ISEとスマートライセンスサーバの統合
内容
はじめに
このドキュメントでは、ISEでスマートライセンスを設定する方法について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- ISE 3.xリリース
- アクセス先 https://software.cisco.com/software/smart-licensing
- オンプレミス用Cisco Smart Software Manager(CSSM)バージョン8リリース202010+(オプション)
使用するコンポーネント
このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
ISE 3.0以降では、スマートライセンスが必要です。Cisco Smart Licensingを使用すると、デバイスの自己登録と使用状況のレポートが可能になるため、ライセンスの調達、導入、および管理が簡素化されます。
- スマートライセンストークンがアクティブになり、Cisco ISE管理ポータルに登録されると、CSSMは製品ライセンスごとに各エンドポイントセッションによるライセンスの消費を監視します。
- スマートライセンスは、Cisco ISEのシンプルなテーブルレイアウトを使用して、エンドポイントセッションによるライセンス消費について管理者に通知します。
- スマートライセンスは、有効化された各ライセンスのピーク使用状況を集中型データベースに毎日レポートします。
- Cisco ISEは、ライセンス消費の内部サンプルを30分ごとに取得します。それに応じて、ライセンスのコンプライアンスと消費が更新されます。
- Cisco ISEプライマリ管理ノード(PAN)をCSSMに登録した時点から、Cisco ISEはライセンス消費のピーク数を6時間ごとにCSSMサーバに報告します。
- ピーク数レポートは、Cisco ISEのライセンス消費が購入および登録されたライセンスに準拠していることを確認するのに役立ちます。
- Cisco ISEは、CSSM証明書のローカルコピーを保存することによって、CSSMサーバと通信します。
- CSSM証明書は、毎日の同期の間、およびLicensesテーブルを更新する際に、自動的に再認証されます。通常、CSSM証明書は6ヵ月間有効です。
- その結果、ISEはCSSMに到達するためにネットワーク接続を必要とします。
ライセンス消費のフロー
TACACS+
デバイス管理者ライセンス(PID:L-ISE-TACACS-ND=)は、ポリシーサービスノード(PSN)でTACACS+サービスをアクティブ化します。TACACS+を使用する各PSNには、独自のデバイス管理者ライセンスが必要です。TACACS+のデバイス管理では、エンドポイントの使用率は考慮されず、管理可能なネットワークデバイスの数に制限はありません。ルータやスイッチなどのネットワークアクセスデバイス(NAD)の管理には、基本ライセンスは必要ありません。
アカウンティングエンドポイントライセンス
注:この図では従来のライセンス用語を使用していますが、この用語はドキュメント全体で参照されている新しい階層ライセンスにも適用されます。
各エンドポイントは複数のセッションを持つことができるため、アクティブなエンドポイントの数と使用するライセンスの数は異なる場合があります。ライセンスの使用量は、エンドポイントの数だけでなく、アクティブセッションの数にも基づきます。たとえば、10個のアクティブなエンドポイントと複数のセッションを持つシステムでは、より多くのライセンスを使用できます。
ワイヤレスアクセスポイントとスイッチの両方でアカウンティングが有効になっていることを確認します。ライセンスの消費は、AAAクライアントからAAAサーバに送信されるStart - Stopメッセージによって決まります。
ISEは、ネットワークアクセスデバイス(NAD)からのアカウンティングメッセージに依存して、モニタリングおよびトラブルシューティング(MnT)のセッションを管理するために特定のルールを使用します。次に、これらのアカウンティングメッセージに基づいてISEがセッションを処理する方法を示します。
- ISEがRADIUS認証要求を受信してもアカウンティングメッセージを受信しない場合、セッションを1時間アクティブに保ちます。
– アカウンティングメッセージを受信すると、ISEは最大5日間、またはアカウンティング停止メッセージを受信するまでセッションを維持します。
– アカウンティング停止メッセージを受信すると、すぐにライセンスセッションが解放されます。
– 暫定アップデートは5日間を延長します。
ISEライセンス
評価
評価ライセンスは、Cisco ISEリリース3.x以降のバージョンをインストールまたはアップグレードするときに、デフォルトでアクティブ化されます。評価ライセンスは90日間有効で、この間はすべてのCisco ISE機能にアクセスできます。Cisco ISEは、評価ライセンスが使用中のときに評価モードであると見なされます。Cisco ISE管理ポータルの右上隅に、評価モードの残り日数を示すメッセージが表示されます。
