Integre ISE con Smart Licensing Server

Introducción

Este documento describe cómo configurar Smart Licensing en ISE.

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento sobre estos temas:

• Versión 3.x de ISE
  
• Acceso a https://software.cisco.com/software/smart-licensing
  
• Cisco Smart Software Manager (CSSM) versión 8, versión 202010+ para instalaciones (opcional)

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Antecedentes

A partir de ISE 3.0, se requiere una licencia inteligente. Cisco Smart Licensing simplifica la adquisición, implementación y gestión de licencias, ya que permite que los dispositivos se autorregistren y notifiquen el uso.

1. Cuando un token de licencia inteligente está activo y registrado en el portal de administración de Cisco ISE, el CSSM supervisa el consumo de licencias por cada sesión de terminal y por licencia de producto.
2. Smart Licensing informa al administrador sobre el consumo de licencias por parte de las sesiones de terminales con un sencillo diseño de tabla en Cisco ISE.
3. Smart Licensing informa diariamente a la base de datos centralizada del uso máximo de cada licencia habilitada.
4. Cisco ISE toma muestras internas del consumo de licencias cada 30 minutos. El consumo y el cumplimiento de la licencia se actualizan en consecuencia.
5. Desde el momento en que se registra el nodo de administración principal (PAN) de Cisco ISE con CSSM, Cisco ISE informa de los recuentos máximos de consumo de licencias al servidor CSSM cada seis horas.
6. Los informes de recuento máximo ayudan a garantizar que el consumo de licencias en Cisco ISE cumple con las licencias adquiridas y registradas.
7. Cisco ISE se comunica con el servidor CSSM almacenando una copia local del certificado CSSM.
8. El certificado CSSM se vuelve a autorizar automáticamente durante la sincronización diaria y al actualizar la tabla de licencias. Normalmente, los certificados CSSM tienen una validez de seis meses.
9. Como resultado, ISE necesita conectividad de red para alcanzar el CSSM.

Flujo de consumo de licencias

TACACS+

La licencia Device Admin (PID: L-ISE-TACACS-ND=) activa los servicios TACACS+ en un nodo de servicios de políticas (PSN). Cada PSN que utiliza TACACS+ requiere su propia licencia Device Admin. La administración de dispositivos TACACS+ no cuenta para el uso de terminales e impone ningún límite en el número de dispositivos de red que puede administrar. No se necesita una licencia esencial para administrar los dispositivos de acceso a la red (NAD), como routers y switches.

Licencia de terminal de contabilidad

El número de terminales activos puede diferir de las licencias utilizadas, ya que cada terminal puede tener varias sesiones. El consumo de licencias se basa en el número de sesiones activas, no solo en el número de terminales. Por ejemplo, un sistema con 10 terminales activos y varias sesiones puede utilizar más licencias.

Asegúrese de que la contabilidad esté habilitada tanto en los puntos de acceso inalámbricos como en el switch. El consumo de licencias viene determinado por los mensajes Start - Stop enviados desde el cliente AAA al servidor AAA.

ISE utiliza reglas específicas para administrar las sesiones de supervisión y solución de problemas (MnT), basándose en los mensajes de cuentas de los dispositivos de acceso a la red (NAD). Así es como ISE procesa las sesiones basándose en estos mensajes de contabilidad:

- Si ISE recibe una solicitud de autenticación RADIUS pero no recibe ningún mensaje de contabilización, mantiene la sesión activa durante 1 hora.
- Al recibir un mensaje de contabilidad, ISE mantiene la sesión durante un máximo de 5 días o hasta que se reciba un mensaje de detención de contabilidad.
- La sesión de licencia se libera inmediatamente una vez que se recibe un mensaje de detención de contabilidad.
- Una actualización provisional amplía los 5 días.

Licencias de ISE

Evaluación

Las licencias de evaluación se activan de forma predeterminada al instalar o actualizar a Cisco ISE versión 3.x y versiones posteriores. La licencia de evaluación está activa durante 90 días y, durante este tiempo, tendrá acceso a todas las funciones de Cisco ISE. Se considera que Cisco ISE está en modo de evaluación cuando la licencia de evaluación está en uso. La esquina superior derecha del portal de administración de Cisco ISE muestra un mensaje con el número de días que quedan en el modo de evaluación.

Nivel

Las licencias de nivel superior sustituyen a las licencias Base, Apex y Plus utilizadas en versiones anteriores a la versión 3.x. Las licencias de nivel 1 incluyen tres licencias: Essentials, Advantage y Premier. Si actualmente tiene licencias Base, Apex o Plus, utilice el CSSM para convertirlas en los nuevos tipos de licencia.

Administrador de dispositivos

Una licencia Device Administration permite utilizar los servicios TACACS en un nodo de Policy Service. En una implementación independiente de alta disponibilidad, una licencia Device Administration permite utilizar los servicios TACACS en un único nodo de servicio de políticas en el par de alta disponibilidad. En ISE se define como "Device Admin" y en el portal de licencias Smart se define como "Número máximo de nodos con derecho a transacciones TACACS+".

Licencias de dispositivo virtual

ISE 3.x en adelante incluye una nueva forma de licencia de VM, que es la "licencia común de VM". Si utiliza licencias de VM tradicionales, estas deben convertirse en licencias comunes de VM.

Para obtener información sobre los tipos de licencia y la conversión, consulte los enlaces:

Funciones de licencia

Guía de licencias de Cisco

Tipos de registro de licencias

Para la introducción de ISE 3.1, dispone de tres opciones para habilitar Smart Licensing. Estos incluyen:

Reserva De Licencias De Software Inteligente (Directo-Https, HTTP-Proxy, SSM En Las Instalaciones)

Smart Software Licensing Reservation se utiliza de forma sencilla y eficaz con un único registro de token. Las licencias adquiridas se mantienen en una base de datos centralizada denominada CSSM. Inicie sesión en el portal CSSM para realizar un seguimiento sencillo de las licencias de terminales disponibles y de las estadísticas de consumo. En este modo, se requiere que ISE se conecte con CSSM directamente (HTTPS directo) o a través de Proxy para intercambiar la información de consumo y cumplimiento. La nueva opción SSM On-Prem permite un ISE con espacios de ventilación para utilizar las funciones de CSSM en forma de un servidor local alojado como un servidor in situ (satélite).

Reserva de licencia específica (disponible en ISE 3.1 y versiones posteriores)

La reserva de licencia específica (SLR) permite a los clientes de redes muy seguras utilizar licencias inteligentes (y licencias inteligentes) sin comunicar la información de la licencia. SLR permite la reserva de licencias específicas, incluidas las licencias complementarias. SLR no requiere ISE para conectarse a CSSM y permite a ISE consumir las licencias presentes en la cuenta inteligente hasta que alcancen el vencimiento.

Configurar

Métodos de conexión (HTTPS/HTTPS-Proxy directo) para integrar CSSM con ISE

Paso 1. Vaya a Administration > System > Licensing:

Paso 2. Elija Smart Software Licensing Reservation en License Type y pegue el token de registro en los detalles de registro. Seleccione el nivel aplicable según sea necesario. El proceso difiere ligeramente entre HTTPS directos y HTTPS proxy.

HTTPS directos

Paso 3. Para HTTPS directos, elija el método de conexión como HTTPS directos y haga clic en Registrar:

Proxy HTTPS

Paso 4. Para asegurarse de que el proxy HTTPS está preconfigurado, navegue hasta Administration > System > Settings.

Agregar detalles de proxy > Host, ID de usuario y Contraseña:

Paso 5. De nuevo en la página de licencias de ISE, elija el método de conexión como proxy HTTPS y asegúrese de que el proxy configurado se ve en la sección Proxy HTTPS. Haga clic en Register:

Por último, ISE ahora está registrado en CSSM y se puede encontrar una entrada para este nodo de ISE en las instancias de productos de la cuenta virtual (desde donde se generó el token).

Configuración del servidor local de Smart Software Manager

Esta configuración requiere que se implemente un servidor SSM en las instalaciones (satélite) en el entorno. Una vez implementado y conectado, el servidor satélite actúa como un servidor de licencias local, lo que permite a ISE realizar las transacciones de licencias sin tener que ponerse en contacto con CSSM a través de Internet. Los servidores satélite pueden sincronizarse con CSSM en modo en línea o fuera de línea (utilizando archivos .yml). Hay más detalles disponibles sobre el servidor satélite aquí . Existe una guía de inicio rápido para instalar el servidor en las instalaciones aquí .

En estos pasos se asume que el servidor satélite está configurado y que se ha agregado una cuenta virtual en CSSM que contiene licencias de ISE al servidor satélite. Los pasos para realizar el mismo se pueden seguir aquí.

Paso 1. Inicie sesión en el servidor satélite y elija la opción de licencia inteligente:

Paso 2. Desde el inventario, genere un token y copie el valor del token. De nuevo en ISE, elija Reserva de licencias de software inteligente y Método de conexión como 'Servidor SSM in situ':

Paso 3. El campo SSM On-Prem Server Host se toma del nombre de host configurado en el servidor On-Prem. Lo mismo se puede confirmar desde el On-Prem Server Admin Workspace > Security > Certificates > Host Common Name:

Paso 4. Una vez confirmado el nombre de host, agréguelo a ISE en el host del servidor SSM local y haga clic enRegister. Tras un registro correcto, ISE aparece en la lista de instancias de productos agregadas a la cuenta virtual en el servidor satélite.

Métodos de integración para ISE y CSSM

SLR

Paso 1. Vaya a Administration > System > Licensingcomo se muestra en la imagen:

Paso 2. Para el Tipo de licencia, elija SLR y luego haga clic en Generar código. Copie el código de reserva generado, ya que es requerido por el CSSM para generar un código de autorización:

Paso 3. En CSSM, elija la cuenta virtual que contiene las licencias de ISE (Essential, Advantage, Premier, VM, TACACS+). En la sección Licencias, seleccione Reserva de licencia.

Paso 4. Ingrese el código autorizado copiado de ISE y haga clic en Next para elegir Reserve a specific license opción. En función de las licencias disponibles, especifique los recuentos que se reservarán para ISE y haga clic enNext. Tenga en cuenta que las licencias de nivel superior y las licencias de VM permiten la sustitución. Estas licencias se pueden utilizar para satisfacer las solicitudes de licencias de nivel inferior. Consulte el modelo de nivel aquí Modelo de licencia de ISE 3.x .

Paso 5. Revise y descargue el código de autorización generado mediante la opción Descargar como archivo. Vuelva a ISE y haga clic en Cargar clave de licencia de SLR para cargar el archivo. La fecha de vencimiento de las licencias en ISE refleja la fecha de vencimiento original de las licencias en Smart Account.

Devolución de la reserva para SLR

Paso 1. Haga clic en Devolver reserva y copie el código de reserva proporcionado y manténgalo a salvo.

Paso 2. Vaya a Instancias de productos para la cuenta virtual a la que se agrega ISE y busque ISE usando su número de serie. Haga clic en Actions > Remove, introduzca el código copiado en el paso 1 y haga clic en Return Product Reservation. De este modo, se devolverán las licencias reservadas a la cuenta virtual.

Resolución de problemas 

Pautas generales

• Para ISE 3.0 p7, 3.1 p5 y 3.2 o posterior, consulte la disponibilidad de este enlace: https://smartreceiver.cisco.com/.
• Para versiones de ISE inferiores<= Ise 3.0, consulte la disponibilidad de estos enlaces: tools.cisco.com, tools1.cisco.com, y tools2.cisco.com.
• Estos enlaces son importantes porque desempeñan un papel fundamental en la comunicación con el CSSM de ida y vuelta. Si bloquea estas IP, Cisco ISE no podrá informar del uso de licencias al CSSM. Esta falta de información provocará la pérdida de acceso administrativo a Cisco ISE y restricciones en las funciones de Cisco ISE.

Atributos de registro de ISE que se establecerán en el nivel de depuración

• Licencia (ise-psc.log)

• admin-license (ise-psc.log)

Errores de registro y renovación

Para solucionar los errores de registro, comience verificando que no haya problemas de comunicación con Smart Licensing Cloud (https://tools.cisco.com/ o https://smartreceiver.cisco.com/). Hay varios factores que pueden interrumpir la conexión entre ISE y la nube de licencias inteligentes, entre los que se incluyen:

• Firewalls u otros dispositivos que bloquean el tráfico.
• Problemas de DNS. Si ISE no puede resolver el FQDN correspondiente para https://tools.cisco.com/ o https://smartreceiver.cisco.com/, no puede enviar la llamada a la API de registro.
• Problemas con Smart Licensing Portal.

Solicitudes de API para investigar el estado de las licencias de ISE

Utilice las llamadas de la API HTTPS directamente desde el navegador para conocer el número de licencias que se consumen en ISE:

https://<MnTNodeIP>/admin/API/mnt/Session/ActiveCount

https://<MnTNodeIP>/admin/API/mnt/Session/License/LicenseCountsFromSessionDB

https://<MnTNodeIP>/admin/API/mnt/License/Base

https://<NTNodeIP>/admin/API/mnt/License/Intermediate

https://<MnTNodeIP>/admin/API/mnt/License/Premium

https://<MnTNodeIP>/admin/API/mnt/Session/ActiveList

En ISE 3.1 o posterior, puede utilizar OpenAPI. Debe desplazarse hasta Administration > Settings > API Settings. Llamadas API que se utilizan para obtener más datos sobre el estado Licencias.

Información Relacionada

• Creación de un SLR mediante CSSM para Cisco ISE
• Fundamentos de las licencias de Cisco ISE
• Solucionar problemas de licencias de ISE
• Licencias inteligentes de Cisco ISE
  
• Técnico de Cisco Suppuerto y descargas