Integrare ISE con Smart Licensing Server

Introduzione

In questo documento viene descritto come configurare Smart Licensing su ISE.

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

• ISE versione 3.x
  
• Accesso a https://software.cisco.com/software/smart-licensing
  
• Cisco Smart Software Manager (CSM) versione 8, versione 2020+ per locale (opzionale)

Componenti usati

Il documento può essere consultato per tutte le versioni software o hardware.

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Premesse

A partire da ISE 3.0, è necessario disporre di Smart Licensing. Cisco Smart Licensing semplifica l'approvvigionamento, l'installazione e la gestione delle licenze consentendo ai dispositivi di registrarsi automaticamente e di segnalare l'utilizzo.

1. Quando un token di licenza intelligente è attivo e registrato nel portale di amministrazione di Cisco ISE, il CSM monitora l'utilizzo delle licenze per ciascuna sessione dell'endpoint per ciascuna licenza del prodotto.
2. Smart Licensing informa l'amministratore dell'utilizzo della licenza per sessione dell'endpoint con un layout di tabella semplice in Cisco ISE.
3. Smart Licensing segnala quotidianamente al database centralizzato l'utilizzo massimo di ciascuna licenza abilitata.
4. Cisco ISE preleva campioni interni del consumo delle licenze ogni 30 minuti. La conformità e il consumo delle licenze vengono aggiornati di conseguenza.
5. Dal momento della registrazione del proprio Cisco ISE Primary Administration node (PAN) con il CSM, Cisco ISE segnala ogni sei ore i valori massimi di consumo della licenza al server CSM.
6. I rapporti sul numero di picchi garantiscono che il consumo delle licenze in Cisco ISE sia conforme alle licenze acquistate e registrate.
7. Cisco ISE comunica con il server CSM archiviando una copia locale del certificato CSM.
8. Il certificato CSM viene automaticamente riautorizzato durante la sincronizzazione giornaliera e quando si aggiorna la tabella Licenze. In genere, i certificati CSM sono validi per sei mesi.
9. Di conseguenza, ISE ha bisogno della connettività di rete per raggiungere il CSM.

Flusso consumo licenze

TACACS+

La licenza Device Admin (PID: L-ISE-TACACS-ND=) attiva i servizi TACACS+ su un PSN (Policy Service Node). Ogni PSN che utilizza TACACS+ richiede una propria licenza Device Admin. L'amministrazione dei dispositivi TACACS+ non considera l'utilizzo degli endpoint e non impone limiti al numero di dispositivi di rete che è possibile gestire. Non è necessaria una licenza essenziale per gestire i dispositivi di accesso alla rete (NAD), quali router e switch.

Licenza per endpoint di accounting

Il numero di endpoint attivi può essere diverso dalle licenze utilizzate, in quanto ogni endpoint può avere più sessioni. Il consumo delle licenze si basa sul numero di sessioni attive, non solo sul numero di endpoint. Ad esempio, un sistema con 10 endpoint attivi con più sessioni può utilizzare più licenze.

Verificare che l'accounting sia abilitato sui punti di accesso wireless e sullo switch. Il consumo delle licenze è determinato dai messaggi Start - Stop inviati dal client AAA al server AAA.

ISE utilizza regole specifiche per gestire le sessioni di monitoraggio e risoluzione dei problemi (MnT, Monitoring and Troubleshooting), basandosi sui messaggi contabili dei dispositivi di accesso alla rete (NAD, Network Access Devices). Ecco come ISE elabora le sessioni in base a questi messaggi di accounting:

- Se ISE riceve una richiesta di autenticazione RADIUS ma non un messaggio di accounting, mantiene la sessione attiva per 1 ora.
- Dopo aver ricevuto un messaggio di accounting, ISE mantiene la sessione per un massimo di 5 giorni o fino alla ricezione di un messaggio di interruzione dell'accounting.
- La sessione di licenza viene rilasciata immediatamente dopo la ricezione di un messaggio di interruzione dell'accounting.
- Un aggiornamento provvisorio prolunga i 5 giorni.

Licenze ISE

Valutazione

Le licenze di valutazione vengono attivate per impostazione predefinita quando si installa o si esegue l'aggiornamento a Cisco ISE release 3.x e versioni successive. La licenza di valutazione è attiva per 90 giorni e durante questo periodo di tempo hai accesso a tutte le funzionalità di Cisco ISE. Cisco ISE è considerato in modalità di valutazione quando la licenza di valutazione è in uso. Nell'angolo in alto a destra del portale di amministrazione di Cisco ISE viene visualizzato un messaggio con il numero di giorni rimasti in modalità di valutazione.

Livello

Le licenze Tier sostituiscono le licenze Base, Apex e Plus utilizzate nelle versioni precedenti alla 3.x. Le licenze Tier includono tre licenze: Essentials, Advantage e Premier. Se al momento si dispone di licenze Base, Apex o Plus, utilizzare il modulo CSM per convertirle nei nuovi tipi di licenza.

