许可

思科 ISE 许可证

思科 ISE 服务可为网络中越来越多的终端提供可视性和可控性。思科 ISE 功能会被映射到特定许可证,而您可以启用提供满足组织需求所需的思科 ISE 功能的许可证。

思科 ISE 捆绑了具有以下主要功能的许可机制:

  • 内置许可证:思科 ISE 随附一个有效期为 90 天的内置评估许可证。安装思科 ISE 后,无需立即安装思科 ISE 许可证。您可以使用提供完整思科 ISE 功能的评估许可证。

  • 许可证集中管理:思科 ISE 主管理节点 (PAN) 可集中管理思科 ISE 许可证。在具有主 PAN 和辅助 PAN 的分布式部署中,主 PAN 会自动与辅助 PAN 共享许可信息。

  • 并发活动终端计数:思科 ISE 许可证包括每个层许可证的计数值。每层许可证可随时支持特定数量的活动终端。计数值是指整个部署中随时使用特定思科 ISE 服务的活动终端的数量。思科 ISE 许可依赖 RADIUS 记帐,因此您必须在网络设备上启用 RADIUS 服务。

    并发活动终端是指支持的用户和设备总数。在这里,终端可能意味着用户、个人计算机、笔记本电脑、IP 电话、智能手机、游戏机、打印机、传真机或其他类型的网络设备。

思科 ISE 版本 3.0 及更高版本不支持思科 ISE 版本 2.x 中使用的传统许可证,例如 Base、Plus 和 Apex 许可证。思科 ISE 版本 3.x 许可证完全通过叫做思科智能软件管理器 (CSSM) 的集中式数据库进行管理。您可以通过单令牌注册轻松、高效地注册、激活和管理所有许可证。

为最大限度地提高客户的经济性,思科 ISE 的许可在以下软件包中提供:

  • 层级许可证

    从思科 ISE 版本 3.0 开始,一组称为“层级许可证”的新许可证将取代 3.0 之前版本中使用的 Base、Apex 和 Plus 许可证。层级许可证包含三种许可证 — Essentials、Advantage 和 Premier。

    如果您当前拥有 Base、Apex 和 Plus 许可证,请使用 CSSM 将其转换为新的许可证类型。

  • 设备管理许可证

    上面启用了 TACACS+ 角色的策略服务节点 (PSN) 将使用设备管理许可证。

  • 虚拟设备许可证

    思科 ISE 版本 3.1 支持 ISE VM 许可证。此许可证替换在 3.1 之前版本中支持的 VM 小型、VM 中型和 VM 大型许可证。ISE VM 许可证涵盖内部部署和云部署中的思科 ISE VM 节点。

    如果使用虚拟设备,但您的思科 ISE 没有有效的 VM 许可证,那么您将收到不合规许可证使用的警告和通知,直到您获取并安装 VM 许可证。但是,思科 ISE 服务不会中断。

  • 评估许可证

    当您首次安装 思科 ISE Release 3.0 及更高版本并支持多达 100 个端点时,默认情况下会激活评估许可证。评估许可证是 90 天的许可证,允许您访问所有思科 ISE 功能。在评估期间,许可证使用量不会报告给 CSSM。

如果用 Base、Apex 和 Plus 智能许可证升级到思科 ISE 版本 3.0 或更高版本,您的智能许可证将升级到思科 ISE 中的新许可证类型。但是,您必须在 CSSM 中注册新的许可证类型,才能激活您所升级至的思科 ISE 版本中的许可证。

如果您拥有传统思科 ISE 许可证,必须将其转换为智能许可证,才能在思科 ISE 版本 3.0 和更高版本中开始使用许可证。要将思科 ISE 2.x 许可证转换为新的许可证类型,请通过支持案例管理器 (http://cs.co/scmswl) 或使用 http://cs.co/TAC-worldwide 中提供的联系信息在线提交支持案例。

有关许可证使用不合规的通知也会显示在思科 ISE 中。如果您的许可证使用在 45 天内不合规,您将失去对思科 ISE 的所有管理控制,直到您购买并激活所需的许可证。

从一个许可包升级到另一个许可包时,思科 ISE 会继续提供升级之前的早期包中提供的所有功能。但是,您必须重新配置之前已经配置的任何设置。例如,您当前使用 Essentials 许可证并在以后添加 Advantage 许可证,则使用 Essentials 许可证已配置的功能不会更改。

在以下情况下,您应更新许可协议:

  • 试用期结束,而您尚未注册您的许可证。

  • 您的许可证已过期。

  • 终端使用量超过您的许可协议。

思科 ISE 社区资源

思科身份服务引擎订购指南

有关如何获取评估许可证的信息,请参阅如何获取 ISE 评估许可证

层级许可证

下表指定新的层级许可证启用的功能。

表 1. 思科 ISE 层级许可证

许可证名称

此许可证可启用什么功能?

