许可

思科 ISE 许可证

思科 ISE 服务可为网络中越来越多的终端提供可视性和可控性。思科 ISE 功能会被映射到特定许可证,而您可以启用提供满足组织需求所需的思科 ISE 功能的许可证。

思科 ISE 捆绑了具有以下主要功能的许可机制:

  • 内置许可证:思科 ISE 随附一个有效期为 90 天的内置评估许可证。安装思科 ISE 后,无需立即安装思科 ISE 许可证。您可以使用提供完整思科 ISE 功能的评估许可证。

  • 许可证集中管理:思科 ISE 主管理节点 (PAN) 可集中管理思科 ISE 许可证。在具有主 PAN 和辅助 PAN 的分布式部署中,主 PAN 会自动与辅助 PAN 共享许可信息。

  • 并发活动终端计数:思科 ISE 许可证包括每个层许可证的计数值。每层许可证可随时支持特定数量的活动终端。计数值是指整个部署中随时使用特定思科 ISE 服务的活动终端的数量。思科 ISE 许可依赖 RADIUS 记帐,因此您必须在网络设备上启用 RADIUS 服务。

    并发活动终端是指支持的用户和设备总数。在这里,终端可能意味着用户、个人计算机、笔记本电脑、IP 电话、智能手机、游戏机、打印机、传真机或其他类型的网络设备。

思科 ISE 版本 3.0 及更高版本不支持思科 ISE 版本 2.x 中使用的传统许可证,例如 Base、Plus 和 Apex 许可证。思科 ISE 版本 3.x 许可证完全通过叫做思科智能软件管理器 (CSSM) 的集中式数据库进行管理。您可以通过单令牌注册轻松、高效地注册、激活和管理所有许可证。

为最大限度地提高客户的经济性,思科 ISE 的许可在以下软件包中提供:

  • 层级许可证

    从思科 ISE 版本 3.0 开始,一组称为“层级许可证”的新许可证将取代 3.0 之前版本中使用的 Base、Apex 和 Plus 许可证。层级许可证包含三种许可证 — Essentials、Advantage 和 Premier。

    如果您当前拥有 Base、Apex 和 Plus 许可证,请使用 CSSM 将其转换为新的许可证类型。

  • 设备管理许可证

    上面启用了 TACACS+ 角色的策略服务节点 (PSN) 将使用设备管理许可证。

  • 虚拟设备许可证

    虚拟设备许可证有三种形式:VM 小型、VM 中型和 VM 大型。

    如果使用虚拟设备,但您的思科 ISE 没有有效的 VM 许可证,那么您将收到不合规许可证使用的警告和通知,直到您获取并安装 VM 许可证。但是,思科 ISE 服务不会中断。

  • 评估许可证

    当您首次安装 思科 ISE Release 3.0 及更高版本并支持多达 100 个端点时,默认情况下会激活评估许可证。评估许可证是 90 天的许可证,允许您访问所有思科 ISE 功能。在评估期间,许可证使用量不会报告给 CSSM。

如果用 Base、Apex 和 Plus 智能许可证升级到思科 ISE 版本 3.0 或更高版本,您的智能许可证将升级到思科 ISE 中的新许可证类型。但是,您必须在 CSSM 中注册新的许可证类型,才能激活您所升级至的思科 ISE 版本中的许可证。

如果您拥有传统思科 ISE 许可证,必须将其转换为智能许可证,才能在思科 ISE 版本 3.0 和更高版本中开始使用许可证。要将思科 ISE 2.x 许可证转换为新的许可证类型,请通过支持案例管理器 (http://cs.co/scmswl) 或使用 http://cs.co/TAC-worldwide 中提供的联系信息在线提交支持案例。

有关许可证使用不合规的通知也会显示在思科 ISE 中。如果您的许可证使用在 45 天内不合规,您将失去对思科 ISE 的所有管理控制,直到您购买并激活所需的许可证。

从一个许可包升级到另一个许可包时,思科 ISE 会继续提供升级之前的早期包中提供的所有功能。但是,您必须重新配置之前已经配置的任何设置。例如,您当前使用 Essentials 许可证并在以后添加 Advantage 许可证,则使用 Essentials 许可证已配置的功能不会更改。

  • 试用期结束,而您尚未注册您的许可证。

  • 您的许可证已过期。

  • 终端使用量超过您的许可协议。

层级许可证

下表指定新的层级许可证启用的功能。

表 1. 思科 ISE 层级许可证

许可证名称

此许可证可启用什么功能?

