دمج محرك خدمات الهوية (ISE) مع خادم الترخيص الذكي

خيارات التنزيل

  • PDF     (1.5 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (1.4 MB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (1.1 MB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٣ أكتوبر ٢٠٢٤
معرّف المستند:222337

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا المستند كيفية تكوين الترخيص الذكي على ISE.

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    المكونات المستخدمة

    لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    معلومات أساسية

    ISE - Licensing Flow Diagram

    بدءا من ISE 3.0، يلزم توفر ترخيص ذكي. يعمل الترخيص الذكي من Cisco على تبسيط تدبير التراخيص ونشرها وإدارتها من خلال تمكين الأجهزة من التسجيل الذاتي واستخدام التقارير.

    1. عندما يكون رمز الترخيص الذكي نشطا ومسجلا في بوابة إدارة Cisco ISE، يراقب CSSM إستهلاك التراخيص حسب كل جلسة نهاية لكل ترخيص منتج.
    2. يعمل الترخيص الذكي على إعلام المسؤول عن إستهلاك الترخيص حسب جلسات نقاط النهاية بتخطيط جدول بسيط في Cisco ISE.
    3. يقوم الترخيص الذكي بالإعلام عن ذروة إستخدام كل ترخيص ممكن لقاعدة البيانات المركزية يوميا.
    4. تأخذ Cisco ISE عينات داخلية من إستهلاك الترخيص كل 30 دقيقة. يتم تحديث التوافق مع الترخيص والاستهلاك وفقا لذلك.
    5. منذ وقت تسجيل عقدة الإدارة الأساسية (PAN) الخاصة ب Cisco ISE مع CSSM، يقوم Cisco ISE بالإعلام عن أقصى عدد من إستهلاك التراخيص لخادم CSSM كل ست ساعات.
    6. تساعد تقارير أقصى عدد على ضمان توافق إستهلاك الترخيص في Cisco ISE مع التراخيص التي تم شراؤها وتسجيلها.
    7. يتصل Cisco ISE بخادم CSSM بتخزين نسخة محلية من شهادة CSSM.
    8. تتم إعادة اعتماد شهادة CSSM تلقائيا أثناء المزامنة اليومية، وعندما تقوم بتحديث جدول التراخيص. تكون شهادات CSSM صالحة بشكل نموذجي لمدة ستة أشهر.
    9. ونتيجة لذلك، يحتاج ISE إلى اتصال الشبكة للوصول إلى CSSM.

    تدفق إستهلاك الترخيص

    TACACS+

    يقوم ترخيص مسؤول الجهاز (PID: L-ISE-TACACS-ND=) بتنشيط خدمات TACACS+ على عقدة خدمة السياسة (PSN). تتطلب كل شبكة PSN التي تستخدم TACACS+ ترخيص مسؤول الجهاز الخاص بها. لا يتم حساب إدارة جهاز TACACS+ نحو إستخدام نقطة النهاية ولا تفرض أي حد على عدد أجهزة الشبكة التي يمكنك إدارتها. لا يلزم ترخيص أساسي لإدارة أجهزة الوصول إلى الشبكة (NAD) مثل الموجهات والمحولات.

    ترخيص نقطة نهاية المحاسبة

    License Allocation

    note-icon

    ملاحظة: يستخدم الرسم التخطيطي مصطلحات الترخيص التقليدية، ولكن هذه تنطبق أيضا على تراخيص الطبقة الجديدة المشار إليها في جميع الوثائق.

    يمكن أن يختلف عدد نقاط النهاية النشطة عن التراخيص المستخدمة لأن كل نقطة نهاية يمكن أن يكون لها جلسات متعددة. يستند إستهلاك الترخيص إلى عدد الجلسات النشطة، وليس فقط عدد نقاط النهاية. على سبيل المثال، يمكن أن يستخدم النظام الذي يحتوي على 10 نقاط نهاية نشطة مع جلسات عمل متعددة المزيد من التراخيص.

    تأكد من تمكين المحاسبة على كل من نقاط الوصول اللاسلكية والمحول. يتم تحديد إستهلاك الترخيص بواسطة البدء - إيقاف الرسائل المرسلة من عميل AAA إلى خادم AAA.

    يستخدم ISE قواعد محددة لإدارة جلسات العمل في المراقبة واستكشاف الأخطاء وإصلاحها (MNt)، استنادا إلى رسائل المحاسبة من أجهزة الوصول إلى الشبكة (NADs). فيما يلي كيفية معالجة ISE للجلسات استنادا إلى رسائل المحاسبة هذه:

    - إذا تلقى ISE طلب مصادقة RADIUS دون رسالة محاسبة، فإنه يبقي الجلسة نشطة لمدة ساعة واحدة.
    - عند تلقي رسالة محاسبة، يحتفظ ISE بالجلسة لمدة تصل إلى 5 أيام أو حتى تلقي رسالة توقف المحاسبة.
    - يتم إصدار جلسة عمل الترخيص فورا بمجرد تلقي رسالة توقف المحاسبة.
    - يمتد التحديث المؤقت إلى خمسة أيام.

