通过思科 ISE 许可模型,您可以根据企业的需求购买许可证。在使用传统许可时,您可以导入所有单个许可证并继续通过 ISE 对其进行单独管理。当使用智能许可时,您可以管理集中式思科帐户,其中包含您所购买的不同终端许可证的所有信息。
有效的许可证选项包括:
设备管理许可证
有两种类型的设备管理许可证:集群和节点。集群许可证允许您在 Cisco ISE 集群的所有策略服务节点上使用设备管理。节点许可证允许您在单个策略服务节点上使用设备管理。在高可用性独立部署中,节点许可证允许您在高可用性对中的单个策略服务节点上使用设备管理。
设备管理许可证密钥是针对主和副策略管理节点注册的。集群中的所有策略服务节点根据需要消耗设备管理许可证,直到达到许可证数量。
集群许可证是随着 Cisco ISE 2.0 中设备管理的发布而引入的,并在 Cisco ISE 2.0 及以后的版本中被强制执行。节点许可证是后来发布的,在 2.0 到 2.3 版本中只部分执行。从 Cisco ISE 2.4 开始,节点许可证完全是在每个节点基础上执行的。
集群许可证已经停止使用,现在只有节点许可证可供出售。
然而,如果你用有效的集群许可证升级到这个版本,你可以在升级时继续使用你现有的许可证。
Plus 许可证会话的数量可以达到部署中的 Base 许可证会话的数量。这同样适用于 Apex 许可证会议。Apex 和 Plus 许可证可以独立安装,Apex 与 Plus 许可证的数量不受任何限制。思科 ISE 许可证是基于具有活动网络连接的并发终端的数量,而
AnyConnect Apex 许可证是基于不同的用户需求。AnyConnect Apex 许可证计数可超过思科 ISE Base 许可证计数。
 注 |
整个部署中经常会用到 Plus 许可证中包含的服务(最值得注意的是分析服务)。如果将 Plus 许可证添加到部署中,我们建议 Plus 许可证计数应等于 Base 许可证计数。但是,可能会遇到整个部署都不需要使用 Plus 许可证服务的情况,这就是为什么思科
ISE 允许 Plus 许可证计数小于 Base 许可证计数的原因。
|
思科建议安装(对于传统许可)或同时购买(对于智能许可)Base、Plus 和 Apex 许可证。
-
需要 Base 许可证才能使用由 Plus 和/或 Apex 许可证支持的服务。但是,不需要为了享有 Apex 许可证而具备 Plus 许可证,或反之亦然,因为它们的功能没有重叠。
-
如果 Plus 和 Apex 许可证不符合要求,您无法配置或编辑 Plus 和 Apex 的功能。这些功能以只读模式显示。
-
当安装 Base 或 Mobility Upgrade 许可证时,思科 ISE 会在剩余的时间内继续使用默认的 Evaluation 许可证作为单独的许可证。
-
当安装 Mobility Upgrade 许可证时,思科 ISE 会启用所有有线、无线和 VPN 服务。
-
需要 Base 或 Mobility 许可证方可安装设备管理许可证。
-
未事先安装 Base 许可证的情况下,无法将 Evaluation 许可证升级为 Plus 许可证。
VM 节点的许可证
思科 ISE 还可作为虚拟设备出售。对于版本 2.4,建议您在部署中为 VM 节点安装适当的 VM 许可证。您必须根据 VM 节点的数量和每个节点的资源(例如 CPU 和内存)安装 VM 许可证。否则,在版本 2.4 中,您将收到警告和通知,提醒您获取并安装
VM 许可证密钥,但是,系统不会中断服务。
VM 许可证分三类提供,即小型、中型和大型。例如,如果您使用 3595 个等效 VM 节点、每个节点的资源为 16 个 CPU 和 64 GB RAM,而且您希望复制 VM 上的相同功能,那么您需要中等类别的 VM 许可证。
如果您只有 VM 小型许可证,但您的 VM 节点有映射到 VM 中型许可证的资源,Cisco ISE 将注册 VM 中型许可证的消耗。你将收到不符合规定的许可证消耗的通知。您必须采购和安装适当的许可证,以停止接收这些通知。
您可以根据部署要求以及 VM 的数量及其资源情况安装多个 VM 许可证。
VM 许可证是基础设施许可证,因此,安装 VM 许可证时无需考虑部署中可用的终端许可证。即使部署中未安装任何评估、基本、附加或 Apex 许可证,也可以安装 VM 许可证。但是,为了使用基本、附加或 Apex 许可证支持的功能,必须安装适当的许可证。