階層
ティアライセンスは、リリース3.x以前のリリースで使用されていたBase、Apex、およびPlusライセンスに代わるものです。Tierライセンスには、Essentials、Advantage、Premierの3つのライセンスがあります。現在Base、Apex、またはPlusライセンスをお持ちの場合は、CSSMを使用して新しいライセンスタイプに変換します。
デバイス管理者
デバイス管理ライセンスを使用すると、ポリシーサービスノードでTACACSサービスを使用できます。ハイアベイラビリティのスタンドアロン導入では、デバイス管理ライセンスにより、ハイアベイラビリティペアの単一のポリシーサービスノードでTACACSサービスを使用できます。ISEでは「Device Admin」として定義され、スマートライセンスポータルでは「TACACS+トランザクションの権限を持つノードの最大数」として定義されます。
仮想アプライアンスのライセンス
ISE 3.x以降には、新しい形式のVMライセンス(VM共通ライセンス)が付属しています。従来のVMライセンスを使用している場合は、VM共通ライセンスに変換する必要があります。
ライセンスのタイプと変換の詳細については、次のリンクを参照してください。
ライセンス登録のタイプ
ISE 3.1の導入では、スマートライセンスを有効にするために3つのオプションを使用できます。これらを次に示します。
スマートソフトウェアライセンスの予約(ダイレクトHttps、HTTPプロキシ、SSMオンプレミス)
Smart Software Licensing Reservationは、単一のトークン登録で簡単かつ効率的に使用できます。購入したライセンスは、CSSMと呼ばれる中央データベースに保持されます。CSSMポータルにログインすると、使用可能なエンドポイントライセンスと利用統計情報を簡単に追跡できます。このモードでは、ISEはCSSMに直接接続(ダイレクトHTTPS)するか、プロキシ経由で接続して消費量とコンプライアンス情報を交換する必要があります。新しいオプションのSSM On-Prem(オンプレミス)では、オンプレミス(サテライト)サーバとしてホストされるローカルサーバの形でCSSMの機能を利用するために、エアギャップISEが使用できます。
特定ライセンスの予約(ISE 3.1以降で使用可能)
Specific License Reservation(SLR)を使用すると、セキュリティの高いネットワークを持つお客様は、ライセンス情報を伝えることなくスマートライセンス(およびスマートライセンス)を使用できます。SLRでは、アドオンライセンスを含む特定のライセンスを予約できます。SLRでは、CSSMへの接続にISEは必要なく、スマートアカウントに存在するライセンスが期限切れになるまでISEで消費できます。
設定
CSSMとISEを統合するための接続方法(ダイレクトHTTPS/HTTPSプロキシ)
ステップ 1:Administration > System > Licensingを参照します。
ステップ 2:ライセンスタイプでSmart Software Licensing Reservationを選択し、登録トークンを登録の詳細に貼り付けます。必要に応じて、該当する階層を選択します。直接HTTPSとHTTPSプロキシでは、プロセスが少し異なります。
ダイレクトHTTPS
ステップ 3:Direct HTTPSの場合は、Connection MethodとしてDirect HTTPSを選択し、Registerをクリックします。
HTTPSプロキシ
ステップ 4:HTTPSプロキシが事前に設定されていることを確認するには、Administration > System > Settingsの順に選択します。
プロキシの詳細>ホスト、ユーザID、およびパスワードを追加します。
ステップ 5:ISE Licensingページに戻り、Connection MethodとしてHTTPS Proxyを選択し、設定したプロキシがHTTPS Proxyセクションに表示されることを確認します。Registerをクリックします。
最後に、ISEがCSSMに登録され、このISEノードのエントリが(トークンの生成元である)仮想アカウントの製品インスタンスで見つかります。
Smart Software Managerオンプレミスサーバの設定
この設定では、SSMオンプレミス(サテライト)サーバーを環境内に展開する必要があります。導入と接続が完了すると、サテライトサーバはローカルライセンスサーバとして機能し、ISEはインターネット経由でCSSMにアクセスすることなくライセンストランザクションを実行できます。サテライトサーバは、オンラインモードまたはオフラインモード(.ymlファイルを使用)のいずれかでCSSMと同期できます。サテライトサーバに関する詳細が表示されます here .オンプレミスサーバのインストールに関するクイックスタートガイドが用意されている here .
