將ISE與智慧許可伺服器整合
目錄
簡介
本文檔介紹如何在思科ISE上配置智慧許可。
必要條件
需求
思科建議您瞭解以下主題:
- ISE 3.x版本
- 訪問智慧軟體許可
- 適用於網真的Cisco Smart Software Manager(CSSM)第8版202010+(可選)
採用元件
本文件所述內容不限於特定軟體和硬體版本。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
從Cisco ISE 3.0開始,需要智慧許可。Cisco Smart Licensing通過以下方式使裝置能夠自行註冊並報告使用情況,從而簡化了許可證的採購、部署和管理:
- 當智慧許可證令牌處於活動狀態並在思科ISE管理門戶中註冊時,CSSM按每個產品許可證監控每個終端會話的許可證使用情況。
- 智慧許可使用思科ISE中的簡單表佈局通過終端會話向管理員通知許可證使用情況。
- 智慧許可每天向集中式資料庫報告每個已啟用許可證的峰值使用情況。
- 思科ISE每30分鐘採集一次許可證消耗的內部示例。許可證合規性和使用會相應地更新。
- 從您向CSSM註冊思科ISE主管理節點(PAN)時,思科ISE每六小時向CSSM伺服器報告許可證消耗的峰值數量。
- 峰值計數報告有助於確保思科ISE中的許可證消耗符合購買和註冊的許可證。
- Cisco ISE通過儲存CSSM證書的本地副本與CSSM伺服器通訊。
- 在每日同步期間以及刷新「許可證」(Licenses)表格時,會自動重新授權CSSM證書。通常,CSSM證書的有效期為六個月。
- 因此,Cisco ISE需要網路連線才能到達CSSM。
許可證消耗流
TACACS+
裝置管理許可證(PID:L-ISE-TACACS-ND=)在策略服務節點(PSN)上啟用TACACS+服務。 每個使用TACACS+的PSN都需要有自己的裝置管理員許可證。TACACS+裝置管理不計入終端使用情況,對您可以管理的網路裝置數量沒有限制。管理路由器和交換機等網路接入裝置(NAD)不需要基本許可證。
記帳終結點許可證
附註:該圖使用傳統的許可證術語,但這些術語也適用於文檔中所參考的新層許可證。
活動終端的數量可能與使用的許可證不同,因為每個終端可以有多個會話。許可證使用量取決於活動會話的數量,而不僅僅是終端的數量。例如,具有10個活動端點和多個會話的系統可以使用更多許可證。
確保在無線接入點和交換機上啟用記帳。許可證消耗量由從AAA客戶端傳送到AAA伺服器的「開始 — 停止」消息確定。
思科ISE使用特定規則管理監控和故障排除(MnT)中的會話,依靠來自網路接入裝置(NAD)的記帳消息。 以下是Cisco ISE基於這些記帳消息處理會話的方式:
- 如果Cisco ISE收到RADIUS身份驗證請求但沒有記帳消息,則會使會話保持活動狀態1小時。
- 收到記帳消息後,思科ISE將會話保持最多5天或直到收到記帳停止消息。
- 收到記賬停止消息後,立即釋放許可會話。
- 臨時更新會延長5天。
ISE許可證
評估
當您安裝或升級到Cisco ISE版本3.x及更高版本時,預設啟用評估許可證。評估許可證的有效期為90天,在此期間,您可以訪問所有思科ISE功能。在使用評估許可證時,思科ISE被視為處於評估模式。思科ISE管理門戶的右上角顯示一條消息,其中包含評估模式下剩餘的天數。
層
Tier Licenses取代早於3.x版本中使用的Base、Apex和Plus許可證。層許可證包括三個許可證 — Essentials、Advantage和Premier。如果您當前擁有Base、Apex或Plus許可證,請使用CSSM將其轉換為新的許可證型別。
裝置管理員
「裝置管理」許可證允許您在策略服務節點上使用TACACS服務。在高可用性獨立部署中,裝置管理許可證允許您在高可用性對中的單個策略服務節點上使用TACACS服務。在思科ISE上,它被定義為Device Admin,在智慧許可證門戶上,它被定義為Maximum number of nodes entitable to TACACS+事務。
虛擬裝置許可證
思科ISE 3.x及更高版本提供新形式的VM許可證,即VM通用許可證。如果您使用的是傳統的VM許可證,則必須將它們轉換為VM通用許可證。
有關許可證型別和轉換的資訊,請參閱以下連結:
新ISE版本上的關鍵智慧許可更改
-
智慧許可連線方法更改:
思科ISE 3.4刪除了對智慧許可中使用的傳輸網關連線方法的支援。如果您正在使用傳輸網關進行智慧許可,則必須在升級到3.4之前更新連線方法。如果未更新,則系統在升級期間自動切換到直接HTTPS,但您可以在升級後隨時更改它。 -