Essentials

  • RADIUS 身份验证、授权和记账,包括 802.1X、MAC 身份验证绕过和轻松连接,以及 Web 身份验证。

  • MACsec。

  • 基于单点登录 (SSO)、安全断言标记语言 (SAML) 和开放式数据库连接 (ODBC) 标准的身份验证。

  • 访客门户和发起人服务。

  • 用于监控目的的具象状态传输 (REST) API,以及用于 CRUD 操作的外部 RESTful 服务 API。

  • 被动 ID 服务。

  • 安全有线和无线接入。

Advantage

  • 思科 ISE Essentials 许可证启用的所有功能。

  • 自带设备 (BYOD) 设备注册和调配,内置证书颁发机构。设备注册通过已配置的“我的设备”门户进行。

  • 安全组标记、TrustSec 和思科以应用为中心的基础设施 (ACI) 集成。

  • 分析服务,包括基本资产可视性和实施功能。

  • 源服务。

  • 情景共享(如 pxGrid)和安全生态系统集成。

  • 快速遏制威胁(使用自适应网络控制和情景共享服务)。

  • 思科 AI 终端分析可视性和实施。

Premier

  • 思科 ISE Essentials 和 Advantage 许可证启用的所有功能。

  • 终端安全评估可视性和实施。

  • 通过企业移动管理和移动设备管理实现的合规可视性和实施。

  • 以威胁为中心的网络访问控制可视性和实施。

设备管理许可证

设备管理许可证允许您在策略服务节点上使用 TACACS 服务。在高可用性独立部署中,设备管理许可证允许您在高可用性对中的单个策略服务节点上使用 TACACS 服务。

评估许可证

当您安装或升级到 思科 ISE Release 3.0 及更高版本并支持多达 100 个端点时,默认情况下会激活评估许可证。评估许可证有效期为 90 天,您可以在此期间访问所有思科 ISE 功能。当使用评估许可证时,思科 ISE 被视为处于评估模式。

思科 ISE GUI 显示带有评估模式剩余天数的消息。

您必须在评估模式结束前购买和注册思科 ISE 许可证,才能继续使用所需的思科 ISE 功能。

思科 ISE 智能许可证

当激活智能许可证令牌并在思科 ISE 管理门户中注册该令牌后,CSSM 会监控每个产品许可证各个终端会话的许可证使用情况。智能许可通过思科 ISE 中的简单表格布局通知管理员终端会话的许可证使用情况。智能许可 (Smart Licensing) 每天向集中式数据库报告各个以启用许可证的高峰使用情况。当许可证可用且未使用时,管理员会收到可用许可证通知,并可继续监控使用情况。当使用量超过可用许可证数量时,系统会激活警报,并通过警报和通知来告知管理员。

借助智能许可,还可以通过Cisco智能账户管理所包含的不同许可证权益,如 Essentials、Advantage、Premier 或 Device Admin。通过思科 ISE,可以监控每个许可证权益的基本使用量统计信息。通过 CSSM 帐户,您可以查看更多信息、统计数据和通知,以及更改您的帐户和授权。

思科 ISE 每 30 分钟获取一次内部许可证使用样本。系统会相应地更新许可证合规性和使用情况。要在思科 ISE 中的许可证 (Licenses) 表中查看此信息,请从主菜单中选择管理 (Administration) > 系统 (System) > 许可 (Licensing),然后单击刷新 (Refresh)

从您向 CSSM 注册思科 ISE 主管理节点 (PAN) 以来,思科 ISE 会每六小时向 CSSM 服务器报告一次许可证使用峰值计数。峰值计数报告可帮助确保思科 ISE 中的许可证使用符合所购买和注册的许可证。思科 ISE 通过存储 CSSM 证书的本地副本与 CSSM 服务器通信。在每日同步期间以及刷新许可证 (Licenses) 表时,系统会自动重新授权 CSSM 证书。通常,CSSM 证书有效期为六个月。