Amministratore del dispositivo

Una licenza di Device Administration consente di utilizzare i servizi TACACS su un nodo di Policy Service. In un'implementazione standalone ad alta disponibilità, una licenza di Device Administration consente di utilizzare i servizi TACACS su un singolo nodo di Policy Service nella coppia ad alta disponibilità. Su ISE è definito come 'Device Admin' e sul portale delle licenze Smart come 'Numero massimo di nodi autorizzati alle transazioni TACACS+'.

Licenze Virtual Appliance

A partire da ISE 3.x viene fornito un nuovo tipo di licenza VM, la 'VM Common license'. Se si utilizzano licenze VM tradizionali, è necessario convertirle in licenze VM comuni.

Per informazioni sui tipi di licenza e sulla conversione, fare riferimento ai collegamenti seguenti:

Caratteristiche della licenza

Guida alle licenze Cisco

Tipi di registrazione licenza

Per l'introduzione di ISE 3.1, sono disponibili tre opzioni per abilitare Smart Licensing. ossia SmartNIC):

Prenotazione licenze software Smart (Direct-Https, HTTP-Proxy, SSM locale)

Prenotazione licenze software intelligente: facile ed efficiente da utilizzare con la registrazione di un singolo token. Le licenze acquistate vengono gestite in un database centralizzato denominato CSSM. Accedere al portale CSM per tenere facilmente traccia delle licenze degli endpoint disponibili e delle statistiche di consumo. In questa modalità, ISE deve connettersi con CSM direttamente (Direct HTTPS) o tramite proxy per scambiare informazioni sul consumo e sulla conformità. La nuova opzione SSM On-Prem permette ad ISE con air-gapped di utilizzare le funzionalità di CSSM sotto forma di un server locale ospitato come un server locale (satellite).

Prenotazione della licenza specifica (disponibile a partire da ISE 3.1)

SLR (Specific License Reservation) consente ai clienti in reti altamente sicure di utilizzare licenze Smart Licensing (e licenze Smart) senza comunicare le informazioni sulla licenza. SLR consente la prenotazione di licenze specifiche, incluse le licenze aggiuntive. SLR non richiede l'uso di ISE per il collegamento al modulo CSM e consente all'ISE di usare le licenze presenti nello Smart Account fino alla scadenza.

Configurazione

Metodi di connessione (Direct HTTPS/HTTPS-Proxy) per l'integrazione di CSM con ISE

Passaggio 1. Selezionare Administration > System > Licensing:

Passaggio 2. Scegliere Prenotazione licenze Smart Software in Tipo di licenza e incollare il token di registrazione in Dettagli registrazione. Scegliere il livello applicabile come richiesto. Il processo differisce leggermente tra Direct HTTPS e Proxy HTTPS.

HTTPS diretto

Passaggio 3. Per Direct HTTPS, scegliere il metodo di connessione come Direct HTTPS e fare clic su Registra:

Proxy HTTPS

Passaggio 4. Per assicurarsi che il proxy HTTPS sia preconfigurato, selezionare Amministrazione > Sistema > Impostazioni.

Aggiungi dettagli proxy > Host, ID utente e Password:

Passaggio 5. Nella pagina delle licenze ISE, scegliere Metodo di connessione come proxy HTTPS e verificare che il proxy configurato sia visualizzato nella sezione Proxy HTTPS. Fare clic su Registra:

Infine, l'ISE è ora registrata nel CSM e una voce per questo nodo ISE è disponibile nelle istanze del prodotto nell'account virtuale (da cui è stato generato il token).

Configurazione del server locale di Smart Software Manager

Questa configurazione richiede la distribuzione nell'ambiente di un server locale SSM (satellite). Una volta distribuito e connesso, il Satellite Server agisce come un Server delle licenze locale consentendo ad ISE di eseguire le transazioni di gestione delle licenze senza raggiungere il CSM via Internet. I server satellite possono a loro volta sincronizzarsi con CSM in modalità online o offline (utilizzando file .yml). Ulteriori informazioni sul Satellite Server sono disponibili qui . Guida introduttiva all'installazione del server locale qui .

In questa procedura si presuppone che il Satellite Server sia configurato e che al Satellite Server sia aggiunto un account virtuale nel CSM contenente le licenze ISE. Qui è possibile seguire le istruzioni per eseguire la stessa operazione.

Passaggio 1. Accedere a Satellite Server e scegliere l'opzione Smart Licensing:

Passaggio 2. Dall'inventario, generare un token e copiare il valore del token. Tornando all'ISE, selezionare "Smart Software Licensing Reserving and Connection Method" come "SSM On-Prem server":

Passaggio 3. Il campo Host server locale SSM viene ricavato dal nome host configurato nel server locale. Lo stesso può essere confermato dal On-Prem Server Admin Workspace > Security > Certificates > Host Common Name:

Passaggio 4. Una volta confermato il nome dell'host, aggiungerlo all'ISE nell'host del server locale SSM e fare clic suRegister. Dopo la corretta registrazione, ISE viene visualizzato nell'elenco delle istanze del prodotto aggiunte all'account virtuale sul Satellite Server.