安装或升级到版本 2.4 后,如果部署的 VM 节点数量和安装的 VM 许可证数量不一致,系统会每 14 天在“Alarms”Dashlet 中显示警告。如果 VM 节点的资源发生任何更改或无论何时注册或取消注册 VM 节点时,系统都会显示警告。
VM 许可证是永久性许可证。您每次登录思科 ISE GUI 时,系统都会显示 VM 许可更改情况,直到您在通知弹出窗口中选中“Do not show this message again”复选框为止。
如果您之前未购买 Cisco ISE VM 许可证,请参阅 《ISE 订购指南》 选择适当的 VM 许可证。如果您有 Cisco ISE VM 许可证,但没有相关的产品授权密钥 (PAK),请联系 Cisco 许可团队,提供您购买 Cisco ISE VM 的销售订单号。我们收到您的申请后,会为您购买的每个 ISE VM
提供一个中型 VM 许可证。
如果要获得较低严重程度的许可问题的帮助,请通过支持案例管理器在线打开一个案例,在 http://cs.co/scmswl。
关于 Cisco TAC 对关键问题的帮助,请参考在 http://cs.co/TAC-worldwide上提供的联系信息。
下表显示了不同类别的最小 VM 资源:
VM 类别
|
RAM 范围
|
CPU 数量
|
小型
|
16 GB
|
12 个 CPU
|
中等
|
64GB
|
16 个 CPU
|
大型
|
256GB
|
16 个 CPU
|
表 1. 思科 ISE 许可证包
ISE 许可证包
|
永久/订用(可用的期限)
|
涵盖的 ISE 功能
|
注
|
Base
|
永久
|
|
作为从 ISE-PIC 至基本许可证升级的一部分,可提供的被动身份服务包括仅适用于 Cisco 用户的有限 pxGrid 功能。
|
Plus
|
订用(1 年、3 年或 5 年)
|
|
不包括基本服务;需要 Base 许可证才能安装 Plus 许可证。
当用 BYOD 流程登录一个终端时,即使相关的 BYOD 属性没有被使用,也会在活动会话中消耗 Plus 服务。
当剖析相关的授权策略包含 IdentityGroup:Name时,Plus 许可证应被消耗。
|
Apex
|
订用(1 年、3 年或 5 年)
|
-
第三方移动设备管理 (MDM) 集成
-
安全评估合规性
-
TC NAC
|
不包括基本服务;需要 Base 许可证才能安装 Apex 许可证。
注
|
在有线、无线和 VPN 部署中使用 Cisco AnyConnect 作为统一的终端安全评估代理时,除了思科 ISE Apex 许可证之外,还需要 Cisco AnyConnect Apex 用户许可证。
|
|
Mobility
|
订用(1 年、3 年或 5 年)
|
结合使用 Base、Plus 和 Apex 许可证,用于无线和 VPN 终端
|
在使用 Base、Plus 和/或 Apex 许可证的思科管理节点上不能共存。
|
Mobility Upgrade
|
订用(1 年、3 年或 5 年)
|
提供对 Mobility 许可证的有线支持
|
只能将 Mobility Upgrade 许可证安装在现有 Mobility 许可证之上。
|
设备管理
|
永久
|
TACACS+
|
需要 Base 或 Mobility 许可证方可安装设备管理许可证。
设备管理许可证的数量必须等于在其上启用了 TACACS+ 角色的策略服务节点的数量。
|
ISE-PIC
|
永久
|
被动身份服务
|
每个节点一个许可证。每个许可证最多支持 3000 个并行会话。
|
ISE-PIC 升级
|
永久
|
此许可证允许以下选项:
-
启用其他(最多 300,000 个)并行会话。
-
升级到完整 ISE 实例
|
每个节点一个许可证。每个许可证最多支持 300,000 个并行会话。
安装此许可证后,已升级的节点即可加入现有 ISE 部署,或者在节点上安装基础许可证,以便用作 PAN。
作为升级至基本许可证一部分,可提供的被动身份服务包括仅适用于 Cisco 用户的有限 pxGrid 功能。
|
Evaluation
|
临时(90 天)
|
此许可证可为 100 个终端提供完整的思科 ISE 功能。
|
所有思科 ISE 设备均随附 Evaluation 许可证。
|