许可

思科 ISE 许可证

Cisco ISE 版本 3.0 及更高版本不支持Cisco ISE 版本 2.x 中使用的传统许可证,例如 Base、Plus 和 Apex 许可证。Cisco ISE 版本 3.0 许可证完全通过叫做 Cisco Smart Software Manager (CSSM) 的集中式数据库进行管理。通过单令牌注册轻松、高效地注册、激活和管理所有许可证。

为最大限度地提高客户的经济性,Cisco ISE 的许可在以下软件包中提供:

  • 层级许可证

    从Cisco ISE 版本 3.0 开始,一组称为“层级许可证”的新许可证将取代之前版本中使用的 Base、Apex 和 Plus 许可证。层级许可证包含三种许可证:Essentials、Advantage 和 Premier。

    如果您当前拥有 Base、Apex 和 Plus 许可证,请使用 Cisco Smart Software Manager (CSSM) 将其转换为新的许可证类型。

  • 设备管理许可证

    上面启用了 TACACS+ 角色的策略服务节点 (PSN) 将使用设备管理许可证。

  • 虚拟设备许可证

    虚拟设备许可证有三种形式:VM 小型、VM 中型和 VM 大型。

  • 评估许可证

    当您首次安装Cisco ISE 版本 3.0 时,默认情况下会启用评估许可证。评估许可证是 90 天的许可证,允许您访问所有Cisco ISE 功能。在评估期间,许可证使用量不会报告给 CSSM。

如果用现有的智能许可证升级到Cisco ISE 版本 3.0,您的智能许可证将升级到Cisco ISE 中的新许可证类型。但是,您必须在 CSSM 中注册新的许可证类型,才能激活Cisco ISE 版本 3.0 中的许可证。

如果您拥有传统Cisco ISE 许可证,必须将其转换为智能许可证,才能在Cisco ISE 版本 3.0 中开始使用许可证。要将Cisco ISE 2.x 许可证转换为新的许可证类型,请通过支持案例管理器 (http://cs.co/scmswl) 或使用 http://cs.co/TAC-worldwide 中提供的联系信息在线提交支持案例。

对于所有活动的Cisco ISE 许可证,有关许可证到期的通知会在到期前的 90天、60 天和 30 天显示在Cisco ISE 中。有关许可证使用不合规的通知也会显示在Cisco ISE 中。如果您的许可证使用在 45 天内不合规,您将无法访问所有Cisco ISE 功能,直到您购买并激活所需的许可证。

从一个许可包升级到另一个许可包时,Cisco ISE 会继续提供升级之前的早期包中提供的所有功能。您无需重新配置已配置的任何设置。

例如,您当前使用 Essentials 许可证并在以后添加 Advantage 许可证,则使用 Essentials 许可证已配置的功能不会更改。

在以下情况下,您应更新许可协议:

  • 试用期结束,而您尚未注册您的许可证。

  • 您的许可证已过期。

  • 终端使用量超过您的许可协议。

ISE 社区资源

思科身份服务引擎订购指南

有关如何获取评估许可证的信息,请参阅如何获取 ISE 评估许可证

层级许可证

下表指定新的层级许可证启用的功能。

表 1. 思科 ISE 层级许可证

许可证名称

此许可证可启用什么功能?