許可可視性在3.5中的改進:
Cisco ISE 3.5增強了許可證跟蹤,以實現更好的可視性和準確性。許可證層和功能保持不變,但許可證使用量現在與峰值活動終端保持一致。3.5中的執行尚未生效;相反,如果使用量超過許可限制,則無中斷消費警報會發出通知
許可證註冊型別
對於Cisco ISE 3.1的介紹,您有三個選項可用於啟用智慧許可。
智慧軟體許可預留(Direct-Https、HTTP-Proxy、SSM On-Prem)
通過單個令牌註冊,可以輕鬆高效地使用智慧軟體許可預留。您購買的許可證在稱為CSSM的集中式資料庫中維護。登入到CSSM門戶,以便輕鬆跟蹤您可用的終端許可證和消費統計資訊。在此模式下,思科ISE需要直接連線CSSM(直接HTTPS)或通過代理連線,以交換消費和合規性資訊。新選項SSM On-Prem允許空隙ISE以本地伺服器形式使用CSSM的功能,作為本地On-Prem(衛星)伺服器。
特定許可證保留(在ISE 3.1及更高版本中提供)
特定許可證保留(SLR)允許高度安全網路中的客戶在不通訊許可證資訊的情況下使用智慧許可(和智慧許可證)。SLR允許保留特定許可證,包括附加許可證。SLR不需要思科ISE才能連線到CSSM,並且允許思科ISE使用智慧帳戶中存在的許可證,直到這些許可證到期。
設定
用於將CSSM與ISE整合的連線方法(直接HTTPS/HTTPS代理)
步驟1.瀏覽到Administration > System > Licensing:
步驟2.在License Type中選擇Smart Software Licensing Reservation,然後在Registration Details中貼上註冊令牌。根據需要選擇Applicable Tier。直接HTTPS和HTTPS代理之間的流程略有不同。
直接HTTPS
步驟3.對於直接HTTPS,選擇Connection Method作為Direct HTTPS,然後按一下Register:
HTTPS代理
步驟4.為確保已預先設定HTTPS代理,請導覽至Administration > System > Settings。
新增代理詳細資訊>主機、使用者ID和密碼:
步驟5.返回Cisco ISE Licensing頁面,選擇Connection Method作為HTTPS Proxy,並確保在HTTPS Proxy部分下看到已配置的代理。按一下「Register」:
最後,思科ISE現在註冊到CSSM,此ISE節點的條目可在虛擬帳戶(從中生成令牌)的產品例項中找到。
配置Smart Software Manager內部伺服器
此配置要求在環境中部署SSM On-Prem(衛星)伺服器。部署並連線後,衛星伺服器就充當本地許可伺服器,允許思科ISE執行許可事務,而無需通過網際網路聯絡CSSM。反過來,衛星伺服器可以在聯機或離線模式下與CSSM同步(使用.yml檔案)。 有關衛星伺服器的更多詳細資訊,請參閱思科智慧軟體管理器內部資料表。有關安裝On-Prem伺服器的快速入門手冊,請參閱SSM_On-Prem_8_Quick_Start_Guide。
這些步驟假定衛星伺服器已配置,並且衛星伺服器上包含思科ISE許可證的虛擬帳戶已新增到衛星伺服器。有關執行相同操作的步驟,請參閱Smart_Software_Manager_On-Prem_8-202006_Installation_Guide。
步驟1.登入到衛星伺服器並選擇智慧許可選項:
步驟2.從清單中生成令牌並複製令牌值。返回Cisco ISE,選擇Smart Software Licensing Reservation,並作為Connection Method作為SSM On-Prem Server:
步驟3.欄位SSM On-Prem Server Host取自On-Prem Server上配置的主機名。可從以下網站確認相同情On-Prem Server Admin Workspace > Security > Certificates > Host Common Name況:
步驟4.確認主機名後,將其新增到Cisco ISE的SSM On-Prem伺服器主機下並點選Register。成功註冊後,思科ISE會出現在新增到衛星伺服器虛擬帳戶的產品例項清單中。
ISE和CSSM的整合方法
SLR
步驟1.瀏覽Administration > System > Licensing至如下圖所示:
