Cisco ISE ライセンス モデルでは、企業のニーズに適したライセンスを購入できます。従来のライセンスを使用するときは、すべての個別ライセンスをインポートし、ISE から個別に管理し続けます。スマート ライセンスを使用するときは、購入したさまざまなエンドポイントのライセンスに関するすべての情報を含むシスコの一元化されたアカウントを管理します。
以下のライセンス オプションが用意されています。
-
ISE Base のみ
-
ISE Base および Plus
-
ISE Base および Apex
-
ISE Base および Device Administration
-
ISE Base、Plus、Apex、および Device Administration
-
ISE Base、Plus、Apex および AnyConnect Apex
デバイス管理ライセンス
デバイス管理ライセンスには、クラスタとノードの 2 つのタイプがあります。クラスタライセンスでは、Cisco ISE クラスタ内のすべてのポリシーサービスノードでデバイス管理を使用できます。ノードライセンスでは、1 つのポリシー サービス ノードでデバイス管理を使用できます。ハイ
アベイラビリティ スタンドアロン展開では、ノードライセンスによって、ハイアベイラビリティペアの 1 つのノードでデバイス管理を使用することが許可されます。
デバイス管理ライセンスキーは、プライマリおよびセカンダリポリシー管理ノードに対して登録されます。クラスタ内のすべてのポリシーサービスノードは、ライセンス数に達するまで必要に応じてデバイス管理ライセンスを消費します。
クラスタライセンスは Cisco ISE 2.0 のデバイス管理のリリースで導入され、Cisco ISE 2.0 以降のリリースで適用されています。ノードライセンスは後でリリースされ、リリース 2.0 ~ 2.3 で部分的にのみ適用されています。Cisco
ISE 2.4 以降では、ノードライセンスはノード単位で完全に適用されています。
クラスタライセンスは廃止されました。現時点ではノードライセンスのみを販売しています。
ただし、有効なクラスタライセンスでこのリリースにアップグレードする場合は、アップグレード時に既存のライセンスを引き続き使用できます。
Plus ライセンス セッションの数は、展開における Base ライセンス セッションの数以下となります。同じことが Apex ライセンス セッションにも適用されます。Apex ライセンスと Plus ライセンスとの間にこのような数の制限はなく、これらのライセンスを個別にインストールできます。Cisco
ISE ライセンスはアクティブなネットワーク接続を持つ同時エンドポイントの数に基づいて計算され、AnyConnect Apex ライセンスは 1 ユーザごとに計算されます。AnyConnect Apex ライセンスの数は、Cisco ISE Base
ライセンスの総数以下である必要はありません。
(注) |
Plus ライセンスに含まれるプロファイリングなどのサービスは、展開全体で頻繁に使用されます。展開に Plus ライセンスを追加する場合は、Plus ライセンスの数を Base ライセンスの数と等しくすることを推奨します。ただし、Plus ライセンスのサービスを展開全体で使用する必要がなくなることも考えられます。Cisco
ISE で Plus ライセンスの数を Base ライセンスの数より少なくできるのはそのためです。
|
(従来のライセンスに対しては)Base、Plus、および Apex ライセンスをインストールすると同時に、(スマート ライセンスに対しては)Base、Plus、および Apex ライセンスを購入することをお勧めします。
-
Base ライセンスは、Plus や Apex ライセンスで有効になるサービスを使用するためにも必要です。ただし、Apex ライセンスを使用するために Plus ライセンスが必要ということはなく、その逆もありません。これらのライセンスの機能は重複していません。
-
Plus および Apex ライセンスが準拠していない場合、Plus および Apex 機能を設定/編集することはできません。これらの機能は、読み取り専用モードで表示されます。
-
Base または Mobility Upgrade ライセンスをインストールすると、Cisco ISE はその期間の残りの部分に対する別個のライセンスとしてデフォルトの評価ライセンスを使用し続けます。
-
Mobility Upgrade ライセンスをインストールすると、Cisco ISE ではすべての有線、無線、および VPN サービスが有効になります。
-
Base または Mobility ライセンスは、Device Administration ライセンスをインストールするときに必要です。
-
Base ライセンスをインストールせずに、評価ライセンスを Plus ライセンスにアップグレードすることはできません。
VM ノードのライセンス
Cisco ISE は、仮想アプライアンスとしても販売されています。リリース 2.4 では、展開に VM ノードの適切な VM ライセンスをインストールすることをお勧めします。VM ノードの数と CPU やメモリなどの各 VM ノードのリソースに基づいて、VM
ライセンスをインストールする必要があります。そうでない場合、リリース 2.4 で VM ライセンス キーを調達してインストールする警告と通知が表示されますが、サービスは中断されません。
VM ライセンスは、小、中、大の 3 つのカテゴリで提供されます。たとえば、8 コアと 64 GB RAM を備えた 3595 相当の VM ノードを使用している場合に、VM で同じ機能をレプリケートするには、中カテゴリの VM ライセンスが必要になります。展開の要件に応じて、VM
とそのリソースの数に基づいて、複数の VM ライセンスをインストールできます。
VM ライセンスは、インフラストラクチャ ライセンスなので、展開で使用可能なエンドポイント ライセンスに関係なく VM ライセンスをインストールできます。展開に評価、Base、Plus、Apex ライセンスのどれもインストールされていない場合でも、VM
ライセンスをインストールできます。ただし、Base、Plus、または Apex ライセンスによって有効になる機能を使用するには、適切なライセンスをインストールする必要があります。
リリース 2.4 のインストールまたはアップグレードの後、展開済みの VM ノードの数とインストール済みの VM ライセンスの数の間に不一致がある場合、アラームが 14 日ごとに [アラーム(Alarms)] ダッシュレットに表示されます。アラームは、VM
ノードのリソースに変化がある場合や、VM ノードが登録または登録解除されるたびにも表示されます。
VM ライセンスは永続ライセンスです。VM ライセンスの変更は、Cisco ISE GUI にログインするたびに表示され、通知ポップアップで [このメッセージを再度表示しない(Do not show this message again)] チェックボックスをオンにすると表示されなくなります。
以前に ISE VM ライセンスのいずれも購入していない場合は、『ISE Ordering Guide』を参照して購入する適切な VM ライセンスを選択します。製品認証キー(PAK)が関連付けられていない ISE VM ライセンスを購入済みの場合、licensing@cisco.com で ISE VM 購入を反映する販売注文番号を使用して VM PAK を要求することができます。この要求は、過去に購入した ISE VM ごとに 1 つの中規模 VM ライセンス キーを提供するように処理されます。
次の表は、VM 最小リソースをカテゴリ別に示しています。
VM カテゴリ
|
RAM の範囲
|
CPU の数
|
小(Small)
|
16 GB
|
12 個の CPU
|
中
|
64 GB
|
16 個の CPU
|
大
|
256GB
|
16 個の CPU
|
表 1. Cisco ISE ライセンス パッケージ
ISE ライセンス パッケージ
|
永続/サブスクリプション(使用可能期間)
|
カバーされる ISE 機能
|
注記
|
基本
|
永久
|
|
ISE-PIC から Base ライセンスへのアップグレードの一環として使用できるパッシブ ID サービスには、シスコ サブスクライバだけが使用可能な限定的な pxGrid 機能が含まれます。
|
Plus
|
サブスクリプション(1、3、または 5 年)
|
|
Base のサービスは含まれません。Base ライセンスは Plus ライセンスをインストールするために必要です。
BYOD フローでエンドポイントをオンボードすると、関連する BYOD 属性が使用されていなくても、アクティブなセッションで Plus サービスが使用されます。
プロファイル関連の認証ポリシーに IdentityGroup:Name が含まれる場合は、Plus ライセンスを使用することが想定されます。
|
Apex
|
サブスクリプション(1、3、または 5 年)
|
|
Base のサービスは含まれません。Base ライセンスは Apex ライセンスをインストールするために必要です。
(注)
|
有線、ワイヤレス、および VPN 展開でユニファイド ポスチャ エージェントとして Cisco AnyConnect を使用する場合は、Cisco ISE Apex ライセンスに加えて Cisco AnyConnect Apex ユーザ ライセンスが必要です。
|
|
Mobility
|
サブスクリプション(1、3、または 5 年)
|
無線および VPN エンドポイント用の Base、Plus、および Apex の組み合わせ
|
Cisco 管理ノードで Base、Plus、および Apex ライセンスを共存させることはできません。
|
Mobility Upgrade
|
サブスクリプション(1、3、または 5 年)
|
Mobility ライセンスに対する有線サポートの提供
|
Mobility Upgrade ライセンスは既存の Mobility ライセンスが存在する場合にのみインストールできます。
|
Device Administration
|
永続
|
TACACS+
|
Base または Mobility ライセンスは、Device Administration ライセンスをインストールするときに必要です。
デバイス管理ライセンスの数は、TACACS+ ペルソナが有効になっているポリシー サービス ノードの数と同じである必要があります。
|
ISE-PIC
|
永続
|
パッシブ ID サービス
|
ノードごとに 1 つのライセンス。各ライセンスでは、最大 3,000 の並列セッションをサポートしています。
|
ISE-PIC のアップグレード
|
永続
|
このライセンスでは、次のオプションを使用できます。
|
ノードごとに 1 つのライセンス。各ライセンスでは、最大 300,000 の並列セッションをサポートしています。
このライセンスをインストールすると、アップグレードされたノードが既存の ISE 展開に参加できます。あるいは、Base ライセンスをノードにインストールして PAN として機能させることもできます。
Base ライセンスへのアップグレードの一環として使用できるパッシブ ID サービスには、シスコ サブスクライバだけが使用可能な限定的な pxGrid 機能が含まれます。
|
評価(Evaluation)
|
一時(90 日)
|
完全な Cisco ISE 機能が、100 台のエンドポイントに対して提供されます。
|
すべての Cisco ISE アプライアンスには、評価ライセンスが付属しています。
|