これらの手順では、サテライトサーバが設定され、ISEライセンスを含むCSSM上の仮想アカウントがサテライトサーバに追加されることを前提としています。同じ処理を実行する手順は、ここで追跡できます。
ステップ1:サテライトサーバにログインし、スマートライセンスオプションを選択します。
ステップ 2:インベントリからトークンを生成し、トークン値をコピーします。ISEに戻り、Smart Software Licensing Reservation and Connection Methodを「SSM On-Prem server」として選択します。
ステップ 3:SSM On-Prem Server Hostフィールドは、オンプレミスサーバに設定されているホスト名から取得されます。On-Prem Server Admin Workspace > Security > Certificates > Host Common Nameでも同じことを確認できます。
ステップ 4:ホスト名を確認したら、SSMオンプレミスサーバホストの下のISEに追加し、Registerをクリックします。登録に成功すると、サテライトサーバの仮想アカウントに追加された製品インスタンスのリストにISEが表示されます。
ISEとCSSMの統合方法
一眼レフ
ステップ 1:図に示すように、Administration > System > Licensingを参照します。
ステップ 2:License TypeでSLRを選択し、Generate Codeをクリックします。承認コードを生成するためにCSSMで必要とされるために生成された予約コードをコピーします。
ステップ 3:CSSMで、ISEライセンスを含む仮想アカウント(Essential、Advantage、Premier、VM、TACACS+)を選択します。Licensesセクションで、License Reservationを選択します。
ステップ 4:ISEからコピーした認証コードを入力し、Nextをクリックして選択します Reserve a specific license オプション.使用可能なライセンスに応じて、ISE用に予約するカウントを指定し、Nextをクリックします。階層ライセンスとVMライセンスでは、上位レベルのライセンスを下位レベルのライセンスの要求を満たすために使用できる代用が可能であることに注意してください。 Tierモデルはこちらでご確認ください。 ISE 3.xライセンスモデル .
ステップ 5:「ファイルとしてダウンロード」オプションを使用して、生成された認証コードを確認してダウンロードします。ISEに戻り、Upload SLR License Keyをクリックしてファイルをアップロードします。ISE上のライセンスの有効期限には、スマートアカウント上のライセンスの元の有効期限が反映されます。
一眼レフ予約の返却
ステップ1:Return Reservationをクリックし、提供された予約コードをコピーして安全な状態に保ちます。
ステップ 2:ISEが追加される仮想アカウントの製品インスタンスを参照し、シリアル番号を使用してISEを検索します。Actions > Removeをクリックし、ステップ1でコピーしたコードを入力し、Return Product Reservationをクリックします。 予約済みライセンスが仮想アカウントに返されます。
トラブルシューティング
一般的なガイドライン
- ISE 3.0 p7、3.1 p5、および3.2以降の場合は、このリンクの到達可能性(https://smartreceiver.cisco.com/)を確認してください。
- より低いバージョンのISE<= Ise 3.0の場合、tools.cisco.com、tools1.cisco.com、およびtools2.cisco.comのリンクの到達可能性をチェックします。
- これらのリンクはCSSMとの通信において重要な役割を果たすため、重要です。これらのIPをブロックすると、Cisco ISEはライセンスの使用状況をCSSMに報告することができなくなり、この報告の欠如によりCisco ISEへの管理アクセスが失われ、Cisco ISE機能が制限されます。
デバッグレベルに設定するISEロギング属性
- ライセンス(ise-psc.log)
- 管理ライセンス(ise-psc.log)
登録および更新エラー
登録エラーのトラブルシューティングを行うには、まずSmart Licensing Cloud(https://tools.cisco.com/またはhttps://smartreceiver.cisco.com/)に通信の問題がないことを確認します。ISEとSmart Licensing Cloud間の接続を妨げる要因には、次のようなものがあります。
- ファイアウォールまたはその他のデバイスがトラフィックをブロックしている。
- DNSの問題。ISEがhttps://tools.cisco.com/またはhttps://smartreceiver.cisco.com/の対応するFQDNを解決できない場合、登録APIコールを送信できません。
- スマートライセンスポータルの問題。
ISEライセンスステータスを調査するためのAPI要求
ISEで使用されているライセンスの数を確認するには、ブラウザから直接HTTPS APIコールを使用します。
https://<MnTNodeIP>/admin/API/mnt/Session/ActiveCount
https://<MnTNodeIP>/admin/API/mnt/Session/License/LicenseCountsFromSessionDB
https://<MnTNodeIP>/admin/API/mnt/License/Base
https://<MnTNodeIP>/admin/API/mnt/ライセンス/中間
https://<MnTNodeIP>/admin/API/mnt/License/Premium
https://<MnTNodeIP>/admin/API/mnt/Session/ActiveList
ISE 3.1以降では、OpenAPIを使用できます。「Administration > Settings > API Settings. API calls are used to get more data about the Licensing state」に移動します。
ヒント:ISEでERSおよびOpen APIサービスが有効になっていることを確認します。これは、Administration > Settings > API Settings > API Service Settingsに移動して確認できます。これらのサービスが有効でない場合は、URLを介してAPI呼び出しにアクセスする前に、これらのサービスをアクティブにする必要があります。
関連情報
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
03-Oct-2024 |
初版 |
フィードバック