    تراخيص ISE

    التقييم

    يتم تنشيط تراخيص التقييم بشكل افتراضي عند تثبيت الإصدار 3.x من Cisco ISE والإصدارات الأحدث أو ترقيتها إلى. يكون ترخيص التقييم نشطا لمدة 90 يوما، ويمكنك الوصول إلى جميع ميزات Cisco ISE أثناء هذا الوقت. يعد Cisco ISE في وضع التقييم عند إستخدام ترخيص التقييم. يعرض الركن العلوي الأيمن من بوابة إدارة Cisco ISE رسالة تحتوي على عدد الأيام المتبقية في وضع التقييم.

    Evaluation License Error

    الطبقة

    تستبدل تراخيص الطبقة تراخيص القاعدة و Apex و Plus المستخدمة في الإصدارات الأقدم من الإصدار 3.x. تشتمل تراخيص الطبقة على ثلاثة تراخيص - الأساسيات والمزايا وميزة Premier. إذا كانت لديك حاليا تراخيص Base أو Apex أو Plus، فاستخدم CSSM لتحويلها إلى أنواع تراخيص جديدة.

    Device Admin

    يسمح لك ترخيص إدارة الأجهزة باستخدام خدمات TACACS على عقدة خدمة السياسة. في عملية نشر مستقلة عالية التوفر، يسمح لك ترخيص إدارة الأجهزة باستخدام خدمات TACACS على عقدة خدمة سياسة واحدة في الزوج عالي التوفر. على ISE يتم تعريفها على أنها "Device Admin" وعلى بوابة الترخيص الذكي، ويتم تعريفها على أنها "الحد الأقصى لعدد العقد التي يحق لها إجراء معاملات TACACS+".

    تراخيص الجهاز الظاهري

    يأتي ISE 3.x وما بعده مع شكل جديد من ترخيص VM وهو "الترخيص الشائع VM". إذا كنت تستخدم تراخيص الأجهزة الافتراضية (VM) التقليدية، فيجب تحويلها إلى تراخيص VM الشائعة.

    للحصول على معلومات حول أنواع التراخيص والتحويل، ارجع إلى الروابط:

    ميزات الترخيص

    دليل ترخيص Cisco

    أنواع تسجيل الترخيص

    لإدخال ISE 3.1، لديك ثلاثة خيارات متاحة لتمكين الترخيص الذكي. هؤلاء هم:

    حجز ترخيص البرامج الذكية (Direct-HTTPS، وكيل HTTP، SSM على Prem)

    يتم إستخدام "حجز ترخيص البرامج الذكية" بسهولة وفعالية مع تسجيل رمز مميز واحد. يتم الاحتفاظ بالتراخيص التي تشتريها في قاعدة بيانات مركزية تسمى CSSM. قم بتسجيل الدخول إلى بوابة CSSM لتتبع تراخيص نقاط النهاية المتوفرة لك وإحصاءات الاستهلاك بسهولة. في هذا الوضع، يلزم توفر ISE للاتصال ب CSSM إما مباشرة (HTTPS المباشر) أو عبر الوكيل لتبادل معلومات الاستهلاك والتوافق. يسمح الخيار الجديد SSM على PREM بوجود ISE مكبل هوائيا لاستخدام ميزات CSSM في شكل خادم محلي يستضيفه كخادم على PREM (قمر صناعي).

    حجز ترخيص محدد (متوفر في ISE 3.1 والإصدارات الأحدث)

    يسمح "حجز الترخيص المحدد (SLR)" للعملاء في الشبكات عالية الأمان باستخدام الترخيص الذكي (والتراخيص الذكية) دون الاتصال بمعلومات الترخيص. تسمح SLR بحجز تراخيص معينة، بما في ذلك تراخيص الوظائف الإضافية. لا يتطلب SLR ISE للاتصال ب CSSM ويسمح ISE باستهلاك التراخيص الموجودة في الحساب الذكي حتى انتهاء صلاحيتها.

    التكوين

    طرق الاتصال (Direct HTTPS/HTTPS-proxy) لدمج CSSM مع ISE

    الخطوة 1. تصفح إلى Administration > System > Licensing:

    Licensing Tab on ISE GUI

    الخطوة 2. أختر "حجز ترخيص البرامج الذكية" في "نوع الترخيص" وألصق الرمز المميز للتسجيل في تفاصيل التسجيل. أختر الطبقة القابلة للتطبيق كما هو مطلوب. تختلف العملية قليلا بين HTTPS المباشر ووكيل HTTPS.