如果思科 ISE 与 CSSM 服务器同步时合规状态有变化,则许可证 (Licenses) 表的最后授权 (Last Authorization) 列会相应更新。此外,当权益不再合规时,不合规天数 (Days Out of Compliancy) 列中会显示它们处于不合规状态地天数。此外,还会在许可 (Licensing) 区域顶部显示的“通知”(Notifications) 中,以及思科 ISE 工具栏的许可警告 (License Warning) 链接旁指明不合规。除通知之外,还可以查看警报。


Device Admin 许可证会在思科 ISE 与 CSSM 服务器通信时获得授权,但它们不基于会话,因此许可证 (Licenses) 表中没有与之关联的使用量计数。

许可证 (Licenses) 表的合规性列显示以下值之一:

  • 合规 (In Compliance):此许可证的使用符合规定。

  • 已发放权益 (Released Entitlement):已购买并发放许可证以供使用,但到目前为止,此思科 ISE 部署中尚未使用其中任何许可证。在这种情况下,许可证的使用计数 (Consumption Count) 为 0。

  • 评估 (Evaluation):可使用评估许可证。

注册并激活智能许可证

开始之前

  • 如果您有传统的思科 ISE 许可证,必须将其转换为智能许可证。

  • 如果要使用现有智能许可证升级到思科 ISE 版本 3.0 和更高版本,请在 CSSM 中将许可证转换为新的智能许可证类型。

  • 在 CSSM 中注册新的智能许可证类型,以接收注册令牌。

过程

步骤 1

在思科 ISE GUI 中,点击菜单图标 () 并选择管理 (Administration) > 系统 (System) > 许可 (Licensing)
步骤 2

在显示的许可 (Licensing) 窗口中,单击注册详细信息 (Registration Details)
步骤 3

在显示的注册详细信息 (Registration Details) 区域中,在注册令牌 (Registration Token) 字段中输入从 CSSM 收到的注册令牌。

步骤 4

连接方法 (Connection Method) 下拉列表中选择连接方法:

  • 直接 HTTPS (Direct HTTPS),如果已配置与互联网的直接连接。
  • HTTPS 代理 (HTTPS Proxy),如果没有与互联网的直接连接且需要使用代理服务器。(如果在注册思科 ISE 智能许可证后更改代理服务器配置,则必须在许可 (Licensing) 窗口中更新智能许可证配置。思科 ISE 使用更新的代理服务器与 CSSM 建立连接,避免思科 ISE 服务中断。)
  • 传输网关 (Transport Gateway) 是推荐选项。如果已配置传输网关,则默认选择此连接。要选择其他连接方法,您必须删除传输网关配置。
  • SSM 本地部署服务器以连接到配置的 SSM 本地服务器。此选项在思科 ISE 版本 3.0 补丁 2 及更高版本中可用。请参阅气隙网络的智能许可
步骤 5

层 (Tier)虚拟设备 (Virtual Appliance) 区域中,选中您需要启用的所有许可证的复选框。系统将激活所选许可证,并由 CSSM 跟踪其使用情况。

步骤 6

点击注册

在思科 ISE 中管理智能许可

激活并注册智能许可令牌后,即可通过以下操作从思科 ISE 管理许可证授权:

  • 启用、禁用和刷新许可证授权证书。

  • 更新智能许可注册。

  • 识别合规和不合规的许可问题。

开始之前

确保已激活并注册您的智能许可令牌。

过程

步骤 1

(可选) 首次安装思科 ISE 版本 3.0 或更高版本时,将自动启用所有许可证授权并将其作为评估模式的一部分。注册许可证令牌后,如果您的 CSSM 帐户不包括特定授权,并且您没有在注册期间禁用它们,则思科 ISE 中将显示不合规通知。将这些授权添加到您的 CSSM 帐户(请联系您的 CSSM 客户代表寻求帮助),然后在许可证 (Licenses) 表中单击刷新 (Refresh) 以删除不合规通知并继续使用相关功能。刷新授权后,注销然后重新登录思科 ISE 以删除相关的不合规消息。

步骤 2

(可选)如果每天自动授权由于任何原因失败,则显示不合规消息。单击刷新 (Refresh) 重新获得您的授权。刷新授权后,注销然后重新登录思科 ISE 以删除相关的不合规消息。