Essentials

  • RADIUS 身份验证、授权和记账,包括 802.1X、MAC 身份验证绕过和轻松连接,以及 Web 身份验证。

  • MACsec。

  • 基于单点登录 (SSO)、安全断言标记语言 (SAML) 和开放式数据库连接 (ODBC) 标准的身份验证。

  • 访客门户和发起人服务。

  • 用于监控目的的具象状态传输 (REST) API,以及用于 CRUD 操作的外部 RESTful 服务 API。

  • PassiveID 服务。

  • 安全有线和无线接入。

Advantage

  • Cisco ISE Essentials 许可证启用的所有功能。

  • 自带设备 (BYOD) 设备注册和调配,内置证书颁发机构。设备注册通过已配置的“我的设备”门户进行。

  • 安全组标记、TrustSec 和Cisco以应用为中心的基础设施 (ACI) 集成。

  • 分析服务,包括基本资产可视性和实施功能。

  • 终端分析,包括高级资产可视性和实施功能。

  • 源服务。

  • 基于位置的服务的可视性和实施。

  • 情景共享(如 pxGrid)和安全生态系统集成。

Premier

  • Cisco ISE Essentials 和 Advantage 许可证启用的所有功能。

  • 终端保护服务。

  • 快速遏制威胁(使用自适应网络控制和情景共享服务)。

  • 终端安全评估可视性和实施。

  • 通过企业移动管理和移动设备管理实现的合规可视性和实施。

  • 以威胁为中心的网络访问控制可视性和实施。

设备管理许可证

设备管理许可证允许您在策略服务节点上使用 TACACS 服务。在高可用性独立部署中,设备管理许可证允许您在高可用性对中的单个策略服务节点上使用 TACACS 服务。

虚拟设备许可证

Cisco ISE 还可作为虚拟设备出售。根据网络中虚拟机节点的数量以及每个虚拟机节点的资源规格(如 CPU 和内存),选择虚拟机 (VM) 许可证。提供三种 VM 许可证类别:VM 小型、VM 中型和 VM 大型。

下表显示了不同类别的最小 VM 资源:

表 2. 不同类别的最小 VM 资源

VM 许可证

VM 节点的 RAM 容量

VM 节点的 CPU 数量

VM 小型

16 GB

12 个 CPU

VM 中型

64GB

16 个 CPU

VM 大型

256GB

16 个 CPU

例如,如果使用具有 16 个 CPU 和 64 GB RAM 的 3595 等效 VM 节点,则需要 VM 中型许可证才能在此 VM 节点上启用Cisco ISE 服务。即使仅注册和激活了 VM 小型许可证,Cisco ISE 也会注册 VM 节点使用的是 VM 中型许可证。这是因为所使用的许可证是由 VM 节点的 RAM 和 CPU 规格决定的。

然后,您将收到有关许可证使用不合规的警告和通知,直到您购买并安装所需的 VM 许可证为止。但是,Cisco ISE 服务不会中断。

您可以根据部署中的 VM 数量及其资源安装多个 VM 许可证。

VM 许可证是基础设施许可证。因此,安装 VM 许可证时无需考虑部署中可用的终端许可证。但是,要使用层级许可证所实现的功能,还必须安装相应的层级许可证。

安装或升级到Cisco ISE 2.4 或更高版本后,如果部署的 VM 节点数量和安装的 VM 许可证数量存在任何不一致,则系统会每 14 天在主页的警报 (Alarms) Dashlet 中显示警报。如果 VM 节点的资源发生任何更改,以及当注册或取消注册 VM 节点时,系统也会显示警报。

VM 许可证是永久性许可证。您每次登录Cisco ISE GUI 时,系统都会显示 VM 许可更改情况,直到您在显示的弹出通知中选中不再显示此消息 (Do not show this message again) 复选框为止。

评估许可证

当您安装或升级到Cisco ISE 版本 3.0 时,默认激活评估许可证。评估许可证有效期为 90 天,您可以在此期间访问所有Cisco ISE 功能。当使用评估许可证时,Cisco ISE 被视为处于评估模式。

Cisco ISE 管理门户的右上角显示一条消息,其中包含评估模式下剩余的天数。您必须注册在评估模式结束前购买的Cisco ISE 许可证,才能继续使用所需的Cisco ISE 功能。

思科 ISE 智能许可证

当激活智能许可证令牌并在Cisco ISE 管理门户中注册该令牌后,CSSM 会监控每个产品许可证各个终端会话的许可证使用情况。智能许可通过Cisco ISE 中的简单表格布局通知管理员终端会话的许可证使用情况。智能许可 (Smart Licensing) 每天向集中式数据库报告各个以启用许可证的高峰使用情况。当许可证可用且未使用时,管理员会收到可用许可证通知,并可继续监控使用情况。当使用量超过可用许可证数量时,系统会激活警报,并通过警报和通知来告知管理员。

借助智能许可,还可以通过Cisco智能账户管理所包含的不同许可证权益,如 Essential、Advantage、Premier 或 Device Admin。通过Cisco ISE,可以监控每个许可证权益的基本使用量统计信息。通过您的 CSSM 帐户,还可以查看更多信息、统计数据和通知,以及更改您的帐户和授权。