Essentials

  • RADIUS 身份验证、授权和记账,包括 802.1X、MAC 身份验证绕过和轻松连接,以及 Web 身份验证。

  • MACsec。

  • 基于单点登录 (SSO)、安全断言标记语言 (SAML) 和开放式数据库连接 (ODBC) 标准的身份验证。

  • 访客门户和发起人服务。

  • 用于监控目的的具象状态传输 (REST) API,以及用于 CRUD 操作的外部 RESTful 服务 API。

  • 被动 ID 服务。

  • 安全有线和无线接入。

Advantage

  • 思科 ISE Essentials 许可证启用的所有功能。

  • 自带设备 (BYOD) 设备注册和调配,内置证书颁发机构。设备注册通过已配置的“我的设备”门户进行。

  • 安全组标记、TrustSec 和思科以应用为中心的基础设施 (ACI) 集成。

  • 分析服务,包括基本资产可视性和实施功能。

  • 源服务。

  • 情景共享(如 pxGrid)和安全生态系统集成。

  • 快速遏制威胁(使用自适应网络控制和情景共享服务)。

Premier

  • 思科 ISE Essentials 和 Advantage 许可证启用的所有功能。

  • 终端安全评估可视性和实施。

  • 通过企业移动管理和移动设备管理实现的合规可视性和实施。

  • 以威胁为中心的网络访问控制可视性和实施。

如果终端的隐私设置允许 MAC 随机化或轮换和更改 MAC,则您可能会看到更高的思科 ISE 许可证消耗计数。当终端使用新的随机 MAC 地址进行身份验证时,就会创建一个新的思科 ISE 会话。

设备管理许可证

设备管理许可证允许您在策略服务节点上使用 TACACS 服务。在高可用性 (HA) 独立部署中,设备管理许可证允许您在 HA 对中的单个策略服务节点上使用 TACACS 服务。

虚拟设备许可证

评估许可证

当您安装或升级到 思科 ISE Release 3.0 及更高版本并支持多达 100 个终端时,默认情况下会激活评估许可证。评估许可证有效期为 90 天,您可以在此期间访问所有思科 ISE 功能。当使用评估许可证时,思科 ISE 被视为处于评估模式。

思科 ISE GUI 显示带有评估模式剩余天数的消息。

您必须在评估模式结束前购买和注册思科 ISE 许可证,才能继续使用所需的思科 ISE 功能。

思科 ISE 智能许可证

思科提供智能许可,可以让您监控思科 ISE 软件许可证和终端许可证的使用情况。您可以使用单个注册令牌轻松高效地监控许可证使用情况,而不是分别导入各个许可证。在集中式数据库 - 思科智能软件管理器 (CSSM) 中,查看和管理您购买的所有思科产品和许可证的详细信息。登录 CSSM 门户,可轻松跟踪可用的终端许可证和使用统计信息。

当激活智能许可证令牌并在思科 ISE 管理门户中注册该令牌后,CSSM 会监控每个产品许可证各个终端会话的许可证使用情况。智能许可通过思科 ISE 中的简单表格布局通知管理员终端会话的许可证使用情况。智能许可 (Smart Licensing) 每天向集中式数据库报告各个以启用许可证的高峰使用情况。当许可证可用且未使用时,管理员会收到可用许可证通知,并可继续监控使用情况。当使用量超过可用许可证数量时,系统会激活警报,并通过警报和通知来告知管理员。