步驟2.對於「許可證型別」,選擇SLR,然後按一下Generate Code。複製CSSM需要生成的保留代碼,以便生成授權代碼:
步驟3.在CSSM上,選擇包含Cisco ISE許可證(基本、優勢、高級、VM、TACACS+)的虛擬帳戶。 在Licenses部分下,選擇:
L
許可證預留。
步驟4.輸入從思科ISE複製的Authorized Code,然後點選Next以選擇Reserve a specific license選項。根據可用的許可證,指定要為Cisco ISE保留的計數,然後按一下Next。請注意,層許可證和VM許可證允許上層許可證的替代可用於滿足低層許可證的請求。檢查層型號Cisco ISE 3.x許可模式。
步驟5.使用Download as File選項檢查並下載產生的授權代碼。返回思科ISE並點選上傳SLR許可證金鑰以上傳檔案。思科ISE上許可證的到期日期反映智慧帳戶上許可證的原始到期日期。
返回SLR的預留
步驟1。按一下Return Reservation,然後複製所提供的保留代碼,並確保其安全。
步驟2.瀏覽至新增思科ISE的虛擬帳戶的產品例項,並使用其序列號搜尋ISE。按一下Actions > Remove,輸入步驟1中複製的代碼,然後按一下Return Product Reservation。這會將保留的許可證返回到虛擬帳戶。
疑難排解
一般准則
- 對於Cisco ISE 3.0 p7、3.1 p5和3.2或更高版本,檢查此鏈路的可達性: https://smartreceiver.cisco.com/。
- 對於較低的ISE版本<= Ise 3.0,檢查這些連結的可達性:tools.cisco.com、tools1.cisco.com和tools2.cisco.com。
- 這些連結非常重要,因為它們在與往返的CSSM通訊中扮演著至關重要的角色,如果您阻止這些IP,思科ISE將無法向CSSM報告許可證使用情況,而缺少報告會導致失去對思科ISE的管理訪問許可權以及思科ISE功能中的限制。
要設定為調試級別的ISE日誌屬性
- 許可證(ise-psc.log)
- admin-license(ise-psc.log)
註冊和續約錯誤
若要排除註冊錯誤,首先驗證智慧許可雲(https://tools.cisco.com/或https://smartreceiver.cisco.com/)是否不存在通訊問題。 有多種因素可能會破壞Cisco ISE和智慧許可雲之間的連線,包括:
- 防火牆或其他裝置阻擋流量。
- DNS問題。如果Cisco ISE無法解析https://tools.cisco.com/或https://smartreceiver.cisco.com/的相應FQDN,則無法傳送註冊API呼叫。
- 智慧許可門戶問題。
調查ISE許可狀態的API請求
直接從瀏覽器使用HTTPS API呼叫,以便瞭解思科ISE上使用的許可證數量:
- https://<MnTNodeIP>/admin/API/mnt/Session/ActiveCount
- https://<MnTNodeIP>/admin/API/mnt/Session/License/LicenseCountsFromSessionDB
- https://<MnTNodeIP>/admin/API/mnt/License/Base
- https://<MnTNodeIP>/admin/API/mnt/License/Mediate
- https://<MnTNodeIP>/admin/API/mnt/License/Premium
- https://<MnTNodeIP>/admin/API/mnt/Session/ActiveList
在Cisco ISE 3.1或更高版本中,您可以使用OpenAPI。您必須導航到Administration > Settings > API Settings.用於獲取有關許可狀態的更多資料的API呼叫。
提示:確保Cisco ISE中啟用了ERS和開放式API服務。您可以通過導航到來驗證此Administration > Settings > API Settings > API Service Settings情況。如果未啟用這些服務,則必須先啟用這些服務,然後才能通過URL訪問API呼叫。
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
3.0 |
23-Apr-2026
|
格式、語言、連結。 |
1.0 |
03-Oct-2024
|
初始版本 |
意見