    HTTPS المباشر

    الخطوة 3. أخترت ل HTTPS مباشر، التوصيل أسلوب ك HTTPS مباشر وطقطقة سجل:

    Smart Licensing Enabling

    وكيل HTTPS

    الخطوة 4. لضمان تكوين وكيل HTTPS مسبقا، استعرض للوصول إلى الإدارة > النظام > الإعدادات.

    إضافة تفاصيل الوكيل > المضيف، ومعرف المستخدم، وكلمة المرور:

    Proxy Configuration

    الخطوة 5. ارجع إلى صفحة ترخيص ISE، أختر أسلوب الاتصال كوكيل HTTPS وتأكد من رؤية الوكيل الذي تم تكوينه أسفل قسم وكيل HTTPS. طقطقة سجل:

    Registration Token

    وأخيرا، تم تسجيل ISE الآن في CSSM ويمكن العثور على إدخال لعقدة ISE هذه في مثيلات المنتج في الحساب الظاهري (من حيث تم إنشاء الرمز المميز).

    تكوين خادم مدير البرامج الذكية على PREM

    يتطلب هذا التكوين نشر خادم SSM On-Prem (قمر صناعي) في البيئة. وبمجرد النشر والاتصال، يعمل الخادم الفرعي كخادم ترخيص محلي يسمح لشركة ISE بإجراء معاملات الترخيص دون الوصول إلى CSSM عبر الإنترنت. ويمكن أن تتزامن الخوادم الساتلية بدورها مع CSSM إما في وضع متصل أو غير متصل (باستخدام ملفات .yml). يتوفر المزيد من التفاصيل حول خادم القمر الصناعي هنا . يوجد دليل بداية سريعة لتثبيت الخادم "على الخادم" هنا .

    تفترض هذه الخطوات أنه تم تكوين "خادم القمر الصناعي" وإضافة حساب ظاهري على CSSM يحتوي على تراخيص ISE إلى "خادم القمر الصناعي". والخطوات اللازمة لتنفيذ نفس الإجراء يمكن تتبعها هنا.


    الخطوة 1. تسجيل الدخول إلى خادم القمر الصناعي واختيار خيار الترخيص الذكي:

    Smart Software Manager On-Prem

    الخطوة 2. من المخزون، قم بإنشاء رمز مميز ونسخ قيمة الرمز المميز. ارجع إلى ISE، أختر "حجز ترخيص البرامج الذكية" وأسلوب الاتصال ك "خادم SSM الموجود على الخادم الأولي":

    Smart Licensing Configuration

    الخطوة 3. يتم أخذ مضيف خادم SSM الخاص بالحقل من اسم المضيف الذي تم تكوينه على خادم On-Prem. ويمكن تأكيد ذلك من On-Prem Server Admin Workspace > Security > Certificates > Host Common Name:

    SSM On-Prem Configuration

    الخطوة 4. بمجرد تأكيد اسم المضيف، قم بإضافته إلى ISE ضمن مضيف خادم SSM على الخادم الأولي وانقرRegister. بعد التسجيل الناجح، يظهر ISE في قائمة مثيلات المنتج التي تمت إضافتها إلى الحساب الظاهري على خادم القمر الصناعي.

    طرق التكامل ل ISE و CSSM

    SLR

    الخطوة 1. تصفح Administration > System > Licensingكما هو موضح في الصورة:

    Licensing Tab on ISE GUI

    الخطوة 2. أخترت ل الترخيص نوع، SLR وبعد ذلك طقطقت يخلق رمز. قم بنسخ كود الحجز الذي تم إنشاؤه لأن هذا مطلوب من قبل CSSM لإنشاء كود تخويل:

    SLR Configuration

    الخطوة 3. في CSSM، أختر "الحساب الظاهري" الذي يحتوي على تراخيص ISE (الضرورية والميزة وميزة Premier و VM و TACACS+). تحت قسم التراخيص، أختر حجز الترخيص.

    Available License on SSM

    الخطوة 4. دخلت ال يخول رمز نسخة من ISE وطقطقة بعد ذلك in order to أخترت Reserve a specific license خيار. واعتمادا على التراخيص المتوفرة، حدد العدادات التي سيتم حجزها ل ISE وانقر فوقNext. لاحظ أنه يمكن إستخدام تراخيص المستوى (Tier Licensing) وتراخيص الأجهزة الافتراضية (VM) للتعيين الذي يتمثل في تراخيص المستوى الأعلى من أجل تلبية طلبات الحصول على تراخيص أقل مستوى. تحقق من طراز الطبقة هنا نموذج ترخيص ISE 3.x .