借助智能许可,还可以通过Cisco智能账户管理所包含的不同许可证权益,如 Base、Plus、Apex 或 TACACS。通过思科 ISE,可以监控每个许可证权益的基本使用量统计信息。通过 CSSM 帐户,您可以查看更多信息、统计数据和通知,以及更改您的帐户和授权。


中不支持 CSSM 卫星。

思科 ISE 每 30 分钟获取一次内部许可证使用样本。系统会相应地更新许可证合规性和使用情况。要在思科 ISE 中的许可证 (Licenses) 表中查看此信息,请从主菜单中选择管理 (Administration) > 系统 (System) > 许可 (Licensing),然后单击刷新 (Refresh)

从您向 CSSM 注册思科 ISE 主管理节点 (PAN) 以来,思科 ISE 会每六小时向 CSSM 服务器报告一次许可证使用峰值计数。峰值计数报告可帮助确保思科 ISE 中的许可证使用符合所购买和注册的许可证。思科 ISE 通过存储 CSSM 证书的本地副本与 CSSM 服务器通信。在每日同步期间以及刷新许可证 (Licenses) 表时,系统会自动重新授权 CSSM 证书。通常,CSSM 证书有效期为六个月。

如果思科 ISE 与 CSSM 服务器同步时合规状态有变化,则许可证 (Licenses) 表的最后授权 (Last Authorization) 列会相应更新。此外,当权益不再合规时,不合规天数 (Days Out of Compliancy) 列中会显示它们处于不合规状态地天数。此外,还会在许可 (Licensing) 区域顶部显示的“通知”(Notifications) 中,以及思科 ISE 工具栏的许可警告 (License Warning) 链接旁指明不合规。除通知之外,还可以查看警报。


TACACS 许可证会在思科 ISE 与 CSSM 服务器通信时获得授权,但它们不基于会话,因此许可证 (Licenses) 表中没有与之关联的使用量计数。

许可证 (Licenses) 表的合规性列显示以下值之一:

  • 合规 (In Compliance):此许可证的使用符合规定。

  • 已发放权益 (Released Entitlement):已购买并发放许可证以供使用,但到目前为止,此思科 ISE 部署中尚未使用其中任何许可证。在这种情况下,许可证的使用计数 (Consumption Count) 为 0。

  • 评估 (Evaluation):可使用评估许可证。

图 1. 许可证使用情况表
用于监控使用情况的思科 ISE 许可证使用量表。

注册并激活智能许可证

开始之前

  • 如果您有传统的思科 ISE 许可证,必须将其转换为智能许可证。

  • 如果要使用现有智能许可证升级到思科 ISE 版本 3.0 和更高版本,请在 CSSM 中将许可证转换为新的智能许可证类型。

  • 在 CSSM 中注册新的智能许可证类型,以接收注册令牌。

过程

步骤 1

在思科 ISE GUI 中,点击菜单图标 (),然后选择管理 (Administration) > 系统 (System) > 许可 (Licensing)

步骤 2

在显示的许可 (Licensing) 窗口中,单击注册详细信息 (Registration Details)

步骤 3

在显示的注册详细信息 (Registration Details) 区域中,在注册令牌 (Registration Token) 字段中输入从 CSSM 收到的注册令牌。

步骤 4

连接方法 (Connection Method) 下拉列表中选择连接方法:

  • 直接 HTTPS (Direct HTTPS),如果已配置与互联网的直接连接。
  • HTTPS 代理 (HTTPS Proxy),如果没有与互联网的直接连接且需要使用代理服务器。(如果在注册思科 ISE 智能许可证后更改代理服务器配置,则必须在许可 (Licensing) 窗口中更新智能许可证配置。思科 ISE 使用更新的代理服务器与 CSSM 建立连接,避免思科 ISE 服务中断。)
  • 传输网关 (Transport Gateway) 是推荐选项。如果已配置传输网关,则默认选择此连接。要选择其他连接方法,您必须删除传输网关配置。
  • SSM 本地部署服务器以连接到配置的 SSM 本地服务器。此选项在思科 ISE 版本 3.0 补丁 2 及更高版本中可用。请参阅气隙网络的智能许可

