- はじめに
- Cisco ISE でのネットワーク配置
- Cisco SNS-3400 シリーズ アプライアンス
- Cisco SNS-3400 シリーズ アプライアンスのインストールおよび設定
- VMware 仮想マシンでのリリース 1.2 ソフトウェアのインストール
- Cisco ISE 3300 シリーズ、Cisco NAC、および Cisco Secure ACS のアプライアンスへのリリース 1.2 ソフトウェアのインストール
- 管理者アカウントの管理
- インストール後のタスクの実行
- ラックへの Cisco SNS-3400 シリーズ アプライアンスの設置
- Cisco SNS-3400 シリーズ サーバの仕様
- Cisco SNS-3400 シリーズ アプライアンスのポート リファレンス
- Cisco ISE ライセンス
- Cisco ISE での証明書の管理
- Index
Cisco Identity Services Engine ハードウェア インストレーション ガイド リリース 1.2
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年5月29日
章のタイトル: Cisco ISE ライセンス
Cisco ISE ライセンス
この章では、Cisco ISE で使用できるライセンスのメカニズムとスキーム、およびライセンスの追加やアップグレードを行う方法について説明します。
Cisco ISE のライセンス設定
Cisco ISE ライセンスは、Cisco ISE ネットワーク リソースを使用できる同時エンドポイントの数など、アプリケーションの機能やアクセスを管理する機能を提供します。
ユーザが必要な機能を選択できるようにするために、Cisco ISE でのライセンス設定はきめ細かく行われます。シスコは、Base、Plus、おおび Advanced など、複数のライセンス パッケージを用意しています。
すべての Cisco ISE アプライアンスには 90 日間有効な評価ライセンスが付属しています。90 日間の評価期間の終了後に Cisco ISE サービスの使用を継続し、ネットワークで 100 を超える数の同時エンドポイントをサポートするには、システム上の現在のユーザの数の Base ライセンスを取得して登録する必要があります。追加機能が必要な場合は、該当の機能を有効にする Plus または Advanced のライセンスが必要です。
Cisco ISE ソフトウェアをインストールし、最初にアプライアンスをプライマリ管理ノードとして設定したら、Cisco ISE のライセンスを取得して、そのライセンスを登録する必要があります。
Cisco ISE では、2 つのハードウェア ID を使用するライセンスがサポートされます。プライマリおよびセカンダリ管理ノードのハードウェア ID に基づいてライセンスを取得できます。プライマリおよびセカンダリ管理ノードのハードウェア ID を使用して、Cisco ISE プライマリ管理ノードにすべてのライセンスを登録します。その後、プライマリ管理ノードは、導入環境に登録されているすべてのライセンスを集中管理します。
(注) Base ライセンスは常に必要です。ただし、Advanced ライセンスの取得に Plus ライセンスは必要ではなく、Plus ライセンスの取得にも Advanced ライセンスは必要ありません。
Base、Plus、Advanced ライセンスは同時にインストールすることを推奨します。
•
デフォルトの評価ライセンスの上に Base ライセンスをインストールすると、Base ライセンスにより評価ライセンスの Base ライセンスに関連する部分のみがオーバーライドされ、デフォルトの残りの評価ライセンス期間中に使用できる Plus および Advanced ライセンスの機能が維持されます。
• 最初に Base ライセンスをインストールしないと、評価ライセンスを Plus または Advanced ライセンスにアップグレードすることができません。
• デフォルトの評価ライセンスの上に Wireless ライセンスをインストールすると、Wireless ライセンスにより、評価ライセンスのパラメータが Wireless ライセンスに関連付けられている特定の期間とユーザ カウントが上書きされます。
ライセンス カウント
Cisco ISE ユーザはアクティブ セッション中にライセンスを使用します。セッションが終了すると、ISE は、他のユーザが再利用できるようにライセンスを解放します。
Cisco ISE ライセンスは次のようにカウントされます。
• Base、Plus、または Advanced ライセンスは、使用している機能に基づいて使用されます。
• 複数のネットワーク接続があるエンドポイントは、MAC アドレスごとに複数のライセンスを使用する可能性があります。たとえば、有線で接続されたラップトップが、同時に無線でも接続している場合です。VPN 接続のライセンスは IP アドレスに基づきます。
• ライセンスは、同時のアクティブなセッションに対してカウントされます。アクティブなセッションとは、RADIUS アカウンティングの開始が受信されるが、RADIUS アカウンティングの停止が受信されていないセッションのことです。
(注) RADIUS のアクティビティのないセッションは、該当のエンドポイントがシステムから削除されていない場合、5 日ごとにアクティブ セッションのリストから自動的に削除されます。
サービスの中断を回避するために、Cisco ISE はライセンスの権限付与を超えたエンドポイントにサービスを提供し続けます。ただし、Cisco ISE は RADIUS アカウンティング機能を使用して、ネットワーク上の現在のエンドポイントを追跡し、エンドポイントの数がライセンスの数を超過すると、次のようにアラームを生成します。
Cisco.com からの Cisco ISE ライセンスの取得
90 日間の評価期間の終了後に Cisco ISE サービスの使用を継続し、ネットワークで 100 を超える数の同時エンドポイントをサポートするには、Cisco ISE の Base、Plus、Advanced、または Wireless のライセンスをインストールする必要があります。ライセンス ファイルは、Cisco ISE ハードウェア ID と製品認証キー(PAK)の組み合わせに基づいています。Cisco ISE を購入したら、90 日間のライセンスの期限が切れる前に、Cisco.com のライセンス オプションを調べて、使用する Cisco ISE の導入に適したパッケージを発注できます。
ハイ アベイラビリティ ペアに 2 つの管理ノードを導入している場合、これらのノードがスタンドアロンまたはプライマリ ステートの間に、それぞれのノードに同じライセンスの機能があることを確認し、ライセンスを追加する必要があります。
Cisco.com からライセンス ファイルを注文して 1 時間以内に、シスコ補足エンド ユーザ ライセンス契約書および発注した各ライセンスの PAK を含む権利証明書が添付された電子メールを受信するはずです。権利証明書の受信後、シスコの製品ライセンス登録 Web サイト( http://www.cisco.com/go/license )にログインおよびアクセスし、適切なハードウェア ID 情報および PAK を入力してライセンスを生成できます。
ライセンス ファイルを生成するには、次の具体的な情報を指定する必要があります。
• プライマリおよびセカンダリ管理ノードの両方の製品 ID(PID)
詳細については、 Cisco Identity Services Engine のライセンスに関する注意 を参照してください。
シスコ製品ライセンス登録 Web サイトでライセンス情報を送信した翌日に、ライセンス ファイルが添付された電子メールが送信されます。このライセンス ファイルをローカル マシンの既知の場所に保存し、「ライセンスの追加またはアップブレード」の指示に従って、Cisco ISE に任意の製品ライセンスを追加したり、更新したりします。
詳細情報および Cisco ISE で使用できるライセンス部品番号については(新規インストールのライセンス設定オプションや、Cisco Secure Access Control Server など、既存のシスコのセキュリティ製品からの移行についての情報を含む)、以下の URL にある Cisco Identity Services Engine の発注ガイドラインを参照してください。 http://www.cisco.com/en/US/prod/collateral/
vpndevc/ps5712/ps11637/ps11195/guide_c07-656177.html 。
CLI を使用したハードウェア ID の確認
Cisco ISE ライセンスは、MAC アドレスでは なく 、管理ノードのハードウェア ID に基づいて生成されます。
ハードウェア ID を確認するには、Cisco ISE のダイレクト コンソール CLI にアクセスし、 show inventory コマンドを入力します。出力には次のように、PID、VID、および SN を示す行が含まれています。
管理ポータルを使用したハードウェア ID の確認
Cisco ISE ライセンスは、MAC アドレスでは なく 、管理ノードのハードウェア ID に基づいて生成されます。
現在のライセンスが期限切れになっていない場合は、次の手順に従って管理ノードのハードウェア ID を表示できます。
ステップ 1 Cisco ISE 管理インターフェイスから、[Administration(管理)] > [System(システム)] > [Licensing(ライセンス)] を選択します。
ステップ 2 [ライセンスの操作(ライセンスのオプション)] ナビゲーション ペインで [Current Licenses(現在のライセンス)] をクリックします。
ステップ 3 管理ノードのハードウェア ID を確認する Cisco ISE ノードに対応するボタンを選択し、[Administration Node(管理ノード)] をクリックして、PID、VID、および SN を表示します。
ライセンスの追加またはアップブレード
ライセンスを追加できるのは、スタンドアロンまたはプライマリの管理ノードのみです。既存の評価ライセンスは、90 日の評価期間の期限が切れたとき、またはその前にアップグレードできます。評価ライセンスをアップグレードするか、または置き換えるには、2 つの方法があります。
• Base ライセンスをインストールしてから、Plus または Advanced ライセンスもインストールするかどうかを選択する
複数のネットワーク接続を使用する単一のエンドポイントは、複数の Base、Plus、または Advanced ライセンスを使用する可能性があります。この状況は、エンドポイントが有線および無線の両方のネットワーク接続を使用する場合に発生する可能性があります。固有の認証された接続には、それぞれ独自のライセンスが必要です。
適切なライセンスを取得し、そのライセンスを Cisco ISE ノードにインストールしたことを確認します。詳細については、「Cisco.com からの Cisco ISE ライセンスの取得」を参照してください。
ステップ 1 Cisco ISE 管理インターフェイスから、[Administration(管理)] > [System(システム)] > [Licensing(ライセンス)] > [Current Licenses(現在のライセンス)] を選択します。
ステップ 2 アップグレードするライセンス名の隣のオプション ボタンをクリックし、[Edit(編集)] をクリックします。
ステップ 3 [Add Services(サービスの追加)] をクリックします。
ステップ 4 [Browse(参照)] をクリックして、該当のライセンス ファイルを選択します。
ステップ 5 [Import(インポート)] をクリックして、追加したサービスをサポートする新しいライセンス ファイルをインポートします。
ステップ 6 [Current Licenses(現在のライセンス)] ページに戻り、アップグレードされたライセンスが追加されていることを確認します。さらに確認するには、ライセンスがアップグレードされた各サービスの機能を確認します。
(注) [Current Licenses(現在のライセンス)] ページに、インストールされている Plus および Advanced ライセンスの数が、Advance/Plus の合算として表示されます。たとえば、500 の Plus ライセンスと 1000 の Advanced ライセンスをがある場合、Advance/Plus の数は 1500 となります。
ライセンスの削除
Base、Plus、Advanced、および Wireless ライセンスは個別に削除できますが、次の条件に注意する必要があります。
• Plus または Advanced ライセンスの数が Base ライセンスの数を超えている場合、Base ライセンスは削除できません。
• 組み合わされたライセンスをインストールした場合は、Base および Advanced パッケージの関連インストールがすべて削除されます。
• 標準の 90 日間の評価期間内に実稼働レベルのライセンスを削除した場合、実稼働ライセンスが削除されると、評価ライセンスが自動的に復元されます。
Wireless ライセンスの後に Wireless アップグレード ライセンスをインストールした場合は、Wireless アップグレード ライセンスを削除してから基盤となる Wireless ライセンスを削除する必要があります。
ステップ 1 [Administration(管理)] > [System(システム)] > [Licensing(ライセンス)] > [Current Licenses(現在のライセンス)] を選択します。
ステップ 2 ノード名の隣にあるオプション ボタンをクリックして [Edit(編集)] をクリックします。
ステップ 3 削除するライセンス名の隣のオプション ボタンをクリックし、[Remove(削除)] をクリックします。
フィードバック