步骤 3

(可选) 首次安装思科 ISE 版本 3.0 或更高版本时,将自动启用所有许可证授权并将其作为评估期的一部分。注册令牌后,如果您的 CSSM 帐户不包括特定授权,并且您没有在注册期间禁用它们,仍然可以在 ISE 中通过智能许可禁用这些授权,以避免不必要的不合规通知。从许可证 (Licenses) 表中,选中令牌中未包括的许可证授权的复选框,然后在工具栏上单击禁用 (Disable)。禁用许可证授权后,注销然后重新登录思科 ISE 以从菜单中删除相关的功能,并且删除不合规消息。

步骤 4

(可选)为您的帐户添加授权后,请启用这些授权。从许可证 (Licenses) 表中,选中所需的已禁用许可证的复选框,并在工具栏上单击启用 (Enable)
步骤 5

(可选)注册证书每六个月自动刷新一次。要手动刷新智能许可证书注册,请在许可 (Licensing) 窗口顶部点击更新注册 (Renew Registration)
步骤 6

(可选)要从智能账户删除思科 ISE 产品注册(由 UDI 指示),但是继续使用智能许可直到评估期结束,请在思科智能许可 (Cisco Smart Licensing) 区域的顶部单击取消注册 (Deregister)。例如,如果需要更改在注册过程中指定的 UDI,可以执行此操作。如果评估期仍有剩余时间,则思科 ISE 仍处于智能许可中。如果评估期已结束,则在刷新浏览器时会显示通知。取消注册智能许可证后,您可以遵循注册流程以相同或不同的 UDI 再次注册。

步骤 7

(可选)要从智能账户完全删除思科 ISE 产品注册(由 UDI 指示)并恢复为传统许可,请在思科智能许可 (Cisco Smart Licensing) 区域的顶部单击禁用 (Disable)。例如,如果需要更改在注册过程中指定的 UDI,可以执行此操作。在禁用智能许可证后,您可以遵循注册流程以相同或不同的 UDI 再次激活并注册。。

未注册的许可证使用量

问题

终端许可证使用量依赖于与终端匹配的授权策略中使用的属性。

假设只在系统中注册了思科 ISE Essentials 许可证的情况(已删除 90 天的评估许可证)。您将能够查看和配置相应的思科 ISE Essentials 菜单项和功能。

如果将授权策略配置为使用需要 Advantage 许可证的功能(例如:您使用了 Session:PostureStatus 属性),且如果终端与此授权策略相匹配,那么:

  • 终端会使用思科 ISE Advantage 许可证,即使尚未在系统中注册思科 Advantage 许可证。

  • 您每次登录时都会看到不合规许可证使用的通知。

  • 思科 ISE 会显示通知和警报,以及超出允许的许可证使用范围 (Exceeded license usage than allowed) 消息。这是因为,您的思科 ISE 没有在 CSSM 中注册的思科 ISE Advantage 许可证,但终端却正在使用许可证。


即使您通过注册必要的许可证来解决许可问题,许可警报也会在首次出现不合规许可证使用后显示约 60 天。

如果使用的 所有三层许可证在 60 天期间有 45 天不合规,则在注册正确的许可证之前,思科 ISE 的所有管理控制都将丢失。在注册正确的许可证之前,您将只能访问思科 ISE 管理门户中的许可 (Licensing) 窗口。但是,思科 ISE 会继续处理身份验证。

可能的原因

由于授权策略的配置,许可 (Licensing) 表会报告思科 ISE 使用了您尚未购买和注册的许可证。在购买 Advantage 或 Premier 许可证之前,思科 ISE 管理门户不会显示这些许可证所涵盖的功能。但在您购买这些许可证后,即使许可证已过期或许可证的终端使用量超过设置的限制,GUI 也会继续显示其启用的功能。因此,即使当前没有系统的有效许可证,这些功能仍可以进行配置。

解决方案

在思科 ISE 管理门户中,单击菜单图标 ()并选择策略 (Policy) > 策略集 (Policy Sets),确定正在使用尚无注册许可证的功能的授权规则,然后重新配置该规则。

气隙网络的智能许可

气隙网络不允许在安全网络和外部网络之间进行任何通信。思科 ISE 智能许可要求将思科 ISE 与 CSSM 通信。如果您的网络是气隙,则思科 ISE 无法向 CSSM 报告许可证使用情况,缺少报告会导致失去对思科 ISE 的管理访问权限并限制思科 ISE 功能。