Metodi di integrazione per ISE e CSSM

SLR

Passaggio 1. Individuare Administration > System > Licensingcome mostrato nell'immagine:

Passaggio 2. Per il Tipo di licenza, scegliere SLR, quindi fare clic su Genera codice. Copiare il codice di prenotazione generato come richiesto dal CSSM per generare un codice di autorizzazione:

Passaggio 3. Su CSSM, scegliere l'account virtuale che contiene le licenze ISE (Essential, Advantage, Premier, VM, TACACS+). Nella sezione Licenze scegliere Prenotazione licenza.

Passaggio 4. Immettere il codice autorizzato copiato dall'ISE e fare clic su Next (Avanti) per scegliere Reserve a specific license opzione. A seconda delle licenze disponibili, specificare il numero di licenze da riservare per ISE e fare clic suNext. Le licenze di livello superiore e le licenze VM consentono di sostituire le licenze di livello superiore per soddisfare le richieste di licenze di livello inferiore. Controllare il modello del livello qui Modello di licenza ISE 3.x .

Passaggio 5. Esaminare e scaricare il codice di autorizzazione generato utilizzando l'opzione Scarica come file. Tornare ad ISE e fare clic su Upload SLR License Key per caricare il file. La data di scadenza delle licenze sull'ISE riflette la data di scadenza originale delle licenze sullo Smart Account.

Restituzione prenotazione per SLR

Passaggio 1. Fare clic su Restituisci prenotazione, copiare il codice di prenotazione fornito e mantenerlo sicuro.

Passaggio 2. Selezionare Product Instances (Istanze del prodotto) per l'account virtuale a cui viene aggiunto ISE, quindi cercare ISE utilizzando il relativo numero di serie. Fare clic suActions > Remove, immettere il codice copiato nel passaggio 1 e fare clic su Return Product Reservation. In questo modo le licenze riservate vengono restituite all'account virtuale.

Risoluzione dei problemi 

Indicazioni generali

• Per ISE 3.0 p7, 3.1 p5 e 3.2 o versioni successive, verificare la raggiungibilità di questo link: https://smartreceiver.cisco.com/.
• Per le versioni ISE inferiori a <= ISE 3.0, verificare la raggiungibilità dei seguenti link: tools.cisco.com, tools1.cisco.com, e tools2.cisco.com.
• Questi collegamenti sono importanti perché giocano un ruolo fondamentale nella comunicazione con il CSM da e verso il CSM. Se si bloccano questi IP, Cisco ISE non sarà in grado di segnalare l'utilizzo della licenza al CSM e la mancanza di report causerà la perdita dell'accesso amministrativo a Cisco ISE e le restrizioni nelle funzionalità di Cisco ISE.

Attributi di log ISE da impostare sul livello di debug

• Licenza (ise-psc.log)

• licenza-amministratore (ise-psc.log)

Errori di registrazione e rinnovo

Per risolvere gli errori di registrazione, verificare innanzitutto che non vi siano problemi di comunicazione con Smart Licensing Cloud (https://tools.cisco.com/ o https://smartreceiver.cisco.com/). La connessione tra ISE e Smart Licensing Cloud può essere interrotta da diversi fattori, tra cui:

• I firewall o altri dispositivi bloccano il traffico.
• Problemi DNS. Se ISE non è in grado di risolvere l'FQDN corrispondente per https://tools.cisco.com/ o https://smartreceiver.cisco.com/, non è in grado di inviare la chiamata API di registrazione.
• Problemi relativi al portale delle licenze Smart.

Richieste API per verificare lo stato delle licenze ISE

Utilizzare le chiamate HTTPS API direttamente dal browser per conoscere il numero di licenze utilizzate su ISE:

https://<MnTNodeIP>/admin/API/mnt/Session/ActiveCount

https://<MnTNodeIP>/admin/API/mnt/Session/License/LicenseCountsFromSessionDB

https://<MnTNodeIP>/admin/API/mnt/License/Base

https://<MnTNodeIP>/admin/API/mnt/License/Intermediate

https://<MnTNodeIP>/admin/API/mnt/License/Premium

https://<MnTNodeIP>/admin/API/mnt/Session/ActiveList

In ISE 3.1 o versioni successive, è possibile utilizzare OpenAPI. Per ottenere ulteriori dati sullo stato di gestione licenze, è necessario passare alle Administration > Settings > API Settings. chiamate API.

Informazioni correlate

• Creazione di una SLR con CSM per Cisco ISE
• Principi base delle licenze Cisco ISE
• Risoluzione dei problemi relativi alle licenze ISE
• Cisco ISE Smart Licensing
  
• Tecnico Cisco Support e download