思科智能软件管理器辅助设备

Cisco ISE 每 30 分钟获取一次内部许可证使用样本。系统会相应地更新许可证合规性和使用情况。要在Cisco ISE 的许可证 (Licenses) 表中查看此信息,请从主菜单中选择 管理 (Administration) > 系统 (System) > 许可 (Licensing)),然后点击刷新 (Refresh)

从您向 CSSM 注册Cisco ISE 主管理节点 (PAN) 以来,Cisco ISE 会每六小时向 CSSM 服务器报告一次许可证使用峰值计数。峰值计数报告可帮助确保Cisco ISE 中的许可证使用符合所购买和注册的许可证。Cisco ISE 通过存储 CSSM 证书的本地副本与 CSSM 服务器通信。在每日同步期间以及刷新许可证 (Licenses) 表时,系统会自动重新授权 CSSM 证书。通常,CSSM 证书有效期为六个月。

如果与 CSSM 服务器同步时合规状态有变化,则许可证 (Licenses) 表的最后授权 (Last Authorization) 列会相应更新。此外,当权益不再合规时,不合规天数 (Days Out of Compliancy) 列中会显示它们处于不合规状态地天数。此外,还会在许可 (Licensing) 区域顶部的“通知”(Notifications) 中,以及Cisco ISE 工具栏的许可警告 (License Warning) 链接位置指明不合规。除通知之外,还可以查看警报。


Device Admin 许可证会在思科 ISE 与 CSSM 服务器通信时获得授权,但它们不基于会话,因此许可证 (Licenses) 表中没有与之关联的使用量计数。

许可证 (Licenses) 表的合规性列显示以下值之一:

  • 合规 (In Compliance):此许可证的使用符合规定。

  • 已发放权益 (Released Entitlement):已购买并发放许可证以供使用,但到目前为止,此Cisco ISE 部署中尚未使用其中任何许可证。在这种情况下,将会看到许可证的使用计数 (Consumption Count) 为 0。

  • 评估 (Evaluation):可使用评估许可证。

注册并激活智能许可证

开始之前

  • 如果您有传统的Cisco ISE 许可证,必须将其转换为智能许可证。

  • 如果要使用现有智能许可证升级到Cisco ISE 版本 3.0,请在 CSSM 中将许可证转换为新的智能许可证类型。

  • 在 CSSM 中注册新的智能许可证类型,以接收注册令牌。

过程

步骤 1

在Cisco ISE GUI 中,点击菜单 (Menu) 图标 (),然后选择 管理 (Administration) > 系统 (System) > 许可 (Licensing)
步骤 2

点击注册详细信息 (Registration Details)
步骤 3

在显示的注册详细信息 (Registration Details) 区域中,在注册令牌 (Registration Token) 字段中输入从 CSSM 收到的注册令牌。

步骤 4

连接方法 (Connection Method) 下拉列表中选择连接方法。

  • 直接 HTTPS (Direct HTTPS),如果已配置与互联网的直接连接。
  • HTTPS 代理 (HTTPS Proxy),如果没有与互联网的直接连接且需要使用代理服务器。
  • 传输网关 (Transport Gateway) 是推荐选项。如果已配置传输网关,则默认选择此连接。您必须删除传输网关配置才能选择其他连接方法。
步骤 5

层 (Tier)虚拟设备 (Virtual Appliance) 区域,选中您需要启用的所有许可证的复选框。系统将激活所选许可证,并由 CSSM 跟踪其使用情况。

步骤 6

点击注册 (Register)

在 ISE 中管理智能许可

激活并注册智能许可令牌后,即可通过以下操作从Cisco ISE 管理许可证授权:

  • 启用、禁用和刷新许可证授权证书。

  • 更新智能许可注册。

  • 识别合规和不合规的许可问题。

开始之前

确保已激活并注册您的智能许可令牌。

过程

步骤 1

首次安装思科 ISE 版本 3.0 时,将自动启用所有许可证授权并将其作为评估模式的一部分。注册许可证令牌后,如果您的 CSSM 帐户不包括特定授权,并且您没有在注册期间禁用它们,则Cisco ISE 中将显示不合规通知。将这些授权添加到您的 CSSM 帐户(请联系您的 CSSM 客户代表寻求帮助),然后从许可证 (Licenses) 表中点击刷新 (Refresh) 以删除不合规通知并继续使用相关功能。刷新授权后,注销然后重新登录Cisco ISE 以删除相关的不合规消息。