为避免间隙网络中出现许可问题并启用完整的思科 ISE 功能,您可以:

  • 配置智能软件管理器 (SSM) 本地服务器。

    您必须配置 SSM 本地服务器,并确保思科 ISE 可以访问此服务器。此服务器接管间隙网络中的 CSSM 角色,根据需要发布许可证授权,并跟踪使用指标。SSM 内部部署服务器还会发送与许可使用和有效性相关的通知、警报和警告消息。

    有关如何配置 SSM 本地服务器连接的详细信息,请参阅 为智能许可配置本地智能软件管理器

  • 启用特定许可证预留是一种智能许可方法,当您的组织的安全要求不允许思科 ISE 与思科智能软件管理器 (CSSM) 之间存在持久连接时,可帮助您管理智能许可。特定许可证预留允许您在思科 ISE PAN 上保留特定许可证授权。

    有关特定许可证预留的详细信息,请参阅 特定许可证预留

为智能许可配置本地智能软件管理器

开始之前

配置 SSM 本地服务器,并确保思科 ISE 可以访问此服务器。有关更多信息,请参阅 智能软件管理器本地部署资源

您必须更新到 SSM 本地版本 8-202108 或更高版本才能成功注册思科 ISE 3.0 或更高版本的许可证。

如果您购买更多许可证或修改购买的许可证,则必须将本地 SSM 服务器连接到 CSSM,以便让更改在本地服务器中可供使用。

ISE-PIC 2.7 及更早版本不支持智能许可。

过程

步骤 1

在思科 ISE GUI 中,单击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 许可 (Licensing)
步骤 2

点击注册详细信息 (Registration Details)
步骤 3

在显示的注册详细信息 (Registration Details) 区域中,在注册令牌 (Registration Token) 字段中输入从 CSSM 收到的注册令牌。

步骤 4

连接方法 (Connection Method) 下拉列表中选择 SSM 本地部署服务器 (SSM On-Prem Server)

SSM 内部部署门户中的证书 (Certificate) 窗口会显示连接的 SSM 内部部署服务器的 IP 地址或主机名(或 FQDN)。

步骤 5

SSM 内部部署服务器主机 (SSM On-Prem server Host) 字段中输入配置的 IP 地址或主机名(或 FQDN)。

步骤 6

层 (Tier)虚拟设备 (Virtual Appliance) 区域中,选中您需要启用的所有许可证的复选框。系统将激活所选许可证,并由 CSSM 跟踪其使用情况。

步骤 7

点击 Register

 

向 SSM On-Prem 服务器注册思科 ISE 时,请确保端口 443 和用于 ICMP 通信的端口处于打开状态。

特定许可证预留

特定许可证预留是一种智能许可方法,当您的组织的安全要求不允许思科 ISE 与思科智能软件管理器 (CSSM) 之间存在持久连接时,可帮助您管理智能许可。特定许可证预留允许您在思科 ISE PAN 上保留特定许可证授权。

您可以通过定义必须预留的许可证的类型和数量来创建特定许可证预留,然后在思科 ISE 节点上激活预留。然后,您在其上注册并启用预留的思科 ISE 节点会跟踪许可证使用情况,同时强制执行许可证使用合规性。

特定许可证预留只能在为其生成特定许可证预留的思科 ISE 节点上启用。在分布式部署中,我们建议您在主 PAN 和辅助 PAN 上启用特定许可证预留。在主 PAN 故障转移的情况下,如果升级为主 PAN 的辅助 PAN 未启用特定许可证预留,则思科 ISE 不合规,并且思科 ISE 服务会中断。我们建议您的主和辅助 PAN 之间的许可证计数分布比例为 80:20。例如,如果要为部署预留 100 个许可证,请向主 PAN 注册 80 个许可证,向辅助 PAN 注册 20 个许可证。

我们建议您在高可用性部署的主(活动)和辅助(备用)PAN 中启用特定许可证预留。如果高可用性部署中的主 PAN 失败,并且备用节点已启用特定许可证预留,则自动返回之前活动节点上的特定许可证预留。