步骤 5

层 (Tier)虚拟设备 (Virtual Appliance) 区域中,选中您需要启用的所有许可证的复选框。系统将激活所选许可证,并由 CSSM 跟踪其使用情况。

步骤 6

点击注册

在思科 ISE 中管理智能许可

激活并注册智能许可令牌后,即可通过以下操作从思科 ISE 管理许可证授权:

  • 启用、禁用和刷新许可证授权证书。

  • 更新智能许可注册。

  • 识别合规和不合规的许可问题。

开始之前

确保已激活并注册您的智能许可令牌。

过程

步骤 1

(可选) 首次激活智能许可时,将自动启用所有许可证授权并将其作为评估模式的一部分。注册许可证令牌后,如果您的 CSSM 帐户不包括特定授权,并且您没有在注册期间禁用它们,则思科 ISE 中将显示不合规通知。将这些授权添加到您的 CSSM 帐户(请联系您的 CSSM 客户代表寻求帮助),然后在许可证 (Licenses) 表中单击刷新 (Refresh) 以删除不合规通知并继续使用相关功能。刷新授权后,注销然后重新登录思科 ISE 以删除相关的不合规消息。

步骤 2

(可选)如果每天自动授权由于任何原因失败,则显示不合规消息。单击刷新 (Refresh) 重新获得您的授权。刷新授权后,注销然后重新登录思科 ISE 以删除相关的不合规消息。

步骤 3

(可选) 首次激活智能许可时,将自动启用所有许可证授权并将其作为评估期的一部分。注册令牌后,如果您的 CSSM 帐户不包括特定授权,并且您没有在注册期间禁用它们,仍然可以在 ISE 中通过智能许可禁用这些授权,以避免不必要的不合规通知。从许可证 (Licenses) 表中,选中令牌中未包括的许可证授权的复选框,然后在工具栏上单击禁用 (Disable)。禁用许可证授权后,注销然后重新登录思科 ISE 以从菜单中删除相关的功能,并且删除不合规消息。

步骤 4

(可选)为您的帐户添加授权后,请启用这些授权。从许可证 (Licenses) 表中,选中所需的已禁用许可证的复选框,并在工具栏上单击启用 (Enable)

步骤 5

(可选)如果最初仅使用一个 UDI 设置智能许可并且未输入辅助 UDI,可以稍后更新您的信息。点击思科智能许可注册详细信息 (Cisco Smart Licensing Registration Details) 链接以打开该区域。重新输入令牌,输入新的辅助 UDI 并点击更新 (Update)

步骤 6

(可选)注册证书每六个月自动刷新一次。要手动刷新智能许可证书注册,请在许可 (Licensing) 窗口顶部点击更新注册 (Renew Registration)

步骤 7

(可选)要从智能账户删除思科 ISE 注册(由 UDI 指示),但是继续使用智能许可直到评估期结束,请在思科智能许可 (Cisco Smart Licensing) 区域的顶部单击取消注册 (Deregister)。例如,如果需要更改在注册过程中指定的 UDI,可以执行此操作。如果评估期仍有剩余时间,则思科 ISE 仍处于智能许可中。如果评估期已结束,则在刷新浏览器时会显示通知。取消注册智能许可证后,您可以遵循注册流程以相同或不同的 UDI 再次注册。

步骤 8

(可选)要从智能账户完全删除思科 ISE 注册(由 UDI 指示)并恢复为传统许可,请在思科智能许可 (Cisco Smart Licensing) 区域的顶部单击禁用 (Disable)。例如,如果需要更改在注册过程中指定的 UDI,可以执行此操作。在禁用智能许可证后,您可以遵循注册流程以相同或不同的 UDI 再次激活并注册。

