Integration der ISE mit dem Smart Licensing-Server

Download-Optionen

  • PDF     (1.5 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (1.4 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (1.1 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:3. Oktober 2024
Dokument-ID:222337

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird beschrieben, wie Sie Smart Licensing auf der ISE konfigurieren.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    Verwendete Komponenten

    Dieses Dokument ist nicht auf bestimmte Software- und Hardware-Versionen beschränkt.

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    ISE - Licensing Flow Diagram

    Ab ISE 3.0 ist Smart Licensing erforderlich. Cisco Smart Licensing vereinfacht die Beschaffung, Bereitstellung und Verwaltung von Lizenzen, indem Geräte sich selbst registrieren und Nutzungsberichte erstellen können.

    1. Wenn ein Smart License-Token aktiv und im Cisco ISE-Administrationsportal registriert ist, überwacht der CSSM die Lizenznutzung pro Endpunktsitzung und Produktlizenz.
    2. Smart Licensing benachrichtigt den Administrator über die Lizenznutzung für Endpunktsitzungen mithilfe eines einfachen Tabellenlayouts in der Cisco ISE.
    3. Smart Licensing meldet der zentralisierten Datenbank täglich die Spitzenauslastung jeder aktivierten Lizenz.
    4. Bei der Cisco ISE werden alle 30 Minuten interne Stichproben der Lizenznutzung genommen. Lizenzkonformität und -nutzung werden entsprechend aktualisiert.
    5. Ab der Registrierung des primären Administrationsknotens (PAN) der Cisco ISE beim CSSM meldet die Cisco ISE alle sechs Stunden Spitzenwerte bei der Lizenznutzung an den CSSM-Server.
    6. Die Berichte zur Spitzenauslastung stellen sicher, dass die Lizenznutzung in der Cisco ISE mit den erworbenen und registrierten Lizenzen übereinstimmt.
    7. Die Cisco ISE kommuniziert mit dem CSSM-Server, indem sie eine lokale Kopie des CSSM-Zertifikats speichert.
    8. Das CSSM-Zertifikat wird während der täglichen Synchronisierung und bei der Aktualisierung der Lizenztabelle automatisch erneut autorisiert. In der Regel sind CSSM-Zertifikate sechs Monate lang gültig.
    9. Die ISE benötigt daher Netzwerkverbindungen, um den CSSM zu erreichen.

    Lizenznutzung - Fluss

    TACACS+

    Die Device Admin-Lizenz (PID: L-ISE-TACACS-ND=) aktiviert TACACS+-Dienste auf einem Policy Service Node (PSN). Für jedes PSN, das TACACS+ verwendet, ist eine eigene Geräteadministratorlizenz erforderlich. Die Verwaltung von TACACS+-Geräten wird bei der Endpunktnutzung nicht berücksichtigt und erlegt der Anzahl der zu verwaltenden Netzwerkgeräte keine Grenzen auf. Für die Verwaltung von Netzwerkzugriffsgeräten (Network Access Devices, NADs) wie Router und Switches ist keine Lizenz erforderlich.

    Lizenz für Buchhaltungs-Endgeräte

    License Allocation

    note-icon

    Hinweis: Das Diagramm verwendet traditionelle Lizenzterminologien, diese gelten jedoch auch für die neuen Lizenzstufen, auf die in der Dokumentation verwiesen wird.

    Die Anzahl der aktiven Endpunkte kann sich von der Anzahl der verwendeten Lizenzen unterscheiden, da jedes Endpunkt mehrere Sitzungen haben kann. Die Lizenznutzung basiert auf der Anzahl der aktiven Sitzungen, nicht nur auf der Anzahl der Endpunkte. Beispiel: Ein System mit 10 aktiven Endpunkten und mehreren Sitzungen kann mehr Lizenzen verwenden.

    Stellen Sie sicher, dass die Abrechnung sowohl auf den Wireless Access Points als auch auf dem Switch aktiviert ist. Die Lizenznutzung wird durch die Start - Stopp-Nachrichten bestimmt, die vom AAA-Client an den AAA-Server gesendet werden.

    Die ISE verwendet spezielle Regeln für die Verwaltung von Sitzungen in der MnT-Umgebung (Monitoring and Troubleshooting) und verlässt sich dabei auf Abrechnungsmeldungen von Network Access Devices (NADs). So verarbeitet die ISE Sitzungen auf Grundlage dieser Accounting-Meldungen:

    - Wenn die ISE eine RADIUS-Authentifizierungsanforderung ohne Accounting-Meldung empfängt, bleibt die Sitzung 1 Stunde lang aktiv.
    - Nach Empfang einer Accounting-Nachricht hält die ISE die Sitzung bis zu 5 Tage oder bis zum Empfang einer Accounting-Stopp-Nachricht aufrecht.
    - Die Lizenzsitzung wird sofort freigegeben, sobald eine Abrechnungs-Stopp-Nachricht eingegangen ist.
    - Ein Zwischenupdate verlängert die 5 Tage.

    ISE-Lizenzen

    Evaluierung

    Evaluierungslizenzen werden standardmäßig aktiviert, wenn Sie Cisco ISE Version 3.x oder höher installieren oder ein Upgrade darauf durchführen. Die Testlizenz ist 90 Tage lang gültig, während dieser Zeit haben Sie Zugriff auf alle Cisco ISE-Funktionen. Die Cisco ISE befindet sich im Evaluierungsmodus, wenn die Evaluierungslizenz verwendet wird. Oben rechts im Cisco ISE-Administrationsportal wird eine Meldung mit der Anzahl der Tage angezeigt, die im Evaluierungsmodus verbleiben.

    Evaluation License Error

    Stufe

    Tier-Lizenzen ersetzen die Base-, Apex- und Plus-Lizenzen, die in früheren Versionen als Version 3.x verwendet wurden. Tier-Lizenzen umfassen drei Lizenzen - Essentials, Advantage und Premier. Wenn Sie derzeit Base-, Apex- oder Plus-Lizenzen haben, verwenden Sie CSSM, um diese in die neuen Lizenztypen umzuwandeln.

    Geräte-Administrator

    Mit einer Device Administration-Lizenz können Sie TACACS-Dienste auf einem Policy Service-Knoten verwenden. In einer hochverfügbaren Standalone-Bereitstellung ermöglicht Ihnen eine Device Administration-Lizenz die Verwendung von TACACS-Services auf einem einzelnen Policy Service-Knoten im Hochverfügbarkeitspaar. Auf der ISE ist sie als "Device Admin" (Geräteadministrator) und auf dem Smart-Lizenzportal als "Maximum number of nodes right to TACACS+ transactions" (Maximale Anzahl von Knoten, die zu TACACS+-Transaktionen berechtigt sind) definiert.

    Lizenzen für virtuelle Appliances

    ISE 3.x wird mit einer neuen Form der VM-Lizenz ausgeliefert, der "VM Common License". Wenn Sie herkömmliche VM-Lizenzen verwenden, müssen diese in gemeinsame VM-Lizenzen konvertiert werden.

    Informationen zu Lizenztypen und Umrechnungen finden Sie unter den folgenden Links:

    Lizenzfunktionen

    Cisco Lizenzhandbuch

    Lizenzregistrierungstypen

    Für die Einführung von ISE 3.1 stehen Ihnen drei Optionen zur Verfügung, um Smart Licensing zu aktivieren. Dazu zählen:

    Reservierung von Smart Software-Lizenzen (Direct-HTTPS, HTTP-Proxy, SSM vor Ort)

    Die Reservierung von Smart Software-Lizenzen kann einfach und effizient mit einer einzigen Tokenregistrierung durchgeführt werden. Die von Ihnen erworbenen Lizenzen werden in einer zentralen Datenbank namens CSSM verwaltet. Melden Sie sich beim CSSM-Portal an, um die für Sie verfügbaren Endgerätelizenzen und Nutzungsstatistiken auf einfache Weise nachzuverfolgen. In diesem Modus muss sich die ISE entweder direkt (direktes HTTPS) oder über Proxy mit CSSM verbinden, um Verbrauchs- und Konformitätsinformationen auszutauschen. Die neue Option SSM On-Prem ermöglicht Air-Gap ISE, um die Funktionen von CSSM in Form eines lokalen Servers zu nutzen, der als On-Prem (Satellite) Server gehostet wird.

    Reservierung spezifischer Lizenzen (verfügbar ab ISE 3.1)

    Mithilfe der spezifischen Lizenzreservierung (SLR) können Kunden in hochsicheren Netzwerken Smart Licensing (und Smart Licenses) verwenden, ohne die Lizenzinformationen mitzuteilen. SLR ermöglicht die Reservierung bestimmter Lizenzen, einschließlich Add-on-Lizenzen. SLR benötigt keine ISE, um eine Verbindung mit CSSM herzustellen, und ermöglicht ISE, die im Smart Account vorhandenen Lizenzen bis zum Ablauf zu nutzen.

    Konfigurieren

    Verbindungsmethoden (Direct HTTPS/HTTPS-Proxy) zur Integration von CSSM in die ISE

    Schritt 1: Navigieren Sie zu Administration > System > Licensing:

    Licensing Tab on ISE GUI

    Schritt 2: Wählen Sie unter Lizenztyp die Option Smart Software-Lizenzreservierung aus, und fügen Sie das Registrierungstoken in die Registrierungsdetails ein. Wählen Sie die entsprechende Stufe aus. Der Prozess unterscheidet sich geringfügig zwischen Direct HTTPS und HTTPS Proxy.

    Direktes HTTPS

    Schritt 3: Wählen Sie für Direct HTTPS die Verbindungsmethode Direct HTTPS aus, und klicken Sie auf Registrieren:

    Smart Licensing Enabling

    HTTPS-Proxy

    Schritt 4: Um sicherzustellen, dass der HTTPS-Proxy vorkonfiguriert ist, wechseln Sie zu Administration > System > Settings.

    Proxydetails hinzufügen > Host, Benutzer-ID und Kennwort:

    Proxy Configuration

    Schritt 5: Wählen Sie auf der ISE-Lizenzierungsseite Verbindungsmethode als HTTPS-Proxy aus, und stellen Sie sicher, dass der konfigurierte Proxy im Abschnitt HTTPS-Proxy angezeigt wird. Klicken Sie auf Registrieren:

    Registration Token

    Schließlich ist die ISE jetzt für CSSM registriert, und ein Eintrag für diesen ISE-Knoten finden Sie in den Produktinstanzen im Virtual Account (von wo aus das Token generiert wurde).

    Konfiguration des Smart Software Manager-Servers vor Ort

    Für diese Konfiguration muss in der Umgebung ein lokaler SSM-Server (Satellit) bereitgestellt werden. Nach der Bereitstellung und Verbindung agiert der Satelliten-Server als lokaler Lizenzierungsserver, sodass die ISE Lizenzierungstransaktionen durchführen kann, ohne über das Internet auf CSSM zuzugreifen. Satellitenserver können wiederum mit CSSM im Online- oder Offline-Modus synchronisiert werden (mithilfe von .yml-Dateien). Weitere Informationen über den Satelliten-Server sind verfügbar hier . Eine Kurzanleitung zur Installation des lokalen Servers ist vorhanden. hier .

    Bei diesen Schritten wird davon ausgegangen, dass der Satellitenserver konfiguriert ist und dem Satellitenserver ein virtuelles Konto auf dem CSSM mit ISE-Lizenzen hinzugefügt wird. Schritte zur Durchführung derselben können hier nachverfolgt werden.


    Schritt 1. Melden Sie sich beim Satellitenserver an, und wählen Sie die Smart Licensing-Option aus:

    Smart Software Manager On-Prem

    Schritt 2: Generieren Sie aus dem Bestand ein Token, und kopieren Sie den Tokenwert. Zurück auf der ISE, wählen Sie Smart Software Licensing Reservation and Connection Method als 'SSM On-Prem server':

    Smart Licensing Configuration

    Schritt 3: Das Feld "SSM On-Prem Server Host" wird aus dem Hostnamen entnommen, der auf dem On-Prem Server konfiguriert wurde. Das Gleiche kann bestätigt werden von On-Prem Server Admin Workspace > Security > Certificates > Host Common Name:

    SSM On-Prem Configuration

    Schritt 4: Sobald der Hostname bestätigt wurde, fügen Sie ihn der ISE unter dem SSM On-Prem Server Host hinzu, und klicken Sie aufRegister. Nach erfolgreicher Registrierung wird ISE in der Liste der Produktinstanzen angezeigt, die dem virtuellen Konto auf dem Satellitenserver hinzugefügt wurden.

    Integrationsmethoden für ISE und CSSM

    SLR

    Schritt 1: Navigieren Sie Administration > System > Licensingwie im Bild gezeigt zu:

    Licensing Tab on ISE GUI

    Schritt 2: Wählen Sie als Lizenztyp SLR aus, und klicken Sie dann auf Code generieren. Kopieren Sie den Reservierungscode, der für den CSSM erforderlich ist, um einen Autorisierungscode zu generieren:

    SLR Configuration

    Schritt 3: Wählen Sie auf CSSM das virtuelle Konto mit ISE-Lizenzen aus (Essential, Advantage, Premier, VM, TACACS+). Wählen Sie im Abschnitt "Lizenzen" die Option Lizenzreservierung aus.

    Available License on SSM

    Schritt 4: Geben Sie den von der ISE kopierten autorisierten Code ein, und klicken Sie auf Weiter, um Folgendes auszuwählen: Reserve a specific license Option. Geben Sie abhängig von den verfügbaren Lizenzen die für die ISE zu reservierenden Anzahl an, und klicken Sie aufNext. Beachten Sie, dass Tier-Lizenzen und VM-Lizenzen den Austausch von Upper-Level-Lizenzen ermöglichen, um Anfragen nach Low-Level-Lizenzen zu erfüllen. Überprüfen Sie hier das Tier-Modell. ISE 3.x-Lizenzmodell .

    License Reservation On Portal

    Schritt 5: Überprüfen und laden Sie den generierten Autorisierungscode mit der Option Als Datei herunterladen herunter. Kehren Sie zur ISE zurück, und klicken Sie auf SLR-Lizenzschlüssel hochladen, um die Datei hochzuladen. Das Ablaufdatum der Lizenzen auf der ISE entspricht dem ursprünglichen Ablaufdatum der Lizenzen auf dem Smart Account.

    Reservierung für SLR

    Schritt 1. Klicken Sie auf Return Reservation und kopieren Sie den angegebenen Reservierungscode, um ihn zu sichern.

    Schritt 2: Navigieren Sie zu Produktinstanzen für das virtuelle Konto, dem ISE hinzugefügt wird, und suchen Sie nach ISE mit der Seriennummer. Klicken Sie aufActions > Remove, geben Sie den in Schritt 1 kopierten Code ein, und klicken Sie auf Return Product ReservationDadurch werden die reservierten Lizenzen an das Virtual Account zurückgegeben.

    Fehlerbehebung 

    Allgemeine Richtlinien

    • Für ISE 3.0 p7, 3.1 p5 und 3.2 oder höher überprüfen Sie die Erreichbarkeit für diesen Link: https://smartreceiver.cisco.com/.
    • Bei niedrigeren ISE-Versionen<= ISE 3.0 überprüfen Sie die Erreichbarkeit dieser Links: tools.cisco.com, tools1.cisco.com und tools2.cisco.com.
    • Diese Links sind wichtig, da sie eine wichtige Rolle bei der Kommunikation mit dem CSSM spielen. Wenn Sie diese IPs blockieren, kann die Cisco ISE die Lizenznutzung nicht an CSSM melden. Diese fehlende Berichterstellung führt zum Verlust des administrativen Zugriffs auf die Cisco ISE und zu Einschränkungen bei Cisco ISE-Funktionen.

    ISE-Protokollierungsattribute für die Debugstufe

    • Lizenz (ise-psc.log)
    • admin-license (ise-psc.log)

    Registrierungs- und Verlängerungsfehler

    Um Registrierungsfehler zu beheben, vergewissern Sie sich zunächst, dass keine Kommunikationsprobleme mit der Smart Licensing Cloud (https://tools.cisco.com/ oder https://smartreceiver.cisco.com/) vorliegen. Die Verbindung zwischen der ISE und der Smart Licensing Cloud kann durch verschiedene Faktoren unterbrochen werden:

    • Firewalls oder andere Geräte blockieren den Datenverkehr.
    • DNS-Probleme. Wenn die ISE den entsprechenden FQDN für https://tools.cisco.com/ oder https://smartreceiver.cisco.com/ nicht auflösen kann, kann sie den Registrierungs-API-Anruf nicht senden.
    • Probleme mit dem Smart Licensing-Portal

    API fordert Untersuchung des ISE-Lizenzierungsstatus

    Verwenden Sie HTTPS-API-Aufrufe direkt vom Browser, um die Anzahl der Lizenzen zu ermitteln, die auf der ISE verbraucht werden:

    https://<MnTNodeIP>/admin/API/mnt/Session/ActiveCount

    https://<MnTNodeIP>/admin/API/mnt/Session/License/LicenseCountsFromSessionDB

    https://<MnTNodeIP>/admin/API/mnt/License/Base

    https://<MnTNodeIP>/admin/API/mnt/License/Intermediate

    https://<MnTNodeIP>/admin/API/mnt/License/Premium

    https://<MnTNodeIP>/admin/API/mnt/Session/ActiveList

    In ISE 3.1 oder höher können Sie OpenAPI verwenden. Sie müssen zu API-Aufrufen navigierenAdministration > Settings > API Settings., um weitere Daten über den Lizenzierungsstatus abzurufen.

    API Settings for Licensing Logging

    tip-icon

    Tipp: Stellen Sie sicher, dass die ERS- und Open API-Services in der ISE aktiviert sind. Sie können dies überprüfen, indem Sie zu Administration > Settings > API Settings > API Service Settingsnavigieren. Sie müssen diese Dienste aktivieren, bevor Sie über die URL auf API-Aufrufe zugreifen können, wenn diese Dienste nicht aktiviert sind.

    API Commands for Troubleshooting Licensing

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    03-Oct-2024
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Sankalp Trivedi
      Cisco TAC-Techniker
    • Magesh Balraj
      Cisco TAC-Techniker

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.