/API/mnt/Session/ActiveList
在Cisco ISE 3.1或更高版本中,您可以使用OpenAPI。您必须导航至Administration > Settings > API Settings.API调用用于获取有关许可状态的更多数据。
提示:确保ERS和开放式API服务在思科ISE中启用。您可以通过导航到进行验Administration > Settings > API Settings > API Service Settings证。如果未启用这些服务,必须先激活这些服务,然后才能通过URL访问API调用。
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
3.0 |
23-Apr-2026
|
格式、语言、链接。 |
1.0 |
03-Oct-2024
|
初始版本 |
反馈