故障排除:未注册的许可证使用情况

问题

终端许可证使用量依赖于与终端匹配的授权策略中使用的属性。

假设只在系统中注册了思科 ISE Base 许可证的情况(已删除 90 天的评估许可证),因为您删除了 90 天评估许可证。您将能够查看和配置相应的思科 ISE Base 菜单项和功能。

如果将授权策略配置为使用需要 Apex 许可证的功能(例如:您使用了 Session:PostureStatus 属性),且如果终端与此授权策略相匹配,那么:

  • 终端会使用思科 ISE Apex 许可证,即使尚未在系统中注册思科 Apex 许可证。

  • 您每次登录时都会看到不合规许可证使用的通知。

  • 思科 ISE 会显示通知和警报,以及超出允许的许可证使用范围 (Exceeded license usage than allowed) 消息。这是因为,您的思科 ISE 没有在 CSSM 中注册的思科 ISE Apex 许可证,但终端却正在使用许可证。


即使您通过注册必要的许可证来解决许可问题,许可警报也会在首次出现不合规许可证使用后显示约 60 天。

可能的原因

由于授权策略的配置,许可 (Licensing) 表会报告思科 ISE 使用了您尚未购买和注册的许可证。在购买 Plus 或 Apex 许可证之前,思科 ISE 管理门户不会显示这些许可证所涵盖的功能。但在您购买这些许可证后,即使许可证已过期或许可证的终端使用量超过设置的限制,GUI 也会继续显示其启用的功能。因此,即使当前没有系统的有效许可证,这些功能仍可以进行配置。

解决方案

在思科 ISE 管理门户中,点击菜单图标 () 并选择策略 (Policy) > 授权 (Authorization),确定正在使用尚无注册许可证的功能的授权规则,然后重新配置该规则。

气隙网络的智能许可

气隙网络不允许在安全网络和外部网络之间进行任何通信。思科 ISE 智能许可要求将思科 ISE 与 CSSM 通信。如果您的网络是气隙,则思科 ISE 无法向 CSSM 报告许可证使用情况,缺少报告会导致失去对思科 ISE 的管理访问权限并限制思科 ISE 功能。

为避免间隙网络中出现许可问题并启用完整的思科 ISE 功能,您可以配置智能软件管理器 (SSM) 本地服务器。 此许可方法可用在 版本。

您必须配置 SSM 本地服务器,并确保思科 ISE 可以访问此服务器。此服务器接管间隙网络中的 CSSM 角色,根据需要发布许可证授权,并跟踪使用指标。SSM 内部部署服务器还会发送与许可使用和有效性相关的通知、警报和警告消息。

为智能许可配置本地智能软件管理器

开始之前

配置 SSM 本地服务器,并确保思科 ISE 可以访问此服务器。有关更多信息,请参阅 智能软件管理器本地部署资源

如果您购买更多许可证或修改购买的许可证,则必须将本地 SSM 服务器连接到 CSSM,以便让更改在本地服务器中可供使用。

ISE-PIC 2.7 及更早版本不支持智能许可。

过程

步骤 1

选择 管理 (Administration) > 系统 (System) > 许可 (Licensing)

步骤 2

单击思科智能许可 (Cisco Smart Licensing)

步骤 3

连接方法 (Connection Method) 下拉列表中选择 SSM 本地部署服务器 (SSM On-Prem Server)

SSM 内部部署门户中的证书 (Certificate) 窗口会显示连接的 SSM 内部部署服务器的 IP 地址或主机名(或 FQDN)。

步骤 4

SSM 内部部署服务器主机 (SSM On-Prem server Host) 字段中输入配置的 IP 地址或主机名(或 FQDN)。

步骤 5

层 (Tier)虚拟设备 (Virtual Appliance) 区域中,选中您需要启用的所有许可证的复选框。系统将激活所选许可证,并由 CSSM 跟踪其使用情况。

步骤 6

点击 Register

 

向 SSM On-Prem 服务器注册思科 ISE 时,请确保端口 443 和用于 ICMP 通信的端口处于打开状态。