步骤 2

如果每天自动授权由于任何原因失败,则显示不合规消息。点击刷新 (Refresh) 重新获得您的授权。刷新授权后,注销然后重新登录Cisco ISE 以删除相关的不合规消息。

步骤 3

首次安装思科 ISE 版本 3.0 时,将自动启用所有许可证授权并将其作为评估期的一部分。注册令牌后,如果您的 CSSM 帐户不包括特定授权,并且您没有在注册期间禁用它们,仍然可以在 ISE 中通过智能许可禁用这些授权,以避免不必要的不合规通知。从许可证 (Licenses) 表中,选中令牌中未包括的许可证授权的复选框,然后在工具栏上点击禁用 (Disable)。禁用许可证授权后,注销然后重新登录Cisco ISE 以从菜单中删除相关的功能,并且删除不合规消息。

步骤 4

为您的帐户添加授权后,请启用这些授权。从许可证 (Licenses) 表中,选中所需的已禁用许可证的复选框,并在工具栏上点击启用 (Enable)
步骤 5

注册证书每六个月自动刷新一次。要手动刷新智能许可证书注册,请在许可 (Licensing) 窗口顶部点击更新注册 (Renew Registration)
步骤 6

要从智能账户删除Cisco ISE 产品注册(由 UDI 指示),但是继续使用智能许可直到评估期结束,请在思科智能许可 (Cisco Smart Licensing) 区域的顶部点击取消注册 (Deregister)。例如,如果需要更改在注册过程中指定的 UDI,可以执行此操作。如果评估期仍有剩余时间,则Cisco ISE 仍处于智能许可中。如果评估期已结束,则在浏览器刷新时将显示通知。取消注册后,您可以遵循注册流程以相同或不同的 UDI 再次注册。

步骤 7

要从智能账户完全删除Cisco ISE 产品注册(由 UDI 指示)并恢复为传统许可,请在思科智能许可 (Cisco Smart Licensing) 区域的顶部点击禁用 (Disable)。例如,如果需要更改在注册过程中指定的 UDI,可以执行此操作。禁用后,您可以遵循注册流程以相同或不同的 UDI 再次激活并注册。。

未注册的许可证使用量

问题

许可证使用量依赖于与终端匹配的授权策略中使用的属性。

假设只在系统中注册了 Essentials 许可证(已删除 90 天的评估许可证)。您将能够查看和配置相应的 Essentials 菜单项和功能。

如果将授权策略配置(错误配置)为使用需要 Advantage 许可证的功能(例如:Session:PostureStatus),且如果终端与此授权策略相匹配,那么:

  • 终端将使用 Advantage 许可证,即使尚未在系统中注册 Advantage 许可证。

  • 每当您登录时,系统会显示对此影响的通知。

  • Cisco ISE 将发出通知和警报:“许可证使用量超出可用量”(Exceeded license usage than allowed)(从技术上来说,这是意料之中的,因为系统中未注册 Advantage 许可证,但终端仍在使用此许可证)。

如果使用的 所有三层许可证在 45 天内不合规,则在上传正确的许可证文件之前,Cisco ISE 的所有管理控制都将丢失。在注册正确的许可证之前,您将只能访问Cisco ISE GUI 中的许可 (Licensing) 窗口。但是,Cisco ISE 将继续处理身份验证。

可能的原因

由于授权策略配置错误,许可 (Licensing) 表可显示Cisco ISE 正在使用您尚未购买和注册的许可证。在购买 一个许可证之前,Cisco ISE GUI 不会显示该许可证所涵盖的功能。但是,购买许可证之后,用户界面会继续显示许可证功能,即使在许可证已过期或超出其终端使用量之后亦如此。因此,即使没有系统的有效许可证,仍可以进行配置。

解决方案

在Cisco ISE GUI 中,点击菜单 (Menu) 图标 () 并选择策略 (Policy) > 策略集 (Policy Sets),确定正在使用尚无注册许可证的功能的授权规则,然后重新配置该规则。