您将无法使用不属于特定许可证预留的任何许可证授权。如果许可证使用不符合特定许可证预留,则思科 ISE 管理门户中会显示不合规警报。

在主 PAN 故障转移的情况下,必须确保 PAN 尽快恢复到网络并升级为主 PAN 角色。如果 PAN 无法恢复到网络,则必须返回该节点的特定许可证预留以释放许可证授权,并更新新的主 PAN 上的特定许可证预留,以便增加其上预留的授权。

启用特定许可证预留

过程
步骤 1

在思科 ISE GUI 中,点击菜单图标 () 并选择管理 (Administration) > 系统 (System) > 许可 (Licensing)
步骤 2

许可证类型 (License Type) 区域中,单击特定许可证预留 (Specific License Reservation) 单选按钮。

步骤 3

SLR 配置 (SLR Configuration) 区域中,单击独立/主 PAN (Standalone/Primary PAN) 中的生成代码 (Generate Code)

旁边的预留代码 (Reservation Code) 字段中会显示代码。

生成预留代码后,您可以单击取消请求 (Cancel Request) 以便将预留代码返回到 CSSM 服务器。此代码将失效。下次您要在主 PAN 上安装并启用特定许可证预留时,就必须生成新的预留代码。

步骤 4

复制该保留代码以在第 8 步中的 CSSM 门户中提交。
步骤 5

登录到 software.cisco.com 门户,然后从主菜单中选择许可证 (License) > 智能软件许可 (Smart Software Licensing)
步骤 6

选择库存 (Inventory) > 许可证 (Licenses) 以查看您购买的智能许可证、使用中的许可证授权以及可用的授权。

步骤 7

单击许可证预留 (License Reservation)
步骤 8

系统将显示智能许可证预留 (Smart License Reservation) 工作流程对话框。在第 1 步:输入请求代码 (Step 1: Enter Request Code) 选项卡中,在显示的文本字段中输入您在第 3 步中从思科 ISE 收到的预留代码。

步骤 9

点击下一步 (Next)
步骤 10

步骤 2:选择许可证 (Step 2: Select Licenses) 选项卡中,单击预留特定许可证 (Reserve a specific license) 单选按钮。然后,在显示的表的保留 (Reserve) 列中,为每个许可证类型输入要在主 PAN 上保留的许可证授权数量。

步骤 11

点击下一步 (Next)
步骤 12

第 3 步:查看并确认 (Step 3: Review and Confirm) 选项卡中,查看特定许可证预留的详细信息。然后单击生成授权码 (Generate Authorization Code)
步骤 13

第 4 步:授权代码 (Step 4: Authorization Code) 选项卡中包含一个以 XML 格式显示授权代码的字段。该 XML 内容包括有关许可证预留和生成 SLR 的思科 ISE 节点的信息。不要对此内容进行任何修改,因为思科 ISE 会拒绝任何被篡改的代码。单击下载为文件 (Download As File) 以便将包含 XML 内容的 .txt 文件下载到您的本地系统。

步骤 14

在思科 ISE 管理门户的许可 (Licensing) 窗口的主 PAN (Primary PAN) 区域中,单击上传 SLR 许可证密钥 (Upload SLR License Key),然后选择您从 CSSM 门户下载的 XML 文件。

将密钥上传到节点并激活特定许可证预留需要几分钟时间。
步骤 15

要在辅助 PAN 上配置特定许可证预留,请在辅助 PAN(可选)(Secondary PAN [optional]) 区域中执行以下步骤:

  1. 单击生成代码 (Generate Code)

    旁边的预留代码 (Reservation Code) 字段中会显示代码。

  2. 生成预留代码后,您可以单击取消请求 (Cancel Request) 将预留代码返回至 CSSM 服务器。此代码将失效。下次您要在辅助 PAN 上安装并启用特定许可证预留时,就必须生成新的预留代码。

  3. 重复第 5 至 13 步,为辅助 PAN 配置特定许可证预留。

  4. 附注 PAN (Secondary PAN) 区域中,单击上传 SLR 许可证密钥 (Upload SLR License Key),然后选择您从 CSSM 门户下载的 XML 文件。

    将密钥上传到节点并激活特定许可证预留需要几分钟时间。

更新特定许可证预留

您可以根据需要修改节点的特定许可证预留。在以下情况下,您可能需要更新特定许可证预留:

  • 不断发展的业务需求,需要您修改许可证预留。

  • 主 PAN 故障转移后无法恢复主 PAN。当主 PAN 发生故障时,保留在其上的许可证授权在思科 ISE 中不再可用。为避免因使用不合规许可证而失去对思科 ISE 的管理访问权限,您必须返回在节点上启用的特定许可证预留,并相应地更新新的主 PAN(升级后的辅助 PAN)上的特定许可证预留。

过程
步骤 1

在思科 ISE GUI 中,点击菜单图标 () 并选择管理 (Administration) > 系统 (System) > 许可 (Licensing)
步骤 2

UDI 详细信息 (UDI Details) 区域中,复制要为其更新特定许可证预留的节点的序列号。

步骤 3

登录到 software.cisco.com 门户,然后从主菜单中选择许可证 (License) > 智能软件许可 (Smart Software Licensing)
步骤 4

选择产品库存 (Product Inventory)
步骤 5

在资产列表上方显示的搜索栏中输入从思科 ISE 复制的序列号,以便查看相应的条目。

步骤 6

单击操作 (Actions),然后从下拉列表中选择更新预留的许可证 (Update Reserved Licenses)
步骤 7

单击预留特定许可证 (Reserve a Specific License) 单选按钮以查看许可证列表。在预留 (Reserve) 列的相应字段中编辑许可证预留数量。

步骤 8

点击下一步 (Next)
步骤 9

第 3 步:检查和确认 (Step 3: Review and Confirm) 选项卡中,查看特定许可证预留的详细信息,然后单击生成授权代码 (Generate Authorization Code)
步骤 10

第 4 步 :授权代码 (Step 4: Authorization Code) 选项卡包含一个以 XML 格式显示的授权代码字段。不要对此内容进行任何修改,因为思科 ISE 会拒绝任何被篡改的代码。

步骤 11

单击下载为文件 (Download As File),包含 XML 内容的 .txt 文件会被下载到您的本地系统。

步骤 12

在思科 ISE 管理门户许可 (Licensing) 窗口中的所需 PAN 区域中,单击更新 SLR 代码 (Update SLR Code),然后选择您从 CSSM 门户下载的 XML 文件。

将密钥上传到节点并激活特定许可证预留需要几分钟时间。
步骤 13

在提交更新的特定许可证预留代码后,更新预留 (Update Reservation) 对话框中会显示确认代码。复制该确认代码以便在 CSSM 门户中提交。

步骤 14

重复步骤 3 和 4,在显示的对话框中单击输入确认代码 (Enter Confirmation Code),然后输入由思科 ISE 生成的确认代码。

返回特定许可证预留

如果在多个节点上启用了特定许可证预留,则必须对每个节点执行退回预留流程,以便完全删除特定许可证预留。

如果您的辅助 PAN 上的特定许可证预留处于活动状态,并且您在主 PAN 上返回的特定许可证预留处于活动状态,则辅助 PAN 上的预留也会自动返回。

在高可用性 PAN 配置中,那么在主 PAN 上返回特定许可证预留时,还会返回辅助 PAN 的特定许可证预留。

每个节点都会生成唯一的返回代码,您必须在 CSSM 中提交每个返回代码,才能从节点中删除特定许可证预留。

过程
步骤 1

在思科 ISE GUI 中,点击菜单图标 () 并选择管理 (Administration) > 系统 (System) > 许可 (Licensing)
步骤 2

对于要返回其特定许可证预留的节点,单击返回预留 (Return Reservation)
步骤 3

返回预留 (Return Reservation) 对话框中会显示返回代码。复制此代码并在 CSSM 中提交,以便完成预留返回流程。

步骤 4

登录到 software.cisco.com 门户,然后从主菜单中选择许可证 (License) > 智能软件许可 (Smart Software Licensing)
步骤 5

智能软件许可 (Smart Software Licensing) 窗口中,选择产品库存 (Product Inventory)
步骤 6

在资产列表上方显示的搜索栏中输入从思科 ISE 复制的序列号,以便查看相应的条目。

步骤 7

单击操作 (Actions),然后从下拉列表中选择删除 (Remove)
步骤 8

在显示的删除产品实例 (Remove Product Instance) 对话框中,输入您在第 3 步中从思科 ISE 收到的返回预留代码。

步骤 9

单击删除产品实例 (Remove Product Instance)

许可证预留中的许可证授权现已放行并可用于 CSSM 中。