    License Reservation On Portal

    الخطوة 5. قم بمراجعة رمز التفويض الذي تم إنشاؤه وتنزيله باستخدام الخيار تنزيل كملف. ارجع إلى ISE وانقر فوق تحميل مفتاح ترخيص SLR لتحميل الملف. يعكس تاريخ انتهاء صلاحية التراخيص على ISE تاريخ انتهاء الصلاحية الأصلي للتراخيص على الحساب الذكي.

    إرجاع الحجز ل SLR

    الخطوة 1. انقر فوق إرجاع الحجز ونسخ رمز الحجز المتوفر والحفاظ عليه آمنا.

    الخطوة 2. استعرض مثيلات المنتج للحساب الظاهري الذي تتم إضافة ISE إليه وابحث عن ISE باستخدام رقمه التسلسلي. طقطقة Actions > Remove، يدخل الرمز ينسخ في خطوة 1. وطقطقة Return Product Reservationيؤدي هذا إلى إرجاع التراخيص المحجوزة إلى الحساب الظاهري.

    استكشاف الأخطاء وإصلاحها 

    إرشادات عامة

    • بالنسبة إلى ISE 3.0 p7 و 3.1 p5 و 3.2 أو إصدار أحدث، تحقق من إمكانية الوصول لهذا الارتباط: https://smartreceiver.cisco.com/.
    • للحصول على إصدارات ISE الأقل<= ISE 3.0، تحقق من قابلية الوصول لهذه الارتباطات: tools.cisco.com، وtools1.cisco.com، وtools2.cisco.com.
    • هذه الارتباطات مهمة لأنها تلعب دورا حيويا في الاتصال ب CSSM إلى ومن أجل، إذا قمت بحظر هذه بروتوكولات IP، فإن Cisco ISE لا يمكنها الإبلاغ عن إستخدام الترخيص إلى CSSM، وهذا النقص في التقارير ينتج عنه فقدان الوصول الإداري إلى Cisco ISE والقيود في ميزات Cisco ISE.

    سمات تسجيل ISE التي سيتم تعيينها على مستوى تصحيح الأخطاء

    • الترخيص (ise-psc.log)
    • admin-license (ise-psc.log)

    أخطاء التسجيل والتجديد

    لاستكشاف أخطاء التسجيل وإصلاحها، ابدأ بالتحقق من عدم وجود مشاكل في الاتصال بسحابة الترخيص الذكي (https://tools.cisco.com/ أو https://smartreceiver.cisco.com/). يمكن للعديد من العوامل قطع الاتصال بين ISE وسحابة الترخيص الذكي، بما في ذلك:

    • جدران الحماية أو الأجهزة الأخرى التي تمنع حركة المرور.
    • مشاكل DNS. إذا تعذر على ISE حل FQDN المقابلة ل https://tools.cisco.com/ أو https://smartreceiver.cisco.com/، فلن يتمكن من إرسال إستدعاء واجهة برمجة التطبيقات (API) للتسجيل.
    • مشكلات بوابة الترخيص الذكي.

    طلبات واجهة برمجة التطبيقات (API) للتحقيق في حالة ترخيص ISE

    أستخدم إستدعاءات واجهة برمجة تطبيقات HTTPS مباشرة من المستعرض لمعرفة عدد التراخيص التي يتم إستهلاكها على ISE:

    https://<MnTNodeIP>/admin/API/mnt/Session/ActiveCount

    https://<MnTNodeIP>/admin/API/mnt/Session/License/LicenseCountFromSessionDB

    https://<MnTNodeIP>/admin/API/mnt/License/Base

    https://<MnTNodeIP>/admin/API/mnt/License/Intermediate

    https://<MnTNodeIP>/admin/API/mnt/License/Premium

    https://<MnTNodeIP>/admin/API/mnt/Session/ActiveList

    في ISE 3.1 أو إصدار أحدث، يمكنك إستخدام OpenAPI. يجب الانتقال إلى مكالمات Administration > Settings > API Settings. واجهة برمجة التطبيقات (API) التي يتم إستخدامها للحصول على مزيد من البيانات حول حالة الترخيص.

    API Settings for Licensing Logging

    tip-icon

    تلميح: تأكد من تمكين ERS وخدمات API المفتوحة في ISE. يمكنك التحقق من ذلك بالانتقال إلى Administration > Settings > API Settings > API Service Settings. يجب تنشيط هذه الخدمات قبل الوصول إلى مكالمات API من خلال URL إذا لم يتم تمكين هذه الخدمات.

    API Commands for Troubleshooting Licensing

    معلومات ذات صلة

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    1.0
    03-Oct-2024
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • سانكالب تريفيدي
      مهندس TAC من Cisco
    • ماجش بلرج
      مهندس TAC من Cisco

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات