Intégrer ISE à Smart Licensing Server

Options de téléchargement

  • PDF     (1.5 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (1.4 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (1.1 MB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:3 octobre 2024
ID du document:222337

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment configurer Smart Licensing sur ISE.

    Conditions préalables

    Exigences

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    Composants utilisés

    Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Informations générales

    ISE - Licensing Flow Diagram

    À partir de la version ISE 3.0, les licences Smart sont requises. Cisco Smart Licensing simplifie l'acquisition, le déploiement et la gestion des licences en permettant aux périphériques de s'enregistrer eux-mêmes et de signaler leur utilisation.

    1. Lorsqu'un jeton de licence Smart est actif et enregistré dans le portail d'administration Cisco ISE, le CSSM surveille la consommation des licences par session de point d'extrémité et par licence de produit.
    2. Smart Licensing informe l'administrateur de la consommation de licences par session de point d'extrémité avec une disposition de tableau simple dans Cisco ISE.
    3. Smart Licensing signale quotidiennement l'utilisation maximale de chaque licence activée à la base de données centralisée.
    4. Cisco ISE prélève des échantillons internes de consommation de licences toutes les 30 minutes. La conformité et la consommation des licences sont mises à jour en conséquence.
    5. À partir du moment où vous enregistrez votre noeud d'administration principale (PAN) Cisco ISE auprès du CSSM, Cisco ISE signale au serveur CSSM le nombre maximal de licences consommées toutes les six heures.
    6. Les rapports sur le nombre de pics d'utilisation permettent de garantir que la consommation de licences dans Cisco ISE est conforme aux licences achetées et enregistrées.
    7. Cisco ISE communique avec le serveur CSSM en stockant une copie locale du certificat CSSM.
    8. Le certificat CSSM est automatiquement réautorisé pendant la synchronisation quotidienne et lorsque vous actualisez la table Licences. En général, les certificats CSSM sont valides pendant six mois.
    9. Par conséquent, ISE a besoin d'une connectivité réseau pour atteindre le CSSM.

    Flux de consommation de licence

    TACACS+

    La licence Device Admin (PID : L-ISE-TACACS-ND=) active les services TACACS+ sur un noeud de service de stratégie (PSN). Chaque PSN qui utilise TACACS+ nécessite sa propre licence Device Admin. L'administration des périphériques TACACS+ ne tient pas compte de l'utilisation des terminaux et n'impose aucune limite au nombre de périphériques réseau que vous pouvez gérer. Une licence essentielle n'est pas nécessaire pour gérer les périphériques d'accès réseau (NAD) tels que les routeurs et les commutateurs.

    Licence de terminal comptable

    License Allocation

    note-icon

    Remarque : le schéma utilise des terminologies de licence traditionnelles, mais celles-ci s'appliquent également aux nouvelles licences de niveau référencées dans la documentation.

    Le nombre de terminaux actifs peut différer des licences utilisées, car chaque terminal peut avoir plusieurs sessions. La consommation de licences est basée sur le nombre de sessions actives, et pas seulement sur le nombre de terminaux. Par exemple, un système avec 10 terminaux actifs avec plusieurs sessions peut utiliser plus de licences.

    Assurez-vous que la gestion des comptes est activée sur les points d'accès sans fil et sur le commutateur. La consommation de licence est déterminée par les messages Start - Stop envoyés par le client AAA au serveur AAA.

    ISE utilise des règles spécifiques afin de gérer les sessions dans Monitoring and Troubleshooting (MnT), en s'appuyant sur les messages de comptabilité des périphériques d'accès réseau (NAD). Voici comment ISE traite les sessions en fonction de ces messages de comptabilité :

    - Si ISE reçoit une demande d'authentification RADIUS mais aucun message de gestion des comptes, il maintient la session active pendant 1 heure.
    - Dès réception d'un message de gestion de comptes, ISE maintient la session pendant 5 jours maximum ou jusqu'à réception d'un message d'arrêt de gestion de comptes.
    - La session de licence est libérée immédiatement après la réception d'un message d'arrêt de la gestion des comptes.
    - Une mise à jour intermédiaire prolonge les 5 jours.

    Licences ISE

    Évaluation

    Les licences d'évaluation sont activées par défaut lors de l'installation ou de la mise à niveau vers Cisco ISE version 3.x et versions ultérieures. La licence d'évaluation est active pendant 90 jours et vous avez accès à toutes les fonctionnalités de Cisco ISE pendant cette période. Cisco ISE est considéré comme étant en mode d'évaluation lorsque la licence d'évaluation est utilisée. Le coin supérieur droit du portail d'administration de Cisco ISE affiche un message indiquant le nombre de jours restant en mode d'évaluation.

    Evaluation License Error

    Niveau

    Les licences Tier remplacent les licences Base, Apex et Plus utilisées dans les versions antérieures à la version 3.x. Les licences de niveau incluent trois licences : Essentials, Advantage et Premier. Si vous disposez actuellement de licences de base, Apex ou Plus, utilisez le CSSM afin de les convertir en nouveaux types de licence.

    Administrateur de périphériques

    Une licence Device Administration vous permet d'utiliser les services TACACS sur un noeud Policy Service. Dans un déploiement autonome haute disponibilité, une licence d'administration de périphériques vous permet d'utiliser les services TACACS sur un noeud Policy Service unique dans la paire haute disponibilité. Sur ISE, il est défini comme « Device Admin » et sur le portail de licences Smart, il est défini comme « Maximum number of nodes allowed to TACACS+ transactions ».

    Licences d'appliance virtuelle

    ISE 3.x et les versions ultérieures sont livrées avec une nouvelle forme de licence de VM qui est la « licence commune de VM ». Si vous utilisez des licences VM traditionnelles, elles doivent être converties en licences VM communes.

    Pour plus d'informations sur les types de licences et leur conversion, consultez les liens suivants :

    Fonctionnalités de licence

    Guide de licence Cisco

    Types d'enregistrement de licence

    Pour l'introduction d'ISE 3.1, trois options sont disponibles pour activer la licence Smart. Ces scénarios sont les suivants :

    Réservation de licences logicielles Smart (Direct-Https, HTTP-Proxy, SSM On-Prem)

    Smart Software Licensing Reservation est facile à utiliser et efficace avec un enregistrement de jeton unique. Les licences que vous achetez sont conservées dans une base de données centralisée appelée CSSM. Connectez-vous au portail CSSM afin de suivre facilement les licences de point d'extrémité qui sont à votre disposition et les statistiques de consommation. Dans ce mode, ISE doit se connecter à CSSM directement (HTTPS direct) ou via un proxy afin d'échanger les informations de consommation et de conformité. La nouvelle option SSM On-Prem permet l'ISE à air-gapped afin d'utiliser les fonctionnalités de CSSM sous la forme d'un serveur local hébergé en tant que serveur On-Prem (Satellite).

    Réservation de licence spécifique (disponible dans ISE 3.1 et versions ultérieures)

    La réservation de licence spécifique (SLR) permet aux clients de réseaux hautement sécurisés d'utiliser les licences Smart (et les licences Smart) sans communiquer les informations de licence. SLR permet de réserver des licences spécifiques, y compris des licences complémentaires. SLR n'a pas besoin d'ISE pour se connecter à CSSM et permet à ISE d'utiliser les licences présentes dans le compte Smart jusqu'à leur expiration.

    Configurer

    Méthodes de connexion (HTTPS/HTTPS-Proxy direct) pour l'intégration de CSSM à ISE

    Étape 1. Accédez à Administration > System > Licensing:

    Licensing Tab on ISE GUI

    Étape 2. Sélectionnez Réservation de licences logicielles Smart dans Type de licence et collez le jeton d'enregistrement dans Détails de l'enregistrement. Sélectionnez le niveau applicable selon vos besoins. Le processus diffère légèrement entre le proxy HTTPS direct et le proxy HTTPS.

    HTTPS direct

    Étape 3. Pour Direct HTTPS, choisissez la méthode de connexion Direct HTTPS et cliquez sur Register :

    Smart Licensing Enabling

    Proxy HTTPS

    Étape 4. Afin de vous assurer que le proxy HTTPS est préconfiguré, accédez à Administration > System > Settings.

    Ajouter les détails du proxy > Hôte, ID utilisateur et mot de passe :

    Proxy Configuration

    Étape 5. De nouveau sur la page de licence ISE, choisissez Connection Method as HTTPS Proxy et assurez-vous que le proxy configuré est vu sous la section HTTPS Proxy. Cliquez sur Register :

    Registration Token

    Enfin, ISE est désormais enregistré dans CSSM et une entrée pour ce noeud ISE se trouve dans les instances de produit du compte virtuel (à partir duquel le jeton a été généré).

    Configuration du serveur sur site Smart Software Manager

    Cette configuration nécessite le déploiement d'un serveur SSM On-Prem (Satellite) dans l'environnement. Une fois déployé et connecté, le serveur satellite agit en tant que serveur de licences local, ce qui permet à ISE d'effectuer les transactions de licences sans avoir à contacter CSSM via Internet. Les serveurs satellites peuvent à leur tour se synchroniser avec CSSM en mode en ligne ou hors ligne (à l'aide de fichiers .yml). Plus de détails sur le serveur Satellite sont disponibles ici . Un guide de démarrage rapide pour l'installation du serveur On-Prem est disponible ici .

    Ces étapes supposent que le serveur satellite est configuré et qu'un compte virtuel sur CSSM contenant des licences ISE est ajouté au serveur satellite. Les étapes pour effectuer la même chose peuvent être tracées ici.


    Étape 1. Connectez-vous au serveur satellite et choisissez l’option Smart Licensing :

    Smart Software Manager On-Prem

    Étape 2. À partir de l'inventaire, générez un jeton et copiez la valeur du jeton. De retour sur ISE, choisissez la méthode de réservation et de connexion de licences logicielles Smart en tant que « serveur SSM On-Prem » :

    Smart Licensing Configuration

    Étape 3. Le champ SSM On-Prem Server Host provient du nom d'hôte configuré sur le serveur On-Prem. La même chose peut être confirmée à partir de la On-Prem Server Admin Workspace > Security > Certificates > Host Common Name:

    SSM On-Prem Configuration

    Étape 4. Une fois le nom d'hôte confirmé, ajoutez-le à ISE sous l'hôte du serveur sur site SSM et cliquez surRegister. Une fois l'enregistrement réussi, ISE apparaît dans la liste des instances de produit ajoutées au compte virtuel sur le serveur satellite.

    Méthodes d'intégration pour ISE et CSSM

    REFLEX

    Étape 1. Accédez à Administration > System > Licensingcomme indiqué dans l'image :

    Licensing Tab on ISE GUI

    Étape 2. Pour le type de licence, choisissez SLR et cliquez sur Generate Code. Copiez le code de réservation généré comme requis par le CSSM afin de générer un code d'autorisation :

    SLR Configuration

    Étape 3. Sur CSSM, sélectionnez le compte virtuel qui contient les licences ISE (Essential, Advantage, Premier, VM, TACACS+). Dans la section Licences, sélectionnez License Reservation.

    Available License on SSM

    Étape 4. Saisissez le code autorisé copié à partir d'ISE et cliquez sur Next afin de choisir Reserve a specific license de l'assistant. En fonction des licences disponibles, spécifiez les nombres à réserver pour ISE et cliquez surNext. Notez que les licences de niveau et les licences de VM permettent de remplacer les licences de niveau supérieur afin de répondre aux demandes de licences de niveau inférieur. Consultez le modèle de niveau ici Modèle de licence ISE 3.x .

    License Reservation On Portal

    Étape 5. Vérifiez et téléchargez le code d'autorisation généré à l'aide de l'option Télécharger en tant que fichier. Revenez à ISE et cliquez sur Upload SLR License Key afin de télécharger le fichier. La date d'expiration des licences sur ISE correspond à la date d'expiration initiale des licences sur le compte Smart.

    Renvoi de la réservation pour SLR

    Étape 1. Cliquez sur Return Reservation et copiez le code de réservation fourni et gardez-le en sécurité.

    Étape 2. Accédez à Product Instances pour le compte virtuel auquel ISE est ajouté et recherchez ISE à l'aide de son numéro de série. Cliquez sur Actions > Remove, entrez le code copié à l'étape 1. et cliquez sur Return Product ReservationCette opération renvoie les licences réservées au compte virtuel.

    Dépannage 

    Lignes directrices générales

    • Pour ISE 3.0 p7, 3.1 p5 et 3.2 ou version ultérieure, vérifiez l'accessibilité pour ce lien : https://smartreceiver.cisco.com/.
    • Pour les versions inférieures d'ISE<= Ise 3.0, vérifiez l'accessibilité pour ces liens : tools.cisco.com, tools1.cisco.com, et tools2.cisco.com.
    • Ces liens sont importants car ils jouent un rôle vital dans la communication avec le CSSM de et vers. Si vous bloquez ces adresses IP, Cisco ISE ne peut pas signaler l'utilisation de la licence au CSSM. Ce manque de rapports entraîne la perte de l'accès administratif à Cisco ISE et des restrictions dans les fonctionnalités Cisco ISE.

    Attributs de journalisation ISE à définir sur le niveau de débogage

    • Licence (ise-psc.log)
    • admin-license (ise-psc.log)

    Erreurs d'inscription et de renouvellement

    Afin de résoudre les erreurs d'enregistrement, commencez par vérifier qu'il n'y a aucun problème de communication avec le cloud de licences Smart (https://tools.cisco.com/ ou https://smartreceiver.cisco.com/). Plusieurs facteurs peuvent perturber la connexion entre ISE et le cloud de licences Smart, notamment :

    • Pare-feu ou autres périphériques bloquant le trafic.
    • Problèmes DNS. Si ISE ne peut pas résoudre le FQDN correspondant pour https://tools.cisco.com/ ou https://smartreceiver.cisco.com/, il ne peut pas envoyer l'appel d'API d'enregistrement.
    • Problèmes avec le portail de licences Smart.

    Demandes API pour étudier l'état des licences ISE

    Utilisez les appels de l'API HTTPS directement à partir du navigateur afin de connaître le nombre de licences consommées sur ISE :

    https://<MnTNodeIP>/admin/API/mnt/Session/ActiveCount

    https://<MnTNodeIP>/admin/API/mnt/Session/License/LicenseCountsFromSessionDB

    https://<MnTNodeIP>/admin/API/mnt/Licence/Base

    https://<MnTNodeIP>/admin/API/mnt/License/Intermediate

    https://<MnTNodeIP>/admin/API/mnt/License/Premium

    https://<MnTNodeIP>/admin/API/mnt/Session/ActiveList

    Dans ISE 3.1 ou version ultérieure, vous pouvez utiliser OpenAPI. Vous devez naviguer jusqu'à ce que les appels d'Administration > Settings > API Settings.API soient utilisés pour obtenir plus de données sur l'état des licences.

    API Settings for Licensing Logging

    tip-icon

    Conseil : assurez-vous que les services ERS et Open API sont activés dans ISE. Vous pouvez le vérifier en accédant à Administration > Settings > API Settings > API Service Settings. Vous devez activer ces services avant d'accéder aux appels API via l'URL si ces services ne sont pas activés.

    API Commands for Troubleshooting Licensing

    Informations connexes

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    03-Oct-2024
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Sankalp Trivedi
      Ingénieur TAC Cisco
    • Magesh Balraj
      Ingénieur TAC Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits